Red Hat Summit33.5. 동적 DNS 업데이트 관리
33.5.1. 동적 DNS 업데이트 활성화
링크 복사링크가 클립보드에 복사되었습니다!
동적 DNS 업데이트는 IdM의 새 DNS 영역에 대해 기본적으로 비활성화되어 있습니다. 동적 업데이트가 비활성화된 경우
ipa-client-install 스크립트는 새 클라이언트를 가리키는 DNS 레코드를 추가할 수 없습니다.
참고
동적 업데이트를 활성화하면 보안 위험이 발생할 수 있습니다. 그러나 사용자 환경에서 동적 업데이트를 활성화할 수 있는 경우 더 쉽게 클라이언트 설치를 수행할 수 있습니다.
동적 업데이트를 활성화하려면 다음이 필요합니다.
- 동적 업데이트를 허용하도록 DNS 영역을 구성해야 합니다
- 동적 업데이트를 보내도록 로컬 클라이언트를 구성해야 합니다.
33.5.1.1. 동적 업데이트를 허용하도록 DNS 영역 구성
링크 복사링크가 클립보드에 복사되었습니다!
웹 UI에서 동적 DNS 업데이트 활성화
- Network Services 탭을 열고 DNS Zones 섹션 다음에 DNS를 선택합니다.
그림 33.16. DNS 영역 관리
- 모든 영역 목록에서 영역 이름을 클릭하여 DNS 영역 페이지를 엽니다.
그림 33.17. 마스터 영역 편집
- 설정을 클릭하여 DNS 영역 설정 탭으로 전환합니다.
그림 33.18. 마스터 영역 편집 페이지의 Settings(설정) 탭
- 아래로 스크롤하여 Dynamic update 필드까지 스크롤하고 값을 True 로 설정합니다.
그림 33.19. 동적 DNS 업데이트 활성화
- 페이지 상단에서 을 클릭하여 새 구성을 확인합니다.
명령줄에서 동적 DNS 업데이트 활성화
명령줄에서 DNS 영역을 동적으로 업데이트할 수 있도록 하려면
--dynamic-update=TRUE 옵션과 함께 ipa dnszone-mod 명령을 사용합니다. 예를 들어 다음과 같습니다.
ipa dnszone-mod server.example.com --dynamic-update=TRUE
[user@server ~]$ ipa dnszone-mod server.example.com --dynamic-update=TRUE33.5.1.2. 동적 업데이트를 전송하도록 클라이언트 구성
링크 복사링크가 클립보드에 복사되었습니다!
클라이언트는
ipa-client-install 스크립트와 함께 --enable-dns-updates 옵션을 사용하여 도메인에 등록할 때 DNS 업데이트를 자동으로 보내도록 설정됩니다.
ipa-client-install --enable-dns-updates
[root@client ~]# ipa-client-install --enable-dns-updates
DNS 영역에는 SOA 구성 내의 레코드에 대해 설정된 TTL(Time to Live) 값이 있습니다. 그러나 동적 업데이트의 TTL은 SSSD(시스템 보안 서비스 데몬)에 의해 로컬 시스템에서 관리됩니다. 동적 업데이트의 TTL 값을 변경하려면 SSSD 파일을 편집하여 값을 설정합니다. 기본값은 1200초입니다.
- SSSD 구성 파일을 엽니다.
vim /etc/sssd/sssd.conf
[root@server ~]# vim /etc/sssd/sssd.confCopy to Clipboard Copied! Toggle word wrap Toggle overflow - IdM 도메인의 도메인 섹션을 찾습니다.
[domain/ipa.example.com]
[domain/ipa.example.com]Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 클라이언트에 동적 업데이트가 활성화되지 않은 경우
dyndns_update값을 true로 설정합니다.dyndns_update = true
dyndns_update = trueCopy to Clipboard Copied! Toggle word wrap Toggle overflow dyndns_ttl매개 변수를 추가하거나 편집하여 값을 초 단위로 설정합니다.dyndns_ttl = 2400
dyndns_ttl = 2400Copy to Clipboard Copied! Toggle word wrap Toggle overflow
33.5.2. A/AAAA 및 PTR 레코드 동기화
링크 복사링크가 클립보드에 복사되었습니다!
