Domeenide delegeerimine
Sisukord
Sissejuhatus
Domeenide delegeerimine teeb võimalikuks interneti nimeserverite vahelise töö jaotamise.
Käesolevas palas esitame tervikliku näite esitades ja kommenteerides erineva taseme nimeserverites vajalikke muudatusi seoses domeenide delegeerimise, tsoonide moodustamise ja domeeninimede kirjeldamisega.
Seame eesmärgiks delegeerida kohtadele kahe C-klassi alamvõrgule vastavat tsooni.
Füüsiliselt tekitatakse Loomaaias kaks alamvõrku, mis vastavad erinevatele domeenidele
- 193.40.10.128/28 - loomaaed.ee.
- 193.40.10.144/28 - bassein.loomaaed.ee.
Eelarvamuste kõigutamiseks märgime, et kui domeeninimede süsteemi suhtes asetseb domeen bassein.loomaaed.ee. domeeni loomaaed.ee. sees, siis neile vastavad füüsilised alamvõrgud ei pruugi asetseda sarnaselt üksteise 'taga'. Lisaks, ruutingu korraldamine Vabriku ja Loomaaia arvutivõrkude ja interneti vahel on täiesti omaette küsimus.
in-addr.arpa. domeenist 40.193.in-addr.arpa. delegeeritakse kohtadele ka pöördteisenduste tegemise võimalus, so tsoonid
- 15.40.193.in-addr.arpa. - Vabrikule
- 10.40.193.in-addr.arpa. - Loomaaiale
Tipptaseme tsoonifailides vajalikud muudatused
Loomaaiale ja Vabrikule domeenide delegeerimisel tuleb tipptaseme domeeni administraatoril lisada ee. tsoonifaili järgmised kirjed
loomaaed.ee. 1D IN NS ns.loomaaed.ee. loomaaed.ee. 1D IN NS ns.aafrika.ee. ns.loomaaed.ee. 1D IN A 193.40.10.129 vabrik.ee. 1D IN NS alasi.vabrik.ee. vabrik.ee. 1D IN NS ns.lenin.ee. alasi.vabrik.ee. 1D IN A 193.40.15.0.1
eeldusel, et ns.loomaaed.ee. ja alasi.vabrik.ee. on vastavad primaarsed nimeserverid. Hea kombe kohaselt tuleb domeenile näidata lisaks primaarsele nimeserverile ka vähemalt üks sekundaarne server, selleks on vastavalt ns.aafrika.ee. ja ns.lenin.ee.
Toodud A-kirjeid nimetatakse kleepekirjeteks, sest kuna NS-kirjete ridadel kasutatud nimeserverite nimed lahenduvad nimeserveris endas, peavad päringud siiski nimeserveritesse kohale jõudama.
Lisada tuleb ka delegatsioon in-addr.arpa. domeeni tsoonifailidesse
10.40.193.in-addr.arpa. 1D IN NS ns.loomaaed.ee. 10.40.193.in-addr.arpa. 1D IN NS ns.aafrika.ee. 15.40.193.in-addr.arpa. 1D IN NS alasi.vabrik.ee. 15.40.193.in-addr.arpa. 1D IN NS ns.lenin.ee.
Kui nüüd tipptaseme nimeserverisse tuleb päringud näiteks mõne domeeni loomaaed.ee. jääva domeeninime kohta, siis saadetakse kliente vaheldumisi ühe ja teise nimeserveri juurde. Seega põhimõtteliselt saab nimeserveri abil ka teenust pakkuvate serverite koormust jagada.
Sarnaselt käitutakse ka in-addr.arpa. domeeni tulevate päringutega.
Tsooni vabrik.ee. nimeserverite seadistamine
Nimeserveri seadistusfail /etc/named.conf eeldusel, et muid tsoone ei ole seal kirjeldatud
options { directory "/var/named"; }; zone "." IN { type hint; file "root.hints"; }; zone "localhost" IN { type master; file "localhost.zone"; }; zone "0.0.127.in-addr.arpa" IN { type master; file "0.0.127.zone"; }; zone "vabrik.ee" IN { type master; file "vabrik.ee.zone"; }; zone "15.40.193.in-addr.arpa" IN { type master; file "15.40.193.zone"; };
localhost domeeni ja juurnimeservereid puudutav osa tuleb seadistada sarnaselt punktis "Nimeserveri tööleseadmine" kirjeldatule.
