[要約] RFC 4703は、DHCPクライアント間のFQDNの競合を解決するための方法を提案しています。このRFCの目的は、ネットワーク上でのFQDNの一意性を確保し、競合を回避することです。
Network Working Group M. Stapp Request for Comments: 4703 B. Volz Category: Standards Track Cisco Systems, Inc. October 2006
Resolution of Fully Qualified Domain Name (FQDN) Conflicts among Dynamic Host Configuration Protocol (DHCP) Clients
Status of This Memo
本文書の位置付け
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
Copyright Notice
著作権表示
Copyright (C) The Internet Society (2006).
Copyright(c)The Internet Society(2006)。
Abstract
概要
The Dynamic Host Configuration Protocol (DHCP) provides a mechanism for host configuration that includes dynamic assignment of IP addresses and fully qualified domain names. To maintain accurate name-to-IP-address and IP-address-to-name mappings in the DNS, these dynamically assigned addresses and fully qualified domain names (FQDNs) require updates to the DNS. This document identifies situations in which conflicts in the use of fully qualified domain names may arise among DHCP clients and servers, and it describes a strategy for the use of the DHCID DNS resource record (RR) in resolving those conflicts.
動的ホスト構成プロトコル(DHCP)は、IPアドレスの動的割り当てと完全資格のドメイン名を含むホスト構成のメカニズムを提供します。DNSで正確な名前からIPへのアドレスおよびIPアドレス間マッピングを維持するために、これらの動的に割り当てられたアドレスと完全に適格なドメイン名(FQDNS)がDNSの更新を必要とします。このドキュメントは、DHCPクライアントとサーバーの間で完全に適格なドメイン名の使用における競合が発生する可能性がある状況を特定し、それらの競合を解決する際にDHCID DNSリソースレコード(RR)を使用するための戦略を説明しています。
Table of Contents
目次
1. Introduction ....................................................3 2. Terminology .....................................................3 3. Issues with DNS Update in DHCP Environments .....................4 3.1. Client Misconfiguration ....................................4 3.2. Multiple DHCP Servers ......................................5 4. Use of the DHCID RR .............................................5 5. Procedures for Performing DNS Updates ...........................6 5.1. Error Return Codes .........................................6 5.2. Dual IPv4/IPv6 Client Considerations .......................6 5.3. Adding A and/or AAAA RRs to DNS ............................7 5.3.1. Initial DHCID RR Request ............................7 5.3.2. DNS UPDATE When FQDN in Use .........................7 5.3.3. FQDN in Use by Another Client .......................8 5.4. Adding PTR RR Entries to DNS ...............................8 5.5. Removing Entries from DNS ..................................9 5.6. Updating Other RRs ........................................10 6. Security Considerations ........................................10 7. Acknowledgements ...............................................11 8. References .....................................................11 8.1. Normative References ......................................11 8.2. Informative References ....................................11
"The Client FQDN Option" [8] includes a description of the operation of [4] clients and servers that use the DHCPv4 client FQDN option. "The DHCPv6 Client FQDN Option" [9] includes a description of the operation of [5] clients and servers that use the DHCPv6 client FQDN option. Through the use of the client FQDN option, DHCP clients and servers can negotiate the client's FQDN and the allocation of responsibility for updating the DHCP client's A and/or AAAA RRs. This document identifies situations in which conflicts in the use of FQDNs may arise among DHCP clients and servers, and it describes a strategy for the use of the DHCID DNS resource record [2] in resolving those conflicts.
In any case, whether a site permits all, some, or no DHCP servers and clients to perform DNS updates ([3], [10]) into the zones that it controls is entirely a matter of local administrative policy. This document does not require any specific administrative policy, and does not propose one. The range of possible policies is very broad, from sites where only the DHCP servers have been given credentials that the DNS servers will accept, to sites where each individual DHCP client has been configured with credentials that allow the client to modify its own FQDN. Compliant implementations MAY support some or all of these possibilities. Furthermore, this specification applies only to DHCP client and server processes; it does not apply to other processes that initiate DNS updates.
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in [1].
「必須」、「そうしない」、「必須」、「必要」、「「しない」、「そうでない」、「そうではない」、「そうでない」、「推奨」、「5月」、および「オプション」は、[1]に記載されているとおりに解釈される。
This document assumes familiarity with DNS terminology defined in [6] and DHCP terminology defined in [4] and [5].
