2    ドメイン・ネーム・システム

ドメイン・ネーム・システム (DNS) は,企業のイントラネットあるいはインターネット上のサイトの未知のホスト名とインターネット・プロトコル (IP) アドレスを解決するためのメカニズムです。 DNS デーモンのデータベース・ルックアップ・サービスを利用すると,DNS によってネットワーク全体に分散されているローカルあるいはリモートの hosts データベースで未知のホストを探すことができます。

Tru64 UNIX における DNS のインプリメンテーションは,Internet Software Consortium (ISC) によって管理されている BIND (Berkeley Internet Name Domain) サービスのバージョン 8.2.2 をベースにしています。

BIND のバージョン 9 をインストールする場合は,Internet Express for Tru64 UNIX のキットからソフトウェアを入手できます。 Internet Express は,一般的なオープン・ソース・ソフトウェアを 1 枚の CD-ROM に集めたものです。 Internet Express についての詳細は,次の URL を参照してください。

http://h50146.www5.hp.com/products/software/oe/tru64unix/internet/

この章では,次のことについて説明します。

DNS についての基本的な説明については, bind_intro(7) を参照してください。 BIND サービスの追加情報については,付録 G および 『BIND Configuration File Guide』 (「Tru64 UNIX Documentation」CD-ROM の中に HTML 形式で提供されています) を参照してください。 また,Internet Software Consortium のウェブ・サイトもご利用ください。 このサイトの URL は次のとおりです。

http://www.isc.org

注意

BIND サーバ・デーモン (/usr/sbin/named) が AAAA (IPv6 アドレス・エントリ) 検索をサポートしているのは,IPv4 (AF_INET) コネクション上のみです。 リゾルバとサーバは,IPv6 には移植されていません。 ただし,IPv6 アプリケーションは,getaddrinfo 呼び出しと getnameinfo 呼び出しを使用して AAAA レコードを取り出すことができます。 これらのルーチンの使用方法については,『ネットワーク・プログラミング・ガイド』を参照してください。

サーバのトラブルシューティング情報については,9.3 節 および 第 11 章 を, クライアントのトラブルシューティング情報については,9.4 節 を参照してください。

2.1    DNS 環境

DNS 環境は次のようなシステムで構成されます。

注意

バージョン 8.1.1 以前の BIND についてのドキュメントでは,マスタ・サーバを 1 次サーバとして,スレーブ・サーバを 2 次サーバとしていました。 用語が変更になりましたが,ゾーンについてはまだ,マスタ・サーバおよびスレーブ・サーバは,それぞれ 1 次権限,2 次権限を持つというように表現されています。

DNS はネットワークの各システムで実行します。 DNS 環境を構築する際には,環境内の各システムにどのような役割を負わすかを決める必要があります。 各ドメインで,マスタ・サーバとなる 1 つのホストを選択します。 各ドメインにはマスタ・サーバを 1 だけ設置します。 スレーブ・サーバ,スタブ・サーバ,キャッシング専用サーバは,1 つあるいは複数選択することができます。 その他のホストは DNS クライアントとして構成します。

図 2-1に,それぞれのサブネットに 1 つのサーバを持ち, 合計 2 つのサーバと複数のクライアントを持つドメインの例を示します。 マスタ・サーバであるサーバ A は 一方のゾーンの1 次サーバで,そのゾーンのデータベース・ファイルをメンテナンスします。 スレーブ・サーバであるサーバ B はそのゾーンの 2 次サーバで,サーバ A からゾーン・データベースのコピーを入手し,クライアントからの照会に応答します。

図 2-1:  小規模な DNS 構成の例

図 2-2に示すのは, mktg.corp.com,eng.corp.com,および acct.corp.com の 3 つのゾーンを含むドメインの例です。 サーバ B は mktg.corp.com ゾーンのマスタ・サーバで,他の 2 つのゾーンのスレーブ・サーバでもあります。 mktg.corp.com の 1 次権限と他の 2 つのゾーンのそれぞれに 2 次権限を持ちます。 サーバ C は eng.corp.com ゾーンの 1 次権限と他の 2 つのゾーンの 2 次権限を持ちます。 サーバ D は acct.corp.com ゾーンの 1 次権限と他の 2 つの 2 次権限を持ちます。 サーバ A は,ルータでありキャッシング専用サーバでもあります。 サーバ A は,キャッシング専用サーバとして,親ドメインからの照会で受け取った情報をキャッシュします。

同じ例で,3 つのゾーンが 3 つの違った市や国にロケートされている場合,サーバ A を mktg.corp.com で他の 2 つのリモート・ゾーンのスタブ・サーバとして構成できます。 このように,リモート・サイトのすべてのリーソース・レコードは, eng.corp.com ドメインおよび acct.corp.com ドメインに対してローカルのサーバ (サーバ C およびサーバ D) にあります。 マスタ・サーバであるサーバ A は,各サブドメインに対してローカルなネーム・サーバのリソース・レコードだけを保持します。 サーバ A は,サーバ A のマスタ DNS データベースを検索する代わりに eng.corp.com ドメインおよび acct.corp.com ドメインにあるマシンについての情報を,サーバ C およびサーバ D に照会します。

図 2-2:  大規模な DNS 構成の例

2.2    動的更新

通常,新しいホストをネットワークに接続する際には,DNS データベースを再構築する必要があります (2.8.2 項を参照)。 DNS データベースを更新しないと,ネットワーク上の他のコンピュータは,新しいホストのアドレスを解決できません。

ただし,IPv6 ネットワーク用に構成した Tru64 UNIX システムや,Microsoft Windows システムなど,DNS データベースを自動的に更新できるクライアントもあります。 これらのクライアントは,動的更新をサポートしています。 動的更新がサポートされると,ホストがネットワークに追加されたり,ネットワークから削除されたときに,ホストが DNS マスタ・サーバへ通知することができます。 クライアントが自分の IP アドレスとホスト名を指定すれば,DNS マスタ・データ・ファイルの内容は,named デーモンによって自動的に変更されます。 マスタ・サーバ管理者の介入は不要で,大規模なネットワークでの管理者の負担が大幅に軽減されます。

DNS マスタ・サーバで動的更新を構成する方法については,2.5.1.2 項を参照してください。

2.3    動的更新とゾーン転送の認証

DNS サーバは,他のシステムから受信したデータの暗号化認証機能を備えています。 認証を行えば,悪意のあるシステムが他のシステムを装って偽の DNS データ・ファイル更新をサーバに送信する可能性を減らすことができます。

このオペレーティング・システムは,対称型暗号化をサポートしています。 この暗号化方式では,複数のシステムが DNS 認証用の 1 つの非公開鍵を共有します。 DNS 更新を他のシステムに送信するシステムは,この鍵を使用して,更新情報に含まれるデータに対応する固有の電子署名を生成します。 システムはこの署名を更新情報に添付し,情報全体をターゲット・システムに送信します。 署名付きの更新を受信したシステムは,同じ非公開鍵を使用して電子署名を新たに生成して,データの確認を行います。 2 つの署名が一致すれば,その更新は信頼できるシステムから送信されたものであり,使用しても安全であると判断されます。

暗号化認証は,次のような数多くの用途に利用できます。

どちらの場合も,信頼できるホストによって正しく署名されたデータ以外は,拒否されます。

動的更新およびゾーン転送の認証を構成する方法については,2.6 節を参照してください。

2.4    DNS の計画

図 2-3 は,DNS を構成する際に必要な情報を記録するのに使用できる DNS 設定ワークシートを示しています。 本書をオンラインで参照されている場合は,ブラウザのプリント機能を使用してこのワークシートをプリントできます。 この後の項で,ワークシートに記録するのに必要な情報について説明します。

