DNS サーバをインストールするには、 YaST を起動して ソフトウエア+ソフトウエア管理 を選択します。 そこからさらに ビュー+パターン を選択し、 DHCP and DNS Server を選択してください。あとはインストール処理を完了するため、 個別のパッケージのインストールについて確認を行なってください。

YaST DNS モジュールを利用することで、お使いのローカルネットワークに対する DNS サーバの設定を行なうことができます。最初にモジュールを起動したときには ウイザードが起動し、サーバを起動するにあたっていくつか決めておかなければならない 基本設定について質問が行なわれます。この初期設定作業はサーバの基本的な設定を 行なうもので、アクセス制御 (ACL) やログ記録、 TSIG 鍵のオプションなど、 高度な設定作業については、熟練者モードをご利用ください。

15.3.2. 熟練者向け設定¶

モジュールを起動したあと、 YaST では複数の設定オプションを含んだウインドウを 表示します。これらを設定することで、 DNS サーバに対して基本的な機能を設定 することができます:

15.3.2.1. 起動¶

起動 では、 DNS サーバをシステム起動時に開始するか、もしくは 手動で起動するかを選択することができます。 DNS サーバを今すぐに起動 したい場合は、 今すぐ DNS サーバを起動 を押してください。 また、 DNS サーバを停止したい場合は、 今すぐ DNS サーバを停止 を押してください。現在の設定を保存する場合は、 設定を保存して今すぐ DNS サーバを再起動する を押してください。 また、 ファイアウオールでポートを開く を押すことで、 ファイアウオールで DNS ポートを開くことができるほか、 ファイアウオールの詳細 でファイアウオール設定を変更する こともできます。

それ以外にも LDAP サポートを有効にする を選択すると、 ゾーンファイルは LDAP データベースで管理されるようになります。 LDAP データベース 内のゾーンデータに対する変更は、 DNS サーバが再起動されたり設定を読み込み なおしたりしたタイミングで読み直されます。

15.3.2.2. フォワーダ¶

お使いの DNS サーバが要求に応答できない場合、 フォワーダ で設定した転送先に対して要求を転送します。 フォワーダの一覧 に手動で追加してください。ダイアルアップ接続のなどのようにフォワーダが随時 変わるような場合は、 netconfig が設定を扱います。 netconfig について、詳しくは man 8 netconfig で表示される マニュアルページをお読みください。

15.3.2.3. 基本オプション¶

このセクションでは、サーバに対する基本的な設定を行ないます。 オプション メニュー内から設定したい項目を選び、必要な 値を設定してください。 追加 ボタンを押すと新しい項目を 追加することができます。

15.3.2.4. ログ¶

DNS サーバのログ機能について、何を採取するのか、どのように採取するのかを ログ から設定します。 ログ種類 では、 DNS サーバがログデータをどこに書き込むのかを設定します。 /var/log/messages のようなシステム全体のログに対して 記録を行なうには システムログ を、個別のファイルに保存する には ファイル を選択します。後者の場合はログファイル名と メガバイト単位での最大サイズ、および保存する過去ログの最大数をそれぞれ指定して ください。

さらなるオプション設定は、 追加ログ から利用できます。 すべての DNS への問い合わせをログ記録 を選択すると、 それぞれの 問い合わせに対し、ログ記録を行なうように なります。ログファイルは非常に大きいものになるため、デバッグ目的以外の使用は 適切とは言えません。また、 DHCP サーバや DNS サーバの間でのゾーン更新 トラフィックを記録するには、 ゾーン更新をログに記録 を 選択してください。また、マスターサーバからスレーブサーバに対して行なわれた ゾーン転送トラフィックを記録するには、 ゾーン転送をログに記録 を選択してください。詳しくは 図15.4「DNS サーバ: ログ」 を ご覧ください。

図15.4 DNS サーバ: ログ¶

15.3.2.5. ACL¶

このダイアログでは、 ACL (アクセス制御リスト) を設定し、アクセスに対する制限 を設定することができます。それぞれ固有の 名前 を設定した あとは、 値 IP アドレス (ネットマスク付き、または単独) の欄に下記の形式で入力します:

{ 192.168.1/24; }

設定ファイルの書式仕様により、アドレスはセミコロン (;) で終わり、かつ 中括弧でくくる必要があります。

15.3.2.6. TSIG 鍵¶

TSIG (トランザクション署名) の主な目的は、 DHCP や DNS サーバ間での通信に ついて、機密を保持することにあります。詳しい説明は 15.8項 「機密を保持する通信」 で行なっています。

