Linux DNS (bind) 子域授权

一个区域内可能有主DNS、从DNS、子域DNS,本节以主DNS授权子域为例讲解.

子域授权配置过程:

1、编辑主DNS正向区域文件

[[email protected] named]# vim dove.com.zone    #编辑主DNS正向区域文件
$TTL    600
@       IN      SOA     dove.com.       admin.dove.com. (
           2015041802   #由于有从DNS服务器,所以序列号每次修改须加一
                2H
                5M
                3D
                1D )
        IN      NS       dns
        IN      NS       Slave
        IN      MX 9     mail
dns       IN      A       192.168.8.7
mail      IN      A       192.168.8.8
www       IN      A       192.168.8.8
web       IN      CNAME     www
Slave      IN      A       192.168.8.9
                            #中间空行表示不继承前面区域名称
dep1      IN      NS     dns.dep1   #在主DNS添加子域DNS NS记录
dns.dep1    IN      A     192.168.8.10 #在主DNS添加子域DNS 对应A记录

2、安装子域DNS bind相关包

[[email protected] ~]# yum -y install bind    #安装bind包
/etc/logrotate.d/named        
/etc/named.conf        #主配置文件
/etc/named.iscdlv.key     #bind密钥文件
/etc/named.rfc1912.zones    #区域配置文件（用include指令包含在主配置文件）
/etc/named.root.key      #根区域key文件以实现事务签名
/etc/rndc.conf         #rndc（远程名称服务器控制器）配置文件
/etc/rndc.key         #rndc加密密钥
/etc/sysconfig/named      #bind进程选项
/var/named/named.ca      #全球13个根服务器存放文件
/var/named/named.empty
/var/named/named.localhost   #本地正向解析区域文件
/var/named/named.loopback   #本地反向解析区域文件

3、编辑主配置文件,注释相关选项

[[email protected] named]# vim /etc/named.conf       #编辑主配置文件,使用双斜线注释如下三项

options {

//      listen-on port 53 { 127.0.0.1; };    #注释只本地监听端口

//      listen-on-v6 port 53 { ::1; };      #注释IPV6监听端口

directory       "/var/named";

dump-file       "/var/named/data/cache_dump.db";

statistics-file "/var/named/data/named_stats.txt";

memstatistics-file "/var/named/data/named_mem_stats.txt";

//      allow-query     { localhost; };    #注释只允许本地请求

4、编辑子域区域配置文件

[[email protected] named]# vim /etc/named.rfc1912.zones  #编辑配置文件,添加子域区域
zone "dep1.dove.com" IN {
   type master;
  file "dep1.dove.com.zone";
};

5、创建子域区域解析文件

[[email protected] named]# vim dep1.dove.com.zone     #编辑子域区域解析文件
$TTL    600
@       IN      SOA     dep1.dove.com.  admin.dep1.dove.com. (
                2015042101
                2H
                5M
                3D
                2H )
        IN      NS      dns       #添加子域NS记录
dns       IN      A       192.168.8.10  #添加子域对应A记录
www       IN      A       192.168.8.11

[[email protected] named]# chmod 640 dep1.dove.com.zone     #修改区域文件权限
[[email protected] named]# chown :named  dep1.dove.com.zone   #修改区域文件属组

6、dig工具测试解析

[[email protected] named]# setenforce 0          #关闭selinux,防止同步失败
[[email protected] named]# service iptables stop     #停止iptables服务,防止同步失败
[[email protected] named]# dig -t A www.dep1.dove.com  #使用主DNS解析子域上一台主机成功
; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.30.rc1.el6 <<>> -t A www.dep1.dove.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 52525
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;www.dep1.dove.com.		IN	A

;; ANSWER SECTION:
www.dep1.dove.com.	600	IN	A	192.168.8.11

;; AUTHORITY SECTION:
dep1.dove.com.		600	IN	NS	dns.dep1.dove.com.

;; Query time: 738 msec
;; SERVER: 192.168.8.7#53(192.168.8.7)
;; WHEN: Tue Apr 21 21:08:31 2015
;; MSG SIZE  rcvd: 69

[[email protected] slaves]# cat dove.com.zone   #查看从DNS服务器,从主服务器同步成功
$ORIGIN .
$TTL 600	; 10 minutes
dove.com		IN SOA	dove.com. admin.dove.com. (
				2015041802; serial
				7200   ; refresh (2 hours)
				300    ; retry (5 minutes)
				259200  ; expire (3 days)
				86400   ; minimum (1 day)
				)
			NS	dns.dove.com.
			NS	Slave.dove.com.
			MX   9 mail.dove.com.
$ORIGIN dove.com.
dep1			NS	dns.dep1
$ORIGIN dep1.dove.com.
dns			A	192.168.8.10
$ORIGIN dove.com.                  $ORIGIN定义区域名
dns			A	192.168.8.7
mail			A	192.168.8.8
Slave			A	192.168.8.9
web			CNAME	www
www			A	192.168.8.8

The End! 至此Linux子域授权配置完成.