日本語Compaq TCP/IP Services for OpenVMS
リリース・ノート

rndcユーティリティは BIND 8 のネーム・サーバでは動作しません。
BIND 9 は，動的更新を許可するゾーンを再ロードしません。
nsupdateの BIND 8 実装では，更新要求を，そのレコードを含む発見されたゾーンに基づいて，複数の要求に分けていました。 BIND 9 では，各更新要求は単一のゾーンに属していなければなりません。
一度の nsupdate呼び出しで複数の更新を行うには，各更新を空行または sendコマンドで終了します。

BIND 9 は，各ゾーンの信頼すべきデータを別々のデータ構造体に保存します。 BIND 9 サーバが，子のゾーンとその親のゾーンの両方について信頼できる場合，委任点で NS レコードの 2 つの別々のセット---子のゾーンの頂点における信頼すべき NS レコード，および親のゾーンにおける接着 NS レコードのセット---を持ちます。
これら 2 つのセットのNS レコードを正しく区別できいないため， BIND 8 は子の NS レコードを親にコピーして，親のゾーンがメッセージの表示もなく変更されるようにしていました。親からの応答およびゾーン転送には，親の中に構成された接着レコード (あった場合) ではなく，子の NS レコードが含まれていました。スタブの子については，この動作では接着 NS レコードを親のコンフィギュレーションから省くことができました。
BIND 8 のこの動作に依存するサイトでは，親のゾーンに，省略された接着 NS レコードと必要な接着 A レコードを追加する必要があります。
スタブ・ゾーンは，NS レコードを親のゾーンに注入するメカニズムとしてもう使用できませんが，依然として，特定のドメインに宛てたクエリをネーム・サーバの特定のセットに送信する便利な方法です。
BIND 9 の DNSSEC および IPv6 機能は CPU を多く使用します。これらのアプリケーションでは，大規模なシステムを使用してください。
BIND 9 はマルチスレッドであり，マルチプロセッサ・システムを十分に活用することができます。
サーバのメモリは，キャッシュとゾーンを格納できるだけの十分な容量でなければなりません。 max-cache-sizeオプションを使用してキャッシュで使用されるメモリ容量を制限することができますが，キャッシュ・ヒット率が低下し，DNS トラフィックの増加が引き起こされます。
すべてのゾーンおよびキャッシュのデータをロードできるだけの十分なメモリが利用できることを確認してください。最適な設定を判断するのは，ネーム・サーバが稼動してから数週間経つまで待ってください。サーバ・プロセスはかなり安定したサイズになるはずです。リソース制限は，この安定したサイズよりも高めに設定すべきです。
ゾーン転送はもう別のイメージ (TCPIP$BIND_SERVER_XFER.EXE) では実行されません。それらはスレッドのコンテキストで実行されます。
Alpha システムでは，TCP/IP 管理コマンドの SET NAME/INITIALIZE に新しい動作と実行要件が加わりました。 TCP/IP Services バージョン 5.3 より前のバージョンでは，このコマンドは BIND データベースをローカル・ホストに再ロードしていました。現在のバージョンでは，このコマンドは BIND データベースと BIND コンフィギュレーション・ファイルを再ロードします。
SET NAME/INITIALIZE コマンドは，ユーザ・プロセスで設定するには SYSPRV，BYPASS，または READALL 特権が必要になりました。また，現在このコマンドでは，ユーザと BIND サーバ間の安全な通信が可能になるように TCPIP$ETC:RNDC.CONF または TCPIP$ETC:RNDC.KEY のいずれかが設定されている必要があります。
$ @SYS$MANAGER:TCPIP$DEFINE_COMMANDS.COM $ rndc_confgen -a $ @SYS$STARTUP:TCPIP$BIND_SHUTDOWN.COM $ @SYS$STARTUP:TCPIP$BIND_STARTUP.COM
このプロシージャにより TCPIP$ETC:RNDC.KEY ファイルが作成され，この新しく作成されたキー・ファイルを認識するように BIND サーバが再起動されます。

