Címlap

LDAP és DNS együttműködése

Tartalom

Bevezető
BIND9 és az LDAP sdb
PowerDNS LDAP backenddel
LDAP DNS helyett

Bevezető

Az IT Infrastruktúra egyik meghatározó komponense a domainnév-szolgáltatás (DNS). Az eredeti célkitűzésnek megfelelően, az alábbiakban azt vesszük sorba, hogyan lehet és érdemes a DNS-kiszolgáló konfigurációs adatait névtárból (LDAP alapú adatbázis) venni. Megnézzük, hogy a legnépszerűbb DNS-kiszolgáló, a BIND 9, hogyan integrálható egy LDAP szerverrel, illetve megvizsgáljuk, milyen alternatív megoldások léteznek.


A DNS adatok adatbázisban történő tárolásának az alábbi előnyei vannak:

  • A redundáns DNS szervereink közötti zóna transzfert (amivel számos probléma van) el tudjuk kerülni.
  • Az IPv6 megjelenésével az IPv4-hez képest hosszú és nehezen megjegyezhető IP címek megnehezítik a DNS adatbázisok kezelését. Egy LDAP alapú adatbázissal ez a feladat megkönnyíthető.
  • Az adatbázisban nem csak a DNS bejegyzéseket, de más kapcsolódó adatokat (pl.: whois adatbázis adatok, számlázási adatok stb.) is tárolhatunk és számos ellenőrzési mechanizmust építhetünk a rendszerbe.
  • Nem szükséges a DNS adminisztrátornak a DNS-szervert futtató géphez interaktív hozzáférést adni.

Maga az LDAP adatbázis pedig egy természetes választás, mivel a DNS szintén fa szerűen épül, akár csak egy LDAP adatbázis.

A probléma megoldására alapvetőn két eltérő eljárás létezik:

  • A DNS szerver konfigurációs adatait közvetlenül LDAP adatbázisból szedi valamilyen adatbázis backend-en keresztül.
  • A DNS szerver konfigurációs állományait az LDAP-ban tárolt adatokból automatikusan generálja egy alkalmazás.

Mindkét megoldásnak van előnye és hátránya egyaránt. Míg az első esetben vagy egy arra alkalmas DNS-szerver vagy pedig egy meglévő forrásának módosítása szükséges, addig a második megoldás univerzálisabb és valószínűleg könnyeben adaptálható az alkalmazás egyes DNS-szerverekhez vagy adatbázis struktúrákhoz. A második megoldás esetén a rendszer több komponenst, tehát több hibalehetőséget, tartalmaz és a változások nem érvényesülnek azonnal valamint az LDAP-szerver felesleges terhelését jelentheti fölösleges kérdezgetéssel.

Szalai Ferenc | 2006, június 5 - 15:45 | |
hozzászólás