A ZoneFi l eGener at i onTools uppor t i ngt heVi ew Feat ur ei nt r oducedi nBI ND 9

(1)

(?9 k 7 i 芸 O ^l ^;S ⁿ ⁱ ô ^v ^f ê ^r ⁽ ^t ^s ² ^h ⁱ ^. ê ^t ^. ^≡, ^;;u â ^l ^t ^t û ^y ^r ô âfs Ê ^c ^d ⁱ ^:: ^:e ^t ^; Ônand" u m a n S t u d i e s ⁾

BI ND9 のビュー機能利用を支援するゾーンファイル自動生成ツール

佐々木重雄*

A ZoneFi l eGener at i onTools uppor t i ngt heVi ew Feat ur ei nt r oducedi nBI ND 9

Shi geo SASAKI

abs t r ac t

Thi spa , pe rpr e s e nt saz onef il eg e ne r at i ont oolt hatc r e at e sf or war da ndr e ve r s ez onef il e sf r om ma st e rone s . I tc anma i nt ai nmul t i pl edomai nsa ndmul t i pl e v i e ws ,whi l emos tofs i mul a rt ool sc an doo nl ys i ngl edoma i n.

The v i e wf e a t ur ewa si nt r oduc e di nBI ND ve r s i on9a ndi sus e f ulf orf ir e wal l ' e ds i t J e S .Suc has i t e ha smul t i pl ea c c e s sl i ne st ot he( g loba l)I nt e r ne t ,t oi t si nt r a ne t ,t oi t sDMZne tands oon,andi t s DNSs e r ve rha st or e pl ydi f fe r e ntDNSz onei nf or ma t i onde pe ndi ngonwhe r et heque r yc ome s ･The v i e w f e a t ur es uppor t st ol e taDNSs e r ve ra ns we rdi f fe r e nt l yde pe ndi ngont heI P a ddr e s s e soft he que r yc l i e nt s.

Thi spa pe ral s opoi nt so utt hec ommonmi s t ak e si nz one丘l ede s c r i pt i ons .A pa r to ft he m ar e i nt r oduc e dbyi nc or r e c tDNSma na ge me ntpr ogr a mswhi c ha r e,i nma nyc a s e,ol da ndnol onge r ma ･ i nt ai ne d.Cor r e c tz oneal ege ne r a t i o nt ool sc anr e duc et henumbe roft he m.Thei nf わr mat i onon t hemi s t ake si she l pf ulf ornotonl yt heu se r so ft het oolbuta ls oDNSadm i ni s t r at or swhowr i t ez one f

il e smanual l y.

1

動機

1. 1 BI ND とゾーンファイル

BI ND( Be r kl e yI nt e r ne tNameDomai n) は､最も広く使用されている DNSサーバの実装である｡ DNS サーバの管理は､しばしば難解と評価される

｡

これは BI ND の設定ファイルや､資源レコードの記述ファイルの､必要以上の複雑さによるところが大きいといえる｡ BI ND の資源レコード記述ファイル ( 本箱では､

以下､習慣に従い､ゾーンファイルと呼ぶ)は RFC

1034,1035[ 4,5] で定義される､ DNSサーバ間でやり取りするデータ ( ゾーン情報)と一対一に対応するもので､きめ細かい設定は可能であるが､データの維持管理には余計な神経を使う

｡

たとえば､正引き情報と､

単にそれを転置しただけのはずの逆引き情報を別々に管理しなければならない｡データを更新したなら､シリアル番号を増加させなければならないなど､ BI ND では､ゾーンファイルの管理は､人手で行なうのではなく､自動生成して運用することを前提としていると考えられる

｡

さらに､汎用ドメインを運用する場合､設定ファイルには､日本語などの非ラテン文字を記載

*秋田大学教育文化学部

することができず､エンコードしてからロードする必要があるなど､様々な点から､自動生成は必須である

といえる

｡

1. 2 外向き DNS 情朝と内向き DNS 情報の分離 BI ND 9で導入されたビュー機能は､外向き DNS 情報と内向き DNS情報を一台のサーバで管理するの

を容易にする､極めて有用な機能である

｡

BI ND 9のビュー機能は､問合わせクライアントの位置 ( I P アドレス)によって､異なるゾーンファイルを参照して､その情報を返答することを可能とする機能である

｡

これを利用することにより､イントラネッ

ト内部用の DNS情報と､外向きの DNS情報を区別したいとき､内部用サーバと外部用サーバの二つを分離して立てることなく､一台のサーバ､一つのデーモンでサービスを提供することが可能となる

｡

これは､

管理コストの低減に大きく寄与する

｡

しかし､ BI ND 9のビュー機能を利用する場合､外

向き､内向き､別々にゾーンファイルを用意する必要

がある

｡

正引きファイル､逆引きファイルがもともと

複数あるであろうから､外向き､内向きの DNS情報

(2)

を分離しょうとすると､もとの二倍のファイルを維持管理しなければならないことになる

｡

ところが､ DNS のゾーンファイル生成ツールは､

世の中に数多くあるにもかかわらず､外向き DNS 情報と内向き DNS 情報を分離して提供することを考慮したものは皆無と言ってよい｡実際の運用を考えると､

外向きと内向きの情報を分離するといっても､相違する情事鋸まごく一部で､ほとんどが共通であると考えられる

｡

この､共通する部分について､正

引

き情報 ( A レコード) ､および､逆引き情報 ( PTR レコード)の自動生成くらいはしたいというのが､今回の自動生成ツールの作成の動機である

｡

ゾーンファイルの自動生成ツールは､少なくない数のものが開発されている

｡

しかしながら､外向き DNS 情報と内向き DNS 情報を区別して提倶する用途にかなうものは､皆無である｡ BI ND 9 のビュー機能対応を

謳

ったものもあるが､ビューごとにマスターファイルを別に用意する必要があるなど､データの冗長性を排除しきれていない｡

そもそも､ビュー機能への対応以前に､ DNS の新しい規格に合致しないゾーンファイルを生成するソフトウェアが少なくない｡本稿では､既存の､ゾーンファイル生成ツールについて､修正するべき事項についても指摘する

