LINUX-BG Adres : http://www.linux-bg.org |
Upravlenie na zoni v dinamichen rezhim chrez nsupdate |
Ot: Beco Publikuvana na: 4-04-2006 Adres na statiiata: http://www.linux-bg.org/cgi-bin/y/index.pl?page=article&id=advices&key=381272395 |
Upravlenie na zoni v dinamichen rezhim chrez nsupdate(za potrebiteli na UNIX i UNIX-podobni operatsionni sistemi)Copyright ©2006 Veselin Kolev, Sofiiski Universitet "Sv. Kliment Ohridski"Litsenz na dokumenta: CC Attribution-ShareAlike Sudurzhanie na litsenza: http://creativecommons.org/licenses/by-sa/2.5/
1. Instrumentut nsupdate.Instrumentut nsupdate e chast ot paketa bind. Toi sluzhi za distantsionno upravlenie na sudurzhanie na zonalni failove, razpolozhenie (v obshtiia sluchai) vurhu otdelecheni survuri za imena. Za da mozhe da bude izvursheno tova upravlenie, opisanieto na zonata v konfiguratsionniia fail na otdalecheniia survur named.conf, triabva da e takova, che da pozvoliava dinamichnoto i upravlenie. Predimstvoto na nsupdate e, che ne se nalaga sobstvenika na zonata da ima prava za dostup do otdalechenata sistema (naprmer potrebitelsko ime i/ili dostup do lokalnata failova sistema i t.n). Oshte poveche, ne se nalaga toi da ima dostup do ruchna redaktsiia na faila na zonata na domeina chrez niakakvi lokalni za otdalechenata sistema instrumenti kato skriptove i dr. Ako izhodniiat kod na paketa bude kompiliran po standartno ukazaniia v dokumentatsiiata nachin, to sled kompilatsiiata shte bude nalichen izpulnimiia fail nsupdate (zaedno s oshte klientski instrumenti). Ako se izpolzva paketna sistema e vuzmozhno paketut bind da e razdelen na podpaketi (naprimer edin za survurski tseli i drug za klienski). Triabva da se proveri v koi ot podpaketite se namira izpulnimiia fail nsupdate i da se instalira chrez paketniia menidzhur. Naprimer, v Linux distributsiite Fedora Core i Red Hat Enterprise Linux (i derivatite), izpulnimiiat fail nsupdate se namira v paketa bind-utils. 2. Generirane na klyuch.Sistemata za dinamichno upravlenie na zoni chesto se bazira na udostoveriavane na zaiavkite za promiana na zapisite chrez klyuch. Tova e nai-sigurniiat do momenta nachin za izvurshvaeto im. Ponastoiashtem se izpolzva simetrichen klyuch za podpisvane na zaiavkite za promiana na zapisite chrez algorituma HMAC-MD5. Pri nego vsiaka zaiavka se podpisva elektronno s klyucha. Udostoveriavaneto na zaiavkite sledva TSIG algorituma, opisan v RFC2845. Klientut i administratora na otdalecheniia survur za imena, triabva da obmeniat po siguren i nepodslushvaem kanal klyucha za podpisvaneto na zaiavkite. Obiknoveno generiraneto na klyuch se izvurshva ot administratora na otdalecheniia survur za imena, no e vuzmozhen i obratniia variant, pri koito generiraneto se izvurshva ot strana na klienta. Vsichko zavisi ot dogovorkata mezhdu tiah, no i v dvata sluchaia spomenatite dve strani triabva da pritezhavat kopie ot klyucha. Za generiraneto na klyuch se izpolzva instrumentut dnssec-keygen. Ednoimenniiat mu izpulnim fail, mozhe da bude kompiliran ot izhodniia kod na paketa bind, ako se sledvat prilozhenite kum paketa instruktsii. Ako se izpolzva paketna sistema i paketa bind e razdelen na podpaketi, triabva da se proveri v koi podpaket se namira izpulnimiia fail dnssec-keygen (obiknoveno se vklyuchva v survurskiia paket). Naprimer v Linux distributsiite Fedora Core i Red Hat Enterprise Linux (i derivatite), izpulnimiiat fail dnssec-keygen se namira v paketa bind (za razlika ot nsupdate, koito se namira v paketa bind-utils). Generirane na klyuch s ime domain.com po algoritum hmac-md5 s dulzhina 512 bita stava chrez sledniia komanden red: $ umask 0177 && dnssec-keygen -a hmac-md5 -b 512 -n HOST domain.com Tozi komanden red proizvezhda v tekushtata na izpulnenieto mu direktoriia dva faila s imena podobni na: Kdomain.com.+157+41723.key Vinagi imeto na faila zapochva s "K". Sled nego neposredstveno sledva imeto na klyucha (po gorniia primer tova e domain.com). Sled tova v imeto na faila ima dve chisla razdeleni sus znak "+". Purvoto chislo otraziava nomera na algorituma, koito shte izpolzva klyucha. V nashiia sluchai tova e "hmac-md5" i na nego suotvetstva nomer 157. Vtoroto chislo e sluchaino generirano i otraziava unikalniia nomer na klyucha. Za primerut tova e 41723. Strukturata na faila s nastavka key e slednata: domain.com. IN KEY 512 3 157 csVJh6jyqyDRjFHz4rfUwz0rIEp5ZMi6qrFwgCkpWE9hG4MHL+/zoYk1RJe683hRME4lUBL1XUrT4B1tRvkrlA== Failut s nastavka private e strukturiran taka:
