4
Help us understand the problem. What are the problem?

More than 3 years have passed since last update.

posted at

updated at

権威サーバ(スレーブサーバ)をBINDで構築してみました

■ 概要

権威サーバ(スレーブサーバ)の構築手順をまとめました。

DNSサーバ共通の構築手順(BINDのインストールなど)やキャッシュサーバ、権威サーバ(マスタサーバ)の構築手順はこちらをどうぞ。

▼セキュアなDNS環境を構築してみました
http://qiita.com/nk9bb8/items/5a52c8c5a5e14901775d

▼キャッシュサーバをBINDで構築してみました
http://qiita.com/nk9bb8/items/15f4cb9756a2043e4bba

▼権威サーバ(マスタサーバ)をBINDで構築してみました
http://qiita.com/nk9bb8/items/f57c94f9469b805ef28e

■ /etc/named.conf の設定内容

※デフォルトの設定値から変更している箇所を中心にコメントを入れています。

// アクセス制御リスト
acl "locals" {      
    192.168.56.0/24;                                    // 検証環境のローカスアドレス
    127.0.0.1;
};

// BIND全体の設定
options {
    listen-on port 53 { 127.0.0.1; 192.168.56.112; };   // リクエスト待受けポート/アドレス
    listen-on-v6 port 53 { none; };                     // 検証環境なので、IPv6無効

    directory   "/var/named";
    dump-file   "/var/named/data/cache_dump.db";
    statistics-file "/var/named/data/named_stats.txt";
    memstatistics-file "/var/named/data/named_mem_stats.txt";

    allow-query { locals; };                            // 問合せの受付けを許可するアドレス
    allow-transfer { none; };                           // ゾーン転送を拒否する
    recursion no;                                       // 再帰問合せの受付けを拒否する

    dnssec-enable yes;                                  // DNSSECを有効にする
    dnssec-validation yes;                              // 問合せ結果をDNSSECで検証する

    version none;                                       // バージョンを非表示にする

    bindkeys-file "/etc/named.iscdlv.key";
    managed-keys-directory "/var/named/dynamic";
    pid-file "/run/named/named.pid";
    session-keyfile "/run/named/session.key";
};

// ログ設定
logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
};

// example.jpゾーンを設定(正引き用)
zone "example.jp" IN {
    type slave;                                         // スレーブサーバ
    masters { 192.168.56.111; };                        // マスタサーバのアドレス
    file "slaves/example.jp.zone.signed";               // ゾーンファイル
};

// example.jpゾーンを設定(逆引き用)
zone "56.168.192.in-addr.arpa" {
    type slave;                                         // スレーブサーバ
    masters { 192.168.56.111; };                        // マスタサーバのアドレス
    file "slaves/56.168.192.in-addr.arpa.rev.signed";   // ゾーンファイル
};

include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";

■ TSIG対応

◆/etc/named.confにマスタサーバで作成した共通鍵を登録

// TSIG共通鍵
key "tsig-key" {
    algorithm hmac-md5;                                 // アルゴリズム
    secret "lC5r2g9VELb+/ZF3K2N5mw==";                  // キー値
};

// TSIGマスタサーバ
server 192.168.56.111 {
    keys { tsig-key; };                                 // TSIG共通鍵
};

 

Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Sign upLogin
4
Help us understand the problem. What are the problem?