A DNS-kiszolgáló telepítéséhez indítsa el a YaST-ot és válassza ki a Szoftver+Szoftver telepítése és eltávolítása menüpontot. Válassza ki a Szűrő+Minták menüpontot, majd a DHCP- és DNS-kiszolgáló pontot. A telepítési folyamat befejezéséhez erősítse meg a függő csomagok telepítését.

Használja a YaST DNS-modulját a DNS-kiszolgáló beállításához. A modul első indításakor megjelenik egy varázsló, és feltesz néhány alapkérdést a kiszolgáló felügyeletével kapcsolatban. A kezdeti beállítások végeztével egy alapbeállításokkal rendelkező DNS-kiszolgálót kapunk. A szakértői módban olyan speciális beállítások végezhetők el, mint az ACL-ek beállítása, a naplózás, a TSIG-kulcsok megadása és még sok egyéb.

23.3.2. Szakértői beállítások¶

A modul elindítása után a YaST megnyit egy ablakot, amely számos beállítási lehetőséget jelenít meg. A beállítások megadására létrejön egy DNS-kiszolgálókonfiguráció, amelynek a legfontosabb funkciói már működnek.

23.3.2.1. Indítás¶

Az Indítás részben lehet beállítani, hogy a DNS-kiszolgáló elinduljon-e rendszerindításkor, vagy kézzel legyen elindítva. A DNS-kiszolgáló azonnali elindításához nyomja meg a DNS-kiszolgáló indítása most gombot. A DNS kiszolgáló leállításához nyomja meg a DNS-kiszolgáló leállítása most gombot. Az aktuális beállítások mentéséhez nyomja meg a Beállítások mentése és a DNS-kiszolgáló újraindítása most gombot. A Tűzfalport megnyitása ablakban megnyitható a tűzfal DNS-portja, a Tűzfalbeállítások segítségével pedig módosíthatók a tűzfalbeállítások.

Az LDAP-támogatás aktív négyzet megjelölése esetén a zónafájlokat egy LDAP-adatbázis felügyeli. Az LDAP-adatbázisba írt zónaadat-módosításokat a DNS-kiszolgáló újraindításkor vagy a konfiguráció ismételt betöltésére való felszólításkor veszi át.

23.3.2.2. Továbbítók¶

Ha a helyi DNS-kiszolgáló nem tud megválaszolni egy kérést, akkor megpróbálja azt továbbítani egy Továbbító felé, amennyiben így lett beállítva. A továbbító kézzel vehető fel a Továbbítók listája részbe. Ha a továbbító nem statikusan van megadva (ilyen a helyzet például telefonos kapcsolatok esetében), akkor a konfigurációt a netconfig kezeli. További információ a netconfigról: man 8 netconfig.

23.3.2.3. A legfontosabb beállítások¶

Ebben a részben adja meg a kiszolgáló legfontosabb beállításait. Az Opciók menüben válassza ki a kívánt elemet, majd a megfelelő beviteli mezőben adja meg az értékét. A Hozzáadás gomb megnyomásával vegye fel az új bejegyzést.

23.3.2.4. Naplózás¶

A Naplózás részben állítható be, hogy DNS-kiszolgáló mit naplózzon és hogyan. A Naplózás típusa alatt adja meg, hogy a DNS-kiszolgáló hova írja a naplóadatokat. A Rendszernapló kiválasztása esetén a /var/log/messages rendszerszintű naplófájl kerül használatra, vagy a Fájl gombbal megadható egy másik fájl. Az utóbbi esetben adjon meg egy nevet, adja meg a maximális fájlméretet (megabyte-ban), valamint a tárolandó naplófájlok számát.

További lehetőségek a További naplózás részben érhetők el. Az Összes DNS-lekérdezés naplózása megjelölése esetén minden lekérdezés naplózásra kerül. Ebben az esetben a naplófájl nagyon nagyra nőhet. Éppen ezért a hibakeresést leszámítva nem túl jó ötlet a funkció bekapcsolása. A zónafrissítés során a DHCP- és DNS-kiszolgáló közötti adatforgalom naplózásához engedélyezze a Zónafrissítések naplózása lehetőséget. Az elsődleges és másodlagos kiszolgálók közötti zónatranszfer adatforgalmának naplózása a Zónatranszferek naplózása lehetőséggel engedélyezhető. Lásd: 23.4. ábra - DNS-kiszolgáló: Naplózás.

