os/doc
3
0
Fork 0
Code Issues Pull requests Projects Releases Wiki Activity

MFen: Resync with the English version of the handbook (DNSSEC part)

Browse source 
Obtained from: FreeBSD Mongolian Documentation project
This commit is contained in:
Ganbold Tsagaankhuu 2011-09-14 01:30:23 +00:00
parent 3470dfa087
commit 99de9e5936
Notes: svn2git 2020-12-08 03:00:23 +00:00 
svn path=/head/; revision=37695
1 changed files with 383 additions and 8 deletions

391
mn_MN.UTF-8/books/handbook/network-servers/chapter.sgml
View file

@ -1,7 +1,7 @@
<!--
The FreeBSD Mongolian Documentation Project
Original revision 1.131
Original revision 1.136
$FreeBSD$
-->
@ -3644,6 +3644,343 @@ A болон CNAME бичлэгийн оронд PTR бичлэгийг хэрэ
хариултыг дараа хэрэглэхээр тогтоож авдаг.</para>
</sect2>
<sect2>
<title><acronym
role="Domain Name Security Extensions">DNSSEC</acronym></title>
<indexterm>
<primary>BIND</primary>
<secondary>DNS аюулгүй байдлын өргөтгөлүүд</secondary>
</indexterm>
<para>Домэйн Нэрийн Системийн Аюулгүй байдлын Өргөтгөлүүд, товчоор <acronym
role="Domain Name Security Extensions">DNSSEC</acronym>, бол нэр тайлагч серверүүдийг
залилуулсан <acronym>DNS</acronym> бичлэг гэх мэт хуурамч <acronym>DNS</acronym> өгөгдлөөс
хамгаалах заавруудын иж бүрдэл юм. Электрон гарын үсгийн тусламжтай нэр тайлагч нь бичлэгийн
бүрэн бүтэн байдлыг магадлах боломжтой. <acronym
role="Domain Name Security Extensions">DNSSEC</acronym> нь зөвхөн Боломжит Бичлэгүүд дээр
(<acronym role="Resource Record">RR</acronym>s) электрон гарын үсэг зурах замаар
өгөгдлийн бүрэн бүтэн байдлыг хангадаг болохыг тэмдэглэн хэлье. Нууцлалыг хангаж, эцсийн хэрэглэгчийн
буруу үйлдлээс хамгаалж чадахгүй. Өөрөөр хэлбэл хүмүүсийг <hostid role="domainname">example.com</hostid>-н оронд
<hostid role="domainname">example.net</hostid>-руу орохыг болиулж чадахгүй гэсэн үг юм.
<acronym>DNSSEC</acronym>-н хийж чадах ганц зүйл бол өгөгдөл замдаа хувиралгүйгээр очсоныг магадлан тогтоох юм.
<acronym>DNS</acronym>-н аюулгүй байдал бол Интернэтийн аюулгүй байдлыг хангахад чухал алхам болдог.
<acronym>DNSSEC</acronym> хэрхэн ажилладаг талаар дэлгэрэнгүй мэдээллийг тухайн <acronym>RFC</acronym>-үүдээс аваарай.
<xref linkend="dns-read">-д байгаа жагсаалтыг үзнэ үү.</para>
<para>Дараах бүлгүүдэд <acronym>BIND</acronym> 9 ажиллаж байгаа бүрэн эрхт <acronym>DNS</acronym> сервер
болон рекурсив (эсвэл түр тогтоогч) <acronym>DNS</acronym> сервер
дээр <acronym>DNSSEC</acronym>-г хэрхэн идэвхжүүлэхийг үзүүлэх болно.
<acronym>BIND</acronym> 9-н бүх хувилбарууд <acronym>DNSSEC</acronym>-г дэмжих боловч,
<acronym>DNS</acronym> асуулгуудын хүчинтэй эсэхийг шалгахад гарын үсэгтэй эх бүсийг
ашиглахын тулд хамгийн багадаа 9.6.2 хувилбарыг суулгах шаардлагатай.
