Red Hat SummitCapítulo 64. Gestión del reenvío de DNS en IdM
Los siguientes procedimientos describen cómo configurar los reenviadores globales de DNS y las zonas de reenvío de DNS en la interfaz web de Identity Management (IdM), la CLI de IdM y mediante Ansible:
- Sección 64.1, “Las dos funciones de un servidor DNS IdM”
- Sección 64.2, “Políticas de reenvío de DNS en IdM”
- Sección 64.3, “Añadir un reenvío global en la interfaz web de IdM”
- Sección 64.4, “Añadir un forwarder global en la CLI”
- Sección 64.5, “Añadir una zona de reenvío de DNS en la interfaz web de IdM”
- Sección 64.6, “Añadir una zona de reenvío de DNS en la CLI”
- Sección 64.7, “Establecimiento de un reenvío global de DNS en IdM mediante Ansible”
- Sección 64.8, “Garantizar la presencia de un reenviador global de DNS en IdM mediante Ansible”
- Sección 64.9, “Garantizar la ausencia de un reenviador global de DNS en IdM utilizando Ansible”
- Sección 64.10, “Garantizar que los reenviadores globales de DNS estén desactivados en IdM mediante Ansible”
- Sección 64.11, “Garantizar la presencia de una zona de reenvío de DNS en IdM mediante Ansible”
- Sección 64.12, “Garantizar que una zona de reenvío de DNS tenga varios reenviadores en IdM mediante Ansible”
- Sección 64.13, “Garantizar que una zona de reenvío de DNS esté desactivada en IdM mediante Ansible”
- Sección 64.14, “Garantizar la ausencia de una zona de reenvío de DNS en IdM utilizando Ansible”
64.1. Las dos funciones de un servidor DNS IdM
El reenvío de DNS afecta a la forma en que un servicio DNS responde a las consultas DNS. Por defecto, el servicio Berkeley Internet Name Domain (BIND) integrado en IdM actúa como servidor DNS authoritative y recursive:
- Servidor DNS autorizado
- Cuando un cliente DNS consulta un nombre perteneciente a una zona DNS para la que el servidor IdM es autoritativo, BIND responde con los datos contenidos en la zona configurada. Los datos autoritativos siempre tienen prioridad sobre cualquier otro dato.
- Servidor DNS recursivo
- Cuando un cliente DNS consulta un nombre para el que el servidor IdM no es autoritativo, BIND intenta resolver la consulta utilizando otros servidores DNS. Si no se definen reenviadores, BIND pregunta a los servidores raíz de Internet y utiliza un algoritmo de resolución recursiva para responder a la consulta DNS.
En algunos casos, no es deseable dejar que el BIND contacte directamente con otros servidores DNS y realice la recursión basándose en los datos disponibles en Internet. Puede configurar el BIND para que utilice otro servidor DNS, un forwarder, para resolver la consulta.
Cuando se configura BIND para utilizar un reenviador, las consultas y respuestas se reenvían de un lado a otro entre el servidor IdM y el reenviador, y el servidor IdM actúa como caché de DNS para los datos no autorizados.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}