Domeenide delegeerimine

Allikas: Kuutõrvaja

Sissejuhatus

Domeenide delegeerimine teeb võimalikuks interneti nimeserverite vahelise töö jaotamise.

Käesolevas palas esitame tervikliku näite esitades ja kommenteerides erineva taseme nimeserverites vajalikke muudatusi seoses domeenide delegeerimise, tsoonide moodustamise ja domeeninimede kirjeldamisega.

Seame eesmärgiks delegeerida kohtadele kahe C-klassi alamvõrgule vastavat tsooni.

Füüsiliselt tekitatakse Loomaaias kaks alamvõrku, mis vastavad erinevatele domeenidele

  • 193.40.10.128/28 - loomaaed.ee.
  • 193.40.10.144/28 - bassein.loomaaed.ee.

Eelarvamuste kõigutamiseks märgime, et kui domeeninimede süsteemi suhtes asetseb domeen bassein.loomaaed.ee. domeeni loomaaed.ee. sees, siis neile vastavad füüsilised alamvõrgud ei pruugi asetseda sarnaselt üksteise 'taga'. Lisaks, ruutingu korraldamine Vabriku ja Loomaaia arvutivõrkude ja interneti vahel on täiesti omaette küsimus.

in-addr.arpa. domeenist 40.193.in-addr.arpa. delegeeritakse kohtadele ka pöördteisenduste tegemise võimalus, so tsoonid

  • 15.40.193.in-addr.arpa. - Vabrikule
  • 10.40.193.in-addr.arpa. - Loomaaiale

Tipptaseme tsoonifailides vajalikud muudatused

Loomaaiale ja Vabrikule domeenide delegeerimisel tuleb tipptaseme domeeni administraatoril lisada ee. tsoonifaili järgmised kirjed

loomaaed.ee.            1D IN NS        ns.loomaaed.ee.
loomaaed.ee.            1D IN NS        ns.aafrika.ee.
ns.loomaaed.ee.         1D IN A         193.40.10.129
vabrik.ee.              1D IN NS        alasi.vabrik.ee.
vabrik.ee.              1D IN NS        ns.lenin.ee.
alasi.vabrik.ee.        1D IN A         193.40.15.0.1

eeldusel, et ns.loomaaed.ee. ja alasi.vabrik.ee. on vastavad primaarsed nimeserverid. Hea kombe kohaselt tuleb domeenile näidata lisaks primaarsele nimeserverile ka vähemalt üks sekundaarne server, selleks on vastavalt ns.aafrika.ee. ja ns.lenin.ee.

Toodud A-kirjeid nimetatakse kleepekirjeteks, sest kuna NS-kirjete ridadel kasutatud nimeserverite nimed lahenduvad nimeserveris endas, peavad päringud siiski nimeserveritesse kohale jõudama.

Lisada tuleb ka delegatsioon in-addr.arpa. domeeni tsoonifailidesse

10.40.193.in-addr.arpa. 1D IN NS        ns.loomaaed.ee.
10.40.193.in-addr.arpa. 1D IN NS        ns.aafrika.ee. 
15.40.193.in-addr.arpa. 1D IN NS        alasi.vabrik.ee.
15.40.193.in-addr.arpa. 1D IN NS        ns.lenin.ee.

Kui nüüd tipptaseme nimeserverisse tuleb päringud näiteks mõne domeeni loomaaed.ee. jääva domeeninime kohta, siis saadetakse kliente vaheldumisi ühe ja teise nimeserveri juurde. Seega põhimõtteliselt saab nimeserveri abil ka teenust pakkuvate serverite koormust jagada.

Sarnaselt käitutakse ka in-addr.arpa. domeeni tulevate päringutega.

