svn commit: r51745 - head/de_DE.ISO8859-1/books/handbook/network-servers
Bjoern Heidotting
bhd at FreeBSD.org
Tue May 29 17:32:06 UTC 2018
Author: bhd
Date: Tue May 29 17:32:05 2018
New Revision: 51745
URL: https://svnweb.freebsd.org/changeset/doc/51745
Log:
Update to r51739:
handbook: remove information about BIND for FreeBSD 9 and older
There is no supported version of FreeBSD that still includes BIND in
case.
Modified:
head/de_DE.ISO8859-1/books/handbook/network-servers/chapter.xml
Modified: head/de_DE.ISO8859-1/books/handbook/network-servers/chapter.xml
==============================================================================
--- head/de_DE.ISO8859-1/books/handbook/network-servers/chapter.xml Tue May 29 17:07:50 2018 (r51744)
+++ head/de_DE.ISO8859-1/books/handbook/network-servers/chapter.xml Tue May 29 17:32:05 2018 (r51745)
@@ -5,7 +5,7 @@
$FreeBSD$
$FreeBSDde: de-docproj/books/handbook/network-servers/chapter.xml,v 1.103 2011/12/24 15:51:18 bcr Exp $
- basiert auf: r51406
+ basiert auf: r51739
-->
<chapter xmlns="http://docbook.org/ns/docbook"
xmlns:xlink="http://www.w3.org/1999/xlink" version="5.0"
@@ -3138,23 +3138,6 @@ dhcpd_ifaces="dc0"</programlisting>
Für einfache <acronym>DNS</acronym>-Anfragen wird auf dem
lokalen System kein Nameserver benötigt.</para>
- <indexterm><primary>BIND</primary></indexterm>
-
- <para>In &os; 10 wurde Berkeley Internet Name Domain
- (<acronym>BIND</acronym>) aus dem Basissystem entfernt und
- durch Unbound ersetzt. Unbound ist für die lokale
- Namensauflösung zuständig. In der Ports-Sammlung ist
- <acronym>BIND</acronym> immer noch als
- <package>dns/bind99</package> und
- <package>dns/bind98</package> verfügbar und in &os; 9 und
- älteren Versionen ist <acronym>BIND</acronym> im Basissystem
- enthalten. Die Version in &os; bietet erweiterte
- Sicherheitsfunktionen, ein neues Dateisystem-Layout und eine
- automatisierte &man.chroot.8; Konfiguration.
- <acronym>BIND</acronym> wird betreut vom <link
- xlink:href="https://www.isc.org/">Internet Systems
- Consortium</link>.</para>
-
<indexterm><primary>Resolver</primary></indexterm>
<indexterm>
<primary>Reverse-<acronym>DNS</acronym></primary>
@@ -3195,13 +3178,6 @@ dhcpd_ifaces="dc0"</programlisting>
</row>
<row>
- <entry><application>named</application>, BIND</entry>
-
- <entry>Gebräuchliche Namen für das unter &os; verwendete
- BIND-Nameserverpaket.</entry>
- </row>
-
- <row>
<entry>Resolver</entry>
<entry>Ein Systemprozess, durch den ein Rechner
@@ -3338,16 +3314,8 @@ dhcpd_ifaces="dc0"</programlisting>
</sect2>
<sect2>
- <title><acronym>DNS</acronym>-Server Konfiguration in &os; 10.0
- und neueren Versionen</title>
+ <title><acronym>DNS</acronym>-Server Konfiguration</title>
- <para>In &os; 10.0 wurde <application>BIND</application> durch
- <application>Unbound</application> ersetzt.
- <application>Unbound</application> ist lediglich ein
- validierender und cachender Resolver. Wenn ein autoritativer
- Server benötigt wird, stehen einige in der Ports-Sammlung zur
- Verfügung.</para>
-
<para><application>Unbound</application> ist im Basissystem von
&os; enthalten. In der Voreinstellung bietet es nur die
<acronym>DNS</acronym>-Auflösung auf dem lokalen Rechner.
@@ -3415,1301 +3383,6 @@ freebsd.org. (A)
|---. (DNSKEY keytag: 40926 alg: 8 flags: 256)
|---. (DNSKEY keytag: 19036 alg: 8 flags: 257)
;; Chase successful</screen>
- </sect2>
-
- <sect2>
- <title><acronym>DNS</acronym>-Server Konfiguration in &os;
- 9.<replaceable>X</replaceable></title>
-
- <important>
- <para>Dieses Kapitel gilt nur für &os; 9 und ältere Versionen.