このドキュメントは、[6]および[5]で定義されている[6]および[5]で定義されているDHCP用語で定義されているDNS用語に精通していることを想定しています。
FQDN, or Fully Qualified Domain Name, is the full name of a system, rather than just its hostname. For example, "venera" is a hostname, and "venera.isi.edu" is an FQDN. See [7].
DOCSIS, or Data-Over-Cable Service Interface Specifications, is defined by CableLabs.
DOCSIS、またはデータオーバーサービスインターフェイス仕様は、CableLabsによって定義されます。
There are two DNS update situations that require special consideration in DHCP environments: cases where more than one DHCP client has been configured with the same FQDN, and cases where more than one DHCP server has been given authority to perform DNS updates in a zone. In these cases, it is possible for DNS records to be modified in inconsistent ways unless the updaters have a mechanism that allows them to detect anomalous situations. If DNS updaters can detect these situations, site administrators can configure the updaters' behavior so that the site's policies can be enforced. This specification describes a mechanism designed to allow updaters to detect these situations and suggests that DHCP implementations use this mechanism by default.
Administrators may wish to maintain a one-to-one relationship between active DHCP clients and FQDNs, and to maintain consistency between a client's A, AAAA, and PTR RRs. Clients that are not represented in the DNS, or clients that inadvertently share an FQDN with another client may encounter inconsistent behavior or may not be able to obtain access to network resources. Whether each DHCP client is configured with an FQDN by its administrator or whether the DHCP server is configured to distribute the clients' FQDN, the consistency of the DNS data is entirely dependent on the accuracy of the configuration procedure. Sites that deploy [10] may configure credentials for each client and its assigned FQDN in a way that is more error-resistant, as both the FQDN and credentials must match.
管理者は、アクティブなDHCPクライアントとFQDNとの間に1対1の関係を維持し、クライアントのA、AAAA、およびPTR RRの間の一貫性を維持したい場合があります。DNSに表されないクライアント、またはFQDNを別のクライアントと不注意に共有するクライアントは、一貫性のない動作に遭遇したり、ネットワークリソースへのアクセスを取得できない場合があります。各DHCPクライアントが管理者によってFQDNで構成されているかどうか、DHCPサーバーがクライアントのFQDNを配布するように構成されているかどうかにかかわらず、DNSデータの一貫性は構成手順の精度に完全に依存します。[10]を展開するサイトは、FQDNと資格情報の両方が一致する必要があるため、各クライアントとその割り当てられたFQDNの資格情報をよりエラー抵抗性のある方法で構成する場合があります。
Consider an example in which two DHCP clients in the "example.com" network are both configured with the hostname "foo". The clients are permitted to perform their own DNS updates. The first client, client A, is configured via DHCP. It adds an A RR to "foo.example.com", and its DHCP server adds a PTR RR corresponding to its assigned IP address. When the second client, client B, boots, it is also configured via DHCP, and it also begins to update "foo.example.com".
At this point, the "example.com" administrators may wish to establish some policy about DHCP clients' FQDNs. If the policy is that each client that boots should replace any existing A RR that matches its FQDN, Client B can proceed, though Client A may encounter problems. In this example, Client B replaces the A RR associated with "foo.example.com". Client A must have some way to recognize that the RR associated with "foo.example.com" now contains information for Client B, so that it can avoid modifying the RR. When Client A's assigned IP address expires, for example, it should not remove an RR that reflects Client B's DHCP-assigned IP address.
この時点で、「Example.com」管理者は、DHCPクライアントのFQDNに関するポリシーを確立したい場合があります。ブートする各クライアントがFQDNに一致する既存のA RRを置き換える必要があるというポリシーがある場合、クライアントBは問題に遭遇する可能性がありますが、クライアントBが続行できます。この例では、クライアントBは「foo.example.com」に関連付けられたA RRを置き換えます。クライアントAには、「foo.example.com」に関連付けられたRRがクライアントBの情報が含まれていることを認識するための何らかの方法が必要です。これにより、RRの変更を避けることができます。たとえば、クライアントAに割り当てられたIPアドレスが有効になった場合、クライアントBのDHCPが割り当てられたIPアドレスを反映するRRを削除しないでください。
If the policy is that the first DHCP client with a given FQDN should be the only client associated with that FQDN, Client B needs to be able to determine if it is not the client associated with "foo.example.com". It could be that Client A booted first, and that Client B should choose another FQDN. Or it could be that B has booted on a new subnet and received a new IP address assignment, in which case B should update the DNS with its new IP address. It must either retain persistent state about the last IP address it was assigned (in addition to its current IP address) or it must have some other way to detect that it was the last updater of "foo.example.com" in order to implement the site's policy.
