JavaScript is required to for searching.
ナビゲーションリンクをスキップ
印刷ビューの終了
マニュアルページセクション 1M: システム管理コマンド     Oracle Solaris 11 Information Library (日本語)
Oracle Technology Network
ライブラリ
PDF
印刷ビュー
フィードバック
search filter icon
search icon

ドキュメントの情報

はじめに

紹介

システム管理コマンド - パート 1

6to4relay(1M)

acct(1M)

acctadm(1M)

acctcms(1M)

acctcon1(1M)

acctcon(1M)

acctcon2(1M)

acctdisk(1M)

acctdusg(1M)

acctmerg(1M)

accton(1M)

acctprc1(1M)

acctprc(1M)

acctprc2(1M)

acctsh(1M)

acctwtmp(1M)

acpihpd(1M)

adbgen(1M)

add_allocatable(1M)

addbadsec(1M)

add_drv(1M)

arp(1M)

asradm(1M)

asr-notify(1M)

atohexlabel(1M)

audit(1M)

auditconfig(1M)

auditd(1M)

auditrecord(1M)

auditreduce(1M)

auditstat(1M)

audit_warn(1M)

automount(1M)

automountd(1M)

autopush(1M)

bart(1M)

beadm(1M)

boot(1M)

bootadm(1M)

bootconfchk(1M)

bootparamd(1M)

busstat(1M)

captoinfo(1M)

catman(1M)

cfgadm(1M)

cfgadm_ac(1M)

cfgadm_cardbus(1M)

cfgadm_fp(1M)

cfgadm_ib(1M)

cfgadm_pci(1M)

cfgadm_sata(1M)

cfgadm_sbd(1M)

cfgadm_scsi(1M)

cfgadm_sdcard(1M)

cfgadm_shp(1M)

cfgadm_sysctrl(1M)

cfgadm_usb(1M)

chargefee(1M)

chat(1M)

check-hostname(1M)

check-permissions(1M)

chk_encodings(1M)

chroot(1M)

cimworkshop(1M)

ckpacct(1M)

clear_locks(1M)

clinfo(1M)

closewtmp(1M)

clri(1M)

comsat(1M)

consadm(1m)

console-reset(1M)

conv_lp(1M)

conv_lpd(1M)

coreadm(1M)

cpustat(1M)

croinfo(1M)

cron(1M)

cryptoadm(1M)

cvcd(1M)

datadm(1M)

dcopy(1M)

dcs(1M)

dd(1M)

ddu(1M)

ddu-text(1M)

devchassisd(1M)

devfsadm(1M)

devfsadmd(1M)

device_allocate(1M)

device_remap(1M)

devinfo(1M)

devlinks(1M)

devnm(1M)

devprop(1M)

df(1M)

dfmounts(1M)

dfmounts_nfs(1M)

dfshares(1M)

dfshares_nfs(1M)

df_ufs(1M)

dhcpagent(1M)

dhcpconfig(1M)

dhcpmgr(1M)

dhtadm(1M)

dig(1M)

directoryserver(1M)

diskinfo(1M)

disks(1M)

diskscan(1M)

dispadmin(1M)

dladm(1M)

dlmgmtd(1M)

dlstat(1M)

dmesg(1M)

dminfo(1M)

dns-sd(1M)

dnssec-dsfromkey(1M)

dnssec-keyfromlabel(1M)

dnssec-keygen(1M)

dnssec-makekeyset(1M)

dnssec-signkey(1M)

dnssec-signzone(1M)

dodisk(1M)

domainname(1M)

drd(1M)

drvconfig(1M)

dsbitmap(1M)

dscfg(1M)

dscfgadm(1M)

dscfglockd(1M)

dsstat(1M)

dsvclockd(1M)

dtrace(1M)

dumpadm(1M)

editmap(1M)

edquota(1M)

eeprom(1M)

efdaemon(1M)

embedded_su(1M)

etrn(1M)

fbconfig(1M)

fbconf_xorg(1M)

fcadm(1M)

fcinfo(1M)

fdetach(1M)

fdisk(1M)

ff(1M)

ff_ufs(1M)

fingerd(1M)

fiocompress(1M)

flowadm(1M)

flowstat(1M)

fmadm(1M)

fmd(1M)

fmdump(1M)

fmstat(1M)

fmthard(1M)

format(1M)

fpsd(1M)

