Hat jemand jemals ISC Bind 9.5.0 oder höher mit Unterstützung für dynamische GSS-TSIG-DNS-Updates konfiguriert UND zum Laufen gebracht? Wenn ja, mit welcher Konfiguration wurde dies erreicht?
Ich fühle mich nahe daran, dass dies funktioniert. Ich sehe, dass das GSS-Guthaben während der TKEY-Aushandlung mit einem Active Directory-Domänencontroller und dem BIND-DNS-Server ohne offensichtlichen Fehler übergeben wird:
client 192.168.0.30 # 52314: gss cred abfragen: "DNS/[email protected]", GSS_C_ACCEPT, 4294967256 gss-api quellenname (akzeptieren) ist [email protected] process_gsstkey (): dns_tsigerror_noerror client 192.168 .0.30 # 52314: senden
Wenn das Update gesendet wird, wird es jedoch abgelehnt:
Client 192.168.0.30 # 58330: Client aktualisieren 192.168.0.30 # 58330: Aktualisierungszone 'example.com/IN': Aktualisierung fehlgeschlagen: vom sicheren Update abgelehnt (VERWEIGERT) Client 192.168.0.30 # 58330: Senden
Hat jemand diese Arbeit in der realen Welt?
quelle
Antworten:
Mit einem vom Samba 4-Team bereitgestellten Patch gelang es mir tatsächlich, dynamische Updates zum Laufen zu bringen.
http://wiki.samba.org/index.php/Samba4/HOWTO#Step_10_Configure_kerberos_DNS_dynamic_updates
Es scheint Probleme mit der Windows-Version und der Methode zur Durchführung dynamischer Updates zu geben.
Wenn Sie versuchen, dasselbe außerhalb einer Samba4-Domain zu tun, ist es Ihre nächstbeste Wahl, das Howto hier zu befolgen:
http://freeipa.org/page/Dynamic_updates_with_GSS-TSIG
Es tut mir leid, wenn ich keine weiteren Informationen zu diesem Thema habe.
quelle