ポリシーが、特定のFQDNを持つ最初のDHCPクライアントがそのFQDNに関連付けられている唯一のクライアントである必要がある場合、クライアントBは「foo.example.com」に関連付けられているクライアントではないかどうかを判断できる必要があります。クライアントAが最初に起動した可能性があり、クライアントBは別のFQDNを選択する必要があります。または、Bが新しいサブネットで起動し、新しいIPアドレスの割り当てを受け取った可能性があります。この場合、Bは新しいIPアドレスでDNSを更新する必要があります。(現在のIPアドレスに加えて)割り当てられた最後のIPアドレスに関する永続的な状態を保持する必要があります。サイトのポリシー。
It is possible to arrange for DHCP servers to perform A and/or AAAA RR updates on behalf of their clients. If a single DHCP server manages all of the DHCP clients at a site, it can maintain a database of the FQDNs in use and can check that database before assigning an FQDN to a client. Such a database is necessarily proprietary, however, and the approach does not work once more than one DHCP server is deployed.
When multiple DHCP servers are deployed, the servers require a way to coordinate the identities of DHCP clients. Consider an example in which DHCPv4 Client A boots, obtains an IP address from Server S1, presenting the hostname "foo" in a Client FQDN option [8] in its DHCPREQUEST message. Server S1 updates the FQDN "foo.example.com", adding an A RR containing the IP address assigned to A. The client then moves to another subnet, served by Server S2. When Client A boots on the new subnet, Server S2 will assign it a new IP address and will attempt to add an A RR containing the newly assigned IP address to the FQDN "foo.example.com". At this point, without some communication mechanism that S2 can use to ask S1 (and every other DHCP server that updates the zone) about the client, S2 has no way to know whether Client A is currently associated with the FQDN, or whether A is a different client configured with the same FQDN. If the servers cannot distinguish between these situations, they cannot enforce the site's naming policies.
複数のDHCPサーバーが展開されると、サーバーはDHCPクライアントのIDを調整する方法が必要です。dhcpv4クライアントAブーツ、サーバーS1からIPアドレスを取得し、DHCPRequestメッセージでクライアントFQDNオプション[8]にホスト名「FOO」を表示する例を考えてみましょう。サーバーS1はFQDN "foo.example.com"を更新し、Aに割り当てられたIPアドレスを含むA RRを追加します。クライアントは、サーバーS2が提供する別のサブネットに移動します。クライアントが新しいサブネットでブーツを獲得すると、サーバーS2は新しいIPアドレスを割り当て、新しく割り当てられたIPアドレスをFQDN「foo.example.com」に含むRRを追加しようとします。この時点で、S2がクライアントについてS1(およびゾーンを更新する他のすべてのDHCPサーバー)に尋ねるために使用できる通信メカニズムがない場合、S2にはクライアントAが現在FQDNに関連付けられているかどうか、またはAがAがあるかどうかを知る方法がありません。同じFQDNで構成された別のクライアント。サーバーがこれらの状況を区別できない場合、サイトの命名ポリシーを実施することはできません。
A solution to both of these problems is for the updater (a DHCP client or DHCP server) to be able to determine which DHCP client has been associated with an FQDN, in order to offer administrators the opportunity to configure updater behavior.
これらの両方の問題の解決策は、アップデート(DHCPクライアントまたはDHCPサーバー)が、管理者にアップデートの動作を構成する機会を提供するために、どのDHCPクライアントがFQDNに関連付けられているかを判断できることです。
For this purpose, a DHCID RR, specified in [2], is used to associate client identification information with an FQDN and the A, AAAA, and PTR RRs associated with that FQDN. When either a client or server adds A, AAAA, or PTR RRs for a client, it also adds a DHCID RR that specifies a unique client identity, based on data from the client's DHCP message. In this model, only one client is associated with a given FQDN at a time.
この目的のために、[2]で指定されたDHCID RRは、そのFQDNに関連付けられたFQDNおよびA、AAAA、およびPTR RRSとクライアント識別情報を関連付けるために使用されます。クライアントまたはサーバーがクライアントにA、AAAA、またはPTR RRSを追加すると、クライアントのDHCPメッセージのデータに基づいて、一意のクライアントIDを指定するDHCID RRも追加します。このモデルでは、一度に特定のFQDNに関連付けられているクライアントは1つだけです。
By associating this ownership information with each FQDN, cooperating DNS updaters may determine whether their client is currently associated with a particular FQDN and implement the appropriately configured administrative policy. In addition, DHCP clients that currently have FQDNs may move from one DHCP server to another without losing their FQDNs.
