<div dir="ltr"><div class="gmail_default" style="font-family:tahoma,sans-serif"><span style="font-family:arial">On Mon, Sep 9, 2013 at 8:26 PM, Petr Spacek </span><span dir="ltr" style="font-family:arial"><<a href="mailto:pspacek@redhat.com" target="_blank">pspacek@redhat.com</a>></span><span style="font-family:arial"> wrote:</span><br>

</div><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On 8.9.2013 05:54, Andrew Lau wrote:<br>


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hi all,<br>
<br>
I wasn't able to find much, but is it possible to configure FreeIPA to<br>
serve as a split horizon DNS server?<br>
<br>
I would like the local network to be able to enroll and authenticate<br>
locally, but at the same time bridge remote clients as well.<br>
<br>
Suggestions?<br>
</blockquote>
<br></div></div>
Could you give us more details? We can try to find some solution for you particular situation.<br>
<br>
In general, FreeIPA doesn't support so-called views from BIND9 directly, but you can use e.g. FreeIPA integrated DNS for internal network (the internal view) and expose flat zone file for external view.<br>
<br>
Example configuration (/etc/named.conf):<br>
view "internal"<br>
{<br>
/* This view will contain zones you want to serve only to "internal" clients<br>
   that connect via your directly attached LAN interfaces - "localnets" .<br>
 */<br>
        match-clients           { localnets; };<br>
        recursion yes;<br>
<br>
        dynamic-db "ipa" {<br>
                library "ldap.so";<br>
                arg "uri ldapi://%2fvar%2frun%2fslapd-<u></u>IPA-TEST.socket";<br>
                arg "base cn=dns, dc=ipa,dc=test";<br>
        };<br>
};<br>
<br>
view "external"<br>
{<br>
/* This view will contain zones you want to serve only to "external" clients<br>
 * that have addresses that are not match any above view:<br>
 */<br>
        match-clients           { any; };<br>
        recursion no;<br>
<br>
        zone "my.external.zone" {<br>
                type master;<br>
                file "my.external.zone.db";<br>
        };<br>
};<br>
<br>
Have a nice day.</blockquote><div><br></div><div class="gmail_default" style="font-family:tahoma,sans-serif">Hi Petr,</div><div class="gmail_default" style="font-family:tahoma,sans-serif"><br></div><div class="gmail_default" style="font-family:tahoma,sans-serif">

Thanks - I ended up running a slave DNS server with bind9 views. It's just a bit of a pain having to now manage two DNS configs but it'll have to do.</div><div class="gmail_default" style="font-family:tahoma,sans-serif">

<br></div><div class="gmail_default" style="font-family:tahoma,sans-serif">Thanks,</div><div class="gmail_default" style="font-family:tahoma,sans-serif">Andrew.</div><div><br></div><div> </div></div><br></div></div>