NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Linux Rerenzhandbuch- Erweiterte Funktionen von BIND
Die meisten BIND-Implementierungen verwenden f�r die Dienste zur Aufl�sung von Namen oder als Autorit�t f�r bestimmte Domains oder Sub-Domains nur named. Die Version 9 von BIND verf�gt jedoch auch �ber eine Reihe weiterer Features, die - korrekte Konfigurierung und Verwendung vorausgesetzt - einen sichereren und effizienteren DNS-Dienst gew�hrleisten.
Achtung
Einige dieser Features, wie z.B. DNSSEC, TSIG und IXFR (welche in den folgenden Abschnitten beschrieben werden), sollten nur in Netzwerkumgebungen mit Nameservern verwendet werden, die diese Features unterst�tzen. Wenn Ihre Netzwerkumgebung Nicht-BIND- oder �ltere BIND-Nameserver enth�lt, pr�fen Sie bitte, ob es daf�r verbesserte Features gibt, bevor Sie sie verwenden.
Alle hier vorgestellten Features werden im BIND 9 Administrator Reference Manual detaillierter beschrieben. Unter Abschnitt 12.7.1 finden Sie mehr Informationen.
12.5.1. DNS-Protokoll-Erweiterungen
BIND unterst�tzt Incremental Zone Transfers (IXFR), bei denen Slave-Server nur die aktualisierten Teile einer Zone, die auf einem Master-Name-Server modifiziert wurden, heruntergeladen werden. Der standardm��ige TransferProcess erfordert, dass auch bei der kleinsten �nderung die gesamte Zone an alle Slave-Name-Server �bermittelt wird. F�r sehr popul�re Domains mit sehr gro�z�gigen Zone-Dateien und vielen Slave-Name-Servern macht IXFR den Benachrichtigungs- und Update-Prozess weniger ressourcenintensiv.
Beachten Sie bitte, dass IXFR nur zur Verf�gung steht, wenn Sie f�r �nderungen der Master-Zonen-Records dynamisch updaten verwenden. Wenn Sie Zone-Dateien manuell bearbeiten, um �nderungen durchzuf�hren, verwenden Sie AXFR. Weitere Informationen �ber das dynamische Updaten finden Sie im BIND 9 Administrator Reference Manual. Unter Abschnitt 12.7.1 finden Sie mehr Informationen.
12.5.2. Mehrere Ansichten
Durch Verwendung der view-Anweisung in named.conf, kann BIND verschiedene Informationen bereitstellen, abh�ngig von welchem Netzwerk eine Anforderung gestellt wurde.
Dies ist vor allem dann n�tzlich, wenn Sie nicht m�chten, dass externe Clients einen bestimmten DNS-Dienst ausf�hren oder bestimmte Informationen sehen k�nnen, w�hrend Sie dies auf dem lokalen Netzwerk internen Clients erm�glichen.
Die view-Anweisung verwendet die match-clients-Option, um IP-Adressen oder ganze Netzwerke zu vergleichen und diesen spezielle Optionen und Zone-Daten zu geben.
12.5.3. Sicherheit
BIND unterst�tzt eine Reihe verschiedener Methoden, um das Updaten von Zonen auf Master- oder Slave-Nameservern zu sch�tzen:
DNSSEC — Abk�rzung f�r DNS SECurity. Dieses Feature ist f�r Zonen, die mit einem Zonenschl�ssel kryptographisch signiert werden, bestimmt.
Auf diese Weise kann sichergestellt werden, dass die Informationen �ber eine spezielle Zone von einem Nameserver stammen, der mit einem bestimmten privaten Schl�ssel signiert wurde, und der Empf�nger �ber den �ffentlichen Schl�ssel dieses Nameservers verf�gt.
Version 9 von BIND unterst�tzt auch die SIG(0) �ffentlicher/privater Schl�ssel Methode f�r die Authentifizierung von Nachrichten.
TSIG — Abk�rzung f�r Transaction SIGnatures. Dieses Feature erlaubt die �bertragung von Master zu Slave nur dann, wenn ein gemeinsam verwendeter geheimer Schl�ssel auf beiden Name-Servern existiert.
Dieses Feature unterst�tzt die auf der IP-Adresse basierende Methode der Transfer-Authorisierung. Somit muss ein unerw�nschter Benutzer nicht nur Zugriff auf die IP-Adresse haben, um die Zone zu �bertragen, sondern auch den geheimen Schl�ssel kennen.
Version 9 von BIND unterst�tzt auch TKEY, eine weitere Methode der Autorisierung von Zone-�bertragungen auf der Basis eines gemeinsam verwendeten geheimen Schl�ssels.
12.5.4. IP-Version 6
Die Version 9 von BIND kann mit den A6 Zone-Records Name-Service f�r die IP-Version 6 (IPv6)-Umgebungen zur Verf�gung stellen.
Wenn Ihre Netzwerkumgebung sowohl �ber Ipv4- als auch IPv6-Hosts verf�gt, k�nnen Sie den lwresd Lightweight-Resolver-Daemon in Ihren Netzwerk-Clients verwenden. Dieser Daemon ist ein sehr effektiver Caching-Only-Name-Server, der die neuesten A6- und DNAME-Records versteht, die mit Ipv6 verwendet werden. Auf der lwresd-man-Seite finden Sie weitere Informationen hierzu.