ドメイン・ネーム・システム (DNS) は,企業のイントラネットあるいはインターネット上のサイトの未知のホスト名とインターネット・プロトコル (IP) アドレスを解決するためのメカニズムです。
DNS デーモンのデータベース・ルックアップ・サービスを利用すると,DNS によってネットワーク全体に分散されているローカルあるいはリモートの
hosts
データベースで未知のホストを探すことができます。
Tru64 UNIX における DNS のインプリメンテーションは,Internet Software Consortium (ISC) によって管理されている BIND (Berkeley Internet Name Domain) サービスのバージョン 8.2.2 をベースにしています。
BIND のバージョン 9 をインストールする場合は,Internet Express for Tru64 UNIX のキットからソフトウェアを入手できます。 Internet Express は,一般的なオープン・ソース・ソフトウェアを 1 枚の CD-ROM に集めたものです。 Internet Express についての詳細は,次の URL を参照してください。
http://h50146.www5.hp.com/products/software/oe/tru64unix/internet/
この章では,次のことについて説明します。
DNS
についての基本的な説明については,
bind_intro
(7)
注意
BIND サーバ・デーモン (
/usr/sbin/named
) が AAAA (IPv6 アドレス・エントリ) 検索をサポートしているのは,IPv4 (AF_INET) コネクション上のみです。 リゾルバとサーバは,IPv6 には移植されていません。 ただし,IPv6 アプリケーションは,getaddrinfo
呼び出しとgetnameinfo
呼び出しを使用して AAAA レコードを取り出すことができます。 これらのルーチンの使用方法については,『ネットワーク・プログラミング・ガイド』を参照してください。
サーバのトラブルシューティング情報については,9.3 節
および
第 11 章
を,
クライアントのトラブルシューティング情報については,9.4 節
を参照してください。
2.1 DNS 環境
マスタ・サーバ
1 つあるいは複数のゾーンに関する情報の正式な情報源となるシステムで,それらのゾーンに対する DNS データベースのマスタ・コピーをメンテナンスします。
マスタ・サーバは
named
デーモンを実行し,クライアントあるいは他のサーバからの要求に応答し,情報をキャッシュし,スレーブ・サーバにデータベースを配布します。
スレーブ・サーバ
1 つあるいは複数のゾーンに関する情報の正式な情報源となるシステムですが,DNS データベースのマスタ・コピーのメンテナンスは行いません。 ファイルがアップデートされたとマスタ・サーバが指示したときに,スレーブ・サーバはマスタ・サーバからデータベース・ファイルをロードします。
スレーブ・サーバは
named
デーモンを実行し,
マスタ・サーバのバックアップとして機能し,
クライアントあるいは他のサーバからの要求に応答し,情報をキャッシュします。
スタブ・サーバ
サーバをローカルにするように指定されたサブゾーンに対する権限を,サブゾーンに委任するマスタ・サーバです。
スタブ・サーバは構成ファイル内に,指定されたサブゾーンにあるマシンについての情報を保持しません。 マスタ DNS データベースを検索する代わりにスタブ・サーバは,サブゾーンにあるマシンについての情報をローカルサーバに求めます。
通常,スタブ・サービスは実装されているので,マスタ・サーバ上の構成ファイルに影響を及ぼすことなく, サブゾーンの管理者はサブゾーンの構成を変更できます。
キャッシング専用サーバ
このシステムは,どのゾーンに対しても正式な情報源とはなりません。
このシステムは
named
デーモンを実行し,他のサーバに情報を求め受信したデータをキャッシングすることにより,他のサーバおよびクライアントからの照会をサービスします。
情報は,期限切れになるまで保管されます。
通常,キャッシング専用サーバはインターネットに直接アクセスし, インターネット上のサイトについてを除き,要求に応答します。
転送専用サーバ
1 つまたは複数のゾーンに関する情報の正式な情報源となるシステムで, 正式ではないゾーンに関する情報を得る方法については,制限されています。
このシステムは
named
デーモンを実行し,
正式な日付とキャッシュ・データからの情報で,他のサーバやクライアントからの要求に応答します。
情報が現在のものではない場合,
システムは要求を
named.conf
ファイル内でフォワーダとして指定されているシステムのリストへ転送します。
リストが空になるか,要求が応答されるまで,各フォワーダ・システムへ要求は転送されます。
転送専用サーバはデータが期限切れになるまで,受け取った情報を保管します。
通常,転送専用サーバはイントラネットまたはインターネットへのアクセスに制限があります。 管理者はコンタクトするフォワーダを指定したリストを用意することにより, 転送専用サーバをアクセスできないサーバにコンタクトするのを防ぐことができます。
クライアント
サーバにホスト名とアドレスを照会し,応答を解釈し,要求を出しているアプリケーションに情報を渡すシステムです。
クライアントはリゾルバとも呼ばれます。
クライアントは
named
デーモンを実行しません。
注意
バージョン 8.1.1 以前の BIND についてのドキュメントでは,マスタ・サーバを 1 次サーバとして,スレーブ・サーバを 2 次サーバとしていました。 用語が変更になりましたが,ゾーンについてはまだ,マスタ・サーバおよびスレーブ・サーバは,それぞれ 1 次権限,2 次権限を持つというように表現されています。
DNS はネットワークの各システムで実行します。 DNS 環境を構築する際には,環境内の各システムにどのような役割を負わすかを決める必要があります。 各ドメインで,マスタ・サーバとなる 1 つのホストを選択します。 各ドメインにはマスタ・サーバを 1 だけ設置します。 スレーブ・サーバ,スタブ・サーバ,キャッシング専用サーバは,1 つあるいは複数選択することができます。 その他のホストは DNS クライアントとして構成します。
図 2-1に,それぞれのサブネットに 1 つのサーバを持ち,
合計 2 つのサーバと複数のクライアントを持つドメインの例を示します。
マスタ・サーバであるサーバ A は 一方のゾーンの1 次サーバで,そのゾーンのデータベース・ファイルをメンテナンスします。
スレーブ・サーバであるサーバ B はそのゾーンの 2 次サーバで,サーバ A からゾーン・データベースのコピーを入手し,クライアントからの照会に応答します。
図 2-1: 小規模な DNS 構成の例
図 2-2に示すのは, mktg.corp.com,eng.corp.com,および acct.corp.com の 3 つのゾーンを含むドメインの例です。 サーバ B は mktg.corp.com ゾーンのマスタ・サーバで,他の 2 つのゾーンのスレーブ・サーバでもあります。 mktg.corp.com の 1 次権限と他の 2 つのゾーンのそれぞれに 2 次権限を持ちます。 サーバ C は eng.corp.com ゾーンの 1 次権限と他の 2 つのゾーンの 2 次権限を持ちます。 サーバ D は acct.corp.com ゾーンの 1 次権限と他の 2 つの 2 次権限を持ちます。 サーバ A は,ルータでありキャッシング専用サーバでもあります。 サーバ A は,キャッシング専用サーバとして,親ドメインからの照会で受け取った情報をキャッシュします。
同じ例で,3 つのゾーンが 3 つの違った市や国にロケートされている場合,サーバ A を mktg.corp.com で他の 2 つのリモート・ゾーンのスタブ・サーバとして構成できます。
このように,リモート・サイトのすべてのリーソース・レコードは,
eng.corp.com ドメインおよび acct.corp.com ドメインに対してローカルのサーバ (サーバ C およびサーバ D) にあります。
マスタ・サーバであるサーバ A は,各サブドメインに対してローカルなネーム・サーバのリソース・レコードだけを保持します。
サーバ A は,サーバ A のマスタ DNS データベースを検索する代わりに eng.corp.com ドメインおよび acct.corp.com ドメインにあるマシンについての情報を,サーバ C およびサーバ D に照会します。
図 2-2: 大規模な DNS 構成の例
通常,新しいホストをネットワークに接続する際には,DNS データベースを再構築する必要があります (2.8.2 項を参照)。 DNS データベースを更新しないと,ネットワーク上の他のコンピュータは,新しいホストのアドレスを解決できません。
ただし,IPv6 ネットワーク用に構成した Tru64 UNIX システムや,Microsoft Windows システムなど,DNS データベースを自動的に更新できるクライアントもあります。
これらのクライアントは,動的更新をサポートしています。
動的更新がサポートされると,ホストがネットワークに追加されたり,ネットワークから削除されたときに,ホストが DNS マスタ・サーバへ通知することができます。
クライアントが自分の IP アドレスとホスト名を指定すれば,DNS マスタ・データ・ファイルの内容は,named