Яагаад гэвэл өмнөх хувилбаруудад эх (root) бүсийн түлхүүрийг ашиглах шалгалтыг
идэвхжүүлэхэд шаардлагатай алгоритмууд байдаггүй. Эх түлхүүрт зориулж
автоматаар түлхүүрийг шинэчлэх боломж болон автоматаар бүсүүдийг гарын
үсгээр баталгаажуулж гарын үсгүүдийг байнга шинэ байлгахын тулд
<acronym>BIND</acronym>-ийн хамгийн сүүлийн хувилбар 9.7 юм уу эсвэл
түүний дараагийн хувилбарыг ашиглахыг шаарддаг. 9.6.2 болон 9.7 болон
түүнээс хойшхи хувилбаруудын хооронд тохиргооны зөрүү байвал
харуулах болно.</para>
<sect3>
<title>Рекурсив <acronym>DNS</acronym> серверийн тохиргоо</title>
<para>Рекурсив <acronym>DNS</acronym> серверийн гүйцэтгэсэн хүсэлтүүдийн
<acronym>DNSSEC</acronym> шалгалтыг идэвхжүүлэхийн тулд
<filename>named.conf</filename> файлд цөөн өөрчлөлтийг хийх хэрэгтэй.
Эдгээр өөрчлөлтүүдийг хийхээс өмнө эх бүсийн түлхүүр эсвэл итгэлцлийн
анкорыг (anchor) авсан байх шаардлагатай. Одоогоор эх бүсийн түлхүүр нь
<acronym>BIND</acronym> ойлгох файлын форматаар байдаггүй бөгөөд
зөв хэлбэр рүү гараар хувиргах ёстой байдаг. Түлхүүрийг
<application>dig</application> ашиглан эх бүсээс асууж авч болдог.
Ингэхийн тулд</para>
<screen>&prompt.user; <userinput>dig +multi +noall +answer DNSKEY . &gt; root.dnskey</userinput></screen>
<para>гэж ажиллуулна. Түлхүүр <filename>root.dnskey</filename> файлд байх болно.
Доторх нь иймэрхүү байдалтай харагдана:</para>
<programlisting>. 93910 IN DNSKEY 257 3 8 (
AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQ
bSEW0O8gcCjFFVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh
/RStIoO8g0NfnfL2MTJRkxoXbfDaUeVPQuYEhg37NZWA
JQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaDX6RS6CXp
oY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3
LQpzW5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGO
Yl7OyQdXfZ57relSQageu+ipAdTTJ25AsRTAoub8ONGc
LmqrAmRLKBP1dfwhYB4N7knNnulqQxA+Uk1ihz0=
) ; key id = 19036
. 93910 IN DNSKEY 256 3 8 (
AwEAAcaGQEA+OJmOzfzVfoYN249JId7gx+OZMbxy69Hf
UyuGBbRN0+HuTOpBxxBCkNOL+EJB9qJxt+0FEY6ZUVjE
g58sRr4ZQ6Iu6b1xTBKgc193zUARk4mmQ/PPGxn7Cn5V
EGJ/1h6dNaiXuRHwR+7oWh7DnzkIJChcTqlFrXDW3tjt
) ; key id = 34525</programlisting>
<para>Олж авсан түлхүүрүүд энэ жишээн дээрхээс өөр байвал
сандрах хэрэггүй. Тэдгээр нь энэ зааврыг бичсэнээс хойш
өөрчлөгдсөн байж болох юм. Энэ гаралт нь хоёр түлхүүрийг
агуулдаг. DNSKEY бичлэгийн төрлийн дараах 257 гэсэн утга бүхий
жагсаалтад байгаа эхний түлхүүр нь хэрэгтэй нь юм. Энэ утга нь
Аюулгүй Орох Цэг (<acronym role="Secure Entry Point">SEP</acronym>),
түлхүүрийг гарын үсгээр баталгаажуулах түлхүүр гэгддэг (<acronym
role="Key Signing Key">KSK</acronym>) гэдгийг илэрхийлдэг.
256 гэсэн хоёр дахь түлхүүр нь захирагдагч түлхүүр бөгөөд
Бүсийг гарын үсгээр баталгаажуулах түлхүүр
(<acronym role="Zone Signing Key">ZSK</acronym>) гэгддэг. Эдгээр
өөр түлхүүрийн төрлүүдийн талаар <xref
linkend="dns-dnssec-auth"> хэсэгт дэлгэрэнгүй байгаа.</para>
<para>Одоо түлхүүрийг шалгаж <acronym>BIND</acronym> ашиглаж болох
хэлбэрт оруулах ёстой. Түлхүүрийг баталгаажуулахын тулд
<acronym role="Delegation Signer">DS</acronym>
<acronym role="Resource Record">RR</acronym>-г үүсгэнэ.
