Kuutõrvaja - Kasutaja kaastöö [et]

OpenVPN kliendi kasutamine Debianiga

2012-03-29T16:05:43Z

Iamsbob:

===Sissejuhatus===

TODO

===OpenVPN ruuditud lahenduse kliendi seadistamine===

Palas http://kuutorvaja.eenet.ee/wiki/OpenVPN_serveri_kasutamine_OpenBSD'ga#OpenVPN_ruuditud_lahenduse_serveri_seadistamine kirjeldatud serverile vastava kliendi seadistamiseks sobib kasutada sellist seadistusfaili

client
dev tun0
proto udp
remote 192.168.99.90
resolv-retry infinite
nobind
persist-key
persist-tun
ca /etc/openvpn/keys/VPN-TLA-ca.pem
cert /etc/openvpn/keys/tla-martkask.vpn.loomaaed.tartu.ee-cert.pem
key /etc/openvpn/keys/tla-martkask.vpn.loomaaed.tartu.ee-key.pem
comp-lzo
verb 3

Käivitamine toimub mõlemal juhul öeldes, kusjuures kui seadistusfailis on näidatud sertifikaatide asukohad suhtelise teega, peab asuma /etc/openvpn kataloogis

# cd /etc/openvpn
# openvpn --config openvpn.conf

Tulemusena seadistatakse kliendi arvutis tun seade ja lisatakse ruutingud.

===OpenVPN sillatud lahenduse kliendi seadistamine===

OpenVPN kliendile vajalikud võtmed moodustatakse OpenVPN serveris ja kopeeritakse klienti, nii nagu kirjeldatud sertifikaatide punktis.

Kliendi poolel sobib sillatud režiimis kasutada sellist seadistusfaili

# cat /etc/openvpn/openvpn.conf
client
dev tap
proto udp
remote 172.16.2.1
resolv-retry infinite
nobind
persist-key
persist-tun
ca keys/ca.crt
cert keys/kalake.crt
key keys/kalake.key
comp-lzo
verb 3

Käivitamine toimub mõlemal juhul öeldes, kusjuures kui seadistusfailis on näidatud sertifikaatide asukohad suhtelise teega, peab asuma /etc/openvpn kataloogis

# cd /etc/openvpn
# openvpn --config openvpn.conf

===Resolvconf süsteemi kasutmine===

Kui OpenVPN klienti on paigaldatud resolvconf tarkvara ja server saadab nn dhcp-option abil dns serveri aadressi, serveri seadistusfailis on nt

push "dhcp-option DNS 10.0.5.1"

siis klient oskab sellele reageerida /etc/resolv.conf faili ümberkirjutamisega. Selleks tuleb kliendi seadistusfailis kasutada kolme direktiivi

up /etc/openvpn/update-resolv-conf
down /etc/openvpn/update-resolv-conf
script-security 2

Seejuures tuleb aga arvestada, millist mõju üldiselt resolvconf kasutamine klientarvutis omab, resolvconf kasutamist on kirjeldatud palas [[:Operatsioonisüsteemi Debian GNU/Linux kasutamine#resolvconf]].

Tulemusena lisab resolvconf /etc/resolv.conf faili rea esimeseks nimeserveriks

nameserver 10.0.5.1

OpenVPN kliendi sulgemisel see rida eemaldatakse.

===Eesti ID-kaardi kasutamine OpenVPN kliendiga===

Protsessorkaardi (ingl. k. smart card), konkreetselt Eesti ID-kaardi abil VPN süsteemi kasutamine erineb nö niisama kliendisertifikaadiga autentimisest vaid selles poolest, kuidas kliendi sertifikaati kasutatakse. Kuivõrd sertifikaat asub spetsiaalsel seadmel on vajalik teha selle seadme ja OpenVPN tarkvara kokkuühendamiseks täiendavaid pingutusi.

