Scroll to navigation

DNSSEC-TRUST-ANCHORS.D(5) dnssec-trust-anchors.d DNSSEC-TRUST-ANCHORS.D(5)

الاسم

dnssec-trust-anchors.d، systemd.positive، systemd.negative - ملفات تشكيلة مرتكز الثقة DNSSEC

موجز

/etc/dnssec-trust-anchors.d/*.positive
/run/dnssec-trust-anchors.d/*.positive
/usr/local/lib/dnssec-trust-anchors.d/*.positive
/usr/lib/dnssec-trust-anchors.d/*.positive
/etc/dnssec-trust-anchors.d/*.negative
/run/dnssec-trust-anchors.d/*.negative
/usr/local/lib/dnssec-trust-anchors.d/*.negative
/usr/lib/dnssec-trust-anchors.d/*.negative

الوصف

تُعرّف ملفات تشكيلة مرتكز الثقة DNSSEC مرتكزات الثقة الإيجابية والسلبية التي يعتمد عليها systemd-resolved.service(8) في إثباتات تكامل DNSSEC.

مَرْتَكَزَات الثقة الإيجابية

تحتوي ملفات تشكيلة مرتكز الثقة الإيجابية على تعريفات سجلات الموارد DNSKEY و DS لاستخدامها كأساس لإثباتات تكامل DNSSEC. انظر RFC 4035، القسم 4.4[1] لمزيد من المعلومات حول مرتكزات الثقة DNSSEC.

تُقرأ مرتكزات الثقة الإيجابية من ملفات باللاحقة .positive الموجودة في /etc/dnssec-trust-anchors.d/ و /run/dnssec-trust-anchors.d/ و /usr/lib/dnssec-trust-anchors.d/. تُبحث هذه الأدلة بالترتيب المحدد، وملف مرتكز ثقة بنفس الاسم في مسار سابق يتجاوز ملف مرتكز ثقة في مسار لاحق. لتعطيل ملف مرتكز ثقة مُرسَل في /usr/lib/dnssec-trust-anchors.d/ يكفي توفير ملف بنفس الاسم في /etc/dnssec-trust-anchors.d/ أو /run/dnssec-trust-anchors.d/ يكون إما فارغًا أو رابطًا رمزيًا إلى /dev/null ("مقنّع").

ملفات مرتكز الثقة الإيجابية هي ملفات نصية بسيطة تشبه ملفات منطقة DNS، كما هو موثق في RFC 1035، القسم 5[2]. يمكن إدراج سجل مورد واحد DS أو DNSKEY لكل سطر. تُتجاهل الأسطر الفارغة والأسطر التي تبدأ بـ "#" أو ";"، والتي يمكن استخدامها للتعليق. يُحدد سجل المورد DS كما في المثال التالي:

. IN DS 19036 8 2 49aac11d7b6f6446702e54a1607371607a1a41855200fd2ce1cdde32f24e8fb5

تُحدد الكلمة الأولى النطاق، استخدم "." للنطاق الجذري. يمكن تحديد النطاق بنقطة لاحقة أو بدونها، ويعتبر ذلك مكافئًا. يجب أن تكون الكلمة الثانية "IN" والثالثة "DS". تحدد الكلمات التالية علامة المفتاح، خوارزمية التوقيع، خوارزمية الملخص، متبوعة ببصمة المفتاح المشفرة بالنظام الست عشري. انظر RFC 4034، القسم 5[3] للتفاصيل حول الصيغة الدقيقة ومعنى هذه الحقول.

بدلاً من ذلك، يمكن استخدام سجلات الموارد DNSKEY لتعريف مرتكزات الثقة، كما في المثال التالي:

. IN DNSKEY 257 3 8 AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjFFVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoXbfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaDX6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpzW5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relSQageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulqQxA+Uk1ihz0=

تُحدد الكلمة الأولى النطاق مرة أخرى، يجب أن تكون الكلمة الثانية "IN"، متبوعة بـ "DNSKEY". تُرمّز الكلمات اللاحقة حقول أعلام DNSKEY والبروتوكول والخوارزمية، متبوعة ببيانات المفتاح المشفرة بـ Base64. انظر RFC 4034، القسم 2[4] للتفاصيل حول الصيغة الدقيقة ومعنى هذه الحقول.