23.4. ábra - DNS-kiszolgáló: Naplózás¶

23.3.2.5. ACL-ek¶

Ebben az ablakban lehet megadni a hozzáférési megszorítások betartatása érdekében ACL-eket (hozzáférés-vezérlési listákat). A Név mezőben adjon meg egy nevet, az Érték mezőben adjon meg egy IP-címet (hálózati maszkkal, vagy anélkül) az alábbi módon:

{ 192.168.1/24; }

A konfigurációs fájl szintaxisa megköveteli, hogy a cím pontosvesszővel végződjön és kapcsos zárójelek határolják.

23.3.2.6. TSIG-kulcsok¶

A TSIG-k (tranzakció-aláírások) fő célja a DHCP- és DNS-kiszolgálók közötti kommunikáció biztonságossá tétele. A TSIG-kulcsok bemutatása: 23.8. - Biztonságos tranzakciók

TSIG-kulcs előállításához a Kulcsazonosító mezőben adjon meg egy egyedi nevet és adja meg a fájlt, amelyben a kulcsot tárolni kívánja (Fájlnév). A Létrehozás gomb megnyomásával erősítse meg a beállításokat.

Egy már korábban létrehozott kulcs használatához hagyja üresen a Kulcsazonosító mezőt, majd a Fájlnév mezőben válassza ki a tároláshoz használt fájlt. Végül nyomja meg a Hozzáadás gombot.

23.3.2.7. DNS zónák (másodlagos zóna hozzáadása)¶

Egy másodlagos zóna hozzáadásához válassza ki a DNS zónák részt, adja meg a zóna típusát Másodlagos, írja be az új zóna nevét, majd kattintson a Hozzáadás gombra.

A Zónaszerkesztőben az Elsődleges (master) DNS-kiszolgáló IP részben adja meg az elsődleges kiszolgálót, ahonnan a másodlagos kiszolgáló majd veszi az adatokat. A kiszolgáló hozzáférésének korlátozásához válassza ki a lista valamelyik ACL-jét.

23.3.2.8. DNS zónák (elsődleges zóna hozzáadása)¶

Egy elsődleges zóna hozzáadásához válassza ki a DNS zónák részt, adja meg a zóna típusát Elsődleges, írja be az új zóna nevét, majd kattintson a Hozzáadás gombra. Az elsődleges (master) zóna hozzáadásakor, egy fordított (reverse) zónát is hozzá kell adni. Például a pelda.hu zóna hozzáadásakor, ami a 192.168.1.0/24 alhálózatban található gépekre mutat, akkor fel kell venni egy fordított (reverse) zónát is a megadott IP-címtartományra. A meghatározás szerint ezt 1.168.192.in-addr-arpa névvel kell ellátni.

23.3.2.9. DNS zónák (elsődleges zóna szerkesztése)¶

Egy elsődleges zóna módosításához válassza ki a DNS zónák részt, válassza ki a táblázatból az elsődleges zónát, majd kattintson a Szerkesztés gombra. A párbeszédablak több lapból áll: Alapbeállítások (ez jelenik meg elsőként), NS bejegyzések, MX bejegyzések, SOA és Bejegyzések.

A beállítóablakban (23.5. ábra - DNS-kiszolgáló: Zónaszerkesztő (alapok)) megadhatók a dinamikus DNS beállításai, valamint a zónák kliensekhez és másodlagos névkiszolgálókhoz átadásának a hozzáférési beállításai. A zónák dinamikus frissítésének engedélyezéséhez állítsa be a Dinamikus frissítések engedélyezése lehetőséget, valamit a hozzátartozó TSIG-kulcsot. A frissítés indítása előtt szükség van a kulcsra. A zónatranszferek engedélyezéséhez válassza ki az ehhez tartozó ACL-eket. ACL-eket korábban definiálni kell.

Az alapbeállítások ablakban állítsa be a zónatranszferek engedélyezését. Annak megadásához, hogy ki tölthet le zónákat, válassza ki a megfelelő ACL-eket.

