DNSSEC

Материал из ISPWiki
Перейти к: навигация, поиск

Плагин DNSSEC удален в версии 5.155. См Настройка DNSSEC

Доступен для установки с версии DNSmanager 5.59

Для корректной работы в CentOS 6 необходимо обновить системный sqlite3

wget ftp://ftp.pbone.net/mirror/ftp5.gwdg.de/pub/opensuse/repositories/Application:/Geo/CentOS_6/x86_64/sqlite-3.8.8.1-142.1.x86_64.rpm
yum localinstall sqlite-3.8.8.1-142.1.x86_64.rpm

По умолчанию DNSmanager не поддерживает DNSSEC (Domain Name System Security Extensions), но теперь есть возможность установить бесплатный плагин, который включает эту возможность (только для named). Установить плагин можно, зайдя в DNSmanager с правами администратора в раздел Модули и нажав кнопку Установить напротив "DNSSEC". Для корректной работы плагина проверьте, что следующие команды возвращают правильный результат:

/usr/local/mgr5/sbin/mgrctl -m dnsmgr pathlist elid=DomainZonesPath
/usr/local/mgr5/sbin/mgrctl -m dnsmgr pathlist elid=named.conf
/usr/local/mgr5/sbin/mgrctl -m dnsmgr pathlist elid=ndc
/usr/local/mgr5/sbin/mgrctl -m dnsmgr paramlist elid=DNS

После установки плагина в свойствах доменного имени с типом master либо при создании доменного имени с типом master появится галочка DNSSEC.

Dnssec1.png

Из-за особенностей работы панели, если галочка DNSSEC была установлена при создании доменного имени, файл зоны будет подписан не сразу, а по заданию, которое выполняется раз в минуту. Если галочка установлена при редактировании доменного имени, файл зоны будет подписан сразу. Во время подписания файла создается директория

путь_до_файлов_зон/dnssec/имя_владельца/доменное_имя

С помощью утилиты dnssec-keygen в этой директории генерируются все необходимые ключи. Далее с помощью утилиты dnssec-signzone подписывается файл зоны. В конфигурационном файле named меняется путь до файла зоны на новый.

В интерфейс выводится DS запись, которую необходимо передать регистратору доменного имени. Достаточно лишь открыть доменное имя на редактирование заново после подписания файла зон (если галочка была установлена при создании доменного имени, то запись появится в течение минуты)

Dnssec2.png

Удаление плагина

1. Удалить плагин из раздела Модули --- DNSSEC --- Удалить.

2. Проверить, что удалены файлы плагина

/usr/local/mgr5/etc/xml/dnsmgr_mod_dnssec.xml
/usr/local/mgr5/addon/dnssecdel.pl
/usr/local/mgr5/addon/dnssecdelu.pl
/usr/local/mgr5/addon/dnssec.pl
/usr/local/mgr5/addon/dnssecrec.pl
/usr/local/mgr5/addon/dnssectask.pl

3. Проверить, что удалено задание крона из /etc/crontab

* * * * *  root    /usr/bin/perl /usr/local/mgr5/addon/dnssectask.pl

4. В конфигурационном файле named заменить все пути до файлов зон с

file "/var/named/domains/ns.com/domain4.com.signed"

на

file "/var/named/domains/ns.com/domain4.com"

5. Перезапустить named. 6. Проверить, что named работает, записи отдаются. 7. Можно удалить файлы /var/named/domains/ns.com/domain4.com.signed.