및 AAAA 레코드는 역방향 영역의 PTR 레코드와 별도로 구성됩니다. 이러한 레코드는 독립적으로 구성되므로 해당 PTR 레코드 없이 A/AAAA 레코드가 존재할 수 있으며 그 반대의 경우도 마찬가지입니다.
PTR 동기화가 작동하려면 몇 가지 DNS 설정 요구 사항이 있습니다.
- 정방향 및 역방향 영역 모두 IdM 서버에서 관리해야 합니다.
- 두 영역 모두 동적 업데이트를 활성화해야 합니다.동적 업데이트 활성화에 대해서는 33.5.1절. “동적 DNS 업데이트 활성화” 에서 다룹니다.
- 마스터 정방향 및 역방향 영역에 대해 PTR 동기화를 활성화해야 합니다.
- PTR 레코드는 요청하는 클라이언트의 이름이 PTR 레코드의 이름과 일치하는 경우에만 업데이트됩니다.
중요
IdM 웹 UI를 통해 또는 IdM 명령줄 도구를 통해 수행된 변경 사항 또는 LDAP 항목을 직접 편집하여 PTR 레코드를 업데이트 하지 않습니다. DNS 서비스 자체의 변경 사항만 PTR 레코드 동기화를 트리거합니다.
주의
클라이언트 시스템은 자체 IP 주소를 업데이트할 수 있습니다. 즉, 손상된 클라이언트를 사용하여 IP 주소를 변경하여 PTR 레코드를 덮어쓸 수 있습니다.
33.5.2.1. 웹 UI에서 PTR 레코드 동기화 구성
링크 복사링크가 클립보드에 복사되었습니다!
PTR 레코드는 PTR 레코드가 있는 역방향 DNS 영역이 아닌 A 또는 AAAA 레코드가 저장된 영역에서 PTR 레코드 동기화를 구성해야 합니다.
- Network Services 탭을 열고 DNS Zones 섹션 다음에 DNS를 선택합니다.
그림 33.20. DNS 영역 관리
- 모든 영역 목록에서 영역 이름을 클릭하여 DNS 영역 페이지를 엽니다.
그림 33.21. DNS 영역 편집
- 설정을 클릭하여 DNS 영역 설정 탭으로 전환합니다.
그림 33.22. 마스터 영역 편집 페이지의 Settings(설정) 탭
- Allow PTR sync 확인란을 선택합니다.
그림 33.23. PTR 동기화 활성화
- 페이지 상단에서 을 클릭하여 새 구성을 확인합니다.
33.5.2.2. 명령줄을 사용하여 PTR 레코드 동기화 구성
링크 복사링크가 클립보드에 복사되었습니다!
특정 영역에 대해 PTR 레코드 동기화를 구성하거나 명령줄을 사용하는 모든 영역에 대해 전역적으로 구성할 수 있습니다.
33.5.2.2.1. 특정 영역에 대한 PTR 레코드 동기화 구성
링크 복사링크가 클립보드에 복사되었습니다!
예를 들어
idm.example.com 전달 영역에 대한 PTR 레코드 동기화를 구성하려면 다음을 수행합니다.
- 정방향 영역에 대한 동적 업데이트를 활성화합니다.
ipa dnszone-mod idm.example.com. --dynamic-update=TRUE
# ipa dnszone-mod idm.example.com. --dynamic-update=TRUECopy to Clipboard Copied! Toggle word wrap Toggle overflow - forward 영역의 업데이트 정책을 구성합니다.
ipa dnszone-mod idm.example.com. --update-policy='grant IDM.EXAMPLE.COM krb5-self * A; grant IDM.EXAMPLE.COM krb5-self * AAAA; grant IDM.EXAMPLE.COM krb5-self * SSHFP;'
# ipa dnszone-mod idm.example.com. --update-policy='grant IDM.EXAMPLE.COM krb5-self * A; grant IDM.EXAMPLE.COM krb5-self * AAAA; grant IDM.EXAMPLE.COM krb5-self * SSHFP;'Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 전달 영역에 대한 PTR 레코드 동기화를 활성화합니다.
ipa dnszone-mod idm.example.com. --allow-sync-ptr=True
# ipa dnszone-mod idm.example.com. --allow-sync-ptr=TrueCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 역방향 영역에 대한 동적 업데이트를 활성화합니다.
ipa dnszone-mod 2.0.192.in-addr.arpa. --dynamic-update=TRUE
# ipa dnszone-mod 2.0.192.in-addr.arpa. --dynamic-update=TRUECopy to Clipboard Copied! Toggle word wrap Toggle overflow
33.5.2.2.2. 모든 영역에 대해 전역적으로 PTR 레코드 동기화 구성
링크 복사링크가 클립보드에 복사되었습니다!
