Este es el comando rollerdp que se puede ejecutar en el proveedor de alojamiento gratuito de OnWorks utilizando una de nuestras múltiples estaciones de trabajo en línea gratuitas, como Ubuntu Online, Fedora Online, emulador en línea de Windows o emulador en línea de MAC OS.
PROGRAMA:
NOMBRE
rollerd - Demonio de herramientas DNSSEC para administrar la sustitución de claves DNSSEC
SINOPSIS
rollerd [-opciones] -rrfile
DESCRIPCIÓN
La Rollerd El demonio gestiona la sustitución de claves para las zonas. Rollerd es solo un programador para la zona
dese la vuelta; usa zoneigner para realizar la generación de clave real, la firma de zona y la clave
manipulación.
Rollerd gestiona el traspaso de KSK y ZSK, aunque solo se puede necesitar un tipo de traspaso por zona
lugar a la vez. El inicio de los traspasos de KSK tiene prioridad sobre el inicio de ZSK
vuelcos.
Rollerd utiliza dos métodos de sustitución de claves. Se utiliza el método de prepublicación de transferencia de claves
para reinversiones de claves ZSK. El método de doble firma de transferencia de clave se utiliza para KSK
vuelcos. Estos métodos se describen con más detalle a continuación.
Rollerd mantiene el estado de sustitución de la zona en archivos llamados rollorec archivos; las asignaciones de zona / clave son
guardado en registro de claves archivos. Rollerd solo modifica rollorec archivos. En la mayor parte, Rollerd
no modifica registro de claves directamente, pero se basa en zoneigner para actualizar esos archivos según sea necesario.
(Las excepciones donde Rollerd modifica registro de claves archivos. Al inicio, marcará cada
zona gestionada registro de claves archivo para indicar que la zona está bajo Rollerdel control. Durante el
curso de vuelco, Rollerd También actualizará los tiempos de renovación de una zona en su registro de claves expediente.)
El administrador puede controlar Rollerd con el rodar mando. Un gran número de
los comandos están disponibles para controlar y modificar Rollerdoperación, así como para recuperar
información sobre la sustitución y el estado del demonio.
El administrador de zona deberá actualizar sus archivos de zona periódicamente. Si Rollerd is
gestión de zonas, entonces podrían surgir problemas si las zonas modificadas se firmaran sin Rollerd's
conocimiento. Para prevenir tales problemas, Rollerd se puede configurar para volver a firmar automáticamente un
zone cuando se encuentra que su archivo de zona es más nuevo que su archivo de zona firmado correspondiente. (Los
se comparan las marcas de tiempo de la "última modificación" de los archivos.) La zona se volverá a firmar sin
cualquier otra acción de reinversión que se lleve a cabo, por lo que no se generarán nuevas claves, ninguna clave
se producirán traspasos y los distintos temporizadores de traspaso no se verán afectados.
Rollerd realizará estos re-firmas de forma predeterminada, pero esto puede ser controlado aún más por el
autofirmar parámetro de configuración y Rollerd's -autofirmar/-noautosign opciones de la línea de comandos.
If Rollerd está configurado para no realizar la renovación automática, el administrador aún puede
obtener este comportamiento controlado mediante el uso de la zoneigner or rodar comandos.
Si rollorec el archivo no existe o tiene una longitud cero, Rollerd dará un error
mensaje y seguir funcionando. Periódicamente se despertará y comprobará si hay un rollorec
expediente. Una vez que encuentra el especificado rollorec el archivo existe y no está vacío, entonces lo hará
proceda con la gestión normal de traspasos.
Zsk Rollover Usando el Prepublicar Método
El método de prepublicación tiene cuatro fases que se ingresan cuando es el momento de realizar ZSK
dese la vuelta:
1. espere a que los datos de la zona antigua caduquen de las cachés
2. firme la zona con la KSK y la ZSK publicada
3. espere a que los datos de la zona antigua caduquen de las cachés
4. ajuste las claves en keyrec y firme la zona con el nuevo ZSK actual
Rollerd utiliza el zoneigner comando durante las fases 2 y 4 de traspaso del ZSK. zoneigner will
generar claves según sea necesario y firmar la zona durante estas dos fases.
El método de prepublicación de transferencia de claves se define en la sección Seguridad de DNS paso a paso.
Documento de orientación para el operador. Consulte ese documento para obtener información más detallada.