図 2-3:  DNS 設定ワークシート

ローカル・ドメイン名

マスタ・サーバの場合は,1 次権限を持っているサーバのドメインです。 クライアント・システムの場合は,ローカル・システムが一部分である親ドメインです。 たとえば,システムのドメイン名が cxcxcx.abc.xyz.com の場合,ローカル・ドメイン名は abc.xyz.com です。

2.4.1    サーバ

ホスト名解決

ローカル /etc/hosts ファイル,DNS データベース,および NIS データベースのホスト名解決における照会順序。

各アイテムの隣に適切な番号を記入することによって,ワークシート上に順序を示します。 以下の順序をお勧めします。

  1. ローカル・ホスト・ファイル

  2. DNS データベース

  3. NIS データベース

動的更新

クライアントの動的更新を使用可能にする場合は Yes,動的更新を使用可能にしない場合は No をチェックします。

認証

クライアントから受信した DNS データベース更新をマスタ・サーバで認証する場合は「動的更新」,マスタ・サーバとスレーブ・サーバ間のゾーン転送を認証する場合は「ゾーン転送」,認証が不要であれば「無し」をチェックします。

nd6hostd デーモンを使用して IPv6 ゾーンの動的更新を行う場合には,該当するゾーンの認証は使用可能にしないでください。 nd6hostd デーモンは認証をサポートしていません。

ゾーン・ドメイン名

ゾーンにおける最上位ドメインのドメイン名を指定します。

権限

サーバがゾーンのマスタ・サーバの場合は (ゾーン・データベース・ファイルとして運用されている),「プライマリ」をチェックします。 サーバがゾーンのスレーブ・サーバの場合は (マスタからゾーン・データベース・ファイルをコピーする),「セカンダリ」をチェックします。

データ・ファイルとサーバ・アドレス

マスタ・サーバの場合は,ゾーン情報のマスタ・データベースを格納するファイルのフル・パス名を指定します。

スレーブ・サーバ (スタブ・サーバ) の場合は,マスタ・サーバのデータベースのローカル・コピーを格納するファイルのフル・パス名を指定します。 さらに,マスタ・サーバの IP アドレスも指定します。

フォワーダ名

ローカルに解決できない場合にサーバが照会を転送する,1 つあるいは複数のシステムのホスト名を指定します。 キャッシュの情報では応答できないような照会を受信した場合,サーバはフォワーダにその照会を転送します。 フォワーダがその照会に応答できない場合は,他のサーバに直接照会することもあります。 システムが転送専用サーバの場合は,いくつかのフォワーダ名を記述しておく必要があります。 システムが転送専用サーバでない場合は,フォワーダの指定はオプションです。

2.4.2    クライアント

サーバ名

ホスト名を解決するときに接続するサーバ名です。 最高 3 つまで指定します。

インターネット・アドレス

サーバの IP アドレスです。

ホスト名解決

ローカルの /etc/hosts ファイル,DNS データベース,および NIS データベースを,ホスト名解決において照会する順序。

各アイテムの隣に適切な番号を記入することによって,ワークシート上に順序を示します。 以下の順序をお勧めします。

  1. ローカル・ホスト・ファイル

  2. DNS データベース

  3. NIS データベース

2.5    DNS の構成方法

共通デスクトップ環境 (CDE) のアプリケーション・マネージャの SysMan Menu を使用して,DNS をサーバとクライアント上に構成します。 SysMan Menu を起動するには,1.2.1 項 の手順に従ってください。

DNS を構成するときには,最初にマスタ・サーバを設定しなければなりません。 他のシステムは,どの順序でも構成することができます。

2.5.1    マスタ・サーバの構成

マスタ・サーバを構成するには,次の手順に従ってください。

注意

IPv6 マスタ・サーバを構成する場合には,2.5.1.1 項も参照してください。

  1. /etc/namedb/src ディレクトリに,DNS hosts データベースに変換する hosts ファイルをコピーします。

    hosts データベースを作成する元になる新しいファイルを作成するには,マスタ・サーバのローカルな /etc/hosts ファイルを更新して (『ネットワーク管理ガイド:接続編』を参照),同じ hosts ファイル名を使用して,/etc/namedb/src ディレクトリにコピーします。 システムが自分の DNS ドメイン内にあり,DNS を実行していても,マスタ・サーバの hosts データベースに含まれていなければ,そのドメイン内の他のシステムは,ドメインの IP アドレスを取得することができません。

  2. SysMan Menu から [ネットワーク] --> [追加ネットワーク・サービス] --> [Domain Name Service (DNS(BIND))] --> [DNS サーバとしてシステムを設定] を選択して, 「DNS サーバの設定」ダイアログ・ボックスを表示します。

    代わりに,次のコマンドをコマンド行から入力することもできます。

    # /usr/bin/sysman dns_server
    

  3. 「ローカル・ドメイン」フィールドにローカル・ドメインの名前を入力します。 ローカル・ドメインとは,対象のマスタ・サーバがプライマリの権限を持つドメインのことです。

  4. 「DNS サーバ・タイプ」プルダウン・メニューから [MASTER] を選択します。

  5. ホスト名解決の照会順序を「ホスト名解決順序」フィールドで指定します。 プルダウン・メニューをオープンし,選択肢のリストから選択します。 「DNS データベース, ローカル, NIS」または「ローカル・ファイル, DNS データベース, NIS」を選択するのが一般的です。 特に後者が推奨されます。 選択した順序は,/etc/svc.conf ファイルに記録されます。

    上記の操作の代わりに,svcsetup スクリプトを実行して,サービスの順序の選択をカスタマイズすることもできます。 svc.conf ファイルの内容を変更する方法については,2.8.1 項svcsetup(8) を参照してください。

  6. [拡張 DNS オプション] ボタンを選択し,「拡張オプション」ダイアログ・ボックスを表示します。 このダイアログ・ボックスでは,DNS サーバの構成情報とキャッシュ・データを保存するディレクトリやファイルを変更できます。 必要に応じて変更を行い,[了解] を選択してダイアログ・ボックスをクローズします。

  7. [次へ] を選択して「ローカル・ネーム・サーバ」リストを表示します。

    1. [追加] を選択して「ネーム・サーバの追加」ダイアログ・ボックスを表示します。

    2. マスタ・サーバが自分でアドレスを解決できないときに照会するネーム・サーバのホスト名と IP アドレスを入力します。

    3. [了解] を選択して入力を確定します。 指定したサーバが既知のホストでない場合には [はい] を選択し,そのサーバを /etc/hosts ファイルに追加します。

      7a 〜 7c の手順を必要に応じて繰り返します。 ネーム・サーバは,2 〜 3 個指定するのが最適です。

    4. [次へ] を選択してネーム・サーバのリストを確定します。 指定したアドレスは,後で /etc/resolv.conf ファイルに記録されます。

  8. 適切なチェック・ボックスを選択して DNS データベースを作成します。 使用するソース・ファイルの名前を「ホスト・ファイル」フィールドに指定します。 手順 1 で作成したファイルを使用する場合は /etc/namedb/src/hosts を指定します。 または,省略時の /etc/hosts ファイルを使用します。 [次へ] を選択して次の手順に進みます。

  9. 適切なチェック・ボックスを選択して named デーモンを起動し,[次へ] を選択して続行します。 システムのホスト名の変更を求めるプロンプトが表示されます。

  10. 必要に応じて適切なチェック・ボックスを選択し,ホスト名を変更します。 ホスト名の変更を選択した場合には,アクセス制御リストへの localhost の追加を求めるプロンプトが表示されます。 名前を変更したシステムで GUI を正しく表示するには,[はい] を選択します。

  11. [次へ] を選択して続行し,続いて [完了] を選択します。 構成が保存され,named デーモンが起動されます。

    システムが DNS サーバとして正しく構成されたことを示すメッセージが表示されます。 [了解] を選択して「DNS サーバの設定」ダイアログ・ボックスをクローズします。

