Synchronizace DNS s DHCP - Historie editací

Milan.Kerslager: Fix

2009-04-06T20:11:59Z

Fix

Milan.Kerslager: +kat

2009-04-06T19:56:21Z

+kat

Milan.Kerslager: Doplnění

2009-03-22T19:38:49Z

Doplnění

Milan.Kerslager: Založení článku

2007-09-28T20:36:06Z

Založení článku

Nová stránka

Pokud netrváte na striktním pojmenování počítačů a máte obavu, že byste neudrželi záznamy v definici interní domény a příslušných reverzních záznamů v požadovaném stavu, můžete se spolehnout na jejich automatickou aktualizaci. Celé to funguje tak, že DHCP server přečte z žádosti stanice o přidělení IP adresy její jméno (ve Windows je to jméno počítače nastavené ve vlastnostech sítě), vybere volnou IP adresu a založí příslušný záznam zmíněného jména do DNS.

Přestože se budeme pohybovat v lokální síti, kde nemusí hrozit bezpečnostní rizika, zabezpečíme tuto automatickou aktualizaci pomocí klíčů. Dále musíme dovolit DNS serveru zápis do souborů nesoucích definici domény a reverzních záznamů:

$ dnssec-keygen -a HMAC-MD5 -b 128 -n USER DHCP_UPDATER
$ chown named /var/dns/test.cz /var/dns/10.0.0.0-255

Klíč naleznete v souboru, který vznikne v aktuálním adresáři (vzniknou 2, ale obsahují stejný klíč). Klíč zapíšeme do konfiguračního souboru DHCP serveru (<CODE>/etc/dhcpd.conf</CODE>):

key DHCP_UPDATER {
algorithm HMAC-MD5;
secret "pp64cBcj+qhy5WmKjz4/WQ==";
}
zone test.cz. {
primary 127.0.0.1;
key DHCP_UPDATER;
}
zone 0.0.10.in-addr.arpa. {
primary 127.0.0.1;
key DHCP_UPDATER;
}

Stejný klíč prozradíme DNS serveru (<CODE>/etc/named.conf</CODE>), aby přijímal žádosti o změnu zóny (tj. opravíme sekce deklarující doménu test.cz a reverzní doménu):

key "DHCP_UPDATER" {
algorithm "HMAC-MD5";
secret "pp64cBcj+qhy5WmKjz4/WQ==";
};
zone "test.cz" IN {
type master;
file "test.cz";
allow-update { key "DHCP_UPDATER"; };
};
zone "0.0.10.in-addr.arpa" {
type master;
file "10.0.0.0-255";
allow-update { key DHCP_UPDATER; };
};

Správnou funkci můžeme ověřit jednak výpisem zóny po přidělení IP adresy stanici pomocí DHCP (příkazem <CODE>dig test.cz AXFR</CODE>) nebo pomocí řádkového nástroje <CODE>nsupdate</CODE>, kde se pokusíme nějaký záznam do DNS zavést (parametr přepínače <CODE>-k</CODE> je soubor, kde je uložen klíč vygenerovaný příkazem <CODE>dnssec-keygen</CODE>):

$ nsupdate -d -k Kdhcp_updater.+157+63843.private
update add test.test.cz 16200 IN A 10.0.0.222
{Enter}
update delete test.test.cz
{Enter}
quit

Příkaz <CODE>nsupdate</CODE> poskytuje interaktivní rozhraní, takže druhý řádek obsahuje text, který musíte do promptu vložit. Složené závorky naznačují, že máte stisknout po odeslání na prázdném řádku podruhé klávesu Enter, abyste dali najevo, že vstup již skončil a má se provést požadovaná akce.

Aby DNS server mohl na žádost DHCP serveru provést změny v zóně a zároveň si vést žurnál o změnách, musí adresář se zónovými soubory i zónové soubory samotné patřit uživateli named:

chown named.named /var/named
chown named.named /var/named/test.cz
chown named.named /var/named/10.0.0.0-255
chmod 755 /var/named
chmod 644 /var/named/test.cz
chmod 644 /var/named/10.0.0.0-255

← Starší verze		Verze z 6. 4. 2009, 20:11
Řádka 67:		Řádka 67:
	Aby DNS server mohl na žádost DHCP serveru provést změny v zóně a zároveň si vést žurnál o změnách, musí adresář se zónovými soubory i zónové soubory samotné patřit uživateli named. Proto umisťujeme soubory do adresáře <code>/var/named/data</code> (resp. <code>/var/named/chroot/var/named/data</code>).		Aby DNS server mohl na žádost DHCP serveru provést změny v zóně a zároveň si vést žurnál o změnách, musí adresář se zónovými soubory i zónové soubory samotné patřit uživateli named. Proto umisťujeme soubory do adresáře <code>/var/named/data</code> (resp. <code>/var/named/chroot/var/named/data</code>).

