Rozšíření DNS/DHCP na DNSSEC/DHCP

V případě potreby je možné rozšířit nastavení DNS/DHCP o autentizaci klíčem, která blokuje pokusy uživatelů ovlivnit strukturu DNS. Postup je jednoduchý, navíc velkou část zde vyřeší následující script:
#!/bin/sh
cd /etc/namedb
/usr/sbin/dnssec-keygen -a HMAC-MD5 -b 128 -r /dev/urandom -n USER DDNS_UPDATE
/bin/cat Kddns_update.*.key | /usr/bin/awk '{ print "key DDNS_UPDATE {\n\talgorithm HMAC-MD5.SIG-ALG.REG.INT;\n\t\secret \""$7"\";\n};"}' >/etc/namedb/ddns.key
/bin/chmod 640 ddns.key
/usr/sbin/chown root:wheel ddns.key


Jakmile se díky scriptu vygenerují potřebné soubory, je nutné upravit nastavení konfigurace DNS a DHCP. První je na řadě NAMED daemon, tedy soubor /etc/namedb/named.conf.
include "/etc/bind/ddns.key";
zone "firma.local" {
     type master;
     ...
     allow-update { key DDNS_UPDATE; };
};
zone "1.168.192.in-addr.arpa" {
     type master;
     notify no;
     ...
     allow-update { key DDNS_UPDATE; };
};


Tímto je připravena k restartu jedna komponenta systému. Druhou je nutné také upravit, jedná se o soubor /usr/local/etc/dhcpd.conf, který bude pro zjednodušení používat identický soubor s klíčem. Není nutno ho kopírovat na deset různých míst.

ddns-updates on;
ddns-update-style interim;
ignore client-updates;
update-static-leases on;
include "/etc/dhcp/ddns.key";

zone firma.local. {
     primary 127.0.0.1;
     key DDNS_UPDATE;
}
zone 1.168.192.in-addr.arpa. {
     primary 127.0.0.1;
     key DDNS_UPDATE;
}


V tuto chvíli je možné provést restartDNS a DHCP serveru, vše by mělo fungovat k naší spokojenosti.

Powered by Drupal - Design by artinet