- <application>BIND9</application> ist seit &os; 10 nicht mehr
- Bestandteil des Basissystems, wo es durch
- <application>unbound</application> ersetzt wurde.</para>
- </important>
-
- <para>Unter &os; wird der BIND-Daemon als
- <application>named</application> bezeichnet.</para>
-
- <informaltable frame="none" pgwide="1">
- <tgroup cols="2">
- <thead>
- <row>
- <entry>Datei</entry>
-
- <entry>Beschreibung</entry>
- </row>
- </thead>
-
- <tbody>
- <row>
- <entry><application>named</application></entry>
-
- <entry>Der BIND-Daemon.</entry>
- </row>
-
- <row>
- <entry>&man.rndc.8;</entry>
-
- <entry>Das Steuerprogramm für
- <application>named</application>.</entry>
- </row>
-
- <row>
- <entry><filename>/etc/namedb</filename></entry>
-
- <entry>Das Verzeichnis, in dem sich die
- Zoneninformationen für BIND befinden.</entry>
- </row>
-
- <row>
- <entry><filename>/etc/namedb/named.conf</filename></entry>
-
- <entry>Die Konfigurationsdatei für
- <application>named</application>.</entry>
- </row>
- </tbody>
- </tgroup>
- </informaltable>
-
- <para>Je nachdem, wie eine Zone auf dem Server konfiguriert
- wurde, finden sich die zur Zone gehörendenden Dateien in den
- Unterverzeichnissen <filename>master</filename>,
- <filename>slave</filename>, oder <filename>dynamic</filename>
- des Verzeichnisses <filename>/etc/namedb</filename>. Diese
- Dateien enthalten die <acronym>DNS</acronym>-Informationen,
- die der Nameserver für die Beantwortung von Anfragen
- benötigt.</para>
-
- <sect3>
- <title>BIND starten</title>
-
- <indexterm>
- <primary>BIND</primary>
- <secondary>Start</secondary>
- </indexterm>
-
- <para>Da BIND automatisch installiert wird, ist die
- Konfiguration relativ einfach.</para>
-
- <para>In der Voreinstellung wird ein in einer
- &man.chroot.8;-Umgebung betriebener
- <application>named</application>-Server zur einfachen
- Namensauflösung eingerichtet, der nur im lokalen
- IPv4-Loopback-Adressbereich (127.0.0.1) lauscht. Um den
- Server manuell zu starten, verwenden Sie den folgenden
- Befehl:</para>
-
- <screen>&prompt.root; <userinput>service named onestart</userinput></screen>
-
- <para>Um den <application>named</application>-Daemon beim
- Systemstart automatisch zu starten, fügen Sie folgende
- Zeile in <filename>/etc/rc.conf</filename> ein:</para>
-
- <programlisting>named_enable="YES"</programlisting>
-
- <para><filename>/etc/namedb/named.conf</filename> bietet
- zahlreiche Konfigurationsoptionen, die in diesem Dokument
- nicht alle beschrieben werden können. Weitere Startoptionen
- von <application>named</application> unter &os; finden Sie
- in den
- <literal>named_<replaceable>*</replaceable></literal>-Flags
- in <filename>/etc/defaults/rc.conf</filename> sowie in
- &man.rc.conf.5;. Zusätzliche Informationen finden Sie im
- <xref linkend="configtuning-rcd"/>.</para>
- </sect3>
-
- <sect3>
- <title>Konfigurationsdateien</title>
-
- <indexterm>
- <primary>BIND</primary>
- <secondary>Konfigurationsdateien</secondary>
- </indexterm>
-
- <para>Die Konfigurationsdateien von
- <application>named</application> finden sich unter
- <filename>/etc/namedb</filename> und müssen
- in der Regel an Ihre Bedürfnisse angepasst werden. Es sei
- denn, Sie benötigen nur einen einfachen Resolver. Ein
- Großteil der Konfigurationsarbeiten erfolgt dabei in
- diesem Verzeichnis.</para>
-
- <sect4>
- <title><filename>/etc/namedb/named.conf</filename></title>
-
- <programlisting>// <phrase its:translate="no">$FreeBSD$</phrase>
-//
-// Refer to the named.conf(5) and named(8) man pages, and the documentation
-// in /usr/share/doc/bind9 for more details.
-//
-// If you are going to set up an authoritative server, make sure you
-// understand the hairy details of how DNS works. Even with
-// simple mistakes, you can break connectivity for affected parties,
-// or cause huge amounts of useless Internet traffic.
-
-options {
-// All file and path names are relative to the chroot directory,
-// if any, and should be fully qualified.
- directory "/etc/namedb/working";
- pid-file "/var/run/named/pid";
- dump-file "/var/dump/named_dump.db";
- statistics-file "/var/stats/named.stats";
-
-// If named is being used only as a local resolver, this is a safe default.
-// For named to be accessible to the network, comment this option, specify
-// the proper IP address, or delete this option.
- listen-on { 127.0.0.1; };
-
-// If you have IPv6 enabled on this system, uncomment this option for
-// use as a local resolver. To give access to the network, specify
-// an IPv6 address, or the keyword "any".
-// listen-on-v6 { ::1; };
-
-// These zones are already covered by the empty zones listed below.
-// If you remove the related empty zones below, comment these lines out.
