28장. Ansible 플레이북을 사용하여 IdM DNS 영역 관리

IdM(Identity Management) 관리자는 ansible-freeipa 패키지에서 사용할 수 있는 dnszone 모듈을 사용하여 IdM DNS 영역이 작동하는 방식을 관리할 수 있습니다.

사전 요구 사항

  • DNS 서비스가 IdM 서버에 설치되어 있습니다. 통합된 DNS로 IdM 서버를 설치하는 데 Red Hat Ansible Engine을 사용하는 방법에 대한 자세한 내용은 Ansible 플레이북을 사용하여 ID 관리 서버 설치를 참조하십시오.

28.1. 지원되는 DNS 영역 유형

IdM(Identity Management)은 기본전달 영역의 두 가지 유형의 DNS 영역을 지원합니다. DNS 전달 시나리오를 포함하여 이러한 두 가지 유형의 영역에 대해 설명합니다.

참고

이 가이드에서는 Microsoft Windows DNS에 사용되는 용어와 다른 영역 유형에 대해 BIND 용어를 사용합니다. BIND의 기본 영역은 Microsoft Windows DNS의 정방향 조회 영역역방향 조회 영역과 동일한 용도로 사용됩니다. BIND의 전달 영역은 Microsoft Windows DNS 의 조건부 전달자 와 동일한 용도로 사용됩니다.

기본 DNS 영역

기본 DNS 영역에는 권한 있는 DNS 데이터가 포함되어 있으며 동적 DNS 업데이트를 허용할 수 있습니다. 이 동작은 표준 BIND 구성의 유형 master 설정과 동일합니다. ipa dnszone-* 명령을 사용하여 기본 영역을 관리할 수 있습니다.

표준 DNS 규칙에 따라 모든 기본 영역에는 권한 시작 (SOA) 및 네임서버 (NS) 레코드가 포함되어야 합니다. IdM은 DNS 영역을 생성할 때 이러한 레코드를 자동으로 생성하지만 적절한 위임을 생성하려면 NS 레코드를 상위 영역에 수동으로 복사해야 합니다.

표준 BIND 동작에 따라 서버에 권한이 없는 이름에 대한 쿼리가 다른 DNS 서버로 전달됩니다. 이러한 DNS 서버는 전달자라고 하며 쿼리에 대해 권한이 없을 수도 있습니다.

예 28.1. DNS 전달 시나리오 예

IdM 서버에는 test.example. 기본 영역이 포함되어 있습니다. 이 영역에는 sub.test.example. 이름에 대한 NS 위임 레코드가 포함되어 있습니다. 또한 test.example. 영역은 sub.text.example 하위 영역에 대한 192.0.2.254 forwarder IP 주소로 구성됩니다.

존재하지 않는 이름을 쿼리하는 클라이언트는 NXDomain 응답을 수신하며, IdM 서버가 이 이름에 대해 권한이 있기 때문에 전달이 수행되지 않습니다.

반면, IdM 서버가 이 이름에 대해 권한이 없으므로 host1.sub.test.example. 이름에 대한 쿼리가 구성된 forwarder 192.0.2.254 로 전달됩니다.

DNS 영역 전달

IdM의 관점에서는 전달 DNS 영역에 권한 있는 데이터가 포함되어 있지 않습니다. 사실, 앞으로 "zone"은 일반적으로 다음 두 가지 정보만 포함합니다.

  • 도메인 이름
  • 도메인과 연결된 DNS 서버의 IP 주소

정의된 도메인에 속하는 이름에 대한 모든 쿼리는 지정된 IP 주소로 전달됩니다. 이 동작은 표준 BIND 구성의 type forward 설정과 동일합니다. ipa dnsforwardzone-* 명령을 사용하여 전달 영역을 관리할 수 있습니다.

전달 DNS 영역은 IdM-Active Directory (AD) 신뢰의 컨텍스트에서 특히 유용합니다. IdM DNS 서버에서 idm.example.com 영역에 대한 권한이 있고 AD DNS 서버에 ad.example.com 영역에 대한 권한이 있는 경우 ad.example.comidm.example.com 기본 영역의 DNS 전달 영역입니다. 즉, somehost.ad.example.com 의 IP 주소에 대한 쿼리가 IdM 클라이언트에서 제공되면 쿼리가 ad.example.com IdM DNS 전달 영역에 지정된 AD 도메인 컨트롤러로 전달됩니다.