Leider ist es bei mir auch schon über ein Jahr her das ich mich wirklich mit bind und dem dhcpd auseinander gesetzt habe (mit gewissen Teilen davon sogar vor noch längerer Zeit). Aber hier trotzdem einige Punkte an die ich mich noch erinnere:
1) der Name des Keys muss in beiden Konfigs genau gleich sein
(casesensitive)
2) alle relativen Filereferenzen in named.conf(.*) sind relativ
zu /var/cache/bind/
3) bind bzw. die Gruppe bind braucht Schreib- und Leseberechtigungen
auf /var/cache/bind/ und alle darin liegenden Zonen-Dateien
4) die dienste im Vordergrund zu starten, wenn möglich mit Debug
Optionen hilft oft weiter
das wars eigentlich was mir grad so einfällt, zum abrunden der Sache
poste ich hier noch meine Konfigfiles bzw. Ausschnitte davon...
##-----------------------------------------------------------------
#/etc/bind/named.conf.local
##-----------------------------------------------------------------
include "/etc/bind/dhcp.key";
zone "lan.local" {
type master;
file "db.lan.local";
allow-update { key "dhcp-key"; };
};
zone "0.0.10.in-addr.arpa" IN {
type master;
file "db.0.0.10";
allow-update { key "dhcp-key"; };
};
##-----------------------------------------------------------------
##-----------------------------------------------------------------
#/etc/bind/dhcp.key
##-----------------------------------------------------------------
key "dhcp-key" {
algorithm hmac-md5;
secret "dV0GQhZLPgcF7ytZ6Nbr9w==";
};
##-----------------------------------------------------------------
##-----------------------------------------------------------------
#/etc/dhcp3/dhcpd.conf
##-----------------------------------------------------------------
ddns-update-style interim;
key dhcp-key {
algorithm HMAC-MD5;
secret dV0GQhZLPgcF7ytZ6Nbr9w==;
}
zone lan.local. {
primary 127.0.0.1;
key dhcp-key;
}
zone 0.0.10.in-addr.arpa. {
primary 127.0.0.1;
key dhcp-key;
}
<snip/>
##-----------------------------------------------------------------
Ob es die Quotes ("") in /etc/bind/dhcp.key wirklich braucht, kann ich
im Moment nicht mehr sagen.
Leider kann ich im Moment auch nicht gross was testen, denn der Server
auf dem das lief hat sich letzte Woche verabschiedet :-( zum Glück aber
erst grad nach einem frischen Backup :-).
Und bevor irgendwer was sagt.... die secrets sind natürlich geändert.
("dnssec-keygen -a HMAC-MD5 -b 128 -n USER mykey", aus dem generierten
Kmykey+*+*.private brauchts dann nur den Teil hinter "Key:") :-)
Folgende Änderungen hab ich auch noch gemacht, ich weiss aber nicht mehr
ob die einen Zusammenhang hatten mit ddns.
##-----------------------------------------------------------------
#/etc/bind/named.conf.options
##-----------------------------------------------------------------
options {
directory "/var/cache/bind";
forwarders {
ip.zu.ISPs.dns1
ip.zu.ISPs.dns2
};
auth-nxdomain no; # conform to RFC1035
};
include "/etc/bind/rndc.key";
controls {
inet 127.0.0.1 port 953
allow { 127.0.0.1; } keys { "rndc-key"; };
};
##-----------------------------------------------------------------
##-----------------------------------------------------------------
#/etc/bind/rndc.key
##-----------------------------------------------------------------
key "rndc-key" {
algorithm hmac-md5;
secret "GpuP/d9Tci5IwMrAU3BrWQ==";
};
##-----------------------------------------------------------------
hth
Marcel
signature.asc
Description: This is a digitally signed message part
