Хант Крэйг. TCP/IP Сетевое администрирование
Подождите немного. Документ загружается.
632
Приложение С. named, справочник
Многие параметры BIND 9 совпадают с параметрами BIND 8 и выполняют те
же функции. Некоторые параметры BIND 9 отражают настройки протокола
IPv6, который является составной частью BIND 9. Эти параметры - listen-
on-v6, notify-source-v6, query-source-v6 и transfer-source-v6 - выполняют та-
кие же функции, что и параметры IPv4 со схожими именами. Многие пара-
метры BIND 8 стали не нужны, поскольку важные функции были интегри-
рованы в новый код BIND 9. Однако список параметров короче не стал, по-
скольку появилось много новых:
additional-from-auth
yes, значение по умолчанию, предписывает серверу использовать инфор-
мацию всех зон, для которых он является компетентным, при составле-
нии дополнительного раздела ответа.
additional-from-cache
yes, значение по умолчанию, предписывает серверу использовать кэширо-
ванную информацию при составлении дополнительного раздела ответа.
notify-source
Определяет адрес и порт, используемые для посылки сообщений NOTIFY.
recursive-clients
Определяет максимальное число ожидающих обработки рекурсивных за-
просов от клиентов. По умолчанию - 1000.
Команды настройки named.conf
633
tcp-clients
Определяет максимальное число единовременно существующих соедине-
ний с клиентами. По умолчанию - 1000.
allow-notify
Указывает серверы, которым разрешено посылать сообщения NOTIFY
подчиненным серверам.
port
Определяет номер порта, используемый сервером. По умолчанию исполь-
зуется стандартный порт 53.
max-transfer-time-out
Определяет максимальную разрешенную длительность исходящей пере-
дачи зоны. По умолчанию - 2 часа.
max-transfer-idle-in
Определяет максимальную допустимую длительность бездействия про-
цесса входящей передачи зоны. По умолчанию - 1 час.
max-transfeг-idle-out
Определяет максимальную допустимую длительность бездействия про-
цесса исходящей передачи зоны. По умолчанию - 1 час.
max-refresh-time
Устанавливает максимальное время обновления для случаев, когда дан-
ный сервер выступает в роли подчиненного. Данное значение имеет более
высокий приоритет, чем время обновления, указанное в SOA-записи зо-
ны, для которой сервер является подчиненным.
max-retry-time
Устанавливает максимальный интервал повторения попытки для случа-
ев, когда данный сервер выступает в роли подчиненного. Данное значение
имеет более высокий приоритет, чем время повторения попытки, указан-
ное в SOA-записи зоны, для которой сервер является подчиненным.
max-cache-ttl
Устанавливает максимальную длительность кэширования данных этим
сервером. Данное значение имеет более высокий приоритет, чем значе-
ния TTL зоны, из которой были получены данные.
min-refresh-time
Устанавливает минимальное время обновления для случаев, когда сервер
выступает в роли подчиненного. Данное значение имеет более высокий
приоритет, чем время, указанное в SOA-записи зоны, для которой сервер
является подчиненным.
min-retry-time
Устанавливает максимальный интервал повторения попытки для случа-
ев, когда данный сервер выступает в роли подчиненного. Данное значение
634
Приложение С. named, справочник
имеет более высокий приоритет, чем время повторения попытки, указан-
ное в SOA-записи зоны, для которой сервер является подчиненным.
sig-validity-interval
Устанавливает срок действия цифровых подписей, генерируемых для ав-
томатических обновлений. По умолчанию - 30 дней.
tkey-dhkey
Указывает ключ Диффи-Хеллмана, используемый сервером для созда-
ния общих ключей.
tkey-domain
Определяет доменное имя, добавляемое к именам общих ключей. Обычно
это доменное имя сервера.
zone-statistics
yes предписывает серверу собирать статистику для всех зон. По умолча-
нию - по.
Параметры меняются со временем. Обращайтесь к документации, поставля-
емой в составе дистрибутива BIND 9, за наиболее актуальным перечнем па-
раметров.
