在 DNS 服务器上启用 HSM - BlueCat Integrity - 9.5.0

管理指南
Locale
中文 (大陆)
Product name
BlueCat Integrity
Version
9.5.0

添加 HSM 服务器,配置 Security World 并将 Address Manager 加入到 Security World 后,下一步是在网络上的托管 BlueCat DNS 服务器上启用 HSM 支持。

以下流程介绍如何将全新的 BlueCat DNS 服务器添加到 Address Manager。如果已经有要用于 DNSSEC-HSM 的托管 DNS 服务器,则应从 Address Manager 控制中移除 DNS 服务器,从“编辑服务器”页面启用 HSM 支持,然后将 DNS 服务器返回到 Address Manager 控制。
  • 在托管的 BlueCat DNS 服务器上启用 HSM 可允许 DNS 服务器加入 HSM Security World。如果 DNS 服务器不属于 Security World,则 DNS 部署将失败。
  • 在托管 DNS 服务器上启用 HSM 并且它们已加入 HSM Security World 后,托管 DNS 服务器与至少一个 HSM 服务器之间的连接始终为必需。也就是说,在 DNS 服务器的所有正常操作期间,而不仅仅是 DNSSEC-HSM 区域签名期间,托管 DNS 服务器和 HSM 服务器之间的连接是必需的。这是为了确保 DNS 服务的正确运行。
  • 如果启用了专用管理,HSM 将无法运行。在 Address Manager 中配置服务器之前,从 DNS/DHCP 服务器管理控制台禁用专用管理。
  • 可以使用 xHA 配置 HSM,但具有某些限制。有关详情,请参阅可选:HSM 带 xHA
  • 如果使用远程文件系统将 Address Manager 和托管 DNS 服务器加入 Security World,则会为无验证配置 RFS,这是 DNSSEC 和 HSM 故障切换的首选状态。验证的 RFS 同步会将验证设置为单个 HSM 服务器,这可能会阻止其他客户端加入 Security World。
托管的 BlueCat DNS 服务器可以使用 DNSSEC-HSM 或标准 DNSSEC(但不能同时使用这两种方式)执行区域签名。一旦为 HSM 区域签名配置了 BlueCat DNS 服务器,它就不能用于标准 DNSSEC 区域签名。如果为 HSM 配置的 DNS 服务器必须重新用于标准 DNSSEC,则必须重新映像。
注: 不要同时添加多个启用 HSM 的DNS/DHCP 服务器

BlueCat 建议客户在启用 HSM 的同时不要尝试在 Address Manager 控制下使用多个 DNS/DHCP 服务器。例如,来自多个浏览器选项卡或窗口,或来自多个并行工作的管理员用户(不一定来自同一工作站)。这样做会导致 DNS/DHCP 服务器 配置错误。

要在 DNS 服务器上启用 HSM:

  1. 选择服务器选项卡。选项卡会记住上次处理的页面,因此请再次选择该选项卡以确保您在配置信息页面上。
  2. 服务器下,单击新建
    如果要编辑服务器,请单击服务器名称。从详情页面,单击服务器名称菜单,然后选择编辑
  3. 服务器下,完成以下操作:
    • 配置文件 — 从下拉菜单中选择 DNS 服务器的型号
      注: 如果您希望使用的监测服务,你必须首先在每个想要监控的 DNS/DHCP 服务器启用 SNMP。有关详情,请参阅为 DNS/DHCP 服务器 启用监控服务
    • 名称 — 输入服务器的名称。此名称仅在Address Manager用户界面中使用,与已部署的 DNS 数据无关。
    • 管理接口 — 输入在 BDDS 管理控制台中 eth0 接口上配置的 IPv4 或 IPv6 地址。如果已启用专用管理,请输入在 eth2 接口上配置的 IPv4 或 IPv6 地址。
      注: 编辑服务器时,仅当您首先禁用了托管DNS/DHCP 服务器之后管理接口字段才可用。如果要更改管理接口 (eth2) 的 IP 地址,必须首先使用 DNS/DHCP 服务器 管理控制台重新配置管理接口的 IP 地址,在 Address Manager 中禁用服务器,然后使用新的 IP 地址编辑服务器。
    • 主机名 — 用于网络上服务器的主机名。例如,myhost.example.com
    • 连接到服务器 — 默认情况下,选择此选项。它允许 Address Manager 在服务器添加后连接到该服务器。如果此时不想连接到服务器,请取消选中此复选框。
      注: 必须选中连接到服务器复选框才能单击检测服务器设置按钮,该按钮是将服务器添加到 Address Manager 所必需的。
    • 升级到最新版本 — 默认情况下,取消选择此选项。这提供了一个安全的环境,可以在Address Manager中添加DNS/DHCP 服务器而无需应用不需要的软件更新。仅当要在设备处于Address Manager控制下时应用最新版本的DNS/DHCP 服务器软件,选中此复选框。
      注: BlueCat 建议在首次将服务器添加到 Address Manager 后升级 DNS/DHCP 服务器软件。添加服务器而不选择升级到最新版本复选框。将服务器添加到 Address Manager 后,升级服务器软件。有关详情,请参阅升级 DNS/DHCP 服务器软件
    • 密码 — 输入服务器密码。必须输入密码才能单击检测服务器设置按钮。有关默认服务器密码的更多信息,请参阅 BlueCat 默认登录凭据(经过验证后才能查看此主题)。
    • 位置(可选)从下拉菜单中选择要添加或编辑的服务器对象所基于的位置。最常用的位置对象将显示在列表顶部,然后按字母顺序显示所有其他列表。
  4. 单击检测服务器设置Address Manager将检查DNS/DHCP 服务器软件版本、接口计数、专用管理状态、IP 地址和冗余方案(仅限 4 端口设备)。
  5. 可选:完成以下操作(可用字段取决于 DNS/DHCP 服务器 的接口数量):
    • 服务接口 — 以下字段将根据通过 DNS/DHCP 服务器 管理控制台设置的当前配置自动填充。
      • 主 IPv4 服务地址和网络掩码 — 只读。这是仅用于 DNS、DHCP、DHCPv6 和 TFTP 等服务流量的 IPv4 地址和网络掩码(仅限 3 端口和 4 端口设备)。
      • 主 IPv6 服务地址和子网 — 只读显示此前通过 DNS/DHCP 服务器 管理控制台配置的 IPv6 服务地址和子网。
    • XHA 骨干 — 如果要配置 xHA 接口并指定要使用的 IPv4 或 IPv6 地址和网络掩码/子网,请选中此复选框。
      注: 配置 xHA 骨干的 IPv6 地址时,前缀的取值范围必须在可接受的 CIDR 范围 64 到 127 之间。
    • 启用冗余 — 选中此复选框以启用网络冗余(仅限 4 端口设备)或取消选择以禁用网络冗余。从方案下拉菜单中,选择主动/备份主动/主动 (802.3ad)
      注: 如果服务接口 (eth0) 上存在任何 VLAN 接口,则无法从“添加服务器”页面启用网络冗余。如有必要,使用 DNS/DHCP 服务器 管理控制台删除所有已配置的 VLAN 接口,然后将服务器添加到 Address Manager 并启用网络冗余。一旦服务器在 Address Manager 控制下,就可以从 Address Manager 用户界面配置 VLAN 接口(服务器 > 服务配置 > 接口 )。