- disable-empty-zone "255.255.255.255.IN-ADDR.ARPA";
- disable-empty-zone "0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA";
- disable-empty-zone "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA";
-
-// If you've got a DNS server around at your upstream provider, enter
-// its IP address here, and enable the line below. This will make you
-// benefit from its cache, thus reduce overall DNS traffic in the Internet.
-/*
- forwarders {
- 127.0.0.1;
- };
-*/
-
-// If the 'forwarders' clause is not empty the default is to 'forward first'
-// which will fall back to sending a query from your local server if the name
-// servers in 'forwarders' do not have the answer. Alternatively you can
-// force your name server to never initiate queries of its own by enabling the
-// following line:
-// forward only;
-
-// If you wish to have forwarding configured automatically based on
-// the entries in /etc/resolv.conf, uncomment the following line and
-// set named_auto_forward=yes in /etc/rc.conf. You can also enable
-// named_auto_forward_only (the effect of which is described above).
-// include "/etc/namedb/auto_forward.conf";</programlisting>
-
- <para>Um vom Cache Ihres Internetproviders zu profitieren,
- können hier <literal>forwarders</literal> aktiviert
- werden. Normalerweise sucht ein Nameserver das Internet
- rekursiv ab, bis er die gesuchte Antwort findet. Durch
- diese Option wird stets der Nameserver des
- Internetproviders zuerst abgefragt, um von dessen
- Cache zu profitieren. Wenn es sich um einen schnellen,
- viel benutzten Nameserver handelt, kann dies zu einer
- Geschwindigkeitssteigerung führen.</para>
-
- <warning>
- <para><systemitem class="ipaddress">127.0.0.1</systemitem>
- funktioniert hier <emphasis>nicht</emphasis>. Ändern
- Sie diese Adresse in einen Nameserver des
- Einwahlproviders.</para>
- </warning>
-
- <programlisting> /*
- Modern versions of BIND use a random UDP port for each outgoing
- query by default in order to dramatically reduce the possibility
- of cache poisoning. All users are strongly encouraged to utilize
- this feature, and to configure their firewalls to accommodate it.
-
- AS A LAST RESORT in order to get around a restrictive firewall
- policy you can try enabling the option below. Use of this option
- will significantly reduce your ability to withstand cache poisoning
- attacks, and should be avoided if at all possible.
-
- Replace NNNNN in the example with a number between 49160 and 65530.
- */
- // query-source address * port NNNNN;
-};
-
-// If you enable a local name server, don't forget to enter 127.0.0.1
-// first in your /etc/resolv.conf so this server will be queried.
-// Also, make sure to enable it in /etc/rc.conf.
-
-// The traditional root hints mechanism. Use this, OR the slave zones below.
-zone "." { type hint; file "/etc/namedb/named.root"; };
-
-/* Slaving the following zones from the root name servers has some
- significant advantages:
- 1. Faster local resolution for your users
- 2. No spurious traffic will be sent from your network to the roots
- 3. Greater resilience to any potential root server failure/DDoS
-
- On the other hand, this method requires more monitoring than the
- hints file to be sure that an unexpected failure mode has not
- incapacitated your server. Name servers that are serving a lot
- of clients will benefit more from this approach than individual
- hosts. Use with caution.
-
- To use this mechanism, uncomment the entries below, and comment
- the hint zone above.
-
- As documented at http://dns.icann.org/services/axfr/ these zones:
- "." (the root), ARPA, IN-ADDR.ARPA, IP6.ARPA, and ROOT-SERVERS.NET
- are availble for AXFR from these servers on IPv4 and IPv6:
- xfr.lax.dns.icann.org, xfr.cjr.dns.icann.org
-*/
-/*
-zone "." {
- type slave;
- file "/etc/namedb/slave/root.slave";
- masters {
- 192.5.5.241; // F.ROOT-SERVERS.NET.
- };
- notify no;
-};
-zone "arpa" {
- type slave;
- file "/etc/namedb/slave/arpa.slave";
- masters {
- 192.5.5.241; // F.ROOT-SERVERS.NET.