デーモンによって自動的に変更されます。
マスタ・サーバ管理者の介入は不要で,大規模なネットワークでの管理者の負担が大幅に軽減されます。
DNS マスタ・サーバで動的更新を構成する方法については,2.5.1.2 項を参照してください。
2.3 動的更新とゾーン転送の認証
DNS サーバは,他のシステムから受信したデータの暗号化認証機能を備えています。 認証を行えば,悪意のあるシステムが他のシステムを装って偽の DNS データ・ファイル更新をサーバに送信する可能性を減らすことができます。
このオペレーティング・システムは,対称型暗号化をサポートしています。 この暗号化方式では,複数のシステムが DNS 認証用の 1 つの非公開鍵を共有します。 DNS 更新を他のシステムに送信するシステムは,この鍵を使用して,更新情報に含まれるデータに対応する固有の電子署名を生成します。 システムはこの署名を更新情報に添付し,情報全体をターゲット・システムに送信します。 署名付きの更新を受信したシステムは,同じ非公開鍵を使用して電子署名を新たに生成して,データの確認を行います。 2 つの署名が一致すれば,その更新は信頼できるシステムから送信されたものであり,使用しても安全であると判断されます。
暗号化認証は,次のような数多くの用途に利用できます。
動的更新のセキュリティ確保 -- クライアントから受信した更新を,マスタ・サーバが認証します。
ゾーン更新のセキュリティ確保 -- スレーブ・サーバから受信したゾーン転送要求をマスタ・サーバが認証してから,スレーブ・サーバでもマスタ・サーバから受信したゾーン転送を認証します。
どちらの場合も,信頼できるホストによって正しく署名されたデータ以外は,拒否されます。
動的更新およびゾーン転送の認証を構成する方法については,2.6 節を参照してください。
2.4 DNS の計画
図 2-3
は,DNS を構成する際に必要な情報を記録するのに使用できる DNS 設定ワークシートを示しています。
本書をオンラインで参照されている場合は,ブラウザのプリント機能を使用してこのワークシートをプリントできます。
この後の項で,ワークシートに記録するのに必要な情報について説明します。
図 2-3: DNS 設定ワークシート
マスタ・サーバの場合は,1 次権限を持っているサーバのドメインです。
クライアント・システムの場合は,ローカル・システムが一部分である親ドメインです。
たとえば,システムのドメイン名が
cxcxcx.abc.xyz.com
の場合,ローカル・ドメイン名は
abc.xyz.com
です。
ローカル
/etc/hosts
ファイル,DNS データベース,および NIS データベースのホスト名解決における照会順序。
各アイテムの隣に適切な番号を記入することによって,ワークシート上に順序を示します。 以下の順序をお勧めします。
ローカル・ホスト・ファイル
DNS データベース
NIS データベース
クライアントの動的更新を使用可能にする場合は Yes,動的更新を使用可能にしない場合は No をチェックします。
クライアントから受信した DNS データベース更新をマスタ・サーバで認証する場合は「動的更新」,マスタ・サーバとスレーブ・サーバ間のゾーン転送を認証する場合は「ゾーン転送」,認証が不要であれば「無し」をチェックします。
nd6hostd
デーモンを使用して IPv6 ゾーンの動的更新を行う場合には,該当するゾーンの認証は使用可能にしないでください。
nd6hostd
デーモンは認証をサポートしていません。
ゾーンにおける最上位ドメインのドメイン名を指定します。
サーバがゾーンのマスタ・サーバの場合は (ゾーン・データベース・ファイルとして運用されている),「プライマリ」をチェックします。 サーバがゾーンのスレーブ・サーバの場合は (マスタからゾーン・データベース・ファイルをコピーする),「セカンダリ」をチェックします。
マスタ・サーバの場合は,ゾーン情報のマスタ・データベースを格納するファイルのフル・パス名を指定します。
スレーブ・サーバ (スタブ・サーバ) の場合は,マスタ・サーバのデータベースのローカル・コピーを格納するファイルのフル・パス名を指定します。 さらに,マスタ・サーバの IP アドレスも指定します。
ローカルに解決できない場合にサーバが照会を転送する,1 つあるいは複数のシステムのホスト名を指定します。 キャッシュの情報では応答できないような照会を受信した場合,サーバはフォワーダにその照会を転送します。 フォワーダがその照会に応答できない場合は,他のサーバに直接照会することもあります。 システムが転送専用サーバの場合は,いくつかのフォワーダ名を記述しておく必要があります。 システムが転送専用サーバでない場合は,フォワーダの指定はオプションです。
ホスト名を解決するときに接続するサーバ名です。 最高 3 つまで指定します。
サーバの IP アドレスです。
ローカルの
/etc/hosts
ファイル,DNS データベース,および NIS データベースを,ホスト名解決において照会する順序。
各アイテムの隣に適切な番号を記入することによって,ワークシート上に順序を示します。 以下の順序をお勧めします。
ローカル・ホスト・ファイル
DNS データベース
NIS データベース
共通デスクトップ環境 (CDE) のアプリケーション・マネージャの SysMan Menu を使用して,DNS をサーバとクライアント上に構成します。 SysMan Menu を起動するには,1.2.1 項 の手順に従ってください。
DNS を構成するときには,最初にマスタ・サーバを設定しなければなりません。
他のシステムは,どの順序でも構成することができます。
2.5.1 マスタ・サーバの構成
マスタ・サーバを構成するには,次の手順に従ってください。
注意
IPv6 マスタ・サーバを構成する場合には,2.5.1.1 項も参照してください。
/etc/namedb/src
ディレクトリに,DNS hosts データベースに変換する hosts ファイルをコピーします。
hosts データベースを作成する元になる新しいファイルを作成するには,マスタ・サーバのローカルな
/etc/hosts
ファイルを更新して (『ネットワーク管理ガイド:接続編』を参照),同じ
hosts
ファイル名を使用して,/etc/namedb/src
ディレクトリにコピーします。
システムが自分の DNS ドメイン内にあり,DNS を実行していても,マスタ・サーバの hosts データベースに含まれていなければ,そのドメイン内の他のシステムは,ドメインの IP アドレスを取得することができません。
SysMan Menu から [ネットワーク] --> [追加ネットワーク・サービス] --> [Domain Name Service (DNS(BIND))] --> [DNS サーバとしてシステムを設定] を選択して, 「DNS サーバの設定」ダイアログ・ボックスを表示します。
代わりに,次のコマンドをコマンド行から入力することもできます。
# /usr/bin/sysman dns_server
「ローカル・ドメイン」フィールドにローカル・ドメインの名前を入力します。 ローカル・ドメインとは,対象のマスタ・サーバがプライマリの権限を持つドメインのことです。
「DNS サーバ・タイプ」プルダウン・メニューから [MASTER] を選択します。
ホスト名解決の照会順序を「ホスト名解決順序」フィールドで指定します。
プルダウン・メニューをオープンし,選択肢のリストから選択します。
「DNS データベース, ローカル, NIS」または「ローカル・ファイル, DNS データベース, NIS」を選択するのが一般的です。
特に後者が推奨されます。
選択した順序は,/etc/svc.conf
ファイルに記録されます。
上記の操作の代わりに,svcsetup
スクリプトを実行して,サービスの順序の選択をカスタマイズすることもできます。
svc.conf
ファイルの内容を変更する方法については,2.8.1 項と
svcsetup
(8)
[拡張 DNS オプション] ボタンを選択し,「拡張オプション」ダイアログ・ボックスを表示します。 このダイアログ・ボックスでは,DNS サーバの構成情報とキャッシュ・データを保存するディレクトリやファイルを変更できます。 必要に応じて変更を行い,[了解] を選択してダイアログ・ボックスをクローズします。
[次へ] を選択して「ローカル・ネーム・サーバ」リストを表示します。
[追加] を選択して「ネーム・サーバの追加」ダイアログ・ボックスを表示します。
マスタ・サーバが自分でアドレスを解決できないときに照会するネーム・サーバのホスト名と IP アドレスを入力します。
[了解] を選択して入力を確定します。
指定したサーバが既知のホストでない場合には [はい] を選択し,そのサーバを
/etc/hosts
ファイルに追加します。
7a 〜 7c の手順を必要に応じて繰り返します。 ネーム・サーバは,2 〜 3 個指定するのが最適です。
[次へ] を選択してネーム・サーバのリストを確定します。
指定したアドレスは,後で
/etc/resolv.conf
ファイルに記録されます。
適切なチェック・ボックスを選択して DNS データベースを作成します。
使用するソース・ファイルの名前を「ホスト・ファイル」フィールドに指定します。
手順 1 で作成したファイルを使用する場合は
/etc/namedb/src/hosts
を指定します。
または,省略時の
/etc/hosts
ファイルを使用します。
[次へ] を選択して次の手順に進みます。
適切なチェック・ボックスを選択して
