Capítulo 63. Utilização de playbooks possíveis para gerenciar zonas DNS IdM
Como administrador de Gerenciamento de Identidade (IdM), você pode gerenciar como funcionam as zonas DNS do IdM usando o módulo dnszone
disponível no pacote ansible-freeipa
. O capítulo descreve os seguintes tópicos e procedimentos:
- Que tipos de zona DNS são suportados na IdM
- Quais atributos DNS você pode configurar no IdM
- Como usar um caderno de exercícios possível para criar uma zona primária no DNS do IdM
- Como usar um caderno de exercícios para garantir a presença de uma zona DNS IdM primária com múltiplas variáveis
- Como usar um livro de jogo possível para garantir a presença de uma zona para pesquisa DNS reversa quando um endereço IP é dado
Pré-requisitos
- O serviço DNS é instalado no servidor da IdM. Para mais informações sobre como usar o Red Hat Ansible Engine para instalar um servidor IdM com DNS integrado, consulte Instalação de um servidor de Gerenciamento de Identidade usando um livro de exercícios Ansible playbook.
63.1. Tipos de zonas DNS suportadas
O Gerenciamento de Identidade (IdM) suporta dois tipos de zonas DNS: primary e forward zonas. Esta seção descreve esses dois tipos de zonas e inclui um cenário de exemplo para o encaminhamento DNS.
Este guia utiliza a terminologia BIND para tipos de zona que é diferente da terminologia usada para o DNS do Microsoft Windows. As zonas primárias em BIND servem ao mesmo propósito que forward lookup zones e reverse lookup zones no DNS do Microsoft Windows. As zonas forward em BIND servem ao mesmo propósito que conditional forwarders no DNS do Microsoft Windows.
- Zonas DNS primárias
As zonas DNS primárias contêm dados DNS confiáveis e podem aceitar atualizações DNS dinâmicas. Este comportamento é equivalente à configuração
type master
na configuração padrão BIND. Você pode gerenciar as zonas primárias usando os comandosipa dnszone-*
.Em conformidade com as regras DNS padrão, cada zona primária deve conter registros
start of authority
(SOA) enameserver
(NS). IdM gera esses registros automaticamente quando a zona DNS é criada, mas você deve copiar os registros NS manualmente para a zona mãe para criar a delegação adequada.De acordo com o comportamento padrão do BIND, as consultas de nomes para os quais o servidor não é autoritário são encaminhadas para outros servidores DNS. Esses servidores DNS, os chamados forwarders, podem ou não ter autoridade para a consulta.
Exemplo 63.1. Exemplo de cenário para o encaminhamento DNS
O servidor IdM contém a zona principal
test.example.
. Esta zona contém um registro de delegação NS para o nomesub.test.example.
. Além disso, a zonatest.example.
é configurada com o endereço IP do reencaminhador192.0.2.254
para a subzonasub.text.example
.Um cliente que pergunta o nome
nonexistent.test.example.
recebe a respostaNXDomain
, e nenhum encaminhamento ocorre porque o servidor da IdM é autoritário para este nome.Por outro lado, a consulta do nome
host1.sub.test.example.
é encaminhada ao encaminhador configurado192.0.2.254
porque o servidor IdM não é autoritário para este nome.- Encaminhar zonas DNS
Do ponto de vista da IdM, as zonas DNS de encaminhamento não contêm quaisquer dados confiáveis. Na verdade, uma "zona" forward normalmente contém apenas duas informações:
- Um nome de domínio
- O endereço IP de um servidor DNS associado ao domínio
Todas as consultas para os nomes pertencentes ao domínio definido são encaminhadas para o endereço IP especificado. Este comportamento é equivalente à configuração type forward
na configuração padrão BIND. Você pode gerenciar as zonas de encaminhamento usando os comandos ipa dnsforwardzone-*
.
As zonas de DNS para frente são especialmente úteis no contexto dos trusts do IdM-Active Directory (AD). Se o servidor DNS da IdM é autoritário para a zona idm.example.com e o servidor DNS da AD é autoritário para a zona ad.example.com, então ad.example.com é uma zona de encaminhamento DNS para a zona primária idm.example.com. Isso significa que quando uma consulta vem de um cliente IdM para o endereço IP de somehost.ad.example.com, a consulta é encaminhada para um controlador de domínio AD especificado na zona de encaminhamento DNS de ad.example.com IdM.