この文書はインターネットドラフトの日本語訳(和訳)です。 翻訳者はこの文書の翻訳の正確さを保障しません。 翻訳者はこの文書によって読者が被り得る如何なる損害の責任をも負いません。 この翻訳内容に誤りがある場合、訂正版の公開や、 誤りの指摘は適切です。 翻訳者はこの翻訳の配布に制限をしません。


Network Working Group                                     R. Droms (ed.)
Internet-Draft                                             Cisco Systems
Expires: August 29, 2003                               February 28, 2003


                  DNS Configuration options for DHCPv6
                   DHCPv6のDNS設定オプション
               draft-ietf-dhc-dhcpv6-opt-dnsconfig-03.txt

Status of this Memo
このメモの状態

   This document is an Internet-Draft and is in full conformance with
   all provisions of Section 10 of RFC2026.
   この文書はインターネットドラフトであって、そしてRFC2026の10
   章のすべての条項に完全適合です。

   Internet-Drafts are working documents of the Internet Engineering
   Task Force (IETF), its areas, and its working groups.  Note that
   other groups may also distribute working documents as Internet-
   Drafts.
   インターネットドラフトはインターネット技術タスクフォース(IETF)
   とそのエリアとその作業グループの作業文書です。他のグループがインター
   ネットドラフトとして同じく作業文書を配るかもしれないことに注意してく
   ださい。

   Internet-Drafts are draft documents valid for a maximum of six months
   and may be updated, replaced, or obsoleted by other documents at any
   time.  It is inappropriate to use Internet-Drafts as reference
   material or to cite them other than as "work in progress."
   インターネットドラフトは最大6カ月間有効なドラフト文書で、いつでも他
   の文書によって、更新か、置換えか、時代遅れにされるかもしれません。イ
   ンターネットドラフトは、「進行中の仕事」として以外に、参照材料あるい
   は引用として用いることは不適当です。

   The list of current Internet-Drafts can be accessed at
   http://www.ietf.org/ietf/1id-abstracts.txt.
   現在のインターネットドラフトのリストは
   http://www.ietf.org/ietf/1id-abstracts.txt でアクセスできます。

   The list of Internet-Draft Shadow Directories can be accessed at
   http://www.ietf.org/shadow.html.
   インターネットドラフトの影ディレクトリのリストは
   http://www.ietf.org/shadow.html でアクセスできます。

   This Internet-Draft will expire on August 29, 2003.
   このインターネットドラフトは2003年8月29日で期限切れです。

Copyright Notice
著作権表示


   Copyright (C) The Internet Society (2003).  All Rights Reserved.

Abstract
概要

   This document describes DHCPv6 options for passing a list of
   available DNS resolvers and a domain search list to a client.
   この文書はクライアントに利用可能なDNSリゾルバリストとドメイン探索
   リストを渡すDHCPv6オプションを記述します。

1. Introduction
1. はじめに

   This document describes two options for passing configuration
   information related to Domain Name Service (DNS) [1, 6] in DHCPv6
   [2].
   この文書はDHCPv6[2]でドメインネームサービス(DNS)[1,6]と関
   係がある設定情報を渡す2つのオプションを記述します。

2. Terminology
2. 専門用語


   The key words MUST, MUST NOT, REQUIRED, SHALL, SHALL NOT, SHOULD,
   SHOULD NOT, RECOMMENDED, MAY, and OPTIONAL in this document are to be
   interpreted as described in RFC2119 [3].
   この文書のキーワードMUSTとMUST NOTとREQUIREDとSHALLとSHALL NOTと
   SHOULDとSHOULD NOTとRECOMMENDEDとMAYとPTIONALはRFC2119[3]で記
   述されるように解釈されます。


   This document uses terminology specific to IPv6 and DHCPv6 as defined
   in section "Terminology" of the DHCP specification [2].
   この文書はDHCP仕様書[2]の「専門用語」章で定義されるIPv6とDH
   CPv6に特有な用語を使います。

3. DNS Resolver option
3. DNSリゾルバオプション

   The DNS Resolver option provides a list of one or more IPv6 addresses
   of DNS recursive resolvers to which a client's DNS resolver MAY send
   DNS queries [1].  The DNS servers are listed in the order of
   preference for use by the client resolver.
   DNSリゾルバオプションは、クライアントのDNSリゾルバがDNS問合
   せを送信するかもしれない、DNS回帰リゾルバの1つ以上のIPv6アド
   レスのリストを供給します[1]。DNSサーバはクライアントリゾルバが使用
   する優先度順でリストアップされます。

   The format of the DNS Resolver option is:
   DNSリゾルバオプションのフォーマットは以下です:


       0                   1                   2                   3
       0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
      +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
      |     OPTION_DNS_RESOLVERS      |         option-len            |
      +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
      |                                                               |
      |                 DNS-resolver (IPv6 address)                   |
      |                                                               |
      |                                                               |
      +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
      |                                                               |
      |                 DNS-resolver (IPv6 address)                   |
      |                                                               |
      |                                                               |
      +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
      |                              ...                              |
      +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+


   option-code:   OPTION_DNS_RESOLVERS (tbd)

   option-len: Length of the list of DNS resolvers in octets; must be a
      multiple of 16
   option-len: オクテット単位のDNSリゾルバのリストの長さ;16の倍数
      に違いありません。

   DNS-server:    IPv6 address of DNS resolver
   DNS-server:    DNSリゾルバのIPv6アドレス。


4. Domain Search List option
4. ドメイン探索リストオプション

   The Domain Search List option specifies the domain search list the
   client is to use when resolving hostnames with DNS.  This option does
   not apply to other name resolution mechanisms.
   ドメイン探索リストオプションはクライアントがDNSでホスト名を解決す
   る時に使うドメイン探索リストを指定します。この選択は他の名前決議メカ
   ニズムに当てはまりません。

   The format of the Domain Search List option is:
   ドメイン探索リストオプションのフォーマットは以下です:


       0                   1                   2                   3
       0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
      +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
      |      OPTION_DOMAIN_LIST       |         option-len            |
      +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
      |                         searchstring                          |
      |                              ...                              |
      +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+


   option-code:   OPTION_DOMAIN_LIST (tbd)

   option-len: Length of the 'searchstring' field in octets
   option-len: オクテット単位の'searchstring'の長さ。

   searchstring:  The specification of the list of domain names in the
      Domain Search List
   searchstring:  ドメイン探索リストのドメイン名のリストの指定。

   The list of domain names in the 'searchstring' MUST be encoded as
   specified in section "Representation and use of domain names" of the
   DHCPv6 specification [2].
   'searchstring'のドメイン名のリストは、DHCPv6仕様書[2]の「ドメイ
   ン名の表現と使用」章で指定されるように、コード化されなくてはなりませ
   ん。

5. Appearance of these options
5. これらのオプションの外観

   The Domain Name Server option MUST NOT appear in other than the
   following messages: Solicit, Advertise, Request, Renew, Rebind,
   Information-Request, Reply.
   ドメイン名サーバオプションは中に次のメッセージ以外に現われてはなりま
   せん(MUST NOT):要請、広告、要求、更新、再結合、情報要求、応答。

   The Domain Search List option MUST NOT appear in other than the
   following messages: Solicit, Advertise, Request, Renew, Rebind,
   Information-Request, Reply.
   ドメイン探索リストオプションは次のメッセージ以外に現われてはなりませ
   ん(MUST NOT):要請、広告、要求、更新、再結合、情報要求、応答。

6. Security Considerations
6. セキュリティの考慮

   The DNS Resolver option may be used by an intruder DHCP server to
   cause DHCP clients to send DNS queries to an intruder DNS resolver.
   The results of these misdirected DNS queries may be used to spoof DNS
   names.
   DNSリゾルバオプションはDHCPクライアントがDNS問合せを侵入者
   のDNSリゾルバに送らせるために侵入者のDHCPサーバによって使われ
   るかもしれません。これらの間違った方向に送られるDNS問合せはDNS
   名をだますために使われるかもしれません。

   To avoid attacks through the DNS Resolver option, the DHCP client
   SHOULD require DHCP authentication (see section "Authentication of
   DHCP messages" in the DHCPv6 specification) before installing a list
   of DNS resolvers obtained through authenticated DHCP .
   DNSリゾルバオプションを通しての攻撃を避けるために、DHCPクライ
   アントは認証されたDHCPを通して得られるDNSリゾルバリストをイン
   ストールする前にDHCP認証(DHCPv6仕様書の「DHCPメッセー
   ジ認証」章を参照)を要求するべきです。

   The Domain Search List option may be used by an intruder DHCP server
   to cause DHCP clients to search through invalid domains for
   incompletely specified domain names.  The results of these
   misdirected searches may be used to spoof DNS names.  Note that
   support for DNSSEC [4] will not avert this attack, because the
   resource records in the invalid domains may be legitimately signed.
   ドメイン探索リストオプションは、DHCPクライアントが不完全に指定さ
   れたドメイン名に対して無効なドメインを捜させるために侵入者のDHCP
   サーバによって使われるかもしれません。これらの間違って行われた探索の
   結果はDNS名をだますために使われるかもしれません。無効なドメインで
   の資源レコードは合法的に署名されるかもしれないので、DNSSEC[4]の
   サポートがこの攻撃を避けないことに注意してください。

