親子の良好な関係を考える(ldap)
TRANSCRIPT
既存DNSの委譲に関する問題
上位は下位にゾーンを委譲できる
sub.example.com IN NS ns.sub.example.com
ns.sub.example.com IN A 192.0.2.1
→親は子についての情報を持つ
しかし子に確認しない
→Lame Delegationの原因
LDAPとは
ディレクトリサービスを提供するプロトコル
有名な実装としてActive DirectoryやOpenLDAP
個人情報、認証情報を格納するのに便利な構造
RDBMSと違い「表」でなく「木」
dn: dc=example,dc=com objectclass: top objectclass: dnsdomain objectclass: domainrelatedobject dc: example soarecord: ns.example.com [email protected] 20130711 1800 3600 604800 84600 nsrecord: ns.example.com mxrecord: 10 mail.example.com associateddomain: example.com !dn: dc=mail,dc=example,dc=com objectClass: top objectClass: dnsDomain objectClass: dcObject dc: mail aRecord: 192.0.2.1 nsRecord: @
LDAPのDNSエントリ例
LDAPの{上位|下位}知識情報
上位知識情報(Superior Knowledge Information)
(実装)slap.confのreferralディレクティブに記述
下位知識情報(Subordinate Knowledge Information)
エントリにreferralオブジェクトクラスを記述
https://www.nic.ad.jp/ja/materials/iw/2003/proceedings/T18.pdf
DNSはゾーン管理と応答がまぜまぜになっている感 →応答とゾーンの管理を別にわけて考えると従来の問題も解決できるかもしれないと思った。
応答も全てLDAPにすればセキュアになるとも感じた
全通信SSLはやっぱり遅い?
まとめ
参考文献
RFC1777(LDAPv2) RFC2551(LDAPv3)
RFC1279(DNS Record)
http://www.osstech.co.jp/_media/techinfo/seminar/lpic3ldap20090821.pdf
http://www.gentoo.org/doc/ja/ldapdns-guide.xml
https://www.nic.ad.jp/iw2005/t24.html
http://www.slideshare.net/OrangeMorishita/20111029-part1dnsdis
http://wiki.powerdns.com/trac/browser/trunk/pdns/modules/ldapbackend/dns.ldif