｡

2 BI ND 9

のビュー機能

BI ND 9 で導入されたビューは､問合わせ元によって､返答する名前情報を切替える機能である｡この機能を使うことにより､イントラネットの内側向けの DNS 情報と､外向けの DNS 情報を分けることができる

｡

BI ND の設定ファイル ( named. c onf ) でビュー機能を有効にする例を図 1 に示す｡図 1 の設定例からわかるとおり､正引きファイル､逆引きファイルを､それぞれ､外向き用､内向き用に別々に用意しなければならない｡

3

ゾーンファイル記述の誤りについて

ゾーンファイルの記述に関して､いくつかの誤った設定が､多くのサイトでなされている｡自動生成ツールでは､特にこの種類の誤りの発生を避けなければな

view 一一 i nternal■ ■(

matc h‑clients f 127. 0. 0. 0/8;

192. 168. 1 . 0/24;

〉;

recursion yes;

zone ' = ‑f typehi n

t;

file 一一 na med. roo t■ ■;

);

zone ■ ■ 0. 0. 127. ⅠN‑ADDR. ARPA‑ ■t

ty

p e m a

s

t

er

;

f

l

le ■ ■ l

o

c

a

l

hos

t. re

vH;

);

zone

''

exa mple･ ac. jpI T(

typemaster;

flle "i nternal. zone";

);

zone H1. 1 68. 192. ⅠN‑ADDR. ARPA■ ■(

typemaster;

file Hi nternal. rev■ ■ ; );

I;

vlew ■ ■ external■ tt

m a t c h ‑

c

l ie n ts ( a n y

; ) ;

r e C u r S

I

Onn O;

z o n

e "

e

x

a m

^p

le. a

c.j

p

" t ty

pem

ast

e

r

;

f

i

l e ‖

^exte

r na

l

. zo ne■ ■ ;

);

zone ● ■ 1. 168. 192. ⅠN‑ADDR. ARPA■ ‑t ty pemaster;

file . ' external. rev' r ; );

);

図 1:ビューに関する named. c onf の記述

‑ 2 6‑

(3)

aI NSO A (se rver. e xa mple. ac･ j p.

root･ server･ e x

a

mple･ ac･ J p･

19980401 00 ; Seri al l O800 ;3 ho urs 3600 ;1 ho ur 604800 ;1 wee k 阜旦生 9 9) ; 1day

図 2: よくある SOA レコードの誤記述例 S T TLl d

㊤Ⅰ NSo 且 (se rver. exa mple. ac. j p･

root･ se rver･ e x

a

mple･ ac･ J p･

20040331 00 ; Se ri al 3 h

l h 7d 25 迦 )

図 3 :RFC 2 3 0 8 に準拠した SOA レコード記述例 ( BI ND 8 ,BI ND 9 用)

らない｡

3. 1 ネガティブキャッシュ TTI J

RFC2 3 0 8[ 8 ] により､ SOA レコードの mi ni mum TTL の意味が､そのゾーンのデフォルト TTL から､

ネガティブキャッシュ TTL( 名前がないことのキャッシュ期間)に変更された｡しかし多くのサーバで､RFC1 0 3 5 や有力な教科書 [ 2] の例に挙っていた 1 日 ( 86400 秒) に設定されている

｡

正しくは数十分にするべきとされる ( RFC23 0 8 の例では 1200 秒となっている) ｡図 2 ､ 3 参照｡

調査した範囲では､既存の自動生成ツールには､ mi n‑

i mum TTL に 86400 秒を与えているものが少なくない｡プログラムの修正は簡単なので､利用者はただちに変更するべきであろう

｡

なおゾーンのデフォルト TTL は､ BI ND 8,BI ND 9 では､ SOA レコードではなく､ S TTL 指令で指定する｡なお BI ND 9 では S T TL 指令は必須である

｡

既存の自動生成ツールには､ S T TL 指令を理解していな

いものがある

｡

このようなツールは BI ND9 との併用に堪えないといえよう

｡

3. 2 Ⅰ J ameDel egat i on

上位ドメインのサーバから指定されているネームサーバ ( 正確には上位ゾーンから NS レコードで委譲されているサーバ)が DNS サーバとして正しく稼働していないとき､この不正な ( 下位ゾーンへの)委譲を La mede l e ga t i on という

｡

原因としては､下位ゾーンの DNS サーバが正しく稼働していない事例もあるが､

上位ゾーン下位ゾーン間での NS レコードの不一致や､

下位ゾーンでの NS レコード CNAME レコードの不適切な使用も少なくない｡

このように､ NS レコードは DNS の運用にとってデリケートな情報であるため､自動生成ツールを設計するにあたっては､ NS レコードの誤記述を起こさないよう､配慮が必要である

｡

ソフトウェア設計の方針にもよるが､ DNS 管理者が明示的に NS レコードを指定したとき､ツールは､ DNS 管理者の指定を尊重して､何もしないくらいが適切といえるだろう

｡

3. 3 CNAME

ゾーンファイルの記述において､ CNAME レコードは濫用されがちである

｡

これは､プログラマのセンスとして､物理レベルに近い名前よりも､抽象度の高い名前を多用するべきという意識があり (ここまでは正しい) ､そのために CNAME レコードを使用しようと考える ( これは正しくない)ことによる

｡

しかし､一般に CNAME の使用はなるべく避けた方がよい｡たとえば CNAME のチェーンの段数が多くなると､クライアントの実装によっては I P アドレスが引けなくなる危険がある

