7.3. Configuration d'une zone de transfert DNS dans le CLI
Cette section décrit comment ajouter une nouvelle zone DNS au serveur de gestion des identités (IdM) à l'aide de l'interface de ligne de commande (CLI).
Avec les zones de transfert DNS, vous pouvez transférer les requêtes DNS pour une zone spécifique vers un serveur DNS différent. Par exemple, vous pouvez transférer les requêtes DNS pour le domaine Active Directory (AD) vers un serveur DNS AD.
Conditions préalables
- Accès à la CLI avec un compte d'utilisateur disposant de droits d'administrateur.
- Serveur DNS correctement configuré.
Procédure
Créez une zone de transfert DNS pour le domaine AD et indiquez l'adresse IP du serveur DNS distant avec l'option
--forwarder
:# ipa dnsforwardzone-add ad.example.com --forwarder=192.168.122.3 --forward-policy=first
Vous pouvez voir un avertissement concernant un échec de validation DNSSEC dans les journaux du système /var/log/messages
après avoir ajouté une nouvelle zone de transfert à la configuration :
named-pkcs11[2572]: no valid DS resolving 'host.ad.example.com/A/IN': 192.168.100.25#53
DNSSEC (Domain Name System Security Extensions) sécurise les données DNS à l'aide d'une signature numérique afin de protéger le DNS contre les attaques. Ce service est activé par défaut dans le serveur IdM. L'avertissement apparaît car le serveur DNS distant n'utilise pas DNSSEC. Red Hat vous recommande d'activer DNSSEC sur le serveur DNS distant.
Si vous ne pouvez pas activer la validation DNSSEC sur le serveur distant, vous pouvez désactiver DNSSEC dans le serveur IdM :
Choisissez le fichier de configuration approprié à modifier :
-
Si votre serveur IdM utilise RHEL 8.0 ou RHEL 8.1, ouvrez le fichier
/etc/named.conf
. -
Si votre serveur IdM utilise RHEL 8.2 ou une version ultérieure, ouvrez le fichier
/etc/named/ipa-options-ext.conf
.
-
Si votre serveur IdM utilise RHEL 8.0 ou RHEL 8.1, ouvrez le fichier
Ajoutez les paramètres DNSSEC suivants :
dnssec-enable no; dnssec-validation no;
- Enregistrez et fermez le fichier de configuration.
Redémarrez le service DNS :
# systemctl restart named-pkcs11
Verification steps
Utilisez la commande
nslookup
avec le nom du serveur DNS distant :$ nslookup ad.example.com Server: 192.168.122.2 Address: 192.168.122.2#53 No-authoritative answer: Name: ad.example.com Address: 192.168.122.3
Si la redirection de domaine est configurée correctement, la requête
nslookup
affiche une adresse IP du serveur DNS distant.