fruadm(1M)

fsck(1M)

fsck_pcfs(1M)

fsck_udfs(1M)

fsck_ufs(1M)

fsdb(1M)

fsdb_udfs(1M)

fsdb_ufs(1M)

fsirand(1M)

fssnap(1M)

fssnap_ufs(1M)

fsstat(1M)

fstyp(1M)

fuser(1M)

fwflash(1M)

fwtmp(1M)

getdevpolicy(1M)

getent(1M)

gettable(1M)

getty(1M)

gkadmin(1M)

groupadd(1M)

groupdel(1M)

groupmod(1M)

growfs(1M)

grpck(1M)

gsscred(1M)

gssd(1M)

hald(1M)

hal-device(1M)

hal-fdi-validate(1M)

hal-find(1M)

hal-find-by-capability(1M)

hal-find-by-property(1M)

hal-get-property(1M)

hal-set-property(1M)

halt(1M)

hextoalabel(1M)

host(1M)

hostconfig(1M)

hotplug(1M)

hotplugd(1M)

htable(1M)

ickey(1M)

id(1M)

idmap(1M)

idmapd(1M)

idsconfig(1M)

ifconfig(1M)

if_mpadm(1M)

ifparse(1M)

iiadm(1M)

iicpbmp(1M)

iicpshd(1M)

ikeadm(1M)

ikecert(1M)

ilbadm(1M)

ilbd(1M)

ilomconfig(1M)

imqadmin(1M)

imqbrokerd(1M)

imqcmd(1M)

imqdbmgr(1M)

imqkeytool(1M)

imqobjmgr(1M)

imqusermgr(1M)

in.chargend(1M)

in.comsat(1M)

in.daytimed(1M)

in.dhcpd(1M)

in.discardd(1M)

in.echod(1M)

inetadm(1M)

inetconv(1M)

inetd(1M)

in.fingerd(1M)

infocmp(1M)

in.iked(1M)

init(1M)

init.sma(1M)

init.wbem(1M)

inityp2l(1M)

in.lpd(1M)

in.mpathd(1M)

in.named(1M)

in.ndpd(1M)

in.rarpd(1M)

in.rdisc(1M)

in.rexecd(1M)

in.ripngd(1M)

in.rlogind(1M)

in.routed(1M)

in.rshd(1M)

in.rwhod(1M)

install(1M)

installboot(1M)

installf(1M)

installgrub(1M)

in.stdiscover(1M)

in.stlisten(1M)

in.talkd(1M)

in.telnetd(1M)

in.tftpd(1M)

in.timed(1M)

intrd(1M)

intrstat(1M)

in.uucpd(1M)

iostat(1M)

ipaddrsel(1M)

ipadm(1M)

ipf(1M)

ipfs(1M)

ipfstat(1M)

ipmgmtd(1M)

ipmon(1M)

ipmpstat(1M)

ipnat(1M)

ippool(1M)

ipqosconf(1M)

ipsecalgs(1M)

ipsecconf(1M)

ipseckey(1M)

iscsiadm(1M)

isns(1M)

isnsadm(1M)

itadm(1M)

itu(1M)

k5srvutil(1M)

kadb(1M)

kadmin(1M)

kadmind(1M)

kadmin.local(1M)

kcfd(1M)

kclient(1M)

kdb5_ldap_util(1M)

kdb5_util(1M)

kdcmgr(1M)

kernel(1M)

keyserv(1M)

killall(1M)

kmscfg(1M)

kprop(1M)

kpropd(1M)

kproplog(1M)

krb5kdc(1M)

ksslcfg(1M)

kstat(1M)

ktkt_warnd(1M)

labeld(1M)

labelit(1M)

labelit_hsfs(1M)

labelit_udfs(1M)

labelit_ufs(1M)

lastlogin(1M)

latencytop(1M)

ldapaddent(1M)

ldap_cachemgr(1M)

ldapclient(1M)

ldmad(1M)

link(1M)

llc2_loop(1M)

lldpadm(1M)

lldpd(1M)

lms(1M)

localectr(1M)

locator(1M)

lockd(1M)

lockfs(1M)

lockstat(1M)

lofiadm(1M)

logadm(1M)

logins(1M)

lpget(1M)

lpset(1M)

luxadm(1M)

システム管理コマンド - パート 2

システム管理コマンド - パート 3

dnssec-signzone

- DNSSEC ゾーン署名ツール

形式

dnssec-signzone [-Aaghptz] [-c class] [-d directory] 
     [-e end-time] [-f output-file] [-H iterations] [-I input_format]
     [-i interval] [-k key] [-l domain] [-N soa-serial-format] [-n ncpus]
     [-O output_format] [-o origin] [-r randomdev] [-s start-time]
     [-v level] [-3 salt] zonefile [key]...

