28.3. DoT를 독점적으로 사용하도록 클라이언트 및 복제본 시스템 구성

DoT(DNS over TLS) 통신을 적용하려면 DoT 가능 확인자를 사용하도록 클라이언트 및 복제본 시스템을 구성합니다. 민감한 DNS 데이터를 가로채기로부터 보호하고 모든 이름 확인이 네트워크 전체에서 비공개로 유지되도록 할 수 있습니다.

모든 DNS 쿼리가 암호화된 상태로 남아 있고 네트워크 전체의 가로채기로부터 보호되도록 NetworkManager DNS 설정을 업데이트해야 합니다. --dns-policy 옵션이 enforced 로 설정된 경우 이 구성이 필요합니다.

사전 요구 사항

프로세스

IdM 서버의 DoT 인증서를 클라이언트 및 복제본 시스템에 복사합니다.
```
$ scp /etc/pki/tls/certs/bind_dot.crt <username>@<ip>:/etc/pki/ca-trust/source/anchors/
```
시스템 전체 신뢰 저장소 구성을 업데이트합니다.
```
# update-ca-trust extract
```
클라이언트 및 복제본 시스템에서 dnsconfd 패키지를 설치합니다.
```
# dnf install dnsconfd
```
시스템에서 DoT에 대한 기본 구성 파일을 생성합니다.
```
dnsconfd config install
```
dnsconfd 서비스를 활성화합니다.
```
# systemctl enable --now dnsconfd
```
NetworkManager를 다시 로드하여 설정을 적용합니다.
```
# nmcli g reload
```

NetworkManager에서 시스템의 DNS 설정을 구성합니다.

# nmcli device modify <device_name> ipv4.dns dns+tls://<idm_server_ip>

Connection successfully reapplied to device '<device_name>'.