KSK Rollover Usando el Doble Firma Método
El método de doble firma tiene siete fases que se ingresan cuando es el momento de realizar
Traspaso de KSK:
1 - espere a que expiren los datos de la caché
2 - generar una nueva KSK (publicada) y zona de carga
3 - espere a que el antiguo DNSKEY RRset expire de las cachés
4 - transferir nuevo conjunto de claves al padre
5 - espere a que los padres publiquen el registro de DS
6 - espere a que expiren los datos de la caché
7 - lanza las KSK y carga la zona
Esta es una modificación del método de doble firma original. En el método original,
las claves KSK se transfirieron antes de que el nuevo conjunto de claves se transfiriera al padre. El nuevo
El método transfiere las claves KSK después de que el padre haya publicado los nuevos registros DS y los datos antiguos.
ha expirado para los cachés. Esto soluciona un problema potencial con las zonas de firma durante la
vuelcos.
Rollerd utiliza el zoneigner comando durante las fases 2 y 7 de traspaso de KSK. zoneigner will
generar claves según sea necesario y firmar la zona durante estas dos fases.
Actualmente, dejar el período de espera en el paso 5 se maneja manualmente. En el paso 4, Rollerd
informa al administrador por correo electrónico que el conjunto de claves de la zona debe ser transferido a su
padre para que continúe la transferencia. En el paso 5, después de que se haya
transferido al padre y el padre ha publicado un nuevo registro DS, el administrador
usos rodar para informar Rollerd que el registro de DS se ha publicado y la transferencia puede
continuar.
El método de doble firma de transferencia de claves se define en la sección Seguridad de DNS paso a paso.
Documento de orientación para el operador. Consulte ese documento para obtener información más detallada.
KSK Rollover Usando el Doble Firma Método y RFC5011
RFC5011 describe cómo los resolutores de validación remota deben rastrear los cambios de KSK dentro de una zona.
Si está configurado para el comportamiento RFC5011, Rollerd y zoneigner agregar un período extra largo de
tiempo entre el momento en que se crea y publica una nueva KSK y el momento en que
se lleva a cabo el cambio para usarlo. RFC5011 especifica que los validadores remotos deben agregar un
"temporizador de espera" para el proceso de transferencia, de modo que la nueva clave no se agrega como un fideicomiso
fondear hasta que hayan pasado 30 días. Por lo tanto, Rollerd esperará 60 días (por defecto) durante
fase 3 del proceso de traspaso de la KSK si el campo "istrustanchor" del rollorec definición
se ha establecido en 1 o "sí". Para esperar un período de tiempo diferente a 60
días, use el tiempo de espera .
En este momento, no se siguen las otras convenciones de RFC5011. Específicamente, es
no esperar un tiempo antes de eliminar la clave anterior y no agregar el bit de revocación a
la llave antigua después de cambiar.
Site-Specific Rollover Acciones
Un administrador puede especificar comandos específicos del sitio para que se ejecuten durante las diversas transferencias
etapas. Los comandos se pueden ejecutar en lugar de los predeterminados Rollerd acciones de rollover, o en
Además de ellos. Esta subsección describe cómo hacer uso de la renovación de un sitio específico
acciones.
Esta capacidad se proporciona para permitir que diferentes instalaciones manejen el vuelco de acuerdo con
a sus necesidades específicas. Por ejemplo, se prevé que esto podría ser útil para
sitios que utilizan hardware HSM o para permitir informes mejorados a los administradores. Esto tiene
Se ha utilizado con programas de prueba sencillos para garantizar que realmente funcione. Sin embargo, no ha
aún se ha utilizado en un entorno HSM real o con otro software de nivel de producción
reemplazos
Consulte las Zsk Rollover Usando el Prepublicar Método y KSK Rollover Usando el Doble
Firma Método secciones para obtener descripciones de las acciones de sustitución predeterminadas.
ADVERTENCIA: Esto tiene el potencial de ser una capacidad peligrosa. Ser muy cuidado cuando
configurándolo y usándolo. Tenga cuidado con los comandos específicos del sitio que se ejecutarán y la
permisos y propiedad de Rollerd y sus archivos de datos.