named
デーモンを起動し,[次へ] を選択して続行します。
システムのホスト名の変更を求めるプロンプトが表示されます。
必要に応じて適切なチェック・ボックスを選択し,ホスト名を変更します。
ホスト名の変更を選択した場合には,アクセス制御リストへの
localhost
の追加を求めるプロンプトが表示されます。
名前を変更したシステムで GUI を正しく表示するには,[はい] を選択します。
[次へ] を選択して続行し,続いて [完了] を選択します。
構成が保存され,named
デーモンが起動されます。
システムが DNS サーバとして正しく構成されたことを示すメッセージが表示されます。 [了解] を選択して「DNS サーバの設定」ダイアログ・ボックスをクローズします。
初期設定の後,サーバ構成を変更することもできます。 詳細は,オンライン・ヘルプを参照してください。
IPv6 または Microsoft Windows のネットワーク環境で DNS マスタ・サーバの動的更新を使用可能にする方法については,2.5.1.2 項および
2.6 節を参照してください。
2.5.1.1 IPv6 マスタ・サーバの構成
IPv6 マスタ・サーバを構成する方法は IPv4 マスタ・サーバの場合と似ていますが,いくつかの相違点もあります。
以降の項では,これらの相違点について説明します。
2.5.1.1.1 DNS 構成ファイル
/usr/examples/ipv6/namedb
ディレクトリには,参考にしたりユーザの環境に適用できるサンプルの IPv6 情報が入った DNS 構成ファイルが格納されています。
このディレクトリにあるファイルのうち,次のファイルには,逆引きルックアップ・アドレスおよび動的更新の例を示す IPv6 情報が格納されています。
/usr/examples/ipv6/namedb/ipv6.rev
/usr/examples/ipv6/namedb/ipv6.db
/usr/examples/ipv6/namedb/named.conf
これらのファイルを環境に応じてカスタマイズした後,/etc/namedb
ディレクトリ内にある既存のファイルをバックアップしてから,カスタマイズしたファイルをこのディレクトリに移します。
2.5.1.1.2 サーバ構成のガイドライン
DNS サーバを IPv6 ネットワーク環境用に構成する際には,次のガイドラインに従ってください。
IPv6 ネーム・サーバとして使用するノードを 1 つ選択します。
1 つのゾーン全体を IPv6 アドレス専用にするか,組織内の現在のゾーンに IPv6 アドレスを追加します。
グローバル IPv6 ネーム・サービスが必要な場合は,ip6.int
ドメイン下のドメインを 1 つ,IPv6 アドレスの逆引きルックアップ用にしなければなりません。
逆引きルックアップ用ドメインを要求するには,次のアドレスにメールを送信します。
bmanning@isi.edu
詳細については,RFC 1886 を参照してください。
逆引きルックアップ・ゾーン名の作成については,『ネットワーク管理ガイド:接続編』の説明を参照してください。
システムがすでに DNS サーバとして構成されている場合には,/etc/resolv.conf
ファイルの内容を次のように変更して,名前のルックアップ先がローカル・ノードを指すようにします。
nameserver 127.0.0.1
IPv6 または Microsoft Windows のネットワーク環境で DNS マスタ・サーバの動的更新を使用可能にするには,次の手順を実行します。
注意
SysMan Menu を使用して DNS マスタ・サーバを再構成すると,
named.conf
ファイルが上書きされるため,そのたびに次の手順を再実行して動的更新を使用可能にしなければなりません。
/etc/namedb/named.conf
ファイルを編集して,動的更新を使用可能にするマスタ・ゾーン・ステートメント (順引きルックアップと逆引きルックアップ) に,次のように
allow-update
サブステートメントを追加します。
zone "zone-name" { type master; file "file-name"; allow-update { any; }; }; zone "rev-ip.in-addr.arpa" { type master; file "file-name.rev"; allow-update { any; }; };
たとえば,IPv6 ゾーンで動的更新を使用可能にする場合には,変更後のゾーン・ステートメントは次のようになります。
zone "ipv6.site1.corp.example" { type master; file "ipv6.site1.db"; allow-update { any; }; }; zone "0.4.c.8.0.0.0.4.c.8.0.1.0.0.1.2.0.0.f.5.IP6.INT" { type master; file "ipv6.site1.rev"; allow-update { any; }; };
allow-update
サブステートメントで
any
を指定すると,マスタ DNS データベースの更新がすべてのクライアントに許可されます。
マスタ DNS データベースへのアクセスを制限するには,動的更新の認証を使用可能にします。
動的認証を使用可能にする方法については,2.6 節を参照してください。
(ただし,IPv6 クライアント上の
nd6hostd
デーモンは,認証をサポートしていません。)
named
デーモンを起動または再起動します。
詳細については,オンライン・ヘルプを参照してください。
Tru64 UNIX DNS サーバを使用しているネットワークで Microsoft Windows 2000 システムを構成する方法については,Tru64 UNIX のドキュメント・サイトにある Best Practice ドキュメント「Integrating Windows 2000 DNS Clients with Tru64 UNIX DNS Services」を参照してください。 Tru64 UNIX のドキュメント・サイトの URL は次のとおりです。
http://h30097.www3.hp.com/docs/best_practices/
2.5.2 スレーブ・サーバの構成
スレーブ・サーバを構成するには,1.2.1 項 の説明に従って SysMan Menu を起動し,次の手順を実行します。
SysMan Menu から [ネットワーク] --> [追加ネットワーク・サービス] --> [Domain Name Service (DNS(BIND))] --> [DNS サーバとしてシステムを設定] を選択して, 「DNS サーバの設定」ダイアログ・ボックスを表示します。
代わりに,次のコマンドをコマンド行から入力することができます。
# /usr/bin/sysman dns_server
「ローカル・ドメイン」フィールドにローカル・ドメインの名前を入力します。
「DNS サーバ・タイプ」プルダウン・メニューから [SLAVE] を選択します。
ホスト名解決の照会順序を「ホスト名解決順序」フィールドで指定します。
プルダウン・メニューをオープンし,選択肢のリストから選択します。
「DNS データベース, ローカル, NIS」または「ローカル・ファイル, DNS データベース, NIS」を選択するのが一般的です。
特に後者が推奨されます。
選択した順序は,/etc/svc.conf
ファイルに記録されます。
上記の操作の代わりに,svcsetup
スクリプトを実行して,サービスの順序の選択をカスタマイズすることもできます。
svc.conf
ファイルの内容を変更する方法については,2.8.1 項と
svcsetup
(8)
[拡張 DNS オプション] ボタンを選択し,「拡張オプション」ダイアログ・ボックスを表示します。 このダイアログ・ボックスでは,DNS サーバの構成情報とキャッシュ・データを保存するディレクトリやファイルを変更できます。 必要に応じて変更を行い,[了解] を選択してダイアログ・ボックスをクローズします。
[次へ] を選択して「Zones Served」リストを表示します。
[追加] を選択して「ゾーンの追加」ダイアログ・ボックスを表示します。
「権限」フィールドで「Slave」ラジオ・ボタンを選択し,サーバがセカンダリの権限を持つゾーン (ドメイン) の名前を入力します。
マスタ・サーバのゾーン情報データベースのコピーを格納するローカル・ファイルの名前を入力します。 さらに,マスタ・サーバの IP アドレスも入力します。
[了解] を選択して入力を確定します。 6a 〜 6d の手順を繰り返し,必要なエントリを追加します。 各ゾーンごとに,順引きルックアップと逆引きルックアップのエントリを少なくとも 1 つずつ追加する必要があります。
たとえば,マスタ・サーバの
/etc/namedb/named.conf
ファイルが次のような内容であれば,スレーブ・サーバの「Zones Served」リストに,domain.suffix
ゾーンと
nn.nnn.in-addr.arpa
ゾーンのエントリを追加します。
zone domain.suffix { type master; file "hosts.db"; }; zone nn.nnn.in-addr.arpa { type master; file "hosts.rev"; };
[次へ] を選択して「ローカル・ネーム・サーバ」リストを表示します。
