Pseudo second level domain Basics

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

Klonen des Templates

Erstellen eines Nameservers laut Plan
Name ns.it2XX.int
Vorläufiger DNS ist der 192.168.X.88
Der Server ist autoritativ UND rekursiv validierend

Installation

  • apt update
  • apt install bind9 bind9-utils

Auf den Nameservern

Trust Anker einfügen


Optionen

  • cat /etc/bind/named.conf.options
options {
        directory "/var/cache/bind";

        forwarders { 192.168.X.88; };
        empty-zones-enable no;

        recursion yes;
        dnssec-validation auto;

        allow-query { any; };
};

Trust-Anker für Fake Root (.int)

KSK der Zone int vom Fake Root ermitteln
  • dig DNSKEY int @192.168.X.88 +short
Nur der Key mit Kennung 257 3 13 wird verwendet
Eintragen in /etc/bind/named.conf.options (siehe oben)
  • systemctl restart bind9

Zonenfestlegung

  • cat /etc/bind/named.conf.local
zone "it213.int" IN {
     type master;
     file "it213.int.signed";
};

zone "213.88.10.in-addr.arpa" IN {
     type master;
     file "213.88.10.in-addr.arpa";
};

Zonen selbst (unsigniert)

  • cat /var/cache/bind/it213.int
$TTL 300
@           IN SOA  ns.it213.int. technik.xinux.de. (
                        2011090204
                        14400
                        3600
                        3600000
                        86400
                    )
        IN NS      ns
        IN MX 10   mail

ns      IN A       10.88.213.21
www     IN A       10.88.213.22
mail    IN A       10.88.213.23
fw      IN A       10.88.213.1
db      IN A       10.88.213.24
app     IN A       10.88.213.25
git     IN A       10.88.213.26
monitor IN A       10.88.213.27
  • cat /var/cache/bind/213.88.10.in-addr.arpa
$TTL 300
@           IN SOA  ns.it213.int. technik.xinux.de. (
                        2011090204
                        14400
                        3600
                        3600000
                        86400
                    )
        IN NS      ns.it213.int.

1       IN PTR     fw.it213.int.
21      IN PTR     ns.it213.int.
22      IN PTR     www.it213.int.
23      IN PTR     mail.it213.int.
24      IN PTR     db.it213.int.
25      IN PTR     app.it213.int.
26      IN PTR     git.it213.int.
27      IN PTR     monitor.it213.int.

DNSSEC Schlüssel erzeugen

Forward Zone
  • dnssec-keygen -a RSASHA256 -b 2048 -n ZONE it213.int
  • dnssec-keygen -a RSASHA256 -b 4096 -f KSK -n ZONE it213.int
Reverse Zone
  • dnssec-keygen -a RSASHA256 -b 2048 -n ZONE 213.88.10.in-addr.arpa
  • dnssec-keygen -a RSASHA256 -b 4096 -f KSK -n ZONE 213.88.10.in-addr.arpa

DNSKEY einbinden

Forward
  • for k in Kit213.int*.key ; do echo "\$INCLUDE /var/cache/bind/$k" >> /var/cache/bind/it213.int; done
Reverse
  • for k in K213.88.10.in-addr.arpa*.key ; do echo "\$INCLUDE /var/cache/bind/$k" >> /var/cache/bind/213.88.10.in-addr.arpa; done

Zonen signieren

  • dnssec-signzone -A -N INCREMENT -o it213.int -t /var/cache/bind/it213.int
  • dnssec-signzone -A -N INCREMENT -o 213.88.10.in-addr.arpa -t /var/cache/bind/213.88.10.in-addr.arpa
Erzeugt
/var/cache/bind/it213.int.signed
/var/cache/bind/213.88.10.in-addr.arpa.signed
  • systemctl restart bind9

DS Record für Fake Root erzeugen

KSK anzeigen
  • dig DNSKEY it213.int @127.0.0.1 +short
DS erzeugen
  • dnssec-dsfromkey Kit213.int.+008+XXXXX.key
DS Eintrag an Fake Root weitergeben
Im Fake Root in Zone int einfügen
Beispiel
it213 IN DS 12345 13 2 ABCDEF123456....

Handling und Logging

  • systemctl restart bind9
  • journalctl -fu bind9
  • journalctl -u bind9 -g it213.int

Validierungstest

Forward Validierung
  • dig www.it213.int +dnssec
Antwort muss AD-Flag enthalten
Abgerufen von „http://wiki.ixheim.de/index.php?title=Pseudo_second_level_domain_Basics&oldid=67268