====== Zonentransfer signieren ======
Schlüsselpaar erstellen: (( Todo: eigentlich sollte das immer mit -n HOST funktionieren. Aber ich hatte Situationen, wo ich 
  dnssec-keygen -a hmac-md5 -b 128 -n ZONE zonentransfer
benutzt habe.
Im Bind Manual steht:
  dnssec-keygen -a hmac-sha256 -b 128 -n HOST transfer
 ))
  cd
  dnssec-keygen -a hmac-md5 -b 512 -n HOST zonentransfer

Dadurch werden zwei Dateien erstellt:
  ls Kzonentransfer.+157+*

Die darin angegebenen Schlüssel und Verschlüsselungsverfahren müssen in die Konfigurationsdateien von master und slave eingetragen werden.

===== master =====
''/etc/named.conf'' : ( CentOS 5, Debian 5.0 )
<file>
key "zonentransfer" {
        algorithm hmac-md5;
        secret "Ur7+TU8m24L9q24AWgNd4g==";
};

zone "linuxhotel.de" {
        type master;
        file "master/linuxhotel.de";
        allow-transfer { key zonentransfer; };
};

zone "1.168.192.in-addr.arpa" {
        type master;
        file "master/1.168.192.in-addr.arpa";
        allow-transfer { key zonentransfer; };
};
</file>

==== testen ====
Todo: Achtung: unsicher da so der Schlüssel in ''ps ax'' Ausgabe und in der history landet. Mit ''-k'' wäre sicherer
  dig @192.168.53.103 signed03.dnslab.org AXFR -y "zonentransfer:Ur7+TU8m24L9q24AWgNd4g=="

===== slave =====
''/etc/named.conf'' : ( CentOS 5, Debian 5.0 )
<file>
key "zonentransfer" {
      algorithm hmac-md5;
      secret "Ur7+TU8m24L9q24AWgNd4g==";
};

server 192.168.1.220 {
      keys { zonentransfer; };
};

zone "linuxhotel.de" {
        type slave;
        file "slaves/linuxhotel.de";
        masters { 192.168.1.220; };
};

zone "1.168.192.in-addr.arpa" {
        type slave;
        file "slaves/1.168.192.in-addr.arpa";
        masters { 192.168.1.220; };
};
</file>