Red Hat Summit Red Hat SummitSupportConsoleDéveloppeursCommencer un essaiContact

Chapitre 7. Configuration des paramètres DNS et Realm pour une confiance

Avant de connecter Identity Management (IdM) et Active Directory (AD) dans le cadre d'une confiance, vous devez vous assurer que les serveurs se voient mutuellement et résolvent correctement les noms de domaine. Ce scénario décrit la configuration du DNS pour permettre l'utilisation des noms de domaine entre :

  • Un serveur IdM primaire utilisant un serveur DNS et une autorité de certification intégrés.
  • Un contrôleur de domaine AD.

Les paramètres DNS sont nécessaires :

  • Configuration des zones DNS dans le serveur IdM
  • Configuration de la redirection DNS conditionnelle dans AD
  • Vérification de l'exactitude de la configuration DNS

7.1. Domaines DNS primaires uniques

Dans Windows, chaque domaine est à la fois un domaine Kerberos et un domaine DNS. Chaque domaine géré par le contrôleur de domaine doit avoir sa propre zone DNS dédiée. Il en va de même lorsque la gestion des identités (IdM) est approuvée par Active Directory (AD) en tant que forêt. AD s'attend à ce que IdM ait son propre domaine DNS. Pour que la configuration de confiance fonctionne, le domaine DNS doit être dédié à l'environnement Linux.

Chaque système doit avoir son propre domaine DNS primaire configuré. Par exemple :

  • ad.example.com pour AD et idm.example.com pour IdM
  • example.com pour AD et idm.example.com pour IdM
  • ad.example.com pour AD et example.com pour IdM

La solution de gestion la plus pratique est un environnement où chaque domaine DNS est géré par des serveurs DNS intégrés, mais il est également possible d'utiliser tout autre serveur DNS conforme aux normes.

Les noms de domaines Kerberos sont des versions en majuscules des noms de domaines DNS primaires
Les noms de domaines Kerberos doivent être identiques aux noms de domaines DNS primaires, avec toutes les lettres en majuscules. Par exemple, si les noms de domaine sont ad.example.com pour AD et idm.example.com pour IdM, les noms de domaine Kerberos doivent être AD.EXAMPLE.COM et IDM.EXAMPLE.COM.
Enregistrements DNS pouvant être résolus à partir de tous les domaines DNS dans la confiance
Toutes les machines doivent être en mesure de résoudre les enregistrements DNS de tous les domaines DNS impliqués dans la relation de confiance.
Domaines IdM et AD DNS
Les systèmes reliés à IdM peuvent être distribués sur plusieurs domaines DNS. Red Hat recommande de déployer les clients IdM dans une zone DNS différente de celles appartenant à Active Directory. Le domaine DNS IdM primaire doit avoir des enregistrements SRV appropriés pour prendre en charge les trusts AD.
Note

Dans certains environnements où il existe des liens de confiance entre IdM et Active Directory, vous pouvez installer un client IdM sur un hôte qui fait partie du domaine DNS d'Active Directory. L'hôte peut alors bénéficier des fonctionnalités Linux de l'IdM. Cette configuration n'est pas recommandée et présente certaines limites. Pour plus de détails, voir Configuration des clients IdM dans un domaine DNS Active Directory.

Vous pouvez obtenir une liste des enregistrements SRV requis, spécifiques à la configuration de votre système, en exécutant la commande suivante : 

ipa dns-update-system-records --dry-run

La liste générée peut par exemple ressembler à ceci : 

IPA DNS records:
  _kerberos-master._tcp.idm.example.com. 86400 IN SRV 0 100 88 server.idm.example.com.
  _kerberos-master._udp.idm.example.com. 86400 IN SRV 0 100 88 server.idm.example.com.
  _kerberos._tcp.idm.example.com. 86400 IN SRV 0 100 88 server.idm.example.com.
  _kerberos._tcp.idm.example.com. 86400 IN SRV 0 100 88 server.idm.example.com.
  _kerberos.idm.example.com. 86400 IN TXT "IDM.EXAMPLE.COM"
  _kpasswd._tcp.idm.example.com. 86400 IN SRV 0 100 464 server.idm.example.com.
  _kpasswd._udp.idm.example.com. 86400 IN SRV 0 100 464 server.idm.example.com.
  _ldap._tcp.idm.example.com. 86400 IN SRV 0 100 389 server.idm.example.com.
  _ipa-ca.idm.example.com. 86400 IN A 192.168.122.2

Pour les autres domaines DNS qui font partie du même domaine IdM, il n'est pas nécessaire de configurer les enregistrements SRV lorsque la confiance en AD est configurée. En effet, les contrôleurs de domaine AD n'utilisent pas les enregistrements SRV pour découvrir les KDC, mais basent plutôt la découverte des KDC sur les informations de routage du suffixe de nom pour la confiance.

Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance. Découvrez nos récentes mises à jour.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez le Blog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.