DNS Yetkilendirme Nedir?

In my önceki soruya bir cevap ben bu satırları fark ettik:

Bu normalde, çoğu ev kullanıcısı kurulumundan kopmuş olan bu heyetin son aşaması. Bir kayıt şirketi / servis sağlayıcısına sahip bir alan adı satın alma sürecinden geçtiler, ancak daha sonra delegasyonu kendi ad sunucularına yönlendirmek için alanı yapılandıramadı. Delegasyon adımınızı işe almak için tutkal kayıtlarını yapmadan önce, kayıt memurlarınızın nerede olduklarını gerçekte söylemelisiniz.

DNS Yetkilendirme Nedir? O nasıl çalışır? Varsayımsal alan için tam bir açıklama abc.comyararlı olacaktır.

Fiziksel anlamda, delegasyon bir yöneticinin görev sorumluluklarını personeline nasıl devredeceği ile benzerdir. Sonuçlar aynıdır, ancak sürece birden fazla kişi dahil olmuştur. Yönetici iş talebini alır, sorumluluğu başka bir personel üyesine iletir ve personel ya da yönetici iş sonuçlarıyla birlikte geri döner. Tüm bunlar, personel üyesinin yaptığı işin gerçekten doğru olması ve orijinal istekte bulunanın istediği şey olduğu (ya da istekte bulunanın aslında ilk önce geçerli olan bir şey istediği!) Şartıdır.

DNS heyeti ile oldukça benzer. Ne zaman comad sunucuları bölgenin yetkisini bulmak için yer istenir example.com, genellikle temsilci ayrı ad sunucularına bu işten (vakaların büyük çoğunluğunda aslında, onlar aslında temsilci diğer isim sunucularına yanıtını yapmak). Bir etki alanına ilk kaydolduğunuzda, etki alanımızı söyleyin example.com, bu genellikle kayıt şirketi olarak adlandırılan üçüncü bir taraf aracılığıyla yapılır. Kayıt şirketleri tarafından delegasyon için ad sunucularını koymak ve bu ad sunucularından varsayılan bir bölge sunmak yaygın bir uygulamadır. Bu varsayılan bölge internette (o bölgeyi hizmet etmek temel gereklilikleri içerir SOA, NSve Abu NS kayıtları ile ilişkili kayıtları).

Açıkça, eğer etki alanının otoritesinin kontrolünü kendiniz almak istiyorsanız , kayıt defterinden bunun yerine etki alanını ad sunucunuza devretmesini istemeniz gerekir. Farklı kayıt şirketleri bu süreçte farklı şekillerde, “ad sunucularını değiştir”, “üçüncü taraf DNS kullan”, “Tutkal kayıtları ekle” vb. Anlamına gelir. Altındaki mekanizma aynı kalır. Genel olarak, 2 veya daha fazla "isim sunucusu adı" (örneğin ns0.example.comve ns1.example.com) ve hangi ns0ve adreslerinin IP adreslerini sağlarsınız ns1. Ardından talebi işleme koyarlar ve delegasyon kayıt görevlisinizden verdiğiniz ad sunucularına yönlendirilir.

Teknik açıdan, bu noktada, ad sunucularınızın çalışır durumda ve çalışır durumda olduğundan emin olmak zorundasınız, etki alanı example.comiçin en az bir SOA(otorite kaydı), 1 veya daha fazla NSkayıt ve Abu NS'nin kaydettiği kayıtlar (IP) aşağıdakilerden çözüldü:

example.com.   IN SOA ns0.example.com. hostmaster.example.com. ( 10 3600 900 604800 7200 )
           IN NS  ns0.example.com.
           IN NS  ns1.example.com.
ns0        IN A   192.0.2.8
ns1        IN A   192.0.2.44

(SOA değerleri için bir miktar rasgele değer, NS kayıtları için adlar ve bu ad sunucularının çözümlediği IP'ler seçtim). Bunların hepsi hizmet ettiğiniz bölgeyi yansıtmak zorunda kalacak.

Bu DNS servisinin internetteki herhangi bir yerden görülebilmesi ve güvenlik duvarına maruz kalmaması gerekir (bu bağlantı noktası 53 udp ve gelen tcp'ye izin verilir). Ayrıca servis sağlayıcınız da bu bağlantı noktasını engellememelidir (bazı sağlayıcılar bu bağlantı noktalarına gelen gelen trafiği engeller).

Benim orijinal karşılaştırma göz önüne alındığında, comad sunucularının bölgeyi delege DNS yöneticileri olan example.comtemel dilimi bilgilerini sağlama işi yapmak için ad sunucularını (personel) için ( SOA, NS, A). Ayrıca posta sunucusu kayıtları gibi ek kayıtlar sunabilir MXveya adresiniz Aiçin kayıt olabilirsiniz www.example.com.

