■ 概要
権威サーバ(スレーブサーバ)の構築手順をまとめました。
DNSサーバ共通の構築手順(BINDのインストールなど)やキャッシュサーバ、権威サーバ(マスタサーバ)の構築手順はこちらをどうぞ。
▼セキュアなDNS環境を構築してみました
http://qiita.com/nk9bb8/items/5a52c8c5a5e14901775d
▼キャッシュサーバをBINDで構築してみました
http://qiita.com/nk9bb8/items/15f4cb9756a2043e4bba
▼権威サーバ(マスタサーバ)をBINDで構築してみました
http://qiita.com/nk9bb8/items/f57c94f9469b805ef28e
■ /etc/named.conf の設定内容
※デフォルトの設定値から変更している箇所を中心にコメントを入れています。
// アクセス制御リスト
acl "locals" {
192.168.56.0/24; // 検証環境のローカスアドレス
127.0.0.1;
};
// BIND全体の設定
options {
listen-on port 53 { 127.0.0.1; 192.168.56.112; }; // リクエスト待受けポート/アドレス
listen-on-v6 port 53 { none; }; // 検証環境なので、IPv6無効
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query { locals; }; // 問合せの受付けを許可するアドレス
allow-transfer { none; }; // ゾーン転送を拒否する
recursion no; // 再帰問合せの受付けを拒否する
dnssec-enable yes; // DNSSECを有効にする
dnssec-validation yes; // 問合せ結果をDNSSECで検証する
version none; // バージョンを非表示にする
bindkeys-file "/etc/named.iscdlv.key";
managed-keys-directory "/var/named/dynamic";
pid-file "/run/named/named.pid";
session-keyfile "/run/named/session.key";
};
// ログ設定
logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};
// example.jpゾーンを設定(正引き用)
zone "example.jp" IN {
type slave; // スレーブサーバ
masters { 192.168.56.111; }; // マスタサーバのアドレス
file "slaves/example.jp.zone.signed"; // ゾーンファイル
};
// example.jpゾーンを設定(逆引き用)
zone "56.168.192.in-addr.arpa" {
type slave; // スレーブサーバ
masters { 192.168.56.111; }; // マスタサーバのアドレス
file "slaves/56.168.192.in-addr.arpa.rev.signed"; // ゾーンファイル
};
include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";
■ TSIG対応
◆/etc/named.confにマスタサーバで作成した共通鍵を登録
// TSIG共通鍵
key "tsig-key" {
algorithm hmac-md5; // アルゴリズム
secret "lC5r2g9VELb+/ZF3K2N5mw=="; // キー値
};
// TSIGマスタサーバ
server 192.168.56.111 {
keys { tsig-key; }; // TSIG共通鍵
};