NSD nimeserveri kasutamine OpenBSDga
Sisukord
Sissejuhatus
Üks võimalus on jaotada nimeservereid gruppidesse selle järgi, millised päringuid nad teenindavad
- autoriteetne (ingl. k. authoritative) -
- rekursiivne (ingl. k. recursive) -
- vaheladustav (ingl. k. caching) -
Seejuures tuleb tähele panna, et sama nimeserveri tarkvara saab käivitada kas mõnes või äärmisel juhul kõigil nimetatud režiimides. Arusaadavalt eeldab mingis režiimis käivitamine, et kõnealune nimeserveri tarkvara vastavat režiimi toetab.
NSD (ingl. k. name server daemon) autoriteetne nimeserver.
NSD paigaldamine
OpenBSD 4.6 jaoks on olemas binaarse paketi kujul NSD tarkvara versiooni 3.2.2, paigaldamiseks tuleb öelda
# pkg_add nsd
Tulemusena paigaldatakse sellised programmid
- /usr/local/sbin/nsd - nsd deemon
- /usr/local/sbin/nsd-notify - notify utiliit
- /usr/local/sbin/zonec - tsooniandmete kodeerija
- /usr/local/sbin/nsdc - nsd deemoni juhtprogramm
- /usr/local/sbin/nsd-xfer - tsooni kopeerimise utiliit
- /usr/local/sbin/nsd-patch -
NSD seadistamine
NSD programmi tööd juhib seadistusfail /etc/nsd/nsd.conf.
TODO
Tsoonide seadistamine
NSD poolt teenindatavate tsoonide andmed on kirjas failis /etc/nsd/nsd.zones, nt
# cat /etc/nsd/nsd.zones zone talv.loomaaed.tartu.ee primary/talv.loomaaed.tartu.ee zone suvi.loomaaed.tartu.ee secondary/suvi.loomaaed.tartu.ee masters 192.168.1.251
kus
- domeeni talv.loomaaed.tartu.ee jaoks on nimeserveri primaarne
- domeeni suvi.loomaaed.tarut.ee jaoks on nimeserver sekundaarne, sisu kopeeritakse aadressilt 192.168.1.251
Tsoonifailid ise on samasuguse sisuga nagu BIND tarkvara tsoonifailid st nt
# cat /etc/nsd/primary/talv.loomaaed.tartu.ee
$TTL 604800
@ IN SOA ns.talv.loomaaed.tartu.ee. root.ns.talv.loomaaed.tartu.ee. (
2010012400 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS ns.talv.loomaaed.tartu.ee.
ns IN A 192.168.1.50
www IN A 192.168.1.51
NSD käivitamine
Üldiselt tuleb NSD käivitamiseks öelda
# nsdc start
ja seiskamiseks
# nsdc stop
Peale tsoonifailides tehtud muudatusi tuleb aga tsoonifail nö kompileerida käsuga
# nsdc rebuild zonec: reading zone "talv.loomaaed.tartu.ee". zonec: processed 4 RRs in "talv.loomaaed.tartu.ee". zonec: done with 0 errors.
ning kehtestada muudatused
# nsdc reload
NSD kasutamine
NSD serverile päringu esitamiseks sobib öelda nii, näidates eraldi, et küsimuses ei kasutata recurse lippu
# dig +norecurse @localhost www.talv.loomaaed.tartu.ee a ; <<>> DiG 9.5.1-P3 <<>> +norecurse @localhost www.talv.loomaaed.tartu.ee a ; (2 servers found) ;; global options: printcmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26773 ;; flags: qr aa; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0 ;; QUESTION SECTION: ;www.talv.loomaaed.tartu.ee. IN A ;; ANSWER SECTION: www.talv.loomaaed.tartu.ee. 604800 IN A 192.168.1.51 ;; AUTHORITY SECTION: ns.talv.loomaaed.tartu.ee. 604800 IN NS ns.talv.loomaaed.tartu.ee. ;; ADDITIONAL SECTION: ns.talv.loomaaed.tartu.ee. 604800 IN A 192.168.1.51
kus vastuses on antud
- QUESTION SECTION - korratakse küsimust
- ANSWER SECTION - vastus küsimusele
- AUTHORITY SECTION - autoriteetsete andmete osa
- ADDITIONAL SECTION - täiendavate andmete osa
NSD tarkvara sisaldab utiliiti nsd-xfer, millega sobib kopeerida tsooni ja mida ta ka ise sisemiselt kasutab
# nsd-xfer -z talv.loomaaed.tartu.ee -f /tmp/talv.loomaaed.tart.ee.zone 192.168.1.251
TSIG signatuuride kasutamine
Transaktsiooni signatuure (ingl. k. Transaction SIGnature, TSIG) kasutatakse selleks, et tagada kahe nimeseveri, tavaliselt primaarse ja sekundaarse andmevahetusel andmete autentsus.
Selleks tuleb kirjeldada mõlema nimeseveri /etc/nsd/nsd.conf seadistusfailis võti
key:
name: tsoonivoti
algorithm: hmac-md5
secret: "K2tf3TRjvQkVCmJF3/Z9vA=="
ning seda seejärel tsooni juures kasutada
notify: 192.168.10.190 tsoonivoti
provide-xfr: 192.168.10.190 tsoonivoti
