Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第33章 DNS の管理

Identity Management サーバーは、統合 DNS サービスなしでインストールできるため、外部 DNS サービスまたは DNS が設定された状態で使用できます。詳細は 「IdM サーバーのインストール: 概要」 および 「統合 DNS を使用するかどうかの決定」 を参照してください。
DNS サービスがドメイン内で設定されている場合、IdM は管理者に対して幅広い DNS 設定の制御や柔軟性を提供します。たとえば、ホストのエントリー、場所、レコードなどのドメインの DNS エントリーは、ネイティブの IdM ツールを使用して管理でき、クライアントは独自の DNS レコードを動的に更新できます。
BIND バージョン 9.9 で利用可能なほとんどのドキュメントとチュートリアルは、IdM DNS にも適用されます。これは、ほとんどの設定オプションが BIND と IdM で同じように機能するためです。本章では、主に BIND と IdM との間の顕著な相違点に着目します。

33.1. Identity Management での BIND

IdM は、BIND DNS サーバーバージョン 9.9 と、データレプリケーションに使用される LDAP データベース、および GSS-TSIG プロトコルを使用した DNS 更新署名の Kerberos を統合します。 [3].これにより、IdM 統合 DNS サーバーがマルチマスター操作に対応し、単一障害点を持たずにすべての IdM 統合 DNS サーバーがクライアントからの DNS 更新を受け入れられるようになるため、IdM ツールを使用して DNS 管理が便利になり、耐障害性が向上します。
デフォルトの IdM DNS 設定は、パブリックインターネットからアクセスできない、内部ネットワークに適しています。IdM DNS サーバーがパブリックインターネットからアクセスできる場合は、Red Hat Enterprise Linux ネットワークガイド に記載されているように、BIND サービスに該当する通常のハードニングを適用することが推奨されます。
注記
chroot 内では、IdM と統合されている BIND を実行できません。
Red Hat Enterprise Linux の DNS (Domain Name System) プロトコルの BIND (Berkeley Internet Name Domain) 実装には、名前付き の DNS サーバーが含まれています。named-pkcs11 は、PKCS#11 暗号化標準に対するネイティブサポートありで構築された BIND DNS サーバーのバージョンです。
IdM と統合された BIND は、bind-dyndb-ldap プラグインを使用してディレクトリーサーバーと通信します。IdM は、BIND サービスの /etc/named.conf ファイルに dynamic-db 設定セクションを作成します。これにより、BIND の named-pkcs11 サービスの bind-dyndb-ldap プラグインが設定されます。
標準の BIND と IdM DNS の最も注目すべき違いは、IdM がすべての DNS 情報を LDAP エントリーとして保存することです。すべてのドメイン名は LDAP エントリーとして表され、すべてのリソースレコードは LDAP エントリーの LDAP 属性として保存されます。たとえば、次のclient1.example.com.ドメインネームには、A レコードが 3 つ、AAAA レコードが 1 つ含まれます。
dn: idnsname=client1,idnsname=example.com.,cn=dns,dc=idm,dc=example,dc=com
objectclass: top
objectclass: idnsrecord
idnsname: client1
Arecord: 192.0.2.1
Arecord: 192.0.2.2
Arecord: 192.0.2.3
AAAArecord: 2001:DB8::ABCD
重要
DNS データまたは BIND 設定を編集するには、常に、本章で説明されている IdM ツールを使用します。


[3] GSS-TSIG の詳細は RFC 3545 を参照してください。