Bind- und DHCP3-Shared-Key

Bind- und DHCP3-Shared-Key

Ich versuche, Bind so zu konfigurieren, dass Updates vom DHCP-Server akzeptiert werden. Ich habe die Änderungen an der Datei dhcpd.conf vorgenommen, um auf die entsprechenden Zonen und die Kennwortdatei rndc.key zu verweisen. Wenn ich den DHCP-Server jedoch neu starte, erhalte ich Folgendes:

Can't open /etc/bind/rndc.key: Permission denied

rndc.key hat die Berechtigungen 640, Gruppe und Besitzer sind gebunden.

Wenn ich rndc.key so ändere, dass die Berechtigungen 666 betragen, funktioniert es, aber das ist unsicher. Gibt es einen besseren Weg?

Ubuntu 11.04

Antwort1

Die Verwendung von rndc.key für DHCP-Updates scheint mir eine seltsame Idee zu sein. (Ich habe nach einem Debian-Handbuch gegoogelt, in dem ein solches Setup verwendet wurde, vielleicht stammt es daher.) Außerdem wird rndc.key laut Bind-Handbuch nur aus Gründen der Abwärtskompatibilität mit Bind8 beibehalten.

Ich würde Folgendes vorschlagen: Fügen Sie für DHCP die folgende Anweisung direkt sowohl in named.conf als auch in Ihre DHCP-Konfigurationsdatei ein:

key "zone-updates-key" {
        algorithm       hmac-md5;
        secret          "lgkbhjhtthgtlghtl6567==";
};

(ändern Sie natürlich die geheime Phrase ;), Sie können eine zufällige Phrase generieren, indem Sie rndc-confgen ausführen)

Es sind keine "include rndc.key"-Anweisungen erforderlich. Fügen Sie nun in die Zonenkonfiguration in named.conf ein

allow-update { key "zone-updates-key"; };

und in der DHCP-Zonenkonfiguration:

key zone-updates-key;

Das ist alles. Beide Dateien sollten wie üblich von den jeweiligen Prozessen gelesen werden können.

** Sie können auch hier anhalten **

Für rndc können Sie rndc-confgen ausführen und die Ausgabe in rndc verwenden.Konfund named.conf – auf diese Weise verwendet Bind rndc.key überhaupt nicht.

(Warum Sie rndc.key nicht für dynamische Updates verwenden sollten: Dieser Schlüssel ermöglicht die vollständige Kontrolle über die Bindung und es gibt keinen Grund, hier Kompromisse einzugehen, wenn Sie nur dynamische Updates für eine einzelne Zone benötigen.)

Alternativ gibt es in neueren Bind-Versionen /var/run/named/session.key, das hilfreich sein kann – sehen Sie sich die Bind-Direktiven „session-…“ an.

verwandte Informationen