Chapter 22. Fondamenti del collegamento in rete / 22.7. DNS: Domain Name System | ||||
|---|---|---|---|---|
 | 22.6. SLP — rilevare i servizi sulla rete | 22.8. NIS: Network Information Service |  | |
Chapter 22. Fondamenti del collegamento in rete / 22.7. DNS: Domain Name System | ||||
|---|---|---|---|---|
| 22.6. SLP — rilevare i servizi sulla rete | 22.8. NIS: Network Information Service | | |
Compito del DNS Domain Name System è di risolvere i nomi di dominio e host in indirizzi IP. Prima di configurare un proprio server dei nomi, leggete le informazioni generali riguardanti il DNS che trovate nella sezione Section 22.1.3, “DNS – Domain Name System”.
I seguenti esempi di configurazione si riferiscono a BIND.
In , il server dei nomi BIND (Berkeley Internet Name Domain) è già preconfigurato in modo da poter essere avviato subito dopo l'installazione. Se siete giàcollegati ad Internet ed immettete in /etc/resolv.conf l'indirizzo 127.0.0.1 come server dei nomi per localhost avrete solitamente già una risoluzione dei nomi correttamente funzionante, senza dover conoscere il DNS del provider. BIND eseguirà la risoluzione dei nomi tramite i server dei nomi root – cosa che però richiede un pò di tempo. Per ottenere una risoluzione del nome sicura ed effettiva, immettete nel file di configurazione /etc/named.conf, sotto forwarders, il DNS del provider con indirizzo IP. Se tutto è andato per il verso giusto, il server dei nomi girerà nella modalità “caching-only”. Solo dopo l'impostazione delle zone diventa un DNS a tutti gli effetti. Un esempio a riguardo è reperibile nella directory di documentazione /usr/share/doc/packages/bind/sample-config.
![[Tip]](admon/tip.png) | Adattamenti automatici dell'allocazione dei nomi |
|---|---|
A secondo del tipo di accesso ad Internet o ambiente di rete dato, l'allocazione dei nomi può essere adatta alla situazione attuale. A tal fine impostate la variabile MODIFY_NAMED_CONF_DYNAMICALLY nel file /etc/sysconfig/network/config su yes. | |
Non si dovrebbe impostare un dominio ufficiale, finché l'autorità competente – per .it si tratta dell' ITNIC non ve ne assengni uno. Anche se avete un dominio personale, amministrato da un provider, non conviene utilizzarlo, dato che BIND non inoltrerebbe richieste indirizzate a questo dominio, e il server web del provider risulterebbe irraggiungibile per il proprio dominio.
Per avviare il server dei nomi, si immette come root sulla riga di comando:
rcnamed start
Se sulla destra appare in verde “done”, named, così si chiama il processo del server dei nomi, è stato inizializzato correttamente. Sul sistema locale si potrà subito verificare se il server dei nomi funziona nel modo dovuto tramite i programmi host oppure dig. Come server di default deve venire indicato localhost con l'indirizzo 127.0.0.1. Altrimenti in /etc/resolv.conf si trova probabilmente un server dei nomi sbagliato, o questo file non esiste. Per un primo test, inserite host 127.0.0.1; questo dovrebbe funzionare in ogni caso. Se invece ricevete una comunicazione di errore, controllate, con il seguente comando, se il named è in esecuzione:
rcnamed status
Se il server dei nomi non parte o mostra qualche disfunzione, il motivo viene protocollato nella maggioranza dei casi sotto /var/log/messages.
Per usare come “forwarder” il server dei nomi del provider oppure un server dei nomi che gira all'interno della propria rete, bisogna registrarlo o registrarli nella sezione options sotto forwarders. Gli indirizzi IP utilizzati nel file Example 22.10, “Opzioni di forwarding in named.conf” sono stati scelti a caso, dovrete adattarli in base ai vostri dati effettivi.
