Red Hat Training

A Red Hat training course is available for RHEL 8

第 74 章 使用 Ansible playbook 管理 IdM DNS 区域

作为身份管理(IdM)管理员,您可以使用 ansible-freeipa 软件包中的 dnszone 模块来管理 IdM DNS 区域的工作方式。本章描述了以下主题和程序:

先决条件

74.1. 支持的 DNS 区类型

身份管理(IdM)支持两种类型的 DNS 区域:主区和 转发区域。这部分论述了这两个类型的区,并包括 DNS 转发的示例场景。

注意

本指南对区域类型使用 BIND 术语,不同于用于 Microsoft Windows DNS 的术语。BIND 中的主要区域与 Microsoft Windows DNS 中的正向查找区域和 反向查找区域的作用相同。BIND 中的转发区域的作用与 Microsoft Windows DNS 中的条件转发器相同

主 DNS 区域

主 DNS 区域包含权威 DNS 数据,并且可以接受动态 DNS 更新。此行为等同于标准 BIND 配置中的 类型 master 设置。您可以使用 ipa dnszone-* 命令管理主区域。

根据标准 DNS 规则,每个主区域必须包含 授权起始 (SOA)和 名称服务器 (NS)记录。在创建 DNS 区域时,IdM 会自动生成这些记录,但您必须手动将 NS 记录复制到父区域,以创建正确委托。

根据标准 BIND 行为,查询服务器不具有权威的名称将转发到其他 DNS 服务器。这些 DNS 服务器(称为转发器)可能是也可能不是查询的权威。

例 74.1. DNS 转发的示例

IdM 服务器包含 test.example. 主区域。此区域包含 sub.test.example. 名称的 NS 委派记录。此外,test .example. 区域还配置了 sub.text .example 子区域的 192.0.2. 254 转发器 IP 地址。

查询名称 不存在.test.example. 的客户端会收到 NXDomain 回答,并且不会发生转发,因为 IdM 服务器对此名称具有权威。

另一方面,查询 host1.sub.test.example. name 会转发到配置的转发器 192.0.2.254,因为 IdM 服务器对此名称没有权威。

转发 DNS 区域

从 IdM 的角度来看,转发 DNS 区域不包含任何权威数据。事实上,正向"区"通常仅包含两段信息:

  • 域名
  • 与域关联的 DNS 服务器的 IP 地址

所有对属于定义的域的名称的查询都转发到指定的 IP 地址。此行为等同于标准 BIND 配置中的 type forward 设置。您可以使用 ipa dnsforwardzone-* 命令管理转发区。

转发 DNS 区域在 IdM-Active Directory(AD)信任的上下文中特别有用。如果 IdM DNS 服务器对 idm.example.com 区域具有权威,并且 AD DNS 服务器对 ad.example.com 区域具有权威,则 ad.example.comidm.example.com 主区的 DNS 转发区域。这意味着,当查询来自 IdM 客户端以获取 somehost.ad.example.com 的 IP 地址时,查询将转发到 ad.example.com IdM DNS 转发区域中指定的 AD 域控制器。