Эдгээр <acronym role="Resource Record">RR</acronym>-уудыг агуулсан
файлыг дараах тушаалаар үүсгэнэ</para>
<screen>&prompt.user; <userinput>dnssec-dsfromkey -f root-dnskey . &gt; root.ds</userinput></screen>
<para>Эдгээр бичлэгүүд нь SHA-1 болон SHA-256-г ашигладаг бөгөөд дараах
жишээтэй төстэй харагдах ёстой. Урт нь SHA-256-г ашигладаг.</para>
<programlisting>. IN DS 19036 8 1 B256BD09DC8DD59F0E0F0D8541B8328DD986DF6E
. IN DS 19036 8 2 49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5</programlisting>
<para>SHA-256 <acronym>RR</acronym>-г <ulink
url="https://data.iana.org/root-anchors/root-anchors.xml">https://data.iana.org/root-anchors/root-anchors.xml</ulink> дээр
байгаа дайжесттай харьцуулж болно. Түлхүүрийг <acronym>XML</acronym>
файлын өгөгдлөөр өөрчлөгдөөгүйг жинхэнэ утгаар мэдэхийн тулд
<ulink
url="https://data.iana.org/root-anchors/root-anchors.asc">https://data.iana.org/root-anchors/root-anchors.asc</ulink> дахь
PGP гарын үсгийг ашиглан шалгаж болно.</para>
<para>Дараа нь түлхүүрийг зөв хэлбэрт оруулсан байх ёстой.
Энэ нь <acronym>BIND</acronym> 9.6.2 болон 9.7 түүнээс хойшхи
хувилбаруудын хооронд жаахан ялгаатай байдаг. 9.7 хувилбарт
түлхүүрт хийгдэх өөрчлөлтийг автоматаар хянаж шаардлагатай бол
шинэчилдэг дэмжлэг нэмэгдсэн байдаг. Үүнийг доорх жишээн
дээр үзүүлсэн шиг <literal>managed-keys</literal> ашиглан
хийдэг. Хуучин хувилбар ашиглаж байгаа тохиолдолд түлхүүрийг
<literal>trusted-keys</literal> гэдгийг ашиглан нэмдэг
бөгөөд шинэчлэлтүүдийг гараар хийх ёстой байдаг.
<acronym>BIND</acronym> 9.6.2-ийн хувьд формат доорхтой адил
хэлбэрийн байна:</para>
<programlisting>trusted-keys {
"." 257 3 8
"AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF
FVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX
bfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaD
X6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpz
W5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relS
Qageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulq
QxA+Uk1ihz0=";
};</programlisting>
<para>For 9.7 the format will instead be:</para>
<programlisting>managed-keys {
"." initial-key 257 3 8
"AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF
FVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX
bfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaD
X6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpz
W5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relS
Qageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulq
QxA+Uk1ihz0=";
};</programlisting>
<para>Эх түлхүүрийг <filename>named.conf</filename> файл
руу шууд эсвэл түлхүүр бүхий файлыг оруулан нэмж өгч болно.
Эдгээр алхмуудын дараа <acronym>BIND</acronym>-г хүсэлтүүд
дээр <acronym>DNSSEC</acronym> шалгалтыг хийдэг болгохын тулд
<filename>named.conf</filename> файлыг засварлан
дараах мөрийг <literal>options</literal> хэсэгт нэмж
тохиргоог хийнэ:</para>
<programlisting>dnssec-enable yes;
dnssec-validation yes;</programlisting>
<para>Ажиллаж байгааг шалгахын тулд дөнгөж тохируулсан тайлагчийг
ашиглан гарын үсгээр баталгаажсан бүсийг асуусан хүсэлтийг
<application>dig</application> ашиглан явуулна. Амжилттай
хариулт <literal>AD</literal> тэмдэглэгээтэй байх бөгөөд
энэ нь өгөгдлийг таньж зөвшөөрсөн гэсэн үг юм. Доорх
хүсэлттэй адил хүсэлтийг ажиллуулбал</para>
<screen>&prompt.user; <userinput>dig @<replaceable>resolver</replaceable> +dnssec se ds </userinput></screen>
<para><literal>.se</literal> бүсийн хувьд <acronym>DS</acronym> <acronym>RR</acronym>-г
буцаах ёстой. <literal>flags:</literal> хэсэг дээр
<literal>AD</literal> флаг тохируулагдсан байх ёстой бөгөөд доорх
байдлаар харагдана:</para>
<programlisting>...
