você está aqui: Home  → Colunistas  →  Sysadmin

Delegação de Autoridade

Por Rubens Queiroz de Almeida

Data de Publicação: 20 de Maio de 2007

Como sabemos o sistema DNS funciona através da delegação, onde um servidor aponta para um outro, sucessivamente, até que a informação que se procura seja encontrada. Estas informações ligadas não são criadas por acaso e exigem uma sincronização por parte dos administradores dos diversos domínios.

Tudo começa nos servidores raiz, que respondem pelo domínio de mais alto nível, o domínio ?.?. Estes servidores possuem um registro para os domínios terminados em BR, apontando para os servidores da FAPESP e seus espelhos distribuídos mundo afora. Já a FAPESP possui milhares de indicadores para os servidores DNS de todos os domínios terminados em BR.

Suponhamos então que seja feito o registro do domínio example.com.br. Durante o processo automatizado de registro de domínios, será necessário indicar no mínimo dois servidores DNS que estejam respondendo pelo domínio example.com.br. Caso estes servidores estejam corretamente configurados, e as demais informações necessárias estejam também corretas, o processo é finalizado com a inserção de registros NS para o novo domínio nos servidores raiz do domínio BR.

Supondo que os servidores DNS do domínio example.com.br sejam ns1.example.com.br e ns2.example.com.br, os registros inseridos nos servidores da FAPESP terão a forma:

  example.com.br.     IN    NS    ns1.example.com.br
  ns1.example.com.br. IN    A    192.168.0.1
  example.com.br.     IN    NS    ns2.example.com.br
  ns2.example.com.br. IN    A    192.168.0.2

Vemos que além dos registros NS, que indicam os servidores do domínio example.com.br, temos também registros do tipo A, que indicam o número IP dos servidores DNS. Faz sentido, não? Afinal de contas quem responde por todos os computadores que terminem em example.com.br? Os computadores chamados ns1.example.com.br e ns2.example.com.br. Até aqui tudo bem. Mas quem me dá o número IP de um destes dois servidores DNS? Eles mesmos. Pronto, chegamos em uma situação um pouco complicada. Para me comunicar com um computador eu preciso de seu número IP. Nomes e o próprio sistema DNS são apenas um conforto para nós seres humanos que memorizamos nomes com muito mais facilidade do que números. Por esta razão o Registro.BR precisa registrar também os números IP dos servidores do domínio registrado.

Os registros do tipo A são necessários, em nosso exemplo, visto que também os servidores DNS se encontram dentro do domínio registrado. ns1.example.com.br termina por example.com.br, o que configura esta situação.

Este tipo de configuração se chama registro cola (glue records). Entretanto, é necessário muito cuidado pois o uso incorreto ou desnecessário desta informação pode levar a situações de erro de difícil identificação.

Registros cola só devem ser usados na situação descrita acima, onde o servidor DNS se encontra dentro do domínio delegado. Servidores DNS entretanto podem atender a dezenas ou centenas de domínios. Se quisermos registrar o domínio outroexemplo.com.br, sob a responsabilidade dos mesmos servidores DNS, o servidor raiz do domínio BR, deverá conter apenas os seguintes registros:

    outroexemplo.com.br.     IN     NS    ns1.example.com.br.
    outroexemplo.com.br.     IN     NS    ns2.example.com.br.

Até agora vimos duas delegações. Os servidores do domínio raiz (?.?) delegaram para o Registro.BR autoridade sobre todos os domínios terminados em BR. O Registro.BR, por sua vez, realizou a delegação de autoridade sobre o domínio example.com.br para os servidores DNS ns1.example.com.br e ns2.example.com.br. Em outras palavras, os termos delegação de autoridade significam simplesmente que se alguém desejar obter informações corretas sobre computadores que terminam em example.com.br devem encaminhar suas perguntas para um dos dois servidores registrados do domínio. O Registro.BR não terá em seus registros nenhum informação além do nome dos servidores DNS e do domínio a que servem. Tudo o mais foi delegado. O administrador do domínio example.com.br tem total liberdade para registrar quantos computadores quiser dentro do domínio sobre o qual possui autoridade. Ele pode inclusive continuar delegando autoridade para outros subdomínios.

Vejamos um exemplo. O domínio example.com.br tem representações em todas as capitais do Brasil e cada um destes subdomínios se inicia pelo nome da capital onde está sediado. O administrador do serviço DNS do domínio raiz poderá realizar a delegação de autoridade para os domínios regionais, incluindo registros do tipo:

    sergipe.example.com.br.        IN    NS    ns.aracaju.example.com.br.
    pernambucoe.example.com.br.    IN    NS    ns.recife.example.com.br.
    ceara.example.com.br.          IN    NS    ns.fortaleza.example.com.br.
    maranhao.example.com.br.       IN    NS    ns.saoluis.example.com.br.
    para.example.com.br.           IN    NS    ns.para.example.com.br.
    amazonas.example.com.br.       IN    NS    ns.amazonas.example.com.br.
    ...

Esta delegação pode continuar. O administrador da base de Aracaju pode delegar autoridade para os representantes em diferentes regiões do estado de Sergipe. A restrição é que o administrador da base de Aracaju tem autoridade sobre o dominio aracaju.example.com.br e pode criar apenas nomes de computadores que terminem com este nome.

A nossa árvore de delegação tem até agora quatro níveis:

  • Domínio raiz da Internet global (?.?)
  • Domínio raiz da Internet Brasil (?BR?)
  • Domínio example.com.br
  • Subdomínios de example.com.br

O processo de registro de um domínio nada mais é do que uma solicitação de delegação de autoridade. Ao preenchermos os formulários do Registro.BR e informarmos os nomes de servidores DNS do domínio que desejamos usar é exatamente isto o que ocorre. O Registro.BR, verifica se está tudo correto e, perante o pagamento de uma taxa, nos transfere autoridade para o domínio solicitado.

A delegação de autoridade dentro de uma mesma empresa se dá de maneira mais informal, possivelmente através da troca de telefonemas ou emails entre os administradores dos diferentes domínios. Uma vez que tudo esteja acertado, o administrador do domínio pai insere os registros delegando autoridade sob o subdomínio e tudo fica resolvido.

Este processo, embora simples, é realizado de forma incorreta por um grande número de administradores de domínios. Para comprovar isto, basta examinar os arquivos de log de seu servidor DNS. Delegações incorretas, no jargão da Internet, são denominadas lame delegations. Sempre que o seu servidor DNS detectar uma situação destas o ocorrido é gravado no log de seu sistema.

   Jan 23 06:24:52 orion named[1021]: lame server resolving 'xxxxx.com.br' (in 'xxxxxx.com.br'?): 192.168.20.10#53

 

 

Veja a relação completa dos artigos desta coluna