dnssec-keygen -a hmac-md5 -b 128 -n ZONE zonentransferbenutzt habe. Im Bind Manual steht:
dnssec-keygen -a hmac-sha256 -b 128 -n HOST transfer
Benutzer-Werkzeuge
lpi2:bind-tsig
Inhaltsverzeichnis
Zonentransfer signieren
Schlüsselpaar erstellen: 1)
cd dnssec-keygen -a hmac-md5 -b 512 -n HOST zonentransfer
Dadurch werden zwei Dateien erstellt:
ls Kzonentransfer.+157+*
Die darin angegebenen Schlüssel und Verschlüsselungsverfahren müssen in die Konfigurationsdateien von master und slave eingetragen werden.
master
/etc/named.conf : ( CentOS 5, Debian 5.0 )
key "zonentransfer" {
algorithm hmac-md5;
secret "Ur7+TU8m24L9q24AWgNd4g==";
};
zone "linuxhotel.de" {
type master;
file "master/linuxhotel.de";
allow-transfer { key zonentransfer; };
};
zone "1.168.192.in-addr.arpa" {
type master;
file "master/1.168.192.in-addr.arpa";
allow-transfer { key zonentransfer; };
};
testen
Todo: Achtung: unsicher da so der Schlüssel in ps ax Ausgabe und in der history landet. Mit -k wäre sicherer
dig @192.168.53.103 signed03.dnslab.org AXFR -y "zonentransfer:Ur7+TU8m24L9q24AWgNd4g=="
slave
/etc/named.conf : ( CentOS 5, Debian 5.0 )
key "zonentransfer" {
algorithm hmac-md5;
secret "Ur7+TU8m24L9q24AWgNd4g==";
};
server 192.168.1.220 {
keys { zonentransfer; };
};
zone "linuxhotel.de" {
type slave;
file "slaves/linuxhotel.de";
masters { 192.168.1.220; };
};
zone "1.168.192.in-addr.arpa" {
type slave;
file "slaves/1.168.192.in-addr.arpa";
masters { 192.168.1.220; };
};
1)
Todo: eigentlich sollte das immer mit -n HOST funktionieren. Aber ich hatte Situationen, wo ich
lpi2/bind-tsig.txt · Zuletzt geändert: 2016/06/23 08:14 von ingo_wichmann
Seiten-Werkzeuge
Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-Noncommercial-Share Alike 4.0 International