      如果要求使用端口绑定进行 VLAN 标记,则必须先启用绑定,然后立即配置 VLAN 接口。

    • 启用加密通知 — 默认情况下禁用通知加密。选中该复选框以启用 Address Manager 和 DNS/DHCP 服务器之间的加密通知。
      注:
      • 启用加密通知复选框仅适用于 BDDS v9.4.0 或更高版本。
      • 在 Address Manager 的未来版本中将移除在加密/未加密之间切换通知通道的功能;默认情况下,Address Manager 和 DNS/DHCP 服务器之间与通知相关的所有通信都将被加密,没有禁用加密的选项。
      • 加密通知需要在防火墙上打开某些端口,请参阅Address Manager 服务端口了解更多信息。
  6. 可选:在监控设置下,选择以下(仅在DNS/DHCP 服务器监控服务已启用时可用):
    • 使用默认监控设置[已启用] — 默认情况下已选中。保持选中状态以使用为配置配置的DNS/DHCP 服务器监控设置。
    • 覆盖全局监控设置 — 选择以设置服务器的自定义监控设置,然后选择监控此服务器并配置以下 SNMP 参数设置:
      • 版本 — 选择受监控服务器的 SNMP 版本。
      • 端口号 — 表示用于与受监控服务器通信的 SNMP 端口BAM。默认端口为 161。无法更改此端口。
      • 社区字符串 — 输入用于验证的 SNMP 社区字符串,然后单击添加。社区字符串显示在列表中。最多可以向列表中添加 100 个社区字符串。按列表中显示的顺序使用字符串。要移除字符串,请从列表中选择该字符串,然后单击移除。要更改列表中项目的顺序,请在列表中选择一个项目,然后单击上移下移
  7. 验证选项下,设置以下选项以覆盖在配置级别配置的 DHCP 和 DNS 服务配置或 DNS 区域验证设置:
    • 覆盖配置等级 DHCP 验证设置 — 选中该复选框以设置特定于服务器的 DHCP 部署验证选项。如果选中,则会出现启用 DHCP 配置验证复选框。
      • 启用 DHCP 配置验证 — 选中此复选框以检查 dhcpd.conf 文件的语法,并在部署之前从 Address Manager 验证数据。
    • 覆盖配置等级 DNS 验证设置 — 选中该复选框以设置特定于服务器的部署验证选项。如果选中,则会显示启用 DNS 配置验证启用 DNS 区域验证复选框:
      • 启用 DNS 配置验证 — 选中此复选框以检查 named.conf 文件的语法,并在部署之前从 Address Manager 验证数据。
      • 启用 DNS 区域验证 — 选中此复选框以检查每个 DNS 区域文件的语法,并在部署之前从 Address Manager 验证数据。这相当于为 named-checkzone 工具设置 -i 切换。如果选中,则页面上将打开 DNS 区域部署验证设置部分。
  8. DNS 区域验证设置下,完成以下操作:
    • 延迟加载区域完整性验证 — 根据为此选项选择的模式执行语法检查。选择以下模式之一:
      • 完全 — 检查以下条件:
        • 如果 MX 记录引用 A 或 AAAA 记录,则表示区域内和区域外主机名。
        • 如果 SRV 记录引用 A 或 AAAA 记录,则表示区域内和区域外主机名。
        • 如果委派 NS 记录引用 A 或 AAAA 记录,则表示区域内和区域外主机名。
        • 如果区域中的粘合地址记录与子项指定的记录匹配。
      • 本地 — 检查以下条件:
        • 如果 MX 记录引用 A 或 AAAA 记录,则表示区域内主机名。
        • 如果 SRV 记录引用 A 或 AAAA 记录,则表示区域内主机名。
        • 如果委派 NS 记录引用 A 或 AAAA 记录,则表示区域内主机名。
        • 如果区域中的粘合地址记录与子项指定的记录匹配。
      • 完全同级 — 执行与完全模式相同的检查,但不检查粘合记录。
      • 本地同级 — 执行与本地模式相同的检查,但不检查粘合记录。
    • — 禁用所有延迟加载区域完整性检查。
    • 检查名称 — 检查名称。选择忽略警告失败以确定 Address Manager 如何处理此检查发现的条件。