Järgmisena toome ära tsooni vabrik.ee. primaarse nimeserveri tsoonifailide sisu
Vabriku päriteisendustele vastav tsoonifail vabrik.ee.zone on sellise sisuga
$TTL 86400 @ 1D IN SOA alasi.vabrik.ee. root.vabrik.ee. ( 2001072801 ; serial 3H ; refresh 15M ; retry 1W ; expiry 1D ) ; minimum vabrik.ee. 1D IN NS alasi.vabrik.ee. vabrik.ee. 1D IN NS ns.lenin.ee. alasi.vabrik.ee. 1D IN A 193.40.15.1 vabrik.ee. 1D IN A 193.40.15.1 vork.vabrik.ee. 1D IN A 193.40.15.0 levi.vabrik.ee. 1D IN A 193.40.15.255 kangasteljed.vabrik.ee. 1D IN A 193.40.15.2
Omanimelise tsooni tsoonifaili sees olevaid domeeni NS kirjeid nimetatakse pädevuskirjeteks. Pange tähele, et SOA kirjes näidatakse tsooni primaarse nimeserveri nimi.
Vabriku pöördteisendustele vastav tsoonifail 15.40.193.zone on sellise sisuga
$TTL 86400 @ 1D IN SOA vabrik.ee. root.vabrik.ee. ( 2001072801 ; serial 3H ; refresh 15M ; retry 1W ; expiry 1D ) ; minimum 15.40.193.in-addr.arpa. 1D IN NS alasi.vabrik.ee. 15.40.193.in-addr.arpa. 1D IN NS ns.lenin.ee. 1.15.40.193.in-addr.arpa. 1D IN PTR alasi.vabrik.ee. 0.15.40.193.in-addr.arpa. 1D IN PTR vork.vabrik.ee. 255.15.40.193.in-addr.arpa. 1D IN PTR levi.vabrik.ee. 2.15.40.193.in-addr.arpa. 1D IN PTR kangasteljad.vabrik.ee.
Vabriku sekundaarses nimeserveri seadistusfailis tuleb näidata sektsioonid
zone "vabrik.ee" { type slave; file "vabrik.ee.slave.zone"; masters { alasi.vabrik.ee; }; };
zone "15.40.193.in-addr.arpa" { type slave; file "15.40.193.slave.zone"; masters { alasi.vabrik.ee; }; };
Tsooni loomaaed.ee. nimeserverite seadistamine
Loomaaed nimeserveri seadistamine toimub sarnaselt vabrikule, kuid erinevusega, et delegeeritakse edasi domeen bassein.loomaaed.ee. ning vastavad pöördteisendused in-addr.arpa. domeenist. Viimase teeb keerukaks asjaolu, et ei delegeerita tervele C-klassile vastavat tsooni, vaid ainult osa.
Nimeserveri seadistusfail /etc/named.con
options { directory "/var/named"; }; zone "." IN { type hint; file "root.hints"; };
zone "localhost" IN { type master; file "localhost.zone"; }; zone "0.0.127.in-addr.arpa" IN { type master; file "0.0.127.zone"; }; zone "loomaaed.ee" IN { type master; file "loomaaed.ee.zone"; }; zone "10.40.193.in-addr.arpa" IN { type master; file "10.40.193.zone"; };
localhost domeeni ja juurnimeservereid puudutav osa tuleb seadistada sarnaselt punktis "Nimeserveri tööleseadmine" kirjeldatule.
Järgmisena toome ära tsooni loomaaed.ee. primaarse nimeserveri tsoonifailide sisu.
Loomaaia päriteisendustele vastav tsoonifail loomaaed.ee.zone on sellise sisuga
$TTL 86400 @ 1D IN SOA ns.loomaaed.ee. root.loomaaed.ee. ( 2001072801 ; serial 3H ; refresh 15M ; retry 1W ; expiry 1D ) ; minimum loomaaed.ee. 1D IN NS ns.loomaaed.ee. loomaaed.ee. 1D IN NS ns.aafrika.ee. ns.loomaaed.ee. 1D IN A 193.40.10.129 loomaaed.ee. 1D IN A 193.40.10.129 vork.loomaaed.ee. 1D IN A 193.40.10.128 levi.loomaaed.ee. 1D IN A 193.40.10.143 bassein.loomaaed.ee. 1D IN NS ns.bassein.loomaaed.ee. ns.bassein.loomaaed.ee. 1D IN A 193.40.10.145
Loomaaia pöördteisendustele vastav tsoonifail 10.40.193.zone on sellise sisuga
$TTL 86400 @ 1D IN SOA ns.loomaaed.ee. root.loomaaed.ee. ( 2001072801 ; serial 3H ; refresh 15M ; retry 1W ; expiry 1D ) ; minimum 10.40.193.in-addr.arpa. 1D IN NS ns.loomaaed.ee. 10.40.193.in-addr.arpa. 1D IN NS ns.aafrika.ee. 129.10.40.193.in-addr.arpa. 1D IN PTR ns.loomaaed.ee. 128.10.40.193.in-addr.arpa. 1D IN PTR vork.loomaaed.ee. 143.10.40.193.in-addr.arpa. 1D IN PTR levi.loomaaed.ee. bassein.10.40.193.in-addr.arpa. 1D IN NS ns.bassein.loomaaed.ee. 145.10.40.193.in-addr.arpa. 1D IN CNAME 145.bassein.10.40.193.in-addr.arpa. 144.10.40.193.in-addr.arpa. 1D IN CNAME 144.bassein.10.40.193.in-addr.arpa. 159.10.40.193.in-addr.arpa. 1D IN CNAME 159.bassein.10.40.193.in-addr.arpa. 146.10.40.193.in-addr.arpa. 1D IN CNAME 146.bassein.10.40.193.in-addr.arpa.