23.5. ábra - DNS-kiszolgáló: Zónaszerkesztő (alapok)¶

Zónaszerkesztő (NS bejegyzések)

Az NS bejegyzések ablakban alternatív névkiszolgálóneveket lehet megadni a megadott zónákhoz. Ellenőrizze, hogy a saját névkiszolgálónév benne van-e a listában. Egy bejegyzés hozzáadásához a Névkiszolgáló mezőben adja meg a nevét, majd nyomja meg a Hozzáadás gombot. Lásd: 23.6. ábra - DNS-kiszolgáló: Zónaszerkesztő (NS bejegyzések).

23.6. ábra - DNS-kiszolgáló: Zónaszerkesztő (NS bejegyzések)¶

Zónaszerkesztő (MX bejegyzések)

Ha fel kíván venni egy levelezőkiszolgálót az aktuális zóna meglévő listájába, akkor írja be a megfelelő címet és prioritásértéket. Ezután nyomja meg a Hozzáadás gombot. Lásd: 23.7. ábra - DNS-kiszolgáló: Zónaszerkesztő (MX bejegyzések).

23.7. ábra - DNS-kiszolgáló: Zónaszerkesztő (MX bejegyzések)¶

Zónaszerkesztő (SOA)

Ezen az oldalon lehet SOA (start of authority, jogosultság kezdete) bejegyzéseket létrehozni. Az egyes lehetőségek leírása: 23.6. példa - A /var/lib/named/example.com.zone fájl

23.8. ábra - DNS-kiszolgáló: Zónaszerkesztő (SOA)¶

Zónaszerkesztő (bejegyzések)

Ebben a párbeszédablakban szabályozható a névfeloldás. A Bejegyzés kulcsa menüpontban adja meg a gépnevet, majd válassza ki a típusát. Az A bejegyzés a fő bejegyzést ábrázolja. Ennek értéke IP-cím kell, hogy legyen. A CNAME egy másodlagos név. A részletes vagy részleges bejegyzések esetén használja az NS vagy MX típust, amelyek az NS bejegyzések és MX bejegyzések lapokon megadott információt terjesztik ki. Ez a három típus egy meglévő A rekordra kerül feloldásra. A PTR a fordított zónákhoz való. Pont az A rekord fordítottja, például:

hostname.example.com. IN A 192.168.0.1
1.0.168.192.in-addr.arpa IN PTR hostname.example.com.

	Fordított (reverse) zóna szerkesztése
A továbbító (forward) zóna hozzáadása után vissza kell menni a főmenübe és a szerkesztéshez ki kell választani a fordított (reverse) zónát. Az Alapbeállítások lapon található Bejegyzés automatikus létrehozása bekapcsolása után ki kell választani a továbbító (forward) zónát. Így minden, a továbbító zónában történt változás automatikusan frissítésre kerül a fordított zónában.

Az openSUSE rendszeren a BIND (Berkeley Internet Name Domain) névkiszolgáló előre be van állítva, így akár közvetlenül a telepítés után gond nélkül elindítható. Ha már rendelkezik egy működő internetkapcsolattal és az /etc/resolv.conf fájlban a localhost bejegyzéshez beírta a 127.0.0.1 névkiszolgálócímet, akkor máris rendelkezik egy működő névfeloldással anélkül, hogy a szolgáltató DNS-ét ismerné. A BIND ekkor a névfeloldást a root névkiszolgálón keresztül hajtja végre, ez viszont meglehetősen lassú folyamat. Célszerűbb beírni a szolgáltató DNS-kiszolgálójának címét az /etc/named.conf konfigurációs fájlba a forwarders részbe a hatékony és biztonságos névfeloldás biztosítása érdekében. Ha ez működik, akkor a névkiszolgáló csak ideiglenesen tároló</emphasis> (caching-only) névkiszolgálóként működik. Teljeskörű DNS-kiszolgálóvá akkor válik, ha beállít egy saját zónát. Nézze meg a /usr/share/doc/packages/bind/config fájlban található egyszerű példát.

	A névkiszolgáló-adatok automatikus igazítása
Az internet- vagy hálózati kapcsolat típusától függően a névkiszolgáló adatai automatikusan a meglévő állapotokhoz igazíthatók. Ehhez, állítsa be a NETCONFIG_DNS_POLICY változót a /etc/sysconfig/network/config fájlt auto értékre.

