28.3. DoT のみを使用するようにクライアントシステムとレプリカシステムを設定する

DNS over TLS (DoT) 通信を強制するには、クライアントシステムとレプリカシステムの両方で DoT 対応のリゾルバーを使用するように設定します。機密性の高い DNS データを傍受から保護し、ネットワーク全体で名前解決のプライバシーを確実に維持できます。

ネットワーク全体ですべての DNS クエリーを暗号化し、傍受から保護するには、NetworkManager の DNS 設定を更新する必要があります。--dns-policy オプションが enforced に設定されている場合、この設定が必要です。

前提条件

手順

IdM サーバーの DoT 証明書をクライアントシステムとレプリカシステムにコピーします。
```
$ scp /etc/pki/tls/certs/bind_dot.crt <username>@<ip>:/etc/pki/ca-trust/source/anchors/
```
システム全体のトラストストア設定を更新します。
```
# update-ca-trust extract
```
クライアントシステムとレプリカシステムに dnsconfd パッケージをインストールします。
```
# dnf install dnsconfd
```
システム上で DoT のデフォルト設定ファイルを生成します。
```
dnsconfd config install
```
dnsconfd サービスを有効にします。
```
# systemctl enable --now dnsconfd
```
NetworkManager をリロードして設定を適用します。
```
# nmcli g reload
```

NetworkManager でシステムの DNS を設定します。

# nmcli device modify <device_name> ipv4.dns dns+tls://<idm_server_ip>

Connection successfully reapplied to device '<device_name>'.