初期設定の後,サーバ構成を変更することもできます。 詳細は,オンライン・ヘルプを参照してください。

IPv6 または Microsoft Windows のネットワーク環境で DNS マスタ・サーバの動的更新を使用可能にする方法については,2.5.1.2 項および 2.6 節を参照してください。

2.5.1.1    IPv6 マスタ・サーバの構成

IPv6 マスタ・サーバを構成する方法は IPv4 マスタ・サーバの場合と似ていますが,いくつかの相違点もあります。 以降の項では,これらの相違点について説明します。

2.5.1.1.1    DNS 構成ファイル

/usr/examples/ipv6/namedb ディレクトリには,参考にしたりユーザの環境に適用できるサンプルの IPv6 情報が入った DNS 構成ファイルが格納されています。 このディレクトリにあるファイルのうち,次のファイルには,逆引きルックアップ・アドレスおよび動的更新の例を示す IPv6 情報が格納されています。

これらのファイルを環境に応じてカスタマイズした後,/etc/namedb ディレクトリ内にある既存のファイルをバックアップしてから,カスタマイズしたファイルをこのディレクトリに移します。

2.5.1.1.2    サーバ構成のガイドライン

DNS サーバを IPv6 ネットワーク環境用に構成する際には,次のガイドラインに従ってください。

2.5.1.2    DNS データベースの動的更新の使用可能化

IPv6 または Microsoft Windows のネットワーク環境で DNS マスタ・サーバの動的更新を使用可能にするには,次の手順を実行します。

注意

SysMan Menu を使用して DNS マスタ・サーバを再構成すると,named.conf ファイルが上書きされるため,そのたびに次の手順を再実行して動的更新を使用可能にしなければなりません。

  1. /etc/namedb/named.conf ファイルを編集して,動的更新を使用可能にするマスタ・ゾーン・ステートメント (順引きルックアップと逆引きルックアップ) に,次のように allow-update サブステートメントを追加します。

    zone "zone-name" {
            type master;
            file "file-name";
            allow-update { any; }; 
    };
     
    zone  "rev-ip.in-addr.arpa" { 
            type  master; 
            file "file-name.rev";
            allow-update { any; }; 
    }; 
     
     
    

    たとえば,IPv6 ゾーンで動的更新を使用可能にする場合には,変更後のゾーン・ステートメントは次のようになります。

    zone "ipv6.site1.corp.example" {
             type master;
             file "ipv6.site1.db";
             allow-update { any; };
    };
    zone "0.4.c.8.0.0.0.4.c.8.0.1.0.0.1.2.0.0.f.5.IP6.INT" {
            type master;
            file "ipv6.site1.rev";
            allow-update { any; };
    };
    

    allow-update サブステートメントで any を指定すると,マスタ DNS データベースの更新がすべてのクライアントに許可されます。 マスタ DNS データベースへのアクセスを制限するには,動的更新の認証を使用可能にします。 動的認証を使用可能にする方法については,2.6 節を参照してください。 (ただし,IPv6 クライアント上の nd6hostd デーモンは,認証をサポートしていません。)

  2. named デーモンを起動または再起動します。 詳細については,オンライン・ヘルプを参照してください。

Tru64 UNIX DNS サーバを使用しているネットワークで Microsoft Windows 2000 システムを構成する方法については,Tru64 UNIX のドキュメント・サイトにある Best Practice ドキュメント「Integrating Windows 2000 DNS Clients with Tru64 UNIX DNS Services」を参照してください。 Tru64 UNIX のドキュメント・サイトの URL は次のとおりです。

http://h30097.www3.hp.com/docs/best_practices/

2.5.2    スレーブ・サーバの構成

スレーブ・サーバを構成するには,1.2.1 項 の説明に従って SysMan Menu を起動し,次の手順を実行します。

  1. SysMan Menu から [ネットワーク] --> [追加ネットワーク・サービス] --> [Domain Name Service (DNS(BIND))] --> [DNS サーバとしてシステムを設定] を選択して, 「DNS サーバの設定」ダイアログ・ボックスを表示します。

    代わりに,次のコマンドをコマンド行から入力することができます。

    # /usr/bin/sysman dns_server
    

  2. 「ローカル・ドメイン」フィールドにローカル・ドメインの名前を入力します。

  3. 「DNS サーバ・タイプ」プルダウン・メニューから [SLAVE] を選択します。

  4. ホスト名解決の照会順序を「ホスト名解決順序」フィールドで指定します。 プルダウン・メニューをオープンし,選択肢のリストから選択します。 「DNS データベース, ローカル, NIS」または「ローカル・ファイル, DNS データベース, NIS」を選択するのが一般的です。 特に後者が推奨されます。 選択した順序は,/etc/svc.conf ファイルに記録されます。

    上記の操作の代わりに,svcsetup スクリプトを実行して,サービスの順序の選択をカスタマイズすることもできます。 svc.conf ファイルの内容を変更する方法については,2.8.1 項svcsetup(8) を参照してください。

  5. [拡張 DNS オプション] ボタンを選択し,「拡張オプション」ダイアログ・ボックスを表示します。 このダイアログ・ボックスでは,DNS サーバの構成情報とキャッシュ・データを保存するディレクトリやファイルを変更できます。 必要に応じて変更を行い,[了解] を選択してダイアログ・ボックスをクローズします。

  6. [次へ] を選択して「Zones Served」リストを表示します。

    1. [追加] を選択して「ゾーンの追加」ダイアログ・ボックスを表示します。

    2. 「権限」フィールドで「Slave」ラジオ・ボタンを選択し,サーバがセカンダリの権限を持つゾーン (ドメイン) の名前を入力します。

    3. マスタ・サーバのゾーン情報データベースのコピーを格納するローカル・ファイルの名前を入力します。 さらに,マスタ・サーバの IP アドレスも入力します。

    4. [了解] を選択して入力を確定します。 6a 〜 6d の手順を繰り返し,必要なエントリを追加します。 各ゾーンごとに,順引きルックアップと逆引きルックアップのエントリを少なくとも 1 つずつ追加する必要があります。

      たとえば,マスタ・サーバの /etc/namedb/named.conf ファイルが次のような内容であれば,スレーブ・サーバの「Zones Served」リストに,domain.suffix ゾーンと nn.nnn.in-addr.arpa ゾーンのエントリを追加します。

      zone domain.suffix {
           type master;
           file "hosts.db";
           };
       
      zone nn.nnn.in-addr.arpa {
           type master;
           file "hosts.rev";
           };
       
       
      

  7. [次へ] を選択して「ローカル・ネーム・サーバ」リストを表示します。

    1. [追加] を選択して「ネーム・サーバの追加」ダイアログ・ボックスを表示します。

    2. スレーブ・サーバが自分でアドレスを解決できないときに照会するネーム・サーバのホスト名と IP アドレスを入力します。

    3. [了解] を選択して入力を確定します。 指定したサーバが既知のホストでない場合には [はい] を選択し,そのサーバを /etc/hosts ファイルに追加します。

      7a 〜 7c の手順を必要に応じて繰り返します。 ネーム・サーバは,2 〜 3 個指定するのが最適です。

    4. [次へ] を選択してネーム・サーバのリストを確定します。 指定したアドレスは,後で /etc/resolv.conf ファイルに記録されます。

  8. 適切なチェック・ボックスを選択して named デーモンを起動し,[次へ] を選択して続行します。 システムのホスト名の変更を求めるプロンプトが表示されます。

  9. 必要に応じて適切なチェック・ボックスを選択し,ホスト名を変更します。 ホスト名の変更を選択した場合には,アクセス制御リストへの localhost の追加を求めるプロンプトが表示されます。 名前を変更したシステムで GUI を正しく表示するには,[はい] を選択します。

  10. [次へ] を選択して続行し,続いて [完了] を選択します。 構成が保存され,named デーモンが起動されます。

    システムが DNS サーバとして正しく構成されたことを示すメッセージが表示されます。 [了解] を選択して「DNS サーバの設定」ダイアログ・ボックスをクローズします。

