Knot DNS od verze 3.5 umožňuje provést externí validaci nové verze zóny před její aktualizací. Článek popisuje využití pro validaci (nejen) .CZ zóny.
Nová verze AKM v registru domén .CZ
Co to je AKM a jak funguje
Systém AKM, neboli Automated Keyset Management, je nástroj, pomocí něhož technický správce DNS prostřednictvím vystavení CDNSKEY záznamů na DNS může spravovat sadu klíčů u domény. Držitel/správce domény vystaví v DNS záznam CDNSKEY u domény a úkolem registru, resp. jeho subsystému AKM, je pravidelně skenovat existenci takového záznamu a při splnění definovaných podmínek takový záznam akceptovat, tj. v registru domén vytvořit a k doméně přiřadit, modifikovat nebo smazat stávající automaticky spravovaný keyset u domény.
RFC 9432: DNS Katalogové zóny
DNS zónu obvykle obsluhuje více autoritativních serverů, což je dokonce doporučeno z důvodu redundance. Velcí provozovatelé autoritativního DNS dokonce kombinují různé implementace name serverů, aby se vyhnuli úplnému výpadku infrastruktury v případě nějaké softwarové chyby. Pro synchronizaci obsahu zóny mezi autoritativními servery existuje pro DNS specifický mechanismus, který se nazývá transfer zóny. Je to osvědčený mechanismus, který podporují všechny běžné implementace DNS. Umožňuje jak transfer celé zóny (AXFR), tak inkrementální update (IXFR).
Knot DNS – DNSSEC (2)
V předchozím dílu jsme si představili základy fungování a provozu DNSSEC na serveru Knot DNS. Dnes navážeme popisem některých dalších funkcí tohoto serveru, které s DNSSEC souvisí.
Knot DNS – DNSSEC (1)
Internetový protokol DNS má počátky v roce 1983. Od svého vzniku prošel mnoha úpravami a je neustále rozvíjen. Mezi jeho nejvýznamnější rozšíření patří zabezpečení DNSSEC. O co jednodušší bylo v úvodním dílu zapnutí DNSSEC, o to složitější procesy probíhají pod kapotou. Dnes si přiblížíme jak DNSSEC funguje a jak ho lze efektivně provozovat se serverem Knot DNS.
Knot DNS – konfigurace
Abychom mohli server Knot DNS spustit, je třeba mu předložit nějakou konfiguraci. Konfigurace může být ve formě textového souboru nebo binární databáze. Pokud konfiguraci explicitně nezadáme, pokusí se démon použít konfiguraci z přednastaveného umístění, které je určeno při překladu programu. Nejprve se zkouší konfigurační databáze (většinou /var/lib/knot/confdb) a pokud neexistuje, zkouší se konfigurační soubor (většinou /etc/knot/knot.conf). Konfigurací může být prázdný soubor nebo prázdná databáze. Kromě démona knotd, využívá konfiguraci i nástroj knotc na ovládání démona, nástroj keymgr na správu DNSSEC a další.
Knot DNS – zónové transfery
V úvodním dílu jsme si zprovoznili automatickou synchronizaci zóny na sekundárním serveru. Dnes si ukážeme jaké jsou další možnosti nastavení zónových transferů a co je jejich obsahem.
Knot DNS – správa zóny
V předchozím díle jsme si vytvořili jednoduchou zónu ve formě zónového souboru a dnes si povíme, jak s takovým souborem pracovat. Jedná se o nejčastější uživatelskou operaci a je užitečné jí porozumět.
Knot DNS – začínáme
Stále častěji se setkáváme s dotazy uživatelů, jak zprovoznit DNS server Knot DNS. Přestože se snažíme udržovat kvalitní dokumentaci, její obsah přímo nenabízí formu tutoriálu. Na praktických příkladech si tedy přiblížíme základy i pokročilejší možnosti tohoto software.
Generování a podepisování zóny .CZ prošlo servisní prohlídkou, původní součástky nahradil systém Knot DNS
Základní stavební kameny správy registru naší národní domény se ve svém okolí snažím popisovat poměrně často. Přesto (nebo právě proto) je stále „tečka cézet“ vnímáno jako něco, co prostě funguje. Obdobně jako když ráno sednete do auta a odvezete děti do školy. Počítáte s tím, že vám cesta zabere obvyklých 10 minut (nebo 15 pokud potřebujete doplnit palivo) a nebudete muset řešit žádné trable. I když víte, že je třeba pravidelně měnit olej, kontrolovat a měnit opotřebovávané součástky nebo opravovat závady vzniklé provozem, většina z vás tahle „vykolejení ze stavu funguje“ nechává na odborníky v servisu nebo aspoň na šikovného souseda a vyvaruje se mytí rukou od kolomazi nebo potřeby znát jaký typ brzdových destiček potřebuje. Moderní vozy vás dokáží o nutnosti zásahu informovat a vy potřebujete jen znát správné telefonní číslo. Přesto, že člověku na druhé straně úplně nerozumíte, protože máte základní povědomí o fungování auta, dokážete ho pochopit.