Red Hat Enterprise Linux 3: Reference Guide | ||
---|---|---|
Indietro | Capitolo 12. BIND (Berkeley Internet Name Domain) | Avanti |
La maggior parte delle versioni di BIND utilizza named per fornire servizi di risoluzione nomi o per fungere da autorità per un particolare dominio o sottodominio. Tuttavia la versione 9 di BIND comprende una serie di caratteristiche avanzate che, se opportunamente configurate e utilizzate, garantiscono un servizio DNS più sicuro ed efficiente.
![]() | Avvertenza |
---|---|
Alcune di questi contenuti, come DNSSEC, TSIG e IXFR, andrebbero usate solo in ambienti di rete con nameserver che supportano talicontenuti. Se la vostra rete comprende nameserver non BIND o con versioni precedenti, verificate che ogni contenuto sia supportato prima di usarlo. |
Tutte le caratteristiche trattate in questo paragrafo vengono approfondite nel BIND 9 Administrator Reference Manual in la Sezione 12.7.
BIND supporta i trasferimenti di zona incrementali (IXFR), grazie ai quali un nameserver slave effettua solo il download delle parti aggiornate di una zona modificata su di un nameserver master. Il processo di trasferimento standard richiede che l'intera zona venga trasferita a ogni nameserver slave, perfino per la più piccola modifica. Per domini molto diffusi con file di zona lunghi e molti nameserver slave, IXFR semplifica i processi di notifica e aggiornamento.
IXFR è disponibile solo se utilizzate un aggiornamento dinamico per modificare i record della zona master. Se invece modificate manualmente il file zone per effettuare dei cambiamenti, viene utilizzato AXFR. Per maggiori informazioni sull'aggiornamento dinamico, consultate il BIND 9 Administrator Reference Manual. Per maggiori informazioni, far riferimento a la Sezione 12.7.1.
Mediante l'uso dell'istruzione view del file named.conf BIND presenta informazioni diverse a seconda di quale rete effettua la richiesta.
Questa possibilità è utile soprattutto se desiderate che i client esterni alla vostra rete non possano eseguire un determinato servizio DNS, ma non volete invece escludere i client interni.
L'istruzione view utilizza l'opzione match-clients per far corrispondere indirizzi IP o reti intere e per offrire loro opzioni speciali e dati di zona.
BIND supporta vari metodi di protezione per l'aggiornamento e il trasferimento di zone, in entrambi i server master e slave:
DNSSEC — abbreviazione di DNS SECurity, questa caratteristica consente di cifrare alcune zone con una chiave zona.
In tal modo le informazioni relative a zone specifiche possono essere verificate come provenienti da un server che le ha firmate con una determinata chiave privata, se il destinatario possiede la chiave pubblica del server dei nomi.
La versione 9 di BIND supporta inoltre il metodo SIG(0) chiave pubblica/privata per l'autenticazione del messaggio.
TSIG — abbreviazione di Transaction SIGnatures, questa caratteristica permette un trasferimento da master a slave solo dopo aver verificato l'esistenza della chiave segreta condivisa su entrambi i nameserver.
Questa caratteristica rafforza il metodo IP standard basato sull'indirizzo per l'autorizzazione al trasferimento. Infatti un eventuale intruso per poter trasferire la zona non solo dovrebbe conoscere l'indirizzo IP ma anche la chiave segreta.
La versione 9 di BIND supporta inoltre TKEY, ovvero un altro metodo a chiave segreta condivisa per l'autorizzazione a trasferimenti di zona.
La versione 9 di BIND supporta il servizio del nome in ambienti IP versione 6 (IPv6) utilizzando i record di zona A6.
Se la vostra rete comprende host con IPv4 e IPv6, è necessario usare il demone lwresd (lightweight resolver daemon) nei vostri client. Questo demone è un server dei nomi caching-only davvero efficiente, che riconosce i nuovi record A6 e DNAME utilizzati con IPv6. Per maggiori informazioni, consultate la pagina man di lwresd.