Azonban ne állítson be semmilyen hivatalos tartománynevet ha nem tulajdonosa vagy adminisztrátora az annak. Még ha rendelkezik is saját tartománnyal, ha azt a szolgáltató felügyeli, ne állítson be rá névfeloldást házon belül, mert akkor a BIND nem fogja továbbítani a kéréseket ehhez a tartományhoz. A szolgáltatónál lévő webkiszolgáló például ilyenkor nem lenne elérhető a tartományból.

A névkiszolgáló elindításához adja ki az rcnamed start parancsot root felhasználóként. Ha a „done” üzenet jelenik meg a jobb oldalon zölddel, a névkiszolgáló nevével, akkor az elindítás sikeresen megtörtént. A host vagy dig programok segítségével tesztelje azonnal a névkiszolgálót a helyi rendszeren, amelynek a localhost értéket kell visszaadnia alapértelmezett kiszolgálóként a 127.0.0.1 címmel. Ha nem ez a helyzet, akkor az /etc/resolv.conf valószínűleg helytelen névkiszolgáló-bejegyzést tartalmaz, vagy a fájl nem is létezik. Az első teszteléskor adja ki a host 127.0.0.1 parancsot, amelynek mindig működnie kell. Ha hibaüzenetet kap, akkor az rcnamed status parancs segítségével nézze meg, hogy a kiszolgáló pillanatnyilag fut-e. Ha a névkiszolgáló nem indul el vagy nem a várt módon viselkedik, akkor ennek oka általában a /var/log/messages hibafájlban megtalálható.

Ha továbbítóként a szolgáltató névkiszolgálóját (vagy egy a hálózaton már futó névkiszolgálót) kívánja használni, akkor a forwarders alatt lévő options részbe írja be a megfelelő IP-címet vagy -címeket. A példában (23.1. példa - Továbbítási beállítások a named.conf fájlban) látható címek helyett természetesen a valódi címeket kell használni. A bejegyzések az Ön beállításainak feleljenek meg.

options { 
        directory "/var/lib/named";
        forwarders { 10.11.12.13; 10.11.12.14; };
        listen-on { 127.0.0.1; 192.168.1.116; };
        allow-query { 127/8; 192.168/16 };
        notify no;
        };

Az options bejegyzést a zóna, a localhost és 0.0.127.in-addr.arpa bejegyzései követik. A type hint bejegyzésnek a „.” alatt mindig jelen kell lennie. A kapcsolódó fájlokat nem kell módosítani, működniük kell, ahogy vannak. Győződjön meg róla, hogy minden bejegyzést „;” (pontosvessző) zár le és a kapcsos zárójelek a megfelelő helyen vannak. Az /etc/named.conf konfigurációs fájl vagy a zónafájlok módosítása után az rcnamed reload parancs segítségével utasítsa a BIND-ot, hogy olvassa újra be őket. Ugyanez az eredmény érhető el, ha a névkiszolgálót leállítja, majd az rcnamed restart parancs segítségével újraindítja. Az rcnamed stop parancs segítségével a kiszolgáló bármikor leállítható.

A BIND névkiszolgáló beállításait a /etc/named.conf fájl tárolja. A tartományok zónaadatai (a gépnevek, IP-címek stb.) külön fájlokban tárolódnak a /var/lib/named könyvtárban. Alább részletesen is leírjuk a fájl beállításait.

Az /etc/named.conf két fő területre oszlik. Az egyik, az options kulcsszóval kezdődő rész az általános beállításokat, a zone kulcsszóval kezdődő rész az egyes tartományok zónabejegyzéseit tartalmazza. A logging rész és az acl (hozzáférés-vezérlési lista) szakaszok nem kötelezők. A megjegyzéssorok # vagy // jellel kezdődnek. Az 23.2. példa - Egyszerű /etc/named.conf fájl egy minimális /etc/named.conf fájlt mutat be.

options { 
        directory "/var/lib/named"; 
        forwarders { 10.0.0.1; };
        notify no;
};

zone "localhost" in {
       type master;
       file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
        type master;
        file "127.0.0.zone";
};

zone "." in {
        type hint;
        file "root.hint";
};

logging {
        category default { null; };
};

zone "example.com" in {
      type master;
      file "example.com.zone";
      notify no;
};

zone "example.net" in {
      type slave;
      file "slave/example.net.zone";
      masters { 10.0.0.1; }; 
};

Kétféle típusú zónafájl létezik: az egyik IP-címeket rendel a gépnevekhez, a másik a fordítottját csinálja: gépnevet ad meg az IP-címhez.