TSIG 鍵を生成するには、 鍵 ID の欄に固有の名前を入力し、 保存先のファイル名 (ファイル名) を指定します。最後に 生成 を押すと鍵が生成されます。

以前に作成した鍵を使用するには、 鍵 ID の項目に何も記入 しない状態で、鍵ファイルが保存されている場所を ファイル名 で指定します。最後に 追加 を押すと追加することができます。

15.3.2.7. DNS ゾーン (スレーブゾーンの追加)¶

スレーブゾーンを追加するには、 DNS ゾーン を選んでから ゾーン種類として スレーブ を選択し、ゾーンの名前を入力 してから 追加 を押します。

ゾーンエディタ のサブダイアログでは、 マスター DNS サーバの IP を指定し、どのサーバからデータを取得するのかを 設定してください。また、サーバに対するアクセスを制限するには、 ACL の一覧から それぞれ選択してください。

15.3.2.8. DNS ゾーン (マスターゾーンの追加)¶

マスターゾーンを追加するには、 DNS ゾーン を選んでから ゾーン種類として マスター を選択し、ゾーンの名前を入力 してから 追加 を押します。 マスターゾーンを追加する場合は、それら対応する逆引きゾーンも必要です。 たとえば 192.168.1.0/24 というサブネット内にあるホスト を示す example.com というドメインを追加する 場合は、それらの IP アドレス範囲をカバーする逆引きゾーンを追加する必要が あります。たとえば 1.168.192.in-addr.arpa のように 設定します。

15.3.2.9. DNS ゾーン (マスターゾーンの編集)¶

マスターゾーンを編集するには、 DNS ゾーン を選んでから 一覧内のマスターゾーンのいずれかを選択し、 編集 を押します。 表示されるダイアログにはいくつかのページが含まれます: 基本 (最初に表示されるページ), NS レコード, MX レコード, SOA, レコード があります。

図15.5「DNS サーバ: ゾーンエディタ (基本)」 で示されている基本ダイアログでは、 動的 DNS とクライアントに対するゾーン転送のアクセスオプション、および スレーブのネームサーバを設定することができます。ゾーンに対して動的な更新を 許可するには、 動的な更新の許可 を選択して関連する TSIG 鍵を選んでください。この鍵は更新動作が始まる前までに設定しておかなければ なりません。ゾーン転送を許可するには、必要な ACL を選んでください。 この段階までに ACL を設定しておかなければなりません。

基本 ダイアログでは、ゾーン転送を有効にするかどうかを 指定します。また、どのホストからゾーンをダウンロードできるかを ACL で指定します。

図15.5 DNS サーバ: ゾーンエディタ (基本)¶

ゾーンエディタ (NS レコード)

NS レコード ダイアログでは、指定したゾーンに対する 代替のネームサーバを設定することができます。一覧内にはご自身が管理される ネームサーバだけが含まれていることをご確認ください。レコードを追加するには、 追加するネームサーバ の欄にアドレスを入力し、 追加 を押します。詳しくは 図15.6「DNS サーバ: ゾーンエディタ (NS レコード)」 をご覧ください。

図15.6 DNS サーバ: ゾーンエディタ (NS レコード)¶

ゾーンエディタ (MX レコード)

現在のゾーンに対してメールサーバを一覧に追加するには、まずそれぞれ適切な アドレスと値を入力します。入力を行なったら 追加 を押します。詳しくは 図15.7「DNS サーバ: ゾーンエディタ (MX レコード)」 をご覧ください。

図15.7 DNS サーバ: ゾーンエディタ (MX レコード)¶

ゾーンエディタ (SOA)

このページでは、 SOA (権威の開始) レコードを作成することができます。 各オプションについての説明は、 例15.6「/var/lib/named/example.com.zone ファイル」 を お読みください。

図15.8 DNS サーバ: ゾーンエディタ (SOA)¶

ゾーンエディタ (レコード)

このダイアログでは、名前解決の管理を行ないます。 レコードキー にホスト名を入力し、種類を選択してください。 A レコード を主に設定します。この場合、値には IP アドレスを入力します。また、 CNAME では別名を指定 します。なお、 NS や MX の 各レコードについては、それぞれ NS レコード や MX レコード で設定した情報について、より詳細な設定を 行なったり、部分的に修正したりする場合にお使いください。これら 3 種類の レコードでは、いずれも既存の A レコードを参照します。また、 PTR は逆引きゾーンを表わします。これは A レコードの逆を意味するもので、たとえば下記のように なります:

hostname.example.com. IN A 192.168.0.1
1.0.168.192.in-addr.arpa IN PTR hostname.example.com.

