dnssigner(1)

NÉV

dnssigner - aláírást ad a DNS zónafájlokhoz

ÁTTEKINTÉS

dnssigner Cm signer-name alapértelmezett-aláíró Cm boot-file fájl Cm debug-file fájl Cm out-dir könyvtár Cm seq-no szám .OO .CM expiration-time .OO Po Cm + .NS | .NS Cm = ) Oc .NS idő .OC Cm hide Cm noaxfr Cm nosign Cm verify Cm update-zonekey [ -d ] Ns szint

LEÍRÁS

A dnssigner (aláírja a DNS zónafájlokat) egy eszköz aminek segítségével aláírásokat generálhatunk a DNS (Domain Name System - Tartomány Név Rendszer) erőforrás bejegyzésekhez. A program generál NXT bejegyzéseket is minden zónára.

Cm signer-name alapértelmezett-aláíró: Megadja az aláíráshoz használandó kulcs nevét, ha nem definiáltunk aláírót a boot fájl Li $SIGNER direktívája segítségével.

Cm boot-file fájl: Megadja a dnssigner vezérlő fájlját, aminek a formátuma megegyezik a BIND-4 "named.boot " fájléval.

Cm debug-file fájl: Átirányítja a hibakereső (debug) kimenetet a megadott fájlba ; alapértelmezésben a "signer_out-ba" az aktuális könyvtárban.

Cm out-dir könyvtár: Kiírja az aláírt fájlokat a megadott könyvtárba ; alapértelmezésben "/tmp-be ."
.SY MEGJEGYZÉS : A könyvtárat teljes elérési útvonallal kell megadni, a relatív elérési útvonalak nem biztos, hogy működnek.

Cm expiration-time .OO Po Cm + .NS | .NS Cm = ) Oc .NS idő: Időpont amikor az aláírás bejegyzések lejárnak. Ha az idő argumentum előtt az "Cm =" vagy a no jeleket használjuk ( pl. .DO Op Cm = .NS idő .DC ) , a program az időt abszolut időnek tekinti másodpercben (az érték elérésekor járnak le a bejegyzések.) ( Sy MEGJEGYZÉS : ezeket az időket a program "Universal Time"-ként kezeli. ) Ha megadjuk a "Cm +" jelet .PQ pl. Dq Cm + Ns idő , az idő argumentumot a program a jövőbe mutató offsetként kezeli.
Ha a lejárati időt ( .CM expiration-time ) nem adjuk a meg a parancssorban, a program azt 3600*24*30 másodpercnek veszi (30 nap).

Cm seq-no szám: A SOA bejegyzésben található sorozat számot a megadott szám értékre állítja be. Ha nem állítjuk be ezt a paramétert, a program a sorozat számot automatikusan az aktuális időből rakja össze. Force the serial number in the SOA records to the specified value.

Cm hide: Ezen kapcsoló hatására, a joker bejegyzéseket tartalmazó zónákban lévő NXT bejegyzések a .LI *.<zone> -ra fognak mutatni, mint következő hostra. Ennek az opciónak az az értelme, hogy elrejt minden információt az érvényes nevekről az adott zónában.

Cm noaxfr: Kikapcsolja a zóna transzfer aláírás bejegyzések generálását. Ezek hitelesítik a teljes zóna transzfert.

Cm nosign: Ha ezt a kapcsolót megadjuk, a program beolvasa a boot fájlokat, legenerálja a NXT bejegyzéseket és kiírja a zóna fájlt a kimeneti könyvtárba, nem generál viszont SIG bejegyzéseket. Ez a kapcsoló akkor hasznos, ha gyorsan ellenőrizni akarjuk a boot fájlok formátumát. Ezen túlmenően szét tudjuk válogatni segítségével a boot fájlokat DNSSEC sorrendbe.

Cm verify: Ha ezt a kapcsolót megadjuk, a dnssigner ellenőriz minden aláírt bejegyzést és kiír egy megerősítő üzenetet minden ellenőrzött SIG után. Ez a kapcsoló főleg arra jó, hogy megnézzük mennyi ideig tart az aláírások generálára.

