clave compartida bind y dhcp3

clave compartida bind y dhcp3

Estoy intentando configurar bind para aceptar actualizaciones del servidor dhcp. He realizado cambios en el archivo dhcpd.conf para hacer referencia a las zonas apropiadas y al archivo de contraseña rndc.key, pero cuando reinicio el servidor dhcp aparece:

Can't open /etc/bind/rndc.key: Permission denied

rndc.key tiene permisos 640, el grupo y el propietario están vinculados.

Si cambio rndc.key para que tenga permisos de 666, funciona, pero esto no es seguro. ¿Existe una mejor manera?

ubuntu 11.04

Respuesta1

Para mí, usar rndc.key para actualizaciones de DHCP parece una idea extraña. (Busqué en Google algún manual de Debian que usaba dicha configuración, tal vez de ahí se origina). Además, según el manual de bind, rndc.key se conserva solo por compatibilidad con versiones anteriores de bind8.

Lo que sugeriría es lo siguiente: para DHCP, inserte la siguiente declaración directamente tanto en el archivo nombrado.conf como en su archivo de configuración de DHCP:

key "zone-updates-key" {
        algorithm       hmac-md5;
        secret          "lgkbhjhtthgtlghtl6567==";
};

(por supuesto, cambie la frase secreta;), puede generar una aleatoria ejecutando rndc-confgen)

No es necesario incluir declaraciones de "incluir rndc.key". Ahora en la configuración de zona en nombrado.conf agregas

allow-update { key "zone-updates-key"; };

y en la configuración de la zona dhcp:

key zone-updates-key;

Eso es todo. Ambos archivos deberían poder leerse mediante sus respectivos procesos, como es habitual.

** También puedes optar por detenerte aquí **

Para rndc, puede ejecutar rndc-confgen y usar su salida en rndc.confinary nombrado.conf: de esta manera, bind no utilizará rndc.key en absoluto.

(En cuanto a por qué no usar rndc.key para actualizaciones dinámicas: esta clave brinda control total sobre el enlace, y no hay razón para comprometer eso si todo lo que necesita son actualizaciones dinámicas para una sola zona).

Alternativamente, en las versiones de enlace más nuevas, hay /var/run/named/session.key que puede ser útil; eche un vistazo a las directivas de enlace "session-...".

información relacionada