｡

また NS レコードや MX レコードは CNAME を指してはいけないことになっている [ 7 ]

^｡

並列する複数のサーバに同じホスト名を与えて負荷バ

ランスを図るラウンドロビン DNS は､複数の A レコードを記載することによって実現するのであって､

CNAME によるのでない｡

CNAME レコードは､更新時の変更箇所の減少を期

待して使用される傾向があるが､ゾーンファイルの自

動生成を前提とするなら､この目的に CNAME を使

用する必要は無い｡ CNAME レコードの弊害を考え

(4)

ると､自動生成ツールは､不必要な CNAME レコードの生成を控えるよう努めるべきといえる

｡

4

自動生成ツールの設計と実装

教育文化学部の DNS サーバ､および､同情報科学研究室の DNS サーバにおいて､ゾーン情報の管理のために使用している､ゾーンファイルの自動生成ツールの設計と実装について述べる

^｡

4. 1 設計方針

当サイトにおいて､ DNS のデータを更新する管理者は計算機の専門家とは限らない｡そのため､ DNS データの更新に関しては､簡潔な処理で済むことが基本原則となる

^｡

次のような方針でツールを作成した｡

● データを更新するに当たって実行するコマンドは､

エディタおよび一種類のコマンド ( ma ke コマンド)のみとする

｡

make コマンドの実行により､

ゾーンファイルの更新を行なうだけでなく､ DNS サーバに､そのファイルを再読み込み ( r e l oa d) させる

｡

● データ間の依存関係に従い､マスターファイルの更新 (もしマスターファイルが複数あれば､そのうち一つにでも更新)があれば､確実にゾーンファイルが更新されるようにする

｡

｡冗長性を持たないマスターファイルからゾーンファイルを自動生成する

^｡

データベース設計の原則として知られているとおり､データの冗長性は､データ更新時に矛盾が入り込む原因となる

｡

･ドメイン ( 正引きゾーン)ごとにマスターファイルを持つ｡これは､マシン管理はドメインごとに行なわれると考えるからである

｡

｡自動生成を行なうのは､原則として A レコードおよび pTR レコードのみとする｡ SOA,NS,MX

,

CNAME レコードは､管理者が手動で記述するべ

き情報と考え､マスターファイルの更新ごとに自動生成することはしないこととした｡ただし管理者の負担低減のため､初期値としてのテンプレー

トの自動生成は行なう

^｡

･設定ファイル ( name d･ c onf ) は自動生成しない｡

｡複数ドメインを同時に管理できる

^｡

一つのサブネット( 逆引きゾーン)に､複数のドメイン( 正引きゾーン)のマシンが存在するようなサイトであっても､

適切な逆引きファイルを生成する

^｡

･マスターファイル､ゾーンファイル､ゾーン(ドメインおよび逆引きドメイン)間の関係を Ma ke ak 生成ファイルに記述し､そこから Ma ke 丘k を ( 辛)

自動生成する

^｡

以下､若干の補足をする

｡

このようなサーバ管理用のツールの作成にあたっては､どこまでの作業をツールの担当範囲として設計するかの判断が､使い勝手の善し悪しに影響する

.

一般に､過剰な仕事をしてしまうツールは､｢よけいなおせっかい｣をするとして､敬遠されがちである

｡

( 過去に自作したものを含む)既存のツールの使用や､

DNS サーバの管理経験から判断して､ SOA レコード､

NS レコード､ CNAME レコード､ MX レコードの自動生成は､一般に､労力の軽減につながらないばかりでなく､ときとして｢よけいなおせっかい

｣

すなわち DNS 管理者に余計な手間をとらせることがある

^｡

これらの資源レコードは､自動生成する価値が低いといえる

｡

しかしながら､DNS サーバ運用開始時において､( 特に､経験の少ない DNS 管理者にとって) ､これらの資源レコードの記述の見本があることは心強い｡そのため､本ツールでは､初回に一度だけ､管理するゾーンに適当と考えられるゾーンファイルのテンプレートを生成することにした｡

同様に BI ND 用の設定ファイルの生成も､｢よけいなおせっかい｣と考えて､行なわないことにした｡既存のいくつかの DNS 用ツールは､BI ND 用の設定ファイルを生成する

^｡

特に BI ND 8 以降､設定ファイルが複雑になったため､この機能は､一見､便利であるような印象を受ける

｡

しかし BI ND を適切に運用しようとすると､たとえ設定ファイルが自動生成されようと､

BI ND の機能をよく理解した上で､細かい設定を記述しなければならないので､自動生成したところで､結局､二度手間となってしまう

^｡

なお､設定ファイルを手軽に作りたい用途には､

BI ND 8 の配布ファイルに､ BI ND 4 用設定フアイ

‑2 8 ‑

(5)

ルから BI ND8 用設定ファイル‑ の変換ツールが梱包されており､それを利用することができる

｡

4. 2 ファイル生成の依存関係の自動抽出

本ツールの特徴として､複数ドメインの管理が可能で､一つのサブネット内に複数のドメイン ( 正引きゾーン)のマシンが混在するネットワーク構成であっても､

適切な逆引きファイルを生成できるというものがある

｡

マスターファイルはドメインごとに用意されるため､

マスターファイルと､最終生成物であるゾーンファイルとは､多対多の関係になる

｡

Uni x オペレーティングシステムには､古くから､

ma ke というツールが提供されていて､これを使用することで､ファイル間のデータ依存関係に従って､ファイル生成プログラムを実行する手続きを､自動化することができる｡ゾーンファイルの生成も､ ma k e のパラダイムに則っており､本ツールでも､ ma ke コマン

ドによってゾーンファイルを自動的に生成する

｡

しかしながら ma ke によって､ファイルの生成処理は自動化されるが､ mak e コマンドの処理手順書である Ma ke f il e を､どのように作成･保守するかが問題として残る