[追加] を選択して「ネーム・サーバの追加」ダイアログ・ボックスを表示します。
スレーブ・サーバが自分でアドレスを解決できないときに照会するネーム・サーバのホスト名と IP アドレスを入力します。
[了解] を選択して入力を確定します。
指定したサーバが既知のホストでない場合には [はい] を選択し,そのサーバを
/etc/hosts
ファイルに追加します。
7a 〜 7c の手順を必要に応じて繰り返します。 ネーム・サーバは,2 〜 3 個指定するのが最適です。
[次へ] を選択してネーム・サーバのリストを確定します。
指定したアドレスは,後で
/etc/resolv.conf
ファイルに記録されます。
適切なチェック・ボックスを選択して
named
デーモンを起動し,[次へ] を選択して続行します。
システムのホスト名の変更を求めるプロンプトが表示されます。
必要に応じて適切なチェック・ボックスを選択し,ホスト名を変更します。
ホスト名の変更を選択した場合には,アクセス制御リストへの
localhost
の追加を求めるプロンプトが表示されます。
名前を変更したシステムで GUI を正しく表示するには,[はい] を選択します。
[次へ] を選択して続行し,続いて [完了] を選択します。
構成が保存され,named
デーモンが起動されます。
システムが DNS サーバとして正しく構成されたことを示すメッセージが表示されます。 [了解] を選択して「DNS サーバの設定」ダイアログ・ボックスをクローズします。
初期設定の後,サーバ構成を変更することもできます。
詳細は,オンライン・ヘルプを参照してください。
2.5.3 キャッシング専用サーバの構成
キャッシング専用サーバを構成するには,1.2.1 項 の説明に従って SysMan Menu を起動し,次の手順を実行します。
SysMan Menu から [ネットワーク] --> [追加ネットワーク・サービス] --> [Domain Name Service (DNS(BIND))] --> [DNS サーバとしてシステムを設定] を選択して,「DNS サーバの設定」ダイアログ・ボックスを表示します。
代わりに,次のコマンドをコマンド行から入力することもできます。
# /usr/bin/sysman dns_server
「ローカル・ドメイン」フィールドにローカル・ドメインの名前を入力します。
「DNS サーバ・タイプ」プルダウン・メニューから [CACHING] を選択します。
ホスト名解決の照会順序を「ホスト名解決順序」フィールドで指定します。
プルダウン・メニューをオープンし,選択肢のリストから選択します。
「DNS データベース, ローカル, NIS」または「ローカル・ファイル, DNS データベース, NIS」を選択するのが一般的です。
特に後者が推奨されます。
選択した順序は,/etc/svc.conf
ファイルに記録されます。
上記の操作の代わりに,svcsetup
スクリプトを実行して,サービスの順序の選択をカスタマイズすることもできます。
svc.conf
ファイルの内容を変更する方法については,2.8.1 項と
svcsetup
(8)
[拡張 DNS オプション] ボタンを選択し,「拡張オプション」ダイアログ・ボックスを表示します。 このダイアログ・ボックスでは,DNS サーバの構成情報とキャッシュ・データを保存するディレクトリやファイルを変更できます。 必要に応じて変更を行い,[了解] を選択してダイアログ・ボックスをクローズします。
[次へ] を選択して「ローカル・ネーム・サーバ」リストを表示します。
[追加] を選択して「ネーム・サーバの追加」ダイアログ・ボックスを表示します。
キャッシュ専用サーバが自分でアドレスを解決できないときに照会するネーム・サーバのホスト名と IP アドレスを入力します。
[了解] を選択して入力を確定します。
指定したサーバが既知のホストでない場合には [はい] を選択し,そのサーバを
/etc/hosts
ファイルに追加します。
6a 〜 6c の手順を必要に応じて繰り返します。 ネーム・サーバは,2 〜 3 個指定するのが最適です。
[次へ] を選択してネーム・サーバのリストを確定します。
指定したアドレスは,後で
/etc/resolv.conf
ファイルに記録されます。
適切なチェック・ボックスを選択して
named
デーモンを起動し,[次へ] を選択して続行します。
システムのホスト名の変更を求めるプロンプトが表示されます。
必要に応じて適切なチェック・ボックスを選択し,ホスト名を変更します。
ホスト名の変更を選択した場合には,アクセス制御リストへの
localhost
の追加を求めるプロンプトが表示されます。
名前を変更したシステムで GUI を正しく表示するには,[はい] を選択します。
[次へ] を選択して続行し,続いて [完了] を選択します。
構成が保存され,named
デーモンが起動されます。
システムが DNS サーバとして正しく構成されたことを示すメッセージが表示されます。 [了解] を選択して「DNS サーバの設定」ダイアログ・ボックスをクローズします。
初期設定の後,サーバ構成を変更することもできます。
詳細は,オンライン・ヘルプを参照してください。
2.5.4 転送専用サーバの構成
転送専用サーバを構成するには,1.2.1 項 の説明に従って SysMan Menu を起動し,次の手順を実行します。
SysMan Menu から [ネットワーク] --> [追加ネットワーク・サービス] --> [Domain Name Service (DNS(BIND))] --> [DNS サーバとしてシステムを設定] を選択して,「DNS サーバの設定」ダイアログ・ボックスを表示します。
代わりに,次のコマンドをコマンド行から入力することもできます。
# /usr/bin/sysman dns_server
「ローカル・ドメイン」フィールドにローカル・ドメインの名前を入力します。
「DNS サーバ・タイプ」プルダウン・メニューから [FORWARDER] を選択します。
ホスト名解決の照会順序を「ホスト名解決順序」フィールドで指定します。
プルダウン・メニューをオープンし,選択肢のリストから選択します。
「DNS データベース, ローカル, NIS」または「ローカル・ファイル, DNS データベース, NIS」を選択するのが一般的です。
特に後者が推奨されます。
選択した順序は,/etc/svc.conf
ファイルに記録されます。
上記の操作の代わりに,svcsetup
スクリプトを実行して,サービスの順序の選択をカスタマイズすることもできます。
svc.conf
ファイルの内容を変更する方法については,2.8.1 項と
svcsetup
(8)
[拡張 DNS オプション] ボタンを選択し,「拡張オプション」ダイアログ・ボックスを表示します。 このダイアログ・ボックスでは,DNS サーバの構成情報とキャッシュ・データを保存するディレクトリやファイルを変更できます。 必要に応じて変更を行い,[了解] を選択してダイアログ・ボックスをクローズします。
[次へ] を選択して「フォワーダ」リストを表示します。
適切なチェック・ボックスを選択し,システムを転送専用サーバとして構成することを指定します。
[追加] を選択して「フォワーダの追加」ダイアログ・ボックスを表示します。
フォワーダの IP アドレスを入力します。 フォワーダとは,転送専用サーバが,リモート・ネットワーク (インターネットなど) 上のアドレスを照会するネーム・サーバのことです。
[了解] を選択して入力を確定します。
指定したサーバが既知のホストでない場合には [はい] を選択し,そのサーバを
/etc/hosts
ファイルに追加します。
6b 〜 6d の手順を必要に応じて繰り返します。 フォワーダは,2 〜 3 個指定するのが最適です。
[次へ] を選択してフォワーダのリストを確定します。
指定したアドレスは,後で
/etc/resolv.conf
ファイルに記録されます。
[次へ] を選択して「ローカル・ネーム・サーバ」リストを表示します。
[追加] を選択して「ネーム・サーバの追加」ダイアログ・ボックスを表示します。
転送専用サーバがローカル・ネットワークのアドレスを照会するネーム・サーバのホスト名と IP アドレスを入力します。
[了解] を選択して入力を確定します。
指定したサーバが既知のホストでない場合には [はい] を選択し,そのサーバを
/etc/hosts
ファイルに追加します。
7a 〜 7c の手順を必要に応じて繰り返します。 ネーム・サーバは,2 〜 3 個指定するのが最適です。
[次へ] を選択してネーム・サーバのリストを確定します。
指定したアドレスは,後で
/etc/resolv.conf
ファイルに記録されます。
適切なチェック・ボックスを選択して
named
デーモンを起動し,[次へ] を選択して続行します。
システムのホスト名の変更を求めるプロンプトが表示されます。
必要に応じて適切なチェック・ボックスを選択し,ホスト名を変更します。
ホスト名の変更を選択した場合には,アクセス制御リストへの
localhost
の追加を求めるプロンプトが表示されます。
名前を変更したシステムで GUI を正しく表示するには,[はい] を選択します。
[次へ] を選択して続行し,続いて [完了] を選択します。
構成が保存され,named
デーモンが起動します。
システムが DNS サーバとして正しく構成されたことを示すメッセージが表示されます。 [了解] を選択して「DNS サーバの設定」ダイアログ・ボックスをクローズします。