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1
...</programlisting>
<para>Тайлагч одоо <acronym>DNS</acronym> хүсэлтүүдийг шалгаж
таних чадвартай боллоо.</para>
</sect3>
<sect3 id="dns-dnssec-auth">
<title>Бүрэн эрхт <acronym>DNS</acronym> серверийн тохиргоо</title>
<para><acronym>DNSSEC</acronym>-р баталгаажсан бүсэд үйлчлэх
бүрэн эрхт нэрийн сервертэй болохын тулд бага зэргийн зүйлс
хийх шаардлагатай. Бүсийг криптограф түлхүүрүүд ашиглан
баталгаажуулах ёстой бөгөөд түлхүүрүүдийг үүсгэх ёстой.
Энэ зорилгоор зөвхөн нэг түлхүүр ашиглаж болно. Гэхдээ зөвлөдөг
арга бол байнга өөрчлөгдөөд байдаггүй, хүчтэй, маш сайн хамгаалагдсан
Түлхүүрийг гарын үсгээр баталгаажуулах Түлхүүр (<acronym role="Key Signing Key">KSK</acronym>) болон
байнга өөрчлөгддөг Бүсийг гарын үсгээр баталгаажуулах Түлхүүртэй (<acronym
role="Zone Signing Key">ZSK</acronym>) байх явдал юм.
Үйл ажиллагааны хувьд зөвлөсөн практикуудын талаарх мэдээллийг
<ulink
url="http://tools.ietf.org/rfc/rfc4641.txt"><acronym>RFC</acronym> 4641: <acronym>DNSSEC</acronym> үйл ажиллагааны практикууд</ulink> хаягаас
авч болно. Эх бүсийн талаарх практикуудыг <ulink
url="http://www.root-dnssec.org/wp-content/uploads/2010/06/icann-dps-00.txt">Эх бүсийн <acronym>KSK</acronym>операторт
зориулсан <acronym>DNSSEC</acronym> практик</ulink> болон <ulink
url="http://www.root-dnssec.org/wp-content/uploads/2010/06/vrsn-dps-00.txt">Эх бүсийн <acronym>ZSK</acronym>операторт
зориулсан <acronym>DNSSEC</acronym> практик</ulink> хаягуудаас олж болно.
<acronym
role="Key Signing Key">KSK</acronym> нь дараалсан бүрэн эрхийг шалгагдах шаардлагатай
байгаа өгөгдөлд өгөхөд хэрэглэгддэг бөгөөд бас Secure Entry Point буюу Аюулгүй Орох Цэг (<acronym
role="Secure Entry Point">SEP</acronym>) түлхүүр гэгддэг.
Энэ түлхүүрийн зурвасын дайжестийг Delegation Signer буюу Төлөөлөн баталгаажуулагч(<acronym
role="Delegation Signer">DS</acronym>) бичлэг гэгддэг бөгөөд
итгэлцлийн дарааллыг бий болгохын тулд эцэг бүсэд бичигдсэн байх ёстой.
Үүнийг хэрхэн хийх нь эцэг бүсийг эзэмшигчээс хамаардаг. <acronym
role="Zone Signing Key">ZSK</acronym> нь бүсийг баталгаажуулахад
хэрэглэгддэг бөгөөд тэндээ бичигдсэн байх ёстой байдаг.</para>
<para>Өмнөх жишээн дээр харуулсан <hostid
role="domainname">example.com</hostid> бүсийн хувьд
<acronym>DNSSEC</acronym>-г идэвхжүүлэхийн тулд эхний алхам нь
<acronym>KSK</acronym> болон <acronym>ZSK</acronym> түлхүүрийн
хослолыг үүсгэх <application>dnssec-keygen</application>-г
ашиглах явдал юм. Энэ түлхүүрийн хослол нь өөр өөр криптограф
алгоритмуудыг хэрэглэж болно. Түлхүүрүүдийн хувьд RSA/SHA256-г
ашиглахыг зөвлөдөг бөгөөд 2048 битийн түлхүүрийн урт хангалттай.