｡

Ma k e f i1 e の作成･保守には､一定規模以上のソフトウェアシステムを C 言語で作成した経験のあるプログラマ程度のスキルが要求される ( 正確には､

そのようなプログラマ以外 Mak e f il e を記述する経験が稀である) ｡これでは､ DNS のゾーンファイルを直接メンテナンスするよりも､ゾーンファイルの自動生成ツールをメンテナンスする方が難しいということになってしまう

^｡

管理するゾーンが追加になった場合､割当てられた I P アドレスブロックが変更になった場合 (これは DNS 的には､逆引きゾーンが変更になることを意味する) ､また BI ND 9で複数のビューを扱うことにした ( あるいは扱うビューの数を増やした)場合､ Ma k e 別e の変更が必要になる

^o

大規模なサイトでは､これが負担になることは､容易に予想できる｡また経験上も､ゾーンファイル生成のための Ma k e B1 e を正しく､つまり､

ファイルの依存関係を見落とさずに記述することは､

それほど容易なことではない｡

以上を考慮し､本ツールでは､ Ma k e Bl e を自動生成するプログラムを用意し､管理するゾーンが追加､変更されたり､ビューが追加されたときには､ Ma ke B1 e

を生成し直して利用するものとした｡

4. 3 ファイル

本ツールが扱うファイルは､表 1 に示すとおり

｡

マスターファイルこの形式は / e t c / hos t s と同じものである｡すなわち､行形式のテキストファイルで､各行には､ I P アドレスおよびホスト名 ( 複数でも可)を記載する｡空行およびシャープ記号 ( #)から行末は無視される

｡

本ツールの仕様として､ホスト名が FQDN( Ful l Qua l i 丘e dDoma i nNa me ) である､すなわちドメイン名を含む完全形式である場合､正引き情事鋸ま他のドメインで登録されていると解釈し､逆引き情報､すなわち､ PTR レコードのみ生成する

｡

インクルードファイル拡張子 . i ncl を持つファイルは､ゾーンファイルにインクルードされるファイルである

｡

このファイルは､通常､マスターファイルから､後述する bos ts2a コマンド､ hosts2 ptr コマンドによって生成される

｡

テンプレートファイル . t mpl の拡張子を持つファイルは､ゾーンファイルのテンプレートである

｡

ファイル形式はゾーンファイルと同じである

｡

ただしシリアル番号の部分だけ Qserial no Q と記述する

｡

本ツールを使用する場合､ SOA,NS,MX レコードは､このテンプレートに記載する

｡

ゾーンファイル BI ND によって読み込まれる､最終形式のファイルである

｡

4 . 4 実装

本ツールは､複数のシェルスクリプトを ma ke から呼出して利用する構成になっている

｡

本ツールを構成するコマンド群を表 2 に示す｡

hos t s 2a コマンド / e t c / ho s t s 形式のマスターファイルから正引きインクルードファイルを生成する

^｡

hos t s 2pt r コマンド / e t c / ho s t s 形式のマスターファ

イルから逆引きインクルードファイルを生成する

｡

(6)

表 1:生成ツールが扱うファイル拡張子ファイル

. hosts 等 /e t c/hos t s 形式のマスターファイル

. zone 等ゾーンファイル

. tmpl ゾーンファイルのテンプレート( 初回のみ生成 )

. incl ゾーンファイルからインクルードされる､マスターから自動生成されたファイル

. coun t シリアル番号

表 2: 生成ツールを構成するコマンドコマンド役割

h o

st

s

2a

h o

st

s

2p

tr m

a

k

e

.

z

o ne m

a

ke

ⁱ

t m pl m

a

k

e ･

d e pe n d c

o

n

^f i

gu re

A レコードの生成 PTR レコードの生成ゾーンファイルの生成テンプレートの生成依存関係の分析 Make丘l e の生成

m ake. 2 1 One コマンドテンプレートファイルおよびシリアル番号ファイルから､ゾーンファイルを生成する

｡

m ake. tm pl コマンドゾーンごとのテンプレートファイルを作成する

｡

m ake. depend コマンド SⅠNcLUDE 指令の連鎖を追い､ファイルの依存関係を分析する

｡

conf igure コマンド本ツールが正しく動作するためには､データ間の依存関係を見落とさずに､マスターファイルの更新をゾーンファイルに反映させなければならない｡このため Make丘1 e の正確さが重要である

｡

現在の実装では､生成すべきゾーンファイル､および､

中間ファイルの生成規則を､別途､ファイル ( 図 4､5 ) で明示的に与えることにより､ Make丘1 e を半自動的に生成するようにしている｡コマンド名は､ GNU aut oc onf にならって conBgur e とした｡

zo nefileexternal･ zone example･ ac･ Jp zo nef土1e i nternal･ zone e

xa

皿Ple･ ac･ Jp zo nefileglobal･ re v O･ 0･ 1 0･ Ⅰ Ⅳ‑ADDR･ ARPA zo neflle i ntra net. rev 1. 1 68. 192. ⅠN‑ ADDR. ARPA hostsfile/etc/hosts exa 叩 1e･ ac･ j p

図 4:ファイルードメイン対応定義 hosts2a /etc/ hosts > external. i ncl hosts2a /etc/ hosts >i nternal. i ncl

hosts2ptr 1 0. 0. 0 /etc/ hos ts > global. i ncl hosts2ptr 192･ 1 68. 1/etc/ hos ts > i ntra net･ i ncl

図 5: 中間ファイル生成規則

5

使用法

本ツールを利用して DNSサーバの管理を行なう場合の作業手順を述べる

｡

5. 1 準備

DNSサーバ ( BI ND 8または BI ND 9; ビュー機能を利用するならば､BI ND 9 が必要) ､および､その設定ファイル ( named. conf ) を用意していることが前提である

