7.3. CLI での DNS 正引きゾーンの設定
コマンドラインインターフェイス (CLI) を使用して、Identity Management (IdM) サーバーに新しい DNS 正引きゾーンを追加できます。
DNS 正引きゾーンを使用すると、特定のゾーンの DNS クエリーを別の DNS サーバーに転送できます。たとえば、Active Directory (AD) ドメインの DNS クエリーを AD DNS サーバーに転送することができます。
前提条件
- 管理者権限のあるユーザーアカウントを使用して CLI にアクセスする。
- DNS サーバーを正しく設定している。
手順
AD ドメインの DNS 正引きゾーンを作成し、
--forwarder
オプションを使用してリモート DNS サーバーの IP アドレスを指定します。# ipa dnsforwardzone-add ad.example.com --forwarder=192.168.122.3 --forward-policy=first
設定に新しい正引きゾーンを追加した後に、/var/log/messages
システムログに DNSSEC 検証の失敗に関する警告が表示される場合があります。
named-pkcs11[2572]: no valid DS resolving 'host.ad.example.com/A/IN': 192.168.100.25#53
DNSSEC (Domain Name System Security Extensions) は、DNS データをデジタル署名で保護し、攻撃から DNS を保護します。このサービスは、IdM サーバーでデフォルトで有効になっています。リモート DNS サーバーが DNSSEC を使用していないため、警告が表示されます。Red Hat は、リモート DNS サーバーで DNSSEC を有効にすることを推奨します。
リモートサーバーで DNSSEC 検証を有効にできない場合は、IdM サーバーで DNSSEC を無効にすることができます。
-
IdM サーバー上の
/etc/named/ipa-options-ext.conf
ファイルを開きます。 以下の DNSSEC パラメーターを追加します。
dnssec-enable no; dnssec-validation no;
- 設定ファイルを保存して閉じます。
DNS サービスを再起動します。
# systemctl restart named-pkcs11
検証
nslookup
コマンドを、リモート DNS サーバーの名前で使用します。$ nslookup ad.example.com Server: 192.168.122.2 Address: 192.168.122.2#53 No-authoritative answer: Name: ad.example.com Address: 192.168.122.3
ドメイン転送が正しく設定されている場合、
nslookup
要求はリモート DNS サーバーの IP アドレスを表示します。