7.3. CLI での DNS 正引きゾーンの設定
コマンドラインインターフェイス (CLI) を使用して、新しい DNS 転送ゾーンを Identity Management (IdM) サーバーに追加するには、次の手順に従います。
DNS 正引きゾーンを使用すると、特定のゾーンの DNS クエリーを別の DNS サーバーに転送できます。たとえば、Active Directory (AD) ドメインの DNS クエリーを AD DNS サーバーに転送することができます。
前提条件
- 管理者権限のあるユーザーアカウントを使用して CLI にアクセスする。
- DNS サーバーを正しく設定している。
手順
AD ドメインの DNS 正引きゾーンを作成し、
--forwarderオプションを使用してリモート DNS サーバーの IP アドレスを指定します。# ipa dnsforwardzone-add ad.example.com --forwarder=192.168.122.3 --forward-policy=first
設定に新しい正引きゾーンを追加した後に、/var/log/messages システムログに DNSSEC 検証の失敗に関する警告が表示される場合があります。
named-pkcs11[2572]: no valid DS resolving 'host.ad.example.com/A/IN': 192.168.100.25#53
DNSSEC (Domain Name System Security Extensions) は、DNS データをデジタル署名で保護し、攻撃から DNS を保護します。このサービスは、IdM サーバーでデフォルトで有効になっています。リモート DNS サーバーが DNSSEC を使用していないため、警告が表示されます。Red Hat は、リモート DNS サーバーで DNSSEC を有効にすることを推奨します。
リモートサーバーで DNSSEC 検証を有効にできない場合は、IdM サーバーで DNSSEC を無効にすることができます。
-
/etc/named/ipa-options-ext.confファイルを開きます。 以下の DNSSEC パラメーターを追加します。
dnssec-enable no; dnssec-validation no;
- 設定ファイルを保存して閉じます。
DNS サービスを再起動します。
# systemctl restart named-pkcs11
検証手順
nslookupコマンドを、リモート DNS サーバーの名前で使用します。$ nslookup ad.example.com Server: 192.168.122.2 Address: 192.168.122.2#53 No-authoritative answer: Name: ad.example.com Address: 192.168.122.3
ドメイン転送が正しく設定されている場合、
nslookup要求はリモート DNS サーバーの IP アドレスを表示します。