Kliendi arvutis peavad olema tehtud Eesti ID-kaardi kasutamiseks vajalikud ettevalmistused, nt nii nagu on kirjeldatud palas http://kuutorvaja.eenet.ee/wiki/Eesti_ID-kaardi_kasutamine_Debianiga

Kaardilugejaga suhtlemiseks kasutab OpenVPN OpenSC PKCS#11 silda, mis on näha ldd väljundist

# ldd /usr/sbin/openvpn | grep pkcs11
libpkcs11-helper.so.1 => /usr/lib/libpkcs11-helper.so.1 (0xb7f9d000)

ja ettevalmistuste edukuse kontrollimiseks sobib öelda nt

# openvpn --show-pkcs11-ids /usr/lib/opensc-pkcs11.so

The following objects are available for use.
Each object shown below may be used as parameter to
--pkcs11-id option please remember to use single quote mark.

Certificate
DN: /C=EE/O=ESTEID/OU=authentication/CN=OOLBERG,IMRE,37003212713/SN=OOLBERG/GN=IMRE/serialNumber=37003212713
Serial: 48843168
Serialized id: AS\x20Sertifitseerimiskeskus/PKCS\x20\x2315\x20SCard/A0055728/ID\x2Dkaart\x20\x28PIN1\x2C\x20Isikutuvastus\x29/01

Certificate
DN: /C=EE/O=ESTEID/OU=digital signature/CN=OOLBERG,IMRE,37003212713/SN=OOLBERG/GN=IMRE/serialNumber=37003212713
Serial: 48843169
Serialized id: AS\x20Sertifitseerimiskeskus/PKCS\x20\x2315\x20SCard/A0055728/ID\x2Dkaart\x20\x28PIN2\x2C\x20Allkirjastamine\x29/02

Kliendi poolel sobib kasutada nt sellist seadistusfaili, võrreldes eelmise käsu väljundiga on \ märgid varjestatud, väärtus 'A0055728' on kasutajal personaalne, see kirjas nt füüsiliselt kaardil ja visuaalsel vaatlusel loetav

client
dev tun
proto udp
remote 192.168.99.90
resolv-retry infinite
nobind
persist-key
persist-tun
ca /etc/openvpn/SK-CA.pem

pkcs11-providers /usr/lib/opensc-pkcs11.so
pkcs11-id "AS\\x20Sertifitseerimiskeskus/PKCS\\x20\\x2315\\x20SCard/A0055728/ID\\x2Dkaart\\x20\\x28PIN1\\x2C\\x20Isikutuvastus\\x29/01"

comp-lzo
verb 3

Kasutamisel esitatakse kliendile selline logi, mh küsitakse PIN1 koodi

# openvpn --config openvpn.conf
Sun Apr 26 12:07:12 2009 OpenVPN 2.1_rc11 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] built on Sep 18 2008
Sun Apr 26 12:07:12 2009 PKCS#11: Adding PKCS#11 provider '/usr/lib/opensc-pkcs11.so'
Sun Apr 26 12:07:17 2009 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info.
Sun Apr 26 12:07:17 2009 /usr/bin/openssl-vulnkey -q -b 1024 -m <modulus omitted>
[opensc-pkcs11] pkcs11-global.c:176:C_Initialize: C_Initialize(): Cryptoki already initialized
Sun Apr 26 12:07:18 2009 LZO compression initialized
Sun Apr 26 12:07:18 2009 Control Channel MTU parms [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Sun Apr 26 12:07:18 2009 Data Channel MTU parms [ L:1542 D:1450 EF:42 EB:135 ET:0 EL:0 AF:3/1 ]
Sun Apr 26 12:07:18 2009 Local Options hash (VER=V4): '41690919'
Sun Apr 26 12:07:18 2009 Expected Remote Options hash (VER=V4): '530fdded'
Sun Apr 26 12:07:18 2009 Socket Buffers: R=[111616->131072] S=[111616->131072]
Sun Apr 26 12:07:18 2009 UDPv4 link local: [undef]
Sun Apr 26 12:07:18 2009 UDPv4 link remote: 192.168.10.199:1194
Sun Apr 26 12:07:18 2009 TLS: Initial packet from 192.168.10.199:1194, sid=eef2a782 22a5670e
Sun Apr 26 12:07:18 2009 VERIFY OK: depth=2, /emailAddress=pki@sk.ee/C=EE/O=AS_Sertifitseerimiskeskus/CN=Juur-SK
Sun Apr 26 12:07:18 2009 VERIFY OK: depth=1, /emailAddress=pki@sk.ee/C=EE/O=AS_Sertifitseerimiskeskus/OU=Sertifitseerimisteenused/serialNumber=1/CN=KLASS3-SK
Sun Apr 26 12:07:18 2009 VERIFY OK: depth=0, /CN=vpn.loomaaed.tartu.ee/O=Tartu Loomaaed/L=Tartu/ST=Tartu/C=EE

