Red Hat Linux 9: Red Hat Linux Referenzhandbuch | ||
---|---|---|
Zurück | Kapitel 12. Berkeley Internet Name Domain (BIND) | Vor |
BIND enthält das Utility rndc, mit dem Sie den named-Daemon über die Befehlszeile vom lokalen und von einem Remote Host verwalten können.
Um zu verhindern, dass nicht authorisierte Benutzer auf deren System BIND auf Ihrem Server kontrollieren, wird durch einen gemeinsam verwendeten Schlüssel gewährleistet, dass ausdrücklich nur bestimmte Hosts ein entsprechendes Zugriffsrecht haben. Damit rndc in allen named-Dateien auf einem lokalen Rechner Befehle ausführen kann, müssen die Schlüssel, die in /etc/named.conf und /etc/rndc.conf verwendet werden, übereinstimmen.
Um die Verbindung von rndczu Ihrem named-Dienst zu ermöglichen, muss beim Start von named die controls-Anweisung in Ihrer /etc/named.conf-Datei vorhanden sein.
Das folgende Beispiel einer controls-Anweisung ermöglicht es Ihnen, rndc-Befehle vom lokalen Host auszuführen.
controls { inet 127.0.0.1 allow { localhost; } keys { <key-name>; }; }; |
Diese Anweisung weist named an, am standardmäßigen TCP-Port 953 nach Loopback-Adressen zu suchen und lässt rndc-Befehle zu, die vom lokalen Host ausgeführt werden, wenn der richtige Schlüssel angegeben wird. Der <key-name> bezieht sich auf die key-Direktive, die sich auch in der /etc/named.conf-Datei befindet. Im nächsten Beispiel wird eine key-Anweisung veranschaulicht.
key "<key-name>" { algorithm hmac-md5; secret "<key-value>"; }; |
In diesem Beispiel ist <key-value> ein HMAC-MD5-Schlüssel. Mit dem nachfolgenden Befehl können Sie Ihre eigenen HMAC-MD5-Schlüssel erstellen:
dnssec-keygen -a hmac-md5 -b <bit-length> -n HOST <key-file-name> |
Es empfiehlt sich, einen Schlüssel mit einer Größe von mindestens 256 Bit zu erstellen. Der aktuelle Schlüssel sollte im <key-value>-Bereich unter <key-file-name> gespeichert sein.
![]() | Achtung | |
---|---|---|
Da /etc/named.conf von jedem gelesen werden kann, ist es angeraten, die key-Anweisung in eine separate Datei auszulagern, welche nur von root gelesen werden kann, und eine include-Anweisung zu verwenden, um diese Datei einzubinden, wie im folgenden Beispiel:
|
Die key-Anweisung ist die wichtigste in der Datei /etc/rndc.conf.
key "<key-name>" { algorithm hmac-md5; secret "<key-value>"; }; |
<key-name> und <key-value> sollten exakt mit den Einstellungen in /etc/named.conf übereinstimmen.
Um den Schlüsseln, welche in /etc/named.conf auf dem Ziel-Server angegeben sind, zu entsprechen, fügen Sie folgende Zeilen zu /etc/rndc.conf hinzu.
options { default-server localhost; default-key "<key-name>"; }; |
Dieser Befehl setzt den globalen Default-Schlüssel. Der Befehl rndc kann allerdings auch verschiedene Schlüssel für verschiedene Server verwenden, wie im folgenden Beispiel gezeigt:
server localhost { key "<key-name>"; }; |
![]() | Achtung |
---|---|
Stellen Sie sicher, dass jeweils nur ein root-Benutzer auf die Datei /etc/rndc.conf zugreifen kann. |
Ein rndc-Befehl sieht wie folgt aus:
rndc <options> <command> <command-options> |
Wenn rndc auf einem korrekt konfigurierten lokalen Host ausgeführt wird, stehen Ihnen folgende Befehle zur Verfügung:
halt — Hält den named-Service sofort an.
querylog — Protokolliert alle Abfragen, die von Clients auf diesem Name-Server durchgeführt wurden.
refresh — Aktualisiert die Datenbank des Nameservers.
reload — Weist den Name-Server an, die Zone-Dateien neu zu laden, aber alle vorher verarbeiteten Antworten zu behalten. Dadurch können Sie Änderungen in den Zone-Dateien durchführen, ohne dass die gespeicherten Auflösungen von Namen verloren gehen.
Wenn sich Ihre Änderungen nur auf eine bestimmte Zone auswirken, können Sie nur diese Zone zu laden. Geben Sie hierzu nach dem reload-Befehl den Namen der Zone ein.
stats — Schreibt die aktuellen named-Statistiken in die Datei /var/named/named.stats.
stop — Stoppt den Server vorsichtig, und speichert dabei alle dynamischen Updates und die vorhandenen Incremental Zone Transfers (IXFR) Daten, vor dem Beenden.
Gelegentlich werden Sie bestimmt auch die Standardeinstellungen in der /etc/rndc.conf-Datei übergehen wollen. Hierzu stehen Ihnen folgende Optionen zur Verfügung:
-c <configuration-file> — Weist rndc an, nicht die standardmäßige /etc/rndc.conf-Datei, sondern eine andere Konfigurationsdatei zu benutzen.
-p <port-number> — Legt für die rndc-Verbindung eine andere als die standardmäßige Portnummer 953 fest.
-s <server> — Weist rndc an, Befehle an einen anderen Server zu schicken und nicht an den default-server in der /etc/rndc.conf-Datei.
-y <key-name> — Ermöglicht es Ihnen, einen anderen als den default-key in der /etc/rndc.conf-Datei einzustellen.
Zusätzliche Informationen zu diesen Optionen finden Sie auf der rndc-man-Seite
Zurück | Zum Anfang | Vor |
Zone-Dateien | Zum Kapitelanfang | Erweiterte Funktionen von BIND |