Оператор logging
Оператор logging определяет параметры ведения журнала. Он может содер-
жать два различных типа подчиненных предложений: channel и category.
Синтаксис BIND 8:
Команды настройки named.conf
635
Таблица СЛ. Категории сообщений журнала BIND 8
Предложение channel определяет способ обработки сообщений журнала. Сооб-
щения могут записываться в файл
(file),
передаваться демону syslog (syslog)
либо удаляться
(null).
Если используется файл, можно указать число сохра-
няемых версий файла (version), максимальный допустимый объем файла
(size),
а также приоритет сообщений, записываемых в файл
(severity).
Мож-
но предписать включение в журнал времени создания (print-time), катего-
рии (print-category) и приоритета (print-severity) сообщения.
Предложение category определяет типы сообщений, посылаемых через ка-
нал. Таким образом, предложение category определяет, что именно фиксиру-
ется в журнале, а предложение channel - куда производится запись. Катего-
рии перечислены в табл. С.1.
636
Приложение С. named, справочник"
Категория
Тип сообщений
update
xfer-in
xfer-out
Сообщения, связанные с динамическими обновлениями
Сообщения, фиксирующие входящую передачу зоны
Сообщение, фиксирующие исходящую передачу зоны
Предложение
channel,
по сути, такое же, как в BIND 8, - добавился лишь по-
ток stderr как возможный пункт назначения для сообщений. Предложение
category выглядит так же, однако в списке поддерживаемых категорий про-
изошли существенные изменения. Одну категорию переименовали из db в
database. Около десяти категорий более не поддерживаются: cname, eventlib,
insist, load, maintenance, ncache, os, packet, panic, parser, response-check и sta-
tistics.
Шесть новых категорий:
general
Широкий спектр сообщений.
resolver
Сообщения, относящиеся к разрешению запросов DNS.
client
Сообщения, связанные с обработкой запросов клиентов.
Оператор logging в BIND 9
Синтаксис команды logging в BIND 9:
Таблица C.l (продолжение)
Команды настройки named.conf
637
network
Сообщения, связанные с сетевыми операциями.
dispatch
Сообщения трассировки пакетов, передаваемых различным модулям сер-
вера.
dnssec
Сообщения, отслеживающие обработку протоколов DNSSEC и TSIG.
Оператор zone
Оператор zone определяет зону обслуживания и источник информации базы
данных DNS. Существует четыре варианта оператора zone: для основного сер-
вера, для подчиненных серверов, для корневой кэш-зоны и специальный ва-
риант для ретрансляции. Синтаксис BIND 8 для каждого из вариантов:
638 Приложение С. named, справочник
За ключевым словом zone следует имя домена. Для корневой кэш-зоны это
имя всегда «. ». За доменным именем следует класс данных. Для службы
DNS сети Интернет класс всегда IN, принимаемый по умолчанию.
Предложение type определяет тип сервера: основой, подчиненный, сервер
зоны ретрансляции либо файла корневой кэш-зоны. Сервер-заглушка (stub
server) - это сервер, загружающий только NS-записи вместо целого домена.
Предложение file для основного сервера указывает на исходный файл, из
которого загружается зона. Для дополнительного сервера - на файл, в кото-
рый записывается зона, а предложение master указывает на источник дан-
ных, записываемых в файл. Для корневой кэш-зоны file указывает на файл
скрипта, используемого для инициализации кэш-зоны. Домен ретрансля-
ции не имеет предложения
file,
поскольку локальный сервер не хранит ни-
какие данные такого домена.
За исключением параметра
pubkey,
все параметры, доступные для оператора
zone BIND 8, уже описаны ранее в этом приложении. В рамках оператора zo-
ne действие параметра распространяется только на указанную зону. В рам-
ках оператора options действие параметра распространяется на все зоны.
Частные настройки зоны имеют более высокий приоритет, чем глобальные
настройки оператора options.