- };
- notify no;
-};
-*/
-
-/* Serving the following zones locally will prevent any queries
- for these zones leaving your network and going to the root
- name servers. This has two significant advantages:
- 1. Faster local resolution for your users
- 2. No spurious traffic will be sent from your network to the roots
-*/
-// RFCs 1912 and 5735 (and BCP 32 for localhost)
-zone "localhost" { type master; file "/etc/namedb/master/localhost-forward.db"; };
-zone "127.in-addr.arpa" { type master; file "/etc/namedb/master/localhost-reverse.db"; };
-zone "255.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-
-// RFC 1912-style zone for IPv6 localhost address
-zone "0.ip6.arpa" { type master; file "/etc/namedb/master/localhost-reverse.db"; };
-
-// "This" Network (RFCs 1912 and 5735)
-zone "0.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-
-// Private Use Networks (RFCs 1918 and 5735)
-zone "10.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "16.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "17.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "18.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "19.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "20.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "21.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "22.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "23.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "24.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "25.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "26.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "27.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "28.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "29.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "30.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "31.172.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "168.192.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-
-// Link-local/APIPA (RFCs 3927 and 5735)
-zone "254.169.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-
-// IETF protocol assignments (RFCs 5735 and 5736)
-zone "0.0.192.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-
-// TEST-NET-[1-3] for Documentation (RFCs 5735 and 5737)
-zone "2.0.192.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "100.51.198.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "113.0.203.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-
-// IPv6 Range for Documentation (RFC 3849)
-zone "8.b.d.0.1.0.0.2.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-
-
-// Domain Names for Documentation and Testing (BCP 32)
-zone "test" { type master; file "/etc/namedb/master/empty.db"; };
-zone "example" { type master; file "/etc/namedb/master/empty.db"; };
-zone "invalid" { type master; file "/etc/namedb/master/empty.db"; };
-zone "example.com" { type master; file "/etc/namedb/master/empty.db"; };
-zone "example.net" { type master; file "/etc/namedb/master/empty.db"; };
-zone "example.org" { type master; file "/etc/namedb/master/empty.db"; };
-
-
-// Router Benchmark Testing (RFCs 2544 and 5735)
-zone "18.198.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "19.198.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-
-// IANA Reserved - Old Class E Space (RFC 5735)
-zone "240.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "241.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "242.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "243.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "244.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "245.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "246.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "247.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "248.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "249.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "250.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "251.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "252.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "253.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "254.in-addr.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-
-// IPv6 Unassigned Addresses (RFC 4291)
-zone "1.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "3.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "4.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "5.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "6.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "7.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "8.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "9.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "a.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "b.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "c.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "d.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "e.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "0.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "1.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "2.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "3.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "4.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "5.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "6.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "7.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "8.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "9.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "a.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "b.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "0.e.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "1.e.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "2.e.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "3.e.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "4.e.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "5.e.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "6.e.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "7.e.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-
-// IPv6 ULA (RFC 4193)
-zone "c.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "d.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-
-// IPv6 Link Local (RFC 4291)
-zone "8.e.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "9.e.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "a.e.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "b.e.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-
-// IPv6 Deprecated Site-Local Addresses (RFC 3879)
-zone "c.e.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "d.e.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "e.e.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-zone "f.e.f.ip6.arpa" { type master; file "/etc/namedb/master/empty.db"; };
-
-// IP6.INT is Deprecated (RFC 4159)
-zone "ip6.int" { type master; file "/etc/namedb/master/empty.db"; };
-
-// NB: Do not use the IP addresses below, they are faked, and only
-// serve demonstration/documentation purposes!
-//
-// Example slave zone config entries. It can be convenient to become
-// a slave at least for the zone your own domain is in. Ask
-// your network administrator for the IP address of the responsible
-// master name server.
-//
-// Do not forget to include the reverse lookup zone!
-// This is named after the first bytes of the IP address, in reverse
-// order, with ".IN-ADDR.ARPA" appended, or ".IP6.ARPA" for IPv6.
-//
-// Before starting to set up a master zone, make sure you fully
-// understand how DNS and BIND work. There are sometimes
-// non-obvious pitfalls. Setting up a slave zone is usually simpler.
-//
-// NB: Don't blindly enable the examples below. :-) Use actual names
-// and addresses instead.
-
-/* An example dynamic zone
-key "exampleorgkey" {
- algorithm hmac-md5;
- secret "sf87HJqjkqh8ac87a02lla==";
-};
-zone "example.org" {
- type master;
- allow-update {
- key "exampleorgkey";
- };
- file "/etc/named/dynamic/example.org";
-};
-*/
-
-/* Example of a slave reverse zone
-zone "1.168.192.in-addr.arpa" {
- type slave;
- file "/etc/namedb/slave/1.168.192.in-addr.arpa";
- masters {
- 192.168.1.1;
- };
-};
-*/</programlisting>
-
- <para>Hierbei handelt es sich um Slave-Einträge für
- eine Reverse- und Forward-DNS-Zone, die in der Datei
- <filename>named.conf</filename> definiert sind.</para>
-
- <para>Für jede neue Zone muss ein zusätzlicher Eintrag
- in <filename>named.conf</filename> erstellt werden.</para>
-
- <para>Ein einfacher Eintrag für eine Zone <systemitem
- class="fqdomainname">example.org</systemitem> könnte
- beispielsweise so aussehen:</para>
-
- <programlisting>zone "example.org" {
- type master;
- file "master/example.org";
-};</programlisting>
-
- <para>Die Option <option>type</option> legt fest, dass es
- sich um eine Master-Zone handelt, deren Zoneninformationen
- sich in der Datei
- <filename>/etc/namedb/master/example.org</filename>
- befinden. Diese Datei wird durch die Option
- <option>file</option> festgelegt.</para>
-
- <programlisting>zone "example.org" {
- type slave;
- file "slave/example.org";
-};</programlisting>
-
- <para>Hier handelt es sich um einen Slaveserver, der seine
- Informationen vom Masterserver der betreffenden Zone
- bezieht und diese in der angegebenen Datei speichert.