初期設定の後,サーバ構成を変更することもできます。
詳細は,オンライン・ヘルプを参照してください。
2.5.5 スタブ・サーバの構成
スタブ・サーバを構成するには,1.2.1 項 の説明に従って SysMan Menu を起動し,次の手順を実行します。
注意
スタブ・サーバを構成するときには,マスタ・サーバではなく,サブゾーンに対する権限のあるサーバで,SysMan Menu アプリケーションを実行してください。 スタブ・サーバの定義の詳細については, 2.1 節 を参照してください。
SysMan Menu から [ネットワーク] --> [追加ネットワーク・サービス] --> [Domain Name Service (DNS(BIND))] --> [DNS サーバとしてシステムを設定] を選択して,「DNS サーバの設定」ダイアログ・ボックスを表示します。
代わりに,次のコマンドをコマンド行から入力することもできます。
# /usr/bin/sysman dns_server
「ローカル・ドメイン」フィールドにローカル・ドメインの名前を入力します。
「DNS サーバ・タイプ」プルダウン・メニューから [STUB] を選択します。
ホスト名解決の照会順序を「ホスト名解決順序」フィールドで指定します。
プルダウン・メニューをオープンし,選択肢のリストから選択します。
「DNS データベース, ローカル, NIS」または「ローカル・ファイル, DNS データベース, NIS」を選択するのが一般的です。
特に後者が推奨されます。
選択した順序は,/etc/svc.conf
ファイルに記録されます。
上記の操作の代わりに,svcsetup
スクリプトを実行して,サービスの順序の選択をカスタマイズすることもできます。
svc.conf
ファイルの内容を変更する方法については,2.8.1 項と
svcsetup
(8)
[拡張 DNS オプション] ボタンを選択し,「拡張オプション」ダイアログ・ボックスを表示します。 このダイアログ・ボックスでは,DNS サーバの構成情報とキャッシュ・データを保存するディレクトリやファイルを変更できます。 必要に応じて変更を行い,[了解] を選択してダイアログ・ボックスをクローズします。
[次へ] を選択して「Zones Served」リストを表示します。
[追加] を選択して「ゾーンの追加」ダイアログ・ボックスを表示します。
「権限」フィールドで「Stub」ラジオ・ボタンを選択し,スタブ・ゾーン (ドメイン) の名前を入力します。
マスタ・サーバのゾーン情報データベースのコピーを格納するローカル・ファイルの名前を入力します。 さらに,マスタ・サーバの IP アドレスも入力します。
[了解] を選択して入力を確定します。 6a 〜 6d の手順を繰り返し,必要なエントリを追加します。 各ゾーンごとに,順引きルックアップと逆引きルックアップのエントリを少なくとも 1 つずつ追加する必要があります。
たとえば,マスタ・サーバの
/etc/namedb/named.conf
ファイルが次のような内容であれば,スレーブ・サーバの「Zones Served」リストに,domain.suffix
ゾーンと
nn.nnn.in-addr.arpa
ゾーンのエントリを追加します。
zone domain.suffix { type master; file "hosts.db"; }; zone nn.nnn.in-addr.arpa { type master; file "hosts.rev"; };
[次へ] を選択して「ローカル・ネーム・サーバ」リストを表示します。
[追加] を選択して「ネーム・サーバの追加」ダイアログ・ボックスを表示します。
スタブ・サーバが自分でアドレスを解決できないときに照会するネーム・サーバのホスト名と IP アドレスを入力します。
[了解] を選択して入力を確定します。
指定したサーバが既知のホストでない場合には [はい] を選択し,そのサーバを
/etc/hosts
ファイルに追加します。
7a 〜 7c の手順を必要に応じて繰り返します。 ネーム・サーバは,2 〜 3 個指定するのが最適です。
[次へ] を選択してネーム・サーバのリストを確定します。
指定したアドレスは,後で
/etc/resolv.conf
ファイルに記録されます。
適切なチェック・ボックスを選択して
named
デーモンを起動し,[次へ] を選択して続行します。
システムのホスト名の変更を求めるプロンプトが表示されます。
必要に応じて適切なチェック・ボックスを選択し,ホスト名を変更します。
ホスト名の変更を選択した場合には,アクセス制御リストへの
localhost
の追加を求めるプロンプトが表示されます。
名前を変更したシステムで GUI を正しく表示するには,[はい] を選択します。
[次へ] を選択して続行し,続いて [完了] を選択します。
構成が保存され,named
デーモンが起動されます。
システムが DNS サーバとして正しく構成されたことを示すメッセージが表示されます。 [了解] を選択して「DNS サーバの設定」ダイアログ・ボックスをクローズします。
初期設定の後,サーバ構成を変更することもできます。
詳細は,オンライン・ヘルプを参照してください。
2.5.6 DNS クライアントの構成
DNS クライアントを構成するには,1.2.1 項 の説明に従って SysMan Menu を起動し,次の手順を実行します。
SysMan Menu から [ネットワーク] --> [追加ネットワーク・サービス] --> [Domain Name Service (DNS(BIND))] --> [DNS クライアントとしてシステムを設定] を選択して, 「DNS クライアントの設定」ダイアログ・ボックスを表示します。
代わりに,次のコマンドをコマンド行から入力することもできます。
# /usr/bin/sysman dns_client
「ローカル・ドメイン」フィールドにローカル・ドメイン名を入力します。
[追加] を選択して,ネーム・サーバを追加します。
このネーム・サーバのホスト名および IP アドレスを入力します。
入力したアドレスは
/etc/resolv.conf
ファイルに記録されます。
リゾルバは,これらのアドレスを使用して,照会先のネーム・サーバの IP アドレスを決定します。
[了解] を選択して,ホスト名をネーム・サーバのリストに追加します。
指定したホストが
/etc/hosts
ファイルにリストされていない場合には,スクリプトは,ホストをこのファイルに追加するよう促すプロンプトを表示します。
[はい] または [いいえ] を選択します。
他のネーム・サーバを追加するには,手順 3 から 5 を繰り返します。 ネーム・サーバは,3 つまで指定することができます。
ホスト名クエリを解決する順序を,「ホスト名解決順序」フィールドに指示します。
プルダウン・メニューを開き,オプションのリストから選択します。
管理者は通常,「DNS データベース,ローカル・ファイル,NIS」という順序か,「ローカル・ファイル,DNS データベース,NIS」という順序のいずれかを使用しますが,推奨されているのは後者です。
選択内容は,
/etc/svc.conf
ファイルに記録されます。
代わりに,svcsetup
スクリプトを実行し,サービス順の選択肢をカスタマイズすることもできます。
svc.conf
ファイルの変更方法については,
2.8.1 項
および
svcsetup
(8)
必要に応じて,アドレス解決のために代替ドメインを検索するようにシステムを構成します。
検索するドメインをダイアログ・ボックスに入力する場合は,ローカル・ドメインを含めなければなりません。 そうしないと,DNS はローカル・ドメインを検索しません。 DNS は指定した順序でドメインを検索します。 このため,ローカル・ドメインはリストの先頭の項目として指定するのが最善です。
検索するドメインを入力しない場合,DNS は省略時の指定としてローカル・ドメインを検索します。
検索するドメインのリストを指定する手順は次のとおりです。
[検索済みドメイン] を選択して,関連するダイアログ・ボックスを表示します。
[追加] を選択して,「追加/修正」ダイアログ・ボックスを表示します。
検索するドメインを入力します。
[了解] を選択して,エントリを確認します。 必要に応じて,手順 7b から 7d を繰り返します。 ドメインは,6 つまで指定することができます。
[了解] を選択して,検索するドメインのリストを確認します。
[了解] を選択して,構成を確認します。 スクリプトは,システムのホスト名を変更するよう促すプロンプトを表示します。
[はい] または [いいえ] のうち,適切な方を選択します。
[はい] を選択してホスト名を変更すると,アクセス制御リストに
localhost
を追加するよう促すプロンプトが表示されます。
[はい] を選択すると,名前を変更したシステムにグラフィカル・ユーザ・インタフェースを表示できるようになります。
[了解] を選択して,「DNS クライアントの設定」ダイアログ・ボックスを閉じます。
初期設定の後,クライアント構成を変更することもできます。 詳細は,オンライン・ヘルプを参照してください。
IPv6 ネットワーク環境で DNS クライアントの動的更新を使用可能にするには,次の手順を実行します。
ip6_setup
スクリプトを実行し,プロンプトに
y
と入力して IPv6 アドレスの動的更新を有効にします。
続いて,IPv6 ホストの完全修飾ドメイン名を指定します。
