Leider ist es bei mir auch schon über ein Jahr her das ich mich wirklich mit bind und dem dhcpd auseinander gesetzt habe (mit gewissen Teilen davon sogar vor noch längerer Zeit). Aber hier trotzdem einige Punkte an die ich mich noch erinnere:
1) der Name des Keys muss in beiden Konfigs genau gleich sein (casesensitive) 2) alle relativen Filereferenzen in named.conf(.*) sind relativ zu /var/cache/bind/ 3) bind bzw. die Gruppe bind braucht Schreib- und Leseberechtigungen auf /var/cache/bind/ und alle darin liegenden Zonen-Dateien 4) die dienste im Vordergrund zu starten, wenn möglich mit Debug Optionen hilft oft weiter das wars eigentlich was mir grad so einfällt, zum abrunden der Sache poste ich hier noch meine Konfigfiles bzw. Ausschnitte davon... ##----------------------------------------------------------------- #/etc/bind/named.conf.local ##----------------------------------------------------------------- include "/etc/bind/dhcp.key"; zone "lan.local" { type master; file "db.lan.local"; allow-update { key "dhcp-key"; }; }; zone "0.0.10.in-addr.arpa" IN { type master; file "db.0.0.10"; allow-update { key "dhcp-key"; }; }; ##----------------------------------------------------------------- ##----------------------------------------------------------------- #/etc/bind/dhcp.key ##----------------------------------------------------------------- key "dhcp-key" { algorithm hmac-md5; secret "dV0GQhZLPgcF7ytZ6Nbr9w=="; }; ##----------------------------------------------------------------- ##----------------------------------------------------------------- #/etc/dhcp3/dhcpd.conf ##----------------------------------------------------------------- ddns-update-style interim; key dhcp-key { algorithm HMAC-MD5; secret dV0GQhZLPgcF7ytZ6Nbr9w==; } zone lan.local. { primary 127.0.0.1; key dhcp-key; } zone 0.0.10.in-addr.arpa. { primary 127.0.0.1; key dhcp-key; } <snip/> ##----------------------------------------------------------------- Ob es die Quotes ("") in /etc/bind/dhcp.key wirklich braucht, kann ich im Moment nicht mehr sagen. Leider kann ich im Moment auch nicht gross was testen, denn der Server auf dem das lief hat sich letzte Woche verabschiedet :-( zum Glück aber erst grad nach einem frischen Backup :-). Und bevor irgendwer was sagt.... die secrets sind natürlich geändert. ("dnssec-keygen -a HMAC-MD5 -b 128 -n USER mykey", aus dem generierten Kmykey+*+*.private brauchts dann nur den Teil hinter "Key:") :-) Folgende Änderungen hab ich auch noch gemacht, ich weiss aber nicht mehr ob die einen Zusammenhang hatten mit ddns. ##----------------------------------------------------------------- #/etc/bind/named.conf.options ##----------------------------------------------------------------- options { directory "/var/cache/bind"; forwarders { ip.zu.ISPs.dns1 ip.zu.ISPs.dns2 }; auth-nxdomain no; # conform to RFC1035 }; include "/etc/bind/rndc.key"; controls { inet 127.0.0.1 port 953 allow { 127.0.0.1; } keys { "rndc-key"; }; }; ##----------------------------------------------------------------- ##----------------------------------------------------------------- #/etc/bind/rndc.key ##----------------------------------------------------------------- key "rndc-key" { algorithm hmac-md5; secret "GpuP/d9Tci5IwMrAU3BrWQ=="; }; ##----------------------------------------------------------------- hth Marcel
signature.asc
Description: This is a digitally signed message part