Tsooni vabrik.ee. nimeserverite seadistamine

Nimeserveri seadistusfail /etc/named.conf eeldusel, et muid tsoone ei ole seal kirjeldatud

options {
        directory "/var/named";
};

zone "." IN {
        type hint;
        file "root.hints";
};

zone "localhost" IN {
        type master;
        file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" IN {
        type master;
        file "0.0.127.zone";
};

zone "vabrik.ee" IN {
        type master;
        file "vabrik.ee.zone";
};

zone "15.40.193.in-addr.arpa" IN {
        type master;
        file "15.40.193.zone";
};


localhost domeeni ja juurnimeservereid puudutav osa tuleb seadistada sarnaselt punktis "Nimeserveri tööleseadmine" kirjeldatule.

Järgmisena toome ära tsooni vabrik.ee. primaarse nimeserveri tsoonifailide sisu

Vabriku päriteisendustele vastav tsoonifail vabrik.ee.zone on sellise sisuga

$TTL    86400
@            1D IN SOA   alasi.vabrik.ee. root.vabrik.ee. (
                                        2001072801      ; serial
                                        3H              ; refresh
                                        15M             ; retry
                                        1W              ; expiry
                                        1D )            ; minimum
vabrik.ee.               1D IN NS        alasi.vabrik.ee.
vabrik.ee.               1D IN NS        ns.lenin.ee.
alasi.vabrik.ee.         1D IN A         193.40.15.1
vabrik.ee.               1D IN A         193.40.15.1
vork.vabrik.ee.          1D IN A         193.40.15.0
levi.vabrik.ee.          1D IN A         193.40.15.255
kangasteljed.vabrik.ee.  1D IN A         193.40.15.2 

Omanimelise tsooni tsoonifaili sees olevaid domeeni NS kirjeid nimetatakse pädevuskirjeteks. Pange tähele, et SOA kirjes näidatakse tsooni primaarse nimeserveri nimi.

Vabriku pöördteisendustele vastav tsoonifail 15.40.193.zone on sellise sisuga

$TTL    86400
@           1D IN SOA   vabrik.ee. root.vabrik.ee. (
                                        2001072801      ; serial
                                        3H              ; refresh
                                        15M             ; retry
                                        1W              ; expiry
                                        1D )            ; minimum
15.40.193.in-addr.arpa.     1D IN NS      alasi.vabrik.ee.
15.40.193.in-addr.arpa.     1D IN NS      ns.lenin.ee.
1.15.40.193.in-addr.arpa.   1D IN PTR     alasi.vabrik.ee.
0.15.40.193.in-addr.arpa.   1D IN PTR     vork.vabrik.ee.
255.15.40.193.in-addr.arpa. 1D IN PTR     levi.vabrik.ee.
2.15.40.193.in-addr.arpa.   1D IN PTR     kangasteljad.vabrik.ee.

Vabriku sekundaarses nimeserveri seadistusfailis tuleb näidata sektsioonid

zone "vabrik.ee" {
        type slave;
        file "vabrik.ee.slave.zone";
        masters {
                alasi.vabrik.ee;
        };
};
zone "15.40.193.in-addr.arpa" {
        type slave;
        file "15.40.193.slave.zone";
        masters {
                alasi.vabrik.ee;
        };
};

Tsooni loomaaed.ee. nimeserverite seadistamine

Loomaaed nimeserveri seadistamine toimub sarnaselt vabrikule, kuid erinevusega, et delegeeritakse edasi domeen bassein.loomaaed.ee. ning vastavad pöördteisendused in-addr.arpa. domeenist. Viimase teeb keerukaks asjaolu, et ei delegeerita tervele C-klassile vastavat tsooni, vaid ainult osa.

Nimeserveri seadistusfail /etc/named.con

options {
        directory "/var/named";
};

zone "." IN {
        type hint;
        file "root.hints";
};
zone "localhost" IN {
        type master;
        file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" IN {
        type master;
        file "0.0.127.zone";
};

zone "loomaaed.ee" IN {
        type master;
        file "loomaaed.ee.zone";
};

zone "10.40.193.in-addr.arpa" IN {
        type master;
        file "10.40.193.zone";
};


localhost domeeni ja juurnimeservereid puudutav osa tuleb seadistada sarnaselt punktis "Nimeserveri tööleseadmine" kirjeldatule.