Enter ID-kaart (PIN1, Isikutuvastus) token Password:

Sun Apr 26 12:07:29 2009 Data Channel Encrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Apr 26 12:07:29 2009 Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Apr 26 12:07:29 2009 Data Channel Decrypt: Cipher 'BF-CBC' initialized with 128 bit key
Sun Apr 26 12:07:29 2009 Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication
Sun Apr 26 12:07:29 2009 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
Sun Apr 26 12:07:29 2009 [www.ria.ee] Peer Connection Initiated with 192.168.10.199:1194
Sun Apr 26 12:07:30 2009 SENT CONTROL [vpn.loomaaed.tartu.ee]: 'PUSH_REQUEST' (status=1)
Sun Apr 26 12:07:30 2009 PUSH: Received control message: 'PUSH_REPLY,route 172.16.1.1,topology net30,ping 10,ping-restart 120,ifconfig 172.16.1.6 172.16.1.5'
Sun Apr 26 12:07:30 2009 OPTIONS IMPORT: timers and/or timeouts modified
Sun Apr 26 12:07:30 2009 OPTIONS IMPORT: --ifconfig/up options modified
Sun Apr 26 12:07:30 2009 OPTIONS IMPORT: route options modified
Sun Apr 26 12:07:30 2009 ROUTE default_gateway=192.168.10.254
Sun Apr 26 12:07:30 2009 TUN/TAP device tun1 opened
Sun Apr 26 12:07:30 2009 TUN/TAP TX queue length set to 100
Sun Apr 26 12:07:30 2009 /sbin/ifconfig tun1 172.16.1.6 pointopoint 172.16.1.5 mtu 1500
[opensc-pkcs11] pkcs11-global.c:176:C_Initialize: C_Initialize(): Cryptoki already initialized
Sun Apr 26 12:07:30 2009 /sbin/route add -net 172.16.1.1 netmask 255.255.255.255 gw 172.16.1.5
[opensc-pkcs11] pkcs11-global.c:176:C_Initialize: C_Initialize(): Cryptoki already initialized
Sun Apr 26 12:07:30 2009 Initialization Sequence Completed

===OpenVPN kliendi käivitamine===

Operatsioonisüsteemi alglaadimisel püütakse automaatselt käivitada seadistusfailidele

/etc/openvpn/*.conf

vastavaid OpenVPN ühendusi.

===Märkused===

* nn Smartlink 2009 aasta arenduse käigus tekkinud libopensc2 teegi kasutamisel on väljund selline

Certificate
DN: /C=EE/O=ESTEID/OU=authentication/CN=OOLBERG,IMRE,37003212713/SN=OOLBERG/GN=IMRE/serialNumber=37003212713
Serial: 48843168
Serialized id: AS\x20Sertifitseerimiskeskus/PKCS\x2315\x20emulated/A0055728/IMRE\x20OOLBERG\x20\x28PIN1\x29/01

Certificate
DN: /C=EE/O=ESTEID/OU=digital signature/CN=OOLBERG,IMRE,37003212713/SN=OOLBERG/GN=IMRE/serialNumber=37003212713
Serial: 48843169
Serialized id: AS\x20Sertifitseerimiskeskus/PKCS\x2315\x20emulated/A0055728/IMRE\x20OOLBERG\x20\x28PIN2\x29/02

* Tuleb arvestada, et ID-kaardiga autenditud vpn-ühendust reeglina ei lõpetata ID-kaardi lugejast väljavõtmisega.

