33장. DNS 관리
외부 DNS 서비스를 사용하거나 DNS를 구성한 상태로 ID 관리 서버를 통합 DNS 서비스 없이 설치할 수 있습니다. 자세한 내용은 2.3절. “IdM 서버 설치: 소개” 및 2.3.1절. “통합 DNS 사용 여부 결정” 을 참조하십시오.
도메인 내에 DNS 서비스가 구성된 경우 IdM은 관리자에게 상당한 양의 유연성을 제공하고 DNS 설정을 제어합니다. 예를 들어 호스트 항목, 위치 또는 레코드와 같은 도메인의 DNS 항목은 기본 IdM 도구를 사용하여 관리할 수 있으며 클라이언트는 자체 DNS 레코드를 동적으로 업데이트할 수 있습니다.
BIND 버전 9.9에 사용할 수 있는 대부분의 문서 자료와 자습서도 IdM DNS에 적용할 수 있습니다. 대부분의 구성 옵션은 BIND 및 IdM에서 동일한 방식으로 작동하기 때문입니다. 이 장에서는 대부분 BIND와 IdM의 주요 차이점에 중점을 둡니다.
33.1. Identity Management의 BIND
IdM은 BIND DNS 서버 버전 9.9와 데이터 복제에 사용되는 LDAP 데이터베이스와 GSS-TSIG 프로토콜을 사용하여 DNS 업데이트 서명을 위해 Kerberos와 통합 [3]. IdM 툴을 사용하여 편리하게 DNS 관리를 가능하게 하고, IdM 통합 DNS 서버가 다중 마스터 작업을 지원하므로, 동시에 모든 IdM 통합 DNS 서버가 단일 장애 지점 없이 클라이언트의 DNS 업데이트를 허용할 수 있기 때문에 복원력이 향상됩니다.
기본 IdM DNS 구성은 공용 인터넷에서 액세스할 수 없는 내부 네트워크에 적합합니다. 공용 인터넷에서 IdM DNS 서버에 액세스할 수 있는 경우 Red Hat은 Red Hat Enterprise Linux 네트워킹 가이드에 설명된 BIND 서비스에 일반적인 강화를 적용하는 것이 좋습니다.
참고
chroot
환경 내에서 IdM과 통합된 BIND를 실행할 수 없습니다.
Red Hat Enterprise Linux의 DNS(Domain Name System) 프로토콜의
BIND(Berkeley Internet Name Domain)
구현에는 이름이 지정된 DNS 서버가 포함되어 있습니다. named
-pkcs11
은 PKCS#11 암호화 표준을 기본적으로 지원하는 BIND
DNS 서버 버전입니다.
IdM과 통합된 BIND는
bind-dyndb-ldap
플러그인을 사용하여 Directory 서버와 통신합니다. IdM은 /etc/named.conf
파일에 BIND 서비스에 대해 dynamic-db
구성 섹션을 생성합니다. 이 섹션은 BIND named-pkcs11
서비스에 대해 bind-dyndb-ldap
플러그인을 구성합니다.
표준 BIND와 IdM DNS의 가장 중요한 차이점은 IdM이 모든 DNS 정보를 LDAP 항목으로 저장하는 것입니다. 모든 도메인 이름은 LDAP 항목으로 표시되며 모든 리소스 레코드는 LDAP 항목의 LDAP 속성으로 저장됩니다. 예를 들어 다음
client1.example.com.
도메인 이름에 세 개의 A 레코드와 하나의 AAAA 레코드가 포함되어 있습니다.
dn: idnsname=client1,idnsname=example.com.,cn=dns,dc=idm,dc=example,dc=com objectclass: top objectclass: idnsrecord idnsname: client1 Arecord: 192.0.2.1 Arecord: 192.0.2.2 Arecord: 192.0.2.3 AAAArecord: 2001:DB8::ABCD
중요
DNS 데이터 또는 BIND 구성을 편집하려면 항상 이 장에서 설명하는 IdM 도구를 사용합니다.