إذا تم تعريف سجلات DS أو DNSKEY متعددة لنفس النطاق (ربما حتى في ملفات مرتكز ثقة مختلفة)، تُستخدم جميع المفاتيح وتُعتبر مكافئة كأساس لإثباتات DNSSEC.

لاحظ أن systemd-resolved سيستخدم آليًا مفتاح مرتكز ثقة مدمج للنطاق الجذري للإنترنت إذا لم تُعرّف مرتكزات ثقة إيجابية للنطاق الجذري. في معظم الحالات، من غير الضروري تعريف مفتاح صريح بملفات مرتكز الثقة. يُعطّل المفتاح المدمج بمجرد تعريف مفتاح مرتكز ثقة واحد على الأقل للنطاق الجذري في ملفات مرتكز الثقة.

يُوصى عمومًا بترميز مرتكزات الثقة في سجلات الموارد DS بدلاً من سجلات الموارد DNSKEY.

إذا وُجد مرتكز ثقة محدد عبر سجل DS ملغيًا، يُزال آليًا من قاعدة بيانات مرتكز الثقة لوقت التشغيل. انظر RFC 5011[5] للتفاصيل حول مرتكزات الثقة الملغاة. لاحظ أن systemd-resolved لن يُحدّث قاعدة بيانات مرتكز الثقة الخاصة به من خوادم DNS آليًا. بدلاً من ذلك، يُوصى بتحديث برنامج الحل أو تحديث مرتكز الثقة الجديد عبر إضافة ملفات مرتكز ثقة جديدة.

مرتكز الثقة DNSSEC الحالي للنطاق الجذري للإنترنت متاح في صفحة مرتكز الثقة والمفاتيح IANA[6].

مَرْتَكَزَات الثقة السلبية

تُعرّف مرتكزات الثقة السلبية النطاقات التي يجب إيقاف التحقق من DNSSEC فيها. توجد ملفات مرتكز الثقة السلبية في نفس موقع ملفات مرتكز الثقة الإيجابية، وتتبع نفس قواعد التجاوز. هي ملفات نصية باللاحقة .negative. تُتجاهل الأسطر الفارغة والأسطر التي يكون حرفها الأول ";". يُحدد كل سطر اسم نطاق واحد هو جذر شجرة فرعية DNS حيث يجب تعطيل التحقق. على سبيل المثال:

# Reverse IPv4 mappings
10.in-addr.arpa
16.172.in-addr.arpa
168.192.in-addr.arpa
...
# Some custom domains
prod
stag

مراسي الثقة السلبية مفيدة لدعم الأشجار الفرعية الخاصة لنظام أسماء النطاقات (DNS) غير المشار إليها من التسلسل الهرمي لنظام أسماء النطاقات على الإنترنت، وغير الموقعة.

RFC 7646[7] للحصول على تفاصيل حول مراسي الثقة السلبية.

إذا لم تُهيأ ملفات مرساة ثقة سلبية، تُستخدم مجموعة مدمجة من نطاقات مناطق نظام أسماء النطاقات الخاصة المعروفة كمراسي ثقة سلبية.

من الممكن أيضًا تعريف مراسي ثقة سلبية لكل واجهة باستخدام الإعداد DNSSECNegativeTrustAnchors= في ملفات systemd.network(5).

انظر أيضًا

systemd(1)، systemd-resolved.service(8)، resolved.conf(5)، systemd.network(5)

ملاحظات

1.
RFC 4035، القسم 4.4
2.
RFC 1035، القسم 5
3.
RFC 4034، القسم 5
4.
RFC 4034، القسم 2
5.
RFC 5011
6.
مرساة الثقة والمفاتيح من IANA
7.
RFC 7646

ترجمة

تُرجمت هذه الصفحة من الدليل بواسطة زايد السعيدي <zayed.alsaidi@gmail.com>

هذه الترجمة هي وثيقة مجانية؛ راجع رخصة جنو العامة الإصدار 3 أو ما بعده للاطلاع على شروط حقوق النشر. لا توجد أي ضمانات.

إذا وجدت أي أخطاء في ترجمة صفحة الدليل هذه، يرجى إرسال بريد إلكتروني إلى قائمة بريد المترجمين: kde-l10n-ar@kde.org.

systemd 260.1