注意
これらの変更は，VAX システム上の TCP/IP 管理コマンド SET NAME/INITIALIZE には適用されません。
Alpha システムでは，TCP/IP 管理コマンドの SHOW NAME/STATISTICS に新しい動作と実行要件が加わりました。
TCP/IP Services バージョン 5.3 より前のバージョンでは，このコマンドは SYS$SPECIFIC:[TCPIP$BIND]TCPIP$BIND_SERVER_STATISTICS.LOG ファイルに統計情報を書き込んでいました。現在のバージョンでは，統計情報を SYS$SPECIFIC:[TCPIP$BIND]TCPIP$BIND.STATS ファイルに書き込みます。
SHOW NAME/STATISTICS コマンドは，ユーザ・プロセスで設定するには，現在では SYSPRV，BYPASS，または READALL 特権を必要とします。また，このコマンドでは，ユーザと BIND サーバ間の安全な通信が可能になるように TCPIP$ETC:RNDC.CONF または TCPIP$ETC:RNDC.KEY のいずれかが設定されている必要があります。この機能を有効にするには，次の一連のコマンドを実行します。
$ @SYS$MANAGER:TCPIP$DEFINE_COMMANDS.COM $ rndc_confgen -a $ @SYS$STARTUP:TCPIP$BIND_SHUTDOWN.COM $ @SYS$STARTUP:TCPIP$BIND_STARTUP.COM
このプロシージャにより TCPIP$ETC:RNDC.KEY ファイルが作成され，この新しく作成されたキー・ファイルを認識するように BIND サーバが再起動されます。

注意
これらの変更は，VAX システム上の TCP/IP 管理コマンドの SHOW NAME/STATISTICS には適用されません。
動的更新の安全ネット・メカニズムと動的更新に関連する TCP/IP マージ論理名はもう存在しません。更新が可能なように一度ゾーンのコンフィギュレーションを行うと，ゾーン・ファイルは直接編集すべきではありません。ゾーンを更新するには， nsupdateユーティリティを使用します。動的更新が有効になると，ゾーン・ファイルは定期的にディスクに書き込まれ，ファイルのバージョン数が 5 を超えると自動的にパージされます。動的に更新されるゾーンは，SET NAME/INITIALIZE コマンドまたは rndcユーティリティを使用して再ロードすることはできません。
BIND サーバのラウンド・ロビンのスケジューリング方式が変更されました。 BIND サーバの以前のバージョンでは，1 つの応答で複数のレコードが返された場合，それらのレコードは，連続した各要求について，ラウンド・ロビン方式で応答に入れられていました。本バージョンでは，ランダムなラウンド・ロビンの順序付けが使用されます。 BIND サーバは，RRset 内部でランダムに起点を選択し，そこから順にレコードを返します。現在のところ，この動作を変更する方法はありません。 TCPIP$BIND_ROUND_ROBIN_OFF 論理名は無視されます。

1.4 IMAP サーバ

OpenVMS Mail 用の IMAP サーバと SMTP (Simple Mail Transfer Protocol) サーバは，共に動作して，クライアント/サーバ環境における信頼可能なメール管理を提供します。

注意
IMAP は Alpha システム上でのみサポートされています。 VAX システムでのインストレーション後にイメージが現れることがありますが，これらはサポートされていません。

IMAP サーバを使用すると，ユーザは，Microsoft Outlook のようなクライアント・アプリケーションを使用して，OpenVMS Mail のメールボックスにアクセスし，メッセージの表示，移動，コピー，および削除を行うことができます。 SMTP サーバでも，クライアントは電子メール・メッセージを作成して送信することができます。

IMAP サーバでは，特定のレベルのオペレーティング・システムを必要とします。次のいずれかのバージョンの OpenVMS を実行している場合には，適切なパッチを当てる必要があります。

OpenVMS のバージョン最小レベルのパッチ・キット

Alpha V7.2-1 VMS721_MAIL-V0100

Alpha V7.2-1H1 VMS21H1_MAIL-V0100

VMS21H1_MAIL-V0200

Alpha V7.2-2 VMS722_MAIL-V0100

Alpha V7.3 VMS73_MAIL-V0100

OpenVMS のバージョン	最小レベルのパッチ・キット
Alpha V7.2-1	VMS721_MAIL-V0100
Alpha V7.2-1H1	VMS21H1_MAIL-V0100
	VMS21H1_MAIL-V0200
Alpha V7.2-2	VMS722_MAIL-V0100
Alpha V7.3	VMS73_MAIL-V0100

バージョン 7.3 以降の OpenVMS のバージョンでは，パッチを当てなくても IMAP サーバが自動的にサポートされます。

IMAP サーバの管理および使用についての詳細は，『 Compaq TCP/IP Services for OpenVMS Release Notes Supplement 』の Appendix A を参照してください。

1.5 TELNET クライアントおよびサーバに対する Kerberos の拡張

Kerberos は，著作権許可通告の下で，マサチューセッツ工科大学 (MIT) から自由に入手することができます。 OpenVMS 用の Kerberos は，MIT からのライセンス条件に従って， Compaqから提供されています。 Kerberos のライセンスについての詳細は，次の Web サイトを参照してください。

http://web.mit.edu/kerberos/www/.

