Red Hat Training

A Red Hat training course is available for RHEL 8

Capítulo 62. Gerenciando zonas DNS no IdM

Como administrador de Gerenciamento de Identidade (IdM), você pode gerenciar como funcionam as zonas DNS do IdM. O capítulo descreve os seguintes tópicos e procedimentos:

Pré-requisitos

62.1. Tipos de zonas DNS suportadas

O Gerenciamento de Identidade (IdM) suporta dois tipos de zonas DNS: primary e forward zonas. Esta seção descreve esses dois tipos de zonas e inclui um cenário de exemplo para o encaminhamento DNS.

Nota

Este guia utiliza a terminologia BIND para tipos de zona que é diferente da terminologia usada para o DNS do Microsoft Windows. As zonas primárias em BIND servem ao mesmo propósito que forward lookup zones e reverse lookup zones no DNS do Microsoft Windows. As zonas forward em BIND servem ao mesmo propósito que conditional forwarders no DNS do Microsoft Windows.

Zonas DNS primárias

As zonas DNS primárias contêm dados DNS confiáveis e podem aceitar atualizações DNS dinâmicas. Este comportamento é equivalente à configuração type master na configuração padrão BIND. Você pode gerenciar as zonas primárias usando os comandos ipa dnszone-*.

Em conformidade com as regras DNS padrão, cada zona primária deve conter registros start of authority (SOA) e nameserver (NS). IdM gera esses registros automaticamente quando a zona DNS é criada, mas você deve copiar os registros NS manualmente para a zona mãe para criar a delegação adequada.

De acordo com o comportamento padrão do BIND, as consultas de nomes para os quais o servidor não é autoritário são encaminhadas para outros servidores DNS. Esses servidores DNS, os chamados forwarders, podem ou não ter autoridade para a consulta.

Exemplo 62.1. Exemplo de cenário para o encaminhamento DNS

O servidor IdM contém a zona principal test.example.. Esta zona contém um registro de delegação NS para o nome sub.test.example.. Além disso, a zona test.example. é configurada com o endereço IP do reencaminhador 192.0.2.254 para a subzona sub.text.example.

Um cliente que pergunta o nome nonexistent.test.example. recebe a resposta NXDomain, e nenhum encaminhamento ocorre porque o servidor da IdM é autoritário para este nome.

Por outro lado, a consulta do nome host1.sub.test.example. é encaminhada ao encaminhador configurado 192.0.2.254 porque o servidor IdM não é autoritário para este nome.

Encaminhar zonas DNS

Do ponto de vista da IdM, as zonas DNS de encaminhamento não contêm quaisquer dados confiáveis. Na verdade, uma "zona" forward normalmente contém apenas duas informações:

  • Um nome de domínio
  • O endereço IP de um servidor DNS associado ao domínio

Todas as consultas para os nomes pertencentes ao domínio definido são encaminhadas para o endereço IP especificado. Este comportamento é equivalente à configuração type forward na configuração padrão BIND. Você pode gerenciar as zonas de encaminhamento usando os comandos ipa dnsforwardzone-*.

As zonas de DNS para frente são especialmente úteis no contexto dos trusts do IdM-Active Directory (AD). Se o servidor DNS da IdM é autoritário para a zona idm.example.com e o servidor DNS da AD é autoritário para a zona ad.example.com, então ad.example.com é uma zona de encaminhamento DNS para a zona primária idm.example.com. Isso significa que quando uma consulta vem de um cliente IdM para o endereço IP de somehost.ad.example.com, a consulta é encaminhada para um controlador de domínio AD especificado na zona de encaminhamento DNS de ad.example.com IdM.