Параметр pubkey определяет открытый ключ шифрования DNSSEC для зоны
в отсутствие надежного механизма распределения открытых ключей по се-
ти. pubkey определяет флаги DNSSEC, протокол и алгоритм, а также содер-
жит версию ключа в кодировке base64. Удаленный сервер, обращающийся к
данному домену по DNSSEC, указывает те же настройки при помощи коман-
ды trusted-key, описанной ранее.
Оператор zone в BIND 9
Синтаксис четырех вариантов оператора zone в изложении для BIND 9 :
Команды настройки named.conf
639
640 Приложение С. named, справочник
В BIND 9 используются те же четыре варианта команды
zone,
что и в BIND 8.
Различие заключается в используемых параметрах. Большинство парамет-
ров оператора zone BIND 9 мы уже встречали при рассмотрении оператора
options BIND 9. Следующие два параметра встречаются только в операторе
zone BIND 9:
allow-update-forwarding
Перечисляет системы, имеющие право присылать подчиненному серверу
зоны динамические обновления, передаваемые затем основному серверу.
database
Указывает тип базы данных, используемой для хранения данных зоны.
По умолчанию - rbt, то есть единственный тип баз данных, поддерживае-
мый стандартным исполняемым файлом BIND 9.
Оператор controls
Оператор BIND 8 cont rols определяет управляющие каналы, используемые ndc.
ndc может работать через сокеты Unix или сетевые сокеты, используя их в
качестве управляющих каналов. Определения таких сокетов и дает опера-
тор controls. Синтаксис оператора:
Первые три параметра,
inet,
port и
allow,
определяют IP-адрес и номер порта
сетевого сокета, а также список управления доступом, перечисляющий систе-
мы, которым разрешено осуществлять управление через данный сокет. По-
скольку механизмы аутентификации в BIND 8 слабые, создание управляюще-
го канала, доступного по сети, - решение рискованное. Человек, получивший
доступ к этому каналу, получает полную власть над процессом сервера имен.
Последние четыре параметра -
unix, perm,
owner и group - определяют управ-
ляющий сокет Unix. Сокет Unix выглядит как файл. Его идентификатором
служит обычное полное имя файла, например /var/run/ndc. Как и всякому
другому файлу, сокету Unix назначается идентификатор пользователя-вла-
дельца (uid) и допустимый идентификатор группы (gid). Защита сокета осу-
ществляется на основе стандартных файловых прав доступа. Допустимы
только численные значения
uid,
gid и
file_permissions.
Значение file_permis-
Команды настройки named.conf 641
sions должно начинаться с 0. Например, чтобы установить полномочия чте-
ния и записи для владельца, чтения для группы и запретить любой доступ
всем остальным пользователям, следует использовать значение 0640.
Оператор controls в BIND 9
Оператор controls BIND 9 определяет каналы, используемые rndc. rndc вы-
полняет те же функции, что и более старая программа ndc, но более надежна
для сетевых взаимодействий. Синтаксис оператора для BIND 9:
В BIND 9 оператор controls всегда определяет сетевой сокет. При этом ис-
пользуются сильные механизмы аутентификации, требующие наличия
ключей шифрования.
Оператор view (BIND 9)
Оператор view позволяет создавать различные виды той же самой зоны для
различных клиентов. Это позволяет предоставлять одни сведения клиентам
внутри организации и другие, более ограниченные сведения, внешним кли-
ентам. Синтаксис команды view:
view-name
Произвольное имя, используемое в настройках для идентификации вида.
Чтобы избежать конфликтов с ключевыми словами, view-name следует за-
ключать в кавычки (например, «internal»).
match-clients
Определяет список клиентов, имеющих доступ к данному виду зоны.
view-option
Стандартный параметр BIND 9. Любой параметр в рамках оператора view
действует только для данного вида, что позволяет применять различные
параметры для зоны в зависимости от вида.
zone-statement
Стандартный оператор zone BIND 9. Полный оператор zone внедряется в
оператор view с целью определения зоны, доступной через этот вид.
Оператор view существует только в BIND 9. BIND 8 не поддерживает виды.