Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

第 28 章 使用 Ansible playbook 来管理 IdM DNS 区域

作为身份管理(IdM)管理员,您可以使用 ansible-freeipa 软件包中的 dnszone 模块来管理 IdM DNS 区域的工作方式。

先决条件

28.1. 支持的 DNS 区类型

本节论述了 Identity Management (IdM)支持( primaryforward 区域)的两种 DNS 区域类型,并包括 DNS 转发的示例场景。

注意

本节对区域类型使用 BIND 术语,它与用于 Microsoft Windows DNS 的术语不同。BIND 服务器中的 Primary zones 与 Microsoft Windows DNS 中的 forward lookup zonesreverse lookup zones 作用相同。BIND 中的转发区域的作用与 Microsoft Windows DNS 中的条件 转发器相同。

主 DNS 区域

主 DNS 区域包含权威 DNS 数据,并且可以接受动态 DNS 更新。此行为等同于标准 BIND 配置中的 类型 master 设置。您可以使用 ipa dnszone fluentd 命令管理主区。

在遵守标准 DNS 规则时,每个主区必须包含 start of authority(SOA)和 nameserver (NS)记录。在创建 DNS 区域时,IdM 会自动生成这些记录,但您必须手动将 NS 记录复制到父区域,以创建正确委托。

根据标准 BIND 行为,查询服务器不具有权威的名称将转发到其他 DNS 服务器。这些 DNS 服务器(也称为转发器)可能也可能不是查询的权威。

例 28.1. DNS 转发的示例

IdM 服务器包含 test.example. 主区域。此区域包含 sub.test.example. 名称的 NS 委派记录。此外,使用 sub.text.example 子区域的 192.0.2.254 转发器 IP 地址配置了 test.example. 区域。

查询名称 不存在.test.example. 的客户端会收到 NXDomain 回答,并且不会发生转发,因为 IdM 服务器对此名称具有权威。

另一方面,查询 host1.sub.test.example. name 会转发到配置的转发器 192.0.2.254,因为 IdM 服务器对此名称没有权威。

转发 DNS 区域

从 IdM 的角度来看,转发 DNS 区域不包含任何权威数据。事实上,正向"区"通常仅包含两段信息:

  • 域名
  • 与域关联的 DNS 服务器的 IP 地址

所有对属于定义的域的名称的查询都转发到指定的 IP 地址。此行为等同于标准 BIND 配置中的 type forward 设置。您可以使用 ipa dnsforwardzone fluentd 命令管理转发区。

转发 DNS 区域在 IdM-Active Directory(AD)信任的上下文中特别有用。如果 IdM DNS 服务器对 idm.example.com 区域具有权威,并且 AD DNS 服务器对 ad.example.com 区域具有权威,则 ad.example.comidm.example.com 主区的 DNS 转发区域。这意味着,当查询来自 IdM 客户端以获取 somehost.ad.example.com 的 IP 地址时,IdM DNS 服务器将查询转发到 ad.example.com IdM DNS 转发区域中指定的 AD 域控制器。

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat, Inc.