chave compartilhada bind e dhcp3

chave compartilhada bind e dhcp3

Estou tentando configurar o bind para aceitar atualizações do servidor dhcp, fiz as alterações no arquivo dhcpd.conf para me referir às zonas apropriadas e ao arquivo de senha rndc.key, mas quando reinicio o servidor dhcp recebo:

Can't open /etc/bind/rndc.key: Permission denied

rndc.key tem permissões 640, grupo e proprietário estão vinculados.

Se eu alterar rndc.key para ter permissões de 666, ele funciona, mas isso é inseguro, existe uma maneira melhor?

Ubuntu 11.04

Responder1

Para mim, usar rndc.key para atualizações de DHCP parece uma ideia estranha. (Pesquisei no Google algum manual do Debian que usava essa configuração, talvez seja daí que ela se origina). Além disso, de acordo com o manual do bind, rndc.key é mantido apenas para compatibilidade com versões anteriores do bind8.

O que eu sugiro é o seguinte: para DHCP, insira a seguinte instrução diretamente em nomeado.conf e em seu arquivo de configuração DHCP:

key "zone-updates-key" {
        algorithm       hmac-md5;
        secret          "lgkbhjhtthgtlghtl6567==";
};

(é claro, mude a frase secreta;), você pode gerar uma aleatória executando rndc-confgen)

Não há necessidade de nenhuma instrução "include rndc.key". Agora na configuração da zona em nomeado.conf você adiciona

allow-update { key "zone-updates-key"; };

e na configuração da zona DHCP:

key zone-updates-key;

Isso é tudo. Ambos os arquivos devem ser legíveis pelos seus respectivos processos, como de costume.

** Você também pode optar por parar por aqui **

Para o rndc, você pode executar o rndc-confgen e usar sua saída no rndc.confe nomeado.conf - desta forma, o bind não usará rndc.key.

(Por que não usar rndc.key para atualizações dinâmicas: essa chave oferece controle completo sobre a ligação e não há razão para comprometer isso se tudo o que você precisa são atualizações dinâmicas para zona única.)

Como alternativa, nas versões de ligação mais recentes, há /var/run/named/session.key que pode ser útil - dê uma olhada nas diretivas de ligação "session-...".

informação relacionada