この所有権情報を各FQDNに関連付けることにより、DNSアップデーターを協力すると、クライアントが現在特定のFQDNに関連付けられているかどうかを判断し、適切に構成された管理ポリシーを実装できます。さらに、現在FQDNSを持っているDHCPクライアントは、FQDNSを失うことなく、あるDHCPサーバーから別のDHCPサーバーに移動する場合があります。
The specific algorithm utilizing the DHCID RR to signal client ownership is explained below. The algorithm only works in the case where the updating entities all cooperate -- this approach is advisory only and is not a substitute for DNS security, nor is it replaced by DNS security.
DHCID RRを使用してクライアントの所有権を信号する特定のアルゴリズムを以下に説明します。このアルゴリズムは、更新エンティティがすべて協力する場合にのみ機能します。このアプローチはアドバイザリーのみであり、DNSセキュリティに代わるものではなく、DNSセキュリティに置き換えられません。
Certain RCODEs defined in [3] indicate that the destination DNS server cannot perform an update, i.e., FORMERR, SERVFAIL, REFUSED, NOTIMP. If one of these RCODEs is returned, the updater MUST terminate its update attempt. Other RCODEs [13] may indicate that there are problems with the key being used and may mean to try a different key, if available, or to terminate the operation. Because some errors may indicate a misconfiguration of the updater or the DNS server, the updater MAY attempt to signal to its administrator that an error has occurred, e.g., through a log message.
[3]で定義されている特定のrcodeは、宛先DNSサーバーが更新を実行できないことを示しています。これらのrcodeのいずれかが返された場合、アップデーターは更新試行を終了する必要があります。他のRCODE [13]は、使用されているキーに問題があることを示している可能性があり、利用可能な場合、または操作を終了する場合、別のキーを試すことを意味する場合があります。一部のエラーは、アップデーターまたはDNSサーバーの誤解を示す可能性があるため、アップデーターは、例えばログメッセージを介してエラーが発生したことを管理者に通知しようとする場合があります。
At the time of publication of this document, a small minority of DHCP clients support both IPv4 and IPv6. We anticipate, however, that a transition will take place over a period of time, and more sites will have dual-stack clients present. IPv6 clients require updates of AAAA RRs; IPv4 client require updates of A RRs. The administrators of mixed deployments will likely wish to permit a single FQDN to contain A and AAAA RRs from the same client.
このドキュメントの公開時点で、少数のDHCPクライアントがIPv4とIPv6の両方をサポートしています。ただし、一定期間にわたって移行が行われると予想しており、より多くのサイトにデュアルスタッククライアントが存在することがあります。IPv6クライアントには、AAAA RRSの更新が必要です。IPv4クライアントには、RRSの更新が必要です。混合展開の管理者は、単一のFQDNが同じクライアントからAとAAAのRRを含めることを許可する可能性が高いでしょう。
Sites that wish to permit a single FQDN to contain both A and AAAA RRs MUST make use of DHCPv4 clients and servers that support using the DHCP Unique Identifier (DUID) for DHCPv4 client identifiers such that this DUID is used in computing the RDATA of the DHCID RR by both DHCPv4 and DHCPv6 for the client; see [11]. Otherwise, a dual-stack client that uses older-style DHCPv4 client identifiers (see [4] and [12]) will only be able to have either its A or AAAA records in DNS under a single FQDN because of the DHCID RR conflicts that result.
単一のFQDNがAとAAA RRの両方を含めることを許可したいサイトは、DHCP4クライアント識別子のDHCP一意の識別子(DUID)を使用してDHCPユニークな識別子(DUID)を使用してサポートするサーバーを使用する必要があります。クライアントのDHCPV4とDHCPV6の両方によるRR。[11]を参照してください。それ以外の場合、古いスタイルのDHCPV4クライアント識別子([4]および[12]を参照)を使用するデュアルスタッククライアントは、DHCID RRの競合により、単一のFQDNの下でDNSにAまたはAAAAレコードのみを持つことができます。結果。
When a DHCP client or server intends to update A and/or AAAA RRs, it starts with the UPDATE request in Section 5.3.1.
DHCPクライアントまたはサーバーがAおよび/またはAAAA RRSを更新する予定の場合、セクション5.3.1の更新リクエストから始まります。
As the update sequence below can result in loops, implementers SHOULD limit the total number of attempts for a single transaction.
