DNSSEC自動署名とファイル処理
auto-dnssec環境でファイルがどのように処理されるか知りたいのですが。
私の現在のセットアップ(非DNSSEC)は、ゾーンファイルを/var/named/dataに配置します。これらのファイルは、バインドサーバーによって読み取られます。
自動署名を有効にすると、ゾーンファイルは変更されますか?または、バインドは署名されたゾーンを内部に保持するだけですか?前者が発生した場合、PuppetはDNSゾーンを展開することをお勧めしません。
編集:この回答の以前のバージョンは逆方向でした-間違っていました。
自動署名を有効にすると、ゾーンファイルは変更されますか?
はい。 BINDは、構成の「動的」スタイルで指定したファイルを更新します。これは、通常、ファイル全体が書き換えられ、「$ INCLUDE」ディレクティブが失われたり、「標準」フォーマットに変換されたりすることを意味します。
手動でファイルに署名すると、元のゾーンファイルは変更されません。手動で署名されたファイルでは動的更新を使用できないため、トレードオフがあります。通常、元のゾーンファイルを手動で維持して手動署名を使用するか、nsupdateを使用して元のファイルを維持してBINDにゾーンを自動署名させます。補足:最後に、BINDがZSKキーを自動生成できないことを確認したため、手動でローテーションする(またはプロセスをスクリプト化する)必要があります。
BIND9.9で追加されたinline-signing機能を使用して、後者を実行します(BINDに、編集する署名されていないゾーンとは別に署名されたゾーンを維持し、ファイルを編集するときにそれらを更新します)。
現在、 https://kb.isc.org/article/AA-00626/0/Inline-Signing-in-ISC-BIND-9.9.0-Examples.html でのみ文書化されています。