Example 22.10. Opzioni di forwarding in named.conf
options {
directory "/var/lib/named";
forwarders { 10.11.12.13; 10.11.12.14; };
listen-on { 127.0.0.1; 192.168.0.99; };
allow-query { 127/8; 192.168.0/24; };
notify no;
};
Dopo options, seguono le registrazioni per le zone, localhost, 0.0.127.in-addr.arpa e il . di type hint che dovrebbero essere comunque presenti. I file corrispondenti non dovranno essere modificati, dal momento che funzionano benissimo così come sono. Non dimenticate di porre un ; alla fine di ogni riga e di digitare correttamente le parentesi graffe. Dopo aver apportato delle modifiche al file di configurazione /etc/named.conf o ai file zona, BIND dovrà rileggerle, immettete dunque il comando rcnamed reload. Alternativamente, riavviate il server dei nomi con il comando rcnamed restart. E per terminare il server dei nomi, usate rcnamed stop.
Tutte le impostazioni riguardanti il server dei nomi BIND devono venire eseguite nel file /etc/named.conf. Anche i dati delle zone, cioè i nomi degli host, gli indirizzi IP, etc. per i domini da amministrare, devono venire archiviati in file separati nella directory /var/lib/named. Trattateremo questo tema più avanti.
L' /etc/named.conf si suddivide grosso modo in due settori: una sezione options per le impostazioni generali ed una per le registrazioni zone per i singoli domini. Inoltre è anche possibile definire un'area logging, come pure registrazioni del tipo acl (ingl.Access Control List). Le righe di commento iniziano con il carattere #, alternativamente è permesso anche //.
Il file Example 22.11, “File minimale /etc/named.conf” vi mostra un esempio di un /etc/named.conf minimalista.
Example 22.11. File minimale /etc/named.conf
options {
directory "/var/lib/named";
forwarders { 10.0.0.1; };
notify no;
};
zone "localhost" in {
type master;
file "localhost.zone";
};
zone "0.0.127.in-addr.arpa" in {
type master;
file "127.0.0.zone";
};
zone "." in {
type hint;
file "root.hint";
};
![[Important]](admon/important.png) | Ulteriori informazioni sulla configurazione BIND |
|---|---|
Ulteriori informazioni aggiornate sulla configurazione di BIND su sono reperibili sotto /usr/share/doc/packages/bind/README.SuSE. | |
indica la directory in cui BIND trova i file con i dati delle zone, di solito /var/lib/named.
viene usato per indicare uno o più server dei nomi (nella maggioranza dei casi quelli del provider) ai quali vengono inoltrate le richieste DNS a cui non è possibile rispondere direttamente. Al posto di indirizzo ip utilizzato un indirizzo IP del tipo 10.0.0.1.
fa in modo che le richieste DNS vengano inoltrate “forwarded”, prima che si cercare di risolverle tramite i server dei nomi root. Invece di forward first è anche possibile scrivere forward only; in questo caso, tutte le richieste vengono inoltrate ed i server dei nomi root non vengono più indirizzati. Può essere conveniente in configurazioni firewall.
comunica a BIND, su quali interfacce di rete e su quale porta mettersi in ascolto per eventuali richieste dei client. L'indicazione port 53 può venire omessa, poiché 53 è la porta standard. Con 127.0.0.1 si ammettono richieste di localhost. Omettendo completamente questa registrazione, vengono usate di default tutte le interfacce.
indica a BIND su quale porta mettersi in ascolto per richieste di client che utilizzano IPv6. Oltre a any è consentito come alternativa solo none, dato che il server si mette in ascolto sull'indirizzo wildcard IPv6.
questa registrazione è necessaria se il firewall blocca richieste DNS esterne. In questo modo BIND viene indotto ad inviare delle richieste verso l'esterno dalla porta 53 e non dalle porte con un numero elevato ( > 1024 ).
questa registrazione deve essere utilizzata per richieste tramite IPv6.
definisce le reti da cui i client possono inviare delle richieste DNS. Al posto di net si immettete un indirizzo del tipo 192.168.1/24; laddove /24 è un'abbreviazione per la maschera di rete, in questo caso 255.255.255.0.