A pont használata a zónafájlokban

A végén ki kell tenni a "." karakternek fontos jelentése van a zónafájlokban. Ha a gépnevek lezáró . végződés nélkül vannak megadva, akkor kiegészülnek a zóna nevével. A teljes tartománynévvel megadott teljes gépneveknek . karakterrel kell végződniük, hogy a tartomány ne legyen még egyszer hozzájuk fűzve. A hiányzó vagy rossz helyen megadott "." eredményezi a névkiszolgáló konfigurációs hibáinak nagy részét.

Az első esetben tételezzük fel, hogy a example.com.zone zónafájl a example.com tartományért felelős (23.6. példa - A /var/lib/named/example.com.zone fájl).

1.  $TTL 2D 
2.  example.com. IN SOA      dns  root.example.com. ( 
3.               2003072441  ; serial
4.               1D          ; refresh
5.               2H          ; retry
6.               1W          ; expiry
7.               2D )        ; minimum
8.  
9.               IN NS       dns 
10.              IN MX       10 mail
11. 
12. gate         IN A        192.168.5.1 
13.              IN A        10.0.0.1 
14. dns          IN A        192.168.1.116 
15. mail         IN A        192.168.3.108 
16. jupiter      IN A        192.168.2.100
17. venus        IN A        192.168.2.101
18. saturn       IN A        192.168.2.102
19. mercury      IN A        192.168.2.103
20. ntp          IN CNAME    dns 
21. dns6         IN A6  0    2002:c0a8:174::

Az in-addr.arpa pszeudotartomány használható a fordított kereséshez, ha IP-címek alapján keresünk gépneveket. Ez a cím hálózati részéhez kerül hozzáfűzésre fordított sorrendben. A 192.168 cím tehát a 168.192.in-addr.arpa címmé alakítódik át. Lásd: 23.7. példa - Fordított keresés.

1.  $TTL 2D
2.  168.192.in-addr.arpa.   IN SOA dns.example.com. root.example.com. (
3.                          2003072441      ; serial
4.                          1D              ; refresh
5.                          2H              ; retry
6.                          1W              ; expiry
7.                          2D )            ; minimum
8.
9.                          IN NS           dns.example.com.
10. 
11. 1.5                     IN PTR          gate.example.com. 
12. 100.3                   IN PTR          www.example.com. 
13. 253.2                   IN PTR          cups.example.com. 

Normális esetben a BIND különböző verziói közötti zónatranszfernek probléma nélkül le kell zajlania.

A dinamikus frissítés kifejezés egy olyan műveletre utal, amely hozzáadja, módosítja vagy törli az elsődleges kiszolgáló zónafájljaiban lévő bejegyzéseket. A mechanizmus leírását az RFC 2136 tartalmazza. A dinamikus frissítés minden zónabejegyzéséhez egyénileg kerül beállításra egy opcionális allow-update vagy update-policy szabály hozzáadásával. A dinamikusan frissített zónákat nem szabad kézzel szerkeszteni.

A frissítendő bejegyzések az nsupdate parancs segítségével továbbítódnak a kiszolgálóhoz. A parancs pontos szintaxisához tekintse meg az nsupdate kézikönyvoldalát (man 8 nsupdate). Biztonsági okokból az ilyen frissítést TSIG-kulcsok segítségével kell végrehajtani (lásd 23.8. - Biztonságos tranzakciók).

Biztonságos tranzakciók a tranzakciók aláírásával (TSIG) és megosztott titkos kulcsok alkalmazásával (TSIG-kulcsok) készíthetők. Ez a rész az ilyen kulcsok előállításának és használatának módját írja le.

A biztonságos tranzakciókra a különböző kiszolgálók közötti kommunikációhoz és a zónaadatok dinamikus frissítése érdekében van szükség. A kulcsokon alapuló hozzáférés-vezérlés sokkal biztonságosabb, mint a csak IP-címekre épülő vezérlés.

