首页 > 代码库 > DNS子域授权

DNS子域授权

实现DNS子域授权功能:

实验环境:主DNS服务器,IP:192.168.1.132

          从DNS服务器,IP:192.168.1.133

          MAIL服务器, IP:192.168.1.135

          WWW服务器,  IP:192.168.1.128

          子域DNS服务器,IP:192.168.1.200

实现过程如下:

首先在父域的区域解析库中添加“胶水记录”,同时将序列号数值增加1;

wKioL1PiSaqyYqK4AAEZskcV8ug814.jpg

准备子域DNS服务器192.168.1.200,安装bind程序,安装主配置文件。

wKiom1PiSfXxMR8xAAHrlOAWWhw268.jpg

在子域服务器配置文件中添加正向区域:

wKioL1PiS2OhyszNAAB-7eHb5ag841.jpg

新建区域数据解析文件,# vim tech.sueking.com.zone

wKiom1PiS4SQbQ32AADEkWwualQ474.jpg

修改正向数据文件属性,检查配置文件语法,启动服务:

# chgrp named /var/named/tech.sueking.com.zone

# chmod 640 /var/named/tech.sueking.com.zone

# checkconf

# service named start

使用dig命令测试子域内的DNS解析服务是否正常:

wKiom1PiTEaB_cA0AAKKKoxEDwQ589.jpg

在主服务器端使用dig命令测试:

wKiom1PiTK7yTCwlAAJqgLYEsF8136.jpg

现在父域可以查询子域的DNS服务器了,通常情况下,子域服务器和父域服务器在一个物理网络内,在解析父域的服务器时,我们更期望直接解析到父域服务器,而不是从根节点开始查询,要实现这个功能我们可以在子域的DNS服务器中配置转发器或者配置转发域就可以达到这个目的。

方法一:配置转发器,在配置文件中options字段中添加forward和forwarders条目:

wKioL1PiTt6B_MhrAAE7o9tw7T0378.jpg

注:forward的选项可以有first和only,only选项是只会接受父域查询的返回结果,而first会先将查询请求转发给父域服务器,如果父域未返回结果,那么子域服务器在可以联网的情况下将查询请求提交给根节点服务器,使用迭代方式查询。

在配置文件中添加条目后,重启服务,# rndc reload

wKiom1PiTwzxHrJuAALnX3xI4Fc577.jpg

这是在子域中查询父域的信息,可以正常显示,这种方式配置的是转发器,所有的查询请求直接提交给父域服务器,如果子域服务器可以连接互联网的情况下,查询请求的转发可以做进一步划分,比如只将父域的查询请求提交给父域服务器,其他域的服务器提交给根节点服务器然后再一步步查询,这样可以减轻父域DNS服务器的压力,配置方法如下,在配置文件中添加转发域:

wKiom1PiT8njxAJ5AACUrktTDv0960.jpg

配置完成后,重启服务,在子域中测试:

wKioL1PiUSXQFv41AAMEWjp426o153.jpg

这样也可以达到查询父域信息的请求,如果子域中的DNS服务器可以联网,建议使用这种方式。