Herramientas DNSSEC Configuration Archive Cambios
El archivo de configuración de DNSSEC-Tools debe modificarse para indicar Rollerd para que se debe correr
las acciones de la fase de renovación no predeterminada. Se pueden establecer pares clave / valor para cada rollover
fase para controlar en qué se diferencia esa fase de la predeterminada.
La parte del valor de la entrada de configuración contiene la ruta a la fase específica del sitio.
comando, junto con los argumentos que pueda necesitar. Múltiples comandos están separados por
golpes.
El reservado tu préstamo estudiantil el comando dice Rollerd para utilizar su acción de vuelco normal durante un
fase particular. Esto se puede combinar con otros comandos para proporcionar cosas como
registro o notificaciones especializados.
Rollerd solo alterará el comportamiento de una fase de rollover si el archivo de configuración
contiene una entrada para esa fase. De lo contrario, se tomará la acción predeterminada.
Por ejemplo, esta línea de configuración dice Rollerd que para la fase 2 de renovación de ZSK, en cambio
de usar su normal zoneigner ejecuciones debe ejecutar el hsm-firmante mando.
prog-zsk2 hsm-firmante
En este ejemplo, esta línea de configuración informa Rollerd que al entrar KSK rollover
fase 1 y ZSK rollover fase 1, debe ejecutar la registro y correo comando, luego use el
acción normal de vuelco para esas fases.
prog-ksk1 / usr / local / sbin / log-and-mail mary! defecto
prog-zsk1 / usr / local / sbin / log-and-mail bob! default
Las siguientes claves de configuración se utilizan para controlar las fases de renovación de KSK: prog-ksk1,
prog-ksk2, prog-ksk3, prog-ksk4, prog-ksk5, prog-ksk6 y prog-ksk7,
Las siguientes claves de configuración se utilizan para controlar las fases de sustitución de ZSK: prog-zsk1,
prog-zsk2, prog-zsk3 y prog-zsk4.
La prog-normal La tecla de configuración controla el estado normal sin traspaso.
Site-Specific Comandos
Para ser útiles en general, los comandos específicos del sitio ejecutados por Rollerd se le dará un
Se reconocerá un conjunto estándar de argumentos y un conjunto estándar de valores de salida.
Los argumentos estándar de Rollerd son:
1. zonename: zona a manipular.
2. fase - Fase de renovación actual de la zona (p. Ej., Zsk1, ksk6, normal).
3. nombre de rollrec: clave de entrada de la zona en el archivo rollrec.
4. archivo rollrec: la ruta al archivo rollrec.
5. archivo keyrec: la ruta al archivo keyrec de la zona.
La fase progresiva La entrada en el archivo de configuración puede especificar opciones adicionales y
argumentos para un comando. Estos se incluirán en la línea de comando de ejecución. antes a
los argumentos estándar.
Los valores de salida estándar esperados por Rollerd son:
0. La zona puede pasar a la siguiente fase de traspaso.
Esto solo es aplicable al comando actual; otro
Los comandos de la lista de comandos de esta fase aún deben ejecutarse.
1. La zona debe permanecer en la fase de vuelco actual.
Esto no es necesariamente el resultado de un error.
2. Se encontró un error en los argumentos dados al comando.
3. Se encontró un error durante la ejecución.
Si la entrada de configuración de una fase de rollover enumera varios comandos, se ejecutarán
en el orden indicado. Si falla algún comando de esa lista de comandos, el procesamiento se detiene allí.
La envoltorio rp comando muestra cómo se puede escribir un comando específico del sitio. envoltorio rp pueden
usarse como un esqueleto sobre el cual construir un comando de fase de rollover más útil.
Consideraciones para Site-Specific Comandos
Se debe tener en cuenta lo siguiente al escribir un comando específico del sitio para
una fase de renovación.
duración de la ejecución
Un comando de fase no debe ejecutarse por mucho tiempo. Como está escrito actualmente, Rollerd
serializa el cambio de zona. Por tanto, cuanto más tarda en ejecutarse un comando de fase, más tiempo
tardará en llegar a la siguiente zona. Si un comando de fase duerme o espera activamente, entonces
para hablar, para el tiempo de espera de la siguiente fase, luego cada zona Rollerd administra se dejará
esperando.
siga las pautas de la interfaz
Siga los estándares para argumentos y valores de salida. No seguir los estándares es
Es probable que afecte negativamente el vuelco de la zona.
frecuencia de ejecución del comando
If Rollerd está operando en su modo de procesamiento tradicional de "lista completa", una fase
la lista de comandos se ejecutará cada vez Rollerd recorre su lista de zonas y un
La zona está en la fase de ese comando en particular. is Por ejemplo, si es
definido para example.com, esa lista de comandos se ejecutará para example.com cada vez
Rollerd ejecuta su lista de zonas y encuentra que example.com está en el estado de reinversión de la fase 1 de ZSK.
