28.2. 主要 IdM DNS 区域的配置属性

身份管理(IdM)创建一个具有特定默认配置(如刷新周期、传输设置或缓存设置)的新区域。在 IdM DNS 区域属性 中,您可以查找使用以下选项之一更改的默认区配置的属性:

除了设置区域的实际信息外,这些设置还定义了 DNS 服务器如何处理 start of authority (SOA)记录条目,以及它如何更新其来自 DNS 名称服务器的记录。

表 28.1. IdM DNS 区域属性

属性ansible-freeipa 变量描述

Authoritative name server

name_server

设置主 DNS 名称服务器的域名,也称为 SOA MNAME。

默认情况下,每个 IdM 服务器回在 SOA MNAME 字段中公布自己。因此,使用 --name-server 将忽略在 LDAP 中存储的值。

Administrator e-mail address

admin_email

设置区域管理员要使用的电子邮件地址。这默认为主机上的 root 帐户。

SOA serial

serial

在 SOA 记录中设置序列号。请注意,IdM 会自动设置版本号,用户不需要修改它。

SOA refresh

refresh

在请求来自主 DNS 服务器的更新之前,为次要 DNS 服务器设置等待的间隔(以秒为单位)。

SOA retry

retry

设置在重试失败的刷新操作前要等待的时间(以秒为单位)。

SOA expire

expire

在结束操作尝试之前,设置次要 DNS 服务器尝试执行刷新更新的时间(以秒为单位)。

最低 minimum

minimum

根据 RFC 2308,设置负缓存的生存时间(TTL)值(以秒为单位)。

SOA time to live

ttl

为区域 apex 的记录设置 TTL(以秒为单位)。例如,在区域 example.com 中,名称 example.com 下的所有记录(A、NS 或 SOA)都配置了,但其他域名(如 test.example.com )不会受到影响。

Default time to live

default_ttl

为之前未设置单个 TTL 值的区域中的所有值的负缓存设置默认的生存时间 live(TTL)值(以秒为单位)。要使更改生效,需要重新启动所有 IdM DNS 服务器上的 named-pkcs11 服务。

BIND update policy

update_policy

设置允许 DNS 区域中客户端的权限。

Dynamic update

dynamic_update=TRUE|FALSE

启用对客户端的 DNS 记录的动态更新。

请注意,如果设为 false,IdM 客户端计算机将无法添加或更新其 IP 地址。

Allow transfer

allow_transfer=string

提供允许传输给定区域的 IP 地址或网络名称的列表,用分号(;)分隔。

默认情况下禁用区域传输。默认的 allow_transfer 值为 none

Allow query

allow_query

提供允许发出 DNS 查询的 IP 地址或网络名称的列表,用分号(;)分隔。

Allow PTR sync

allow_sync_ptr=1|0

设置是否区域的 A 或 AAAA 记录(转发记录)与 PTR(反向)记录自动同步。

Zone forwarders

forwarder=IP_address

指定为 DNS 区域特别配置的转发器。这与 IdM 域中使用的任何全局转发器是分开的。

要指定多个转发器,请多次使用选项。

Forward policy

forward_policy=none|only|first

指定转发策略。有关支持的策略的详情,请查看 IdM 中的 DNS 转发策略

其它资源

  • 请参阅 /usr/share/doc/ansible-freeipa/ 目录中的 README-dnszone.md 文件。