初期設定の後,サーバ構成を変更することもできます。 詳細は,オンライン・ヘルプを参照してください。

2.5.3    キャッシング専用サーバの構成

キャッシング専用サーバを構成するには,1.2.1 項 の説明に従って SysMan Menu を起動し,次の手順を実行します。

  1. SysMan Menu から [ネットワーク] --> [追加ネットワーク・サービス] --> [Domain Name Service (DNS(BIND))] --> [DNS サーバとしてシステムを設定] を選択して,「DNS サーバの設定」ダイアログ・ボックスを表示します。

    代わりに,次のコマンドをコマンド行から入力することもできます。

    # /usr/bin/sysman dns_server
    

  2. 「ローカル・ドメイン」フィールドにローカル・ドメインの名前を入力します。

  3. 「DNS サーバ・タイプ」プルダウン・メニューから [CACHING] を選択します。

  4. ホスト名解決の照会順序を「ホスト名解決順序」フィールドで指定します。 プルダウン・メニューをオープンし,選択肢のリストから選択します。 「DNS データベース, ローカル, NIS」または「ローカル・ファイル, DNS データベース, NIS」を選択するのが一般的です。 特に後者が推奨されます。 選択した順序は,/etc/svc.conf ファイルに記録されます。

    上記の操作の代わりに,svcsetup スクリプトを実行して,サービスの順序の選択をカスタマイズすることもできます。 svc.conf ファイルの内容を変更する方法については,2.8.1 項svcsetup(8) を参照してください。

  5. [拡張 DNS オプション] ボタンを選択し,「拡張オプション」ダイアログ・ボックスを表示します。 このダイアログ・ボックスでは,DNS サーバの構成情報とキャッシュ・データを保存するディレクトリやファイルを変更できます。 必要に応じて変更を行い,[了解] を選択してダイアログ・ボックスをクローズします。

  6. [次へ] を選択して「ローカル・ネーム・サーバ」リストを表示します。

    1. [追加] を選択して「ネーム・サーバの追加」ダイアログ・ボックスを表示します。

    2. キャッシュ専用サーバが自分でアドレスを解決できないときに照会するネーム・サーバのホスト名と IP アドレスを入力します。

    3. [了解] を選択して入力を確定します。 指定したサーバが既知のホストでない場合には [はい] を選択し,そのサーバを /etc/hosts ファイルに追加します。

      6a 〜 6c の手順を必要に応じて繰り返します。 ネーム・サーバは,2 〜 3 個指定するのが最適です。

    4. [次へ] を選択してネーム・サーバのリストを確定します。 指定したアドレスは,後で /etc/resolv.conf ファイルに記録されます。

  7. 適切なチェック・ボックスを選択して named デーモンを起動し,[次へ] を選択して続行します。 システムのホスト名の変更を求めるプロンプトが表示されます。

  8. 必要に応じて適切なチェック・ボックスを選択し,ホスト名を変更します。 ホスト名の変更を選択した場合には,アクセス制御リストへの localhost の追加を求めるプロンプトが表示されます。 名前を変更したシステムで GUI を正しく表示するには,[はい] を選択します。

  9. [次へ] を選択して続行し,続いて [完了] を選択します。 構成が保存され,named デーモンが起動されます。

    システムが DNS サーバとして正しく構成されたことを示すメッセージが表示されます。 [了解] を選択して「DNS サーバの設定」ダイアログ・ボックスをクローズします。

初期設定の後,サーバ構成を変更することもできます。 詳細は,オンライン・ヘルプを参照してください。

2.5.4    転送専用サーバの構成

転送専用サーバを構成するには,1.2.1 項 の説明に従って SysMan Menu を起動し,次の手順を実行します。

  1. SysMan Menu から [ネットワーク] --> [追加ネットワーク・サービス] --> [Domain Name Service (DNS(BIND))] --> [DNS サーバとしてシステムを設定] を選択して,「DNS サーバの設定」ダイアログ・ボックスを表示します。

    代わりに,次のコマンドをコマンド行から入力することもできます。

    # /usr/bin/sysman dns_server
    

  2. 「ローカル・ドメイン」フィールドにローカル・ドメインの名前を入力します。

  3. 「DNS サーバ・タイプ」プルダウン・メニューから [FORWARDER] を選択します。

  4. ホスト名解決の照会順序を「ホスト名解決順序」フィールドで指定します。 プルダウン・メニューをオープンし,選択肢のリストから選択します。 「DNS データベース, ローカル, NIS」または「ローカル・ファイル, DNS データベース, NIS」を選択するのが一般的です。 特に後者が推奨されます。 選択した順序は,/etc/svc.conf ファイルに記録されます。

    上記の操作の代わりに,svcsetup スクリプトを実行して,サービスの順序の選択をカスタマイズすることもできます。 svc.conf ファイルの内容を変更する方法については,2.8.1 項svcsetup(8) を参照してください。

  5. [拡張 DNS オプション] ボタンを選択し,「拡張オプション」ダイアログ・ボックスを表示します。 このダイアログ・ボックスでは,DNS サーバの構成情報とキャッシュ・データを保存するディレクトリやファイルを変更できます。 必要に応じて変更を行い,[了解] を選択してダイアログ・ボックスをクローズします。

  6. [次へ] を選択して「フォワーダ」リストを表示します。

    1. 適切なチェック・ボックスを選択し,システムを転送専用サーバとして構成することを指定します。

    2. [追加] を選択して「フォワーダの追加」ダイアログ・ボックスを表示します。

    3. フォワーダの IP アドレスを入力します。 フォワーダとは,転送専用サーバが,リモート・ネットワーク (インターネットなど) 上のアドレスを照会するネーム・サーバのことです。

    4. [了解] を選択して入力を確定します。 指定したサーバが既知のホストでない場合には [はい] を選択し,そのサーバを /etc/hosts ファイルに追加します。

      6b 〜 6d の手順を必要に応じて繰り返します。 フォワーダは,2 〜 3 個指定するのが最適です。

    5. [次へ] を選択してフォワーダのリストを確定します。 指定したアドレスは,後で /etc/resolv.conf ファイルに記録されます。

  7. [次へ] を選択して「ローカル・ネーム・サーバ」リストを表示します。

    1. [追加] を選択して「ネーム・サーバの追加」ダイアログ・ボックスを表示します。

    2. 転送専用サーバがローカル・ネットワークのアドレスを照会するネーム・サーバのホスト名と IP アドレスを入力します。

    3. [了解] を選択して入力を確定します。 指定したサーバが既知のホストでない場合には [はい] を選択し,そのサーバを /etc/hosts ファイルに追加します。

      7a 〜 7c の手順を必要に応じて繰り返します。 ネーム・サーバは,2 〜 3 個指定するのが最適です。

    4. [次へ] を選択してネーム・サーバのリストを確定します。 指定したアドレスは,後で /etc/resolv.conf ファイルに記録されます。

  8. 適切なチェック・ボックスを選択して named デーモンを起動し,[次へ] を選択して続行します。 システムのホスト名の変更を求めるプロンプトが表示されます。

  9. 必要に応じて適切なチェック・ボックスを選択し,ホスト名を変更します。 ホスト名の変更を選択した場合には,アクセス制御リストへの localhost の追加を求めるプロンプトが表示されます。 名前を変更したシステムで GUI を正しく表示するには,[はい] を選択します。

  10. [次へ] を選択して続行し,続いて [完了] を選択します。 構成が保存され,named デーモンが起動します。

    システムが DNS サーバとして正しく構成されたことを示すメッセージが表示されます。 [了解] を選択して「DNS サーバの設定」ダイアログ・ボックスをクローズします。