Un comando de fase deben tener esto en cuenta para que no realice más sus acciones
con frecuencia de lo necesario. Es muy probable que esto sea un problema para las diversas esperas de reinversión.
estados, y posiblemente el estado normal.
If Rollerd está operando en el modo de procesamiento experimental "pronto en cola", una fase
La lista de comandos se ejecutará para una zona solo cuando se produzca un cambio de fase. Desde fase
los cambios están en cola de tiempo, esto no debería suceder más de una vez por fase. Una fase
comando debo tenga esto en cuenta, en caso de que la cola pronto se reordene antes de la
zone sale de la cola, o el tiempo de la cola es relativamente rápido. Es muy probable que se trate de una
problema para los distintos estados de espera de traspaso.
ADVERTENCIA: El procesamiento de "próxima cola" es experimental. Se debe tener cuidado al usar
este método de procesamiento, ya que aún puede tener algunos errores persistentes.
Zona Recargando
Rollerd tiene la oportunidad de informar al demonio DNS que recargue una zona en KSK fase 2, KSK
fase 7, fase 2 del ZSK y fase 4 del ZSK. Rollerdcomportamiento predeterminado. Sin embargo,
Hay situaciones en las que no se debe hacer esto, como en el caso de la firma fuera de línea.
La zona_roll_load El campo del archivo de configuración DNSSEC-Tools es un campo booleano que
anula el valor predeterminado para forzar el comportamiento de recarga de zona, ya sea activado o desactivado. Este campo
tiene prioridad sobre el predeterminado.
Del mismo modo, el -no recarga la opción previene Rollerd de solicitar una recarga de zona, y
tiene prioridad sobre el zona_roll_load campo de configuración y el predeterminado.
rollorec Archivos
Las zonas a ser gestionadas por Rollerd se describen en un rollorec expediente. Generalmente hablando
la mayoría de la gente querrá usar el rodando comando para crear una inicial rollorec presentar
en lugar de escribir el suyo desde cero. Consulte la sección INICIALIZACIÓN Y USO a continuación.
y rodando página de manual para más detalles. La entrada de cada zona contiene los datos que necesita
Rollerd y algunos datos útiles para un usuario. A continuación se muestra una muestra rollorec entrada:
rollo "ejemplo.com"
zonename "example.com"
zonefile "ejemplo.com.signed"
keyrec "ejemplo.com.krf"
zonegroup "zonas de demostración"
directorio "dir-example.com"
kskphase "0"
zskphase "3"
ksk_rollsecs "1172614842"
ksk_rolldate "Mar 27 de febrero 22:20:42 2007"
zsk_rollsecs "1172615087"
zsk_rolldate "Mar 27 de febrero 22:24:47 2007"
maxttl "60"
mostrar "1"
PhaseStart "Mar 27 de febrero 22:25:07 2007"
# registros opcionales para RFC5011 rolling:
istrustanchor "no"
tiempo de espera "60D"
La primera línea da la rollorec nombre de la entrada. El nombre lo distingue de otros
rollorec entradas y deben ser únicas. Este puede ser el nombre de la zona, pero no es un
requisito. Las siguientes líneas dan el nombre de la zona, el archivo de zona firmado de la zona,
registro de claves archivo, las fases de sustitución actuales, las marcas de tiempo de sustitución y otra información.
El grupo de zonas es opcional y permite controlar un conjunto de zonas relacionadas con un
soltero rodar ejecución, en lugar de una ejecución por zona.
Si alguno de los archivo de zona or registro de claves los archivos no existen, entonces un "rollo" rollorec se mantendrá
cambiado a un "salto" rollorec. Ese registro no se procesará.
Puede encontrar una explicación más detallada en rollorec(5).
Directorio
RollerdEl directorio de ejecución es el directorio en el que se ejecuta o el
directorio pasado en el -directorio opción de línea de comandos. Cualquier archivo utilizado por Rollerd que
no se especificaron con rutas absolutas utilizan este directorio como base.