以下の更新シーケンスがループをもたらす可能性があるため、実装者は単一のトランザクションの試行の総数を制限する必要があります。
The updater prepares a DNS UPDATE request that includes as a prerequisite the assertion that the FQDN does not exist. The update section of the request attempts to add the new FQDN and its IP address mapping (A and/or AAAA RRs) and the DHCID RR with its unique client identity.
Updaterは、FQDNが存在しないという主張を前提条件として含むDNSアップデートリクエストを準備します。リクエストの更新セクションでは、新しいFQDNとそのIPアドレスマッピング(Aおよび/またはAAAA RRS)とDHCID RRを独自のクライアントIDとともに追加しようとします。
If the UPDATE request succeeds, the A and/or AAAA RR update is now complete (and a client updater is finished, while a server would then proceed to perform a PTR RR update).
If the response to the UPDATE returns YXDOMAIN, the updater can now conclude that the intended FQDN is in use and proceeds to Section 5.3.2.
If any other status is returned, the updater SHOULD NOT attempt an update (see Section 5.1).
The updater next attempts to confirm that the FQDN is not being used by some other client by preparing an UPDATE request in which there are two prerequisites. The first prerequisite is that the FQDN exists. The second is that the desired FQDN has attached to it a DHCID RR whose contents match the client identity. The update section of the UPDATE request contains:
1. A delete of any existing A RRs on the FQDN if this is an A update or an AAAA update and the updater does not desire A records on the FQDN, or if this update is adding an A and the updater only desires a single IP address on the FQDN.
1. これがAアップデートまたはAAAAアップデートであり、アップデーターがFQDNのレコードを望まない場合、またはこのアップデートがAを追加している場合、アップデートが単一のIPアドレスのみを希望する場合、FQDN上の既存のA RRSの削除fqdn。
2. A delete of the existing AAAA RRs on the FQDN if the updater does not desire AAAA records on the FQDN, or if this update is adding an AAAA and the updater only desires a single IP address on the FQDN.
2. UpdaterがFQDNにAAAAレコードを希望しない場合、またはこのアップデートがAAAAを追加している場合、UpdaterがFQDNに単一のIPアドレスのみを希望する場合、FQDN上の既存のAAAA RRSの削除。
3. An add (or adds) of the A RR that matches the DHCP binding if this is an A update.
3. これがAアップデートである場合、DHCPバインディングに一致するA RRの追加(または追加)。
4. Adds of the AAAA RRs that match the DHCP bindings if this is an AAAA update.
4.
Whether A or AAAA RRs are deleted depends on the updater or updater's policy. For example, if the updater is the client or configured as the only DHCP server for the link on which the client is located, the updater may find it beneficial to delete all A and/or AAAA RRs and then add the current set of A and/or AAAA RRs, if any, for the client.
AまたはAAAA RRSが削除されているかどうかは、UpdaterまたはUpdaterのポリシーによって異なります。たとえば、Updaterがクライアントであるか、クライアントが配置されているリンクの唯一のDHCPサーバーとして構成されている場合、アップデーターはすべてのAおよび/またはAAAA RRを削除してから、現在のAの現在のセットを追加することが有益であると感じる場合があります。/またはクライアントの場合、aaaa rrs。
If the UPDATE request succeeds, the updater can conclude that the current client was the last client associated with the FQDN, and that the FQDN now contains the updated A and/or AAAA RRs. The update is now complete (and a client updater is finished, while a server would then proceed to perform a PTR RR update).
If the response to the UPDATE request returns NXDOMAIN, the FQDN is no longer in use, and the updater proceeds back to Section 5.3.1.
If the response to the UPDATE request returns NXRRSET, there are two possibilities: there are no DHCID RRs for the FQDN, or the DHCID RR does not match. In either case, the updater proceeds to Section 5.3.3.
更新リクエストへの応答がNXRRSETを返した場合、2つの可能性があります。FQDNにDHCID RRSがないか、DHCID RRが一致しません。どちらの場合でも、アップデーターはセクション5.3.3に進みます。
As the FQDN appears to be in use by another client or is not associated with any client, the updater SHOULD either choose another FQDN and restart the update process with this new FQDN or terminate the update with a failure.
FQDNは別のクライアントが使用しているように見えるか、クライアントに関連付けられていないため、アップデーターは別のFQDNを選択し、この新しいFQDNで更新プロセスを再起動するか、障害で更新を終了する必要があります。
Techniques that may be considered to disambiguate FQDNs include adding some suffix or prefix to the hostname portion of the FQDN or randomly generating a hostname.
fqdnsを乱用すると見なされる可能性のある手法には、FQDNのホスト名部分に接尾辞またはプレフィックスを追加するか、ホスト名をランダムに生成することが含まれます。
The DHCP server submits a DNS UPDATE request that deletes all of the PTR RRs associated with the client's assigned IP address and adds a PTR RR whose data is the client's (possibly disambiguated) FQDN. The server MAY also add a DHCID RR as specified in Section 4, in which case it would include a delete of all of the DHCID RRs associated with the client's assigned IP address and would add a DHCID RR for the client.