Kerberos は，シークレット・キー暗号手法を使用することにより，クライアント/サーバ・アプリケーションに強力な認証を提供するために設計されたネットワーク認証プロトコルです。 Kerberos は，強力な暗号手法を使用し，安全でないネットワーク接続を介してクライアントが ID をサーバに (およびその逆) 証明できるようにします。 TCP/IP TELNET サービスは，Kerberos を使用して，リモート・ホストへのアクセスを要求する任意のユーザの ID が本物であることを確認します。

Compaq TCP/IP Services for OpenVMS バージョン 5.3 では， OpenVMS Kerberos バージョン 1.0 のクライアントをサポートします。これは，MIT Kerberos Version 5 に基づいています。

Kerberos TELNET クライアントを使用する前に， OpenVMS システム上で OpenVMS Security Client ソフトウェアのコンフィギュレーションを行っておく必要があります。 OpenVMS Security Client ソフトウェアのインストールおよびコンフィギュレーションについての詳細は，『Kerberos Version 1.0 for OpenVMS Security Client Installation Guide and Release Notes』を参照してください。

Kerberos Security Client キットには，『Kerberos Version 1.0 for OpenVMS Security Client Installation Guide and Release Notes』にリストされている MIT のドキュメントのコピーが含まれています。

TCP/IP で Kerberos のセキュリティ機能を使用するユーザは Kerberos を熟知しているものとします。

注意
暗号化は TCP/IP Services の本バージョンではサポートされていません。

1.5.1 Kerberos の基本名

Kerberos TELNET クライアントを使用する前に，ローカル・ホスト・データベースのローカル・ホスト名が完全に修飾されていることを確認してください。 Kerberos 領域では，完全に修飾されたドメイン名を使用して，基本名を形成します。たとえば， terse.mbs.comは完全に修飾されたドメイン名であり， terseは単純なホスト名です。

Compaq TCP/IP Services for OpenVMS は，通常は，ホスト名が単純なホスト名としてホスト・データベースに入力されるようにコンフィギュレーションされます。つまり，TERSE というホストでは，TCP/IP 管理コマンドの SHOW HOST TERSE は， terse.mbs.comではなく， terseを返します。

Kerberos 領域と TCP/IP Services のコンフィギュレーション間の不整合を修正するには，システムがあまり使用されていないときに，特権付きアカウントから次の手順を実行してください。

ホストの数値のアドレスを調べます。たとえば，次のように入力します。

$ TCPIP TCPIP> SHOW HOST terse LOCAL database Host address Host name 15.28.311.11 terse

単純なホスト名を削除します。たとえば，次のように入力します。
TCPIP> SET NOHOST terse/CONFIRM
次の例に示すように，SET HOST コマンドを使用して，完全に修飾されたドメイン名をIP アドレスに関連付けます。
TCPIP> SET host "terse.mbs.com"/ADDRESS=15.28.311.11 - _TCPIP> /ALIAS=("TERSE.MBS.COM", "terse", "TERSE")
/ALIAS 修飾子を指定して，アプリケーションが大文字および小文字のホスト名を処理できるようにします。

最初に返された名前が完全に修飾されていることを確認します。

TCPIP> SHOW HOST terse LOCAL database Host address Host name 15.28.311.11 terse.mbs.com, TERSE.MBS.COM, terse, TERSE

1.5.2 Kerberos TELNET クライアントの使用

以降の各項で，TELNET クライアントを使用して，認証された接続を確立する方法を説明します。

1.5.2.1 認証された TELNET 接続の開始

認証された接続を開始するには，次の手順を実行します。

Kerberos が有効にされているシステムで，KINIT username コマンドを入力します。パスワードを要求されたら入力します。

注意
KINIT コマンド行には必ずユーザ名を指定します。 Kerberos 領域は，通常，小文字のユーザ名で設定されますが， OpenVMS では，ユーザ名は大文字で格納されます。ユーザ名を指定すると，小文字として受け付けられます。

認証された接続を開始するには，次のコマンドを入力します。
$ TELNET/AUTHENTICATE host-name
リモート・システムで同じチケットを使用するには，次のコマンドを入力して，チケットを転送することができます。
$ TELNET/AUTHENTICATE/FORWARD host-name
別の領域で自分の証明書を使用するには，次のコマンドを入力します。
$ TELNET/AUTHENTICATE/REALM=realm-name.