A rollorec archivo directorio campo informa Rollerd donde se pueden encontrar los archivos de la zona. Para
esa zona, Rollerd se moverá a ese directorio, luego regresará a su directorio de ejecución
cuando finalice las operaciones de rollover para esa zona. Si el directorio el valor es relativo
ruta, se agregará a Rollerddirectorio de ejecución. Si el directorio el valor es un
ruta absoluta, se utilizará tal cual.
Controlador Rollerd con rodar
La rodar El comando se utiliza para controlar el comportamiento de Rollerd. Varios comandos son
disponible, como iniciar o detener el vuelco para una zona seleccionada o todas las zonas, girar
activar o desactivar una pantalla de sustitución de la GUI y detener Rollerd ejecución. El camino de las comunicaciones
entre Rollerd y rodar depende del sistema operativo. En sistemas similares a Unix, es un
Tubería Unix que debería only ser escribible por el usuario que ejecuta Rollerd. Una más detallada
explicación de rodar se puede encontrar en rodar(8).
A Nota: Acerca de Archivos y Nombres de archivos
Hay una serie de archivos y nombres de archivo utilizados por Rollerd y zoneigner. El usuario debe
Tenga en cuenta los archivos utilizados por estos programas, dónde se encuentran los archivos y dónde
se ejecutan los programas.
Por defecto, Rollerd cambiará el directorio al directorio DNSSEC-Tools, aunque esto puede
ser cambiado por el -directorio opción. Cualquier programa iniciado por Rollerd, Más importante
zoneigner, se ejecutará en este mismo directorio. Si los archivos y directorios a los que hacen referencia estos
Los programas se nombran con rutas relativas, esas rutas deben ser relativas a este directorio.
La rollorec El nombre de la entrada se utiliza como clave para rollorec archivo y a la zona registro de claves .
Esta entrada no tiene que ser el nombre del dominio de la entrada, pero es una muy buena idea.
para que así sea. Cualquier cosa que se use para este nombre de entrada, el mismo nombre deben ser utilizado para el
zona registro de claves en esa zona registro de claves .
Probablemente sea más fácil de almacenar rollorec archivos, registro de claves archivos, archivos de zona y archivos clave en
un solo directorio.
INICIALIZACIÓN Y USO
Deben seguirse los siguientes pasos para inicializar y utilizar Rollerd. Esto asume que la zona
Se han creado archivos y se han instalado BIND y DNSSEC-Tools.
0. zonas de señalización
Las zonas a ser gestionadas por Rollerd debe estar firmado. Usar zoneigner para crear el
archivos de zona firmados y el registro de claves archivos necesarios por Rollerd. rollorec archivo creado en
el siguiente paso deben utilice el registro de claves nombres de archivo y los nombres de archivo de zona firmados creados
aquí.
Este paso es opcional. Si se pasa por alto, entonces (en el paso 4 y posteriores) Rollerd will
realizar la creación de clave inicial y la firma de zona de sus zonas utilizando los valores predeterminados
que se encuentra en el archivo de configuración DNSSEC-Tools. Rollerd determina si debe realizar
estas operaciones iniciales por si puede encontrar el registro de claves archivo para una zona (como
especificado en el rollorec expediente. Si no puede, realiza las operaciones iniciales; si se
puede, asume que se han realizado las operaciones iniciales de la zona.
1. crear rollorec presentar
Antes Rollerd se puede utilizar, un rollorec primero se debe crear el archivo. Si bien este archivo puede
ser construido a mano, el rodando El comando fue escrito específicamente para construir el archivo.
2. seleccionar parámetros operativos
Un número de RollerdLos parámetros operativos se toman de DNSSEC-Tools
archivo de configuración. Sin embargo, estas opciones pueden ser anuladas por las opciones de la línea de comandos. Ver
la sección OPCIONES a continuación para obtener más detalles. Si se desean parámetros no estándar
utilizar siempre, los campos apropiados en el archivo de configuración DNSSEC-Tools pueden ser
modificado para utilizar estos valores.
3. instalar la configuración de sustitución
La configuración completa de vuelco - Rollerd, rollorec archivo, DNSSEC-Tools
valores de archivo de configuración, archivos de zona - deben estar instalados. Los lugares apropiados
para estas ubicaciones dependen de la instalación y del sistema operativo.