Cm update-zonekey: Ha ezt a kapcsolót megadjuk, új bejegyzésekkel bővítjük a zónakulcsokat, amelyekkel a fájlokat aláírjuk. Használjuk ezt a kulcsot ha egy vagy több kulcsot frissítettünk. Ha a boot fájlokban nem adtunk meg zónakulcsokat, ez a kapcsoló megteszi ezt helyettünk. Ha nem adunk meg zónakulcsokat, az elsődleges névkiszolgálók vissza fogják dobni a zónát.

-d Ns szint: Hibakeresési (debug) szint, amivel a dnssignert futtatjuk. Ezek a szintek megegyeznek a NAMED (8) által használtakkal.

RÉSZLETEK

A dnssigner beolvassa a BIND-4 "named.boot " és zónafájljait, hozzájuk adja a SIG és NXT bejegyzéseket és kiírja a bejegyzéseket egy fájlba (függetlenül attól, hogy a zóna eredetileg hány include fájlból állt). A dnssigner által generált fájlok normális szöveg zónafájlok, ezeket tölti be a NAMED (8) és így szolgálja ki a zónát. A dnssigner elvárja, hogy a PRIVÁT kulcs(ok) a bemeneti könyvtárban legyenek.

Ezeket a kimeneti fájlokat kézzel szerkeszteni kockázatos lehet, mert ha megváltoztatjuk a fájl tartalmát, azzal érvénytelen lesz egy vagy több benne lévő aláírás. Ennek eredményeképpen a zónát nem lehet majd a NAMED (8-ba) tölteni vagy nem lehet majd a zónából bejegyzéseket letölteni. Sokkal jobb, ha a változtatásokat a dnssigner bemeneti fájlján hozzuk létre, és újra futtatjuk a dnssignert .

Amikor a dnssigner egy delegációs pontot talál, létrehoz egy speciális "<zone_name>.PARENT " nevű fájlt, amibe beleírja azokat az erőforrás bejegyzéseket, amiket a szülő zóna hitelesít a gyermek zónának (NS, KEY NXT). Ez azzal a szándékkal történik, hogy a gyermek include-olja majd ezt a fájlt, amikor betölti az elsődleges névkiszolgálókat. Ehhez hasonlóan minden zónafájl végén megtalálható a "Li #include <zone_name>.PARENT " parancs. A ".PARENT" fájlban lévő bejegyzések nem számítanak bele a SIG(AXFR) számításokba, mert ezek a bejegyzések rendszerint másik aláírási ciklusba tartoznak.

A Li Dq $SIGNER [ keyname ] direktívát megadhatjuk, ha meg akarjuk változtatni az aláírót az adott zónában. Ha a keyname argumentumot elhagyjuk, azzal kikapcsoljuk a hitelesítést. A kulcsokat akkor tölti be a program, amikor először hozzájuk nyúl. Csak azok a bejegyzések vesznek részt a SIG(AXFR) számításokban amelyeket a zóna aláíró hitelesített (azzal a kulcsal amivel a SOA is alá van írva). Általában nem javasolt, hogy egy zónán belül különböző kulcsokkal írjuk alá a különböző bejegyzéseket (kiv. ha dinamikus frissítés miatt jó).

KÖRNYEZET

A program nem használ környezeti változókat.

LÁSD MÉG

NAMED (8) , RSAREF dokumentáció, Internet-Draft draft-ietf-dnssec-secext-10.txt a biztonságos DNS-ről, vagy az újabb változatait.

SZERZŐ

Olafur Gudmundsson (ogud@tis.com)

KÖSZÖNET NYIVÁNÍTÁS

A program által használt titkosítási és matematikai algoritmusok az RSAREF vagy a BSAFE könyvtárakat használják.

MAGYAR FORDÍTÁS

Kovács Emese <emese@eik.bme.hu>