...
- В каталоге
/etc/bind/создать файл с TSIG-ключом, ограничить доступ к файлу:
гдеCommand sudo tsig-keygen <название_ключа> | sudo tee /etc/bind/<название_файла>
sudo chmod 640 /etc/bind/<название_файла>
sudo chown bind:bind /etc/bind/<название_файла>
- <название_ключа> – любая строка, соответствующая требованиям к доменному имени, т.е. состоящая из букв, цифр, дефисов и точек.
Для наглядности рекомендуется составлять название ключа из имён узлов, на которых работают DNS-сервер и DHCP-DDNS-сервер. Например, "dc1-dhcp1";
- <название_файла> – произвольное название файла.
Далее предполагается, что создан ключ с названием "dc1-dhcp1", ключ сохранён в файле/etc/bind/dc1-dhcp1.key:
Пример файлаCommand sudo tsig-keygen dc1-
dhcp1| sudo tee /etc/bind/dc1-dhcp1.key/etc/bind/dc1-dhcp1.key:Блок кода key "dc1-dhcp1" { algorithm hmac-sha256; secret "cuF3/joQN1jNQeHbSJtt1eFpaRfludKEDeD/CaFjpg4="; }; - Указать в настройках DNS-сервера расположение файла с TSIG-ключом.
Для этого добавить в файл/etc/bind/ipa-ext.confстроку:
Файл /etc/bind/ipa-ext.conf не изменяется во время обновления FreeIPAБлок кода include "/etc/bind/dc1-dhcp1.key";
- Разрешить динамические обновления прямой и обратной доменных зон для DNS-клиентов, обладающих TSIG-ключом.
Для этого :
- добавить параметрinclude, в котором указать путь к файлу с ключом;
- в настройках зон добавить параметрallow-update, содержащий параметрkeyс названием ключа. - Проверить отсутствие синтаксических ошибок в конфигурационных файлах DNS-сервера:
Command sudo named-checkconf
- Перезапустить DNS-сервер Перезапустить FreeIPA для применения настроек :
Добавить в файл /etc/bind/ipa-ext.conf, который не изменяется во время обновления FreeIPA
...
- DNS-сервера:
Command sudo ipactl restart