詳細については『ネットワーク管理ガイド:接続編』を参照してください。
DNS/BIND サーバを構成し,更新を可能にします (2.5.1.2 項を参照)。
動的更新を使用可能にしない場合でも,ip6_setup
スクリプトを実行しなければなりません。
ただしその場合には,DNS に対する特別な構成は不要です。
2.6 認証の構成
以降の項では,次の目的で DNS サーバの認証を構成する方法について説明します。
動的更新のセキュリティ確保
ゾーン転送のセキュリティ確保
認証が効果を発揮するためには,サーバ間で非公開鍵の機密が保たれていることが前提になります。
このため,非公開鍵を頻繁に変更し,以降の項で説明する方法に従って鍵ファイルを保存して,鍵が漏洩しないようにしてください。
2.6.1 安全な動的更新の構成
IPv6 ゾーンの動的更新に
nd6hostd
デーモンを使用する場合には,該当するゾーンでは認証を使用可能にしないでください。
nd6hostd
デーモンは,認証をサポートしていません。
新しい DNS クライアント (Microsoft Windows システム) から受信した動的更新を認証するようにマスタ・サーバを構成するには,次の手順に従います。
注意
SysMan Menu を使用して DNS マスタ・サーバを再構成すると,
named.conf
ファイルが上書きされるため,そのたびに次の手順を再実行してセキュア・クライアントの更新を使用可能にしなければなりません。
dnskeygen
コマンドを次のように使用して,非公開鍵を生成します。
# dnskeygen -H size -h -c -n key-name
非公開鍵のサイズはバイト単位で指定します。 有効サイズは,512,576,640,704,768,832,896,960,1024 です。 鍵のサイズが大きくなると扱いにくくなりますが,より安全になります。
鍵には任意の名前を付けることができますが,鍵の識別を容易にするために,一定の命名ルールに従って名前を付けるのが最適です。 たとえば,xyz.corp.com ゾーン内のホストがマスタ・サーバ (marlin.xyz.corp.com) に動的更新を送信する場合,鍵の名前としては,xyznet-marlin_update などが考えられます。
dnskeygen
コマンドは,次の 2 つのファイルを生成します。
K<key-name><proto-id><key-id>.key
K<key-name><proto-id><key-id>.private
以降では,前者を
.key
ファイル,後者を
.private
ファイルと呼びます。
鍵の生成についての詳細は,リファレンス・ページの
dnskeygen
(1)
更新に使用する鍵構成ステートメントを含むファイルを作成します。 非公開鍵の漏洩を防ぐために,スーパユーザ以外には,このファイルの読み取りと書き込みを禁止します。 次のようなコマンドを実行します。
# cd /etc/namedb # touch key-config-file # chmod 600 key-config-file
必須ではありませんが,key-config-file
に
named.keys
という名前を付けることもできます。
key-config-file
に次の
key
ステートメントを追加して,.private
ファイル内の鍵情報を組み込みます。
key key-name { algorithm hmac-md5; secret "generated-key"; };
鍵ステートメントの
key-name
には鍵の名前,generated-key
には
.private
ファイル内に記述されている非公開鍵全体を指定します。
.private
ファイルを別のウィンドウでオープンし,必要な鍵のテキストをコピーしてからテキスト・エディタ・ウィンドウに貼り付ければ,鍵全体を確実に入力できます。
鍵を囲む引用符の間には,改行文字やスペース文字を入れないでください。
1 文字でも誤って入力すると,認証は失敗します。
/etc/namedb/named.conf
ファイルの先頭に,次の
include
ステートメントを追加します。
include "/etc/namedb/key-config-file";
key-config-file には,手順 2 と手順 3 で作成した鍵構成ファイルの名前を指定します。
named
デーモンは,起動時に DNS データ・ファイルを読み取ると,key-config-file
にアクセスしてその内容を解析します。
named.conf
ファイル内のマスタ用
zone
ステートメント (順引きルックアップ用と逆引きルックアップ用) に
allow-update
サブステートメントを追加して,マスタ・ゾーンの安全な動的更新を使用可能にします。
zone "zone-name" { type master; file "file-name"; allow-update { key key-name; }; }; zone "rev-ip.in-addr.arpa" { type master; file "hosts.rev"; allow-update { key key-name; }; };
key-name には,手順 2 と手順 3 で作成したファイルの名前を指定します。
このステートメントで鍵を指定することによって,その非公開鍵で署名された更新のみが受け入れられるようになります。
次のコマンドを実行して
named
デーモンを再起動します。
# /sbin/init.d/named restart
新しいホストからの安全な動的 DNS 更新をサポートするようにマスタ・サーバを構成すると,これらのホストをネットワークに追加する必要がある管理者に,必要に応じて非公開鍵を配布できます。 この鍵をネットワーク経由で配布すると漏洩の危険性があるため,磁気メディアや光磁気メディアで配布するのが最適です。
この鍵の配布用にフロッピィ・ディスクをフォーマットすることもできます。
Microsoft Windows 互換のフロッピィ・ディスクを Tru64 UNIX
システムでフォーマットしたり読み取る方法については,
mtools
(1)OSFDOSTOOLS
サブセットをインストールする必要があります。
Tru64 UNIX DNS サーバを使用しているネットワークで Microsoft Windows 2000 システムを構成する方法については,Tru64 UNIX のドキュメント・サイトにある Best Practice ドキュメント「Integrating Windows 2000 DNS Clients with Tru64 UNIX DNS Services」を参照してください。 Tru64 UNIX のドキュメント・サイトの URL は次のとおりです。
http://h30097.www3.hp.com/docs/best_practices/
なお,クライアントがマスタ・サーバに更新を送信しても,named
デーモンは直ちにマスタ・データベース・ファイルを更新するわけではありません。
このデーモンは一時ファイル (database.ixfr
および
database.log
) を作成し,データベースに変更を行えるようになるまで,これらのファイルに変更のログをとります。
ただし,このデーモンは,メモリ上では,更新内容を直ちに認識します。
更新されたことは,nslookup
コマンドで確認できます (2.8.3.1 項を参照)。
2.6.2 安全なゾーン転送の構成
ゾーン転送で認証を行うようにマスタ・サーバとスレーブ・サーバを構成するには,次の手順に従います。
注意
SysMan Menu を使用して DNS を再構成すると,
named.conf
ファイルが上書きされるため,そのたびに次の手順を再実行して安全なゾーン転送を使用可能にしなければなりません。
マスタ・サーバ上で,2.6.1 項で説明した手順 1 〜 4 を実行します。
鍵には,ゾーン転送を表す名前を付けます。 たとえば,マスタ・サーバ marlin.xyz.corp.com がスレーブ・サーバ minnow.xyz.corp.com に,ゾーン xyz.corp.com を対象とした更新を送信する場合,鍵の名前としては,xyznet-marlin-minnow_transfer などが考えられます。
マスタ・サーバ上で,/etc/namedb/named.conf
ファイル内のマスタ用
zone
ステートメント (順引きルックアップ用と逆引きルックアップ用) に,次のように
allow-transfer
サブステートメントを追加します。
include "/etc/namedb/key-file"; . . . zone "zone-name" { type master; file "hosts.db"; allow-transfer { key key-name; }; zone "rev-ip.in-addr.arpa" { type master; file "hosts.rev"; allow-transfer { key key-name; }; };
key-name には,2.6.1 項の手順 2 および手順 3 で作成した鍵構成ファイル内の鍵の名前を指定します。
このサーバ・ステートメントを追加することによって,マスタ・サーバは該当する非公開鍵で署名された要求の場合だけ,ゾーン転送を行うようになります。 また,マスタ・サーバは,ゾーン転送要求に鍵による署名を施してからスレーブ・サーバにデータを送信するようになります。
マスタ・サーバ上の鍵構成ファイル (key-config-file
