Chapitre 29. Gestion de la redirection DNS dans l'IdM
Les procédures suivantes décrivent comment configurer les forwarders globaux DNS et les zones de forward DNS dans l'interface Web de gestion des identités (IdM), dans la CLI IdM et à l'aide d'Ansible :
- Les deux rôles d'un serveur DNS IdM
- Politiques de transfert DNS dans l'IdM
- Ajout d'un transitaire global dans l'interface Web IdM
- Ajout d'un transitaire global dans l'interface de gestion
- Ajout d'une zone de transfert DNS dans l'interface Web IdM
- Ajout d'une zone de transfert DNS dans l'interface de programmation
- Mise en place d'un DNS Global Forwarder dans IdM à l'aide d'Ansible
- Assurer la présence d'un DNS global forwarder dans IdM en utilisant Ansible
- S'assurer de l'absence d'un DNS global forwarder dans l'IdM en utilisant Ansible
- S'assurer que les DNS Global Forwarders sont désactivés dans IdM à l'aide d'Ansible
- Assurer la présence d'une zone de transfert DNS dans IdM en utilisant Ansible
- S'assurer qu'une zone de transfert DNS a plusieurs transitaires dans IdM à l'aide d'Ansible
- S'assurer qu'une zone de transfert DNS est désactivée dans l'IdM à l'aide d'Ansible
- Garantir l'absence d'une zone de transfert DNS dans l'IdM à l'aide d'Ansible
29.1. Les deux rôles d'un serveur DNS IdM
La redirection DNS affecte la manière dont un service DNS répond aux requêtes DNS. Par défaut, le service Berkeley Internet Name Domain (BIND) intégré à l'IdM fait office de serveur DNS authoritative et recursive:
- Serveur DNS autoritaire
- Lorsqu'un client DNS interroge un nom appartenant à une zone DNS pour laquelle le serveur IdM fait autorité, BIND répond avec les données contenues dans la zone configurée. Les données faisant autorité ont toujours la priorité sur les autres données.
- Serveur DNS récursif
- Lorsqu'un client DNS interroge un nom pour lequel le serveur IdM ne fait pas autorité, BIND tente de résoudre la requête en utilisant d'autres serveurs DNS. Si les forwarders ne sont pas définis, BIND interroge les serveurs racine sur Internet et utilise un algorithme de résolution récursif pour répondre à la requête DNS.
Dans certains cas, il n'est pas souhaitable de laisser BIND contacter directement d'autres serveurs DNS et d'effectuer la récursivité sur la base des données disponibles sur Internet. Vous pouvez configurer BIND pour qu'il utilise un autre serveur DNS, forwarder, pour résoudre la requête.
Lorsque vous configurez BIND pour utiliser un transitaire, les requêtes et les réponses sont transmises entre le serveur IdM et le transitaire, et le serveur IdM fait office de cache DNS pour les données ne faisant pas autorité.