初期設定の後,サーバ構成を変更することもできます。 詳細は,オンライン・ヘルプを参照してください。

2.5.5    スタブ・サーバの構成

スタブ・サーバを構成するには,1.2.1 項 の説明に従って SysMan Menu を起動し,次の手順を実行します。

注意

スタブ・サーバを構成するときには,マスタ・サーバではなく,サブゾーンに対する権限のあるサーバで,SysMan Menu アプリケーションを実行してください。 スタブ・サーバの定義の詳細については, 2.1 節 を参照してください。

  1. SysMan Menu から [ネットワーク] --> [追加ネットワーク・サービス] --> [Domain Name Service (DNS(BIND))] --> [DNS サーバとしてシステムを設定] を選択して,「DNS サーバの設定」ダイアログ・ボックスを表示します。

    代わりに,次のコマンドをコマンド行から入力することもできます。

    # /usr/bin/sysman dns_server
    

  2. 「ローカル・ドメイン」フィールドにローカル・ドメインの名前を入力します。

  3. 「DNS サーバ・タイプ」プルダウン・メニューから [STUB] を選択します。

  4. ホスト名解決の照会順序を「ホスト名解決順序」フィールドで指定します。 プルダウン・メニューをオープンし,選択肢のリストから選択します。 「DNS データベース, ローカル, NIS」または「ローカル・ファイル, DNS データベース, NIS」を選択するのが一般的です。 特に後者が推奨されます。 選択した順序は,/etc/svc.conf ファイルに記録されます。

    上記の操作の代わりに,svcsetup スクリプトを実行して,サービスの順序の選択をカスタマイズすることもできます。 svc.conf ファイルの内容を変更する方法については,2.8.1 項svcsetup(8) を参照してください。

  5. [拡張 DNS オプション] ボタンを選択し,「拡張オプション」ダイアログ・ボックスを表示します。 このダイアログ・ボックスでは,DNS サーバの構成情報とキャッシュ・データを保存するディレクトリやファイルを変更できます。 必要に応じて変更を行い,[了解] を選択してダイアログ・ボックスをクローズします。

  6. [次へ] を選択して「Zones Served」リストを表示します。

    1. [追加] を選択して「ゾーンの追加」ダイアログ・ボックスを表示します。

    2. 「権限」フィールドで「Stub」ラジオ・ボタンを選択し,スタブ・ゾーン (ドメイン) の名前を入力します。

    3. マスタ・サーバのゾーン情報データベースのコピーを格納するローカル・ファイルの名前を入力します。 さらに,マスタ・サーバの IP アドレスも入力します。

    4. [了解] を選択して入力を確定します。 6a 〜 6d の手順を繰り返し,必要なエントリを追加します。 各ゾーンごとに,順引きルックアップと逆引きルックアップのエントリを少なくとも 1 つずつ追加する必要があります。

      たとえば,マスタ・サーバの /etc/namedb/named.conf ファイルが次のような内容であれば,スレーブ・サーバの「Zones Served」リストに,domain.suffix ゾーンと nn.nnn.in-addr.arpa ゾーンのエントリを追加します。

      zone domain.suffix {
           type master;
           file "hosts.db";
           };
       
      zone nn.nnn.in-addr.arpa {
           type master;
           file "hosts.rev";
           };
       
       
      

  7. [次へ] を選択して「ローカル・ネーム・サーバ」リストを表示します。

    1. [追加] を選択して「ネーム・サーバの追加」ダイアログ・ボックスを表示します。

    2. スタブ・サーバが自分でアドレスを解決できないときに照会するネーム・サーバのホスト名と IP アドレスを入力します。

    3. [了解] を選択して入力を確定します。 指定したサーバが既知のホストでない場合には [はい] を選択し,そのサーバを /etc/hosts ファイルに追加します。

      7a 〜 7c の手順を必要に応じて繰り返します。 ネーム・サーバは,2 〜 3 個指定するのが最適です。

    4. [次へ] を選択してネーム・サーバのリストを確定します。 指定したアドレスは,後で /etc/resolv.conf ファイルに記録されます。

  8. 適切なチェック・ボックスを選択して named デーモンを起動し,[次へ] を選択して続行します。 システムのホスト名の変更を求めるプロンプトが表示されます。

  9. 必要に応じて適切なチェック・ボックスを選択し,ホスト名を変更します。 ホスト名の変更を選択した場合には,アクセス制御リストへの localhost の追加を求めるプロンプトが表示されます。 名前を変更したシステムで GUI を正しく表示するには,[はい] を選択します。

  10. [次へ] を選択して続行し,続いて [完了] を選択します。 構成が保存され,named デーモンが起動されます。

    システムが DNS サーバとして正しく構成されたことを示すメッセージが表示されます。 [了解] を選択して「DNS サーバの設定」ダイアログ・ボックスをクローズします。

初期設定の後,サーバ構成を変更することもできます。 詳細は,オンライン・ヘルプを参照してください。

2.5.6    DNS クライアントの構成

DNS クライアントを構成するには,1.2.1 項 の説明に従って SysMan Menu を起動し,次の手順を実行します。

  1. SysMan Menu から [ネットワーク] --> [追加ネットワーク・サービス] --> [Domain Name Service (DNS(BIND))] --> [DNS クライアントとしてシステムを設定] を選択して, 「DNS クライアントの設定」ダイアログ・ボックスを表示します。

    代わりに,次のコマンドをコマンド行から入力することもできます。

    # /usr/bin/sysman dns_client
    

  2. 「ローカル・ドメイン」フィールドにローカル・ドメイン名を入力します。

  3. [追加] を選択して,ネーム・サーバを追加します。

  4. このネーム・サーバのホスト名および IP アドレスを入力します。

    入力したアドレスは /etc/resolv.conf ファイルに記録されます。 リゾルバは,これらのアドレスを使用して,照会先のネーム・サーバの IP アドレスを決定します。

  5. [了解] を選択して,ホスト名をネーム・サーバのリストに追加します。 指定したホストが /etc/hosts ファイルにリストされていない場合には,スクリプトは,ホストをこのファイルに追加するよう促すプロンプトを表示します。 [はい] または [いいえ] を選択します。

    他のネーム・サーバを追加するには,手順 3 から 5 を繰り返します。 ネーム・サーバは,3 つまで指定することができます。

  6. ホスト名クエリを解決する順序を,「ホスト名解決順序」フィールドに指示します。 プルダウン・メニューを開き,オプションのリストから選択します。 管理者は通常,「DNS データベース,ローカル・ファイル,NIS」という順序か,「ローカル・ファイル,DNS データベース,NIS」という順序のいずれかを使用しますが,推奨されているのは後者です。 選択内容は, /etc/svc.conf ファイルに記録されます。

    代わりに,svcsetup スクリプトを実行し,サービス順の選択肢をカスタマイズすることもできます。 svc.conf ファイルの変更方法については, 2.8.1 項 および svcsetup(8) を参照してください。

  7. 必要に応じて,アドレス解決のために代替ドメインを検索するようにシステムを構成します。

    検索するドメインをダイアログ・ボックスに入力する場合は,ローカル・ドメインを含めなければなりません。 そうしないと,DNS はローカル・ドメインを検索しません。 DNS は指定した順序でドメインを検索します。 このため,ローカル・ドメインはリストの先頭の項目として指定するのが最善です。

    検索するドメインを入力しない場合,DNS は省略時の指定としてローカル・ドメインを検索します。

    検索するドメインのリストを指定する手順は次のとおりです。

    1. [検索済みドメイン] を選択して,関連するダイアログ・ボックスを表示します。

    2. [追加] を選択して,「追加/修正」ダイアログ・ボックスを表示します。

    3. 検索するドメインを入力します。

    4. [了解] を選択して,エントリを確認します。 必要に応じて,手順 7b から 7d を繰り返します。 ドメインは,6 つまで指定することができます。

    5. [了解] を選択して,検索するドメインのリストを確認します。

  8. [了解] を選択して,構成を確認します。 スクリプトは,システムのホスト名を変更するよう促すプロンプトを表示します。

  9. [はい] または [いいえ] のうち,適切な方を選択します。 [はい] を選択してホスト名を変更すると,アクセス制御リストに localhost を追加するよう促すプロンプトが表示されます。 [はい] を選択すると,名前を変更したシステムにグラフィカル・ユーザ・インタフェースを表示できるようになります。

