Menu Close

Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

4.5.3. Dnssec-trigger について

unbound/etc/resolv.conf にインストールおよび設定されると、アプリケーションからのすべての DNS クエリーは unbound によって処理されます。dnssec-trigger は、トリガーされた場合にのみ、unbound リゾルバーを再設定します。これは、ノートパソコンなど、異なる Wi-Fi ネットワークに接続するローミングクライアントマシンに主に適用されます。プロセスは以下のようになります。
  • NetworkManagerは、新しいDNSサーバーがDHCPで取得されると、dnssec-triggerトリガーします。
  • Dnssec-trigger はその後、サーバーに対してさまざまなテストを行い、DNSSEC を適切にサポートしているかどうかを判断します。
  • サポートしている場合、dnssec-triggerunbound を再設定して、その DNS サーバーをすべてのクエリーのフォワーダーとして使用します。
  • テストが失敗した場合、dnssec-trigger は新しい DNS サーバーを無視し、いくつかの利用可能なフォールバック方法を試します。
  • 無制限のポート 53 (UDP および TCP) が使用可能であると判断した場合、フォワーダーを使用せずに完全再帰 DNS サーバーになるように unbound に指示します。
  • これが不可能な場合、たとえば、ポート 53 がネットワークの DNS サーバー自体に到達する以外のすべてをファイアウォールによってブロックされている場合などは、ポート 80 に DNS を使用するか、ポート 443 に TLS カプセル化 DNS を使用しようとします。ポート 80 および 443 で DNS を実行しているサーバーは、/etc/dnssec-trigger/dnssec-trigger.conf で設定できます。コメントアウトされた例は、デフォルトの設定ファイルで利用できるはずです。
  • これらのフォールバック方法も失敗した場合、dnssec-trigger は、DNSSEC を完全にバイパスする安全でない操作を行うか、新しい DNS クエリーを試行せずにキャッシュにすでにあるすべてに応答する cache only モードで実行することを提案します。
Wi-Fi ホットスポットは、インターネットへのアクセスを許可する前に、ユーザーをサインオンページにリダイレクトすることが多くなっています。上記のプロービングシーケンス中にリダイレクトが検出された場合、インターネットにアクセスするためにログインが必要かどうかを尋ねるプロンプトがユーザーに表示されます。dnssec-trigger デーモンは、10 秒ごとに DNSSEC リゾルバーのプローブを続行します。dnssec-trigger グラフィカルユーティリティーの使用方法については、「Dnssec-trigger の使用」 を参照してください。