<hostid
role="domainname">example.com</hostid>-н хувьд <acronym>KSK</acronym>-г
үүсгэхийн тулд дараахийг ажиллуулна</para>
<screen>&prompt.user; <userinput>dnssec-keygen -f KSK -a RSASHA256 -b 2048 -n ZONE example.com</userinput></screen>
<para><acronym>ZSK</acronym>-г үүсгэхийн тулд</para>
<screen>&prompt.user; <userinput>dnssec-keygen -a RSASHA256 -b 2048 -n ZONE example.com</userinput></screen>
<para><application>dnssec-keygen</application> хоёр файлыг
гаргах бөгөөд нийтийн болон хувийн түлхүүрүүд нь
<filename>Kexample.com.+005+nnnnn.key</filename> (нийтийн) болон
<filename>Kexample.com.+005+nnnnn.private</filename> (хувийн) гэсэн
файлуудтай төстэй нэртэйгээр байна. Файлын нэрийн <literal>nnnnn</literal>
хэсэг нь таван оронтой түлхүүрийн ID юм. Аль түлхүүрийн ID аль түлхүүрт
харгалзаж байгааг хянаж байх хэрэгтэй. Энэ нь ялангуяа бүсэд нэгээс
илүү түлхүүр ашиглаж байгаа үед чухал юм. Түлхүүрүүдийн нэрийг
бас өөрчилж болно. <acronym>KSK</acronym> файл бүрийн хувьд дараахийг
ажиллуулна:</para>
<screen>&prompt.user; <userinput>mv Kexample.com.+005+nnnnn.key Kexample.com.+005+nnnnn.KSK.key</userinput>
&prompt.user; <userinput>mv Kexample.com.+005+nnnnn.private Kexample.com.+005+nnnnn.KSK.private</userinput></screen>
<para><acronym>ZSK</acronym> файлуудын хувьд <literal>KSK</literal>-г
<literal>ZSK</literal>-р солиорой. Одоо файлуудыг <literal>$include</literal> ашиглан
бүсийн файлд оруулж болно. Иймэрхүү байдалтай харагдана:</para>
<programlisting>$include Kexample.com.+005+nnnnn.KSK.key ; KSK
$include Kexample.com.+005+nnnnn.ZSK.key ; ZSK</programlisting>
<para>Төгсгөлд нь бүсийг баталгаажуулж <acronym>BIND</acronym>-д
баталгаажуулсан бүсийн файлыг ашиглахыг зааж өгнө. Бүсийг
баталгаажуулахын тулд <application>dnssec-signzone</application>-г
ашиглана. <filename>example.com.db</filename>-д байрлах
<hostid role="domainname">example.com</hostid> бүсийг
баталгаажуулах тушаал иймэрхүү байна</para>
<screen>&prompt.user; <userinput>dnssec-signzone -o example.com -k Kexample.com.+005+nnnnn.KSK example.com.db Kexample.com.+005+nnnnn.ZSK.key</userinput></screen>
<para><option>-k</option> аргументад өгөгдсөн түлхүүр нь
<acronym>KSK</acronym> ба нөгөө нэг түлхүүрийн файл нь
<acronym>ZSK</acronym> бөгөөд баталгаажуулахад хэрэглэгдэх
ёстой. Нэгээс илүү <acronym>KSK</acronym> болон
<acronym>ZSK</acronym> өгч болох бөгөөд ингэсэн тохиолдолд
бүс бүх өгөгдсөн түлхүүрээр баталгаажна. Энэ нь
бүсийн өгөгдлийг нэгээс илүү алгоритмаар баталгаажуулахын
тулд хэрэгтэй байж болно. <application>dnssec-signzone</application>-ий
гаралт нь бүх <acronym>RR</acronym> нь баталгаажсан бүсийн файл
байна. Энэ гаралт нь <filename>example.com.db.signed</filename> мэтийн
<literal>.signed</literal> гэсэн өргөтгөлтэй файлд байх
болно. <acronym
role="Delegation Signer">DS</acronym> бичлэгүүд нь бас тусдаа
<filename>dsset-example.com</filename> файлд бичигддэг.