CNAME'isid kasutatakse in-addr.arpa. domeeninimede delegeerimiseks teisele nimeserverile, kusjuures seda saab teha ühe kaupa.
Loomaaia sekundaarse nimeserveri seadistusfailis tuleb näidata sektsioonid
zone "loomaaed.ee" { type slave; file "loomaaed.ee.slave.zone"; masters { ns.loomaaed.ee; }; }; zone "10.40.193.in-addr.arpa" { type slave; file "10.40.193.slave.zone"; masters { ns.loomaaed.ee; }; };
Tsooni bassein.loomaaed.ee. nimeserverite seadistamine
options { directory "/var/named"; }; zone "." IN { type hint; file "root.hints"; }; zone "localhost" IN { type master; file "localhost.zone"; }; zone "0.0.127.in-addr.arpa" IN { type master; file "0.0.127.zone"; }; zone "bassein.loomaaed.ee" IN { type master; file "vabrik.ee.zone"; }; zone "bassein.10.40.193.in-addr.arpa" IN { type master; file "bassein.10.40.193.zone"; };
localhost domeeni ja juurnimeservereid puutuv osa tuleb seadistada sarnaselt punktis "Nimeserveri tööleseadmine" kirjeldatud.
Järgmisena toome ära tsooni bassein.loomaaed.ee. primaarse nimeserveri tsoonifailide sisu.
$TTL 86400 @ 1D IN SOA ns.bassein.loomaaed.ee. root.bassein.loomaaed.ee. ( 2001072801 ; serial 3H ; refresh 15M ; retry 1W ; expiry 1D ) ; minimum bassein.loomaaed.ee. 1D IN NS ns.bassein.loomaaed.ee. ns.bassein.loomaaed.ee. 1D IN A 193.40.10.145 bassein.loomaaed.ee. 1D IN A 193.40.10.145 vork.bassein.loomaaed.ee. 1D IN A 193.40.10.144 levi.bassein.loomaaed.ee. 1D IN A 193.40.10.159 tuuker.bassein.loomaaed.ee. 1D IN A 193.40.10.146
Basseini pöördteisendustele vastav tsoonifail bassein.10.40.193.zone on sellise sisuga
$TTL 86400 @ 1D IN SOA ns.bassein.loomaaed.ee. root.bassein.loomaaed.ee. ( 2001072801 ; serial 3H ; refresh 15M ; retry 1W ; expiry 1D ) ; minimum bassein.10.40.193.in-addr.arpa. 1D IN NS ns.bassein.loomaaed.ee. 45.bassein.10.40.193.in-addr.arpa. 1D IN PTR ns.bassein.loomaaed.ee. 44.bassein.10.40.193.in-addr.arpa. 1D IN PTR vork.bassein.loomaaed.ee. 59.bassein.10.40.193.in-addr.arpa. 1D IN PTR levi.bassein.loomaaed.ee. 46.bassein.10.40.193.in-addr.arpa. 1D IN PTR tuuker.bassein.loomaaed.ee.
Basseini sekundaarse nimeserveri, milleks võiks kasutada näiteks nimeserverit ns.loomaaed.ee., seadistusfailis tuleb näidata sektsioonid
zone "bassein.loomaaed.ee" { type slave; file "bassein.loomaaed.ee.slave.zone"; masters { ns.bassein.loomaaed.ee; }; }; zone "bassein.10.40.193.in-addr.arpa" { type slave; file "bassein.10.40.193.slave.zone"; masters { ns.bassein.loomaaed.ee; }; };
Kontroll
Veendumaks, et seadistatud nimeserver toimib, kasutage näiteks programmi dig ning esitage päringuid, kopeerige tsoone.