または
named.keys
) をスレーブ・サーバに配布します。
このファイルをネットワーク経由で配布すると鍵が漏洩する危険性があるため,磁気メディアや光磁気メディアで配布するのが最適です。
このファイルの配布用にフロッピィ・ディスクをフォーマットすることもできます。
Microsoft Windows 互換のフロッピィ・ディスクを Tru64 UNIX
システムでフォーマットしたり読み取る方法については,
mtools
(1)OSFDOSTOOLS
サブセットをインストールする必要があります。
スレーブ・サーバ上で,スーパユーザ以外による読み取りや書き込みを禁止するパーミッションにします。
# chmod 600 key-config-file
スレーブ・サーバの
named.conf
ファイルに,key-config-file
を組み込む
include
ステートメントを追加します。
さらに,追加した
include
ステートメントと最初の
zone
ステートメントの間に,server
ステートメントを追加します。
include "/etc/namedb/key-config-file"; . . . server ip-address { keys {key-name}; };
key-config-file には,マスタ・サーバからコピーした鍵構成ファイルの名前を指定します。 ip-address には,マスタ・サーバの IP アドレスを指定します。 key-name には,key-config-file 内に記述した鍵の名前を指定します。
server
ステートメントを追加すると,スレーブ・サーバはマスタ・サーバからのゾーン転送要求に,非公開鍵で署名を行うようになります。
また,スレープ・サーバは,マスタ・サーバからの署名付きゾーン転送の認証を行ってから,データ・ファイルに反映するようになります。
マスタ・サーバとスレーブ・サーバで次のコマンドを実行し,named
デーモンを再起動します。
# /sbin/init.d/named restart
この項では,安全な動的更新と安全なゾーン転送の両方を実装する場合の
named.keys
ファイルと
named.conf
ファイルの例を紹介します。
これらの構成ファイルは,marlin.ocean.corp.com という名前の DNS マスタ・サーバと,minnow.ocean.corp.com という名前のスレーブ・サーバがあるネットワークを記述しています。
例 2-1: 認証用の named.keys ファイルの例
key oceannet-client_update { [1] algorithm hmac-md5; [2] secret "lSYbJjbTOLH2DB+kRpf0fcTJk0mOca90GDGdn5R7L2vPhyCx daGhHp0o2pDU+PSzclE3Yk6Xg8jOkpRExx+2yw=="; [3] }; key oceannet-marlin-minnow_transfer { [4] algorithm hmac-md5; secret "648NyJi33LMhf00iavHjbkgqcTMJ7lZD4/r0DF9wgIQ2WH2b peHLYjz2qYMrx1dMYw9E9gDp6F6LTMDHHCvFlw==";
例 2-1 の各行について,次に説明します。
鍵
oceannet-client_update
を定義しています。
この鍵は,ocean.corp.com ゾーン内のクライアントからの安全な動的更新に使用されます。
[例に戻る]
暗号化アルゴリズムを指定しています。
動的更新およびゾーン転送用の鍵は,hmac-md5
でなければなりません。
[例に戻る]
鍵文字列を指定しています。 この文字列には,スペースや改行を入れてはなりません。 [例に戻る]
鍵
oceannet-marlin-minnow_transfer
を定義しています。
この鍵は,マスタ・サーバ (marlin.ocean.corp.com) とスレーブ・サーバ (minnow.ocean.corp.com) 間のゾーン転送で使用されます。
[例に戻る]
include "/etc/namedb/named.keys"; [1] options { directory "/etc/namedb/"; }; zone "0.0.127.in-addr.arpa" { type master; file "named.local"; }; zone "ocean.corp.com" { type master; file "hosts.db"; allow-update { key oceannet-client_update; [2] }; allow-transfer { key oceannet-marlin-minnow_transfer; [3] }; }; zone "6.134.20.in-addr.arpa" { type master; file "hosts.rev"; allow-update { key oceannet-client_update; [2] }; allow-transfer { key oceannet-marlin-minnow_transfer; [3] }; }; zone "." { type hint; file "named.ca"; };
例 2-2 の各行について,次に説明します。
前述した
named.keys
ファイルを
named.conf
ファイルにインクルードします。
[例に戻る]
ocean.corp.com
ゾーンの動的更新を DNS データベースに反映する前に,鍵
oceannet-client_update
で認証するように指定しています。
[例に戻る]
データをスレーブ・サーバに送信する前に,ocean.corp.com
ゾーンのゾーン転送要求を,鍵
oceannet-marlin-minnow_transfer
で認証するように指定しています。
[例に戻る]
include "/etc/namedb/named.keys"; server 20.134.6.2 { keys { oceannet-marlin-minnow_transfer }; [1] }; options { directory "/etc/namedb/"; }; zone "0.0.127.in-addr.arpa" { type master; file "named.local"; }; zone "pubs.zk3.dec.com" { type slave; file "/etc/namedb/hosts.db"; masters { 20.134.6.2; [2] }; }; zone "6.134.20.in-addr.arpa" { type slave; file "/etc/namedb/hosts.rev"; masters { 20.134.6.2; [2] }; }; zone "." { type hint; file "named.ca"; };
例 2-3 の各行について,次に説明します。
20.134.6.2
(marlin.ocean.corp.com) との通信には,スレーブ・サーバが必ず鍵
oceannet-marlin-minnow_transfer
を使用して認証を行うように指定しています。
[例に戻る]
20.134.6.2
が
ocean.corp.com
ゾーンのマスタ・サーバであり,このサーバがゾーンの認証データを提供することを指定しています。
[例に戻る]
named.conf
ファイルのステートメントについての詳細は,
named.conf
(4)2.7 DNS の構成の解除
Common Desktop Environment (CDE) のアプリケーション・マネージャの SysMan Menu を使用して,DNS サーバおよびクライアントの構成を解除します。 SysMan Menu アプリケーションを起動するには, 1.2.1 項 の手順に従ってください。
DNS の構成を解除すると,サービスが停止し,DNS サーバおよびクライアントの構成情報が,システムから削除されます。 この操作は,やり直すことができません。 DNS を回復するには,SysMan Menu を使用して再び構成しなければなりません。
DNS の構成を解除するには,次の手順を行います。
SysMan Menu から [ネットワーク] --> [追加ネットワーク・サービス] --> [Domain Name Service (DNS(BIND))] --> [このシステムの DNS の設定解除] を選択して,「Deconfigure DNS」ダイアログ・ボックスを表示します。
代わりに,次のコマンドをコマンド行から入力することもできます。
# /usr/bin/sysman dns_deconfigure
[はい] を選択すると,システム上の DNS の構成が解除されます。
[了解] を選択すると,「Deconfigure DNS」ダイアログ・ボックスが閉じます。
この節では,DNS に関する次の作業について説明します。
2.8.1 svcsetup による svc.conf ファイルの変更方法
「BIND の設定」アプリケーションを実行しなくても/etc/svc.conf
ファイルを変更できます。
これを行うには,次のコマンドを使用して
svcsetup
スクリプトを呼び出します。
# /usr/sbin/svcsetup
呼び出したら,次の手順に従って
/etc/svc.conf
ファイルを編集します。
続いて表示される情報メッセージに従って [Return] キーを押します。
