Регистрация Войти
Рейтинг:0
kfsone avatar Server

Можно ли включить обновления DNS RFC2136 для домена samba-AD?

флаг do
kfsone

Я экспериментирую с Synology NAS, на котором работают bind9 и samba, для размещения локального поддомена с одноименной областью AD, например. домен: sub.x.notcom, область: sub.x.notcom ... Я заменю это в вопросе своим фактическим доменом.

Мне нужна была возможность обновлять зону RFC2136, поэтому я создал ключ HMAC-SHA512, хранящийся в named/etc/key, и сообщил об этом привязке:

./named/etc/conf/named.key.conf:include "/etc/key/update-key";

проверено, что это правильный путь внутри chroot (named не запустится, если это не так)

Я видел, что политика обновления хранится в файле named/etc/samba/private/named.conf.update, который генерируется автоматически, но я обнаружил, что генератор ищет файл с именем «named.conf.update.static». чтобы вы могли вводить дополнительные гранты, поэтому я добавил один:

named/etc/samba/private/named.conf.update.static

предоставить подстановочный знак ключа обновления * CNAME;

и проверил, что это было добавлено в файл named.conf.update через несколько минут:

sh-4.3# more named/etc/samba/private/named.conf.update*
:::::::::::::::
named/etc/samba/private/named.conf.update
:::::::::::::::
/* этот файл создается автоматически - не редактируйте */
политика обновления {
/* Начало статических записей */
предоставить подстановочный знак local-ddns * CNAME;
/* Конец статических записей */
        предоставить SUB.X.NOTCOM ms-self * A AAAA;
        предоставить подстановочный знак Administrator@SUB.X.NOTCOM * A AAAA SRV CNAME;
        предоставить подстановочный знак synology$@sub.x.notcom * A AAAA SRV CNAME;
};
:::::::::::::::
named/etc/samba/private/named.conf.update.static
:::::::::::::::
предоставить подстановочный знак local-ddns * CNAME;

Затем я попытался создать обновление DNS, используя нобдате

# nsupdate -k с именем/etc/key/update-key
> обновить добавить foo.sub.x.notcom. 300 В CNAME www.google.com.
> отправить
; Ошибка TSIG с сервером: tsig указывает на ошибку
Ошибка обновления: NOTAUTH (BADKEY)

> ответь
Отвечать:
;; ->>HEADER<<- код операции: ОБНОВЛЕНИЕ, статус: NOTAUTH, id: 45171
;; флаги: qr ra; ЗОНА: 1, ПРЕДВАРИТЕЛЬНЫЙ ЗАПРОС: 0, ОБНОВЛЕНИЕ: 0, ДОПОЛНИТЕЛЬНО: 1
;; РАЗДЕЛ ЗОНЫ:
;home.kfs.org.                 В СОА

;; ПСЕВДОРАЗДЕЛ TSIG:
ключ обновления. 0 ЛЮБОЙ TSIG hmac-sha512. 1623287759 300 0 45171 БЭДКЕЙ 0

МНОГИЕ из этого кажутся недокументированными (например, файл .static), и многие параметры в файлах конфигурации также кажутся недокументированными/практически отсутствующими в google/ddg.

Кажется, я сказал Bind только о ключе обновления, но не о самбе. Помимо nsupdate, моим исходным тестовым клиентом должен был быть клиент certbot «dns-rfc2136».

Есть ли способ разрешить обновления rfc2136 для домена dns, контролируемого samba?

89
0 + 0
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.