Bind- und DHCP3-Shared-Key

Die Verwendung von rndc.key für DHCP-Updates scheint mir eine seltsame Idee zu sein. (Ich habe nach einem Debian-Handbuch gegoogelt, in dem ein solches Setup verwendet wurde, vielleicht stammt es daher.) Außerdem wird rndc.key laut Bind-Handbuch nur aus Gründen der Abwärtskompatibilität mit Bind8 beibehalten.

Ich würde Folgendes vorschlagen: Fügen Sie für DHCP die folgende Anweisung direkt sowohl in named.conf als auch in Ihre DHCP-Konfigurationsdatei ein:

key "zone-updates-key" {
        algorithm       hmac-md5;
        secret          "lgkbhjhtthgtlghtl6567==";
};

(ändern Sie natürlich die geheime Phrase ;), Sie können eine zufällige Phrase generieren, indem Sie rndc-confgen ausführen)

Es sind keine "include rndc.key"-Anweisungen erforderlich. Fügen Sie nun in die Zonenkonfiguration in named.conf ein

allow-update { key "zone-updates-key"; };

und in der DHCP-Zonenkonfiguration:

key zone-updates-key;

Das ist alles. Beide Dateien sollten wie üblich von den jeweiligen Prozessen gelesen werden können.

** Sie können auch hier anhalten **

Für rndc können Sie rndc-confgen ausführen und die Ausgabe in rndc verwenden.Konfund named.conf – auf diese Weise verwendet Bind rndc.key überhaupt nicht.

(Warum Sie rndc.key nicht für dynamische Updates verwenden sollten: Dieser Schlüssel ermöglicht die vollständige Kontrolle über die Bindung und es gibt keinen Grund, hier Kompromisse einzugehen, wenn Sie nur dynamische Updates für eine einzelne Zone benötigen.)

Alternativ gibt es in neueren Bind-Versionen /var/run/named/session.key, das hilfreich sein kann – sehen Sie sich die Bind-Direktiven „session-…“ an.