红帽全球峰会7.2. 在 IdM Web UI 中配置 DNS 转发区域
您可以使用 IdM Web UI 向身份管理(IdM)服务器添加 DNS 转发区域。
使用 DNS 转发区域,您可以将对特定区域的 DNS 查询转发到不同的 DNS 服务器。例如,您可以将活动目录(AD)域的 DNS 查询转发到 AD DNS 服务器。
先决条件
- 使用具有管理员权限的用户帐户访问 IdM Web UI。
- 正确配置了 DNS 服务器。
流程
- 使用管理员权限登录到 IdM Web UI。
- 点 Network Services 选项卡。
- 点 DNS 标签页。
在下拉菜单中,点 DNS Forward Zones。
- 点击 Add 按钮。
- 在 Add DNS forward zone 对话框中,添加一个区名称。
- 在 Zone forwarders 项中点 Add 按钮。
- 在 Zone forwarders 字段中,添加您要为其创建转发区域的服务器的 IP 地址。
点击 Add 按钮。
正向区已添加到 DNS 设置中,您可以在 DNS Forward Zones 设置中进行验证。Web UI 会在以下弹出消息中告知已成功:DNS Forward Zone successfully added.
在配置中添加转发区域后,Web UI 可能会显示有关 DNSSEC 验证失败的警告。
DNSSEC(域名系统安全扩展)使用数字签名来保护 DNS 数据,使 DNS 免受攻击。在IdM 服务器中默认启用该服务。出现警告的原因是远程 DNS 服务器没有使用 DNSSEC。红帽建议您在远程 DNS 服务器上启用 DNSSEC。
如果您无法在远程服务器上启用 DNSSEC 验证,您可以在 IdM 服务器中禁用 DNSSEC :
-
打开 IdM 服务器上的
/etc/named/ipa-options-ext.conf文件。 添加以下 DNSSEC 参数:
dnssec-enable no; dnssec-validation no;
- 保存并关闭配置文件。
重启 DNS 服务:
# systemctl restart named-pkcs11
验证
将
nslookup命令与远程 DNS 服务器名称一起使用:$ nslookup ad.example.com Server: 192.168.122.2 Address: 192.168.122.2#53 No-authoritative answer: Name: ad.example.com Address: 192.168.122.3
如果您正确配置了域转发,则会显示远程 DNS 服务器的 IP 地址。