DHCPサーバーは、クライアントに割り当てられたIPアドレスに関連付けられているすべてのPTR RRを削除するDNSアップデートリクエストを送信し、データがクライアントの(おそらくぼんやりした)FQDNであるPTR RRを追加します。サーバーは、セクション4で指定されているDHCID RRを追加することもできます。この場合、クライアントに割り当てられたIPアドレスに関連付けられたすべてのDHCID RRの削除が含まれ、クライアントにDHCID RRを追加します。
There is no need to validate the DHCID RR for PTR updates as the DHCP server (or servers) only assigns an address to a single client at a time.
DHCPサーバー(またはサーバー)は一度に1つのクライアントにアドレスのみを割り当てるため、PTR更新用のDHCID RRを検証する必要はありません。
The most important consideration in removing DNS entries is to be sure that an entity removing a DNS entry is only removing an entry that it added, or for which an administrator has explicitly assigned it responsibility.
DNSエントリを削除する際の最も重要な考慮事項は、DNSエントリを削除するエンティティが追加されたエントリのみを削除するか、管理者が明示的にIT責任を割り当てたエントリのみを削除することを確認することです。
When an address' lease time or valid lifetime expires or a DHCP client issues a DHCPRELEASE [4] or Release [5] request, the DHCP server SHOULD delete the PTR RR that matches the DHCP binding, if one was successfully added. The server's UPDATE request SHOULD assert that the domain name (PTRDNAME field) in the PTR record matches the FQDN of the client whose address has expired or been released and should delete all RRs for the FQDN.
The entity chosen to handle the A or AAAA records for this client (either the client or the server) SHOULD delete the A or AAAA records that were added when the address was assigned to the client. However, the updater should only remove the DHCID RR if there are no A or AAAA RRs remaining for the client.
In order to perform this A or AAAA RR delete, the updater prepares an UPDATE request that contains a prerequisite that asserts that the DHCID RR exists whose data is the client identity described in Section 4 and contains an update section that deletes the client's specific A or AAAA RR.
これをAまたはAAAA RR Deleteを実行するために、Updaterは、セクション4で説明されているクライアントIDであり、クライアントの固有のAまたは削除を削除する更新セクションを含むデータであるDHCID RRが存在すると主張する前提条件を含む更新リクエストを準備します。aaaa rr。
If the UPDATE request succeeds, the updater prepares a second UPDATE request that contains three prerequisites and an update section that deletes all RRs for the FQDN. The first prerequisite asserts that the DHCID RR exists whose data is the client identity described in Section 4. The second prerequisite asserts that there are no A RRs. The third prerequisite asserts that there are no AAAA RRs.
If either request fails, the updater MUST NOT delete the FQDN. It may be that the client whose address has expired has moved to another network and obtained an address from a different server, which has caused the client's A or AAAA RR to be replaced. Or, the DNS data may have been removed or altered by an administrator.
いずれかの要求が失敗した場合、アップデーターはFQDNを削除してはなりません。アドレスが期限切れになったクライアントが別のネットワークに移動し、別のサーバーからアドレスを取得したため、クライアントのAまたはAAAA RRが交換された可能性があります。または、DNSデータが管理者によって削除または変更された可能性があります。
The procedures described in this document only cover updates to the A, AAAA, PTR, and DHCID RRs. Updating other types of RRs is outside the scope of this document.
Administrators should be wary of permitting unsecured DNS updates to zones, whether or not they are exposed to the global Internet. Both DHCP clients and servers SHOULD use some form of update request authentication (e.g., TSIG [13]) when performing DNS updates.
Whether a DHCP client may be responsible for updating an FQDN-to-IP-address mapping, or whether this is the responsibility of the DHCP server, is a site-local matter. The choice between the two alternatives may be based on the security model that is used with the Dynamic DNS Update protocol (e.g., only a client may have sufficient credentials to perform updates to the FQDN-to-IP-address mapping for its FQDN).