Configuration メニューから
m
オプションを選択して,[Return]
キーを押します。
Change メニューからオプション 2 を選択します。
オプション 2 は
hosts
データベースに対応しています。
システムで実行されているサービスを
hosts
データから照会する順序を示す番号を入力します。
リストの先頭に
local
は,要求されている情報が
/etc/hosts
ファイルで最初に探索されることを意味します。
この情報がローカルで見つからない場合には,選択したオプションに応じて,DNS サーバ,NIS サーバ,またはその両方が照会されます。
注意
実行しているサービスの種類にかかわらず,システムによるデータベース照会で最初にローカル・サービスが照会されるように設定すれば,より高い性能が得られます。
オプション 3 〜 6 のうちいずれか 1 つを選択して,DNS が
hosts
情報を配布するように
svc.conf
ファイルを構成します。
svcsetup
スクリプトを実行すると,/etc/svc.conf
ファイルを更新していることが表示されます。
svcsetup
スクリプトがこのファイルの更新を終了すると,その旨がユーザに通知され,システム・プロンプト (#) が表示されます。
2.8.2 マスタ・サーバでの DNS データ・ファイルの更新方法
動的更新を構成していない場合には,新しいホストをネットワークに接続する際に,DNS データ・ファイルを手動更新する必要があります (動的更新の構成については,2.2 節および 2.5.1.2 項を参照してください)。
新しいホストを追加するには,次の手順に従ってください。
/etc/namedb/src/hosts
ファイルを編集し,新しいホストを追加します。
/etc/namedb
ディレクトリに移動し,次のコマンドのいずれか 1 つを入力します。
# make hosts # make all
hosts
ファイルを編集して
make
コマンドを入力すると,DNS 変換スクリプト (/etc/namedb/bin
ディレクトリに格納されています) が,次のタスクを実行します。
新しい hosts データベース (hosts.db
および
hosts.rev
) を作成します。
新しいデータベースを
/etc/namedb
ディレクトリに格納します。
シグナルを
named
デーモンに送信し,変更されたすべてのデータベースを再ロードします。
注意
メール・エクスチェンジャ (MX) のレコードを
named.local
ファイルに手動で入力した場合には,これらのレコードは失われます。named.local
ファイルを編集して,これらの MX レコードを追加する必要があります。
DNS データベース変換スクリプトを実行することにより,データベース・ファイル内の SOA (start of authority) エントリのシリアル番号フィールドが増分され,スレーブ・サーバに対して,データをリフレッシュするタイミングであることが通知されます。
このプロセスは,マスタ・サーバの
/etc/namedb/src
ディレクトリにあるすべての有効なファイルについても同様です。
named.local
および
named.ca
データベースを作成するために,いくつかのスクリプトが提供されています。
2.8.3 ホスト名および IP アドレス情報の取得方法
いくつかの方法によって,DNS を使用してシステムからホスト名についての情報,IP アドレス,およびユーザ情報を得ることができます。
次の各項では,nslookup
および
whois
の 2 つのコマンドについて説明します。
2.8.3.1 nslookup コマンド
nslookup
コマンドを使用すると,ローカルおよびリモートのドメインのホスト情報について DNS に照会できます。
メール・エクスチェンジャ (MX),ネーム・サーバ (NS) などの,DNS リソース・レコードの情報を検索することもできます。
非対話的な照会の場合は,次の構文を使用します。
nslookup
hostname
サーバの名前とアドレス,およびホストの名前とアドレスが出力されます。
対話的な照会の場合は,次の構文を使用します。
nslookup
省略時のサーバの名前とアドレス,および
nslookup
プロンプト (>
) が出力されます。
たとえば,MX についての情報を得るには,対話式で
nslookup
を実行して有効なドメイン名を提供する必要があります。
次の例に,ドメイン
corp.com
のメール受信ユーザを検索する方法を示します。
# nslookup Default Server: localhost Address: 127.0.0.1 > set querytype=mx > corp.com Server: localhost Address: 127.0.0.1 findmx.corp.com preference = 100, mail exchanger = gateway.corp.com gateway.corp.com inet address = 128.54.54.79 > [Ctrl/D] #
nslookup
コマンドの使用方法を理解する良い方法は,実際に使用してみることです。
対話モードでの
nslookup
コマンドのオプションのリストを得るには,
nslookup
プロンプトで疑問符 (?)を入力します。
詳細については
nslookup
(1)
DNS リソース・レコードの数多い違うタイプについての詳細は,付録 G
を参照してください。
2.8.3.2 NIC whois サービス
NIC (Network Information Center)
whois
サービスを使用すると,ドメインについての次の情報にアクセスできます。
ドメインの名前
ドメインを管理している組織の名前およびアドレス
ドメインの管理,技術的内容,およびゾーンの各担当者
DNS をドメインに提供する各サイトのホスト名およびネットワーク・アドレス
ドメイン内の登録ユーザ
たとえば,NIC
whois
サービスを使用して
hp.com
というドメイン名についての情報を得るには,次のように,whois
コマンドを実行します。
# whois hp.com Whois Server Version 1.3 Domain names in the .com, .net, and .org domains can now be registered with many different competing registrars. Go to http://www.internic.net for detailed information. Domain Name: HP.COM Registrar: NETWORK SOLUTIONS, INC. Whois Server: whois.networksolutions.com Referral URL: http://www.networksolutions.com Name Server: ATLREL1.HP.COM Name Server: ATLREL2.HP.COM Name Server: HPLB.HPL.HP.COM Name Server: PALREL1.HP.COM Name Server: PALREL2.HP.COM Updated Date: 26-mar-2002 >>> Last update of whois database: Mon, 15 Jul 2002 04:49:51 EDT <<< The Registry database contains ONLY .COM, .NET, .ORG, .EDU domains and Registrars.
出力によると,hp.com
ドメインは Network Solutions, Inc.
が登録しています。
hp.com
ドメインについてさらに詳細に調べるには,次のように
-h
オプションを使用して,whois
サーバに対して Network Solutions を個別に照会します。
# whois -h whois.networksolutions.com hp.com
.
.
.
Registrant: Hewlett-Packard Company (HP-DOM) 3000 Hanover Street Palo Alto, CA 94304 US Domain Name: HP.COM Administrative Contact, Technical Contact: HP Hostmaster (HH15-ORG) hostmaster@HP.COM Hewlett-Packard Company 3404 East Harmony Rd., MS 68 Fort Collins, CO 80528 U.S.A. 800-524-7638 Fax- 970-898-2836 Record expires on 04-Mar-2003. Record created on 03-Mar-1986. Database last updated on 15-Jul-2002 14:02:33 EDT. Domain servers in listed order: PALREL1.HP.COM 156.153.255.242 ATLREL1.HP.COM 156.153.255.210 PALREL2.HP.COM 156.153.255.234 ATLREL2.HP.COM 156.153.255.202 HPLB.HPL.HP.COM 192.6.10.2