Järgmisena toome ära tsooni loomaaed.ee. primaarse nimeserveri tsoonifailide sisu.

Loomaaia päriteisendustele vastav tsoonifail loomaaed.ee.zone on sellise sisuga

$TTL    86400
@            1D IN SOA       ns.loomaaed.ee. root.loomaaed.ee. (
                                        2001072801      ; serial
                                        3H              ; refresh
                                        15M             ; retry
                                        1W              ; expiry
                                        1D )            ; minimum
loomaaed.ee.             1D IN NS        ns.loomaaed.ee.
loomaaed.ee.             1D IN NS        ns.aafrika.ee.
ns.loomaaed.ee.          1D IN A         193.40.10.129
loomaaed.ee.             1D IN A         193.40.10.129
vork.loomaaed.ee.        1D IN A         193.40.10.128
levi.loomaaed.ee.        1D IN A         193.40.10.143
bassein.loomaaed.ee.     1D IN NS        ns.bassein.loomaaed.ee.
ns.bassein.loomaaed.ee.  1D IN A         193.40.10.145

Loomaaia pöördteisendustele vastav tsoonifail 10.40.193.zone on sellise sisuga

$TTL    86400
@           1D IN SOA   ns.loomaaed.ee. root.loomaaed.ee. (
                                        2001072801      ; serial
                                        3H              ; refresh
                                        15M             ; retry
                                        1W              ; expiry
                                        1D )            ; minimum
10.40.193.in-addr.arpa.         1D IN NS     ns.loomaaed.ee.
10.40.193.in-addr.arpa.         1D IN NS     ns.aafrika.ee.
129.10.40.193.in-addr.arpa.     1D IN PTR    ns.loomaaed.ee.
128.10.40.193.in-addr.arpa.     1D IN PTR    vork.loomaaed.ee.
143.10.40.193.in-addr.arpa.     1D IN PTR    levi.loomaaed.ee.
bassein.10.40.193.in-addr.arpa. 1D IN NS     ns.bassein.loomaaed.ee.
145.10.40.193.in-addr.arpa.     1D IN CNAME  145.bassein.10.40.193.in-addr.arpa.
144.10.40.193.in-addr.arpa.     1D IN CNAME  144.bassein.10.40.193.in-addr.arpa.
159.10.40.193.in-addr.arpa.     1D IN CNAME  159.bassein.10.40.193.in-addr.arpa.
146.10.40.193.in-addr.arpa.     1D IN CNAME  146.bassein.10.40.193.in-addr.arpa.

CNAME'isid kasutatakse in-addr.arpa. domeeninimede delegeerimiseks teisele nimeserverile, kusjuures seda saab teha ühe kaupa.

Loomaaia sekundaarse nimeserveri seadistusfailis tuleb näidata sektsioonid

zone "loomaaed.ee" {
        type slave;
        file "loomaaed.ee.slave.zone";
        masters {
                ns.loomaaed.ee;
        };
};

zone "10.40.193.in-addr.arpa" {
        type slave;
        file "10.40.193.slave.zone";
        masters {
                ns.loomaaed.ee;
        };
};

Tsooni bassein.loomaaed.ee. nimeserverite seadistamine

options {
        directory "/var/named";
};

zone "." IN {
        type hint;
        file "root.hints";
};

zone "localhost" IN {
        type master;
        file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" IN {
        type master;
        file "0.0.127.zone";
};

zone "bassein.loomaaed.ee" IN {
        type master;
        file "vabrik.ee.zone";
};

zone "bassein.10.40.193.in-addr.arpa" IN {
        type master;
        file "bassein.10.40.193.zone";
};

localhost domeeni ja juurnimeservereid puutuv osa tuleb seadistada sarnaselt punktis "Nimeserveri tööleseadmine" kirjeldatud.