- Wenn der Masterserver nicht erreichbar ist, verfügt der
- Slaveserver über die transferierten Zoneninformationen
- und kann diese an andere Rechner weitergeben.</para>
- </sect4>
-
- <sect4>
- <title>Zonendateien</title>
-
- <indexterm>
- <primary>BIND</primary>
- <secondary>Zonendatei</secondary>
- </indexterm>
-
- <para>Die in der Datei
- <filename>/etc/namedb/master/example.org</filename>
- definierte Zonendatei für <systemitem
- class="fqdomainname">example.org</systemitem> könnte
- etwa so aussehen:</para>
-
- <programlisting>$TTL 3600 ; 1 hour default TTL
-example.org. IN SOA ns1.example.org. admin.example.org. (
- 2006051501 ; Serial
- 10800 ; Refresh
- 3600 ; Retry
- 604800 ; Expire
- 300 ; Negative Response TTL
- )
-
-; DNS Servers
- IN NS ns1.example.org.
- IN NS ns2.example.org.
-
-; MX Records
- IN MX 10 mx.example.org.
- IN MX 20 mail.example.org.
-
- IN A 192.168.1.1
-
-; Machine Names
-localhost IN A 127.0.0.1
-ns1 IN A 192.168.1.2
-ns2 IN A 192.168.1.3
-mx IN A 192.168.1.4
-mail IN A 192.168.1.5
-
-; Aliases
-www IN CNAME example.org.</programlisting>
-
- <para>Beachten Sie, dass jeder mit einem <quote>.</quote>
- endende Rechnername ein exakter Rechnername ist, während
- sich alles ohne einen abschließenden <quote>.</quote>
- relativ auf den Ursprung bezieht. <literal>ns1</literal>
- steht daher beispielsweise für
- <literal>ns1.<replaceable>example.org.</replaceable></literal>.</para>
-
- <para>Eine Zonendatei hat folgenden Aufbau:</para>
-
- <programlisting>recordname IN recordtype value</programlisting>
-
- <indexterm>
- <primary><acronym>DNS</acronym></primary>
- <secondary>Einträge</secondary>
- </indexterm>
-
- <para>Die am häufigsten verwendeten
- <acronym>DNS</acronym>-Einträge sind:</para>
-
- <variablelist>
- <varlistentry>
- <term>SOA</term>
-
- <listitem>
- <para>Start der Zonenautorität</para>
- </listitem>
- </varlistentry>
-
- <varlistentry>
- <term>NS</term>
-
- <listitem>
- <para>Ein autoritativer Nameserver</para>
- </listitem>
- </varlistentry>
-
- <varlistentry>
- <term>A</term>
-
- <listitem><para>Eine Rechneradresse</para></listitem>
- </varlistentry>
-
- <varlistentry>
- <term>CNAME</term>
-
- <listitem>
- <para>Der kanonische Name eines Alias</para>
- </listitem>
- </varlistentry>
-
- <varlistentry>
- <term>MX</term>
-
- <listitem><para>Mail Exchanger</para></listitem>
- </varlistentry>
-
- <varlistentry>
- <term>PTR</term>
-
- <listitem>
- <para>Ein (bei Reverse-DNS verwendeter) Domain Name
- Pointer</para>
- </listitem>
- </varlistentry>
- </variablelist>
-
- <programlisting>example.org. IN SOA ns1.example.org. admin.example.org. (
- 2006051501 ; Serial
- 10800 ; Refresh after 3 hours
- 3600 ; Retry after 1 hour
- 604800 ; Expire after 1 week
- 300 ) ; Negative Response TTL</programlisting>
-
- <variablelist>
- <varlistentry>
- <term><systemitem
- class="fqdomainname">example.org.</systemitem></term>
-
- <listitem>
- <para>Der Name der Domäne und damit der Ursprung
- dieser Zonendatei.</para>
- </listitem>
- </varlistentry>
-
- <varlistentry>
- <term><systemitem
- class="fqdomainname">ns1.example.org.</systemitem></term>
-
- <listitem>
- <para>Der primäre/autoritative Nameserver
- dieser Zone.</para>
- </listitem>
- </varlistentry>
-
- <varlistentry>
- <term><literal>admin.example.org.</literal></term>
-
- <listitem>
- <para>Die für diese Zone verantwortliche
- Person. Das Zeichen <quote>@</quote> wird dabei
- ersetzt (<email>admin at example.org</email> wird also
- zu <literal>admin.example.org</literal>).</para>
- </listitem>
- </varlistentry>
-
- <varlistentry>
- <term><literal>2006051501</literal></term>
-
- <listitem>
- <para>Die Seriennummer der Datei. Sie muss
- stets inkrementiert werden, wenn die Zonendatei
- geändert wird. Viele Administratoren bevorzugen
- ein <literal>JJJJMMTTRR</literal>-Format, um die
- Seriennummer festzulegen.