Private-key-format: v1.2 Ako failovete se suhraniavat na vunshen nositel, to te triabva da budat zadulzhitelno kriptirani. Ot tiah triabva da se zapazi i rezervno kopie. Pri sumnenie za razkrivaneto na klyuchovete, triabva vednaga da se uvedomiat administratorite na survurite za imena, s koito klyuchovete sa spodeleni, za da mogat poslednite da predotvratiat nezhelani zapisi v zonalnite failove. 3. Printsip na rabota na nsupdate.Printsiput na rabota na instrumenta nsupdate e sledniia. Vuvezhdanite v komandniia mu interpretator ili procheteni ot fail zaiavki za promiana (vklyuchvane ili iztrivane na resursni zapisi) na zonata na domeina, se podpisvat chrez klyucha i izprashtat do purvichniia survur za imena na domeina. Obiknoveno tova e tozi, koito e ukazan v SOA resursniia zapis na zonata. Survurut proveriava elektronniia podpis vurhu zaiavkite chrez lokalno instaliranoto kopie na klyucha i pri ustanoviavane na avtentichnostta na zaiavkite te bivat izpulniavani. Survurut podava na klienta flag za greshka, ako zaiavkata ne mozhe da bude izpulnena po edna ili druga prichina. Ako ukazaniiat s SOA survur za imena ne e purvichen (v tova niama nishto neredno - tam mozhe da se ukazhe i survur za imena, koito e vtorichen i tova mozhe da bude napraveno po edno ili drugo suobrazhenie, koeto ne e predmet na diskusiia tuk), to se nalaga v nsupdate da se ukazhe kum koi imenno survur za imena shte budat izprashtani podpisanite zaiavki. Za podrobnosti vizh paragraf 5. Instrumentut nsupdate ima komanden interpretator, v koito potrebitelia podava komandi s parametri kum tiah. Vlizaneto v komandniia interpretator stava chrez izvikvane na izpulnimiia fail nsupdate, a izlizaneto ot nego s komandata quit bez parametri kum neia:
$ nsupdate
$ nsupdate Osven ot komandniia interpretator, zaiavkite mogat da budat cheteni ot ukazan fail. Gorniia primer bi mogul da se pomesti vuv fail s ime nsupd.asc sus slednoto sudurzhanie:
update add www.domain.com 80 IN A 192.168.100.1 $ nsupdate nsupd.asc Dali shte se izpolzva komandniia interpretator ili komandite shte se chetat ot fail e vupros na izbor i/ili konkretna situatsiia. Po-nadolu, neshtata sa prestaveni v konteksta na komandniia interpretator s tsel po-lesno onaglediavane. Instrumentut nsupdate mozhe da priema razlichni optsii pri startiraneto si kato izpulnim fail:
4. Izvikvane na nsupdate ot komanden red i ukazvane na klyuch.Za da raboti nsupdate e neobhodimo da sa nalichni failovete s klyucha, opisani v paragraf 2. Izvikvaneto na nsupdate stava v komanden red po nachin, podoben na sledniia:
$ nsupdate -k Kdomain.com.+157+41723.private CHrez optsiiata "-k" se ukazva fail sudurzhasht klyucha za upravlenie na zapisite (v primera po-gore se predpolaga, che tozi fail se namira v tekushtata za izpulnenie na nsupdate direktoriia, no v obshtiia sluchai mozhe da se ukazhe i s pulen put). Ako vsichko e nared i niama problemi, triabva da se poiavi znakut za nov red ">" v komantniia interpretatora na nsupdate. Drug nachin na startirane na nsupdate v rezhim za rabota s klyuch e direktnoto podavane na imeto na klyucha i samiia klyuch v komandniia red:
$ nsupdate -y domain.com:csVJh6jyqyDRjFHz4rfUwz0rIEp5ZMi6qrFwgCkpWE9hG4MHL+/zoYk1RJe683hRME4lUBL1XUrT4B1tRvkrlA== Tuk se izpolzva optsiiata "-y" kato sled neia se ukazva imeto na klyucha, razdeleno s dvuetochie ot samata stoinost na klyucha. Ako vsichko e nared i niama problemi, triabva da se poiavi znakut za nov red ">" v komantniia interpretatora na nsupdate. Ako TSIG klyucha za elektronno podpisvane ne se zadade v komanden red pri izvikvaneto na nsupdate (kakto e pokazano v paragraf 3), tova mozhe da bude napraveno po-kusno v samiia komanden interpretator na instrumenta i se izvurshva po nachin podoben na opisaniia v sledniia primer:
$ nsupdate Neposredstveno sled "key" se ukazva imeto na klyucha i sled tova negovata stoinost. 5. Ukazvane na purvichen survur za imena za zonata na upravliavaniia domein.Ukazvaneto na purvichen za zonata na upravliavaniia domein survur za imena stava chrez komandata "server" v komandniia interpretator na nsupdate. Vsichki zaiavki, napraveni sled tova, se nasochvat kum ukazaniia survur i ne se sledva ukazaniia v SOA zapisa survur za imena (vizh paragraf 2). V primera po-dolu, vsichki napraveni zaiavki (v ramkite na edna sesiia na nsupdate), shte se izprashtat kum survura za imena ns.domain.tld:
$ nsupdate -y domain.com:csVJh6jyqyDRjFHz4rfUwz0rIEp5ZMi6qrFwgCkpWE9hG4MHL+/zoYk1RJe683hRME4lUBL1XUrT4B1tRvkrlA== Za poveche podrobnosti vizh "Ukazvane na purvichen survur za imena, kum kogoto da se izprashtat zaiavkite" v paragraf 8. 6. Zaiavka za pribaviane na resursen zapis.Zaiavkata za pribaviane na resursen zapis se podava sled komandata "update add" v komandniia interpretator na nsupdate. Strukturata na zaiavkite sledva shablona:
Eto edin primer: > update add www.domain.com 360 IN A 192.168.10.2 V tozi primer imeto na resursniia zapis e "www.domain.com". Tozi zapis ima TTL raven na 360 sekundi, prinadlezhi kum klas "IN", tipa na resursniia zapis e "A", a stoinostta mu e 192.168.10.2. Zabelezhka. Klasut na resursniia zapis mozhe da ne bude ukazvan i togava po podrazbirane se priema, che e "IN". 7. Zaiavka za premahvane na resursen zapis.Zaiavkata za premahvane na resursen zapis se podava sled komandata "update delete" v komandniia interpretator na nsupdate. Strukturata na zaiavkite sledva shablona opisan v paragraf 6. Eto edin primer: > update delete www.domain.com 360 IN A 192.168.10.2 V tozi primer imeto na resursniia zapis e "www.domain.com". Tozi zapis ima TTL raven na 360 sekundi, prinadlezhi kum klas "IN", tipa na resursniia zapis e "A", a stoinostta mu e 192.168.10.2. Zabelezhka. Klasut na resursniia zapis mozhe da ne bude ukazvan i togava po podrazbirane se priema, che e "IN". Ima edna osobenost, koiato triabva da bude otchetena mnogo vnimatelno. Ako ne se ukazhe konkretnost v shablona, mozhe da se iztrie tsiala grupa zapisi, koeto mozhe da e dosta opasno. Eto primer. Zapisite sa bili napraveni taka:
$ nsupdate -k Kdomain.com.+157+41723.private Sledovatelno za list.domain.com ima dva resursni zapisa (edin A i edin MX). Ako sega se izpulni slednoto:
$ nsupdate -k Kdomain.com.+157+41723.private Sled izpulnenieto shte se iztriiat vsichki zapisi, chieto ime e list.domain.com (za nashiia primer te sa dva - edin A i edin MX), bez ogled na tova kakuv e TTL, klasa, tipa ili stoinostta na zapisa. 8. Zadavane na parametri "po podrazbirane" v komandniia interpretator na nsupdate.Za da ne se povtaria ukazvaneto na edin i susht parametur, toi mozhe da bude zadaden v ramkite na edna i sushta sesiia na nsupdate. Eto kakvi parametri za ukazvane dopuska komandniiat interpretator na nsupdate:
9. Zadavane na usloviia za nalichie ili otsustvie na resursni zapisi.Usloviiata za nalichie ili otsustvie na resursen zapis v zonata sa moshten instrumentarium za sustaviane na usloviia, pri chieto izpulnenie ili neizpulnennie mozhe ili ne mozhe da se izvurshi zapis v zonalniia fail. Te predpazvat ot fatalni iztrivaniia ili zapisi v protsesa na upravlenie na zonalniia fail.
<< Instalatsiia na Gentoo za nachinaeshti | Montirane na otdalecheni failovi sistemi (vtora chast) >> |
Avtorite na saita, kakto i tehnite sutrudnitsi zapazvat avtorskite prava vurhu sobstvenite si materiali publikuvani tuk,
no te sa copyleft t.e. mogat svobodno da budat kopirani i razprostraniavani s iziskvaneto izrichno da se upomenava imeto na avtora,
kakto i da se publikuva na vidno miasto, che te sa vzeti ot originalniia im URL-adres na tozi survur (http://www.linux-bg.org). Avtorskite prava na prevodnite materiali prinadlezhat na tehnite avtori. Ako s publikuvaneto tuk na niakakuv material nevolno sa narusheni nechii prava - sled konstatiraneto na tozi fakt materialut shte bude svalen.
All trademarks, logos and copyrights mentioned on this site are the property of their respective owners.
|