まず、私の経験はネットワーク (Cisco) と Windows です。そうは言っても、私はマルチサイトの FreeIPA インストールを設計するプロジェクトに着手しました。シングルサイトの FreeIPA は問題なく使用しています。問題が発生するのはマルチサイトです。
たとえば、次の 3 つのサイトがあるとします。
- サイト1.example.com
- サイト2.example.com
- サイト3.example.com
包括的なレルムとして example.com を使用したいと考えています。example.com を実行するには IPA サーバーが必要ですか?
最初の IPA サーバー ipa.site1.example.com を作成し、example.com レルム名を使用したときに、example.com の DNS ゾーンは作成されませんでした。site1.example.com の DNS ゾーンのみがあります。
レルムと DNS ゾーンに関するドキュメントはほとんど存在しないようです (または、私が間違った方向を見ているだけです)。このセットアップの経験がある方、または正しい方向を指し示していただける方がいらっしゃいましたら、ぜひお知らせください。
答え1
いいえ、「example.com」で IPA サーバーを実行する必要はありませんが、サブドメイン「site1/2/3.exmaple.com」を権威 DNS に正しく委任する、正しく設定された DNS サーバーが必要です (IPA サーバーに DNS を独自に処理させることをお勧めします)。
各レルムについて、次の 2 つのレコードを「example.com」ゾーンに追加するだけです。これで完了です。A レコードを「サブドメイン」IPA サーバーに直接ポイントし、独自のサブドメイン DNS ゾーンを処理させることをお勧めします。
ipa01.site1.example.com. A 10.20.30.40
site1.example.com NS ipa01.site1.example.com.
私も、既存の「example.com」なしで、「test.example.com」と「prod.example.com」という 2 つのレルムを使用して、同じことを実行しました。
ただし、システム自体に他のリゾルバが構成されている場合でも、スクリプトはデフォルトで実際のパブリック ROOT-DNS サーバを使用してドメインを解決する可能性があることに注意してくださいipa-install-server。そのため、たとえば次のように処理する方法を知っているフォワーダを ipa-server-install コマンドラインで定義する必要があります。
ipa-server-install --hostname=ipa01.test.example.com \
--domain=test.example.com \
--ds-password=secret \
--admin-password=moresecret \
--setup-dns -r TEST.EXAMPLE.COM \
--forwarder=XX.XX.XX.XX \
--forward-policy=only
XX.XX.XX.XX は「example.com」の DNS サーバーの IP です。
これでうまくいくはずです。man ipa-server-install詳細については、「forward」を検索して確認してください。