機能説明

dnssec-signzone ユーティリティーはゾーンに署名します。このユーティリティーは NSEC レコードと RRSIG レコードを生成し、ゾーンの署名されたバージョンを生成します。署名されたゾーンからの委譲のセキュリティーステータス (つまり、子ゾーンがセキュリティー保護されているかどうか) は、子ゾーンごとに keyset ファイルが存在するかどうかによって決まります。

オプション

次のオプションがサポートされています。

-A

NSEC3 チェーンを生成するときに、すべての NSEC3 レコードに OPTOUT フラグを設定し、安全でない委譲に対しては NSEC3 レコードを生成しません。

-a

生成されたすべての署名を確認します。

-c class

ゾーンの DNS クラスを指定します。

-d directory

directory 内の keyset ファイルを検索します。

-e end-time

生成された RRSIG レコードの有効期限が切れる日時を指定します。start-time と同様に、YYYYMMDDHHMMSS の表記で絶対時間が示されます。開始時刻からの相対時間は +N で示されます。これは、開始時刻から N 秒後であることを示します。現在の時刻からの相対時間は now+N で示されます。end-time が指定されていない場合、開始時刻から 30 日後の日時がデフォルトとして使用されます。

-f output-file

署名されたゾーンを含む出力ファイルの名前。デフォルトでは、入力ファイル名に .signed が付加されます。

-g

keyset ファイルから子ゾーンの DS レコードを生成します。既存の DS レコードは削除されます。

-H iterations

NSEC3 チェーンを生成するときに、iterations で指定された繰り返しの数を使用します。デフォルトは 100 です。

-h

dnssec-signzone() のオプションと引数の簡単な要約を出力します。

-I input-format

入力ゾーンファイルの形式。指定可能な形式は text (デフォルト) と raw です。このオプションは、動的に署名されたゾーンを主に想定したもので、更新を含む非テキスト形式のダンプされたゾーンファイルに直接署名できるようにします。動的でないゾーンに対してこのオプションを使用しても、意味がありません。

-i interval

サイクル間隔 (秒単位) を現在の時刻からのオフセットとして指定します。以前に署名されたゾーンが入力として渡された場合は、レコードに再度署名できます。サイクル間隔のあとで RRSIG レコードの有効期限が切れた場合、そのレコードは保持されます。それ以外の場合は、有効期限が間もなく切れるとみなされ、レコードは置き換えられます。

デフォルトのサイクル間隔は、署名の終了時刻と開始時刻の差の 4 分の 1 です。end-timestart-time のどちらも指定されていない場合、dnssec-signzone は、有効期間が 30 日でサイクル間隔が 7.5 日の署名を生成します。7.5 日よりも短い期間で有効期限が切れる既存の RRSIG レコードは、すべて置き換えられます。

-j jitter

固定された署名有効期間でゾーンに署名すると、署名した時点で発行されたすべての RRSIG レコードが同時に有効期限切れになります。ゾーンが増分的に署名される、つまり、以前に署名されたゾーンが署名者に入力として渡される場合は、期限切れとなるすべての署名をほぼ同じ時刻に再生成する必要があります。jitter オプションは、署名の期限切れ時刻をランダム化するために使用されるジッター時間を指定することにより、増分的な署名の再生成を徐々に分散させます。

署名の有効期間のジッターは、キャッシュの有効期限を分散させるため、バリデータとサーバーにもある程度のメリットをもたらします。つまり、すべてのキャッシュにある多数の RRSIG が同時に有効期限切れにならなければ、すべてのバリデータでほぼ同じ時刻に再取得が必要になる場合に比べて輻輳は少なくなります。

