7.3. CLI에서 DNS 전달 영역 구성
CLI(명령줄 인터페이스)를 사용하여 IdM(Identity Management) 서버에 새 DNS 전달 영역을 추가하려면 다음 절차를 따르십시오.
DNS 전달 영역을 사용하면 특정 영역의 DNS 쿼리를 다른 DNS 서버로 전달할 수 있습니다. 예를 들어 AD(Active Directory) 도메인에 대한 DNS 쿼리를 AD DNS 서버로 전달할 수 있습니다.
사전 요구 사항
- 관리자 권한이 있는 사용자 계정으로 CLI에 액세스합니다.
- DNS 서버가 올바르게 구성되어 있습니다.
절차
AD 도메인의 DNS 전달 영역을 생성하고
--forwarder옵션을 사용하여 원격 DNS 서버의 IP 주소를 지정합니다.# ipa dnsforwardzone-add ad.example.com --forwarder=192.168.122.3 --forward-policy=first
구성에 새 전달 영역을 추가한 후 /var/log/messages 시스템 로그에서 DNSSEC 검증 실패에 대한 경고가 표시될 수 있습니다.
named-pkcs11[2572]: no valid DS resolving 'host.ad.example.com/A/IN': 192.168.100.25#53
DNSSEC (Domain Name System Security Extensions)는 공격으로부터 DNS를 보호하기 위해 디지털 서명으로 DNS 데이터를 보호합니다. 이 서비스는 IdM 서버에서 기본적으로 활성화되어 있습니다. 원격 DNS 서버에서 DNSSEC를 사용하지 않기 때문에 경고가 표시됩니다. 원격 DNS 서버에서 DNSSEC를 활성화하는 것이 좋습니다.
원격 서버에서 DNSSEC 검증을 활성화할 수 없는 경우 IdM 서버에서 DNSSEC를 비활성화할 수 있습니다.
-
/etc/named/ipa-options-ext.conf파일을 엽니다. 다음 DNSSEC 매개변수를 추가합니다.
dnssec-enable no; dnssec-validation no;
- 구성 파일을 저장한 후 닫습니다.
DNS 서비스를 다시 시작하십시오.
# systemctl restart named-pkcs11
검증
원격 DNS 서버의 이름과 함께
nslookup명령을 사용합니다.$ nslookup ad.example.com Server: 192.168.122.2 Address: 192.168.122.2#53 No-authoritative answer: Name: ad.example.com Address: 192.168.122.3
도메인 전달이 올바르게 구성된 경우
nslookup요청에 원격 DNS 서버의 IP 주소가 표시됩니다.
