Ukážeme si několik vylepšení včetně změny konfigurace DNSSECu a také možnost jak pomocí šablon zpřehlednit a zjednodušit konfiguraci vašeho DNS serveru.
DNSSEC
Od verze 2.3.0 se mění konfigurace DNSSECu, která se přesunula z nástroje keymgr do hlavního konfiguračního souboru knot.conf. Stále je možno používat i původní postup, ale doporučujeme ale přesun konfigurace do souboru, neboť původní způsob může být v budoucí verzi odstraněn. V souboru knot.conf vznikla nová sekce policy, která slouží k nastavení příslušné DNSSEC politiky. V politice není nutné specifikovat všechny parametry, v tom případě se použijí pro nenastavené parametry výchozí hodnoty uvedené v dokumentaci. Nově je také k dispozici automatická tvorba NSEC3 chainu včetně vygenerování NSEC3 SALT a jeho pravidelného přegenerování pro obtížnější procházení zóny nezvanými návštěvníky. Minimalistická konfigurace DNSSECu pak může vypadat následovně
zone:
- id: example.com
dnssec-signing: on
dnssec-policy: default
Šablony
Šablony umožňují definovat společné parametry pro skupinu zón. Stejně jako u politiky existuje speciální šablona s názvem default, která se použije v případě, že není žádná jiná šablona definovaná. V šabloně můžete definovat stejné parametry jako přímo v zóně. Pokud například přecházíte z DNS serveru BIND a máte soubory ve tvaru db.example.com můžete do výchozí šablony použít direktivu file: “db.%s“, kde %s je zástupný symbol pro doménové jméno. Ve spojení s DNSSECem by mohla šablona vypadat následovně:
template
- id: default
file: "db.%s"
dnssec-signing: on
dnssec-policy: default
a následně je možné definovat všechny domény pouze jejich jménem v sekci zone
zone: - id: example.com - id: example.org - id: example.net
Pro zájemce o toto téma jsou v Akademii CZ.NIC přichystány kurzy Principy a správa DNS a DNSSEC – Zapezpečení DNS, na kterých se posluchači podrobněji seznámí s konfigurací (nejen) KnotDNS a vyzkouší si také zmiňované postupy v praxi.
Přihlásit se na tyto kurzy je možné na akademie.nic.cz.