- <literal>2006051501</literal> steht also für
- den 15.05.2006, die beiden letzten Stellen für die
- erste Modifikation der Zonendatei an diesem Tag.
- Die Seriennummer ist von großer Bedeutung, da
- Slaveserver daran eine aktualisierte Zonendatei
- erkennen können.</para>
- </listitem>
- </varlistentry>
- </variablelist>
-
- <programlisting> IN NS ns1.example.org.</programlisting>
-
- <para>Ein NS-Eintrag. Jeder Nameserver, der für eine Zone
- verantwortlich ist, muss über einen solchen Eintrag
- verfügen.</para>
-
- <programlisting>localhost IN A 127.0.0.1
-ns1 IN A 192.168.1.2
-ns2 IN A 192.168.1.3
-mx IN A 192.168.1.4
-mail IN A 192.168.1.5</programlisting>
-
- <para>Der Eintrag <literal>A</literal> bezieht sich auf
- Rechnernamen. <systemitem
- class="fqdomainname">ns1.example.org</systemitem> würde
- also zu <systemitem
- class="ipaddress">192.168.1.2</systemitem> aufgelöst
- werden.</para>
-
- <programlisting> IN A 192.168.1.1</programlisting>
-
- <para>Diese Zeile weist die <acronym>IP</acronym>-Adresse
- <systemitem class="ipaddress">192.168.1.1</systemitem> dem
- aktuellen Ursprung, in diesem Fall also <systemitem
- class="fqdomainname">example.org</systemitem>,
- zu.</para>
-
- <programlisting>www IN CNAME @</programlisting>
-
- <para>Der Eintrag für den kanonischen Namen wird dazu
- verwendet, Aliase für einen Rechner zu vergeben. Im
- Beispiel ist <systemitem>www</systemitem> ein Alias für
- den <quote>Master</quote>-Rechner, dessen Name dem
- Domainnamen <systemitem
- class="fqdomainname">example.org</systemitem> (oder
- <systemitem class="ipaddress">192.168.1.1</systemitem>)
- entspricht. CNAMEs können daher niemals gleichzeitig mit
- einem anderen Eintrag für denselben Hostname eingerichtet
- werden.</para>
-
- <indexterm>
- <primary>MX-Eintrag</primary>
- </indexterm>
-
- <programlisting> IN MX 10 mail.example.org.</programlisting>
-
- <para>Der MX-Eintrag legt fest, welcher Mailserver für
- eintreffende Mails der Zone verantwortlich ist.
- <systemitem
- class="fqdomainname">mail.example.org</systemitem> ist
- der Rechnername des Mailservers, der eine Priorität von 10
- hat.</para>
-
- <para>Es können auch mehrere Mailserver mit verschiedener
- Priorität (10, 20, ...) vorhanden sein. Ein Mailserver,
- der eine Mail an <systemitem
- class="fqdomainname">example.org</systemitem>
- verschicken will, verwendet zuerst den MX mit der höchsten
- Priorität (das heißt den mit der niedrigsten
- Prioritätsnummer), danach den mit der nächsthöheren
- Priorität. Und dies solange, bis die E-Mail zugestellt
- werden kann.</para>
-
- <para>Für (bei Reverse-DNS verwendete)
- <literal>in-addr.arpa</literal>-Zonendateien wird das
- gleiche Format verwendet. Der einzige Unterschied besteht
- in der Verwendung der Option PTR an Stelle der Optionen A
- und CNAME.</para>
-
- <programlisting>$TTL 3600
-
-1.168.192.in-addr.arpa. IN SOA ns1.example.org. admin.example.org. (
- 2006051501 ; Serial
- 10800 ; Refresh
- 3600 ; Retry
- 604800 ; Expire
- 300 ) ; Negative Response TTL
-
- IN NS ns1.example.org.
- IN NS ns2.example.org.
-
-1 IN PTR example.org.
-2 IN PTR ns1.example.org.
-3 IN PTR ns2.example.org.
-4 IN PTR mx.example.org.
