Menu Close

Red Hat Training

A Red Hat training course is available for RHEL 8

32.6.3. CLI での DNS 正引きゾーンの設定

本セクションでは、コマンドラインインターフェース(CLI)を使用して、新しい DNS 正引きゾーンを Identity Management (IdM) サーバーに追加する方法を説明します。

DNS 正引きゾーンを使用すると、特定のゾーンの DNS クエリーを別の DNS サーバーに転送できます。たとえば、Active Directory (AD)ドメインの DNS クエリーを AD DNS サーバーに転送することができます。

前提条件

  • 管理者権限のあるユーザーアカウントを使用して CLI にアクセスする。
  • DNS サーバーを正しく設定している。

手順

  • AD ドメインの DNS 正引きゾーンを作成し、--forwarder オプションを使用してリモート DNS サーバーの IP アドレスを指定します。

    # ipa dnsforwardzone-add ad.example.com --forwarder=192.168.122.3 --forward-policy=first
注記

設定に新しい正引きゾーンを追加した後に、/var/log/messages システムログに DNSSEC 検証の失敗に関する警告が表示される場合があります。

named-pkcs11[2572]: no valid DS resolving 'host.ad.example.com/A/IN':  192.168.100.25#53

DNSSEC (Domain Name System Security Extensions) は、DNS データをデジタル署名で保護し、攻撃から DNS を保護します。このサービスは、IdM サーバーでデフォルトで有効になっています。リモート DNS サーバーが DNSSEC を使用していないため、警告が表示されます。Red Hat は、リモート DNS サーバーで DNSSEC を有効にすることを推奨します。

リモートサーバーで DNSSEC 検証を有効にできない場合は、IdM サーバーで DNSSEC を無効にすることができます。

  1. 編集する適切な設定ファイルを選択します。

    • IdM サーバーが RHEL 8.0 または RHEL 8.1 を使用している場合は、/etc/named.conf ファイルを開きます。
    • IdM サーバーが RHEL 8.2 以降を使用している場合は、/etc/named/ipa-options-ext.conf ファイルを開きます。
  2. 以下の DNSSEC パラメーターを追加します。

    dnssec-enable no;
    dnssec-validation no;
  3. 設定ファイルを保存して閉じます。
  4. DNS サービスを再起動します。

    # systemctl restart named-pkcs11

検証手順

  • nslookup コマンドを、リモート DNS サーバーの名前で使用します。

    $ nslookup ad.example.com
    Server:        192.168.122.2
    Address:       192.168.122.2#53
    
    No-authoritative answer:
    Name:          ad.example.com
    Address:       192.168.122.3

    ドメイン転送が正しく設定されている場合、nslookup 要求はリモート DNS サーバーの IP アドレスを表示します。