第 33 章 管理 DNS


无需集成 DNS 服务即可安装身份管理服务器,以便其使用外部 DNS 服务或配置 DNS。详情请查看 第 2.3 节 “安装 IdM 服务器:简介”第 2.3.1 节 “确定使用集成 DNS”
如果在域中配置 DNS 服务,IdM 为管理员提供了极大的灵活性和 DNS 设置控制能力。例如,可以使用原生 IdM 工具管理域的 DNS 条目,如主机条目、位置或记录,客户端也可以动态更新自己的 DNS 记录。
BIND 版本 9.9 版大多数文档资料和教程也适用于 IdM DNS,因为大多数配置选项在 BIND 和 IdM 中的工作方式相同。本章主要侧重于 BIND 和 IdM 之间的显著差异。

33.1. 身份管理中的 BIND

IdM 将 BIND DNS 服务器版本 9.9 与用于数据复制的 LDAP 数据库以及使用 GSS-TSIG 协议的 DNS 更新签名的 Kerberos 集成 [3].这可以使用 IdM 工具进行方便的 DNS 管理,同时提高弹性,因为 IdM 集成的 DNS 服务器支持多主控机操作,允许所有 IdM 集成的 DNS 服务器接受来自客户端的 DNS 更新,且无单点故障。
默认 IdM DNS 配置适用于无法从公共互联网访问的内部网络。如果可以从公共互联网访问 IdM DNS 服务器,红帽建议应用适用于 BIND 服务的常规强化功能,如《 Red Hat Enterprise Linux 网络指南》 中所述。
注意
无法在 chroot 环境中运行 BIND 与 IdM 集成。
Red Hat Enterprise Linux 中的 DNS ( 域名系统)协议的 BIND (Berkeley 互联网 名称域)实现包括 命名的 DNS 服务器。named-pkcs11 是构建了对 PKCS the 加密标准的原生支持的 BIND DNS 服务器版本。
与 IdM 集成的 BIND 使用 bind-dyndb-ldap 插件与目录服务器通信。IdM 为 BIND 服务在 /etc/named.conf 文件中创建一个 dynamic-db 配置部分,它为 BIND named-pkcs11 服务配置 bind-dyndb-ldap 插件。
标准 BIND 和 IdM DNS 之间最显著的区别是 IdM 将所有 DNS 信息存储为 LDAP 条目。每个域名都以 LDAP 条目表示,每个资源记录存储为 LDAP 条目的 LDAP 属性。例如,以下 client1.example.com. 域名包含三个 A 记录和一个 AAAA 记录:
dn: idnsname=client1,idnsname=example.com.,cn=dns,dc=idm,dc=example,dc=com
objectclass: top
objectclass: idnsrecord
idnsname: client1
Arecord: 192.0.2.1
Arecord: 192.0.2.2
Arecord: 192.0.2.3
AAAArecord: 2001:DB8::ABCD
重要
要编辑 DNS 数据或 BIND 配置,请始终使用本章中描述的 IdM 工具。


[3] 有关 GSS-TSIG 的更多信息,请参阅 RFC 3545
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.