-5 IN PTR mail.example.org.</programlisting>
-
- <para>Durch diese Datei werden den Rechnernamen der fiktiven
- Domäne <acronym>IP</acronym>-Adressen zugewiesen.</para>
-
- <para>Beachten Sie bitte, dass es sich bei allen Namen auf
- der rechten Seite eines PTR-Eintrags um absolute
- (<emphasis>fully qualified</emphasis>) Domainnamen handeln
- muss, die mit <quote>.</quote> enden.</para>
- </sect4>
- </sect3>
-
- <sect3>
- <title>Zwischenspeichernde (cachende) Nameserver</title>
-
- <indexterm>
- <primary>BIND</primary>
- <secondary>Zwischenspeichernde Nameserver</secondary>
- </indexterm>
-
- <para>Ein cachender Nameserver hat primär die Aufgabe,
- rekursive Abfragen aufzulösen. Er stellt lediglich
- eigene Anfragen und speichert deren Ergebnisse ab.</para>
- </sect3>
-
- <sect3>
- <title><acronym role="Doman Name Security Extensions">
- DNSSEC</acronym></title>
-
- <indexterm>
- <primary>BIND</primary>
- <secondary><acronym>DNS</acronym> security
- extensions</secondary>
- </indexterm>
-
- <para>Domain Name System Security Extensions, oder kurz
- <acronym
- role="Domain Name Security Extensions">DNSSEC</acronym>,
- ist eine Sammlung von Spezifikationen, um auflösende
- Nameserver von gefälschten <acronym>DNS</acronym>-Daten, wie
- beispielsweise vorgetäuschte
- <acronym>DNS</acronym>-Einträge, zu schützen. Durch die
- Verwendung von digitalen Signaturen kann ein Resolver die
- Integrität des Eintrages überprüfen. Wichtig dabei ist,
- dass <acronym
- role="Domain Name Security Extensions">DNSSEC</acronym>
- nur die Integrität über digital signierte Resource Records
- (<acronym role="Resource Record">RR</acronym>)
- bereitstellt. Weder wird die Vertraulichkeit noch der
- Schutz vor falschen Annahmen des Endbenutzers
- sichergestellt. Dies bedeutet, dass es Benutzer nicht davor
- schützen kann, zu <systemitem
- class="fqdomainname">example.net</systemitem> anstatt zu
- <systemitem class="fqdomainname">example.com</systemitem> zu
- gelangen. Das einzige, was <acronym>DNSSEC</acronym> tut,
- ist die Authentifizierung, dass die Daten während der
- Übertragung nicht verändert wurden. Die Sicherheit von
- <acronym>DNS</acronym> ist ein wichtiger Schritt in der
- generellen Absicherung des Internets. Für weitere,
- tiefergehende Details über die Funktionsweise von
- <acronym>DNSSEC</acronym> sind die dazugehörigen
- <acronym>RFC</acronym>s ein guter Einstieg in die Thematik.
- Sehen Sie sich dazu die Liste in <xref linkend="dns-read"/>
- an.</para>
-
- <para>Der folgende Abschnitt wird zeigen, wie man
- <acronym>DNSSEC</acronym> für einen autoritativen
- <acronym>DNS</acronym>-Server und einen rekursiven (oder
- cachenden) <acronym>DNS</acronym>-Server, der jeweils
- <acronym>BIND</acronym> 9 verwenden, einrichten kann.
- Obwohl alle Versionen von <acronym>BIND</acronym> 9
- <acronym>DNSSEC</acronym> unterstützen, ist es notwendig,
- mindestens die Version 9.6.2 zu verwenden, um in der Lage zu
- sein, die signierten Root-Zonen zu benutzen, wenn
- <acronym>DNS</acronym>-Abfragen geprüft werden. Der Grund
- dafür ist, dass früheren Versionen die Algorithmen fehlen,
- um die Überprüfung des Root-Zonenschlüssels zu aktivieren.
- Es wird dringend empfohlen, die letzte Version von
- <acronym>BIND</acronym> 9.7 oder höher einzusetzen, um von
- den Vorteilen der automatischen Schlüsselaktualisierung des
- Root-Zonenschlüssels Gebrauch zu machen, genauso wie andere
- Eigenschaften, um automatisch Zonen signieren zu lassen und
- Signaturen aktuell zu halten. Unterschiede zwischen den
- Versionen 9.6.2 und 9.7 und höher werden an den betreffenden
- Stellen angesprochen.</para>
-
- <sect4>
- <title>Rekursive <acronym>DNS</acronym>-Server
- Konfiguration</title>
-
- <para>Die Aktivierung der
- <acronym>DNSSEC</acronym>-Überprüfung von Anfragen, die
- von einem rekursiven <acronym>DNS</acronym>-Server
- stammen, benötigt ein paar Änderungen in der
- <filename>named.conf</filename>. Bevor man jedoch diese
- Änderungen durchführt, muss der Root-Zonenschlüssel oder
- Vertrauensanker erworben werden. Momentan ist der
- Root-Zonenschlüssel nicht in einem Dateiformat verfügbar,
- dass von <acronym>BIND</acronym> benutzt werden kann, so
- dass dieser manuell in das richtige Format konvertiert
- werden muss. Der Schlüssel selbst kann durch Abfrage an
- die Root-Zone erhalten werden, indem man dazu
- <application>dig</application> verwendet. Durch Aufruf
- von:</para>
-
- <screen>&prompt.user; <userinput>dig +multi +noall +answer DNSKEY . > root.dnskey</userinput></screen>
-
- <para>wird der Schlüssel in <filename>root.dnskey</filename>
- abgelegt. Der Inhalt sollte so ähnlich wie folgt
- aussehen:</para>
-
- <programlisting>. 93910 IN DNSKEY 257 3 8 (
- AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQ
- bSEW0O8gcCjFFVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh
- /RStIoO8g0NfnfL2MTJRkxoXbfDaUeVPQuYEhg37NZWA
- JQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaDX6RS6CXp
- oY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3
- LQpzW5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGO
- Yl7OyQdXfZ57relSQageu+ipAdTTJ25AsRTAoub8ONGc
- LmqrAmRLKBP1dfwhYB4N7knNnulqQxA+Uk1ihz0=
- ) ; key id = 19036
-. 93910 IN DNSKEY 256 3 8 (
- AwEAAcaGQEA+OJmOzfzVfoYN249JId7gx+OZMbxy69Hf
- UyuGBbRN0+HuTOpBxxBCkNOL+EJB9qJxt+0FEY6ZUVjE
- g58sRr4ZQ6Iu6b1xTBKgc193zUARk4mmQ/PPGxn7Cn5V
- EGJ/1h6dNaiXuRHwR+7oWh7DnzkIJChcTqlFrXDW3tjt
-) ; key id = 34525</programlisting>
-
- <para>Seien Sie nicht alarmiert, wenn der von Ihnen bezogene
- Schlüssel anders als in diesem Beispiel aussieht. Diese
- könnten sich in der Zwischenzeit geändert haben. In
- dieser Ausgabe sind eigentlich zwei Schlüssel enthalten.