Järgmisena toome ära tsooni bassein.loomaaed.ee. primaarse nimeserveri tsoonifailide sisu.


$TTL    86400
@      1D IN SOA   ns.bassein.loomaaed.ee. root.bassein.loomaaed.ee. (
                                        2001072801      ; serial
                                        3H              ; refresh
                                        15M             ; retry
                                        1W              ; expiry
                                        1D )            ; minimum
bassein.loomaaed.ee.            1D IN NS        ns.bassein.loomaaed.ee.
ns.bassein.loomaaed.ee.         1D IN A         193.40.10.145
bassein.loomaaed.ee.            1D IN A         193.40.10.145
vork.bassein.loomaaed.ee.       1D IN A         193.40.10.144
levi.bassein.loomaaed.ee.       1D IN A         193.40.10.159
tuuker.bassein.loomaaed.ee.     1D IN A         193.40.10.146

Basseini pöördteisendustele vastav tsoonifail bassein.10.40.193.zone on sellise sisuga

$TTL    86400
@       1D IN SOA   ns.bassein.loomaaed.ee. root.bassein.loomaaed.ee. (
                                        2001072801      ; serial
                                        3H              ; refresh
                                        15M             ; retry
                                        1W              ; expiry
                                        1D )            ; minimum
bassein.10.40.193.in-addr.arpa.       1D IN NS    ns.bassein.loomaaed.ee.
45.bassein.10.40.193.in-addr.arpa.    1D IN PTR     ns.bassein.loomaaed.ee.
44.bassein.10.40.193.in-addr.arpa.    1D IN PTR     vork.bassein.loomaaed.ee.
59.bassein.10.40.193.in-addr.arpa.    1D IN PTR     levi.bassein.loomaaed.ee.
46.bassein.10.40.193.in-addr.arpa.    1D IN PTR     tuuker.bassein.loomaaed.ee.

Basseini sekundaarse nimeserveri, milleks võiks kasutada näiteks nimeserverit ns.loomaaed.ee., seadistusfailis tuleb näidata sektsioonid


zone "bassein.loomaaed.ee" {
        type slave;
        file "bassein.loomaaed.ee.slave.zone";
        masters {
                ns.bassein.loomaaed.ee;
        };
};

zone "bassein.10.40.193.in-addr.arpa" {
        type slave;
        file "bassein.10.40.193.slave.zone";
        masters {
                ns.bassein.loomaaed.ee;
        };
};

Kontroll

Veendumaks, et seadistatud nimeserver toimib, kasutage näiteks programmi dig ning esitage päringuid, kopeerige tsoone.

Tuletame meelde, et parandades tsoonifaile, tuleb suurendada ka seerianumbrit ning tsoonifailid uuesti laadida käsuga

bash# rndc reload

Kui te muudate ka nimeserveri seadistusfaili /etc/named.conf, siis tuleb nimeserver uuesti käivitada

bash# rndc restart

ning jälgige samal ajal süsteemi logisse ilmuvaid teateid

bash# tail -f /var/log/messages

Ilma tsoonita domeen

Palas täitsime kõik püstitatud ülesanded, sh delegeerisime domeeni bassein.loomaaed.ee. ja in-addr.arpa. domeeni osa edasi nimeserverile ns.bassein.loomaaed.ee.

Nimesüsteemi kasutajaile pealtnäha sama tulemuse oleks saanud saavutada ka kahel muul moel ilma teise nimeserveri abita:

   * delegeerides domeeni bassein.loomaaed.ee. samale nimeserverile ns.loomaaed.ee. ning kirjeldades vastava tsoonifaili
   * kirjeldades samas loomaaed.ee. tsoonifailis ka bassein.loomaaed.ee. domeeninimed 

Esimene variant on täiesti analoogne eespool tooduga, ainult tuleb delegatsiooni muuta.

