第28章 IdM における DoT による DNS の保護

DNS-over-TLS (DoT) を使用して Identity Management (IdM) クライアントとサーバー間の DNS クエリーとレスポンスを暗号化することで、盗聴を防ぎ、クエリーのプライバシーを確保します。IdM は、クライアント上のローカルキャッシュリゾルバーとして unbound サービスを設定し、BIND サービスを使用してサーバー上の DoT 要求を受信します。

デフォルトでは、IdM は relaxed DNS ポリシーを使用します。これにより、DoT が利用できない場合に暗号化されていない DNS にフォールバックできます。relaxed ポリシーを使用すると、IdM クライアントとレプリカはインストール中に DoT 対応 DNS サーバーを自動的に検出します。

暗号化のみの通信の場合は、--dns-policy enforced オプションを設定できます。この設定では、すべての DNS 解決に DoT が厳密に要求され、暗号化されていない要求はすべて拒否されます。インストール前に、IdM サーバーの DoT 証明書を信頼して eDNS 解決に使用するように、クライアントシステムとレプリカシステムの両方を手動で事前に設定する必要があります。

IdM はオプションの統合 DNS サーバーを提供します。統合 DNS サーバーを使用している場合、トポロジーを変更すると、IdM によって SRV やその他のサービスレコードが自動的に管理されます。DNS ビューなどの高度な機能が必要な場合は、外部 DNS サーバー上で DNS レコードを手動で管理できます。統合 IdM DNS は汎用 DNS ソリューションではありません。

IdM サーバー、レプリカ、おクライアント用に eDNS を設定する場合、証明書管理に IdM 認証局 (CA) サービスを使用するか、独自の証明書を提供することができます。証明書を提供しない場合、IdM CA は DNS サービス用の TLS 証明書を自動的に生成して割り当てます。