DHCPクライアントがFQDN-to-IP-Addressマッピングの更新に責任があるかどうか、またはこれがDHCPサーバーの責任であるかどうかは、サイト局所問題です。2つの選択肢の選択は、動的DNSアップデートプロトコルで使用されるセキュリティモデルに基づいている場合があります(たとえば、FQDNのFQDN-IP-Addressマッピングの更新を実行するのに十分な資格情報を持っている場合があります)。
Whether a DHCP server is always responsible for updating the FQDN-to-IP-address mapping (in addition to updating the IP-to-FQDN mapping), regardless of the wishes of an individual DHCP client, is also a site-local matter. The choice between the two alternatives may be based on the security model that is being used with dynamic DNS updates. In cases where a DHCP server is performing DNS updates on behalf of a client, the DHCP server should be sure of the FQDN to use for the client, and of the identity of the client.
Currently, it is difficult for DHCP servers to develop much confidence in the identities of their clients, given the absence of entity authentication from the DHCP protocol itself. There are many ways for a DHCP server to develop an FQDN to use for a client, but only in certain relatively rare circumstances will the DHCP server know for certain the identity of the client. If [14] becomes widely deployed, this may become more customary.
One example of a situation that offers some extra assurances is when the DHCP client is connected to a network through a DOCSIS cable modem, and the Cable Modem Termination System (head-end) of the cable modem ensures that MAC address spoofing simply does not occur. Another example of a configuration that might be trusted is when clients obtain network access via a network access server using PPP. The Network Access Server (NAS) itself might be obtaining IP addresses via DHCP, encoding client identification into the DHCP client-id option. In this case, the NAS as well as the DHCP server might be operating within a trusted environment, in which case the DHCP server could be configured to trust that the user authentication and authorization processing of the NAS was sufficient, and would therefore trust the client identification encoded within the DHCP client-id.
いくつかの追加の保証を提供する状況の1つの例は、DHCPクライアントがDOCSISケーブルモデムを介してネットワークに接続され、ケーブルモデムのケーブルモデム終端システム(ヘッドエンド)がMACアドレスのスプーフィングが発生しないことを保証することです。。信頼できる構成のもう1つの例は、PPPを使用してネットワークアクセスサーバーを介してクライアントがネットワークアクセスを取得したときです。Network Access Server(NAS)自体は、DHCPを介してIPアドレスを取得し、DHCPクライアント-IDオプションにクライアント識別をエンコードしている可能性があります。この場合、NASとDHCPサーバーは信頼できる環境内で動作している可能性があります。その場合、DHCPサーバーは、NASのユーザー認証と認証処理が十分であると信頼するように構成でき、したがってクライアントに信頼できます。DHCPクライアントID内でエンコードされた識別。
Many thanks to Mark Beyer, Jim Bound, Ralph Droms, Robert Elz, Peter Ford, Olafur Gudmundsson, Edie Gunter, Andreas Gustafsson, David W. Hankins, R. Barr Hibbs, Kim Kinnear, Stuart Kwan, Ted Lemon, Ed Lewis, Michael Lewis, Josh Littlefield, Michael Patton, Pekka Savola, and Glenn Stump for their review and comments.
[1] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[1] Bradner、S。、「要件レベルを示すためにRFCで使用するためのキーワード」、BCP 14、RFC 2119、1997年3月。
[2] Stapp, M., Lemon, T., and A. Gustafsson, "A DNS Resource Record (RR) for Encoding Dynamic Host Configuration Protocol (DHCP) Information (DHCID RR), RFC 4701, October 2006.
[2] Stapp、M.、Lemon、T。、およびA. Gustafsson、「ダイナミックホスト構成プロトコル(DHCP)情報(DHCID RR)をエンコードするためのDNSリソースレコード(RR)、2006年10月、RFC 4701。
[3] Vixie, P., Thomson, S., Rekhter, Y., and J. Bound, "Dynamic Updates in the Domain Name System (DNS UPDATE)", RFC 2136, April 1997.
[3] Vixie、P.、Thomson、S.、Rekhter、Y。、およびJ. Bound、「ドメイン名システムの動的更新(DNSアップデート)」、RFC 2136、1997年4月。
[4] Droms, R., "Dynamic Host Configuration Protocol", RFC 2131, March 1997.
[4] DROMS、R。、「動的ホスト構成プロトコル」、RFC 2131、1997年3月。
[5] Droms, R., Bound, J., Volz, B., Lemon, T., Perkins, C., and M. Carney, "Dynamic Host Configuration Protocol for IPv6 (DHCPv6)", RFC 3315, July 2003.
[5]
[6] Mockapetris, P., "Domain names - implementation and specification", STD 13, RFC 1035, November 1987.
