Der Nameserver BIND 9 Allgemeines Mit dem BIND (Berkeley Internet Name Daemon) Service werden Namen des DNS in IP-Adressen und umgekehrt, umgesetzt. Er kann gleichzeitig mehrere Domänen - auch als Zonen bezeichnet - im Master- oder Slavemodus verwalten. Über Forward- und Root- Einträge werden nicht beantwortbare Namensanfragen weitergeleitet. Die Arbeitsverzeichnisse liegen in einem Bereich, der BIND eine eigene Umgebung (chroot) bietet. BIND9 kann, mit dem DHCPD Paket zusammen, Hostnamen dynamisch registrieren und auflösen. Installation Das Installationsskript erkennt automatisch, ob bereits ein DNS oder BIND9 Server installiert ist. Vorhandene DNS Einstellungen werden also komplett übernommen. Dennoch sollte die Konfiguration auf eventuelle Fehler überprüft werden. Eine Ausnahme bildet der NS-Eintrag, der durchaus auf eine fremde Domäne verweisen kann und deshalb aus Hostname und der kompletten Domänenkennung bestehen muss. Das Menü im Setup-Programm Das Menü im Setup-Programm ist wie folgt aufgebaut: 1. Service administration x. Name server BIND 9 1. View documentation 2. Edit configuration 3. Advanced configuration file handling 4. Show status 5. Start service 6. Stop service 7. Modules configuration Änderung der Konfiguration Die Konfiguration kann über den Menüpunkt 'Edit configuration' geändert werden. Standardmäßig wird der Editor aufgerufen, der in der Environment-Konfiguration über die Variable 'EDITOR' festgelegt wurde. Die Konfigurationsdatei In der Konfigurationsdatei, die über das Menü zugänglich ist, sind folgende Parameter vorhanden; wer sie von Hand editieren will findet sie unter /etc/config.d/bind9 Die Parameter START_BIND9 Legt fest, ob der BIND Server automatisch gestartet wird. Gültige Werte: yes, no Standardeinstellung: START_BINdD9='no' BIND9_ALLOW_QUERY Legt fest, welche Clients Informationen über diese Zone anfordern dürfen. Gültige Werte: any = alle Anfragen sind zulässig localnets = alle Anfragen aus allen auf dem Server definierten Netzen sind zulässig localhost = nur interne Abfragen sind zulässig Standardeinstellung: BIND9_ALLOW_QUERY='any' BIND9_FORWARDER_N Anzahl externer Nameserver welche alle Namensanfragen beantworten, die nicht in den eigenen Zonen definiert sind. Hier sollten nach Möglichkeit immer mindestens zwei Einträge vorhanden sein. Gültige Werte: Zahl (1, 2, 3) Standardeinstellung: BIND9_FORWARDER_N='2' BIND9_FORWARDER_x_NAME Hier kann ein Name oder eine Bezeichnung für diesen Forwarder eingegeben werden. Er wird nicht ausgewertet. Gültige Werte: keine Einschränkung Standardeinstellung: BIND9_FORWARDER_x_NAME=” BIND9_FORWARDER_x_ACTIVE Hier kann ein Forwarder deaktiviert werden. Dabei bleiben die Einstellungen für eine eventuelle Reaktivierung erhalten, sie werden aber nicht in die Konfiguration geschrieben. Gültige Werte: yes, no Standardeinstellung: BIND9_FORWARDER_x_ACTIVE='no' BIND9_FORWARDER_x_IP Die hier eingetragene IP-Adresse eines DNS-Servers sollte in gewissen Abständen auf Erreichbarkeit überprüft werden, da in der Vergangenheit schon öfter Adressen von DNS-Server verändert wurden. Für