｡

BI ND 9 であれば､コマンド制御用の鍵を準備しておく必要がある

｡

named. conf で指定したゾーンファイルを置くディレクトリに､本ツールを展開する

｡

ユーティリティ･プログラム群が bi n ディレクトリに置かれる

｡

このユーティリティを利用可能にするために､ bi n ディレクトリで conf igur e および make を実行する｡ c onf igur e 時に､ゾーンファイルの再読み込みのためのコマンドを指定しなければならない｡詳細は README を参照｡

5. 2 メタ情報の記述

新しく運用を開始するとき､管理するドメインが追加､あるいは､変更になったとき､以下の作業を行なう

｡

bi n ディレクトリの作業が終了したら､ゾーンファイルの置かれるディレクトリに移動する

o

named. conf に合わせて､ Make別e. def というファイルにゾーンファイルとゾーンの対応を記述する ( 図 4) ｡さらにマスターファイルの指定も行なう

｡

複数のドメインを管理する

‑ 30‑

(7)

場合は､マスターファイルも複数になる

｡

次に中間ファイルの生成規則を t r ans l a t e. s h というファイルに記述する ( 図 5) ｡正引きの中間ファイル生成は

hosts2a master >incZ , ude

逆引きの中間ファイル生成は

hosts2 ptr address master >i nc乙 ude と記述する

｡

ここで m as t e rはマスターファイルの名前､ addr es sは逆引きゾーンのネットワークアドレス ( I P アドレスの最初の 3 オクテット) ､または､ i n‑

addr . ar pa ドメインのゾーン名､i nc l udeは生成するインクルードファイルの名前である

.

インク) i , ‑ ドファイルの名前は､通常､ゾーンファイルの拡張子 (. zo ne 辛 . rev) を . i ncl にしたものにする

｡

これは､後述するテンプレートファイルに､この名前のファイルをインクルードするという記述が含まれるからである

｡

インクルードの有向グラフが把握できていれば､ファイル名を他のものにして構わない｡

M akef il e の生成以上の用意ができたなら､c onf igur e コマンドにより Mak e f il e が自動生成される

｡

Make f il e だけでは､ファイルの依存関係の情報が不完全なので､

" ma kede pe nd" を実行する

｡

5. 3 日常の運用

マスターファイルを編集 L ma ke コマンドを実行すれば､ファイルの依存関係に従い､ゾーンファイルが生成され､ DNS サーバによって読み込み直される｡通常は､これだけの作業でよい｡

ゾーンファイルの再読み込み ( r e l oad) の方法は､

BI ND のバージョンによっても､そのサイトの運用方針によっても異なる

｡

管理者権限を必要とする方法をとる場合､ make コマンドの実行も管理者権限が必要である

｡

もし再読み込みの方法を変更する場合は､ bi n ディレクトリで､再度､ c onf igur e および ma ke をや

り直す｡

6 他のソフトウェアとの比較

6. 1 h2m

DNS 管理の代表的な教科書である " DNS a nd BI ND"[ 1 ] でも紹介されている､ / e t c / hos t s 形式か

らゾーンファイル形式への変換ツールが h2 mである

｡

/ e t c / hos t s 形式のファイルをマスターファイルとする点で､本ツール ( に含まれる hos t s 2a および hos t s 2pt r コマンド)は h2 n と類似している

｡

重要な相違点は､

h2 mが単独のコマンドで､すべてのゾーンファイルを生成するのに対し､本ツールは､複数のユーティリティ･

コマンドの組合わせで動作することである

｡

そのため h2 mの方が､利用法の習得が容易である

｡

一万､本ツールの方が､管理上の柔軟性が高い｡

また一般に､ゾーン情報の一部には､自動生成では対応しきれないものも存在するが､そのような情報の扱いが､ h2 mと本ツールでは異なる｡h2n では､接頭辞として s pcl. の付いた名前のファイルが存在すれば､そのファイルをインクルードする指令を､ゾーンファイルに埋め込むようになっており､自動生成しない情報は s pcl. ファイルに記述する

｡

h2 m利用上の注意点現在配布されている h2 n のコードは､SOA レコードの mi ni mum TTL が RFC1 03 5回で例示されている 1 日のままであること ( RFC23 08[ 8 ] で意味が変更になっており､数十分が推奨値 ) ､デフォルトではホストごとに MX レコードを生成することが､実運用上､問題となる

｡

また､サーバの設定によるが､ NS レコードは､デフォルトで hos t na me コマンドの出力結果を使う

｡

そのため､親サーバで登録した NS レコードと食い違っていると､l amede l e gat i on が発生してしまう

｡

実際にこのツールを利用してサーバを運用する場合は､これらの点に注意する必要がある

｡

h2n 以外の類似ツールも同様の問題を抱えていることが多いので､同じ注意が必要である

｡

実運用にあたっては mi ni mum TTL については､生

成されたファイルの値を変更しておく ( h2 mは､既存

の SOA レコードがあれば､その値を尊重するように

なっている)か､ h2n のソースコード中の値を変更す

るべきである

｡

また､ MX レコードや NS レコード

は､自動生成に頼らず､オプションや s pcl. ファイ

ルで明示的に指定するべきである

｡

(8)

6. 2 mkrdns

DNS のゾーンファイル管理において､特に省力化を図るべき事項が､逆引きファイルの作成であり､この逆引きファイルの生成に特化した機能を持つツールが mkr dns ( http: //www. mkdrns. org/) である

｡

mkr dns

は､ BI ND の設定ファイル ( name d･ c onf ) の情報に基づいて､どの正引きファイルからどの逆引きファイルを生成すればよいかを判断し､ A レコードを転置した PTR レコードを生成する

｡

mkI ･ dns は､他の DNS サーバで作成されたゾーン情報に基づいて､逆引きファイルを生成することができ

るという点で､ h2n や本ツールに比べて優れている

｡

複数のドメインが複数のサブネット間にモザイク状にまたがっている LAN においては､適正な逆引き情報を提供するには､ mkr dns のようなツールを併用することは有益である

｡

6. 3 dj bdns

BI ND の次に有力な DNS サーバの実装として知られているのが dj bdns である

｡

dj bdns の作者は､ qma i l の作者として知られる D.