4. pruebe la configuración de traspaso
Debe probarse la configuración completa de vuelco.
Edite los archivos de zona para que sus zonas tengan valores TTL cortos. Un minuto TTL debería ser
suficiente. Los vuelcos de prueba de esta velocidad deben only realizarse en un entorno de prueba
sin la zona real firmada.
Ejecute el siguiente comando:
rollerd -rrfile test.rollrec -logfile - -loglevel info -sleep 60
Este comando asume la prueba rollorec archivo es prueba.rollrec. Escribe una buena cantidad
de mensajes de registro al terminal y comprueba su cola cada 60 segundos. Siga el
mensajes para garantizar que las acciones apropiadas, según lo requiera la publicación previa
Método, se están llevando a cabo.
5. conjunto Rollerd para comenzar en el arranque
Una vez que se encuentre que la configuración funciona, Rollerd debe configurarse para comenzar en el sistema
bota. Las operaciones reales necesarias para este paso dependen del sistema operativo.
6. reiniciar y verificar
El sistema debe reiniciarse y el Rollerd archivo de registro verificado para asegurarse de que Rollerd
está funcionando correctamente.
OPCIONES
Hay una serie de parámetros operativos que definen cómo Rollerd obras. Estas
Los parámetros definen cosas como el rollorec archivo, el nivel de registro y el archivo de registro.
Estos parámetros se pueden configurar en el archivo de configuración DNSSEC-Tools o se pueden proporcionar como opciones en
el Rollerd línea de comando. Las opciones de la línea de comando anulan los valores en la configuración
.
Se reconocen las siguientes opciones:
-siempre firmar
Informa Rollerd para firmar las zonas que no están en medio de ser rodadas. Esta
permite Rollerd para actualizar las firmas de zona firmadas y permite la gestión completa de
firma de zona que será asumida por Rollerd.
La desventaja de usar esta opción es que todas las zonas no móviles estarán firmadas
después de cada sueño, lo que puede resultar costoso computacionalmente.
Nota: Los archivos de zona no se actualizan ni instalan en este momento. Copia manual y
la instalación aún es necesaria.
-autofirmar | -noautosign
Bandera de firma de zona automática. Si esto está configurado, entonces se volverá a firmar el archivo de zona de una zona
(y solo re-firmado) si se encuentra que es más nuevo que el correspondiente firmado
archivo de zona.
-directorio dir
Establece el Rollerd directorio de ejecución. Debe ser un directorio válido.
-monitor
Inicia el luces intermitentes Programa de visualización gráfica para mostrar el estado de las zonas gestionadas.
by Rollerd.
-dtconfig archivo de configuración
Nombre de un archivo de configuración de DNSSEC-Tools alternativo que se procesará. Si se especifica,
se utiliza este archivo de configuración in place del archivo de configuración de DNSSEC-Tools normal
No además de eso. Además, se manejará antes de registro de claves archivos, rollorec archivos,
y opciones de línea de comandos.
-primer plano
Ejecute en primer plano y no se bifurque en un demonio.
-archivo de registro archivo de registro
Establece el Rollerd archivo de registro a archivo de registro. Debe ser un archivo de registro válido, lo que significa
eso si archivo de registro ya existe, debe ser un archivo normal. Las únicas excepciones a
esto es si archivo de registro is / dev / stdout, / dev / tty, -. De estos tres, usando un archivo de registro of
- es preferible ya que Perl convertirá correctamente el - al estándar del proceso
salida.
-nivel de registro nivel
Sets Rollerdnivel de registro de nivel. rollomgr.pm(3) contiene una lista de los válidos
niveles de tala.
-no recarga
Evita Rollerd de decirle al demonio DNS que recargue las zonas.
-parámetros
Imprime un conjunto de Rollerd parámetros y luego sale. Esto muestra los parámetros con
lo cual Rollerd se ejecutará, pero se realiza muy poca validación de parámetros.
-pidfile archivo_pid
Almacena el PID del proceso en ejecución en archivo_pid. Esto por defecto es /var/run/rollerd.pid
en la mayoría de los sistemas.
-rrarchivo rollorec_archivo
Nombre del rollorec archivo para ser procesado. Ésta es la única "opción" requerida.
