Tagit: Zentyal linux dns slave, zentyal bind secondaries
Verkkotunnuksella on hyvä olla useampi kuin yksi DNS-palvelin, ja esimerkiksi Viestintävirasto vaatii vähintään kahta nimipalvelinta .fi-verkkotunnukselle. Ohjeen skenaariossa käytössä on Active Directory -toimialueohjain DNS-palvelulla, joka toimii verkkotunnuksen pääkoneena (master). Toiseksi nimipalvelimeksi asennetaan tietokone Zentyal Linuxilla, jonka avulla säästetään muutamia satoja euroja lisenssikuluissa. Tietokoneessa on kaksi verkkokorttia - ensimmäinen sisäverkolle ja toinen ulkoverkolle, jolloin Zentyal toimii omana reitittimenään ja sillä on oma ulkoinen IP-osoite. Tietokoneen ulkoverkkoyhteys tulee kytkeä verkkoon ennen nykyistä palomuuria ja sisäverkkoyhteys palomuurin taakse. Näin siis tässä ohjeessa, voit vapaasti tehdä omat verkkoratkaisusi.
Alkutoimenpiteenä Windows DNS-pääkoneen asetuksista tulee laittaa päälle "BIND secondaries" -valinta. Tämä löytyy DNS-MMC > palvelimen Properties > Advanced -välilehdeltä (kts. kuva 1). Verkkotunnuksen siirto tulee sallia Zentyal-palvelimelle verkkotunnuksen asetuksista Zone Transfers -välilehdeltä.
|
| Kuva 1 |
Asennetaan Zentyal Linux (www.zentyal.org) Firewall-moduulilla.
Kun Zentyal on toiminnassa, asennetaan DNS Service -moduuli web-hallinnasta Software Management > Zentyal Components (kts. kuva 2). DNS-palvelua EI aktivoida Module Status -sivulta.
Muodostetaan SSH- tai paikallinen konsoliyhteys Zentyaliin. Muokataan DNS-palvelimen (BIND9) verkkotunnustiedostoa (zone) komennolla sudo nano /etc/bind/named.conf.local . Lisätään verkkotunnuksen määritelmä tiedoston loppuun (kts. kuva 3):
zone "verkkotunnus.fi" {
type slave;
file "/var/cache/bind/verkkotunnus.fislave";
masters { xxx.xxx.xxx.xxx; };
allow-transfer { none; };
};
Korvaa verkkotunnus.fi omalla verkkotunnuksellasi ja xxx.xxx.xxx.xxx DNS-palvelun pääkoneen IP-osoitteella. IP-osoite voi olla sisäinen tai ulkoinen - sisäinen ei varmasti olisi pahitteeksi. Korvaa myös file:n tiedostonimi sopivalla nimellä /var/cache/bind/ -kansiossa, jonne BINDillä on kirjoitusoikeus. Tiedostoa ei tarvitse erikseen tehdä, vaan se luodaan automaattisesti. type slave määrittää, että verkkotunnuksen tiedot kopioidaan muilta palvelimilta, mastereilta. allow-transfer { none; }; määrittää, että verkkotunnuksen tietoja ei voida kokonaisuudessaan siirtää tältä palvelimelta - tämä on tavallisesti BINDin oletusasetus, mutta Zentyalin versio haluaa, että se määritetään erikseen.
Ladataan verkkotunnukset kommennolla sudo /etc/init.d/bind9 reload . Siirron onnistumista voi kokeilla lukemalla DNS-tiedoston komennolla sudo cat /var/cache/bind/verkkotunnus.fislave .
| 
|
| Kuva 2 | Kuva 3 |
DNS-palvelun portit (53 TCP & UDP) avataan Zentyalin web-hallinnasta Firewall > Packet Filter > "Filtering rules from external networks to Zentyal":n alta painetaan Configure rules. Tehdään uusi sääntö DNS-palvelulle (kts. kuva 4) ja tallennetaan muutokset.
DNS-palvelin on nyt toiminnassa, mutta BIND kertoo palvelinohjelmiston versionumeron sitä kysyttäessä, mikä on tietoturvariski. Versionumerokyselyn vastausta voidaan muuttaa /etc/bind/named.conf.options -tiedostosta lisäämällä tiedoston loppuun, kuitenkin aaltosulkujen sisään, määritys version "vastaus kyselyyn"; (kts. kuva 5). Tallennuksen jälkeen käynnistetään BIND uudelleen komennolla sudo /etc/init.d/bind9 restart .
| 
|
| Kuva 4 | Kuva 5 |
Katso myös ohjesarjan toinen osa DNS master- ja slave-palvelimen asennus Debian Linuxille.