   The degree to which a host is vulnerable to attack via an invalid
   domain search option is determined in part by DNS resolver behavior.
   RFC1535 [7] contains a discussion of security weaknesses related to
   implicit as well as explicit domain searchlists, and provides
   recommendations relating to resolver searchlist processing.  Section
   6 of RFC1536 [5] also addresses this vulnerability, and recommends
   that resolvers:
   ホストが無効なドメイン探索オプションの攻撃で傷つきやすい度合いはDN
   Sリゾルバ行動によって一部決定されます。RFC1535[7]が、明示的と
   暗示的なドメイン探索リストと関係があるセキュリティの弱点の論議を含み、
   そしてリゾルバ探索リスト処理に関連した推薦を供給します。RFC153
   6[5]の6章が同じくこの弱点を扱い、そしてリゾルバに以下を勧めます:

   1.  Use searchlists only when explicitly specified; no implicit
       searchlists should be used.
   1.  ただ明示的に指定されるだけ時だけ、探索リストを使ってください;暗
       示的な探索リストが使われるべきではありません。

   2.  Resolve a name that contains any dots by first trying it as an
       FQDN and if that fails, with the names in the searchlist
       appended.
   2.  ドットを含む名前は、最初にFQDNとして名前解決を試み、失敗した
       ら探索リストを付加して名前解決を試みてください。

   3.  Resolve a name containing no dots by appending with the
       searchlist right away, but once again, no implicit searchlists
       should be used.
   3.  ドットを含まない名前は、すぐに探索リストを付加して名前解決を試み
       てください、けれども、暗示的な探索リストが使われるべきではありま
       せん。

   In order to minimize potential vulnerabilities it is recommended
   that:
   脆弱性の可能性を最小にするために、以下が勧められます:

   1.  Hosts implementing the domain search option SHOULD also implement
       the searchlist recommendations of RFC1536, section 6.
   1.  ドメイン捜索オプションを実装するホストは同じくRFC1536 の6
       章の探索リストの推薦を実行するべきです(SHOULD)。

   2.  Where DNS parameters such as the domain searchlist or DNS servers
       have been manually configured, these parameters SHOULD NOT be
       overridden by DHCP.
   2.  ドメイン探索リストやDNSサーバのようなDNSパラメータが手作業
       で設定されたところで、これらのパラメータはDHCPを上書きすべき
       ではありません(SHOULD NOT)。

   3.  A host SHOULD require the use of DHCP authentication (see section
       "Authentication of DHCP messages" in the DHCPv6 specification)
       prior to accepting a domain search option.
   3.  ホストがドメイン探索オプションを受け入れることの前にDHCP認証
       の使用を要求すべきです(SHOULD)(DHCPv6仕様の「DHCPメッ
       セージ認証」章を見てください)。


7. IANA Considerations
7. IANA考慮

   IANA is requested to assign an option code to these options from the
   option-code space defined in section "DHCPv6 Options" of the DHCPv6
   specification [2].
   IANAはDHCPv6仕様書[2]の「DHCPv6オプション」章で定義し
   たオプションコード空間をオプションコードをこれらのオプションに割り当
   てるように要請されます。

8. Acknowledgments
8. 謝辞

   This option was originally part of the DHCPv6 specification, written
   by Jim Bound, Mike Carney, Charlie Perkins, Ted Lemon, Bernie Volz
   and Ralph Droms.
   このオプションは元々DHCPv6仕様書の一部で、Jim BoundとMike
   CarneyとCharlie PerkinsとTed LemonとBernie VolzとRalph Dromsによって
   かかれました。

   The analysis of the potential attack through the domain search list
   is taken from the specification of the DHCPv4 Domain Search option,
   RFC3397 [8].
   ドメイン探索リストにより可能性がある攻撃の分析はDHCPv4ドメイン
   探索オプションの仕様書RFC3397[8]からとられます。

   Thanks to Rob Austein, Alain Durand, Peter Koch, Tony Lindstrom and
   Pekka Savola for their contributions to this document.
   この文章の貢献に対してRob AusteinとAlain DurandとPeter KochとTony
   LindstromとPekka Savolaに感謝します。