regola quali sistemi possano richiedere il trasferimento delle zone; in questo esempio ciò viene completamente impedito da ! *. Senza questa registrazione, il trasferimento delle zone può venire richiesto da ovunque.
senza questa registrazione, BIND archivia ogni ora diverse righe di messaggi di natura statistica in /var/log/messages. Il valore 0 determina che questi messaggi vengano completamente soppressi; l'intervallo viene indicato in minuti.
questa opzione stabilisce l'intervallo di tempo, scaduto il quale BIND svuota la sua cache. Ogni volta questa attività genera una registrazione in /var/log/messages. L'indicazione del tempo avviene in minuti: sono preconfigurati 60 minuti.
BIND verifica regolarmente se vi sono delle nuove interfacce di rete o se ne sono state rimosse alcune. Se questo valore è impostato su 0, si rinuncia a tale verifica, e BIND si mette in ascolto solo sulle interfacce rilevate all'avvio. Si può indicare questo l'intervallo in minuti. 60 minuti è il valore preconfigurato.
Con no non viene avvisato nessun altro server dei nomi nel caso si siano apportate delle modifiche ai dati delle zone o se il server dei nomi viene riavviato.
BIND permette di configurare in modo flessibile l'attività di logging. Normalmente, le preimpostazioni dovrebbero rilevarsi sufficienti. Il file Example 22.12, “Il logging viene soppresso” vi mostra la variante più semplice di una tale registrazione, e sopprime completamente il “logging”:
Dopo zone si indica il nome del dominio da amministrare, nel nostro esempio abbiamo scelto un nome a caso mio-dominio.it seguito da un in ed un blocco compreso tra parentesi graffe con le relative opzioni; cfr.Example 22.13, “L'indicazione zone per mio-dominio.it”.
Example 22.13. L'indicazione zone per mio-dominio.it
zone "mio-dominio.it" in {
type master;
file "mio-dominio.zone";
notify no;
};
Se si desidera definire una “zona slave”, cambia solo il type che diventa slave, e si deve indicare il server dei nomi che amministra questa zona come master (può, però, anche essere uno “slave”); cfr. file Example 22.14, “L'indicazione zone per altro-dominio.it”.
Example 22.14. L'indicazione zone per altro-dominio.it
zone "altro-dominio.it" in {
type slave;
file "slave/altro-dominio.zone";
masters { 10.0.0.1; };
};
Le opzioni di zone:
master stabilisce che questa zona venga amministrata su questo server di nome. Premessa per questa opzione: un file di zone corretto.
Questa zona viene trasferita da un altro server dei nomi. Deve venire usata assieme a masters.
La zona . del tipo hint viene impiegata per l'indicazione dei server dei nomi root. Questa definizione di zona può rimanere invariata.
Questa registrazione indica il file in cui sono registrati i dati delle zone per il dominio. Con uno slave, il file non è necessario, poiché il suo contenuto viene preso da un altro server dei nomi. Per distinguere fra file master e file slave, si indica la directory slave per i file slave.
Questa impostazione è necessaria solo per zone slave ed indica da quale server dei nomi debba venire trasferito il file delle zone.
Questa opzione regola l'accesso in scrittura ai dati delle zone dall'esterno. Se l'accesso fosse indiscriminato, ogni client potrebbe registrarsi nel DNS del tutto autonomamente, cosa non auspicabile da un punto di vista della sicurezza. Senza questa opzione, non sono permessi gli aggiornamenti delle zone. La registrazione riportata nell'esempio non cambierebbe nulla, dal momento che la definizione ! * proibisce, anch'essa, ogni accesso.
Servono due tipi di file zona: uno per attribuire un indirizzo IP al nome di un host e l'altro per fare l'esatto contrario, cioè allocare un nome host ad un determinato indirizzo IP.
| Il punto (.) nei file zona |
|---|---|
D'importanza fondamentale è il . nei file zona. A nomi di host senza il punto finale viene sempre aggiunta automaticamente la zona. E' quindi necessario porre un . alla fine di nomi completi, già provvisti di dominio completo, per evitare che il dominio venga aggiunto due volte. La mancanza di questo punto alla fine o la sua posizione errata sono sicuramente gli errori più comuni nella configurazione di server dei nomi. | |
Osserviamo ora il file zona mondo.zone responsabile per il dominio Domain mondo.all; cfr. il file Example 22.15, “File /var/lib/named/mondo.zone”.
