分类:
2015-11-03 10:08:05
BIND9提供的rndc(remote name daemon control)功能,其实是BIND 8的rnc的延伸,方便了系统管理者远端或本地来管理DNS服务器。
rndc
1:本地管理DNS
生成rndc.key文件
输入命令:
生成/etc/rndc.key文件,类似这样的密钥
生成rndc.conf文件
替换secret 密钥
将rndc.conf 上面部分的secret 密钥替换成rndc.key文件的secret密钥
(上面部分的secret密钥我已经替换成rndc.key文件的secret的密钥了,故而上下不一样,默认是一样的)
把/etc/rndc.conf下面这段文字拷贝到/etc/named.conf文件末尾:
添加了密钥的named.conf文件
见图解:
重点:
也就是说rndc.key rndc.conf namd.conf文件里的secret密钥要一致
测试,看是否设置成功
重启namd服务,查看日志:
输入命令:tail /var/log/messages
出现这行,就表示成功设置
使用rndc命令本地管理DNS
输入命令:rndc status
本地端管理DNS服务器成功设置
2、远端管理DNS
修改DNS服务器主机/etc/named.conf配置文件
只允许远端192.168.1.113管理DNS服务器
重启namd服务
输入tail /var/log/messages
远端可以管理了
远端192.168.1.113客户端的配置:
将远端的rndc.key 和rndc.conf 的secret设置成服务端的secret就可以额
不再赘述。
TSIG(Transaction Signature)功能是指主/辅DNS服务器之间的区域数据传输是经过加密的,
防止非法DNS服务器获取主DNS服务器的数据。
TSIG
生成key值
注意命令dnssec-keygen的用法,具体参数详情见man dnssec-keygen ,解释的非常完美。
注意key值存在Kmykey.+157+32361.key中
在主/辅的DNS服务器将keyz值分别添加到named.ocnf末尾
在主/辅DNS服务器的zone区域添加如下:
即可。
重启named服务
查看tail /var/log/messages 没有报错,说明配置成功,以后主/辅之间的区域数据传输使用
TSIG加密来传输数据。
==========================================================================================================