1.5.2.2 TELNET コマンドの説明

この項では，TELNET/AUTHENTICATE コマンドについて説明します。

TELNET/AUTHENTICATE

修飾子

/AUTHENTICATE
オプション。省略時の設定: なし。
TELNET セッションで Kerberos 機能を使用することを指定します。

注意
/AUTHENTICATE 修飾子は，TELNET コマンドの OPEN および CONNECT でも使用することができます。

/FORWARD

/NOFORWARD
オプション。省略時の設定: /NOFORWARD。
Kerberos チケットのコピーをリモート・ホストに転送します。 /NOFORWARD 修飾子は，マシンのコンフィギュレーション・ファイルで指定されたすべての転送を無効にします。転送可能なチケットは，KINIT コマンドを発行するときに同時に要求する必要があります。
/FORWARD 修飾子を指定する場合には，/AUTHENTICATE 修飾子を使用する必要があります。
/REALM=realm-name
オプション。
領域自体を決定する代わりに，指定した領域にあるリモート・ホスト用の Kerberos チケットを要求します。
/REALM 修飾子を指定する場合には，/AUTHENTICATE 修飾子を指定する必要があります。

例

#1

$ TELNET/AUTHENTICATE/REALM=jet.mbs.com terse %TELNET-I-TRYING, Trying ... 15.21.308.11 %TELNET-I-SESSION, Session 01, host terse, port 23 %TELNET-I-ESCAPE, Escape character is ^] terse.ucx.ttg.mbs.com

#1
$ TELNET/AUTHENTICATE/REALM=jet.mbs.com terse %TELNET-I-TRYING, Trying ... 15.21.308.11 %TELNET-I-SESSION, Session 01, host terse, port 23 %TELNET-I-ESCAPE, Escape character is ^] terse.ucx.ttg.mbs.com

この例では，Kerberos 証明書を持つシステム terseにログインします。

#2

$ TELNET/AUTHENTICATE/FORWARD terse %TELNET-I-TRYING, Trying ... 15.21.308.11 %TELNET-I-SESSION, Session 01, host terse, port 23 %TELNET-I-ESCAPE, Escape character is ^] [Kerberos V5 accepts you as ''j_brown@terse.mbs.com'' ] [Kerberos V5 accepted forwarded credentials ]

#2
$ TELNET/AUTHENTICATE/FORWARD terse %TELNET-I-TRYING, Trying ... 15.21.308.11 %TELNET-I-SESSION, Session 01, host terse, port 23 %TELNET-I-ESCAPE, Escape character is ^] [Kerberos V5 accepts you as ''j_brown@terse.mbs.com'' ] [Kerberos V5 accepted forwarded credentials ]

この例では，ユーザ j_brownのために，証明書をホスト terseに転送します。

1.5.3 Kerberos TELNET サーバのコンフィギュレーション

TCP/IP Services の本バージョンでは，標準の TCP/IP TELNET サーバに加えて，別の Kerberos TELNET サーバをサポートします。

Kerberos TELNET サーバは， TCP/IP Services TELNET サーバと同様の主な機能を持っています。ただし，この 2 つのサーバには，若干の違いがあります。たとえば，TELNET サーバでは IPv6 接続をサポートしていますが， Kerberos TELNET サーバでは，Kerberos KDC (Key Distribution Center) との通信のために IPv4 プロトコルだけをサポートします。

Kerberos をサポートする TELNET サーバは，『日本語 Compaq TCP/IP Services for OpenVMS インストレーション/コンフィギュレーション・ガイド』で説明されているように，TCPIP$CONFIG.COM コマンド・プロシージャを実行することによって有効になります。

TELNET サーバが現在有効にされていて，Kerberos をサポートしたい場合には， TELNET サービスを無効にしてから， TCP/IP Services の本バージョンをインストールし，必要な TCPIP$TELNET ユーザ・アカウントとディレクトリが作成されたことを確認する必要があります。

注意
TELNET サーバは停止されることがあるため，次のプロシージャの実行には，TELNET 接続を使用しないでください。

Kerberos TELNET サーバを無効にするには，次の手順を実行します。

システム管理特権を持つユーザ・アカウントから次のコマンドを入力して， TCPIP$CONFIG コマンド・プロシージャを起動します。
$ @SYS$MANAGER:TCPIP$CONFIG.COM
Configuration メニューで， Client componentsオプションを選択します。
クライアント構成要素のリストから， TELNETを選択します。
TELNET Configuration メニューで， Disable & Stop service on this nodeを選択します。
Configuration メニューに戻ります。

Kerberos TELNET サーバを有効にする方法については，『日本語 Compaq TCP/IP Services for OpenVMS インストレーション/コンフィギュレーション・ガイド』を参照してください。

前へ次へ目次

日本語Compaq TCP/IP Services for OpenVMSリリース・ノート

1.4 IMAP サーバ

1.5 TELNET クライアントおよびサーバに対する Kerberos の拡張

1.5.1 Kerberos の基本名

1.5.2 Kerberos TELNET クライアントの使用

1.5.2.1 認証された TELNET 接続の開始

1.5.2.2 TELNET コマンドの説明

TELNET/AUTHENTICATE

修飾子

/AUTHENTICATE

/FORWARD

/NOFORWARD

/REALM=realm-name

例

1.5.3 Kerberos TELNET サーバのコンフィギュレーション

日本語Compaq TCP/IP Services for OpenVMS
リリース・ノート