Teisel juhu päri-ja pöördteisendustele vastavad tsoonid esitame siinkohal.

Tsooni loomaaed.ee. primaarse nimeserveri päriteisenduste tsoonifaili loomaaed.ee.zone sisu


$TTL    86400
@                 1D IN SOA       ns.loomaaed.ee. root.loomaaed.ee. (
                                        2001072801      ; serial
                                        3H              ; refresh
                                        15M             ; retry  
                                        1W              ; expiry 
                                        1D )            ; minimum
loomaaed.ee.                 1D IN NS        ns.loomaaed.ee.
loomaaed.ee.                 1D IN NS        ns.aafrika.ee.
ns.loomaaed.ee.              1D IN A         193.40.10.129  
loomaaed.ee.                 1D IN A         193.40.10.129  
vork.loomaaed.ee.            1D IN A         193.40.10.128  
levi.loomaaed.ee.            1D IN A         193.40.10.143  
ns.bassein.loomaaed.ee.      1D IN A         193.40.10.145
vork.bassein.loomaaed.ee.    1D IN A         193.40.10.144
levi.bassein.loomaaed.ee.    1D IN A         193.40.10.159
tuuker.bassein.loomaaed.ee.  1D IN A         193.40.15.146

Loomaaia pöördteisendustele vastav tsoonifail 10.40.193.zone on sellise sisuga

$TTL    86400
@            1D IN SOA   ns.loomaaed.ee. root.loomaaed.ee. (
                                        2001072801      ; serial
                                        3H              ; refresh
                                        15M             ; retry  
                                        1W              ; expiry 
                                        1D )            ; minimum
10.40.193.in-addr.arpa.     1D IN NS     ns.loomaaed.ee.
10.40.193.in-addr.arpa.     1D IN NS     ns.aafrika.ee.
129.10.40.193.in-addr.arpa. 1D IN PTR    ns.loomaaed.ee. 
128.10.40.193.in-addr.arpa. 1D IN PTR    vork.loomaaed.ee.
143.10.40.193.in-addr.arpa. 1D IN PTR    levi.loomaaed.ee.
145.10.40.193.in-addr.arpa. 1D IN PTR    ns.bassein.loomaaed.ee.
144.10.40.193.in-addr.arpa. 1D IN PTR    vork.bassein.loomaaed.ee.
159.10.40.193.in-addr.arpa. 1D IN PTR    levi.bassein.loomaaed.ee.
146.10.40.193.in-addr.arpa. 1D IN PTR    tuuker.bassein.loomaaed.ee.

Niisiis, tõepoolest domeen bassein.loomaaed.ee. on domeeninimede ruumis olemas, kuid vastav tsoon puudub. Vajadusel saab selle tsooni kasutajatele nähtamatult tekitada.

Varjatud primaarse nimeserveri kasutamine

Mõnel juhul, näiteks lähtudes turvakaalutlustest, ei soovita tsooni primaarset serverit avalikku kasutusse lülitada. Sel juhul saab korraldada nii, et avalikuks kasutuseks mõeldud tsooni sekundaarsed nimeserverid kopeerivad tsooni primaarselt ning teenindavad päringuid.

Selleks, et ainult sekundaarsed nimeserverid omaksid õigust primaarsega suhelda, saab näiteks seada sobiva IP-paketi filtreerimisreeglite kehtestamisega primaarses nimeserveris.

Ülemises nimeserveris, kust kõnealune tsoon on delegeeritud, tuleb delegeerimisel näidata vaid reaalselt kliente teenindavad tsooni nimeserverid, so antud juhul sekundaarsed. Kui näidata ka varjatud primaarne, siis suunatakse kliente aegajalt ka neid mitteteenindava nimeserveri juurde ning see oleks nimesüsteemi viga.