	逆引きゾーンの編集
正引きゾーンを追加したあと、メインメニューに戻ってから編集したい逆引きゾーン を選択して 基本 タブを表示すると、 以下のものから自動的にレコードを生成 チェックボックスを 利用することができるようになります。このチェックボックスを選択して ゾーンを選択すると、自動的に逆引きゾーンを生成することができます。 この方法を利用すると、正引きゾーンを書き換えるだけで自動的に逆引きゾーンにも 反映されるようになります。

openSUSE® システムでは、ネームサーバ BIND (Berkeley Internet Name Domain) が事前構築される形で提供されていて、 インストールを行なうだけですぐに動作するようになっています。そのため、 インターネット接続を利用できる環境であれば、ネームサーバを設定したあと、 ネームサーバのアドレスに 127.0.0.1 (つまり localhost) を 指定すれば、プロバイダから DNS サーバの情報を得ることなく名前解決ができる ことを示しています。この場合、 BIND はルートネームサーバから名前解決を 行なおうとするため、著しく動作が遅くなってしまいます。通常の運用であれば /etc/named.conf 内の forwarders 設定に対してプロバイダのネームサーバを設定して効率を高めますが、 このような方法で名前解決を行なう場合、そのネームサーバはそのゾーンに対し、純粋な キャッシュのみの ネームサーバとして動作することになります。 設定例はドキュメンテーション /usr/share/doc/packages/bind/config をお読みください。

	ネームサーバ情報の自動取得
インターネット接続やネットワーク接続の種類によっては、ネームサーバの情報を 自動的に現在の状況に合わせることができます。これを行なうには、 /etc/sysconfig/network/config ファイル内にある MODIFY_NAMED_CONF_DYNAMICALLY 変数を auto に設定してください。

ただし、責任ある団体でドメインが割り当てられない限りは、公式なドメインを設定 してはなりません。独自のドメインをお持ちの場合で、それがプロバイダ側の管理下 にあるものであっても使用しないほうがお勧めです。使用してしまうと、 BIND は 要求を転送してしまうためです。たとえばプロバイダ内の Web サーバなどから、 このドメインにアクセスできなくなってしまいます。

ネームサーバを開始するには、 root ユーザから rcnamed start コマンドを実行します。右側に緑色で 「done」 と表示されれば named (ネームサーバのプロセス) は正しく起動したことを示します。起動後は host プログラムや dig プログラムを 利用してローカルシステムからネームサーバの動作テストを行なうことができます。 既定のサーバに対して localhost を問い合わせ、 127.0.0.1 が 返却されれば成功です。応答が返されなかったり、正しいアドレスになっていなかった りした場合は、 /etc/resolv.conf に正しいネームサーバの アドレスが書かれていないか、もしくは全く設定されていないことが考えられます。 まずは最初のテストとして host 127.0.0.1 と入力してみてください。このコマンドは設定にかかわらず常に成功すべきもので あるため、これがエラーになるようであれば、まず rcnamed status を実行してサーバが 実際に動作しているかどうかを確認してください。ネームサーバが起動してなかったり、 期待通りの動作をしていなかったりした場合は、 /var/log/messages ファイルから原因を調査してください。

プロバイダが提供するネームサーバで転送機能が提供されている場合は (もしくは お使いのネットワークで転送機能の利用できるネームサーバが動作している場合は) 、 options セクション内の forwarders に、それらの IP アドレスを入力して ください。 例15.1「named.conf 内の転送設定」 に例を示します。 お使いの環境でそれぞれアドレス設定を変えてお使いください。

options { 
        directory "/var/lib/named";
        forwarders { 10.11.12.13; 10.11.12.14; };
        listen-on { 127.0.0.1; 192.168.1.116; };
        allow-query { 127/8; 192.168/16 };
        notify no;
        };

options 項目は localhost や 0.0.127.in-addr.arpa のゾーン項目の後に続く 項目です。 「.」 に対する type hint の項目も存在すべき項目です。それぞれのファイルをわざわざ編集する必要はなく、 そのままの形で動作するはずです。また、各項目の行末に 「;」 が付けられていることと、適切な箇所に中括弧が入っていることもあわせて ご確認ください。設定ファイル /etc/named.conf やゾーンファイルを編集したら、 rcnamed reload コマンドで BIND に対して設定を読み直すように指示してください。サーバを再起動すること でも同じことを行なうことができます。再起動を行なうには rcnamed restart コマンドを 入力してください。また、サーバを停止するには、 rcnamed stop と入力します。