Kui kasutusel Debiani asemel Ubuntu tuleb konfiguratsioonis tun0 seade asendada tap'iga

* https://help.ubuntu.com/community/OpenVPN
[http://www.pokerstars.ee poker hands]

Nimeserveri tööleseadmine

2012-03-29T15:56:19Z

Iamsbob:

[[Kategooria:Interneti domeeninimede süsteem]]
===Sissejuhatus===

Enne nimeserveri paigaldamist tuleb planeerida

* milliste domeeninimede lahendamisega ta hakkab tegelema
* milliseid kliente ta hakkab teenidama
* millisesse masinasse on teda kõige otstarbekam paigaldada
* millised nimeserverid on nõus hakkama tema tsoonide sekundaarseks nimeserveriteks

Kuna nimeserver peab olema üldiselt hästi kättesaadav kõikvõimalikele klientidele, siis paigaldatakse ta tavaliselt võrgu sõlmpunktidesse, so masinatesse, mis asuvad mitme võrgu piiril või selle lähedal.

Nimeserveri kasutuse planeerimine

Skeemil on kujutatud asutuse server kalake.zoo.tartu.ee, mis on ühelt poolt ühendatud internetti (193.40.10.2) ja teiselt poolt kohtvõrguga (192.168.10.1)

(( ..- )
( )
( )
( )))
INTERNET
( . -)
((. )
(---- )
|
|
__|__
| | zoo-ruuter
|__ __| 193.40.10.1
|
|
- - - - - - - teie haldusala piir - - - - - - - -
|
avalik võrk |
|---|-- 193.40.10.0/24 ---|-------|--------------|-----|
eth0 | __|__ __|__
__|__ 193.40.10.2 | | ... | |
| | |_____| |_____|
| | kalake 193.40.10.3 193.40.10.254
|__ __|
| 192.168.10.1
eth1 |
| sisevõrk
|---|-----------------|--- 192.168.10.0/24 -------|-----|
| |
__|__ __|__
| | .... | |
|_____| |_____|

192.168.10.2 192.168.10.254

Eeldame, et serveri ja kõigi kohtvõrgu klientide võrguseadmed ning ruuting on konfigureeritud vastavalt skeemile ning jääb üle vaid nimede lahedamine korda teha. Nagu skeemilt näha, teostatakse serveris kohtvõrgu 192.168.10.0/24 suhtes maskeraadi.

Nimed on otsustatud jaotada kahte domeeni, mis langevad kokku alamvõrkudega

* zoo.tartu.ee. - 193.40.10.0/24
* tiik.aed. - 192.168.10.0/24

Nimede ja IP-aadresside vastavus on selline
domeeninimi IP-aadress
vork.zoo.tartu.ee 193.40.10.0
levi.zoo.tartu.ee 193.40.10.255
zoo-ruuter.zoo.tartu.ee 193.40.10.1
zoo.tartu.ee 193.40.10.2
kalake.zoo.tartu.ee 193.40.10.2
tuvike.zoo.tartu.ee 193.40.10.3
vork.tiik.aed. 192.168.10.0
kala.tiik.aed. 192.168.10.1
tiik.aed. 192.168.10.1
kahv.tiik.aed. 192.168.10.2
vesi.tiik.aed. 192.168.10.3
levi.tiik.aed. 192.168.10.255
Lähtematerjali valik

Programm BIND on vaba tarkvara ning ta on praktiliselt kõigi vabade operatsioonisüsteemide (sh Linux ja FreeBSD) osa. Kõige mugavam on teda paigaldada oma operatsioonisüsteemi paketist. Soovides ise kompileerida, kopeerige BINDi arendamisega tegeleva ISC (Internet Software Consortsium) kodulehelt http://www.isc.org/ programmi lähtetekstid.

Näiteks gentool võib olla bind mitte süsteemi paigutatud installi käigus.
Küsige programmi versiooni mis serveris.

bash# named -v
BIND 9.3.2

===Nimeserveri seadistusfail===

Nimeserverit ei õnnestu käivitada muidu, kui ei ole moodustatud sobivaid seadistusfaile. Bindi tööd juhib tavaliselt üks seadistusfail /etc/named.conf ning vastavalt vajadustele moodustatud tsoonifailid. Tsoonifailides on kirjas need andmed, mille suhtes on kõnealune nimesever pädev.