Example 22.15. File /var/lib/named/mondo.zone
$TTL 2D
mondo.all IN SOA gateway root.mondo.all.(
2003072441 ; serial
1D ; refresh
2H ; retry
1W ; expiry
2D ) ; minimum
IN NS gateway
IN MX 10 sole
gateway IN A 192.168.0.1
IN A 192.168.1.1
sole IN A 192.168.0.2
luna IN A 192.168.0.3
terra IN A 192.168.1.2
marte IN A 192.168.1.3
www IN CNAME luna
$TTL definisce il TTL standard (ingl. Time To Live), ovvero la scandenza valida per l'intero contenuto di questo file: due giorni, in questo caso (2D = 2 days)..
Ha inizio qui il SOA control record (SOA = Start of Authority):
Al primo posto vi è il nome del dominio da amministrare mondo.all, con un . alla fine, per evitare che venga aggiunta la zona una seconda volta. Alternativamente, si può digitare una chiocciola @, in questo caso la zona viene evinta dalla rispettiva registrazione in /etc/named.conf.
Dopo l'IN SOA, abbiamo il nome del server dei nomi, responsabile per questa zona in funzione di master. In questo caso, il nome gateway, diventa automaticamente gateway.mondo.all, perché non seguito da un “.”.
Segue l'indirizzo e-mail della persona responsabile per il server dei nomi. Dal momento che la chiocciola @ possiede già un significato particolare, si aggiungerà semplicemente un ., di modo che, al posto di root@mondo.all avremo root.mondo.all.; non dimenticate il punto alla fine, altrimenti viene aggiunta la zona un'ennesima volta.
Alla fine abbiamo una (, per includere i righi seguenti fino alla seconda ) nella istruzione SOA.
Il numero di serie è una cifra arbitraria, da aumentare ogni volta che si modifica questo file. Questa cifra serve ad informare server dei nomi secondari (server slave) che sono state effettuate delle modifiche. Di solito, si usa un numero di dieci cifre composto da una data e da un numero progressivo, nella forma AAAAMMGGNN.
Il refresh rate indica l'intervallo di tempo trascorso il quale i server dei nomi secondari verificano il numero di serie della zona. In questo caso, si ha 1 giorno (1D = 1 day).
Il retry rate indica l'intervallo di tempo trascorso il quale un name server secondario, in caso di errore, cerca di ristabilire il contatto con il server primario. In questo caso, due ore (2H = 2 hours).
L'expiration time indica quanto tempo debba passare prima che il server dei nomi secondario espelli i dati dalla cache, se non riesce a ristabilire il contatto con il server primario. In questo caso, una settimana (1W = 1 week).
Con negative caching TTL si conclude l'SOA, che indica per quanto tempo i risultati delle richieste DNS di altri server debbano restare nella cache che non è stato possibile risolvere.
L'IN NS indica il server dei nomi responsabile per questo dominio. Anche in questo caso, gateway diventa automaticamente gateway.mondo.all, poiché non vi è un . alla fine. Vi possono essere diverse righe del genere: una per il server dei nomi primario e una per ogni server dei nomi secondario. Se per questa zona notify in /etc/named.conf non è impostato su no, verranno informati tutti i server dei nomi qui elencati delle modifiche apportate ai dati delle zone.
La registrazione MX indica il server di posta che accetta le e-mail per il dominio mondo.all, per poi elaborarle o inoltrarle. In quest'esempio, si tratta dell'host sole.mondo.all. Il numero davanti al server dei nomi è il valore di preferenza: se vi sono più indicazioni MX, si prenderà per primo il server di posta con il valore minore; se la consegna a questo server fallisce, si prova con il prossimo valore.