- Der erste Schüssel mit dem Wert 257 nach dem
- DNSKEY-Eintrag ist derjenige, der benötigt wird. Der Wert
- zeigt an, dass es sich um einen sicheren Einstiegspunkt
- (<acronym role="Secure Entry Point">SEP</acronym>), gemein
- auch als Schlüsselsignierungsschlüssel (<acronym
- role="Key Signing Key">KSK</acronym>) bekannt, handelt.
- Der zweite Schüssel mit dem Wert 256 ist der
- untergeordnete Schlüssel, im allgemeinen auch als
- Zonen-Signaturschlüssel (<acronym
- role="Zone Signing Key">ZSK</acronym>) bezeichnet.
- Weitere Schlüsselarten werden später in <xref
- linkend="dns-dnssec-auth"/> erläutert.</para>
-
- <para>Nun muss der Schlüssel verifiziert und so formatiert
- werden, dass <acronym>BIND</acronym> diesen verwenden
- kann. Um den Schlüssel zu verifizieren, erzeugen Sie
- einen <acronym role="Delegation Signer">DS</acronym>
- <acronym role="Resource Record">RR</acronym>-Satz.
- Erstellen Sie eine Datei, welche die <acronym
- role="Resource Record">RR</acronym>s enthält,
- mittels:</para>
-
- <screen>&prompt.user; <userinput>dnssec-dsfromkey -f root.dnskey . > root.ds</userinput></screen>
-
- <para>Diese Einträge verwenden SHA-1 sowie SHA-256 und
- sollten ähnlich zu folgendem Beispiel aussehen, in dem
- der längere, SHA-256, benutzt wird.</para>
-
- <programlisting>. IN DS 19036 8 1 B256BD09DC8DD59F0E0F0D8541B8328DD986DF6E
-. IN DS 19036 8 2 49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5</programlisting>
-
- <para>Der SHA-256 <acronym>RR</acronym> kann nun mit dem
- Abriss in <link
- xlink:href="https://data.iana.org/root-anchors/root-anchors.xml">
- https://data.iana.org/root-anchors/root-anchors.xml</link>
- verglichen werden. Um absolut sicher zu sein, dass der
- Schlüssel nicht zusammen mit den
- <acronym>XML</acronym>-Daten verändert wurde, sollte die
- Datei mit einer passenden <acronym>PGP</acronym>-Signatur
- überprüft werden.</para>
-
- <para>Als nächstes muss der Schlüssel in das passende Format
- gebracht werden. Dies unterscheidet sich ein bisschen von
- den <acronym>BIND</acronym> Versionen 9.6.2 und 9.7 und
- höhere. In Version 9.7 wurde die Ünterstützung zur
- automatischen Verfolgung und notwendigen Aktualisierung
- von Änderungen am Schlüssel eingebaut. Dies wird durch
- den Einsatz von <literal>managed-keys</literal> erreicht,
- wie in dem Beispiel unten gezeigt ist. Wenn die ältere
- Version eingesetzt wird, kann der Schlüssel durch eine
- <literal>trusted-keys</literal>-Anweisung eingebaut werden
- und die Aktualisierung muss händisch erfolgen. In
- <acronym>BIND</acronym> 9.6.2 sollte das Format
- folgendermaßen aussehen:</para>
-
- <programlisting>trusted-keys {
- "." 257 3 8
- "AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF
- FVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX
- bfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaD
- X6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpz
- W5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relS
- Qageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulq
- QxA+Uk1ihz0=";
-};</programlisting>
-
- <para>In 9.7 wird das Format stattdessen wie folgt
- aussehen:</para>
-
- <programlisting>managed-keys {
- "." initial-key 257 3 8
- "AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF
*** DIFF OUTPUT TRUNCATED AT 1000 LINES ***
More information about the svn-doc-head
mailing list