Menu Close
Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
4.5.3. Dnssec-trigger について
unbound
が /etc/resolv.conf
にインストールおよび設定されると、アプリケーションからのすべての DNS
クエリーは unbound
によって処理されます。dnssec-trigger は、トリガーされた場合にのみ、unbound
リゾルバーを再設定します。これは、ノートパソコンなど、異なる Wi-Fi ネットワークに接続するローミングクライアントマシンに主に適用されます。プロセスは以下のようになります。
- NetworkManagerは、新しい
DNS
サーバーがDHCP
で取得されると、dnssec-triggerを「トリガー」します。 - Dnssec-trigger はその後、サーバーに対してさまざまなテストを行い、DNSSEC を適切にサポートしているかどうかを判断します。
- サポートしている場合、dnssec-trigger は
unbound
を再設定して、そのDNS
サーバーをすべてのクエリーのフォワーダーとして使用します。 - テストが失敗した場合、dnssec-trigger は新しい
DNS
サーバーを無視し、いくつかの利用可能なフォールバック方法を試します。 - 無制限のポート 53 (
UDP
およびTCP
) が使用可能であると判断した場合、フォワーダーを使用せずに完全再帰DNS
サーバーになるようにunbound
に指示します。 - これが不可能な場合、たとえば、ポート 53 がネットワークの
DNS
サーバー自体に到達する以外のすべてをファイアウォールによってブロックされている場合などは、ポート 80 にDNS
を使用するか、ポート 443 にTLS
カプセル化DNS
を使用しようとします。ポート 80 および 443 でDNS
を実行しているサーバーは、/etc/dnssec-trigger/dnssec-trigger.conf
で設定できます。コメントアウトされた例は、デフォルトの設定ファイルで利用できるはずです。 - これらのフォールバック方法も失敗した場合、dnssec-trigger は、DNSSEC を完全にバイパスする安全でない操作を行うか、新しい
DNS
クエリーを試行せずにキャッシュにすでにあるすべてに応答する 「cache only」 モードで実行することを提案します。
Wi-Fi ホットスポットは、インターネットへのアクセスを許可する前に、ユーザーをサインオンページにリダイレクトすることが多くなっています。上記のプロービングシーケンス中にリダイレクトが検出された場合、インターネットにアクセスするためにログインが必要かどうかを尋ねるプロンプトがユーザーに表示されます。
dnssec-trigger
デーモンは、10 秒ごとに DNSSEC リゾルバーのプローブを続行します。dnssec-trigger グラフィカルユーティリティーの使用方法については、「Dnssec-trigger の使用」 を参照してください。