Kozupon.com    
 
 BIND9 rndc.keyの作り方


BIND9の魅力の一つは、BIND8と違って共通暗号化通信が使えること。
hmac-md5の暗号鍵を使って通信ができる。したがって、ここではその設定方法を記載する。


◆ BIND9鍵の作成と設定

1.鍵の作成

適当なワークディレクトリで鍵を作る。
# cd /tmp

# dnssec-keygen -a HMAC-MD5 -b 256 -n USER [bindをいごかすユーザ名]    ←俺の場合、namedというUSERで行った。

# ls -al

省略
-rw------- 1 root root 67 Oct 11 19:55 Knamed.+157+53232.key
-rw------- 1 root root 101 Oct 11 19:55 Knamed.+157+53232.private
省略

.key = パブリックキー
.private = プライベートキー


2.鍵の設定

rndc.keyファイルの作成。
# cd /var/named

パブリックキーは以下、
# more /tmp/Knamed.+157+53232.key
named. IN KEY 0 2 157 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
赤の部分は全て同じkeyをコピペする。

# vi rndc.key
key "rndc-key" {
algorithm hmac-md5;
secret "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx";
};

secretのところにパブリックキーの内容を入れる。

やり方その1)named.confへパブリックキーの内容をコピペする方法
# vi named.conf
省略
key "rndc-key" {
algorithm hmac-md5;
secret "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx";
};

controls {
inet 127.0.0.1 port 953
allow { 127.0.0.1; } keys { "rndc-key"; };
};

やり方その2)rndc.keyファイルが既に有って、rndc.confを作ってnamed.confへrndc.keyをincludeする方法
# vi rndc.conf
# rndc.conf (based for : dnssec-keygen)
options {
default-server localhost;
default-key rndc_key;
};

key rndc_key {
algorithm "hmac-md5";
secret "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx";
};

server localhost {
key rndc_key;
}

# vi named.conf
省略
include "rndc.key"

上記を追加。

やり方その3)CentOS4.3での設定(chroot)

# rndc-confgen -b 256 -u named >> /var/named/chroot/etc/rndc.conf
rndc.confが出来るので、

# more rndc.conf
# Start of rndc.conf
   key "rndckey" {
   algorithm hmac-md5;
   secret "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx";
};
省略

上記全てをコピー、以下のようにrndc.keyファイルを作ってペーストする。

# vi rndc.key
key "rndckey" {
   algorithm hmac-md5;
   secret "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx";
};

やり方その4)CentOS4.3でrndc.keyを作らない方法
# rndc-confgen -b 256 -u named >> /var/named/chroot/etc/rndc.conf

# vi rndc.conf
# Start of rndc.conf
key "rndckey" {
   algorithm hmac-md5;
   secret "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx";
};

#options {
#   default-server localhost;
#   default-key "rndckey";
#};

※→ # controls {
※→ # inet 127.0.0.1 port 953
※→ # allow { 127.0.0.1; } keys { "rndckey"; };
※→ #};

印のコメントを外す。

# vi named.conf
省略
include "/etc/rndc.conf"

named.confへ上記を追加。

注:やり方その1〜その4迄については、各Linuxのディストリビューションによってやり方が違うので参考として理解しておくこと。

以上


 
 
 



Copyright 2005 Kozupon.com.