Bu ad sunucusu işi yapmazsa, yanlış sonuçlar verirse veya işi engelleyen bir üçüncü taraf (güvenlik duvarı / İSS) varsa, çalışma DNSiniz olmaz ve yetki verilmez.

Aynı zamanda etki alanı böylece, aynı etki alanındaki ad sunucularını delege olmak zorunda ETMEZ dikkati çekiyor olabilir ns0.example.netve ns0.example.orghem olabilirdi geçerli nameserverın olabilir example.comkendilerine verilen. Her iki isim sunucusu sağlanan example.cometki alanı sağladı.

DNS cinsinden yetki devri, yukarıdaki hiyerarşideki ad sunucusunun etki alanınıza gelen her isteği bir yanıtla yanıtlayacağı anlamına gelir NS.

Öyleyse, abc.comyapardın:

$ dig com.
=>
com.        896 IN  SOA a.gtld-servers.net.  ...

Ardından, bu ad sunucusunu özel olarak sorgulayın abc.com:

$ dig abc.com @a.gtld-servers.net.
=>
;; AUTHORITY SECTION:
abc.com.    172800  IN  NS  sens01.dig.com.
abc.com.    172800  IN  NS  sens02.dig.com.
abc.com.    172800  IN  NS  orns01.dig.com.
abc.com.    172800  IN  NS  orns02.dig.com.

Tutkal kayıtları, ad sunucularınızın ana bilgisayar .comadlarına ek olarak, otoritenin IP adreslerini de bildiği anlamına gelir .

Yapıştırıcı kayıtları ayarlanmışsa, yukarıdaki sorgu size her isim sunucusu için deA/AAAA cevap verecektir .

Etki alanınız içinde örneğin istediğiniz gibi ana bilgisayarlar tanımlayabilirsiniz mymailserver. Posta sunucunuza bağlanmak için, IP Adreslerini belirlemek üzere DNS'yi kullanmam gerekiyor ve bu amaçla ad ağacında nerede arama yapmam gerektiğini bilmem gerekiyor mymailserver.

Kulağa karmaşık geliyor, ama bu tam olarak ne "tam nitelikli etki alanı adı" (FQDN) kullanıyoruz. Bir dizi tanımlarsanız mymailserveretki alanınızdaki abc.com.konak FQDN sahip olduğunu mymailserver.abc.com.. Bu bilgiyle, bu adı doğru IP adresine çözebilirim.

Formun tüm ana bilgisayarlarını oluşturmak zorunda değilsiniz <hostname>.abc.com., ayrıca istediğiniz gibi dallanabilirsiniz. servers.abc.com.Örneğin, tüm sunucularınızı oraya alabilir ve koyabilirsiniz mymailserver.servers.abc.com.. Domain, çünkü bunu yapabilirler abc.com.edildi delege size. Bu, biten herhangi bir etki alanı ve etki alanı adı için istekte bulunma yetkiniz olduğu anlamına gelir abc.com.. Bu nedenle, kalpleri içeriğiniz için ana bilgisayarlar ve dal alt alanları tanımlayabilirsiniz.

Yetkilendirme, bir etki alanı sahibinin bir başkası için bir şube üzerinde tam denetim sağladığı anlamına gelir. Tıpkı com.alt etki alanını abc.com.size devrettiği gibi, alt etki alanlarını dağıtabilirsiniz, örneğin def.abc.com.ve bana devredebilirsiniz. Etki alanımda, size ve hatta com.sahiplerine sormak, anlatmak zorunda kalmadan istediğim / ne istersem onu ​​tanımlayabilirim .

O nasıl çalışır? DNS kayıtlarınıza, " def.abc.comlütfen DNS sunucusuna sorma hakkında bilgi için" yazan bir bilgi parçası koymanız yeterlidir hisdnsserver.def.abc.com.. Tabii ki, bu sunucuyu sorgulamak için bir IP adresini bilmek gerekiyor hisdnsserver.def.abc.com.. Yapıştırıcı kayıtları bunun için var. Aslında bir tanesi az önce diğeri IP adresi olmak üzere 2 bilgi verdiniz hisdnsserver.def.abc.com.. Bu şekilde, herhangi bir def.abc.com.kişiye, bu alt alanın yetkilisine işaret edecek kadar bilgi içeren bir soru sunarsınız.

Neden programlar def.abc.com.ilk başta sizi sordu ? İçin yetki Çünkü abc.com.ve yetkisi com.hakkında isteyiciye iki bilgi verdi yourdnsserverve abc.com....