rndc是BIND安装包提供的一种控制域名服务运行的工具。
rndc介绍
rndc是BIND安装包提供的一种控制域名服务运行的工具。
rndc简介
rndc是BIND安装包提供的一种控制域名服务运行的工具,它可以运行在其他计算机上,通过网络与DNS服务器进行连接,然后根据管理员的指令对named进程进行远程控制,此时,管理员不需要DNS服务器的根用户权限。使用rndc可以在不停止DNS服务器工作的情况进行数据的更新,使修改后的配置文件生效。在实际情况下,DNS服务器是非常繁忙的,任何短时间的停顿都会给用户的使用带来影响。因此,使用rndc工具可以使DNS服务器更好地为用户提供服务。
rndc与DNS服务器实行连接时,需要通过数字证书进行认证,而不是传统的用户名/密码方式。在当前版本下,rndc和named都只支持HMAC-MD5认证算法,在通信两端使用共享密钥。rndc在连接通道中发送命令时,必须使用经过服务器认可的密钥加密。为了生成双方都认可的密钥,可以使用rndc-confgen命令产生密钥和相应的配置,再把这些配置分别放入named.conf和rndc的配置文件rndc.conf中。
rndc选项
-b source-address 使用 source-address 作为连接服务器的源地址。允许多个实例设置 IPv4 和 IPv6 源地址。
-c config-file 使用config-file 作为缺省的配置文件/etc/rndc.conf 的替代。
-k key-file 使用 key-file 作为缺省的密钥文件/etc/rndc.key 的替代。如果
config-file 不存在,/etc/rndc.key 中的密钥将用于认证发向服务器的命令。
-s server server 是与 rndc 的配置文件中 server语句匹配的服务器的名字或地址。如果命令行没有提供服务器,会使用 rndc 配置文件中 options 语句中的 default-server子句所命名的主机。
-p port 发送命令到 TCP端口 port,以取代 BIND 9 的缺省控制通道端口 953。
-V 打开冗余日志。
-y key_id 使用配置文件中的密钥 key_id。key_id 必须被 named 所知道,带有同样的算法和秘密字符串,以便成功通过控制消息的验证。如果没有指定,rndc 将首先在所用的服务器的 server 语句中查找 key 子句,或者如果没有为主机提供 server 语句,就查找options 语句中的 default-key子句。注意配置文件中包含有用于发送认证控制命令到名字服务器的共享秘密。因此它不应该是对所有用户可读性的。