BIND ネームサーバに対する全ての設定は、 /etc/named.conf ファイル内に保存されます。ただし、応答を返すべきドメインに対するゾーンデータ (ホスト名や IP アドレスなど) については、 /var/lib/named ディレクトリ内にある個別のファイルに保存します。ゾーンファイルについての詳細は 後述します。

/etc/named.conf ファイルは大きく分けて 2 つの領域に 分かれています。 1 つは options セクションで 一般的な設定を行ない、もう 1 つは zone セクションで ドメインごとの設定を行ないます。 logging セクションや acl (アクセス制御リスト) のセクションは 必要に応じて指定します。コメント行は # から書き始めるか、 もしくは // から書き始めます。 /etc/named.conf の最小限の設定は、 例15.2「/etc/named.conf の基本設定」 に示しているとおりです。

options { 
        directory "/var/lib/named"; 
        forwarders { 10.0.0.1; };
        notify no;
};

zone "localhost" in {
       type master;
       file "localhost.zone";
};

zone "0.0.127.in-addr.arpa" in {
        type master;
        file "127.0.0.zone";
};

zone "." in {
        type hint;
        file "root.hint";
};

logging {
        category default { null; };
};

zone "example.com" in {
      type master;
      file "example.com.zone";
      notify no;
};

zone "example.net" in {
      type slave;
      file "slave/example.net.zone";
      masters { 10.0.0.1; }; 
};

ゾーンファイルについては、 2 種類のものが必要です。 1 つはホスト名に対して IP アドレスを割り当てるもの、もう 1 つはその逆で、 IP アドレスに対する ホスト名を割り当てるものです。

	ゾーンファイル内でのドット (ピリオド、終止符) の使用
ゾーンファイル内では "." は重要な意味を持ちます。 ホスト名の最後が . で終わっていない場合、該当するゾーン が付加されます。完全修飾ドメイン名で指定したい場合は、さらにドメインが 付加されることを避けるため、 . で終わらなければ なりません。ネームサーバの設定ミスとしては、 "." を付け忘れていたり、 正しい位置に付けなかったりなどが、よくあります。

最初に考慮しなければならないことはゾーンのファイル名で、たとえば example.com というドメインに対しては、 example.com.zone のような名前を設定します。 たとえば 例15.6「/var/lib/named/example.com.zone ファイル」 のようになります。

1.  $TTL 2D 
2.  example.com. IN SOA      dns  root.example.com. ( 
3.               2003072441  ; serial
4.               1D          ; refresh
5.               2H          ; retry
6.               1W          ; expiry
7.               2D )        ; minimum
8.  
9.               IN NS       dns 
10.              IN MX       10 mail
11. 
12. gate         IN A        192.168.5.1 
13.              IN A        10.0.0.1 
14. dns          IN A        192.168.1.116 
15. mail         IN A        192.168.3.108 
16. jupiter      IN A        192.168.2.100
17. venus        IN A        192.168.2.101
18. saturn       IN A        192.168.2.102
19. mercury      IN A        192.168.2.103
20. ntp          IN CNAME    dns 
21. dns6         IN A6  0    2002:c0a8:174::

疑似ドメイン in-addr.arpa は、 IP アドレスからホスト名に 逆引きする際に利用します。アドレスのネットワーク部を逆順で表記したものを付加して ドメイン名とします。たとえば 192.168 のアドレスに対する逆引き疑似ドメインは、 168.192.in-addr.arpa になります。 例15.7「逆引き」 をご覧ください。

1.  $TTL 2D
2.  168.192.in-addr.arpa.   IN SOA dns.example.com. root.example.com. (
3.                          2003072441      ; serial
4.                          1D              ; refresh
5.                          2H              ; retry
6.                          1W              ; expiry
7.                          2D )            ; minimum
8.
9.                          IN NS           dns.example.com.
10. 
11. 1.5                     IN PTR          gate.example.com. 
12. 100.3                   IN PTR          www.example.com. 
13. 253.2                   IN PTR          cups.example.com. 