Tuletame meelde, et parandades tsoonifaile, tuleb suurendada ka seerianumbrit ning tsoonifailid uuesti laadida käsuga
bash# rndc reload
Kui te muudate ka nimeserveri seadistusfaili /etc/named.conf, siis tuleb nimeserver uuesti käivitada
bash# rndc restart
ning jälgige samal ajal süsteemi logisse ilmuvaid teateid
bash# tail -f /var/log/messages
Ilma tsoonita domeen
Palas täitsime kõik püstitatud ülesanded, sh delegeerisime domeeni bassein.loomaaed.ee. ja in-addr.arpa. domeeni osa edasi nimeserverile ns.bassein.loomaaed.ee.
Nimesüsteemi kasutajaile pealtnäha sama tulemuse oleks saanud saavutada ka kahel muul moel ilma teise nimeserveri abita:
* delegeerides domeeni bassein.loomaaed.ee. samale nimeserverile ns.loomaaed.ee. ning kirjeldades vastava tsoonifaili * kirjeldades samas loomaaed.ee. tsoonifailis ka bassein.loomaaed.ee. domeeninimed
Esimene variant on täiesti analoogne eespool tooduga, ainult tuleb delegatsiooni muuta.
Teisel juhu päri-ja pöördteisendustele vastavad tsoonid esitame siinkohal.
Tsooni loomaaed.ee. primaarse nimeserveri päriteisenduste tsoonifaili loomaaed.ee.zone sisu
$TTL 86400 @ 1D IN SOA ns.loomaaed.ee. root.loomaaed.ee. ( 2001072801 ; serial 3H ; refresh 15M ; retry 1W ; expiry 1D ) ; minimum loomaaed.ee. 1D IN NS ns.loomaaed.ee. loomaaed.ee. 1D IN NS ns.aafrika.ee. ns.loomaaed.ee. 1D IN A 193.40.10.129 loomaaed.ee. 1D IN A 193.40.10.129 vork.loomaaed.ee. 1D IN A 193.40.10.128 levi.loomaaed.ee. 1D IN A 193.40.10.143 ns.bassein.loomaaed.ee. 1D IN A 193.40.10.145 vork.bassein.loomaaed.ee. 1D IN A 193.40.10.144 levi.bassein.loomaaed.ee. 1D IN A 193.40.10.159 tuuker.bassein.loomaaed.ee. 1D IN A 193.40.15.146
Loomaaia pöördteisendustele vastav tsoonifail 10.40.193.zone on sellise sisuga
$TTL 86400 @ 1D IN SOA ns.loomaaed.ee. root.loomaaed.ee. ( 2001072801 ; serial 3H ; refresh 15M ; retry 1W ; expiry 1D ) ; minimum 10.40.193.in-addr.arpa. 1D IN NS ns.loomaaed.ee. 10.40.193.in-addr.arpa. 1D IN NS ns.aafrika.ee. 129.10.40.193.in-addr.arpa. 1D IN PTR ns.loomaaed.ee. 128.10.40.193.in-addr.arpa. 1D IN PTR vork.loomaaed.ee. 143.10.40.193.in-addr.arpa. 1D IN PTR levi.loomaaed.ee. 145.10.40.193.in-addr.arpa. 1D IN PTR ns.bassein.loomaaed.ee. 144.10.40.193.in-addr.arpa. 1D IN PTR vork.bassein.loomaaed.ee. 159.10.40.193.in-addr.arpa. 1D IN PTR levi.bassein.loomaaed.ee. 146.10.40.193.in-addr.arpa. 1D IN PTR tuuker.bassein.loomaaed.ee.
Niisiis, tõepoolest domeen bassein.loomaaed.ee. on domeeninimede ruumis olemas, kuid vastav tsoon puudub. Vajadusel saab selle tsooni kasutajatele nähtamatult tekitada.
Varjatud primaarse nimeserveri kasutamine
Mõnel juhul, näiteks lähtudes turvakaalutlustest, ei soovita tsooni primaarset serverit avalikku kasutusse lülitada. Sel juhul saab korraldada nii, et avalikuks kasutuseks mõeldud tsooni sekundaarsed nimeserverid kopeerivad tsooni primaarselt ning teenindavad päringuid.
Selleks, et ainult sekundaarsed nimeserverid omaksid õigust primaarsega suhelda, saab näiteks seada sobiva IP-paketi filtreerimisreeglite kehtestamisega primaarses nimeserveris.
Ülemises nimeserveris, kust kõnealune tsoon on delegeeritud, tuleb delegeerimisel näidata vaid reaalselt kliente teenindavad tsooni nimeserverid, so antud juhul sekundaarsed. Kui näidata ka varjatud primaarne, siis suunatakse kliente aegajalt ka neid mitteteenindava nimeserveri juurde ning see oleks nimesüsteemi viga.