Product SiteDocumentation Site

6.20.5. Bind

Основные файлы настройки DNS:
  • /etc/named.conf — основной файл конфигурации, содержит в себе ссылки на остальные конфигурационные файлы;
  • /etc/bind/options.conf — файл для глобальных настроек службы;
  • /etc/bind/rndc.conf — получить информацию DNS об удаленном сервере;
  • /etc/bind/local.conf — файл для настроек зоны DNS;
  • /var/lib/samba/bind-dns/named.conf — инструмент для динамического обновления записей DNS.
Конфигурационный файл BIND 9 состоит из разделов, операторов и комментариев. Правила синтаксиса файла named.conf:
  • список IP должен быть разделен символом «;», можно указывать подсеть в формате 192.168.0.1/24 или 192.168.0.1/255.255.255.0, (для исключения IP-адреса перед ним нужно поставить знак !);
  • строки начинающиеся с символа «#», «//» и заключенные в «/*» и «*/» считаются комментариями;
  • в файлах описания зон символ @ является переменной, хранящей имя зоны, указанной в конфигурационном файле named.conf или в директиве @ $ORIGIN текущего описания зоны;
  • каждая завершенная строка параметров должна завершаться символом «;».
В таблице Разделы конфигурационного файла bind приведены некоторые разделы файла конфигурации.

Таблица 6.35. Разделы конфигурационного файла bind

Раздел
Описание
acl
Позволяет задать именованный список сетей. Формат раздела: acl имя_сети {ip; ip; ip; };
controls
Объявляет каналы управления, которые будут использоваться утилитой rndc
dnssec-policy
Описывает ключ DNSSEC и политику подписи для зон
key
Указывает ключевую информацию для использования при аутентификации и авторизации с использованием TSIG
:any:key-store
Описывает хранилище ключей DNSSEC
logging
Указывает, какую информацию регистрирует сервер и куда отправляются сообщения журнала
options
Задает глобальные параметры конфигурационного файла, управляющие всеми зонами
parental-agents
Определяет именованный список серверов для включения в списки родительских агентов основной и дополнительной зон
primaries
Определяет именованный список серверов для включения в основные и дополнительные зоны или списки уведомлений
server
Устанавливает определенные параметры конфигурации для каждого сервера
tls
Указывает информацию о конфигурации для соединения TLS
http
Указывает информацию о конфигурации для HTTP-соединения
trust-anchors
Определяет якоря доверия DNSSEC: при использовании с ключевым словом Initial-key или Initial-ds якоря доверия поддерживаются в актуальном состоянии с помощью обслуживания якоря доверия RFC 5011; при использовании со static-key или static-ds ключи являются постоянными.
zone
Определяет описание зон(ы)
В таблице Основные параметры конфигурационного файла bind описаны некоторые параметры файла /etc/bind/options.conf. Для получения более подробной информации следует обратиться к man странице named.conf(5).

Таблица 6.36. Основные параметры конфигурационного файла bind

Опция
Описание
directory
Указывает каталог расположения таблиц зон
listen-on
Определяет адреса IPv4, на которых сервер прослушивает DNS-запросы
listen-on-v6
Определяет адреса IPv6, на которых сервер прослушивает DNS-запросы
allow-query
IP-адреса и подсети, от которых будут обрабатываться запросы. Если параметр не задан, сервер отвечает на все запросы
allow-transfer
Устанавливает возможность передачи зон для slave-серверов
allow-query-cache
IP-адреса и подсети, которые могут получить доступ к кешу этого сервера
allow-recursion
IP-адреса и подсети, от которых будут обрабатываться рекурсивные запросы (для остальных будут выполняться итеративные запросы). Если параметр не задан, сервер выполняет рекурсивные запросы для всех сетей
pid-file
Указывает путь к файлу, в который сервер записывает идентификатор процесса
tkey-gssapi-keytab
Устанавливает файл таблицы ключей KRB5, который будет использоваться для обновлений GSS-TSIG. Это файл таблицы ключей KRB5, который можно использовать для обновлений GSS-TSIG. Если этот параметр установлен, а tkey-gssapi-credential не установлен, обновления разрешены с любым ключом, соответствующим участнику в указанной вкладке ключей
minimal-responses
Контролирует, добавляет ли сервер записи в разделы полномочий и дополнительных данных. При значении yes сервер добавляет записи в авторитетные и дополнительные разделы только тогда, когда такие записи требуются протоколом DNS (например, при возврате делегирования или отрицательных ответах). Это обеспечивает лучшую производительность сервера, но может привести к увеличению количества клиентских запросов
max-cache-ttl
Указывает максимальное время (в секундах), в течение которого сервер кеширует обычные (положительные) ответы. Максимальный срок кеша по умолчанию — 04800 (одна неделя)
forward
Позволяет указать каким образом сервер обрабатывает запрос клиента. При значении first DNS-сервер будет пытаться разрешать имена с помощью DNS-серверов, указанных в параметре forwarders. Если разрешить имя с помощью данных серверов не удалось, то попытаться разрешить имя самостоятельно. Если указать значение none, сервер не будет пытаться разрешить имя самостоятельно
forwarders
DNS-сервер, на который будут перенаправляться запросы клиентов
dnssec-validation
Включает проверку DNSSEC в именованных файлах. Если установлены значения auto (по умолчанию) и yes, проверка DNSSEC включена. Если установлено значение no, проверка DNSSEC отключена
type
Указывает тип зоны, описываемой в текущем разделе. Тип зоны может принимать следующие значения:
  • forward — указывает зону переадресации, которая переадресовывает запросы, пришедшие в эту зону;
  • hint — указывает вспомогательную зону (данный тип содержит информацию о корневых серверах, к которым сервер будет обращаться в случае невозможности найти ответ в кеше);
  • master — указывает работать в качестве мастер сервера для текущей зоны;
  • slave — указывает работать в качестве подчиненного сервера для текущей зоны.