9. Changes from draft-ietf-dhc-dhcpv6-opt-dnsconfig-02.txt
9. draft-ietf-dhc-dhcpv6-opt-dnsconfig-02.txtからの変更点

   This document includes the following changes in response to comments
   made during the dhc/dnsext WG last call:
   この文書はdhc/dnsext WGのラストコールの間にされたコメントに応えて次の
   変更を含みます:

   o  Combined RFC2119 reference and reference to DHCPv6 specification
      into one "Terminology" section; added explicit normative reference
      to DHCPv6 specification.
   o  結合されたRFC2119リファレンスとリファレンスがDHCPv6仕
      様書に1つの「ターミノロジー」セクションの中に、DHCPv6仕様書
      に明示的な基準的参考文献を加えました。

   o  Changed name of "Domain Name Server" option to "DNS Resolver"
      option.
   o  「ドメインネームサーバ」オプションから「DNSリゾルバ」オプション
      へ名前の変更。

   o  Clarified and corrected filed names and descriptions of fields in
      the option format diagrams.
   o  オプションフォーマット図のフィールド名とフィールドの記述を明確にし
      修正。

   o  Reworded "Appearance of these options" for clarity; removed
      Confirm from list of messages in which the options can appear.
   o  「これらのオプションの容姿」は明快さのために言い換えました;オプ
      ションが現われることができるメッセージのリストから確認を削除。

   o  Clarified the type of attack that can be mounted through the
      Domain Search List option by copying text from RFC3997
   o  RFC3997からテキストをコピーすることによってドメイン探索リ
      ストオプションを通して開始できる攻撃のタイプを明確にしました。

Normative References
基準的参考文献

   [1]  Mockapetris, P., "Domain names - implementation and
        specification", STD 13, RFC 1035, November 1987.

   [2]  Bound, J., Carney, M., Perkins, C., Lemon, T., Volz, B. and R.
        Droms (ed.), "Dynamic Host Configuration Protocol for IPv6
        (DHCPv6)", RFC XXXX, TBD 2003.

   [3]  Bradner, S., "Key words for use in RFCs to Indicate Requirement
        Levels", BCP 14, RFC 2119, March 1997.

   [4]  Eastlake, D., "Domain Name System Security Extensions", RFC
        2535, March 1999.

   [5]  Kumar, A., Postel, J., Neuman, C., Danzig, P. and S. Miller,
        "Common DNS Implementation Errors and Suggested Fixes", RFC
        1536, October 1993.

Normative References
基準的参考文献

   [6]  Mockapetris, P., "Domain names - concepts and facilities", STD
        13, RFC 1034, November 1987.

   [7]  Gavron, E., "A Security Problem and Proposed Correction With
        Widely Deployed DNS Software", RFC 1535, October 1993.

   [8]  Aboba, B. and S. Cheshire, "Dynamic Host Configuration Protocol
        (DHCP) Domain Search Option", RFC 3397, November 2002.


Author's Address
著者のアドレス

   Ralph Droms (ed.)
   Cisco Systems
   250 Apollo Drive
   Chelmsford, MA  01824
   USA

   Phone: +1 978 497 4733
   EMail: rdroms@cisco.com



Full Copyright Statement
著作権表示全文

   Copyright (C) The Internet Society (2003).  All Rights Reserved.
   著作権(C)インターネット学会(2003)。すべての権利は保留される。

   This document and translations of it may be copied and furnished to
   others, and derivative works that comment on or otherwise explain it
   or assist in its implementation may be prepared, copied, published
   and distributed, in whole or in part, without restriction of any
   kind, provided that the above copyright notice and this paragraph are
   included on all such copies and derivative works.  However, this
   document itself may not be modified in any way, such as by removing
   the copyright notice or references to the Internet Society or other
   Internet organizations, except as needed for the purpose of
   developing Internet standards in which case the procedures for
   copyrights defined in the Internet Standards process must be
   followed, or as required to translate it into languages other than
   English.
   上記著作権表示とこの段落が全ての複写や派生的な仕事につけられていれば、
   この文書と翻訳は複写や他者への提供ができ、そしてコメントや説明や実装
   を支援する派生的な仕事のためにこの文書の全部か一部を制約なく複写や出
   版や配布できます。しかし、この文書自身は、英語以外の言葉への翻訳やイ
   ンターネット標準を開発する目的で必要な場合以外は、インターネット学会
   や他のインターネット組織は著作権表示や参照を削除されるような変更がで
   きません、インターネット標準を開発する場合はインターネット標準化プロ
   セスで定義された著作権の手順に従われます。

   The limited permissions granted above are perpetual and will not be
   revoked by the Internet Society or its successors or assigns.
   上に与えられた限定された許可は永久で、インターネット学会やその後継者
   や譲渡者によって無効にされません。

   This document and the information contained herein is provided on an
   "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING
   TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING
   BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION
   HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF
   MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
   この文書とここに含む情報は無保証で供給され、そしてインターネット学会
   とインターネット技術標準化タスクフォースは、特別にも暗黙にも、この情
   報の利用が権利を侵害しないことや商業利用や特別の目的への利用に適当で
   ある事の保障を含め、すべての保証を拒否します。

Acknowledgement
謝辞

   Funding for the RFC Editor function is currently provided by the
   Internet Society.
   RFCエディタ機能のための資金供給が現在インターネット学会によって
   供給されます。

[]Japanese translation by Ishida So