다음 절차 중 하나를 사용하여 IdM에서 관리하는 모든 영역에 대해 PTR 동기화를 활성화할 수 있습니다.
- 모든 서버의 모든 영역에 대해 동시에 PTR 동기화를 활성화하려면 다음을 수행합니다.
ipa dnsconfig-mod --allow-sync-ptr=true
# ipa dnsconfig-mod --allow-sync-ptr=trueCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 서버당 동기화를 활성화하려면 다음을 수행합니다.
/etc/named.conf파일의dyndb "/usr/lib64/bind/ldap.so"섹션에sync_ptr yes;설정을 추가합니다.dyndb "ipa" "/usr/lib64/bind/ldap.so" { ... sync_ptr yes; };dyndb "ipa" "/usr/lib64/bind/ldap.so" { ... sync_ptr yes; };Copy to Clipboard Copied! Toggle word wrap Toggle overflow - IdM을 다시 시작합니다.
ipactl restart
# ipactl restartCopy to Clipboard Copied! Toggle word wrap Toggle overflow - DNS 서비스가 설치된 각 IdM 서버에서 단계를 반복합니다.
33.5.3. DNS 동적 업데이트 정책 업데이트
링크 복사링크가 클립보드에 복사되었습니다!
IdM 서버에서 유지 관리하는 DNS 도메인을 RFC 3007에 따라 DNS 동적 업데이트를 수락할 수 있습니다.[4].
특정 클라이언트에서 수정할 수 있는 레코드를 결정하는 규칙은
/etc/named.conf 파일의 update-policy 문과 동일한 구문을 따릅니다. 동적 업데이트 정책에 대한 자세한 내용은 BIND 9 설명서 를 참조하십시오.
동적 DNS 업데이트가 DNS 영역에 대해 비활성화되어 있으면 동적 업데이트 정책 문을 반영하지 않고 모든 DNS 업데이트가 거부됩니다. 동적 DNS 업데이트 활성화에 대한 자세한 내용은 33.5.1절. “동적 DNS 업데이트 활성화” 을 참조하십시오.
웹 UI에서 DNS 업데이트 정책 업데이트
- Network Services 탭을 열고 DNS Zones 섹션 다음에 DNS를 선택합니다.
그림 33.24. DNS 영역 관리
- 모든 영역 목록에서 영역 이름을 클릭하여 DNS 영역 페이지를 엽니다.
그림 33.25. DNS 영역 편집
- 설정을 클릭하여 DNS 영역 설정 탭으로 전환합니다.
그림 33.26. 마스터 영역 편집 페이지의 Settings(설정) 탭
- BIND 업데이트 정책 텍스트 상자에 enmi-colon 구분 목록에 필요한 업데이트 정책을 설정합니다.
그림 33.27. DNS 업데이트 정책 설정
- DNS 영역 페이지 상단에 있는 을 클릭하여 새 구성을 확인합니다.
명령줄에서 DNS 업데이트 정책 업데이트
명령줄에서 DNS 업데이트 정책을 설정하려면
--update-policy 옵션을 사용하고 옵션 뒤의 문에 액세스 제어 규칙을 추가합니다. 예를 들어 다음과 같습니다.
ipa dnszone-mod zone.example.com --update-policy "grant EXAMPLE.COM krb5-self * A; grant EXAMPLE.COM krb5-self * AAAA; grant EXAMPLE.COM krb5-self * SSHFP;"
$ ipa dnszone-mod zone.example.com --update-policy "grant EXAMPLE.COM krb5-self * A; grant EXAMPLE.COM krb5-self * AAAA; grant EXAMPLE.COM krb5-self * SSHFP;"
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}