Seadistame esmalt nimeserveri käima kahe tsooni jaoks: zoo.tartu.ee. domeeni nimede päri-ja pöördteisenduste tegemiseks.

Looge sellise sisuga seadistusfail /etc/named.conf

options {
directory "/etc/namedb";
allow-transfer { 193.40.10.193; 127.0.0.1; };
};

zone "zoo.tartu.ee" {
type master;
file "zoo.tartu.ee.zone";
allow-query { any; };
};

zone "10.40.193.in-addr.arpa" {
type master;
file "10.40.193.zone";
};

Selles failis on näidatud, et tsoonifailid paiknevad kataloogis /etc/namedb. Ja,et lubatakse tsooni transporti
lokaalses masinas ning 193.40.10.193 nimelises, mis on sekundeerivaks nimeserveriks.

Kusjuures kirjeldamist vajavad kaks tsooni

* zoo.tartu.ee. - tsoonile vastab päriteisenduste kohta andmeid sisaldav tsoonifail zoo.tartu.ee.zone
* 10.40.193.in-addr.arpa - tsoonile vastab pöördteisenduste kohta andmeid sisaldav tsoonifail 10.40.193.in-addr.arpa.zone

Kuna nimeserver on antud domeenide jaoks primaarne, siis on see näidatud reaga 'type master;'. file'i järel on näidatud vastava tsoonifaili nimi, kataloogi /var/named suhtes.

===Tsooni zoo.tartu.ee. päri-ja pöördteistenduste tsoonifailid===

===Tsooni zoo.tartu.ee. päriteisenduste tsoonifail===

zoo.tartu.ee.zone failis kirjeldatakse domeeninimedele vastavad IP-aadressid.

$TTL 86400
@ IN SOA kalake.zoo.tartu.ee. root.zoo.tartu.ee. (
2001072801 ; serial
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
zoo.tartu.ee. 1D IN NS kalake.zoo.tartu.ee.
vork.zoo.tartu.ee. 1D IN A 193.40.10.0
levi.zoo.tartu.ee. 1D IN A 193.40.10.255
zoo-ruuter.tartu.ee. 1D IN A 193.40.10.1
kalake.zoo.tartu.ee. 1D IN A 193.40.10.2
zoo.tartu.ee. 1D IN A 193.40.10.2
tuvike.zoo.tartu.ee. 1D IN A 193.40.10.3

Tsoonifail koosneb ridadest, tavaliselt vastab reale tsoonifaili kirje. Mööname, et samasuguse toimega tsoonifaili saaks panna kirja ka lühemalt, kuid selguse huvides me seda esialgu ei tee.

Kommenteerime kasutatud ridu ja kirjeid rida haaval

$TTL 86400

Reaga defineeritakse kõikide selle tsooni domeeninimede elueaks 86 400 sekundit ehk üks ööpäev.

@ IN SOA 1D kalake.zoo.tartu.ee. root.zoo.tartu.ee. (
2001072801 ; serial
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum

Sellele osale vastab ilma kommentaarideta rida

zoo.tartu.ee. 1D IN SOA zoo.tartu.ee. root.zoo.tartu.ee. 2001072801 3H 15M 1W 1D

@ Reaga näidatakse, et tegu on tsooniga zoo.tartu.ee.

Niisiis, semikooloni (;) järel olevat käsitletakse kommentaarina ning sulge kasutatakse nende andmete, mis peaksid muidu olema ühel real, kirjutamiseks mitmele.