Le registrazioni degli indirizzi (ingl. Address Records), dove il nome dell'host viene attribuito ad uno o più indirizzi IP. In questo caso, i nomi vengono riportati senza un punto alla fine, dal momento che sono registrati senza il relativo dominio e che in questo caso è possibile aggiungere a tutti mondo.all. A gateway sono stati attribuiti due indirizzi IP, dacché dispone di due schede di rete. A sta per un indirizzo host tradizionale; con A6 si immettono indirizzi IPv6 e AAAA è il formato ormai superato per indirizzi IPv6.
Impostare un alias per www, p.es luna (CNAME = canonical name ovvero nome canonico).
Per la risoluzione inversa (ingl. reverse lookup) degli indirizzi IP in nomi di host si ricorre allo pseudo-dominio in-addr.arpa che viene aggiunto all'indirizzo scritto alla rovescia. Quindi, 192.168.1 diventa 1.168.192.in-addr.arpa.
Example 22.16. Risoluzione inversa dell'indirizzo
$TTL 2D
1.168.192.in-addr.arpa. IN SOA gateway.mondo.all. root.mondo.all. (
2003072441 ; serial
1D ; refresh
2H ; retry
1W ; expiry
2D ) ; minimum
IN NS gateway.mondo.all.
1 IN PTR gateway.mondo.all.
2 IN PTR terra.mondo.all.
3 IN PTR marte.mondo.all.
$TTL definisce il TTL di default valido per tutte le voci.
Questo file permette il “reverse lookup” per la rete 192.168.1.0. Dal momento che la zona del caso è 1.168.192.in-addr.arpa , non la si vorrà aggiungere al nome del server: per questo motivo, i nomi sono tutti completi di dominio e punto finale. Il resto corrisponde all'esempio dato per mondo.all.
vd. esempio di mondo.all.
Questa riga indica nuovamente il server dei nomi responsabile per questa zona. Questa volta, però, il nome viene riportato completo di dominio e punto finale.
Le registrazioni pointer (puntatore) puntano sull' indirizzo IP del relativo host. All'inizio della riga trovate solo la parte finale dell'indirizzo, senza . finale. Se ora aggiungete la zona e togliete .in-addr.arpa, avrete l'indirizzo IP completo, scritto alla rovescia.
Il trasferimento di zone tra le diverse versioni di BIND di solito non dovrebbe creare dei problemi.
Grazie alle “Transaction SIGnatures” (TSIG) si realizza una transazione sicura. Vengono utilizzate delle chiavi di transazione (ingl. transaction keys) e firme di transazione (ingl. transaction signatures). Nella seguente sezione spiegheremo come generarle ed utilizzarle.
Una transazione sicura è richiesta per la comunicazione tra server e l'aggiornamento dinamico dei dati di zona. Il controllo degli accessi basato su chiave offre maggior sicurezza rispetto ad un controllo basato sugli indirizzi IP.
Con il seguente comando potete generare una chiave di transazione (per avere ulteriori informazioni si veda la pagina di manuale di dnssec-keygen:
dnssec-keygen -a hmac-md5 -b 128 -n HOST host1-host2
Il risultato sono due file che per esempio portano il seguente nome:
Khost1-host2.+157+34265.private Khost1-host2.+157+34265.key
La chiave è contenuta in entrambi i file (p.es. ejIkuCyyGJwwuN3xAteKgg==). In seguito Khost1-host2.+157+34265.key dovrebbe venir copiato in modo sicuro (p.es. con scp) su host remoti e lì essere inserito in /etc/named.conf per realizzare una comunicazione sicura tra host1 e host2:
key host1-host2. {
algorithm hmac-md5;
secret "ejIkuCyyGJwwuN3xAteKgg=="
};
![[Warning]](admon/warning.png) | Permessi di accesso di /etc/named.conf |
|---|---|
Assicuratevi che i permessi di accesso per /etc/named.conf rimangono limitati; il valore di default è 0640 per root ed il gruppo named; alternativamente potete archiviare la chiave in un file protetto ed includerlo di seguito. | |
Affinché sul server host1 venga utilizzata la chiave per host2 con l'indirizzo esempio 192.168.2.3 il file /etc/named.conf sul server deve contenere:
server 192.168.2.3 {
keys { host1-host2. ;};
};
Il file di configurazione di host2 deve essere adattato di conseguenza.
