So, zweiter Anlauf,

Christian Strauf <[EMAIL PROTECTED]> writes:

> DHCPv6 ist in meinen Augen die einzige vom Management her g�nstige
> Alternative, als Hosts selbst DynDNS-Updates machen zu lassen.

Was mir daran nicht gef�llt, ist da� ich entweder in der
DHCP-Konfiguration die Hostnames mit der MAC assoziieren mu� oder
unkontrolliert den Hostname glauben mu�, den mir der Client mitteilt.

Die erste Variante ist m�hsam und macht die Vorteile von SAC kaputt,
die zweite in vielen Umgebungen, die ich kenne, absolut untragbar.

Au�erdem ist DHCP stateful, und das ist immer ein Single Point of
Failure, auch wenn ich mit IPv6 so viele Adressen zur Verf�gung habe,
da� ich mehrere DHCP-Server benutzen kann, die unterschiedliche
Adressen verteilen.

Wenn ich einem Host einen TSIG-Key f�r seinen eigenen Namen gebe, habe
ich wenigstens f�r die Forward Zone so ziemlich alle Probleme
erschlagen.

> Nicht zuletzt deswegen, weil Du einige andere wichtige Informationen
> (im Gegensatz zur Verwendung von SAA) auch noch �bertragen kannst
> (DNS, NTP-Server, Host- & Domainname, usw.).

Da ist DHCPv6 tats�chlich interessant---und stateless, deshalb
unkritisch.

Aber das ist bei meinen �berlegungen au�en vor, weil sich da
normalerweise nicht so schnell etwas dran �ndert und das ganze im
allgemeinen auch noch f�r einen gr��eren Haufen Rechner gleich ist.

> Leider sind die Implementierungen noch rar.

Also ich werde mal versuchen, meinen Ansatz "produktionstauglich" zu
implementieren.

> Daran w�ren wir sehr interessiert.

Also was die Scripts angeht: Auf http://www.benedikt-stockebrand.de/
findet Ihr drei Pakete:

maketsigkey-1.0.0-Alpha.tar.gz: 

    Damit kann man die TSIGs ohne gro�en Aufwand erzeugen und die
    BIND-Konfiguration einbinden.  Das Script ist wohl einigerma�en
    sauber und sollte so auch auf Dauer zu gebrauchen sein.


nsautoupdate-1.0.0-Alpha.tar.gz

    Das Script hier versucht, den Output von ifconfig -a zu parsen und
    sich "geeignete" Adressen rauszusuchen, die zu einem TSIG-Key
    passen.  Damit macht es ein TSIG-authentisiertes nsupdate (das mu�
    von BIND9 installiert sein) auf dem Name Server.

    Das Script l�uft bisher unter Debian 3.0R1 "Woody", FreeBSD 5.1,
    NetBSD 1.6.1, OpenBSD 3.4, RedHat 9 "Shrike" und Solaris 9/x86.
    Die Fehlerbehandlung und �hnliches l��t aber noch zu w�nschen
    �brig.  Au�erdem ist es nicht in der Lage, die "preferred address"
    zu identifizieren, so da� es nicht unbedingt die sinnvollste
    Adresse eintr�gt.  Immerhin, es unterscheidet zwischen Site-Local
    und globalen Adressen und den einzelnen Interfaces.  Ich w�rde das
    ganz gerne gelegentlich in C sauber umsetzen.


syncrevzone-1.0.0-Alpha.tar.gz

    Das Script grast regelm��ig eine Liste von Forward Zones ab und
    synchronisiert, diesmal mit einem TSIG-"Master Key", die
    angegebenen Reverse Zones, wenn sich eine SOA-Serial ge�ndert
    hat.

    Das ganze Script ist wirklich eher als Proof of Concept zu sehen.
    Es gibt an einigen Stellen keine sinnvollen Fehlermeldungen aus
    und k�nnte f�r gr��ere Zones noch etwas algorithmisches
    Performance-Tuning (IXFR statt AXFR, wenn sich die SOA-Serial
    ge�ndert hat etc.) gebrauchen.

    Das ganze w�rde ich gerne entweder in C oder C++ nochmal neu
    bauen.

Wenn Ihr Euch die Scripts und vor allem die dazugeh�rigen Man Pages in
der Reihenfolge anseht, sollte nachvollziehbar sein, wie alles
zusammenh�ngt.  Wenn nicht, fragt einfach nach.

> Wir k�nnen die auch gerne bei uns auf dem Webserver spiegeln
> und/oder eine Seite �ber diese M�glichkeit einrichten (Mini-Howto?).

Ich werde mich darum k�mmern, sobald ich Zeit habe.  In vier Wochen
halte ich ein Tutorial zu IPv6 beim Fr�hjahrsfachgespr�ch der GUUG.
(Meine Frage hatte haupts�chlich den Grund, da� ich mich da nicht mit
einer Eigenl�sung blamieren will, wenn's was standardisiertes fertig
von der Stange gibt.)  Bis dahin, oder mindestens bis zum Abgabetermin
f�r die Manuskripte, bin ich zeitlich voll, aber danach rolle ich das
Thema sobald es geht sauber auf.

Eventuell l�se ich auch einfach das entsprechende Kapitel aus dem
Manuskript raus.


Einen sch�nen Abend noch,

    Benedikt

-- 
Benedikt Stockebrand, Dipl.-Inform.        Freelance IT System Architect
http://www.benedikt-stockebrand.de/        always looking for a contract
Unix (all flavours), TCP/IP, IPv6, IT Security, Unix Operations Training
  Performance and High Availability Tuning, Large Scale Systems Design

_______________________________________________
ipv6 mailing list
[EMAIL PROTECTED]
http://listserv.uni-muenster.de/mailman/listinfo/ipv6

Antwort per Email an