∫

.Be ms t e i n であり､実行性能､および､セキュリティ面において BI ND よりも優れている

｡

ゾーンファイルのメンテナンスの観点からも d j bdns は優れている

｡

ファイル形式は独自だが､理解は容易である

｡

A レコードの記述をするだけで､内部で自動的に逆引き情報が生成される

｡

一方で柔軟性もあり､

逆引き情報を生成しない A レコードや､ A レコードと関係しない PTR レコードの記述も可能である

｡

現在､ dj bdns は BI ND 9 のビュー機能に相当する機能を持っておらず､この点では不利である

｡

しかし､

dj bdns 運用の最大のネックになるのが､他の Uni x のシステム管理ソフトウェアとの操作性 ( 操作感)の違いであろう｡このこと自体は､ソフトウェアの短所となるものではないが､普及の妨げとなっている要因の一つである

｡

6 A W ebmi n

WWW をインターフェイスとして､サーバのシステム管理を行なうツールが We bmi n

( h

t

tp‥ // www･ web

min

･ co m/)である [ 9] ｡ウェブブラウザをユーザ･インターフェイスとすることができるので､ Uni x の操作に熟練しなくても､システム管理を行なうことができる

｡

DNS の管理も we bmi n で行なうことができる｡正

引

き情報から逆引き情報を自動生成することもあり､

メンテナンスは､全般に容易である

｡

しかしながら､

複数ドメインや､複数ビューを持つような､中･大規模サイトの管理は､さほど容易になるわけではない

｡

7

今後の課題

M ake丘l e の自動生成本ツールは､日常の運用には､

ほぼ差し支えない水準に達しているが､管理するドメイン( ゾーン)が増えたとき､ Make f il e を作り直さなければならない｡半自動的に隼成することで､ Make f il e の文法ミスは発生しなくなるが､本ツールの中間ファイル生成の流れをよく理解する必要があるため､やや難解である

｡

より広く利用者を募り､コメントにそった見直しをすべきであろう

｡

より大規模なサイトでの運用秋田大学全体のドメインを管理する DNS サーバも､外向き､内向きに分けて運用しているが､現行の運用は難解で､保守作業に支障を来たしかねない｡本ツールを拡張して適用することで､保守作業を容易にしたいと考えている

｡ /

e t c / hos t s 形式のマスターファイルを‑箇所に用意できないので､

サブドメインからゾーン転送された情報をうまく処理することが､拡張の主眼となる

｡

謝辞

本ツールの前バージョンも含めて､実際に利用し､

コメントをくださった､徳島大学総合科学部助教授中島浩二氏､元秋田大学教育文化学部助教授浅沼大海氏､教育文化学部環境情報講座技官成田堅悦氏に感謝

します｡

参考文献

[]‑]

P･Al bi t zandC･Li u:" DNSa ndBI ND 4t hEdi ‑ t i on

,"

0' Re i l l y ,2 0 01

‑3 2‑

(9)

[ 2 ]P･ Al bi t za ndC･Li u:" DNSa ndBI NDi naNut ‑ s he l l "0' Re i l l y,1 9 92

[ 3 ]C･Li u

‥

" DNSa ndBI ND Cookbook , " 0' Re i l l y , 2 002

[ 4 ]P･Moc k a pe t r i s : " Doma i nName s‑ Conc e pt s andFa c i l i t i e s

,"

RFC 1 0 3 4,1 9 87

[ 5 ]P.Moc k a pe t r i s :" Doma i nNa me s‑ I mpl e me n‑

t a t i onandSp ec i f ic a t i on , " RFC 1 0 35,1 9 87 [ 6 ]D･Ba r r :" Co mmo nDNSOpe r a t i o na la ndCon‑

f

igur a t i onEr r or s

,"

A ZoneFi l eGener at i onTools uppor t i ngt heVi ew Feat ur ei nt r oducedi nBI ND 9

(?9 k 7 i 芸 O l ;S n i o v f e r ( t s 2 h i . e t . ≡, ;;u a l t t u y r o afs E c d i :: :e t ; Onand" u m a n S t u d i e s )

BI ND9 のビュー機能利用 を支援するゾーンファイル自動生成ツール

A ZoneFi l eGener at i onTools uppor t i ngt heVi ew Feat ur ei nt r oducedi nBI ND 9

Shi geo SASAKI

abs t r ac t

Thi spa , pe rpr e s e nt saz onef il eg e ne r at i ont oolt hatc r e at e sf or war da ndr e ve r s ez onef il e sf r om ma st e rone s . I tc anma i nt ai nmul t i pl edomai nsa ndmul t i pl e v i e ws ,whi l emos tofs i mul a rt ool sc an doo nl ys i ngl edoma i n.

il e smanual l y.

