înregistrare Logare
Puncte:0
kfsone avatar Server

Este posibil să activați actualizările DNS RFC2136 pentru un domeniu samba-AD?

drapel do
kfsone

Experimentez cu un Synology NAS care rulează bind9 și samba pentru a găzdui un subdomeniu local cu un domeniu AD cu același nume, de ex. domain : sub.x.notcom, realm : sub.x.notcom ... Voi înlocui domeniul meu real cu asta în întrebare.

Am vrut să am posibilitatea de a face actualizări RFC2136 ale zonei, așa că am creat o cheie HMAC-SHA512 stocată în named/etc/key și i-am spus lui bind despre aceasta:

./named/etc/conf/named.key.conf:include „/etc/key/update-key”;

a verificat că aceasta este calea corectă în interiorul chroot (numitul nu va începe dacă nu este)

Am văzut că actualizarea-politica este stocată în named/etc/samba/private/named.conf.update, care este generat automat, dar am descoperit că generatorul caută un fișier numit „named.conf.update.static” pentru a vă permite să introduceți granturi suplimentare, așa că am adăugat unul:

numit/etc/samba/private/named.conf.update.static

acordați caracterul metalic al cheii de actualizare * CNAME;

și a verificat că acesta a fost inclus în fișierul named.conf.update după câteva minute:

sh-4.3# mai mult named/etc/samba/private/named.conf.update*
:::::::::::::::
numit/etc/samba/private/named.conf.update
:::::::::::::::
/* acest fișier este generat automat - nu editați */
update-policy {
/* Începutul intrărilor statice */
acordați un wildcard local-ddns * CNAME;
/* Sfârșitul intrărilor statice */
        acordă SUB.X.NOTCOM ms-self * A AAAA;
        grant Administrator@SUB.X.NOTCOM wildcard * A AAAA SRV CNAME;
        acordați synology$@sub.x.notcom wildcard * A AAAA SRV CNAME;
};
:::::::::::::::
numit/etc/samba/private/named.conf.update.static
:::::::::::::::
acordați un wildcard local-ddns * CNAME;

Apoi am încercat să generez o actualizare DNS folosind nactualizare

# nsupdate -k numit/etc/key/update-key
> actualizați adăugați foo.sub.x.notcom. 300 ÎN CNAME www.google.com.
> trimite
; Eroare TSIG cu serverul: tsig indică eroare
actualizare eșuată: NOTAUTH(BADKEY)

> raspunde
Răspuns:
;; ->>HEADER<<- opcode: UPDATE, stare: NOTAUTH, id: 45171
;; steaguri: qr ra; ZONA: 1, PRECERERE: 0, ACTUALIZARE: 0, SUPLIMENTARE: 1
;; SECȚIUNEA ZONĂ:
;home.kfs.org.                 ÎN SOA

;; PSEUDOSECȚIE TSIG:
cheie-actualizare. 0 ORICE TSIG hmac-sha512. 1623287759 300 0 45171 BADKEY 0

O MULTE din acestea par nedocumentate (de exemplu, fișierul .static), iar mulți parametri din fișierele de configurare par să fie, de asemenea, nedocumentați/practic absenți din google/ddg.

Se pare că i-am spus lui Bind doar cheia de actualizare, dar nu samba. În afară de nsupdate, clientul meu original pentru cazul de testare urma să fie clientul „dns-rfc2136” al certbot.

Există vreo modalitate de a permite actualizările rfc2136 la un domeniu dns controlat de samba?

89
0 + 0
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.