Az alábbi parancs segítségével állítson elő egy TSIG-kulcsot (részletes leírásért tekintse meg a man dnssec-keygen parancs által megjelenített kézikönyvoldalt):

dnssec-keygen -a hmac-md5 -b 128 -n HOST host1-host2

Ez két fájlt hoz létre az alábbihoz hasonló névvel:

Khost1-host2.+157+34265.private Khost1-host2.+157+34265.key

A kulcs maga (például az ejIkuCyyGJwwuN3xAteKgg== karaktersorozat) mindkét fájlban megtalálható. A tranzakcióhoz a második fájlt (Khost1-host2.+157+34265.key) át kell vinni a távoli gépre, lehetőleg biztonságos módon (például scp segítségével). A host1 és a host2 közötti biztonságos kommunikációhoz, a távoli kiszolgálókon a kulcsnak a /etc/named.conf fájlban kell lennie:

key host1-host2 {
 algorithm hmac-md5;
 secret "ejIkuCyyGJwwuN3xAteKgg==";
};

Az /etc/named.conf fájljogosultságai

Ellenőrizze, hogy az /etc/named.conf fájl jogosultságai megfelelően korlátozva vannak-e. A fájl alapértelmezett jogosultságértéke 0640, a tulajdonos a root, a csoport pedig a named. Egy olyan megoldás is lehetséges, hogy a kulcsokat egy külön, korlátozott jogosultságokkal rendelkező fájlba helyezi, amely az /etc/named.conf fájlból kerül betöltésre. Egy külső fájl beágyazása: include "filename" A filename helyére a kulcsokat tartalmazó fájl abszolút elérési útját kell beírni.

Annak engedélyezéséhez, hogy a host1 kiszolgáló használhassa a kulcsot a host2 kiszolgálóhoz (amely ebben a példában a 10.1.2.3 címmel rendelkezik), a kiszolgáló /etc/named.conf fájljának tartalmaznia kell az alábbi szabályt:

server 10.1.2.3 {
  keys { host1-host2. ;};
};

Hasonló bejegyzéseket a host2 konfigurációs fájljába is kell írni.

A biztonságos tranzakciók kialakításához az IP-címekhez és -címtartományokhoz megadott ACL-eken (hozzáférés-vezérlési listák – nem összekeverendő a fájlrendszer ACL-ekkel) kívül TSIG-kulcsokat is meg kell adni. A megfelelő bejegyzés az alábbihoz hasonlóan néz ki:

allow-update { key host1-host2. ;};

A témakör részletesebb leírását a BIND Administrator Reference Manual update-policy része tartalmazza.

A DNSSEC (biztonságos DNS) leírását az RFC 2535 tartalmazza. A DNSSEC-hez rendelkezésre álló eszközöket a BIND kézikönyv tárgyalja.

Egy biztonságos zónának egy vagy több zónakulccsal kell rendelkeznie. Ezek a dnssec-keygen paranccsal generálhatók, a gépkulcsokhoz hasonlóan. A kulcsok a DSA titkosítási algoritmus segítségével készülnek. Az előállított nyilvános kulcsokat az $INCLUDE szabály segítségével a megfelelő zónafájlban kell megadni.

A dnssec-makekeyset parancs segítségével az előállított kulcsok egy halmazba kerülnek, amelyet azután biztonságos módon át kell küldeni a szülőzónához. A szülőn a halmaz a dnssec-signkey parancs segítségével íródik alá. A parancs által előállított fájlokat ezután a zónák aláírásához használja a rendszer a dnssec-signzone paranccsal, amely végül előállítja a fájlokat, amelyeket minden zóna /etc/named.conf fájljának tartalmaznia kell.

További információért tekintse meg a bind-doc csomag BIND Administrator Reference Manual című kézikönyvét, amely az /usr/share/doc/packages/bind/ könyvtárban található. Érdemes elolvasni a kézikönyv által hivatkozott RFC-ket és a BIND man oldalait is. Az /usr/share/doc/packages/bind/README.SuSE fájl az openSUSE rendszeren működő BIND-kiszolgálóval kapcsolatos legfrissebb információt tartalmazza.