Toome järjekorras iga elemendi kohta selgituse

* zoo.tartu.ee. - kirje nimi, st domeeninimi, mille kohta SOA real näidatud parameetrid käivad
* 1D - kirje eluaeg (aeg kui kaua vastava tsooni domeeninimed interneti vaheladudes säilitatakse)
* IN - näitab, et rida on IN (interet) tüüpi kirje
* SOA - näitab, et rida on SOA kirje
* kalake.zoo.tartu.ee. - domeeni primaarne nimeserver
* root.zoo.tartu.ee. - domeeni eest vastutava kontaktisiku e-postiaadress (@ asemel kasutatakse punkti!)
* 2001072801 - seerianumber (näitab, kas tsoonis on vahepeal tehtud muudatusi; seda tuleb muudatuste kehtestumiseks iga kord suurendada)
* 86400 - värskendusperiood (määrab kui tihti sekundaarne nimeserver kopeerib andmed primaarselt)
* 7200 - korduskatse (kui korraline andmete kopeerimine ei õnnestunud, siis näidatud ajavahemiku järel uuesti proovida)
* 2419200 - parim möödas (kui sekundaarsel nimeserveril ei õnnestunud andmeid uuendada, siis näidatud ajavahemiku möödudes viimasest värskendusest ei
pea sekundaarne end kõnesoleva tsooni suhtes pädevaks)
* 10800 - eluaeg (tsooni kirjete jaoks vaikimisi aeg, kui kaua vastava tsooni domeeninimed interneti vaheladudes säilitatakse)

zoo.tartu.ee. 1D IN NS kalake.zoo.tartu.ee.

See NS kirje on tsooni zoo.tartu.ee. pädevuskirje, millega näidatakse, et tsoon zoo.tartu.ee. jaoks on pädev nimeserver kalake.zoo.tartu.ee.

vork.zoo.tartu.ee. 1D IN A 193.40.10.0

See ja järgnevad A-kirjed seovad domeeninimele vastava IP-aadressi.

===Tsooni zoo.tartu.ee. pöördteisenduste tsoonifail===

Failis 10.40.193.in-addr.arpa kirjeldatakse IP-aadressidele vastavad domeeninimed

$TTL 86400
@ IN SOA kalake.zoo.tartu.ee. root.zoo.tartu.ee. (
2001072801 ; Serial
3H ; Refresh
15M ; Retry
1W ; Expire
1D ) ; Minimum
10.40.193.in-addr.arpa. IN NS kalake.zoo.tartu.ee.
0.10.40.193.in-addr.arpa. IN PTR vork.zoo.tartu.ee.
255.10.40.193.in-addr.arpa. IN PTR levi.zoo.tartu.ee.
1.10.40.193.in-addr.arpa. IN PTR zoo-ruuter.zoo.tartu.ee.
2.10.40.193.in-addr.arpa. IN PTR kalake.zoo.tartu.ee.
3.10.40.193.in-addr.arpa. IN PTR tuvike.zoo.tartu.ee.

Kõik kirjed ja kirjete väljad on sarnase tähendusega nagu eelmise tsoonifaili puhul, kusjuures lisandunud PTR tüüpi kirje seob in-addr.arpa. domeeninimega 'päris' domeeninime. Efektiivselt toimub domeeninimede pöördteisendus, so IP-aadressid seostatakse domeeninimedega.

===Käivitamine===

Nimeserveri käivitamine toimub tavaliselt juurkasutaja õigustes juhtprogrammiga rndc, mis asendab bind 8 käsku ndc

bash# rndc start

Soovitav on vaadata ka süsteemi logisse samal ajal ilmuvaid teateid konfiguratsioonis leitud vigade kohta. Õnnestumisel lõpetab logi teatega

Jul 30 13:27:08 tsirk named[1005]: listening on IPv4 interface lo, 127.0.0.1#53
Jul 30 13:27:08 tsirk named[1005]: listening on IPv4 interface eth0, 193.40.10.2#53
Jul 30 13:27:08 tsirk named[1005]: listening on IPv4 interface eth0, 192.168.1.1#53

Lisaks tunnistab ndc käske

* stop - nimeserveri töö lõpetamine
* reload - muudetud tsoonifailide laadimine
* restart - nimeserveri taaskäivitamine; vajalik nimeserveri konfiguratsioonifailis tehtud muutuste kehtestamiseks

Seejärel veenduge, et teie nimeserver päringuid lahendab. Näiteks küsige tsooni zoo.tartu.ee. kohta võtmega ANY

bash$ dig @kalake.zoo.tartu.ee. zoo.tartu.ee. ANY

Vastus võiks olla sarnane punktis Päringud toodule. Katsetage ka teisi küsimusi.

