Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

33.10. 외부 DNS를 사용할 때 DNS 레코드를 체계적으로 업데이트

외부 DNS를 사용하는 경우 토폴로지 변경 후 Identity Management에서 DNS 레코드를 자동으로 업데이트하지 않습니다. 다음 절차에서는 외부 DNS 서비스에서 관리하는 DNS 레코드를 체계적으로 업데이트하는 방법을 설명하므로 수동 DNS 업데이트의 필요성이 줄어듭니다.
기본 개요는 33.10.1절. “ID 관리에서 외부 DNS 업데이트” 의 내용을 참조하십시오.
절차 및 예제는 다음을 참조하십시오.

33.10.1. ID 관리에서 외부 DNS 업데이트

DNS 레코드를 업데이트하면 이전 또는 유효하지 않은 DNS 레코드가 제거되고 새 레코드가 추가됩니다.
토폴로지를 변경한 후 DNS 레코드를 업데이트해야 합니다. 예를 들면 다음과 같습니다.
  • 복제를 설치하거나 설치 제거한 후
  • ID 관리 서버에 CA, DNS, KRA 또는 Active Directory 신뢰를 설치한 후

33.10.2. GUI: 외부 DNS 레코드 업데이트

  1. 업데이트해야 하는 레코드를 표시합니다. ipa dns-update-system- recordss --dry-run 명령을 사용합니다.
    Copy to Clipboard Toggle word wrap 
    $ ipa dns-update-system-records --dry-run
 IPA DNS records:
   _kerberos-master._tcp.example.com. 86400 IN SRV 0 100 88 ipa.example.com.
   _kerberos-master._udp.example.com. 86400 IN SRV 0 100 88 ipa.example.com.
[... output truncated ...]
  2. 외부 DNS GUI를 사용하여 레코드를 업데이트합니다.

33.10.3. 명령줄: nsupdate를 사용하여 외부 DNS 레코드 업데이트

이 섹션에서는 nsupdate 유틸리티를 사용하여 외부 DNS 레코드를 수동으로 업데이트하는 방법을 설명합니다. 스크립트에서 이 섹션의 명령을 사용하여 프로세스를 자동화할 수도 있습니다.

nsupdate의 DNS 레코드로 파일 생성

  1. ipa dns-update-system- recordss --dry-run 명령을 --out 옵션과 함께 사용합니다. 옵션은 생성할 파일의 경로를 지정합니다.
    Copy to Clipboard Toggle word wrap 
    $ ipa dns-update-system-records --dry-run --out dns_records_file.nsupdate
 IPA DNS records:
   _kerberos-master._tcp.example.com. 86400 IN SRV 0 100 88 ipa.example.com.
   _kerberos-master._udp.example.com. 86400 IN SRV 0 100 88 ipa.example.com.
[... output truncated ...]
    생성된 파일에는 nsupdate 유틸리티에서 수락한 형식의 필수 DNS 레코드가 포함되어 있습니다.
  2. 생성된 레코드는 다음과 같습니다.
    • 레코드를 업데이트할 영역의 자동 감지
    • 영역의 권한 있는 서버 자동 감지
    atypical DNS 설정을 사용 중이거나 영역 위임이 누락된 경우 nsupdate 에서 올바른 영역과 서버를 찾지 못할 수 있습니다. 이 경우 생성된 파일의 시작 부분에 다음 옵션을 추가합니다.
    • servernsupdate 가 레코드를 전송하는 권한 있는 DNS 서버의 서버 이름 또는 포트를 지정합니다.
    • zonensupdate 가 레코드를 배치하는 영역의 영역 이름을 지정합니다.
    예:
    Copy to Clipboard Toggle word wrap 
    $ cat dns_records_file.nsupdate
zone example.com.
server 192.0.2.1
; IPA DNS records
update delete _kerberos-master._tcp.example.com. SRV
update add _kerberos-master._tcp.example.com. 86400 IN SRV 0 100 88 ipa.example.com.
[... output truncated ...]

이름 서버에 동적 DNS 업데이트 요청 제출

nsupdate 를 사용하여 요청을 보낼 때 보안을 적절하게 확인하십시오. 이러한 메커니즘을 사용하여 요청을 보호할 수 있습니다.
트랜잭션 서명(TSIG) 프로토콜
TSIG를 사용하면 공유 키와 함께 nsupdate 를 사용할 수 있습니다. 절차 33.1. “TSIG를 사용하여 보안 된 nsupdate 요청 전송” 참조하십시오.
TSIG(GSS-TSIG)에 대한 GSS 알고리즘
GSS-TSIG는 GSS-API 인터페이스를 사용하여 비밀 TSIG 키를 가져옵니다. GSS-TSIG는 TSIG 프로토콜의 확장입니다. 보기 절차 33.2. “GSS-TSIG를 사용하여 보안된 nsupdate 요청 전송”

절차 33.1. TSIG를 사용하여 보안 된 nsupdate 요청 전송

  1. 다음 사전 요구 사항을 충족해야 합니다.
    • DNS 서버는 TSIG용으로 구성해야 합니다. 다음 서버 설정 예제를 참조하십시오. BIND, PowerDNS
    • DNS 서버와 클라이언트에는 모두 공유 키가 있어야 합니다.
  2. nsupdate 를 실행하고 다음 옵션 중 하나를 사용하여 공유 시크릿을 제공합니다.
    • -K: TSIG 인증 키를 제공:
      Copy to Clipboard Toggle word wrap 
      $ nsupdate -k tsig_key.file dns_records_file.nsupdate
    • -Y: 키 이름 및 Base64로 인코딩된 공유 보안에서 서명을 생성합니다.
      Copy to Clipboard Toggle word wrap 
      $ nsupdate -y algorithm:keyname:secret dns_records_file.nsupdate

절차 33.2. GSS-TSIG를 사용하여 보안된 nsupdate 요청 전송

  1. 다음 사전 요구 사항을 충족해야 합니다.
    • GSS-TSIG에 맞게 DNS 서버를 구성해야 합니다. 다음 서버 설정 예제를 참조하십시오. BIND, PowerDNS, Windows DNS.
    참고
    이 절차에서는 Kerberos V5 프로토콜이 GSS-API의 기술로 사용된다고 가정합니다.
  2. DNS 업데이트 요청을 제출하려면 레코드를 업데이트할 수 있는 보안 주체로 인증하고 -g 옵션으로 nsupdate 를 실행하여 GSS-TSIG 모드를 활성화합니다.
    Copy to Clipboard Toggle word wrap 
    $ kinit principal_allowed_to_update_records@REALM
$ nsupdate -g dns_records_file.nsupdate

추가 리소스

  • nsupdate(8) 매뉴얼 페이지
  • RFC 2845 는 TSIG 프로토콜을 설명합니다.
  • RFC 3645 는 GSS-TSIG 알고리즘에 대해 설명합니다.
맨 위로 이동
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2025 Red Hat, Inc.