Справочный центр

Дерево страниц

Сравнение версий

Старая версия 4

changes.mady.by.user Сергей Бутаков

Сохранено

по сравнению с

Новая версия 5

changes.mady.by.user Сергей Бутаков

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

  1. В каталоге /etc/bind/ создать файл с TSIG-ключом, ограничить доступ к файлу:
    Command

    sudo tsig-keygen <название_ключа> | sudo tee /etc/bind/<название_файла>

    sudo chmod 640 /etc/bind/<название_файла>

    sudo chown bind:bind /etc/bind/<название_файла>

    где
      - <название_ключа> – любая строка, соответствующая требованиям к доменному имени, т.е. состоящая из букв, цифр, дефисов и точек.
                                                     Для наглядности рекомендуется составлять название ключа из имён узлов, на которых работают DNS-сервер и DHCP-DDNS-сервер. Например, "dc1-dhcp1";
      - <название_файла> – произвольное название файла.

    Далее предполагается, что создан ключ с названием "dc1-dhcp1", ключ сохранён в файле /etc/bind/dc1-dhcp1.key:
    Command

    sudo tsig-keygen dc1-dhcp1 | sudo tee /etc/bind/dc1-dhcp1.key

    Пример файла /etc/bind/dc1-dhcp1.key:
    Блок кода
    key "dc1-dhcp1" {
        algorithm hmac-sha256;
        secret "cuF3/joQN1jNQeHbSJtt1eFpaRfludKEDeD/CaFjpg4=";
};
  2. Указать в настройках DNS-сервера расположение файла с TSIG-ключом.
    Для этого добавить в файл /etc/bind/ipa-ext.conf строку:
    Блок кода
    include "/etc/bind/dc1-dhcp1.key";

  3. Разрешить динамические обновления прямой Разрешить динамические обновления прямой и обратной доменных зон для DNS-клиентов, обладающих TSIG-ключом. 
    Для этого в файле /etc/bind/named.conf.localэтого :
      - добавить параметр include, в котором указать путь к файлу с ключом;
      - в настройках зон добавить параметр allow-update, содержащий параметр key с названием ключа.
    Пример файла     /etc/bind/named.conf.local, в котором заданы зоны localnet.example.ru и 6.192.10.in-addr.arpa, поддерживающие динамические обновления:
     Блок кодаinclude "/etc/bind/dhcp1-dns1.key"; # Путь к файлу, содержащему TSIG-ключ zone "localnet.example.ru" { type master; # file "/etc/bind/zones/db.localnet.example.ru"; # allow-update { key "dhcp1-dns1"; };                # Принимаются только те обновления, которые подписаны TSIG-ключом "dhcp1-dns1" }; zone "6.192.10.in-addr.arpa" { type master; # file "/etc/bind/zones/db.6.192.10"; # allow-update { key "dhcp1-dns1"; };                # Принимаются только те обновления, которые подписаны TSIG-ключом "dhcp1-dns1" };


  4. Проверить отсутствие синтаксических ошибок в конфигурационных файлах DNS-сервера:
    Command

    sudo named-checkconf

  5. Перезапустить DNS-сервер для применения настроек:

...