[6] Mockapetris、P。、「ドメイン名 - 実装と仕様」、STD 13、RFC 1035、1987年11月。
[7] Malkin, G., "Internet Users' Glossary", FYI 18, RFC 1983, August 1996.
[7] Malkin、G。、「インターネットユーザー用語集」、FYI 18、RFC 1983、1996年8月。
[8] Stapp, M., Volz, B., and Y. Rekhter, "The Dynamic Host Configuration Protocol (DHCP) Client Fully Qualified Domain Name (FQDN) Option", RFC 4702, October 2006.
[8]
[9] Volz, B., "The Dynamic Host Configuration Protocol for IPv6 (DHCPv6) Client Fully Qualified Domain Name (FQDN) Option", RFC 4704, October 2006.
[9] Volz、B。、「IPv6(DHCPV6)クライアントの完全な資格のあるドメイン名(FQDN)オプションの動的ホスト構成プロトコル」、RFC 4704、2006年10月。
[10] Wellington, B., "Secure Domain Name System (DNS) Dynamic Update", RFC 3007, November 2000.
[10] ウェリントン、B。、「セキュアドメイン名システム(DNS)動的更新」、RFC 3007、2000年11月。
[11] Lemon, T. and B. Sommerfeld, "Node-specific Client Identifiers for Dynamic Host Configuration Protocol Version Four (DHCPv4)", RFC 4361, February 2006.
[11]
[12] Alexander, S. and R. Droms, "DHCP Options and BOOTP Vendor Extensions", RFC 2132, March 1997.
[12] Alexander、S。およびR. Droms、「DHCPオプションとBOOTPベンダー拡張機能」、RFC 2132、1997年3月。
[13] Vixie, P., Gudmundsson, O., Eastlake, D., and B. Wellington, "Secret Key Transaction Authentication for DNS (TSIG)", RFC 2845, May 2000.
[13]
[14] Droms, R. and W. Arbaugh, "Authentication for DHCP Messages", RFC 3118, June 2001.
[14]
Authors' Addresses
著者のアドレス
Mark Stapp Cisco Systems, Inc. 1414 Massachusetts Ave. Boxborough, MA 01719 USA
Mark Stapp Cisco Systems、Inc。1414 Massachusetts Ave. Boxborough、MA 01719 USA
Phone: 978.936.1535 EMail: mjs@cisco.com
電話:978.936.1535メール:mjs@cisco.com
Bernie Volz Cisco Systems, Inc. 1414 Massachusetts Ave. Boxborough, MA 01719 USA
Bernie Volz Cisco Systems、Inc。1414 Massachusetts Ave. Boxborough、MA 01719 USA
Phone: 978.936.0382 EMail: volz@cisco.com
電話:978.936.0382メール:volz@cisco.com
Full Copyright Statement
完全な著作権声明
Copyright (C) The Internet Society (2006).
Copyright(c)The Internet Society(2006)。
This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.
この文書は、BCP 78に含まれる権利、ライセンス、および制限の対象となり、そこに記載されている場合を除き、著者はすべての権利を保持しています。
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
このドキュメントとここに含まれる情報は、「現状のまま」に基づいて提供されています。また、貢献者、彼/彼女が代表する組織(もしあれば)が後援する組織、インターネット協会とインターネット工学タスクフォースは、すべての保証、明示的または明示的、またはすべての保証を否認します。本書の情報の使用が、商品性または特定の目的に対する適合性の権利または黙示的な保証を侵害しないという保証を含むがこれらに限定されないことを含む。
Intellectual Property
知的財産
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.
IETFは、知的財産権またはその他の権利の有効性または範囲に関して、この文書に記載されている技術の実装または使用、またはそのような権利に基づくライセンスがどの程度であるかについての使用に関連すると主張する可能性があるという立場はありません。利用可能になります。また、そのような権利を特定するために独立した努力をしたことも表明していません。RFCドキュメントの権利に関する手順に関する情報は、BCP 78およびBCP 79に記載されています。
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
IETF事務局に行われたIPR開示のコピーと、利用可能にするライセンスの保証、またはこの仕様の実装者またはユーザーによるそのような独自の権利の使用のための一般的なライセンスまたは許可を取得しようとする試みの結果を取得できます。http://www.ietf.org/iprのIETFオンラインIPRリポジトリから。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.
Acknowledgement
謝辞
Funding for the RFC Editor function is provided by the IETF Administrative Support Activity (IASA).
RFCエディター機能の資金は、IETF管理サポートアクティビティ(IASA)によって提供されます。