===Tsooni localhost. päri-ja pöördteisenduste tsoonifailid===

Nagu teada on UNIXilistel olemas nö sisemine võrguseade lo, millega seostatakse nimi localhost ja IP-aadress 127.0.0.1. Ka see on kombeks kirjeldada nimeserveris.

Lisage nimeserveri seadistusfaili /etc/named.conf lisaks kaks lõiku

zone "localhost" IN {
type master;
file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" IN {
type master;
file "0.0.127.zone";
};

===Tsooni localhost. päriteistenduste tsoonifail===

localhost.zone failis kirjeldatakse domeeninimedele vastavad IP-aadressid.

$TTL 86400
@ IN SOA kalake.zoo.tartu.ee. root.zoo.tartu.ee. (
2001072801 ; serial
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
localhost. IN NS kalake.zoo.tartu.ee.
localhost. IN A 127.0.0.1

===Tsooni localhost. pöördteisenduste tsoonifail===

0.0.127.in-addr.arpa.zone failis kirjeldatakse domeeninimedele vastavad IP-aadressid.

$TTL 86400
@ IN SOA kalake.zoo.tartu.ee. root.zoo.tartu.ee. (
2001072801 ; serial
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
IN NS kalake.zoo.tartu.ee.
1.0.0.127.in-addr.arpa. IN PTR localhost.

===Juurnimeserverite kirjeldusfail===

Reeglina peavad nimeserverid teadma juurnimeserverite IP-aadresse. Salvestage programmiga dig parasjagu toimivate juurnimeserverite aadressid faili root.hints

bash# dig > /var/named/root.hints

zone "." IN {
type hint;
file "root.hints";
};

===Tsooni tiik.aed. päri-ja pöördteisenduste tsoonifailid===

Lisage nimeserveri seadistusfaili /etc/named.conf lisaks lõik

zone "tiik.aed" IN {
type master;
file "tiik.aed.zone";
};

zone "10.168.192.in-addr.arpa" IN {
type master;
file "10.168.192.zone";
};

===Tsooni tiik.aed. päriteisenduste tsoonifail===

aed.tiik.zone failis kirjeldatakse domeeninimedele vastavad IP-aadressid

$TTL 86400
@ IN SOA kalake.zoo.tartu.ee. root.tiik.aed. (
2001072801 ; serial
3H ; refresh
15M ; retry
1W ; expiry
1D ) ; minimum
tiik.aed. IN NS kalake.zoo.tartu.ee.
vork.tiik.aed. IN A 192.168.1.0
tiik.aed. IN A 192.168.1.1
kala.tiik.aed. IN A 192.168.1.1
kahv.tiik.aed. IN A 192.168.1.2
vesi.tiik.aed. IN A 192.168.1.3

===Tsooni tiik.aed. pöördteisenduste tsoonifail===

Failis 1.168.192.in-addr.arpa kirjeldatakse IP-aadressidele vastavad domeeninimed

$TTL 86400
@ IN SOA kalake.zoo.tartu.ee. root.zoo.tartu.ee. (
2001072801 ; Serial
3H ; Refresh
15M ; Retry
1W ; Expire
1D ) ; Minimum
10.168.192.in-addr.arpa. IN NS kalake.zoo.tartu.ee.
0.10.168.192.in-addr.arpa. IN PTR vork.tiik.aed.
255.10.168.192.in-addr.arpa. IN PTR levi.tiik.aed.
1.10.168.192.in-addr.arpa. IN PTR kala.tiik.aed.
2.10.168.192.in-addr.arpa. IN PTR kahv.tiik.aed.
3.10.168.192.in-addr.arpa. IN PTR vesi.tiik.aed.

===Nimeserveri avalikule kasutusele võtmine===

Selleks, et internetikasutajad saaksid teie nimesid kasutada, peate oma kirjeldatud domeenid registreerima. Domeeni registreerimisel lisatakse teie domeenist ülespoole jääva domeeni teenindava nimeserveri sobivasse tsooni vastav delegeerimiskirje. See delegeerimiskirje näitab millise nimeserveri pädevusse on kõnealuse domeeni kohta käivad andmed usaldatud.

Praktiliselt seadistatakse iga enda pädevusse saadava domeeni jaoks vähemalt kaks nimeserverit, tavaliselt üks primaarne ja teine sekundaarne. Mõnel juhul on see kõigi internetikasutajate huvides tehtud ka kohustuslikuks.

