Chapitre 2. Gestion des zones DNS dans l'IdM
En tant qu'administrateur Identity Management (IdM), vous pouvez gérer le fonctionnement des zones DNS IdM. Ce chapitre décrit les sujets et procédures suivants :
Quels sont les types de zones DNS pris en charge par IdM ?
- Comment ajouter des zones DNS primaires IdM à l'aide de l'interface Web IdM ?
- Comment ajouter des zones DNS primaires IdM à l'aide de la CLI IdM
- Comment supprimer les zones DNS primaires de l'IdM à l'aide de l'interface Web de l'IdM ?
- Comment supprimer les zones DNS primaires de l'IdM à l'aide de la CLI de l'IdM
Quels sont les attributs DNS que vous pouvez configurer dans IdM ?
Conditions préalables
Le service DNS est installé sur le serveur IdM. Pour plus d'informations sur l'installation d'un serveur IdM avec DNS intégré, voir l'un des liens suivants :
- Installation d'un serveur IdM : Avec DNS intégré, avec une autorité de certification intégrée comme autorité de certification racine
- Installation d'un serveur IdM : Avec DNS intégré, avec une autorité de certification externe comme autorité de certification racine
- Installation d'un serveur IdM : Avec DNS intégré, sans CA
2.1. Types de zones DNS prises en charge
Identity Management (IdM) prend en charge deux types de zones DNS : les zones primary et forward. Cette section décrit ces deux types de zones et inclut un exemple de scénario de transfert DNS.
Ce guide utilise la terminologie BIND pour les types de zones, qui est différente de la terminologie utilisée pour le DNS de Microsoft Windows. Les zones primaires dans BIND ont la même fonction que forward lookup zones et reverse lookup zones dans le DNS de Microsoft Windows. Les zones de transfert dans BIND ont la même fonction que conditional forwarders dans le DNS de Microsoft Windows.
- Zones DNS primaires
Les zones DNS primaires contiennent des données DNS faisant autorité et peuvent accepter des mises à jour DNS dynamiques. Ce comportement est équivalent au paramètre
type master
dans la configuration standard de BIND. Vous pouvez gérer les zones primaires à l'aide des commandesipa dnszone-*
.Conformément aux règles DNS standard, chaque zone primaire doit contenir des enregistrements
start of authority
(SOA) etnameserver
(NS). L'IdM génère automatiquement ces enregistrements lors de la création de la zone DNS, mais vous devez copier manuellement les enregistrements NS dans la zone mère pour créer une délégation correcte.Conformément au comportement standard de BIND, les requêtes portant sur des noms pour lesquels le serveur ne fait pas autorité sont transmises à d'autres serveurs DNS. Ces serveurs DNS, appelés "forwarders", peuvent ou non faire autorité pour la requête.
Exemple 2.1. Exemple de scénario pour le transfert DNS
Le serveur IdM contient la zone primaire
test.example.
. Cette zone contient un enregistrement de délégation NS pour le nomsub.test.example.
. En outre, la zonetest.example.
est configurée avec l'adresse IP du transitaire192.0.2.254
pour la sous-zonesub.text.example
.Un client interrogeant le nom
nonexistent.test.example.
reçoit la réponseNXDomain
et aucun transfert n'a lieu car le serveur IdM fait autorité pour ce nom.D'autre part, les requêtes portant sur le nom
host1.sub.test.example.
sont transmises au transitaire configuré192.0.2.254
, car le serveur IdM ne fait pas autorité pour ce nom.- Transférer des zones DNS
Du point de vue de l'IdM, les zones DNS avancées ne contiennent aucune donnée faisant autorité. En fait, une "zone" avancée ne contient généralement que deux éléments d'information :
- Un nom de domaine
- L'adresse IP d'un serveur DNS associé au domaine
Toutes les requêtes portant sur des noms appartenant au domaine défini sont transmises à l'adresse IP spécifiée. Ce comportement est équivalent au paramètre type forward
dans la configuration standard de BIND. Vous pouvez gérer les zones de transfert à l'aide des commandes ipa dnsforwardzone-*
.
Les zones DNS à suivre sont particulièrement utiles dans le contexte des trusts IdM-Active Directory (AD). Si le serveur DNS IdM fait autorité pour la zone idm.example.com et que le serveur DNS AD fait autorité pour la zone ad.example.com, alors ad.example.com est une zone DNS de renvoi pour la zone primaire idm.example.com. Cela signifie que lorsqu'un client IdM demande l'adresse IP de somehost.ad.example.com, la requête est transmise à un contrôleur de domaine AD spécifié dans la zone de transfert DNS IdM ad.example.com.