Hlavní navigace

Novinky v Knot DNS

Knot DNS je využíván pro ukázky a praktická cvičení na vybraných kurzech Akademie CZ.NIC. Pojďme se podívat, jaká vylepšení přináší a co nového se tak na našich kurzech dozvíte.

Ukážeme si několik vylepšení včetně změny konfigurace DNSSECu a také možnost jak pomocí šablon zpřehlednit a zjednodušit konfiguraci vašeho DNS serveru.

DNSSEC

Od verze 2.3.0 se mění konfigurace DNSSECu, která se přesunula z nástroje keymgr do hlavního konfiguračního souboru knot.conf. Stále je možno používat i původní postup, ale doporučujeme ale přesun konfigurace do souboru, neboť původní způsob může být v budoucí verzi odstraněn. V souboru knot.conf vznikla nová sekce policy, která slouží k nastavení příslušné DNSSEC politiky. V politice není nutné specifikovat všechny parametry, v tom případě se použijí pro nenastavené parametry výchozí hodnoty uvedené v dokumentaci. Nově je také k dispozici automatická tvorba NSEC3 chainu včetně vygenerování NSEC3 SALT a jeho pravidelného přegenerování pro obtížnější procházení zóny nezvanými návštěvníky. Minimalistická konfigurace DNSSECu pak může vypadat následovně

zone:
  - id: example.com
    dnssec-signing: on
    dnssec-policy: default

Šablony

Šablony  umožňují definovat společné parametry pro skupinu zón. Stejně jako u politiky existuje speciální šablona s názvem default, která se použije v případě, že není žádná jiná šablona definovaná. V šabloně můžete definovat stejné parametry jako přímo v zóně. Pokud například přecházíte z DNS serveru BIND a máte soubory ve tvaru db.example.com můžete do výchozí šablony použít direktivu file: “db.%s“, kde %s je zástupný symbol pro doménové jméno. Ve spojení s DNSSECem by mohla šablona vypadat následovně:

template
  - id: default
    file: "db.%s"
    dnssec-signing: on
    dnssec-policy: default

a následně je možné definovat všechny domény pouze jejich jménem v sekci zone

zone:
  - id: example.com
  - id: example.org
  - id: example.net

Pro zájemce o toto téma jsou v Akademii CZ.NIC přichystány kurzy Principy a správa DNS a DNSSEC – Zapezpečení DNS, na kterých se posluchači podrobněji seznámí s konfigurací (nejen) KnotDNS a vyzkouší si také zmiňované postupy v praxi.

Přihlásit se na tyto kurzy je možné na akademie.nic.cz.