Oltre alle ACL che si basano sugli indirizzi IP e area degli indirizzi si dovrebbero aggiungere delle chiavi TSIG per avere delle transazioni sicure; ecco un esempio:
allow-update { key host1-host2. ;};
Per ulteriori informazioni consultate nel manuale di amministrazione di BIND (BIND Administrator Reference Manual) la parte intitolata update-policy.
Con aggiornamento dinamico (ingl. dynamic update) si intende l'aggiunta, la modifica e l'eliminazione di registrazioni nei dati zona di un master. Questo meccanismo viene descritto nell'RFC 2136.
L'aggiornamento dinamico delle zone si configura tramite le opzioni allow-update o update-policy nelle registrazioni delle zone. Le zone che vengono aggiornate dinamicamente non dovrebbero venir impostate manualmente.
Con nsupdate le registrazioni da aggiornare vengono trasmesse al server; per la corretta sintassi si veda la pagina di manuale di nsupdate. L'aggiornamento deve avvenire assolutamente, per motivi di sicurezza, tramite transazioni sicure (TSIG); cfr. la sezione Section 22.7.7, “Transazioni sicure”.
DNSSEC (DNS Security) viene illustrato nell'RFC 2535; gli strumenti disponibili per l'utilizzo di DNSSEC sono descritti nella manuale di BIND.
Una zona per dirsi sicura deve avere una o più chiavi zona; questo tipo di chiave viene generato - come nel caso di chiavi per host - con dnssec-keygen. Ai fini della cifratura al momento si usa DSA.
Le chiavi pubbliche public keys dovrebbero essere integrate nei file zona con $INCLUDE.
Tutte le chiavi possono essere riunite in un set di chiavi tramite dnssec-makekeyset da trasmettere in modo sicuro alla zona superiore (parent zone), per essere firmati con dnssec-signkey. I file creati durante questo processo, vanno utilizzati ai fini della firma delle zone assieme a dnssec-signzone e i file generati da questo processo vanno quindi integrati in /etc/named.conf nella zona corrispondente.
Il modulo DNS di vi consente di configurare un server DNS proprio nella rete locale. Questo modulo funziona in due modi.
Al primo avvio del modulo l'amministratore deve prendere delle decisioni fondamentali. Una volta portata a termine la configurazione iniziale il server è preconfigurato e pronto ad essere impiegato.
Il modo per esperti consente di eseguire interventi configurativi più complessi come per quel che riguarda le ACL, il logging, chiavi TSIG etc.
Il wizard si compone di tre parti, che vi permettono di passare nel modo di configurazione per esperti.
Al primo avvio del modulo si avrà questa finestra (si veda la figura Figure 22.8, “Installazione del server DNS: forwarder”. Stabilite se volete il demone PPP debba fornire un elenco di forwarder durante il processo di composizione tramite DSL o ISDN () o se preferite di eseguire l'immissione voi stessi ().
Le registrazioni di questo modulo vengono spiegate nel modo di installazione da esperti (si veda la sezione Server DNS: zone DNS).
Visto che durante l'installazione viene abilitato un firewall, potete aprire la porta DNS nel firewall (Porta 53) con impostare il comportamento di avviamento del server DNS ( o ). Potete anche passare alla configurazione per esperti () (si veda la figura Figure 22.9, “Installazione del server DNS: chiudere il wizard”).
Al primo avvio del modulo, visualizza una finestra con diverse possibilità di configurazione. In seguito, il server DNS è in linea di massima pronto ad essere utilizzato:
Sotto potete accendere () o spegnere il server DNS (). Tramite il bottone potete avviare il server DNS e fermarlo tramite ; salvare le impostazioni attuali vi è .