1

1. 1 BI ND とゾーンファイル

BI ND( Be r kl e yI nt e r ne tNameDomai n) は､最 も広 く使 用 され ている DNSサ ーバの実装 である ｡ DNS サ ーバ の管理 は､ しば しば難解 と評価 される

これは BI ND の設定 ファイルや､資源 レコー ドの記述 ファイ ルの､必要以上の複雑 さによるところが大 きい とい え る｡ BI ND の資源 レコー ド記述 ファイル ( 本箱 で は､

以下 ､習慣 に従 い､ゾー ンファイル と呼ぶ)は RFC

1034,1035[ 4,5] で定義 される､ DNSサーバ間でや り 取 りす るデータ ( ゾーン情報)と一対一に対応す るもの で､ きめ細かい設定 は可能であるが､デー タの維持管 理 には余計 な神経 を使 う

た とえば､正引 き情報 と､

さ らに､汎用 ドメイ ンを運用す る場合 ､ 設定 ファイルには､ 日本語 などの非 ラテン文字 を記載

す るこ とがで きず､エ ンコー ドしてか らロー ドす る必 要があ るな ど､様 々な点か ら､ 自動生成 は必須 である

といえる

1. 2 外 向 き DNS 情朝 と内向 き DNS 情報 の分離 BI ND 9で導入 された ビュー機能 は､外 向 き DNS 情報 と内向 き DNS情報 を一台のサ ーバ で管理す るの

を容易 にす る､極 めて有用 な機能である

BI ND 9の ビュー機能は､問合 わせ クラ イア ン トの 位置 ( I P ア ドレス)に よって､異 なるゾー ンファイル を参照 して､その情報 を返答す るこ とを可能 とす る機 能である

これ を利用す ることによ り､ イ ン トラネ ッ

ト内部用 の DNS情報 と､外 向 きの DNS情報 を区別 したい とき､内部用サ ーバ と外部用サーバの二つ を分 離 して立 てることな く､一台 のサーバ､一つのデーモ ンでサー ビス を提 供す るこ とが可能 となる

これ は､

管理 コス トの低減 に大 き く寄与す る

しか し､ BI ND 9の ビュー機能 を利用す る場合､外

向 き､内向 き､別 々にゾー ンファイル を用意す る必要

が ある

正引 きファイル､逆引 きフ ァイルが もともと

複数あるであ ろうか ら､外向 き､ 内向 きの DNS情報

を分離 しょう とす る と､ もとの二倍 の フ ァイル を維持 管理 しなけれ ばな らない こ とになる

ところが､ DNS の ゾー ンフ ァイ ル生 成 ツール は､

世の 中に数多 くあ るに もかかわ らず､外 向 き DNS 情 報 と内向 き DNS 情報 を分離 して提 供す るこ とを考慮 した ものは皆無 と言 って よい｡実際の運用 を考 える と､

外 向 きと内向 きの情報 を分離す る とい って も､相違す る情事鋸まご く一部 で､ほ とん どが共通であ る と考 え ら れる

この､共通す る部分 について､正

き情報 ( A レ コー ド) ､お よび､逆引 き情報 ( PTR レコー ド)の 自動 生成 くらい は したい とい うのが､今 回の 自動生成 ツー ルの作成 の動機 であ る

ゾー ンフ ァイルの 自動生成 ツールは､少 な くない数 の ものが開発 されている

しか しなが ら､外 向 き DNS 情報 と内向 き DNS 情報 を区別 して提倶す る用途 にか な うもの は､皆無 であ る ｡ BI ND 9 の ビュー機能対応 を

った もの もあ るが､ ビュー ご とにマス ター ファイ ルを別 に用意す る必要があ るな ど､デー タの冗長性 を 排 除 しきれていない｡

2 BI ND 9

3

ゾー ンファイルの記述 に関 して､い くつかの誤 った 設定が､多 くのサイ トで なされている｡ 自動生成 ツー ルで は､特 に この種類 の誤 りの発生 を避 けなければな

view 一 一 i nternal■ ■(

matc h‑clients f 127. 0. 0. 0/8;

192. 168. 1 . 0/24;

〉;

recursion yes;

zone ' = ‑f typehi n

file 一 一 na med. roo t■ ■;

);

zone ■ ■ 0. 0. 127. ⅠN‑ADDR. ARPA‑ ■t

p e m a

t

;

f

le ■ ■ l

c

l

t. re

);

zone

exa mple･ ac. jpI T(

typemaster;

flle "i nternal. zone";

);

zone H1. 1 68. 192. ⅠN‑ADDR. ARPA■ ■(

typemaster;

file Hi nternal. rev■ ■ ; );

I;

vlew ■ ■ external■ tt

m a t c h ‑

l ie n ts ( a n y

r e C u r S

Onn O;

z o n

e

a m

le. a

p

pem

(?9 k 7 i 芸 O ^l ^;S ⁿ ⁱ ô ^v ^f ê ^r ⁽ ^t ^s ² ^h ⁱ ^. ê ^t ^. ^≡, ^;;u â ^l ^t ^t û ^y ^r ô âfs Ê ^c ^d ⁱ ^:: ^:e ^t ^; Ônand" u m a n S t u d i e s ⁾

BI ND9 のビュー機能利用を支援するゾーンファイル自動生成ツール

BI ND( Be r kl e yI nt e r ne tNameDomai n) は､最も広く使用されている DNSサーバの実装である｡ DNS サーバの管理は､しばしば難解と評価される

これは BI ND の設定ファイルや､資源レコードの記述ファイルの､必要以上の複雑さによるところが大きいといえる｡ BI ND の資源レコード記述ファイル ( 本箱では､

以下､習慣に従い､ゾーンファイルと呼ぶ)は RFC

1034,1035[ 4,5] で定義される､ DNSサーバ間でやり取りするデータ ( ゾーン情報)と一対一に対応するもので､きめ細かい設定は可能であるが､データの維持管理には余計な神経を使う

たとえば､正引き情報と､

さらに､汎用ドメインを運用する場合､設定ファイルには､日本語などの非ラテン文字を記載

することができず､エンコードしてからロードする必要があるなど､様々な点から､自動生成は必須である

1. 2 外向き DNS 情朝と内向き DNS 情報の分離 BI ND 9で導入されたビュー機能は､外向き DNS 情報と内向き DNS情報を一台のサーバで管理するの