    • 检查 MX 记录是否是 IP 地址 — 检查 MX 记录是否指向 IP 地址而不是 A 或 AAAA 记录。这相当于为 named-checkzone 工具设置 -M 切换。选择忽略警告失败以确定 Address Manager 如何处理此检查发现的条件。
    • 检查 MX 记录是否指向 CNAME 记录 — 检查 MX 记录是否指向 CNAME 记录而不是 A 或 AAAA 记录。这相当于为 named-checkzone 工具设置 -M 切换。选择忽略警告失败以确定 Address Manager 如何处理此检查发现的条件。
    • 检查 NS 记录是否是 IP 地址 — 检查 NS 记录是否指向 IP 地址而不是 A 或 AAAA 记录。这相当于为 named-checkzone 工具设置 -n 切换。选择忽略警告失败以确定 Address Manager 如何处理此检查发现的条件。
    • 检查 SRV 记录是否指向 CNAME 记录 — 检查 SRV 记录是否指向 CNAME 记录而不是 A 或 AAAA 记录。这相当于为 named-checkzone 工具设置 -S 切换。选择忽略警告失败以确定 Address Manager 如何处理此检查发现的条件。
    • 检查非终端通配符 — 检查区域名称中未显示为区域名称的最后一个段的通配符:例如,mail.*.example.com。非终端通配符是允许的,但您可能希望收到关于其存在的警告。这相当于为 named-checkzone 工具设置 -W 切换。选择忽略警告以确定 Address Manager 如何处理此检查发现的条件。
    对于上述选项,忽略警告失败具有以下效果:
    • 忽略 — 忽略条件,因此不会将它记录在区域验证服务器日志中。在区域数据包含条件的情况下,部署继续进行。
    • 警告 — 在区域验证服务器日志中记录条件。在区域数据包含条件的情况下,部署继续进行。
    • 失败 — 在区域验证服务器日志中记录条件。部署失败。现有 DNS 数据保留在原位,未部署新数据。
  9. Kerberos 服务主体下,设置 DNS 和 DHCP 服务主体:
    • 启用 DNS 服务主体 — 选择以指定 DNS 服务的安全凭证,以用于验证 GSS-TSIG 协议请求的密钥。选中此复选框后,将显示范围首要字段。从范围首要下拉菜单中选择 Kerberos 范围和服务主体。
    • 启用 DHCP 服务主体 — 选中此复选框以指定 DHCP 服务的安全凭证,以用于验证 GSS-TSIG 协议请求的密钥。选中此复选框后,将显示范围首要字段。从范围首要下拉列表中选择 Kerberos 范围和服务主体。
  10. HSM 支持下,完成以下操作:
    • 选中复选框启用 HSM 支持添加服务器页面将刷新以显示 HSM 配置和 HSM 服务器的下拉菜单。
    • HSM 服务器下拉菜单中,选择 HSM 服务器,然后单击添加。重复此步骤以添加多个 HSM 服务器。
    • 要对列表中 HSM 服务器的层次结构重新排序,请选择 HSM 服务器,然后单击上移下移。顶部的 HSM 服务器将为主要;主要以下的 HSM 服务器将成为第二级和第三级。单击移除以从列表中删除 HSM 服务器。
  11. 切换控制下,根据需要添加注释。
  12. 单击添加

详情选项卡的通用部分中,将看到启用 HSM 支持:是 — 这确认已在托管 BlueCat DNS 服务器上启用了 HSM。此外,HSM 服务器部分列出了链接到托管 DNS 服务器的 HSM 服务器。

注: 断开连接的 HSM 服务器不会添加到 HSM 配置中
作为最佳实践,请验证是否已连接到 Address Manager 用户界面中列出的所有 HSM 服务器。要确认 HSM 服务器的连接状态,请执行以下操作:
  1. 以 root 身份通过 SSH 登录 Address Manager
  2. 运行以下命令:
    hsm-status.sh

Address Manager 应为每个 HSM 服务器返回“连接状态正常”。确保连接状态消息的数量与在 Address Manager 用户界面中配置的 HSM 服务器的数量相匹配。

如果 Address Manager 无法连接到 HSM 服务器,或者确认的连接数小于添加到 Address Manager 用户界面的 HSM 服务器数量,请参阅 故障排除

在托管 DNS 服务器上启用 HSM 后,下一步是创建 DNSSEC-HSM 策略。