Энэ баталгаажсан бүсийг ашиглахын тулд <filename>named.conf</filename>
файлын бүсийн хэсэгт <filename>example.com.db.signed</filename>-г
ашиглахаар болгож өөрчлөх хэрэгтэй. Анхдагчаар гарын үсгүүд нь
30 хоног хүчинтэй байдаг бөгөөд хүчингүй гарын үсгүүд бүхий
бичлэгүүдийг нэр тайлагчдаар хадгалуулахгүй байлгахын тулд
бүсийг ядаж ойролцоогоор 15 хоногийн дараа дахин баталгаажуулах
хэрэгтэй гэсэн үг юм. Үүнийг хийхийн тулд скрипт бичээд cron-д
ажиллуулахаар тохируулж болно. Дэлгэрэнгүйг холбогдох гарын
авлагуудаас харна уу.</para>
<para>Бүх криптограф түлхүүрүүдийн адил хувийн түлхүүрүүдийг
нууцлан хадгалахыг санаарай. Түлхүүрийг солихдоо шинэ түлхүүрийг
бүсэд оруулан хуучнаар эхлээд баталгаажуулах нь зүйтэй
бөгөөд дараа нь шинэ түлхүүрийг ашиглан баталгаажуулах хэрэгтэй.
Эдгээр алхмуудыг хийсний дараа хуучин түлхүүрийг бүсээс
арилгаж болно. Ингэж хийхгүй бол шинэ түлхүүр
<acronym>DNS</acronym>-н шатлалаар түгээгдэн зарлагдтал
<acronym>DNS</acronym>-н өгөгдөл нь хүртээмжгүй байх нөхцөлд
хүргэж болно. Түлхүүр солих мэдээлэл болон <acronym>DNSSEC</acronym>-г
ажиллуулахтай холбоотой асуудлуудын талаар дэлгэрэнгүйг
<ulink
url="http://www.ietf.org/rfc/rfc4641.txt"><acronym>RFC</acronym> 4641: <acronym>DNSSEC</acronym> Operational practices</ulink>
хаягаас үзнэ үү.</para>
</sect3>
<sect3>
<title><acronym>BIND</acronym> 9.7 болон түүнээс хойшхи хувилбаруудыг ашиглан
автоматжуулах</title>
<para><acronym>BIND</acronym> 9.7 хувилбараас эхлээд
<emphasis>Smart Signing</emphasis> буюу ухаалгаар баталгаажуулах
боломж шинээр нэмэгдсэн. Энэ боломж нь түлхүүрийг удирдах болон
баталгаажуулах процессын зарим хэсгийг автоматжуулснаар хялбар
болгохыг зорьдог. <emphasis>key repository</emphasis>
санд түлхүүрүүдийг байршуулж <literal>auto-dnssec</literal> гэсэн
шинэ тохиргоог ашиглан шаардлагатай тохиолдолд дахин баталгаажуулагддаг
динамик бүсийг үүсгэх боломжтой байдаг. Энэ бүсийг шинэчлэхийн
тулд <application>nsupdate</application>-г шинэ <option>-l</option>
аргументтай хэрэглэнэ. <application>rndc</application> бас
түлхүүр байрлах сан дахь түлхүүрүүдээр бүсүүдийг <option>sign</option> гэсэн
тохиргоо ашиглан баталгаажуулах боломжтой болсон. <hostid
role="domainname">example.com</hostid>-н хувьд энэ автоматаар хийх баталгаажуулалт
болон бүсийг шинэчлэх боломжийг <acronym>BIND</acronym>-д зааж өгөхийн тулд
дараахийг <filename>named.conf</filename> файлд нэмж өгөх хэрэгтэй:</para>
<programlisting>zone example.com {
type master;
key-directory "/etc/named/keys";
update-policy local;
auto-dnssec maintain;
file "/etc/named/dynamic/example.com.zone";
};</programlisting>
<para>Эдгээр өөрчлөлтүүдийг хийсний дараа <xref linkend="dns-dnssec-auth">-д
тайлбарласны дагуу бүсийн хувьд түлхүүрүүдийг үүсгэж өгнө. Ингэхийн
тулд тэр түлхүүрүүдийг түлхүүр байрлах санд хийж бүсийн
тохиргооны <literal>key-directory</literal> гэдэгт уг санг өгөх
бөгөөд ингэснээр бүс автоматаар баталгаажуулагдах болно. Ийм замаар