  10. [了解] を選択して,「DNS クライアントの設定」ダイアログ・ボックスを閉じます。

初期設定の後,クライアント構成を変更することもできます。 詳細は,オンライン・ヘルプを参照してください。

IPv6 ネットワーク環境で DNS クライアントの動的更新を使用可能にするには,次の手順を実行します。

  1. ip6_setup スクリプトを実行し,プロンプトに y と入力して IPv6 アドレスの動的更新を有効にします。 続いて,IPv6 ホストの完全修飾ドメイン名を指定します。 詳細については『ネットワーク管理ガイド:接続編』を参照してください。

  2. DNS/BIND サーバを構成し,更新を可能にします (2.5.1.2 項を参照)。

動的更新を使用可能にしない場合でも,ip6_setup スクリプトを実行しなければなりません。 ただしその場合には,DNS に対する特別な構成は不要です。

2.6    認証の構成

以降の項では,次の目的で DNS サーバの認証を構成する方法について説明します。

認証が効果を発揮するためには,サーバ間で非公開鍵の機密が保たれていることが前提になります。 このため,非公開鍵を頻繁に変更し,以降の項で説明する方法に従って鍵ファイルを保存して,鍵が漏洩しないようにしてください。

2.6.1    安全な動的更新の構成

IPv6 ゾーンの動的更新に nd6hostd デーモンを使用する場合には,該当するゾーンでは認証を使用可能にしないでください。 nd6hostd デーモンは,認証をサポートしていません。

新しい DNS クライアント (Microsoft Windows システム) から受信した動的更新を認証するようにマスタ・サーバを構成するには,次の手順に従います。

注意

SysMan Menu を使用して DNS マスタ・サーバを再構成すると,named.conf ファイルが上書きされるため,そのたびに次の手順を再実行してセキュア・クライアントの更新を使用可能にしなければなりません。

  1. dnskeygen コマンドを次のように使用して,非公開鍵を生成します。

    # dnskeygen -H size -h -c -n key-name
    

    非公開鍵のサイズはバイト単位で指定します。 有効サイズは,512,576,640,704,768,832,896,960,1024 です。 鍵のサイズが大きくなると扱いにくくなりますが,より安全になります。

    鍵には任意の名前を付けることができますが,鍵の識別を容易にするために,一定の命名ルールに従って名前を付けるのが最適です。 たとえば,xyz.corp.com ゾーン内のホストがマスタ・サーバ (marlin.xyz.corp.com) に動的更新を送信する場合,鍵の名前としては,xyznet-marlin_update などが考えられます。

    dnskeygen コマンドは,次の 2 つのファイルを生成します。

    以降では,前者を .key ファイル,後者を .private ファイルと呼びます。

    鍵の生成についての詳細は,リファレンス・ページの dnskeygen(1) を参照してください。

  2. 更新に使用する鍵構成ステートメントを含むファイルを作成します。 非公開鍵の漏洩を防ぐために,スーパユーザ以外には,このファイルの読み取りと書き込みを禁止します。 次のようなコマンドを実行します。

    # cd /etc/namedb
    # touch key-config-file
    # chmod 600 key-config-file
    

    必須ではありませんが,key-config-filenamed.keys という名前を付けることもできます。

  3. key-config-file に次の key ステートメントを追加して,.private ファイル内の鍵情報を組み込みます。

    key key-name {
        algorithm hmac-md5;
        secret "generated-key";
    };
    

    鍵ステートメントの key-name には鍵の名前,generated-key には .private ファイル内に記述されている非公開鍵全体を指定します。 .private ファイルを別のウィンドウでオープンし,必要な鍵のテキストをコピーしてからテキスト・エディタ・ウィンドウに貼り付ければ,鍵全体を確実に入力できます。 鍵を囲む引用符の間には,改行文字やスペース文字を入れないでください。 1 文字でも誤って入力すると,認証は失敗します。

  4. /etc/namedb/named.conf ファイルの先頭に,次の include ステートメントを追加します。

    include "/etc/namedb/key-config-file";
     
    

    key-config-file には,手順 2 と手順 3 で作成した鍵構成ファイルの名前を指定します。

    named デーモンは,起動時に DNS データ・ファイルを読み取ると,key-config-file にアクセスしてその内容を解析します。

  5. named.conf ファイル内のマスタ用 zone ステートメント (順引きルックアップ用と逆引きルックアップ用) に allow-update サブステートメントを追加して,マスタ・ゾーンの安全な動的更新を使用可能にします。

    zone "zone-name" {
            type master;
            file "file-name";
            allow-update {
                 key key-name;
            }; 
    };
     
    zone  "rev-ip.in-addr.arpa" { 
            type  master; 
            file "hosts.rev"; 
            allow-update { 
                 key key-name;
            }; 
    }; 
     
     
    

    key-name には,手順 2 と手順 3 で作成したファイルの名前を指定します。

    このステートメントで鍵を指定することによって,その非公開鍵で署名された更新のみが受け入れられるようになります。

  6. 次のコマンドを実行して named デーモンを再起動します。

    # /sbin/init.d/named restart
    

新しいホストからの安全な動的 DNS 更新をサポートするようにマスタ・サーバを構成すると,これらのホストをネットワークに追加する必要がある管理者に,必要に応じて非公開鍵を配布できます。 この鍵をネットワーク経由で配布すると漏洩の危険性があるため,磁気メディアや光磁気メディアで配布するのが最適です。

この鍵の配布用にフロッピィ・ディスクをフォーマットすることもできます。 Microsoft Windows 互換のフロッピィ・ディスクを Tru64 UNIX システムでフォーマットしたり読み取る方法については, mtools(1) を参照してください。 説明されているツールが利用できない場合には,OSFDOSTOOLS サブセットをインストールする必要があります。

Tru64 UNIX DNS サーバを使用しているネットワークで Microsoft Windows 2000 システムを構成する方法については,Tru64 UNIX のドキュメント・サイトにある Best Practice ドキュメント「Integrating Windows 2000 DNS Clients with Tru64 UNIX DNS Services」を参照してください。 Tru64 UNIX のドキュメント・サイトの URL は次のとおりです。

http://h30097.www3.hp.com/docs/best_practices/

なお,クライアントがマスタ・サーバに更新を送信しても,named デーモンは直ちにマスタ・データベース・ファイルを更新するわけではありません。 このデーモンは一時ファイル (database.ixfr および database.log) を作成し,データベースに変更を行えるようになるまで,これらのファイルに変更のログをとります。 ただし,このデーモンは,メモリ上では,更新内容を直ちに認識します。 更新されたことは,nslookup コマンドで確認できます (2.8.3.1 項を参照)。

2.6.2    安全なゾーン転送の構成

ゾーン転送で認証を行うようにマスタ・サーバとスレーブ・サーバを構成するには,次の手順に従います。

注意

SysMan Menu を使用して DNS を再構成すると,named.conf ファイルが上書きされるため,そのたびに次の手順を再実行して安全なゾーン転送を使用可能にしなければなりません。

  1. マスタ・サーバ上で,2.6.1 項で説明した手順 1 〜 4 を実行します。

    鍵には,ゾーン転送を表す名前を付けます。 たとえば,マスタ・サーバ marlin.xyz.corp.com がスレーブ・サーバ minnow.xyz.corp.com に,ゾーン xyz.corp.com を対象とした更新を送信する場合,鍵の名前としては,xyznet-marlin-minnow_transfer などが考えられます。