-reino reino_nombre
Nombre del reino en el que Rollerd Esta corriendo. Esto es para usar con las herramientas DNSSEC.
facilidad de reinos como un medio para identificar fácilmente diferentes instancias de Rollerd.
Es solo informativo (p. Ej., ps archivos de salida y de registro) y no se utiliza para nada
más.
-singlerrun
Procesa todos los pasos necesarios una vez y sale. Esta no es la forma ideal de correr Rollerd,
pero es potencialmente útil para entornos donde el material de claves solo está disponible
cuando se hayan puesto a disposición tokens de hardware específicos.
El tiempo entre los pasos será potencialmente más largo ya que el tiempo entre Rollerd
se ejecuta depende de cuándo Rollerd es ejecutado. Las líneas "cmd" deben agregarse al
rollorec archivo para realizar acciones particulares.
Las siguientes líneas deberían servir como ejemplos:
cmd "rollzsk example.com"
cmd "rollksk example.com"
cmd "dspub example.com" # (para cuando el padre publica
# el nuevo ksk)
La -singlerrun opción implica implícitamente -primer plano .
-dormir hora de dormir
Sets Rollerdes hora de dormir para hora de dormir. El tiempo de sueño es la cantidad de tiempo (en
segundos) Rollerd espera entre procesar su rollorec-Basado en cola.
-nombre de usuario nombre de usuario
nombre de usuario es el usuario para el que Rollerd se ejecutará el demonio. los Rollerd
El uid efectivo del proceso se establecerá en el uid correspondiente a nombre de usuario.
If nombre de usuario es un nombre de usuario, debe corresponder a un uid válido; si es un fluido, debe
corresponden a un nombre de usuario válido.
If Rollerd no tiene la magia de O / S apropiada (por ejemplo, para Unix, instalado como
setuid programa y es propiedad de root), entonces solo podrá cambiar a esos usuarios
a la que el usuario que ejecuta tiene el privilegio de cambiar. Esta restricción depende de
el sistema operativo y la forma en que Rollerd está instalado.
Al utilizar esta opción, el usuario objetivo debe tener acceso a los distintos directorios,
registros y archivos de datos que Rollerd requiere ejecutar. Sin este acceso, adecuado
la ejecución no puede ocurrir.
-zsargs arglista
Beneficios adicionales zoneigner argumentos que se pasarán a todos zoneigner ejecuciones
Estos argumentos anularán los argumentos correspondientes en las herramientas DNSSEC.
archivo de configuración, y las zonas registro de claves archivos. Si una zona rollorec la entrada contiene un
zsargs campo, entonces se utilizará en lugar de los especificados por este argumento.
Dado que Rollerd procesamiento de argumentos, los nuevos argumentos para zoneigner no puede ser
especificado como se esperaba. En cambio, los argumentos se deben dar a continuación
conducta. El guión inicial debe reemplazarse por un signo igual. Si la opción toma
un argumento, el espacio que separaría la opción del argumento de la opción
también debe ser reemplazado por un signo igual. Si se pasarán varios argumentos a través de
-zsargs, deben usarse comillas para agruparlas en un solo argumento.
Rollerd traduce estos argumentos al formato apropiado para zoneigner. Estas
los ejemplos deben aclarar las modificaciones:
opción normal de zoneigner opción rollerd -zsargs
------------------------ ----------------------
-nokrfile -zsargs = nokrfile
-zskcount 5 -kskcount 3 -zsargs "= zskcount = 5 = kskcount = 3"
-Versión
Muestra la información de la versión de Rollerd y el paquete DNSSEC-Tools.
-ayuda
Muestra un mensaje de uso.
-verboso
Se dará una salida detallada.
SUPUESTOS
Rollerd utiliza el rndc comando para comunicarse con el BIND llamado demonio. Por lo tanto
asume que se han tomado las medidas adecuadas para que esta comunicación sea posible.
CONOCIDO PROBLEMAS
Se conocen los siguientes problemas (o problemas potenciales):
- Cualquier proceso que pueda escribir en el socket de sustitución puede enviar comandos a Rollerd. Esto
probablemente no sea algo bueno.
DERECHOS DE AUTOR
Copyright 2005-2014 SPARTA, Inc. Todos los derechos reservados. Vea el archivo COPIA incluido con
el paquete DNSSEC-Tools para obtener más detalles.
Utilice rollerdp en línea utilizando los servicios de onworks.net
