主页
产品
Red Hat Enterprise Linux
10
Installing Identity Management
28.11. 使用 Ansible 安装配置为使用 eDNS 的 IdM 副本

28.11. 使用 Ansible 安装配置为使用 eDNS 的 IdM 副本

使用 Ansible playbook 安装为 DNS-over-TLS (DoT)配置集成 DNS 服务的身份管理(IdM)副本。您可以通过将一致的 eDNS 和 DoT 策略应用到副本来自动部署安全 DNS 基础架构并确保查询隐私。

当您安装带有集成 DNS 服务的副本时，副本使用与 IdM 服务器相同的配置。它运行 BIND 来处理传入的 DNS 查询，包括加密查询，并对传出的加密 DNS 流量使用 unbound 。

当您安装没有集成 DNS 服务的副本时，副本会继承客户端的配置。它使用带有 DoT 转发器的 unbound 将加密的 DNS 查询发送到 IdM DNS 服务器。如需更多信息，请参阅系统中的 /usr/share/ansible/collections/ansible_collections/freeipa/ansible_freeipa/README-replica.md。

先决条件

您在使用 Ansible 版本 2.15 或更高版本。
您已安装了 ansible-freeipa 软件包。
示例假定 secret.yml Ansible vault 存储了 ipaadmin_password，并且您可以访问存储保护 secret.yml 文件的密码的文件。

流程

在控制器上，创建一个名为 install-replica-edns.yml 的 playbook，其中包含一个任务来安装启用了 eDNS 的 IdM 副本：
```
---
- name: Playbook to configure an IdM replica with eDNS enabled
  hosts: ipareplicas
  become: true
  vars_files:
  - /home/user_name/MyPlaybooks/secret.yml
  vars:
    ipaadmin_password: "{{ ipaadmin_password }}"
    ipareplica_domain=idm.example.com
    ipareplica_dns_over_tls=true

  roles:
  - role: freeipa.ansible_freeipa.ipareplica
```
如果在副本通信的 IdM 服务器上关闭 DNSSEC 验证，您还必须通过在 playbook 的 vars 部分中设置 ipaclient_no_dnssec_validation = true 在副本中禁用它。否则，对于副本，TLS 上的 DNS 无法正常工作。
要在 IdM 副本上安装集成的 IdM DNS，请将 ipareplica_setup_dns=true 和 ipareplica_dot_forwarders= "<server_ip> All<dns_server_hostname& gt;" 添加到变量列表中。

运行 Ansible playbook:

$ ansible-playbook --vault-password-file=password_file -v -i ~/MyPlaybooks/inventory ~/MyPlaybooks/install-replica-edns.yml

验证

在 IdM 服务器上，列出拓扑中的所有副本：
```
# ipa-replica-manage list-ruv
```

28.11. 使用 Ansible 安装配置为使用 eDNS 的 IdM 副本

学习

尝试、购买和销售

社区

關於紅帽

让开源更具包容性

关于红帽文档

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links