HSM を有効にした DNS サーバの編集 - BlueCat Integrity - 9.5.0

管理ガイド

Locale
日本語
Product name
BlueCat Integrity
Version
9.5.0

管理対象の DNS/DHCP サーバ アプライアンスおよび VM の名前、デプロイメント オプション、および HSM 設定を編集します。

注: HSM を有効にした DNS サーバを同時に複数編集しないでください。

BlueCat では、HSM を有効にしている場合、同時に複数の DNS/DHCP サーバを Address Manager 管理下に置かないようお客様に推奨します。例えば、複数のブラウザ タブやウィンドウから、または並行して作業している複数の admin ユーザからの操作です (必ずしも同じワークステーションからとは限りません)。このように操作すると、DNS/DHCP サーバが不適切な構成になる場合があります。

注: HSM を有効にした DNS サーバを xHA ペアで使用するために編集する場合、サーバを編集し、必ず [サーバの編集] ページから HSM サポートを有効にした上で xHA を作成します。詳しくは、「オプション:HSM を有効にした xHA ペアの編集」を参照してください。

管理対象の DNS サーバで HSM を編集するには:

  1. [サーバ] タブを選択します。タブは最後に作業したページを記憶するので、もう一度タブを選択して、[構成情報] ページにいることを確認します。
  2. [サーバ] で、編集する管理対象の DNS サーバの名前をクリックします。
  3. [サーバ名] メニューをクリックして [編集] を選択します。
  4. [サーバ] で次の項目を編集します。
    • プロファイル: ドロップダウン メニューから DNS サーバのモデル番号を選択します。
      注: 監視サービスを使用する場合は、監視する各 DNS/DHCP サーバで最初に SNMP を有効にする必要があります。詳しくは、「DNS/DHCP サーバ の監視サービスの有効化」を参照してください。
    • 名前: サーバの名前を入力します。この名前は Address Manager ユーザ インターフェイスでのみ使用され、デプロイされた DNS データには関連付けられません。
    • 管理インターフェイス: BDDS管理コンソールの eth0 インターフェイスに構成されている IPv4 または IPv6 アドレスを入力します。専用管理が有効になっている場合、eth2 インターフェイスに構成されている IPv4 または IPv6 アドレスを入力します。
      注: サーバを編集する場合、[管理インターフェイス] フィールドは、最初に管理対象の DNS/DHCP サーバを無効にしたにのみ使用可能になります。管理インターフェイス (eth2) の IP アドレスを変更する場合は、最初に DNS/DHCP サーバ 管理コンソールを使用して管理インターフェイスの IP アドレスを再構成し、Address Manager でそのサーバを無効にしてから、新しい IP アドレスでサーバを編集する必要があります。
    • ホスト名: ネットワーク上のサーバに使用されるホスト名。例えば、myhost.example.com です。
    • ロケーション: (オプション) 追加または編集するサーバ オブジェクトのベースとなるロケーションをドロップダウン メニューから選択します。最もよく使用するロケーション オブジェクトがリストの先頭に表示され、以降すべてはアルファベット順となります。
  5. [検証オプション] で、次のオプションを設定して、DHCP および DNS サービス構成または構成レベルに構成された DNS ゾーン検証設定をオーバーライドします。
    • 構成レベル DHCP 検証設定のオーバーライド: このチェックボックスは、サーバに固有の DHCP デプロイメント検証オプションを設定する場合に選択します。選択すると、[DHCP 構成検証の有効化] チェックボックスが表示されます。
      • DHCP 構成検証の有効化: このチェックボックスは、dhcpd.conf ファイルの構文の確認および Address Manager からデプロイされる前のデータの検証をする場合に選択します。
    • 構成レベル DNS 検証設定のオーバーライド: このチェックボックスは、サーバに固有のデプロイメント検証オプションを設定する場合に選択します。選択すると、[DNS 構成検証の有効化] チェックボックスおよび [DNS ゾーン検証の有効化] チェックボックスが表示されます。
      • DNS 構成検証の有効化: このチェックボックスは、named.conf ファイルの構文の確認および Address Manager からデプロイされる前のデータの検証をする場合に選択します。
      • DNS ゾーン検証の有効化: このチェックボックスは、各ゾーン ファイルの構文の確認および Address Manager からデプロイされる前のデータの検証をする場合に選択します。これは、named-checkzone ツールに -i スイッチを設定することと同じです。選択した場合、[DNS ゾーンのデプロイメント検証設定] セクションがページに表示されます。
  6. [DNS ゾーン検証設定] で、次の項目を設定します。
    • ロード後のゾーン整合性検証: このオプションに選択したモードに基づいて構文の確認が実行されます。次のいずれかのモードを選択します。
      • 完全: 次の状態を確認します。
        • ゾーン内およびゾーン外のホスト名に関して、MX レコードが A レコードまたは AAAA レコードを参照しているかどうか。
        • ゾーン内およびゾーン外のホスト名に関して、SRV レコードが A レコードまたは AAAA レコードを参照しているかどうか。
        • ゾーン内およびゾーン外のホスト名に関して、委任 NS レコードが A レコードまたは AAAA レコードを参照しているかどうか。
        • ゾーン内のグルー アドレス レコードが、子によって指定されたレコードと一致するかどうか。
      • ローカル: 次の状態を確認します。
        • ゾーン内のホスト名に関して、MX レコードが A レコードまたは AAAA レコードを参照しているかどうか。