を容易にする､極めて有用な機能である

BI ND 9のビュー機能は､問合わせクライアントの位置 ( I P アドレス)によって､異なるゾーンファイルを参照して､その情報を返答することを可能とする機能である

これを利用することにより､イントラネッ

ト内部用の DNS情報と､外向きの DNS情報を区別したいとき､内部用サーバと外部用サーバの二つを分離して立てることなく､一台のサーバ､一つのデーモンでサービスを提供することが可能となる

これは､

管理コストの低減に大きく寄与する

しかし､ BI ND 9のビュー機能を利用する場合､外

向き､内向き､別々にゾーンファイルを用意する必要

がある

正引きファイル､逆引きファイルがもともと

複数あるであろうから､外向き､内向きの DNS情報

を分離しょうとすると､もとの二倍のファイルを維持管理しなければならないことになる

ところが､ DNS のゾーンファイル生成ツールは､

世の中に数多くあるにもかかわらず､外向き DNS 情報と内向き DNS 情報を分離して提供することを考慮したものは皆無と言ってよい｡実際の運用を考えると､

外向きと内向きの情報を分離するといっても､相違する情事鋸まごく一部で､ほとんどが共通であると考えられる

この､共通する部分について､正

き情報 ( A レコード) ､および､逆引き情報 ( PTR レコード)の自動生成くらいはしたいというのが､今回の自動生成ツールの作成の動機である

ゾーンファイルの自動生成ツールは､少なくない数のものが開発されている

しかしながら､外向き DNS 情報と内向き DNS 情報を区別して提倶する用途にかなうものは､皆無である｡ BI ND 9 のビュー機能対応を

ったものもあるが､ビューごとにマスターファイルを別に用意する必要があるなど､データの冗長性を排除しきれていない｡

ゾーンファイルの記述に関して､いくつかの誤った設定が､多くのサイトでなされている｡自動生成ツールでは､特にこの種類の誤りの発生を避けなければな

view 一一 i nternal■ ■(

file 一一 na med. roo t■ ■;

図 1:ビューに関する named. c onf の記述

図 2: よくある SOA レコードの誤記述例 S T TLl d

図 3 :RFC 2 3 0 8 に準拠した SOA レコード記述例 ( BI ND 8 ,BI ND 9 用)

3. 1 ネガティブキャッシュ TTI J

RFC2 3 0 8[ 8 ] により､ SOA レコードの mi ni mum TTL の意味が､そのゾーンのデフォルト TTL から､

ネガティブキャッシュ TTL( 名前がないことのキャッシュ期間)に変更された｡しかし多くのサーバで､RFC1 0 3 5 や有力な教科書 [ 2] の例に挙っていた 1 日 ( 86400 秒) に設定されている

正しくは数十分にするべきとされる ( RFC23 0 8 の例では 1200 秒となっている) ｡図 2 ､ 3 参照｡

調査した範囲では､既存の自動生成ツールには､ mi n‑

i mum TTL に 86400 秒を与えているものが少なくない｡プログラムの修正は簡単なので､利用者はただちに変更するべきであろう

なおゾーンのデフォルト TTL は､ BI ND 8,BI ND 9 では､ SOA レコードではなく､ S TTL 指令で指定する｡なお BI ND 9 では S T TL 指令は必須である

既存の自動生成ツールには､ S T TL 指令を理解していな

いものがある

このようなツールは BI ND9 との併用に堪えないといえよう

原因としては､下位ゾーンの DNS サーバが正しく稼働していない事例もあるが､

上位ゾーン下位ゾーン間での NS レコードの不一致や､

下位ゾーンでの NS レコード CNAME レコードの不適切な使用も少なくない｡

このように､ NS レコードは DNS の運用にとってデリケートな情報であるため､自動生成ツールを設計するにあたっては､ NS レコードの誤記述を起こさないよう､配慮が必要である

ソフトウェア設計の方針にもよるが､ DNS 管理者が明示的に NS レコードを指定したとき､ツールは､ DNS 管理者の指定を尊重して､何もしないくらいが適切といえるだろう

ゾーンファイルの記述において､ CNAME レコードは濫用されがちである

しかし､一般に CNAME の使用はなるべく避けた方がよい｡たとえば CNAME のチェーンの段数が多くなると､クライアントの実装によっては I P アドレスが引けなくなる危険がある

また NS レコードや MX レコードは CNAME を指してはいけないことになっている [ 7 ]

並列する複数のサーバに同じホスト名を与えて負荷バ

ランスを図るラウンドロビン DNS は､複数の A レコードを記載することによって実現するのであって､

CNAME レコードは､更新時の変更箇所の減少を期

待して使用される傾向があるが､ゾーンファイルの自

動生成を前提とするなら､この目的に CNAME を使

用する必要は無い｡ CNAME レコードの弊害を考え

ると､自動生成ツールは､不必要な CNAME レコードの生成を控えるよう努めるべきといえる

教育文化学部の DNS サーバ､および､同情報科学研究室の DNS サーバにおいて､ゾーン情報の管理のために使用している､ゾーンファイルの自動生成ツールの設計と実装について述べる

当サイトにおいて､ DNS のデータを更新する管理者は計算機の専門家とは限らない｡そのため､ DNS データの更新に関しては､簡潔な処理で済むことが基本原則となる

次のような方針でツールを作成した｡

● データを更新するに当たって実行するコマンドは､

エディタおよび一種類のコマンド ( ma ke コマンド)のみとする

make コマンドの実行により､

ゾーンファイルの更新を行なうだけでなく､ DNS サーバに､そのファイルを再読み込み ( r e l oa d) させる

● データ間の依存関係に従い､マスターファイルの更新 (もしマスターファイルが複数あれば､そのうち一つにでも更新)があれば､確実にゾーンファイルが更新されるようにする