通常は、異なる BIND のバージョン間でも、問題なくゾーンの転送を行なうことが できます。

動的な更新 とは、マスターサーバ上のゾーンファイル内の 項目を追加したり変更したり、削除したりする操作のことを指します。この仕組みは RFC 2136 で規定されています。動的な更新は、任意指定の allow-update や update-policy の設定を行なうことで、ゾーンごとに個別の設定を行なうことができます。 動的に更新されるゾーンの場合、そのゾーンファイルは手作業で編集すべきではありません。

サーバに対して更新すべき項目を送信するには、 nsupdate コマンドを使用します。このコマンドに対する正確な文法については、 nsupdate の マニュアルページ (man 8 nsupdate) をお読みください。なおセキュリティ上の理由により、 15.8項 「機密を保持する通信」 で書かれているとおり、このような更新には TSIG 鍵を使用すべきものです。

機密を保持して通信するには、共有の機密鍵 (TSIG 鍵とも呼ばれます) をベースにした、 トランザクション署名 (TSIG) を利用して行ないます。この章では、このような鍵を どのようにして生成するのかと、その使い方について述べています。

機密を保持する通信は、異なるサーバ間の通信やゾーンデータの動的な更新を行なう 場合に必要となります。また、鍵をベースにしたアクセス制御を利用すると、単純に IP アドレスに依存した制御よりもより安全になります。

TSIG 鍵を生成するには、下記のコマンドを実行します (詳しくは man dnssec-keygen をお読みください):

dnssec-keygen -a hmac-md5 -b 128 -n HOST host1-host2

このコマンドを実行すると、下記のような 2 つのファイルが生成されます:

Khost1-host2.+157+34265.private Khost1-host2.+157+34265.key

鍵それ自身 (ejIkuCyyGJwwuN3xAteKgg== のような文字列) が 両方のファイル内に存在するはずです。通信時にこの鍵を使用するには、あらかじめ 2 つめのファイル (Khost1-host2.+157+34265.key) を リモートホスト側に安全な方法で (たとえば scp) 転送しておかなければなりません。 リモートのサーバでは host1 と host2 の間で機密通信を行なうため、 /etc/named.conf ファイル内で 鍵を設定しなければなりません:

key host1-host2 {
 algorithm hmac-md5;
 secret "ejIkuCyyGJwwuN3xAteKgg==";
};

	/etc/named.conf のファイルパーミッション
/etc/named.conf のパーミッション設定で、ファイルへの アクセスが正しく制限されていることを確認してください。このファイルの既定の パーミッションは 0640 で、所有者が root に、グループが named にそれぞれ設定されているはずです。パーミッションを設定する以外 にも、特別にアクセスを制限した別ファイルを作成し、そのファイルを /etc/named.conf から参照させる方法もあります。外部の ファイルを参照させるには、下記のように設定します: include "filename" ここで filename には、鍵ファイルの絶対パスを指定します。

host1 のサーバに対して host2 (アドレス 10.1.2.3) と通信する際、鍵を使用するように 設定するには、サーバ側の /etc/named.conf に 下記のルールを追加しなければなりません:

server 10.1.2.3 {
  keys { host1-host2. ;};
};

/etc/named.conf 側の設定ファイルにも、似たような 設定を行なわなければなりません。

通信の機密性を保持するには、 IP アドレスやアドレス範囲に対して設定した任意の ACL (アクセス制御リスト。ファイルシステムのアクセス制御リストと混同しないで ください) に TSIG 鍵を追加することもできます。たとえば下記のように設定します:

allow-update { key host1-host2. ;};

これらの詳細については、 BIND Administrator Reference Manual 内の update-policy で説明しています。

DNSSEC または DNS セキュリティは、 RFC 2535 で規定されています。 DNSSEC 向けのツールについては、 BIND マニュアル内で説明されています。

機密を保持すべきと考えるゾーンには、それに結びつけられた 1 つ以上のゾーン鍵が 存在しなければなりません。このゾーン鍵は、ホスト鍵と同様に dnssec-keygen で作成することができます。これらの鍵を生成 する際は、 DSA 暗号化アルゴリズムが使用されます。関連するゾーンファイルから $INCLUDE ルールを利用して、公開鍵を登録してください。

dnssec-signzone コマンドを利用すると、生成した鍵 (keyset- ファイル) のセットを作成することができます。 これを親ゾーンに対して機密を保持した通信で送信し、署名を実施してください。 あとは生成されたファイルを /etc/named.conf 内の 各ゾーンに登録してください。

さらなる情報や説明については、 bind-doc パッケージに含まれる BIND Administrator Reference Manual をお読みください。このパッケージは /usr/share/doc/packages/bind/ 内にファイルをインストールします。また、マニュアルや BIND に含まれている マニュアルページから参照されている各 RFC についても、それぞれお読みください。 また、 /usr/share/doc/packages/bind/README.SuSE には、 openSUSE での BIND について、最新情報を提供しています。