Sorry, jetzt gibt es noch einen Nachschlag:
Andre Grueneberg <[EMAIL PROTECTED]> writes:
>> Wenn Du DHCP einsetzen kannst, ja. Aber ich kenne einige Umgebungen,
>> wo DHCP einfach aus Sicherheitsgr�nden heraus nicht geeignet ist. Die
>> Frage ist dabei immer, woher ein DHCP-Server wei�, welcher DNS-Eintrag
>> zu einer Adresse geh�rt und umgekehrt.
>
> Das steht in der Konfiguration des DHCP-Servers?!
Oder es wird von dem Client geliefert. Beides ist m�glich, mindestens
mit IPv4.
Im ersten Fall habe ich eine statische Konfiguration, die ich
eigentlich vermeiden will. Da kann ich die Adresse auch gleich im DNS
von Hand eintragen, das bringt mir nicht mehr so viel.
Im zweiten Fall habe ich eine nicht vern�nftig authentisierte
DNS-�nderung, weil der DHCP-Server einfach glaubt, was man ihm sagt
und an den DNS-Server weiterreicht. Deshalb lieber die DDNS-Updates
mit TSIG-"Zertifikaten". Aber nachdem Christian Strauf mich
erleuchtet hat, da� die Sicherheitsthematik bei DHCPv6 anscheinend
unter Kontrolle ist, ist diese Argumentation wohl hinf�llig.
> Wenn der DNS-Server so konfiguriert ist, dass der DHCP-Server die
> Adresse von www.ganz-wichtig.com �ndern darf, dann ist das so gewollt --
> ansonsten w�rde ich f�r Server (und von denen sprichst du im Folgenden)
> einfach mal weder SAC noch DHCP benutzen, sondern die Adressen fest
> konfigurieren. Autokonfiguration w�rde ich nur f�r Clients aktiv
> benutzen.
Ja, aber jeder Standard-Arbeitsplatzrechner ist ein Server, wenn ein
sshd-*Server* darauf l�uft. Und das ist mindestens im Unix-Umfeld
wohl inzwischen einfach Standard.
"Server" hei�t in diesem Zusammenhang nur, da� ein Prozess ein Listen
auf einen TCP-Socket (oder ein bind auf einen UDP-Socket) macht und
darauf wartet, da� etwas reinkommt. Das mu� nicht unbedingt ein
Server im Sinne der Hardwarehersteller (gro� und teuer...) sein.
So gesehen gibt es in vielen Umgebungen praktisch keine reinen Clients
mehr. In dem Ma�e, wie IPv6 vermutlich langfristig die Entwicklung
von Appliances f�rdert, wird das noch weiter zunehmen.
So, jetzt ist aber wirklich Schicht im Schacht.
Viele Gr��e, danke f�r den vielen Input und allen ein sch�nes
Wochenende,
Benedikt
--
Benedikt Stockebrand, Dipl.-Inform. Freelance IT System Architect
http://www.benedikt-stockebrand.de/ always looking for a contract
Unix (all flavours), TCP/IP, IPv6, IT Security, Unix Operations Training
Performance and High Availability Tuning, Large Scale Systems Design
_______________________________________________
ipv6 mailing list
[EMAIL PROTECTED]
http://listserv.uni-muenster.de/mailman/listinfo/ipv6
