NÉV
dnssigner — aláírást ad a DNS zónafájlokhoz
ÁTTEKINTÉS
dnssigner [signer-name alapértelmezett-aláíró] [boot-file fájl] [debug-file fájl] [out-dir könyvtár] [seq-no szám] [
expiration-time [
(
+ | =)] idő ] [hide]
[noaxfr] [nosign] [verify]
[update-zonekey] [−dszint]
LEÍRÁS
A dnssigner (aláírja a DNS zónafájlokat) egy eszköz aminek segítségével aláírásokat generálhatunk a DNS (Domain Name System - Tartomány Név Rendszer) erőforrás bejegyzésekhez. A program generál NXT bejegyzéseket is minden zónára.
signer-name alapértelmezett-aláíró
Megadja az aláíráshoz használandó kulcs nevét, ha nem definiáltunk aláírót a boot fájl $SIGNER direktívája segítségével.
boot-file fájl
Megadja a dnssigner vezérlő fájlját, aminek a formátuma megegyezik a BIND-4 named.boot fájléval.
debug-file fájl
Átirányítja a hibakereső (debug) kimenetet a megadott fájlba; alapértelmezésben a signer_out-ba az aktuális könyvtárban.
out-dir könyvtár
Kiírja az aláírt fájlokat a megadott könyvtárba; alapértelmezésben /tmp-be.
MEGJEGYZÉS: A könyvtárat teljes elérési útvonallal kell megadni, a relatív elérési útvonalak nem biztos, hogy működnek.
expiration-time [
(
+ | =)] idő
Időpont amikor az aláírás bejegyzések lejárnak. Ha az idő argumentum előtt az ’’=’’ vagy a no jeleket használjuk (
pl. ’’
[=] idő’’ ), a program az
időt abszolut időnek tekinti
másodpercben (az érték
elérésekor járnak le a
bejegyzések.) (
MEGJEGYZÉS: ezeket az időket a program
Universal Time -ként kezeli. ) Ha megadjuk a
’’+’’ jelet (pl.
’’+idő’’), az
idő argumentumot a program a jövőbe
mutató offsetként kezeli.
Ha a lejárati időt (
expiration-time ) nem adjuk a meg a parancssorban, a program azt 3600*24*30 másodpercnek veszi (30 nap).
seq-no szám
A SOA bejegyzésben található sorozat számot a megadott szám értékre állítja be. Ha nem állítjuk be ezt a paramétert, a program a sorozat számot automatikusan az aktuális időből rakja össze. Force the serial number in the SOA records to the specified value.
hide
Ezen kapcsoló hatására, a joker bejegyzéseket tartalmazó zónákban lévő NXT bejegyzések a *.<zone> -ra fognak mutatni, mint következő hostra. Ennek az opciónak az az értelme, hogy elrejt minden információt az érvényes nevekről az adott zónában.
noaxfr
Kikapcsolja a zóna transzfer aláírás bejegyzések generálását. Ezek hitelesítik a teljes zóna transzfert.
nosign
Ha ezt a kapcsolót megadjuk, a program beolvasa a boot fájlokat, legenerálja a NXT bejegyzéseket és kiírja a zóna fájlt a kimeneti könyvtárba, nem generál viszont SIG bejegyzéseket. Ez a kapcsoló akkor hasznos, ha gyorsan ellenőrizni akarjuk a boot fájlok formátumát. Ezen túlmenően szét tudjuk válogatni segítségével a boot fájlokat DNSSEC sorrendbe.
verify
Ha ezt a kapcsolót megadjuk, a dnssigner ellenőriz minden aláírt bejegyzést és kiír egy megerősítő üzenetet minden ellenőrzött SIG után. Ez a kapcsoló főleg arra jó, hogy megnézzük mennyi ideig tart az aláírások generálára.
update-zonekey
Ha ezt a kapcsolót megadjuk, új bejegyzésekkel bővítjük a zónakulcsokat, amelyekkel a fájlokat aláírjuk. Használjuk ezt a kulcsot ha egy vagy több kulcsot frissítettünk. Ha a boot fájlokban nem adtunk meg zónakulcsokat, ez a kapcsoló megteszi ezt helyettünk. Ha nem adunk meg zónakulcsokat, az elsődleges névkiszolgálók vissza fogják dobni a zónát.
−dszint
Hibakeresési (debug) szint, amivel a dnssignert futtatjuk. Ezek a szintek megegyeznek a NAMED(8) által használtakkal.
RÉSZLETEK
A dnssigner beolvassa a BIND-4 named.boot
és zónafájljait, hozzájuk adja a
SIG és NXT bejegyzéseket és
kiírja a bejegyzéseket egy fájlba
(függetlenül attól, hogy a zóna
eredetileg hány include fájlból
állt). A dnssigner által
generált fájlok normális szöveg
zónafájlok, ezeket tölti be a NAMED(8)
és így szolgálja ki a
zónát. A dnssigner elvárja, hogy a
PRIVÁT kulcs(ok) a bemeneti könyvtárban
legyenek.
Ezeket a kimeneti fájlokat kézzel szerkeszteni kockázatos lehet, mert ha megváltoztatjuk a fájl tartalmát, azzal érvénytelen lesz egy vagy több benne lévő aláírás. Ennek eredményeképpen a zónát nem lehet majd a NAMED(8-ba) tölteni vagy nem lehet majd a zónából bejegyzéseket letölteni. Sokkal jobb, ha a változtatásokat a dnssigner bemeneti fájlján hozzuk létre, és újra futtatjuk a dnssignert.
Amikor a dnssigner egy delegációs pontot talál, létrehoz egy speciális <zone_name>.PARENT nevű fájlt, amibe beleírja azokat az erőforrás bejegyzéseket, amiket a szülő zóna hitelesít a gyermek zónának (NS, KEY NXT). Ez azzal a szándékkal történik, hogy a gyermek include-olja majd ezt a fájlt, amikor betölti az elsődleges névkiszolgálókat. Ehhez hasonlóan minden zónafájl végén megtalálható a ’’#include <zone_name>.PARENT’’ parancs. A .PARENT fájlban lévő bejegyzések nem számítanak bele a SIG(AXFR) számításokba, mert ezek a bejegyzések rendszerint másik aláírási ciklusba tartoznak.
A ’’$SIGNER [keyname]’’ direktívát megadhatjuk, ha meg akarjuk változtatni az aláírót az adott zónában. Ha a keyname argumentumot elhagyjuk, azzal kikapcsoljuk a hitelesítést. A kulcsokat akkor tölti be a program, amikor először hozzájuk nyúl. Csak azok a bejegyzések vesznek részt a SIG(AXFR) számításokban amelyeket a zóna aláíró hitelesített (azzal a kulcsal amivel a SOA is alá van írva). Általában nem javasolt, hogy egy zónán belül különböző kulcsokkal írjuk alá a különböző bejegyzéseket (kiv. ha dinamikus frissítés miatt jó).
KÖRNYEZET
A program nem használ környezeti változókat.
LÁSD MÉG
NAMED(8), RSAREF dokumentáció, Internet-Draft draft-ietf-dnssec-secext-10.txt a biztonságos DNS-ről, vagy az újabb változatait.
SZERZŐ
Olafur Gudmundsson (ogud [AT] tis.com)
KÖSZÖNET NYIVÁNÍTÁS
A program által használt titkosítási és matematikai algoritmusok az RSAREF vagy a BSAFE könyvtárakat használják.
MAGYAR FORDÍTÁS
Kovács Emese <emese [AT] eik.hu>