Chapitre 3. Utiliser les playbooks Ansible pour gérer les zones DNS de l'IdM
En tant qu'administrateur Identity Management (IdM), vous pouvez gérer le fonctionnement des zones DNS IdM à l'aide du module dnszone disponible dans le package ansible-freeipa. Ce chapitre décrit les sujets et procédures suivants :
- Quels sont les types de zones DNS pris en charge par IdM ?
- Quels sont les attributs DNS que vous pouvez configurer dans IdM ?
- Comment utiliser un playbook Ansible pour créer une zone primaire dans IdM DNS
- Comment utiliser un playbook Ansible pour s'assurer de la présence d'une zone DNS IdM primaire avec plusieurs variables
- Comment utiliser un playbook Ansible pour s'assurer de la présence d'une zone pour la recherche DNS inversée lorsqu'une adresse IP est donnée ?
Conditions préalables
- Le service DNS est installé sur le serveur IdM. Pour plus d'informations sur l'utilisation de Red Hat Ansible Engine pour installer un serveur IdM avec DNS intégré, voir Installation d'un serveur de gestion d'identité à l'aide d'un playbook Ansible.
3.1. Types de zones DNS prises en charge
Identity Management (IdM) prend en charge deux types de zones DNS : les zones primary et forward. Cette section décrit ces deux types de zones et inclut un exemple de scénario de transfert DNS.
Ce guide utilise la terminologie BIND pour les types de zones, qui est différente de la terminologie utilisée pour le DNS de Microsoft Windows. Les zones primaires dans BIND ont la même fonction que forward lookup zones et reverse lookup zones dans le DNS de Microsoft Windows. Les zones de transfert dans BIND ont la même fonction que conditional forwarders dans le DNS de Microsoft Windows.
- Zones DNS primaires
Les zones DNS primaires contiennent des données DNS faisant autorité et peuvent accepter des mises à jour DNS dynamiques. Ce comportement est équivalent au paramètre
type masterdans la configuration standard de BIND. Vous pouvez gérer les zones primaires à l'aide des commandesipa dnszone-*.Conformément aux règles DNS standard, chaque zone primaire doit contenir des enregistrements
start of authority(SOA) etnameserver(NS). L'IdM génère automatiquement ces enregistrements lors de la création de la zone DNS, mais vous devez copier manuellement les enregistrements NS dans la zone mère pour créer une délégation correcte.Conformément au comportement standard de BIND, les requêtes portant sur des noms pour lesquels le serveur ne fait pas autorité sont transmises à d'autres serveurs DNS. Ces serveurs DNS, appelés "forwarders", peuvent ou non faire autorité pour la requête.
Exemple 3.1. Exemple de scénario pour le transfert DNS
Le serveur IdM contient la zone primaire
test.example.. Cette zone contient un enregistrement de délégation NS pour le nomsub.test.example.. En outre, la zonetest.example.est configurée avec l'adresse IP du transitaire192.0.2.254pour la sous-zonesub.text.example.Un client interrogeant le nom
nonexistent.test.example.reçoit la réponseNXDomainet aucun transfert n'a lieu car le serveur IdM fait autorité pour ce nom.D'autre part, les requêtes portant sur le nom
host1.sub.test.example.sont transmises au transitaire configuré192.0.2.254, car le serveur IdM ne fait pas autorité pour ce nom.- Transférer des zones DNS
Du point de vue de l'IdM, les zones DNS avancées ne contiennent aucune donnée faisant autorité. En fait, une "zone" avancée ne contient généralement que deux éléments d'information :
- Un nom de domaine
- L'adresse IP d'un serveur DNS associé au domaine
Toutes les requêtes portant sur des noms appartenant au domaine défini sont transmises à l'adresse IP spécifiée. Ce comportement est équivalent au paramètre type forward dans la configuration standard de BIND. Vous pouvez gérer les zones de transfert à l'aide des commandes ipa dnsforwardzone-*.
Les zones DNS à suivre sont particulièrement utiles dans le contexte des trusts IdM-Active Directory (AD). Si le serveur DNS IdM fait autorité pour la zone idm.example.com et que le serveur DNS AD fait autorité pour la zone ad.example.com, alors ad.example.com est une zone DNS de renvoi pour la zone primaire idm.example.com. Cela signifie que lorsqu'un client IdM demande l'adresse IP de somehost.ad.example.com, la requête est transmise à un contrôleur de domaine AD spécifié dans la zone de transfert DNS IdM ad.example.com.
