29장. IdM에서 DoT를 사용하여 DNS 보안

DoT(DNS over TLS)를 사용하는 암호화된 DNS(DNS)는 IdM DNS 클라이언트와 서버 간의 모든 DNS 쿼리와 응답을 암호화합니다. IdM은 클라이언트에서 unbound 서비스를 로컬 캐싱 확인기로 구성하고 BIND 서비스를 사용하여 서버에서 DoT 요청을 수신합니다.

기본적으로 IdM은 완화 된 DNS 정책을 사용하므로 DoT를 사용할 수 없는 경우 암호화되지 않은 DNS로 대체할 수 있습니다. 완화 정책을 사용하는 경우 IdM 클라이언트와 복제본은 설치 중에 DoT 가능 DNS 서버를 자동으로 감지합니다.

암호화된 통신의 경우 --dns-policy enforced 옵션을 구성할 수 있습니다. 이 설정은 모든 DNS 확인에 대해 엄격하게 DoT가 필요하며 암호화되지 않은 모든 요청을 거부합니다. 설치하기 전에 IdM 서버의 DoT 인증서를 신뢰하고 eDNS 확인에 사용할 클라이언트 및 복제본 시스템을 모두 수동으로 설정해야 합니다.

IdM은 선택적 통합 DNS 서버를 제공합니다. 통합 DNS 서버를 사용하면 토폴로지를 수정할 때 IdM에서 SRV 및 기타 서비스 레코드를 자동으로 관리합니다. DNS 보기와 같은 고급 기능이 필요한 경우 외부 DNS 서버에서 DNS 레코드를 수동으로 관리할 수 있습니다. 통합된 IdM DNS는 범용 DNS 솔루션이 아닙니다.

IdM 서버, 복제본 및 클라이언트의 eDNS를 설정할 때 인증서 관리에 IdM CA(인증 기관) 서비스를 사용하거나 자체 인증서를 제공할 수 있습니다. 인증서를 제공하지 않으면 IdM CA가 DNS 서비스에 대한 TLS 인증서를 자동으로 생성하고 할당합니다.