So, zweiter Anlauf, Christian Strauf <[EMAIL PROTECTED]> writes:
> DHCPv6 ist in meinen Augen die einzige vom Management her g�nstige > Alternative, als Hosts selbst DynDNS-Updates machen zu lassen. Was mir daran nicht gef�llt, ist da� ich entweder in der DHCP-Konfiguration die Hostnames mit der MAC assoziieren mu� oder unkontrolliert den Hostname glauben mu�, den mir der Client mitteilt. Die erste Variante ist m�hsam und macht die Vorteile von SAC kaputt, die zweite in vielen Umgebungen, die ich kenne, absolut untragbar. Au�erdem ist DHCP stateful, und das ist immer ein Single Point of Failure, auch wenn ich mit IPv6 so viele Adressen zur Verf�gung habe, da� ich mehrere DHCP-Server benutzen kann, die unterschiedliche Adressen verteilen. Wenn ich einem Host einen TSIG-Key f�r seinen eigenen Namen gebe, habe ich wenigstens f�r die Forward Zone so ziemlich alle Probleme erschlagen. > Nicht zuletzt deswegen, weil Du einige andere wichtige Informationen > (im Gegensatz zur Verwendung von SAA) auch noch �bertragen kannst > (DNS, NTP-Server, Host- & Domainname, usw.). Da ist DHCPv6 tats�chlich interessant---und stateless, deshalb unkritisch. Aber das ist bei meinen �berlegungen au�en vor, weil sich da normalerweise nicht so schnell etwas dran �ndert und das ganze im allgemeinen auch noch f�r einen gr��eren Haufen Rechner gleich ist. > Leider sind die Implementierungen noch rar. Also ich werde mal versuchen, meinen Ansatz "produktionstauglich" zu implementieren. > Daran w�ren wir sehr interessiert. Also was die Scripts angeht: Auf http://www.benedikt-stockebrand.de/ findet Ihr drei Pakete: maketsigkey-1.0.0-Alpha.tar.gz: Damit kann man die TSIGs ohne gro�en Aufwand erzeugen und die BIND-Konfiguration einbinden. Das Script ist wohl einigerma�en sauber und sollte so auch auf Dauer zu gebrauchen sein. nsautoupdate-1.0.0-Alpha.tar.gz Das Script hier versucht, den Output von ifconfig -a zu parsen und sich "geeignete" Adressen rauszusuchen, die zu einem TSIG-Key passen. Damit macht es ein TSIG-authentisiertes nsupdate (das mu� von BIND9 installiert sein) auf dem Name Server. Das Script l�uft bisher unter Debian 3.0R1 "Woody", FreeBSD 5.1, NetBSD 1.6.1, OpenBSD 3.4, RedHat 9 "Shrike" und Solaris 9/x86. Die Fehlerbehandlung und �hnliches l��t aber noch zu w�nschen �brig. Au�erdem ist es nicht in der Lage, die "preferred address" zu identifizieren, so da� es nicht unbedingt die sinnvollste Adresse eintr�gt. Immerhin, es unterscheidet zwischen Site-Local und globalen Adressen und den einzelnen Interfaces. Ich w�rde das ganz gerne gelegentlich in C sauber umsetzen. syncrevzone-1.0.0-Alpha.tar.gz Das Script grast regelm��ig eine Liste von Forward Zones ab und synchronisiert, diesmal mit einem TSIG-"Master Key", die angegebenen Reverse Zones, wenn sich eine SOA-Serial ge�ndert hat. Das ganze Script ist wirklich eher als Proof of Concept zu sehen. Es gibt an einigen Stellen keine sinnvollen Fehlermeldungen aus und k�nnte f�r gr��ere Zones noch etwas algorithmisches Performance-Tuning (IXFR statt AXFR, wenn sich die SOA-Serial ge�ndert hat etc.) gebrauchen. Das ganze w�rde ich gerne entweder in C oder C++ nochmal neu bauen. Wenn Ihr Euch die Scripts und vor allem die dazugeh�rigen Man Pages in der Reihenfolge anseht, sollte nachvollziehbar sein, wie alles zusammenh�ngt. Wenn nicht, fragt einfach nach. > Wir k�nnen die auch gerne bei uns auf dem Webserver spiegeln > und/oder eine Seite �ber diese M�glichkeit einrichten (Mini-Howto?). Ich werde mich darum k�mmern, sobald ich Zeit habe. In vier Wochen halte ich ein Tutorial zu IPv6 beim Fr�hjahrsfachgespr�ch der GUUG. (Meine Frage hatte haupts�chlich den Grund, da� ich mich da nicht mit einer Eigenl�sung blamieren will, wenn's was standardisiertes fertig von der Stange gibt.) Bis dahin, oder mindestens bis zum Abgabetermin f�r die Manuskripte, bin ich zeitlich voll, aber danach rolle ich das Thema sobald es geht sauber auf. Eventuell l�se ich auch einfach das entsprechende Kapitel aus dem Manuskript raus. Einen sch�nen Abend noch, Benedikt -- Benedikt Stockebrand, Dipl.-Inform. Freelance IT System Architect http://www.benedikt-stockebrand.de/ always looking for a contract Unix (all flavours), TCP/IP, IPv6, IT Security, Unix Operations Training Performance and High Availability Tuning, Large Scale Systems Design _______________________________________________ ipv6 mailing list [EMAIL PROTECTED] http://listserv.uni-muenster.de/mailman/listinfo/ipv6
