第17章 アイデンティティー: DNS の管理

DNS は、IdM ドメインで設定および維持できるサービスの 1 つです。DNS は、IdM ドメインのパフォーマンスに不可欠です。DNS は、すべてのサーバーおよびクライアントの Kerberos サービスおよび SSL 接続に使用され、LDAP などのドメインサービスへの接続に使用されます。

IdM は外部 DNS サービスを使用できますが、ドメイン内で DNS サービスを設定する際に、IdM に対する柔軟性と制御が非常に高くなります。たとえば、DNS レコードとゾーンは、IdM ツールを使用してドメイン内で管理できます。また、クライアントは独自の DNS レコードを動的に更新できます。ホストが IdM に追加されると、そのホストマシンの IdM の DNS サービスに DNS レコードが自動的に作成されます。

IdM は、すべての DNS 情報を LDAP エントリーとして保存します。各マシンのリソースレコードはすべてドメインに保存されます。たとえば、client1 リソースには、3 つの IPv4(A) レコードと 1 つの IPv6(AAAA) レコードがあります。

dn: idnsname=client1,idnsname=example.com,cn=dns,dc=example,dc=com
idnsname: client1
arecord: 10.0.0.1
arecord: 10.0.0.2
arecord: 10.0.0.3
aaaarecord: fc00::1
objectclass: top
objectclass: idnsrecord

DNS エントリーを定義するために使用されるスキーマは /usr/share/ipa/60basev2.ldif スキーマファイルにあります。^[6].

BIND サービスは、システム bind-dyndb-ldap プラグインを使用して Directory Server と通信します。DNS を管理するために Identity Management を設定すると、IdM は BIND サービスの /etc/named.conf ファイルに dynamic-db 設定セクションを作成します。これにより、BIND (named) サービスの bind-dyndb-ldap プラグインが設定されます。

このプラグインが適切に設定されている場合は、Directory Server から named サービスに DNS レコードを提供します。設定を変更して、プラグインの動作に合わせて LDAP-BIND の対話を行います。