第 29 章 在 IdM 中使用 DoT 保护 DNS

使用 TLS (DoT)的 DNS 加密 DNS (eDNS)加密 IdM DNS 客户端和服务器之间的所有 DNS 查询和响应。IdM 将 unbound 服务配置为客户端上的本地缓存解析器，并使用 BIND 服务来接收服务器上的 DoT 请求。

默认情况下，IdM 使用 relaxed DNS 策略，如果 DoT 不可用，它允许回退到未加密的 DNS。使用 放松 策略时，IdM 客户端和副本会在安装过程中自动检测支持 DoT 的 DNS 服务器。

对于仅限加密的通信，您可以配置 --dns-policy 强制 选项。此设置严格要求 DoT 进行所有 DNS 解析，并拒绝任何未加密的请求。在安装前，您必须手动配置客户端和服务器系统来信任 IdM 服务器的 DoT 证书，并使用它进行 eDNS 解析。

IdM 提供可选集成的 DNS 服务器。当您使用集成的 DNS 服务器时，IdM 会在修改拓扑时自动管理 SRV 和其他服务记录。如果您需要 DNS 视图等高级功能，您可以在外部 DNS 服务器上手动管理 DNS 记录。集成的 IdM DNS 不是一个通用的 DNS 解决方案。

当您为 IdM 服务器、副本和客户端设置 eDNS 时，您可以使用 IdM 证书颁发机构(CA)服务进行证书管理，或者提供自己的证书。如果没有提供证书，IdM CA 会自动为 DNS 服务生成并分配 TLS 证书。