        • ゾーン内のホスト名に関して、SRV レコードが A レコードまたは AAAA レコードを参照しているかどうか。
        • ゾーン内のホスト名に関して、委任 NS レコードが A レコードまたは AAAA レコードを参照しているかどうか。
        • ゾーン内のグルー アドレス レコードが、子によって指定されたレコードと一致するかどうか。
      • 完全兄弟: [完全] モードと同じチェックを実行しますが、グルー レコードをチェックしません。
      • ローカル兄弟: [ローカル] モードと同じチェックを実行しますが、グルー レコードをチェックしません。
    • なし: ロード後のゾーン整合性チェックをすべて無効にします。
    • 名前の確認: 名前を確認します。[無視]、[警告]、または [失敗] を選択して、このチェックで見つかった状態の処理方法を決定します。
    • MX レコードが IP アドレスであるかどうかをチェック: MX レコードが A レコードまたは AAAA レコードではなく IP アドレスを指しているかどうかをチェックします。これは、named-checkzone ツールに -M スイッチを設定することと同じです。[無視]、[警告]、または [失敗] を選択して、このチェックで見つかった状態の Address Manager での処理方法を決定します。
    • MX レコードが CNAME レコードを指しているかをチェック: MX レコードが A レコードまたは AAAA レコードではなく CNAME レコードを指しているかどうかをチェックします。これは、named-checkzone ツールに -M スイッチを設定することと同じです。[無視]、[警告]、または [失敗] を選択して、このチェックで見つかった状態の Address Manager での処理方法を決定します。
    • NS レコードが IP アドレスであるかをチェック: NS レコードが A レコードまたは AAAA レコードではなく IP アドレスを指しているかどうかをチェックします。これは、named-checkzone ツールに -n スイッチを設定することと同じです。[無視]、[警告]、または [失敗] を選択して、このチェックで見つかった状態の Address Manager での処理方法を決定します。
    • SRV レコードが CNAME レコードを指しているかをチェック: SRV レコードが A レコードまたは AAAA レコードではなく CNAME レコードを指しているかどうかをチェックします。これは、named-checkzone ツールに -S スイッチを設定することと同じです。[無視]、[警告]、または [失敗] を選択して、このチェックで見つかった状態の処理方法を決定します。
    • 末尾にないワイルドカードをチェック: ゾーン名の最後の部分に使用されていないワイルドカードをチェックします。例えば、mail.*.example.com です。末尾にないワイルドカードは許可されますが、存在する場合に警告を受け取ることができます。これは、named-checkzone ツールに -W スイッチを設定することと同じです。[無視] または [警告] を選択して、このチェックで見つかった状態の Address Manager での処理方法を決定します。
    上記のオプションで、[無視]、[警告]、または [失敗] を指定すると、次のように処理されます。
    • 無視: 状態を無視し、ゾーン検証サーバ ログに記録しません。デプロイメントは、この状態を含むゾーン データで続行されます。
    • 警告: ゾーン検証サーバ ログに状態が記録されます。デプロイメントは、この状態を含むゾーン データで続行されます。
    • 失敗: ゾーン検証サーバ ログに状態が記録されます。デプロイメントは失敗します。既存の DNS データがそのまま維持され、新しいデータはデプロイされません。
  7. [Kerberos サービス プリンシパル] で、DNS および DHCP のサービス プリンシパルを設定します。
    • DNS サービス プリンシパルの有効化: DNS サービスのセキュリティ資格情報を指定して、GSS-TSIG プロトコルによって要求された認証鍵に使用する場合に選択します。このチェックボックスを選択すると、[レルム] および [プリンシパル] フィールドが表示されます。[レルム] および [プリンシパル] ドロップダウン メニューから、Kerberos のレルムおよびサービス プリンシパルを選択します。
    • DHCP サービス プリンシパルの有効化: このチェックボックスは、DHCP サービスのセキュリティ資格情報を指定して、GSS-TSIG プロトコルによって要求された認証鍵に使用する場合に選択します。このチェックボックスを選択すると、[レルム] および [プリンシパル] フィールドが表示されます。[レルム] および [プリンシパル] ドロップダウン リストから、Kerberos のレルムおよびサービス プリンシパルを選択します。
  8. [HSM のサポート] で、次の操作を行います。
    • [HSM サポートの有効化] チェックボックスを選択します。[サーバの追加] ページが更新されて、HSM 構成および HSM サーバのドロップダウン メニューが表示されます。
    • [HSM サーバ] ドロップダウン メニューから [HSM サーバ] を選択して、[追加] をクリックします。複数の HSM サーバを追加するには、この手順を繰り返します。
    • リスト内の HSM サーバの順序を並べ替えるには、[HSM サーバ] を選択して、[上に移動] または [下に移動] をクリックします。順序の最上位の HSM サーバはプライマリであり、プライマリの下の HSM サーバはセカンダリ、ターシャリです。リストから HSM サーバを削除するには、[削除] をクリックします。
  9. 必要に応じて [変更管理] で、コメントを追加します。
  10. [更新] をクリックします。

[詳細] タブの [一般] セクションには、[HSM サポートの有効化] が表示されます。はい: 管理対象の DNS サーバで HSM が有効になっていることを確認します。また、[HSM サーバ] セクションには、管理対象の DNS サーバにリンクされている HSM サーバがリストされます。