名前付き構成ファイル
namedサービスの主要な構成ファイルは/etc/named.confです。 詳細な構成情報は、named.conf(5)マニュアル・ページおよび「BIND 9管理者リファレンス・マニュアル」を参照してください。
デフォルトの構成
次の例は、bindパッケージとともにインストールされる、デフォルトの/etc/named.confファイルからの抜粋であり、キャッシュ専用ネーム・サーバーを構成しています。
options {
listen-on port 53 { 127.0.0.1; };
listen-on-v6 port 53 { ::1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
secroots-file "/var/named/data/named.secroots";
recursing-file "/var/named/data/named.recursing";
allow-query { localnets; };
recursion yes;
dnssec-enable yes;
dnssec-validation yes;
/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";
managed-keys-directory "/var/named/dynamic";
 pid-file "/run/named/named.pid";
session-keyfile "/run/named/session.key";
/* https://fedoraproject.org/wiki/Changes/CryptoPolicy */
include "/etc/crypto-policies/back-ends/bind.config";
};
logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};
zone "." IN {
type hint;
file "named.ca";
};
include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";オプション・ブロック
optionsブロックは、グローバル・サーバー構成オプションを定義し、他の文のデフォルトを設定します。
-
listen-on -
namedが問合せをリスニングするポートを指定します。 -
directory -
相対パス名が指定された場合のゾーン・ファイルのデフォルト・ディレクトリを指定します。
-
dump-file -
クラッシュした場合に、
namedがそのキャッシュをダンプする場所を指定します。 -
statistics-file -
rndc statsコマンドの出力ファイルを指定します。
-
memstatistics-file -
namedのメモリー使用量統計の出力ファイルを指定します。 -
allow-query -
どのIPアドレスでそのサーバーを問い合せることができるかを指定します。
localnetsにすると、ローカルにアタッチされているすべてのネットワークが指定されます。 -
recursion -
ネーム・サーバーが再帰問合せを実行するかどうかを指定します。
-
dnssec-enable -
セキュアDNS (DNSSEC)を使用するかどうかを指定します。
-
dnssec-validation -
DNSSEC対応ゾーンからの応答をネーム・サーバーで検証する必要があるかどうかを指定します。
-
dnssec-lookaside -
bindkeys-fileで定義されている/etc/named.iscdlv.key内のキーを使用したDNSSECルックアサイド検証(DLV)を有効にするかどうかを指定します。
ログ・ブロック
loggingブロックは、/var/named/data/named.runへのメッセージのロギングをアクティブ化します。 severityパラメータにより、ロギング・レベルを制御します。dynamicという値は、rndc traceコマンドを使用してこのレベルを制御できることを意味します。
ゾーン・ブロック
zoneブロックは、ヒント・ゾーンを使用してルート・サーバーの初期セットを指定します。 このゾーンにより、namedで/var/named/named.caを調べてルート・ドメイン(.)のオーソリタティブ・サーバーのIPアドレスを確認することを指定します。
ゾーン定義の例
ネットワーク環境に適した定義を構成ファイルに追加できます。 次の例では、サービスの設定を定義し、ゾーンのトップレベル定義を行います。
include "/etc/rndc.key";
controls {
inet 127.0.0.1 allow { localhost; } keys { "rndc-key"; }
};
zone "us.example.com" {
type master;
file "master-data";
allow-update { key "rndc-key"; };
notify yes;
};
zone "example.com" IN {
type slave;
file "sec/slave-data";
allow-update { key "rndc-key"; };
masters {10.1.32.1;};
};
zone "2.168.192.in-addr.arpa" IN {
type master;
file "reverse-192.168.2";
allow-update { key ârndc-keyâ; };
notify yes;
};includeディレクティブを使用すると、キー・ハッシュなどの機密データを制限された権限を持つ別のファイルに配置できるように、外部ファイルを参照できます。
controlsブロックは、namedサーバーでrndcコマンドを使用するために必要なアクセス情報およびセキュリティ要件を定義します:
-
inet -
rndcを実行してnamedを制御できるホストを指定します。 この例では、rndcはローカル・ホスト(
127.0.0.1)で実行する必要があります。 -
keys -
使用できるキーの名前を指定します。 この例では、
/etc/rndc.keyで定義されているrndc-keyというキーを使用することを指定しています。 キーは、namedに基づいて様々なアクションを認証します。また、これはリモート・アクセスおよび管理を制御する主要な方法です。
zoneブロックは、異なるゾーンでのサーバーのロールを定義します。
次のゾーン・オプションを使用できます。
-
type -
このシステムがゾーン
us.example.comのプライマリ・ネーム・サーバーであり、example.comのバックアップ・サーバーであることを指定します。2.168.192.in-addr.arpaは、IPアドレスをホスト名に解決するためのリバース・ゾーンです。 「リバース名前解決のリソース・レコード」を参照してください。 -
file -
/var/namedを基準にしてゾーン・ファイルのパスを指定します。us.example.comのゾーン・ファイルは/var/named/master-dataに格納され、example.comの転送されたゾーン・データは/var/named/sec/slave-dataにキャッシュされます。 -
allow-update -
プライマリからバックアップへのゾーン転送を行うには、プライマリとバックアップの両方のネーム・サーバーに共有キーが存在する必要があることを指定します。
/etc/rndc.keyファイル内のキーについてレコード例を次に示します。key "rndc-key" { algorithm hmac-md5; secret "XQX8NmM41+RfbbSdcqOejg=="; };キー・ファイルは、rndc-confgen -aコマンドを使用して生成できます。
-
notify -
ゾーン情報の更新時にバックアップ・ネーム・サーバーに通知するかどうかを指定します。
-
masters -
バックアップ・ネーム・サーバーのプライマリ・ネーム・サーバーを指定します。