den Totalausfall aller Forwarder verfügt BIND 9 allerdings auch noch über Möglichkeit zur Namensauflösung über die sogenannten Root-Server. Das erhöht die Wartezeit für eine Antwort allerdings sehr. Gültige Werte: IP Adresse Standardeinstellung: BIND9_FORWARDER_x_IP='8.8.8.8' BIND9_FORWARDER_x_EDNS Optionaler Parameter Wird hier ein 'no' gesetzt, erfolgt die Abfrage nicht mehr mit RFC- Konformen EDNS. Der Eintrag sollte nur dann auf 'no' gesetzt werden, wenn die Kommunikation z.B. mit einem MS-Windows DNS-Server fehlschlägt. Gültige Werte: yes, no Standardeinstellung: BIND9_FORWARDER_x_EDNS='yes' BIND9_N Bind verfügt über die Möglichkeit, mehrere unterschiedliche Namensbereiche (Zonen) zu verwalten. Die Gesamtanzahl wird hier eingetragen. Gültige Werte: Zahl Standardeinstellung: BIND9_N='2' BIND9_x_NAME Hier steht der Name der zu verwaltenden Zone. Bei internen Namen sollte man zur Sicherheit keine existierenden Internet Kennungen verwenden. Also am besten statt einer '.de' Endung verwendet man eine '.local' Endung. Beispiel: foo.local Gültige Werte: Domain Name Standardeinstellung: BIND9_BIND9_x_NAME='foo.local' BIND9_x_MASTER Die aktuelle Zone wird auf diesem Computer verwaltet. (Master-Zone) Gültige Werte: yes, no Standardeinstellung: BIND9_x_MASTER='yes' BIND9_x_NETWORK Netzwerk-Adresse der aktuellen Zone. Gültige Werte: IP Adresse Standardeinstellung: BIND9_x_NETWORK='192.168.6.0' BIND9_x_NETMASK Netzwerk-Maske der aktuellen Zone. Beispiel: 255.255.255.0 Gültige Werte: NetzMaske Standardeinstellung: BIND9_x_NETMASK='255.255.255.0' BIND9_x_MASTER_IP IP-Adresse des Masters, welche die Autorisierungsrechte der Zone besitzt. Wenn [1]BIND9_x_MASTER='no' dann steht hier die IP-Adresse des DNS-Masters von dem die Daten geladen werden. Gültige Werte: IP Adresse Standardeinstellung: BIND9_x_MASTER_IP='192.168.6.1' BIND9_x_MASTER_NS Optional kompletter Name des DNS Servers. So können mehrere DNS-Zonen mit einem Nameserver registriert werden. Beispiel: mx.domain.local Gültige Werte: Host Name Standardeinstellung: BIND9_x_MASTER_NS=” BIND9_x_ALLOW_TRANSFER Beschränkt den Kreis möglicher Slave-Nameserver. Hierdurch wird auch das Abfragen aller Zoneneinträge mit dem Befehl: nslookup ls -d eingeschränkt. Gültige Werte: any = Jeder beliebige Server kann Slave werden localnets = Nur Server im gleichen Netz können Slave werden nslist = Nur ein unter [2]BIND9_x_NS_x_IP eingetragener Server kann Slave werden none = Kein Zonen Transfer zugelassen Standardeinstellung: BIND9_x_ALLOW_TRANSFER='any' Zonen Konfiguration Folgende Einträge sind nur für Master-Zonen [3]BIND9_x_MASTER='yes' definierbar: BIND9_x_NS_N Anzahl weiterer Name-Server, die Daten dieser Zone als Slave verwalten. Gültige Werte: Zahl Standardeinstellung: BIND9_x_NS_N='0' BIND9_x_NS_x_NAME Komplette Bezeichnung des Slave-Nameserver, inklusive Domäne. Beispiel: dns2.foo.local Gültige Werte: Domain Name Standardeinstellung: BIND9_x_NS_x_NAME=” BIND9_x_NS_x_IP IP Adresse des Slave-Nameserver. Wird nur benötigt, wenn die Option [4]BIND9_x_ALLOW_TRANSFER='nslist' gesetzt ist Gültige Werte: IP Adresse