-k key

指定された key を鍵署名鍵として扱い、鍵フラグをすべて無視します。このオプションは複数回指定できます。

-l domain

鍵 (DNSKEY) と DS セットに加えて DLV セットを生成します。ドメインがレコードの名前に付加されます。

-N soa-serial-format

署名されたゾーンの SOA シリアル番号形式。指定可能な形式は、次に説明するように keep (デフォルト)、increment、および unixtime です。

keep

SOA シリアル番号を変更しません。

increment

RFC 1982 の算術式を使用して SOA シリアル番号を増分します。

unixtime

SOA シリアル番号を epoch からの経過秒数に設定します。

-n nthreads

使用するスレッドの数を指定します。デフォルトでは、検出された CPU ごとに 1 つのスレッドが開始されます。

-O output_format

署名されたゾーンを含む出力ファイルの形式。指定可能な形式は text (デフォルト) と raw です。

-o origin

ゾーンの起点を指定します。指定されていない場合、ゾーンファイルの名前が起点とみなされます。

-p

ゾーンに署名するときに疑似乱数データを使用します。この方法は実際のランダムデータを使用する場合に比べて高速ですが、安全性は低下します。このオプションは、大規模なゾーンに署名する場合や、エントロピソースが制限されている場合に役立つことがあります。

-r randomdev

乱数発生元を指定します。オペレーティングシステムによって /dev/random または同等のデバイスが提供されていない場合、デフォルトの乱数発生元はキーボード入力です。randomdev は、このデフォルトの /dev/random の代わりに使用される、ランダムデータを含む文字デバイスまたはファイルの名前を指定します。特殊な値 keyboard は、キーボード入力を使用する必要があることを示します。

-s start-time

生成された RRSIG レコードが有効になる日時を指定します。これは絶対時間または相対時間のどちらでもかまいません。絶対開始時刻は、YYYYMMDDHHMMSS という表記の数値で示されます。20000530144500 は、2000 年 5 月 30 日の 14:45:00 UTC のことです。相対開始時刻は +N で示されます。これは、現在の時刻から N 秒後であることを示します。start-time が指定されていない場合は、(クロックスキューを考慮して) 現在の時刻から 1 時間前の時刻が使用されます。

-t

完了時に統計情報を出力します。

-v level

デバッグのレベルを設定します。

-z

署名する対象を決定するときに、鍵の KSK フラグを無視します。

-3 salt

指定された 16 進数でエンコードされた salt を持つ NSEC3 チェーンを生成します。ダッシュ (-) を使用すると、NSEC3 チェーンを生成するときにソルトが使用されないことを示すことができます。

オペランド

次のオペランドがサポートされています。

zonefile

署名されるゾーンを含むファイル。

key

ゾーンに署名するためにどの鍵を使用するべきかを指定します。鍵が指定されていない場合は、ゾーンの頂点に DNSKEY レコードがないかどうかが検証されます。レコードが見つかり、かつ一致する秘密鍵が現在のディレクトリ内に存在する場合は、これらの秘密鍵が署名に使用されます。

使用例

例 1 DSA 鍵によるゾーンへの署名

次のコマンドは、dnssec-keygen(1M) のマニュアルページにある例で生成された DSA 鍵を使用して example.com ゾーンに署名します (Kexample.com.+003+17247)。ゾーンの鍵がマスターファイル (db.example.com) に存在する必要があります。この呼び出しでは、現在のディレクトリ内で鍵セットファイルを検索することにより、それらのファイルから DS レコードを生成できるようにしています (-g)。

% dnssec-signzone -g -o example.com db.example.com \
Kexample.com.+003+17247
db.example.com.signed
%

上の例では、dnssec-signzone はファイル db.example.com.signed を作成します。このファイルは、named.conf ファイル内の zone 文で参照される必要があります。

例 2 以前に署名されたゾーンへの再署名

次のコマンドは、デフォルトのパラメータを使用して、以前に署名されたゾーンに再署名します。秘密鍵が現在のディレクトリに存在しているものとします。

% cp db.example.com.signed db.example.com
% dnssec-signzone -o example.com db.example.com \
db.example.com.signed
%

属性

次の属性についての詳細は、attributes(5) を参照してください。

属性タイプ
属性値
使用条件
service/network/dns/bind
インタフェースの安定性
「流動的」

関連項目

dnssec-keygen(1M), attributes(5)

RFC 4033

『BIND 9 Administrator's Reference Manual』を参照してください。このマニュアルページの発行日付時点で、このドキュメントは https://www.isc.org/software/bind/documentation から利用できます。

Copyright © 2011, Oracle and/or its affiliates. All rights reserved. 著作権について
戻る 次へ