тохируулсан бүсэд хийх шинэчлэлтийг <application>nsupdate</application>
ашиглан хийх ёстой бөгөөд энэ нь бүсэд шинэ өгөгдөл нэмэн дахин
баталгаажуулах ажлыг хийдэг байна. Илүү дэлгэрэнгүйг <xref linkend="dns-read">
болон <acronym>BIND</acronym>-н баримтаас үзнэ үү.</para>
</sect3>
</sect2>
<sect2>
<title>Аюулгүй байдал</title>
@ -3667,23 +4004,27 @@ A болон CNAME бичлэгийн оронд PTR бичлэгийг хэрэ
</tip>
</sect2>
<sect2>
<sect2 id="dns-read">
<title>Гүнзгийрүүлэн унших</title>
<para>BIND/<application>named</application> заавар хуудсууд:
&man.rndc.8; &man.named.8; &man.named.conf.5;</para>
&man.rndc.8; &man.named.8; &man.named.conf.5;&man.nsupdate.8;
&man.dnssec-signzone.8; &man.dnssec-keygen.8;</para>
<itemizedlist>
<listitem>
<para><ulink
url="https://www.isc.org/software/bind">ISC BIND-н Албан ёсны Хуудас</ulink></para>
<para><ulink url="https://www.isc.org/software/bind">ISC BIND-н Албан ёсны Хуудас</ulink></para>
</listitem>
<listitem>
<para><ulink
url="https://www.isc.org/software/guild">ISC BIND-н Албан ёсны Хэлэлцүүлэг</ulink></para>
<para><ulink url="https://www.isc.org/software/guild">ISC BIND-н Албан ёсны Хэлэлцүүлэг</ulink></para>
</listitem>
<listitem>
<para><ulink url="http://www.root-dnssec.org/documentation/">Root
<acronym>DNSSEC</acronym></ulink></para>
</listitem>
<listitem>
<para><ulink url="http://www.oreilly.com/catalog/dns5/">O'Reilly
"DNS ба BIND" 5 дахь Хэвлэлт</ulink></para>
@ -3691,7 +4032,13 @@ A болон CNAME бичлэгийн оронд PTR бичлэгийг хэрэ
<listitem>
<para><ulink
url="http://tools.ietf.org/html/rfc1034">RFC1034
url="http://data.iana.org/root-anchors/draft-icann-dnssec-trust-anchor.html">
<acronym>DNSSEC</acronym>Эх бүсэд зориулсан итгэмжит анкор зарлалт
(Trust Anchor Publication for the Root Zone)</ulink></para>
</listitem>
<listitem>
<para><ulink url="http://tools.ietf.org/html/rfc1034">RFC1034
- Домэйн Нэрүүд - Зарчмууд болон Боломжууд</ulink></para>
</listitem>
@ -3700,6 +4047,34 @@ A болон CNAME бичлэгийн оронд PTR бичлэгийг хэрэ
url="http://tools.ietf.org/html/rfc1035">RFC1035
- Домэйн Нэрүүд - Хэрэгжүүлэлт болон Үзүүлэлтүүд</ulink></para>
</listitem>
<listitem>
<para><ulink url="http://tools.ietf.org/html/rfc4033">RFC4033
- DNS-н аюулгүй байдлын танилцуулга ба шаардлагууд</ulink></para>
</listitem>
<listitem>
<para><ulink url="http://tools.ietf.org/html/rfc4034">RFC4034
- DNS-н аюулгүй байдлын өргөтгөлүүдэд зориулсан Resource Records буюу
Нөөцийн Бичлэгүүд</ulink></para>
</listitem>
<listitem>
<para><ulink url="http://tools.ietf.org/html/rfc4035">RFC4035
- DNS-н аюулгүй байдлын өргөтгөлүүдэд зориулсан протоколын
өөрчлөлтүүд</ulink></para>
</listitem>
<listitem>
<para><ulink url="http://tools.ietf.org/html/rfc4641">RFC4641
- DNSSEC ажиллуулах практикууд</ulink></para>
</listitem>
<listitem>
<para><ulink url="http://tools.ietf.org/html/rfc5011">RFC 5011
- DNS-н аюулгүй байдлын автомат шинэчлэлтүүд (<acronym>DNSSEC</acronym>
Trust Anchors</ulink></para>
</listitem>
</itemizedlist>
</sect2>
</sect1>