Potete anche aprire la porta DNS () e tramite intervenire in modo mirato sulle impostazioni del firewall.
Questa finestra è identica a quella che ottenete all'avvio del configurazione giudata wizard (si veda la sezione Installazione del server DNS: impostazioni forwarder).
Qui stabilite cosa e dove il server DNS debba protocollare.
Sotto specificate dove il server DNS debba protocollare i suoi messaggi. Potete lasciare mano libera al sistema ( in /var/log/messages) oppure indicare esplicitamente un file (). In quest'ultimo caso, potete indicare anche la dimensione massima del file in megabyte ed il numero dei file di protocollo.
Sotto potete impostare ulteriori opzioni: con verrà protocollate ogni richiesta. Il file di protocollo raggiungere una notevole dimensione. Questa opzione si dovrebbe abilitare solo per eseguire il debug. Per eseguire un aggiornamento delle zone sul server DHCP e server DNS, selezionate . Per protocollare il traffico di dati durante il transfer dei dati zone (transfer delle zone) dal master allo slave abilitate l'opzione (si veda la figura Figure 22.10, “Server DNS: attività da protocollare”).
Questa sezione è suddivisa in diverse finestre e tramite essa vengono amministrati i file zona (si veda la sezione Section 22.7.6, “Struttura di un file zona”).
Sotto inserite il nome di una nuova zona. Per avere una reverse zone il nome della zona deve terminare in .in-addr.arpa. Selezionate il tipo (master o slave) tramite (si veda la figura Figure 22.11, “Server DNS: zone DNS”). Tramite potete stabilire ulteriori impostazioni. Per cancellare una zona, selezionate .
Arrivate a questa finestra se sotto Server DNS: zone DNS avete selezionato come tipo zona. Sotto indicate il server master a cui debba rivolgersi lo slave. Se intendete restringere l'accesso, potete selezionare le ACL definite in precedenza dall'elenco (si veda la figura Figure 22.12, “Server DNS: editor delle zone slave”).
Arrivate a questa finestra se sotto Server DNS: zone DNS avete selezionato come tipo di zona . Potete visualizzare: Le basi (la pagina attualmente visualizzata), Registrazioni NS, Registrazioni MX, SOA e Registrazioni. Segue una breve illustrazione.
Nella figura Figure 22.13, “Server DNS: editor delle zone (Le basi)” stabilite le impostazioni di DNS dinamico e le condizioni di accesso per il transfer delle zone verso client e server dei nomi slave. Per consentire un aggiornamento dinamico delle zone, selezionate e la relativa chiave di transazione (TSIG). La chiave deve essere stata già definita prima di avviare il procedimento di aggiornamento.
Per consentire il transfer delle zone dovete selezionare le relative ACL che sono state definite già in precedenza.
Qui potete stabilire dei server dei nomi alternativi per queste zone. Dovete badare al fatto che il proprio server dei nomi sia contenuto nell'elenco. Per aggiungere una nuova registrazione, indicate sotto il rispettivo nome e confermate con (si veda la figura Figure 22.14, “Server DNS: editor delle zone (registrazioni NS)”).
Per aggiungere un nuovo server di posta per la zona attuale all'elenco esistente, indicate il rispettivo indirizzo e la priorità. Confermate con (si veda la figura Figure 22.15, “Server DNS: editor delle zone (registrazioni MX)”).
Tramite SOA Record Configuration (si veda la figura Figure 22.16, “Server DNS: editor delle zone (SOA)”) si generano registrazioni SOA (Start of Authority). Il significato delle singole opzioni può essere evinto dall'esempio Example 22.15, “File /var/lib/named/mondo.zone”. Ricordate che questa opzione non è disponibile nel caso di zone dinamiche in combinazione con LDAP.
Questa finestra amministra un elenco di coppie nomi e indirizzi IP. Nel campo di immissione sotto inserite il nome dell'host e selezionate il tipo (menu a tendina omonimo). è la registrazione principale; è un alias e sotto la registrazione (Name) viene sovrascritta dal valore (Value).