  2. マスタ・サーバ上で,/etc/namedb/named.conf ファイル内のマスタ用 zone ステートメント (順引きルックアップ用と逆引きルックアップ用) に,次のように allow-transfer サブステートメントを追加します。

    include "/etc/namedb/key-file";
                 .
                 .
                 .
    zone "zone-name" {
            type master;
            file "hosts.db";
            allow-transfer {
                 key key-name;
    				};
     
    zone  "rev-ip.in-addr.arpa" { 
            type  master; 
            file  "hosts.rev"; 
            allow-transfer { 
                 key key-name;
            }; 
     
    };
    

    key-name には,2.6.1 項の手順 2 および手順 3 で作成した鍵構成ファイル内の鍵の名前を指定します。

    このサーバ・ステートメントを追加することによって,マスタ・サーバは該当する非公開鍵で署名された要求の場合だけ,ゾーン転送を行うようになります。 また,マスタ・サーバは,ゾーン転送要求に鍵による署名を施してからスレーブ・サーバにデータを送信するようになります。

  3. マスタ・サーバ上の鍵構成ファイル (key-config-file または named.keys) をスレーブ・サーバに配布します。 このファイルをネットワーク経由で配布すると鍵が漏洩する危険性があるため,磁気メディアや光磁気メディアで配布するのが最適です。

    このファイルの配布用にフロッピィ・ディスクをフォーマットすることもできます。 Microsoft Windows 互換のフロッピィ・ディスクを Tru64 UNIX システムでフォーマットしたり読み取る方法については, mtools(1) を参照してください。 説明されているツールが利用できない場合には,OSFDOSTOOLS サブセットをインストールする必要があります。

    スレーブ・サーバ上で,スーパユーザ以外による読み取りや書き込みを禁止するパーミッションにします。

    # chmod 600 key-config-file
    

  4. スレーブ・サーバの named.conf ファイルに,key-config-file を組み込む include ステートメントを追加します。 さらに,追加した include ステートメントと最初の zone ステートメントの間に,server ステートメントを追加します。

    include "/etc/namedb/key-config-file";
            .
            .
            .
    server ip-address {
            keys {key-name};
    };
    

    key-config-file には,マスタ・サーバからコピーした鍵構成ファイルの名前を指定します。 ip-address には,マスタ・サーバの IP アドレスを指定します。 key-name には,key-config-file 内に記述した鍵の名前を指定します。

    server ステートメントを追加すると,スレーブ・サーバはマスタ・サーバからのゾーン転送要求に,非公開鍵で署名を行うようになります。 また,スレープ・サーバは,マスタ・サーバからの署名付きゾーン転送の認証を行ってから,データ・ファイルに反映するようになります。

  5. マスタ・サーバとスレーブ・サーバで次のコマンドを実行し,named デーモンを再起動します。

    # /sbin/init.d/named restart
    

2.6.3    認証の例

この項では,安全な動的更新と安全なゾーン転送の両方を実装する場合の named.keys ファイルと named.conf ファイルの例を紹介します。 これらの構成ファイルは,marlin.ocean.corp.com という名前の DNS マスタ・サーバと,minnow.ocean.corp.com という名前のスレーブ・サーバがあるネットワークを記述しています。

例 2-1:  認証用の named.keys ファイルの例

key oceannet-client_update {  [1]
        algorithm hmac-md5;  [2]
        secret "lSYbJjbTOLH2DB+kRpf0fcTJk0mOca90GDGdn5R7L2vPhyCx
daGhHp0o2pDU+PSzclE3Yk6Xg8jOkpRExx+2yw==";  [3]
};
 
key oceannet-marlin-minnow_transfer {  [4]
        algorithm hmac-md5;
        secret "648NyJi33LMhf00iavHjbkgqcTMJ7lZD4/r0DF9wgIQ2WH2b
peHLYjz2qYMrx1dMYw9E9gDp6F6LTMDHHCvFlw==";

例 2-1 の各行について,次に説明します。

  1. oceannet-client_update を定義しています。 この鍵は,ocean.corp.com ゾーン内のクライアントからの安全な動的更新に使用されます。 [例に戻る]

  2. 暗号化アルゴリズムを指定しています。 動的更新およびゾーン転送用の鍵は,hmac-md5 でなければなりません。 [例に戻る]

  3. 鍵文字列を指定しています。 この文字列には,スペースや改行を入れてはなりません。 [例に戻る]

  4. oceannet-marlin-minnow_transfer を定義しています。 この鍵は,マスタ・サーバ (marlin.ocean.corp.com) とスレーブ・サーバ (minnow.ocean.corp.com) 間のゾーン転送で使用されます。 [例に戻る]

例 2-2:  認証用の named.conf ファイル (マスタ・サーバ側) の例

include "/etc/namedb/named.keys";  [1]
 
options {
        directory  "/etc/namedb/";
};
 
zone  "0.0.127.in-addr.arpa" {
        type  master;
        file  "named.local";
};
 
zone  "ocean.corp.com" {
        type  master;
        file  "hosts.db";
        allow-update {
                key oceannet-client_update;  [2]
        };
        allow-transfer {
                key oceannet-marlin-minnow_transfer;  [3]
        };
};
 
zone  "6.134.20.in-addr.arpa" {
        type  master;
        file  "hosts.rev";
        allow-update {
                key oceannet-client_update;  [2]
        };
        allow-transfer {
                key oceannet-marlin-minnow_transfer;  [3]
        };
};
 
zone  "." {
        type  hint;
        file  "named.ca";
};

例 2-2 の各行について,次に説明します。

  1. 前述した named.keys ファイルを named.conf ファイルにインクルードします。 [例に戻る]

  2. ocean.corp.com ゾーンの動的更新を DNS データベースに反映する前に,鍵 oceannet-client_update で認証するように指定しています。 [例に戻る]

  3. データをスレーブ・サーバに送信する前に,ocean.corp.com ゾーンのゾーン転送要求を,鍵 oceannet-marlin-minnow_transfer で認証するように指定しています。 [例に戻る]

例 2-3:  認証用の named.conf ファイル (スレーブ・サーバ側) の例

include "/etc/namedb/named.keys";
 
server 20.134.6.2 {
        keys { oceannet-marlin-minnow_transfer };  [1]
};
 
options {
        directory  "/etc/namedb/";
};
 
zone  "0.0.127.in-addr.arpa" {
        type  master;
        file  "named.local";
};
 
zone  "pubs.zk3.dec.com" {
        type  slave;
        file  "/etc/namedb/hosts.db";
        masters  {
                20.134.6.2;  [2]
        };
};
 
zone  "6.134.20.in-addr.arpa" {
        type  slave;
        file  "/etc/namedb/hosts.rev";
        masters  {
                20.134.6.2;  [2]
        };
};
 
zone  "." {
        type  hint;
        file  "named.ca";
};
 
 

例 2-3 の各行について,次に説明します。

  1. 20.134.6.2 (marlin.ocean.corp.com) との通信には,スレーブ・サーバが必ず鍵 oceannet-marlin-minnow_transfer を使用して認証を行うように指定しています。 [例に戻る]

  2. 20.134.6.2ocean.corp.com ゾーンのマスタ・サーバであり,このサーバがゾーンの認証データを提供することを指定しています。 [例に戻る]

named.conf ファイルのステートメントについての詳細は, named.conf(4) と,「Tru64 UNIX Documentation」CD-ROM に収録されている 『Bind Configuration File Guide』 を参照してください。

2.7    DNS の構成の解除

Common Desktop Environment (CDE) のアプリケーション・マネージャの SysMan Menu を使用して,DNS サーバおよびクライアントの構成を解除します。 SysMan Menu アプリケーションを起動するには, 1.2.1 項 の手順に従ってください。

DNS の構成を解除すると,サービスが停止し,DNS サーバおよびクライアントの構成情報が,システムから削除されます。 この操作は,やり直すことができません。 DNS を回復するには,SysMan Menu を使用して再び構成しなければなりません。