Jätkates esitatud näidet, on põhjust registreerida vaid zoo.tartu.ee. domeen, kuna teine on vaid kohaliku tähtsusega.

===Sekundaarse nimeserveri seadistamine===

Kui primaarse nimeserveri seadistamisega on üksjagu tegemist, siis sekundaarset on tunduvalt lihtsam tööle seada. Sekundaarse nimeserverina sobib kasutada mõnda muud juba töötavat nimeserverit, lisades selle nimeserveri seadistusfaili lõigud päri-ja pöördteisenduste kohta

zone "zoo.tartu.ee" {
type slave;
file "zoo.tartu.ee.slave.zone";
masters {
kalake.zoo.tartu.ee;
};
};

zone "10.40.193.in-addr.arpa" {
type slave;
file "10.40.193.in-addr.arpa.slave.zone";
masters {
kalake.zoo.tartu.ee;
};
};

primaarses nimeservers peab olema defineeritud ka rida allow-transfer option sektsioon

allow-transfer { 193.40.10.193; 127.0.0.1; };

Tulemusena kopeerib sekundaarne primaarselt nimeserverilt vastavad primaarse nimeserveri tsoonid omale ja salvestab failidesse zoo.tartu.ee.slave.zone. ning 10.40.193.in-addr.arpa.slave.zone. Kopeerimine toimub tsoonide SOA-kirjes näidatud värskendusperioodiga.

Normaalsel juhul on sekundaarne nimeserver klientide jaoks kõnealuse tsooni suhtes sama pädev kui primaarnegi.

===Tsoonide zoo.tartu.ee. ja 10.40.193.in-addr.arpa. delegeerimine===

Teatades domeeni zoo.tartu.ee. registreerimissoovis domeeni tartu.ee. administraatorile, esmalt veendudakse, et delegeeritavad domeenid on korrektselt kirjeldatud, so nimeserverid annavad päringutele adekvaatseid vastuseid.

Seejärel lisatakse tartu.ee. tsoonifaili kaks delegeerimiskirjet ning üks kleepekirje

zoo.tartu.ee. IN NS kalake.zoo.tartu.ee.
kalake.zoo.tartu.ee. IN A 193.40.10.1
zoo.tartu.ee. IN NS kool.tartu.ee.

Kui kleepekirjet mitte kasutada, siis ei lahenduks nimi kalake.zoo.tartu.ee. internetikasutajate jaoks, va nende kasutajate jaoks, kes on seadnud otseselt end teenindama nimeserveri kalake.zoo.tartu.ee. Tõepoolest, domeeninimi kalake.zoo.tartu.ee. on kirjeldatud nimeserveri kalake.zoo.tartu.ee. tsoonis zoo.tartu.ee. ja et selle tsoonini jõuda, peab olema teada nimele kalake.zoo.tartu.ee. vastav IP-aadress. See aadress tehaksegi kleepekirjega internetikasutajatele teatavaks. Kleepekirje on ainus erand, mil on lubatud domeeninime kirjeldada väljaspool oma tsooni.

Kirjeldatud põhjusel ei ole sekundaarseks nimeserveriks hakanud kool.tartu.ee. nimele kleepekirjet tarvis.

Samuti lisatakse ka domeeni 40.193.in-addr.arpa. tsoonifaili sarnased delegeerimiskirjed

10.40.193.in-addr.arpa. IN NS kalake.zoo.tartu.ee.
10.40.193.in-addr.arpa. IN NS kool.tartu.ee.

Päri-ja pöördteisendusi võivad teile delegeerida üldiselt ka erinevad nimeserverid.

===Logi===

Vaikimisi saadab BIND süsteemi logisse käivitamisel või tsoonifailide laadimisel ilmnenud veateated.

bash# tail -f /var/log/messages

===Vaheladu===

Saates nimeserveri protsessile SIGINT signaali, salvestab ta parasjagu mälus olevad andmed faili, vaikimisi /var/named/named_dump.db

bash# kill -INT PID
[http://www.pokerstars.ee poker hands]