Standardeinstellung: BIND9_x_NS_x_IP=” BIND9_x_MX_N Anzahl der zur Zone gehörenden E-Mail Server. Gültige Werte: Zahl Standardeinstellung: BIND9_x_MX_N='1' BIND9_x_MX_x_NAME Kompletter Name des E-Mail Servers. Das kann auch ein Backup E-Mail Server außerhalb der Domäne sein. Beispiel: mail.foo.local Gültige Werte: Domain Name Standardeinstellung: BIND9_x_MX_x_NAME=” BIND9_x_MX_x_PRIORITY Empfangspriorität des E-Mail Server. Der Server mit dem niedrigsten Wert wird zuerst angesprochen. Ist dieser nicht erreichbar, dann wird der Server mit der nächst größeren Zahl verwendet. Gültige Werte: Zahl Standardeinstellung: BIND9_x_MX_x_PRIORITY='10' BIND9_x_HOST_N Anzahl der für diese Zone eingetragenen Hosts. Gültige Werte: Zahl der Hosts Standardeinstellung: BIND9_x_HOST_N='8' BIND9_x_HOST_x_NAME Hostname, der zur Namensauflösung der IP-Adresse verwendet wird. Hier kann auch ein Platzhalter ”*” verwendet werden. Alle DNS Anfragen nach beliebigen Hostnamen, werden dann mit der zugehörigen [5]BIND9_x_HOST_x_IP beantwortet. Ein leerer Eintrag ermöglicht das Auflösen von domain.tld, also ohne Angabe eines Hostnamens. Gültige Werte: jeder Hostname Standardeinstellung: BIND9_x_HOST_x_NAME='mail' BIND9_x_HOST_x_IP IP-Adresse für den Host. Gültige Werte: IP Adresse Standardeinstellung: BIND9_x_HOST_x_IP='192.168.6.10' BIND9_x_HOST_x_ALIAS Durch Leerzeichen getrennte Liste weiterer Hostnamen der IP-Adresse. BIND erweitert die Namen bei Abfragen automatisch, mit dem unter BIND9_x_NAME eingetragenem Wert. Beispiel: 'www ftp' Gültige Werte: Hostaliasnamen Standardeinstellung: BIND9_x_HOST_x_ALIAS=” Spezielle Konfiguration Die folgenden Parameter sollten nur bei Bedarf verändert werden. BIND9_BIND_IP_ADDRESS Sind mehrere Netzwerkkarten im BIND Server eingebaut, so kann hiermit die Funktionalität auf eine oder mehrere bestimmte Karten reduziert werden. Beispiel: '127.0.0.1 192.168.6.1' Gültige Werte: IP Adresse Standardeinstellung: BIND9_BIND_IP_ADDRESS=” BIND9_PORT_53_ONLY Wenn der Zugriff auf den BIND Server durch eine Firewall gesichert wird, so wird hiermit die gesamte Kommunikation auf den Port 53 beschränkt. Dieser Port muss dann aber auch in der Firewall freigeschaltet werden. Gültige Werte: yes, no Standardeinstellung: BIND9_PORT_53_ONLY='no' BIND9_START_OPTION_IPV4 Mit diesem Paramter wird BIND auf IPv4 festgelegt. IPv6 Anfragen werden nicht beachtet. Gültige Werte: yes, no Standardeinstellung: BIND9_START_OPTION_IPV4='no' BIND9_DNSSEC_VALIDATION Mit diesem Paramter wird das verhalten bei dnssec-validation gesteuert. Gültige Werte: no, auto, yes Standardeinstellung: BIND9_DNSSEC_VALIDATION='no' BIND9_DEBUG_LOGFILE Erweitert die Logdateiausgabe um Debug-Informationen. Diese werden im Verzeichnis /var/lib/named/var/log abgelegt. Gültige Werte: yes, no Standardeinstellung: BIND9_DEBUG_LOGFILE='no' BIND9_LOGGING_LAME_SERVERS Mit diesem Parameter wird das loggen von LAME_SERVERS eingestellt. 'no' schaltet das loggen ab. Gültige Werte: yes, no Standardeinstellung: BIND9_LOGGING_LAME_SERVERS='yes' __________________________________________________________________