DNS の構成を解除するには,次の手順を行います。

  1. SysMan Menu から [ネットワーク] --> [追加ネットワーク・サービス] --> [Domain Name Service (DNS(BIND))] --> [このシステムの DNS の設定解除] を選択して,「Deconfigure DNS」ダイアログ・ボックスを表示します。

    代わりに,次のコマンドをコマンド行から入力することもできます。

    # /usr/bin/sysman dns_deconfigure
    

  2. [はい] を選択すると,システム上の DNS の構成が解除されます。

  3. [了解] を選択すると,「Deconfigure DNS」ダイアログ・ボックスが閉じます。

2.8    DNS サーバと DNS クライアントの管理

この節では,DNS に関する次の作業について説明します。

2.8.1    svcsetup による svc.conf ファイルの変更方法

「BIND の設定」アプリケーションを実行しなくても/etc/svc.conf ファイルを変更できます。 これを行うには,次のコマンドを使用して svcsetup スクリプトを呼び出します。

# /usr/sbin/svcsetup

呼び出したら,次の手順に従って /etc/svc.conf ファイルを編集します。

  1. 続いて表示される情報メッセージに従って [Return] キーを押します。

  2. Configuration メニューから m オプションを選択して,[Return] キーを押します。

  3. Change メニューからオプション 2 を選択します。

    オプション 2 は hosts データベースに対応しています。

  4. システムで実行されているサービスを hosts データから照会する順序を示す番号を入力します。

    リストの先頭に local は,要求されている情報が /etc/hosts ファイルで最初に探索されることを意味します。 この情報がローカルで見つからない場合には,選択したオプションに応じて,DNS サーバ,NIS サーバ,またはその両方が照会されます。

    注意

    実行しているサービスの種類にかかわらず,システムによるデータベース照会で最初にローカル・サービスが照会されるように設定すれば,より高い性能が得られます。

    オプション 3 〜 6 のうちいずれか 1 つを選択して,DNS が hosts 情報を配布するように svc.conf ファイルを構成します。

    svcsetup スクリプトを実行すると,/etc/svc.conf ファイルを更新していることが表示されます。 svcsetup スクリプトがこのファイルの更新を終了すると,その旨がユーザに通知され,システム・プロンプト (#) が表示されます。

2.8.2    マスタ・サーバでの DNS データ・ファイルの更新方法

動的更新を構成していない場合には,新しいホストをネットワークに接続する際に,DNS データ・ファイルを手動更新する必要があります (動的更新の構成については,2.2 節および 2.5.1.2 項を参照してください)。

新しいホストを追加するには,次の手順に従ってください。

  1. /etc/namedb/src/hosts ファイルを編集し,新しいホストを追加します。

  2. /etc/namedb ディレクトリに移動し,次のコマンドのいずれか 1 つを入力します。

    # make hosts
    # make all
    

hosts ファイルを編集して make コマンドを入力すると,DNS 変換スクリプト (/etc/namedb/bin ディレクトリに格納されています) が,次のタスクを実行します。

  1. 新しい hosts データベース (hosts.db および hosts.rev) を作成します。

  2. 新しいデータベースを /etc/namedb ディレクトリに格納します。

  3. シグナルを named デーモンに送信し,変更されたすべてのデータベースを再ロードします。

注意

メール・エクスチェンジャ (MX) のレコードを named.local ファイルに手動で入力した場合には,これらのレコードは失われます。 named.local ファイルを編集して,これらの MX レコードを追加する必要があります。

DNS データベース変換スクリプトを実行することにより,データベース・ファイル内の SOA (start of authority) エントリのシリアル番号フィールドが増分され,スレーブ・サーバに対して,データをリフレッシュするタイミングであることが通知されます。

このプロセスは,マスタ・サーバの /etc/namedb/src ディレクトリにあるすべての有効なファイルについても同様です。 named.local および named.ca データベースを作成するために,いくつかのスクリプトが提供されています。

2.8.3    ホスト名および IP アドレス情報の取得方法

いくつかの方法によって,DNS を使用してシステムからホスト名についての情報,IP アドレス,およびユーザ情報を得ることができます。 次の各項では,nslookup および whois の 2 つのコマンドについて説明します。

2.8.3.1    nslookup コマンド

nslookup コマンドを使用すると,ローカルおよびリモートのドメインのホスト情報について DNS に照会できます。 メール・エクスチェンジャ (MX),ネーム・サーバ (NS) などの,DNS リソース・レコードの情報を検索することもできます。

非対話的な照会の場合は,次の構文を使用します。

nslookup hostname

サーバの名前とアドレス,およびホストの名前とアドレスが出力されます。

対話的な照会の場合は,次の構文を使用します。

nslookup

省略時のサーバの名前とアドレス,および nslookup プロンプト (>) が出力されます。

たとえば,MX についての情報を得るには,対話式で nslookup を実行して有効なドメイン名を提供する必要があります。 次の例に,ドメイン corp.com のメール受信ユーザを検索する方法を示します。

# nslookup
Default Server:  localhost
Address:  127.0.0.1
 
> set querytype=mx
> corp.com
Server:  localhost
Address:  127.0.0.1
findmx.corp.com      preference = 100, mail exchanger = gateway.corp.com
gateway.corp.com     inet address = 128.54.54.79
> [Ctrl/D]
# 

nslookup コマンドの使用方法を理解する良い方法は,実際に使用してみることです。 対話モードでの nslookup コマンドのオプションのリストを得るには, nslookupプロンプトで疑問符 (?)を入力します。 詳細については nslookup(1) を参照してください。

DNS リソース・レコードの数多い違うタイプについての詳細は,付録 G を参照してください。

2.8.3.2    NIC whois サービス

NIC (Network Information Center) whois サービスを使用すると,ドメインについての次の情報にアクセスできます。

たとえば,NIC whois サービスを使用して hp.com というドメイン名についての情報を得るには,次のように,whois コマンドを実行します。

# whois hp.com
Whois Server Version 1.3
 
Domain names in the .com, .net, and .org domains can now be registered
with many different competing registrars. Go to http://www.internic.net
for detailed information.
 
   Domain Name: HP.COM
   Registrar: NETWORK SOLUTIONS, INC.
   Whois Server: whois.networksolutions.com
   Referral URL: http://www.networksolutions.com
   Name Server: ATLREL1.HP.COM
   Name Server: ATLREL2.HP.COM
   Name Server: HPLB.HPL.HP.COM
   Name Server: PALREL1.HP.COM
   Name Server: PALREL2.HP.COM
   Updated Date: 26-mar-2002
 
 
>>> Last update of whois database: Mon, 15 Jul 2002 04:49:51 EDT <<<
 
The Registry database contains ONLY .COM, .NET, .ORG, .EDU domains and
Registrars.
 
 

出力によると,hp.com ドメインは Network Solutions, Inc. が登録しています。 hp.com ドメインについてさらに詳細に調べるには,次のように -h オプションを使用して,whois サーバに対して Network Solutions を個別に照会します。

# whois -h whois.networksolutions.com hp.com

.
.
.
Registrant: Hewlett-Packard Company (HP-DOM) 3000 Hanover Street Palo Alto, CA 94304 US   Domain Name: HP.COM   Administrative Contact, Technical Contact: HP Hostmaster (HH15-ORG) hostmaster@HP.COM Hewlett-Packard Company 3404 East Harmony Rd., MS 68 Fort Collins, CO 80528 U.S.A. 800-524-7638 Fax- 970-898-2836   Record expires on 04-Mar-2003. Record created on 03-Mar-1986. Database last updated on 15-Jul-2002 14:02:33 EDT.   Domain servers in listed order:   PALREL1.HP.COM 156.153.255.242 ATLREL1.HP.COM 156.153.255.210 PALREL2.HP.COM 156.153.255.234 ATLREL2.HP.COM 156.153.255.202 HPLB.HPL.HP.COM 192.6.10.2