Capítulo 62. Gerenciando zonas DNS no IdM
Como administrador de Gerenciamento de Identidade (IdM), você pode gerenciar como funcionam as zonas DNS do IdM. O capítulo descreve os seguintes tópicos e procedimentos:
Pré-requisitos
O serviço DNS é instalado no servidor da IdM. Para mais informações sobre como instalar um servidor IdM com DNS integrado, veja um dos links a seguir:
62.1. Tipos de zonas DNS suportadas
O Gerenciamento de Identidade (IdM) suporta dois tipos de zonas DNS: primary e forward zonas. Esta seção descreve esses dois tipos de zonas e inclui um cenário de exemplo para o encaminhamento DNS.
Este guia utiliza a terminologia BIND para tipos de zona que é diferente da terminologia usada para o DNS do Microsoft Windows. As zonas primárias em BIND servem ao mesmo propósito que forward lookup zones e reverse lookup zones no DNS do Microsoft Windows. As zonas forward em BIND servem ao mesmo propósito que conditional forwarders no DNS do Microsoft Windows.
- Zonas DNS primárias
As zonas DNS primárias contêm dados DNS confiáveis e podem aceitar atualizações DNS dinâmicas. Este comportamento é equivalente à configuração
type master
na configuração padrão BIND. Você pode gerenciar as zonas primárias usando os comandosipa dnszone-*
.Em conformidade com as regras DNS padrão, cada zona primária deve conter registros
start of authority
(SOA) enameserver
(NS). IdM gera esses registros automaticamente quando a zona DNS é criada, mas você deve copiar os registros NS manualmente para a zona mãe para criar a delegação adequada.De acordo com o comportamento padrão do BIND, as consultas de nomes para os quais o servidor não é autoritário são encaminhadas para outros servidores DNS. Esses servidores DNS, os chamados forwarders, podem ou não ter autoridade para a consulta.
Exemplo 62.1. Exemplo de cenário para o encaminhamento DNS
O servidor IdM contém a zona principal
test.example.
. Esta zona contém um registro de delegação NS para o nomesub.test.example.
. Além disso, a zonatest.example.
é configurada com o endereço IP do reencaminhador192.0.2.254
para a subzonasub.text.example
.Um cliente que pergunta o nome
nonexistent.test.example.
recebe a respostaNXDomain
, e nenhum encaminhamento ocorre porque o servidor da IdM é autoritário para este nome.Por outro lado, a consulta do nome
host1.sub.test.example.
é encaminhada ao encaminhador configurado192.0.2.254
porque o servidor IdM não é autoritário para este nome.- Encaminhar zonas DNS
Do ponto de vista da IdM, as zonas DNS de encaminhamento não contêm quaisquer dados confiáveis. Na verdade, uma "zona" forward normalmente contém apenas duas informações:
- Um nome de domínio
- O endereço IP de um servidor DNS associado ao domínio
Todas as consultas para os nomes pertencentes ao domínio definido são encaminhadas para o endereço IP especificado. Este comportamento é equivalente à configuração type forward
na configuração padrão BIND. Você pode gerenciar as zonas de encaminhamento usando os comandos ipa dnsforwardzone-*
.
As zonas de DNS para frente são especialmente úteis no contexto dos trusts do IdM-Active Directory (AD). Se o servidor DNS da IdM é autoritário para a zona idm.example.com e o servidor DNS da AD é autoritário para a zona ad.example.com, então ad.example.com é uma zona de encaminhamento DNS para a zona primária idm.example.com. Isso significa que quando uma consulta vem de um cliente IdM para o endereço IP de somehost.ad.example.com, a consulta é encaminhada para um controlador de domínio AD especificado na zona de encaminhamento DNS de ad.example.com IdM.