7.3. CLI での DNS フォワードゾーンの設定

前提条件

• 管理者権限のあるユーザーアカウントを使用して CLI にアクセスする。
• DNS サーバーを正しく設定している。

手順

• AD ドメイン用の DNS フォワードゾーンを作成します。--forwarder オプションを使用してリモート DNS サーバーの IP アドレスを指定します。

  # ipa dnsforwardzone-add ad.example.com --forwarder=192.168.122.3 --forward-policy=first

  注記

  設定に新しいフォワードゾーンを追加した後、システムログ /var/log/messages に DNSSEC 検証失敗に関する警告が表示される場合があります。

  named[2572]: no valid DS resolving 'host.ad.example.com/A/IN':  192.168.100.25#53

  DNSSEC (Domain Name System Security Extensions) は、DNS データをデジタル署名で保護し、攻撃から DNS を保護します。このサービスは、IdM サーバーでデフォルトで有効になっています。リモート DNS サーバーが DNSSEC を使用していないため、警告が表示されます。リモート DNS サーバーで DNSSEC を有効にします。

  リモートサーバーで DNSSEC 検証を有効にできない場合は、IdM サーバーで DNSSEC を無効にすることができます。

  1. IdM サーバー上の /etc/named/ipa-options-ext.conf ファイルを開きます。

  2. 以下の DNSSEC パラメーターを追加します。

     dnssec-validation no;

  3. 設定ファイルを保存して閉じます。

  4. DNS サービスを再起動します。

     # systemctl restart named

  DNSSEC は、IdM ではテクノロジープレビューとして提供されていることに注意してください。

検証

• nslookup コマンドを、リモート DNS サーバーの名前で使用します。

  $ nslookup ad.example.com

  Server:        192.168.122.2
  Address:       192.168.122.2#53
  
  No-authoritative answer:
  Name:          ad.example.com
  Address:       192.168.122.3

  ドメイン転送が正しく設定されている場合、nslookup 要求はリモート DNS サーバーの IP アドレスを表示します。