25.6. Configurando configurações de DNS e domínio para uma confiança

Antes de conectar o Gerenciamento de Identidade (IdM) e o Active Directory (AD) em uma confiança, você precisa garantir que os servidores se vejam e resolvam corretamente os nomes de domínio. Este cenário descreve a configuração do DNS para permitir o uso de nomes de domínio entre eles:

  • Um servidor IdM primário usando servidor DNS integrado e Autoridade de Certificação.
  • Um Controlador de Domínio AD.

As configurações do DNS exigem:

  • Configuração de zonas DNS no servidor IdM
  • Configuração do encaminhamento DNS condicional no AD
  • Verificação da exatidão da configuração do DNS

25.6.1. Domínios DNS primários exclusivos

No Windows, cada domínio é um reino Kerberos e um domínio DNS ao mesmo tempo. Cada domínio gerenciado pelo controlador de domínio precisa ter sua própria zona DNS dedicada. O mesmo se aplica quando o Gerenciamento de Identidade (IdM) é confiável pelo Active Directory (AD) como uma floresta. O AD espera que o IdM tenha seu próprio domínio DNS. Para que a configuração de confiança funcione, o domínio DNS precisa ser dedicado ao ambiente Linux.

Cada sistema deve ter seu próprio domínio DNS primário exclusivo configurado. Por exemplo, cada um deles deve ter seu próprio domínio DNS primário configurado:

  • ad.example.com para AD e idm.example.com para IdM
  • example.com para AD e idm.example.com para IdM
  • ad.example.com para AD e example.com para IdM

A solução de gerenciamento mais conveniente é um ambiente onde cada domínio DNS é gerenciado por servidores DNS integrados, mas também é possível utilizar qualquer outro servidor DNS compatível com o padrão.

Nomes do reino Kerberos como versões em caixa alta dos nomes de domínio DNS primários
Os nomes do reino Kerberos devem ser os mesmos que os nomes de domínio DNS primários, com todas as letras em maiúsculas. Por exemplo, se os nomes de domínio forem ad.example.com para AD e idm.example.com para a IdM, os nomes do reino Kerberos devem ser AD.EXAMPLE.COM e IDM.EXAMPLE.COM.
Registros DNS resolvíveis a partir de todos os domínios DNS do trust
Todas as máquinas devem ser capazes de resolver os registros DNS de todos os domínios DNS envolvidos na relação de confiança.
Sem sobreposição entre os domínios DNS IdM e AD
As máquinas unidas à IdM podem ser distribuídas em vários domínios DNS. Os domínios DNS contendo clientes IdM não devem se sobrepor aos domínios DNS contendo máquinas unidas à AD. O domínio DNS principal da IdM deve ter registros SRV adequados para suportar os trusts AD.

Você pode adquirir uma lista dos registros SRV necessários específicos para a configuração de seu sistema, executando o seguinte comando:

$ ipa dns-update-system-records --dry-run

A lista gerada pode se parecer, por exemplo, com esta:

IPA DNS records:
  _kerberos-master._tcp.idm.example.com. 86400 IN SRV 0 100 88 server.idm.example.com.
  _kerberos-master._udp.idm.example.com. 86400 IN SRV 0 100 88 server.idm.example.com.
  _kerberos._tcp.idm.example.com. 86400 IN SRV 0 100 88 server.idm.example.com.
  _kerberos._tcp.idm.example.com. 86400 IN SRV 0 100 88 server.idm.example.com.
  _kerberos.idm.example.com. 86400 IN TXT "IDM.EXAMPLE.COM"
  _kpasswd._tcp.idm.example.com. 86400 IN SRV 0 100 464 server.idm.example.com.
  _kpasswd._udp.idm.example.com. 86400 IN SRV 0 100 464 server.idm.example.com.
  _ldap._tcp.idm.example.com. 86400 IN SRV 0 100 389 server.idm.example.com.
  _ipa-ca.idm.example.com. 86400 IN A 192.168.122.2

Para outros domínios DNS que fazem parte do mesmo domínio do IdM, não é necessário que os registros SRV sejam configurados quando a confiança para AD é configurada. A razão é que os controladores de domínio AD não usam os registros SRV para descobrir os KDCs, mas baseiam a descoberta do KDC nas informações de roteamento do sufixo do nome para o trust.