−	~~[[Kategorie:Linux]]~~
	[[Kategorie:Síťové služby v Linuxu]]		[[Kategorie:Síťové služby v Linuxu]]

← Starší verze		Verze z 6. 4. 2009, 19:56
Řádka 66:		Řádka 66:

	Aby DNS server mohl na žádost DHCP serveru provést změny v zóně a zároveň si vést žurnál o změnách, musí adresář se zónovými soubory i zónové soubory samotné patřit uživateli named. Proto umisťujeme soubory do adresáře <code>/var/named/data</code> (resp. <code>/var/named/chroot/var/named/data</code>).		Aby DNS server mohl na žádost DHCP serveru provést změny v zóně a zároveň si vést žurnál o změnách, musí adresář se zónovými soubory i zónové soubory samotné patřit uživateli named. Proto umisťujeme soubory do adresáře <code>/var/named/data</code> (resp. <code>/var/named/chroot/var/named/data</code>).
		+
		+	[[Kategorie:Linux]]
		+	[[Kategorie:Síťové služby v Linuxu]]

@@ Řádka 1: / Řádka 1: @@
 Pokud netrváte na striktním pojmenování počítačů a máte obavu, že byste neudrželi záznamy v definici interní domény a příslušných reverzních záznamů v požadovaném stavu, můžete se spolehnout na jejich automatickou aktualizaci. Celé to funguje tak, že DHCP server přečte z žádosti stanice o přidělení IP adresy její jméno (ve Windows je to jméno počítače nastavené ve vlastnostech sítě), vybere volnou IP adresu a založí příslušný záznam zmíněného jména do DNS.
 Přestože se budeme pohybovat v lokální síti, kde nemusí hrozit bezpečnostní rizika, zabezpečíme tuto automatickou aktualizaci pomocí klíčů. Dále musíme dovolit DNS serveru zápis do souborů nesoucích definici domény a reverzních záznamů:
@@ Řádka 21: / Řádka 35: @@
+  }
 Stejný klíč prozradíme DNS serveru (<CODE>/etc/named.conf</CODE>), aby přijímal žádosti o změnu zóny (tj. opravíme sekce deklarující doménu test.cz a reverzní doménu):
@@ Řádka 38: / Řádka 53: @@
   };
 Správnou funkci můžeme ověřit jednak výpisem zóny po přidělení IP adresy stanici pomocí DHCP (příkazem <CODE>dig&nbsp;test.cz&nbsp;AXFR</CODE>) nebo pomocí řádkového nástroje <CODE>nsupdate</CODE>, kde se pokusíme nějaký záznam do DNS zavést (parametr přepínače <CODE>-k</CODE> je soubor, kde je uložen klíč vygenerovaný příkazem <CODE>dnssec-keygen</CODE>):
@@ Řádka 49: / Řádka 65: @@
 Příkaz <CODE>nsupdate</CODE> poskytuje interaktivní rozhraní, takže druhý řádek obsahuje text, který musíte do promptu vložit. Složené závorky naznačují, že máte stisknout po odeslání na prázdném řádku podruhé klávesu Enter, abyste dali najevo, že vstup již skončil a má se provést požadovaná akce.
-Aby DNS server mohl na žádost DHCP serveru provést změny v zóně a zároveň si vést žurnál o změnách, musí adresář se zónovými soubory i zónové soubory samotné patřit uživateli named:
+Aby DNS server mohl na žádost DHCP serveru provést změny v zóně a zároveň si vést žurnál o změnách, musí adresář se zónovými soubory i zónové soubory samotné patřit uživateli named. Proto umisťujeme soubory do adresáře <code>/var/named/data</code> (resp. <code>/var/named/chroot/var/named/data</code>).