Menu Close

7.2. 在 IdM Web UI 中配置 DNS 转发区域

本节描述了如何使用 IdM Web UI 将新的 DNS 转发区域添加到身份管理(IdM)服务器中。

使用 DNS 转发区域,您可以将对特定区域的 DNS 查询转发到不同的 DNS 服务器。例如,您可以将活动目录(AD)域的 DNS 查询转发到 AD DNS 服务器。

先决条件

  • 使用具有管理员权限的用户帐户访问 IdM Web UI。
  • 正确配置了 DNS 服务器。

流程

  1. 使用管理员权限登录到 IdM Web UI。详情请参阅通过 Web 浏览器访问 IdM Web UI
  2. Network Services 标签页。
  3. DNS 标签页。
  4. 在下拉菜单中点击 DNS Forward Zones 项。

    Screenshot of the IdM Web UI displaying the contents of the DNS drop-down sub-menu of the "Network Services" tab. The DNS drop-down menu has four options: DNS Zones - DNS Forward Zones - DNS Servers - DNS Global Configuration. "DNS Forward Zones" is highlighted.

  5. 点击 Add 按钮。
  6. Add DNS forward zone 对话框中,添加一个区名称。
  7. Zone forwarders 项中,点击 Add 按钮。
  8. Zone forwarders 字段中,添加您要为其创建新的正向区的服务器的 IP 地址。
  9. 点击 Add 按钮。

    Screenshot of the "Add DNS forward zone" pop-up window with text entry fields for "Zone name" - "Reverse zone IP network" - "Zone forwarders." The "Forward policy" option has three radial buttons for "forward first" - "forward only" - "forward disabled." There is a checkbox for "Skip overlap check" and there are four buttons at the bottom: "Add" - "Add and Add Another" - "Add and Edit" - "Cancel."

正向区已添加到 DNS 设置中,您可以在 DNS Forward Zones 设置中进行验证。Web UI 会在以下弹出消息中告知已成功:DNS Forward Zone successfully added.

注意

在向配置添加新的转发区域后,Web UI 可能会显示一条有关 DNSSEC 验证失败的警告。

Screenshot displaying a popup window that reads "DNSSEC validation failed - record ad.example.com SOA failed DNSSEC validation on server 192.168.122.2. Please verify your DNSSEC configuration or disable DNSSEC validation on all IPA servers."

DNSSEC(域名系统安全扩展)使用数字签名来保护 DNS 数据,使 DNS 免受攻击。在IdM 服务器中默认启用该服务。出现警告的原因是远程 DNS 服务器没有使用 DNSSEC。红帽建议您在远程 DNS 服务器上启用 DNSSEC。

如果您无法在远程服务器上启用 DNSSEC 验证,您可以在 IdM 服务器中禁用 DNSSEC :

  1. 选择要编辑的合适的配置文件:

    • 如果您的 IdM 服务器使用 RHEL 8.0 或 RHEL 8.1,请打开 /etc/named.conf 文件。
    • 如果您的 IdM 服务器使用 RHEL 8.2 或更高版本,请打开 /etc/named/ipa-options-ext.conf 文件。
  2. 添加以下 DNSSEC 参数:

    dnssec-enable no;
    dnssec-validation no;
  3. 保存并关闭配置文件。
  4. 重启 DNS 服务:

    # systemctl restart named-pkcs11

验证步骤

  • nslookup 命令与远程 DNS 服务器名称一起使用:

    $ nslookup ad.example.com
    Server:        192.168.122.2
    Address:       192.168.122.2#53
    
    No-authoritative answer:
    Name:          ad.example.com
    Address:       192.168.122.3

    如果正确配置了域转发,nslookup 请求会显示远程 DNS 服务器的 IP 地址。