Здравейте.
Имам следната схема - два домейна, два
name сървъра, единия е master за единия домейн,
другия master за другия домейн, двата са си
slave един на друг съответно.
Идеята е да се пусне TSIG, т.е. двата сървъра
да си трансферират зоните подписани.
Генериран е ключ, който е добавен на двете
машини:
key ns1-ns2. {
algorithm hmac-md5;
secret "blabla";
};
(наясно съм, че е добре ключа да е
в отделен include-нат файл с chmod 640,
но това в случая не съществено)
Да приемем, че ns1 е 192.168.1.1, а ns2 е 10.0.0.1.
В named.conf на ns1 има:
server 10.0.0.1 {
keys { ns1-ns2.; };
};
В named.conf на ns2 има:
server 192.168.1.1 {
keys { ns1-ns2.; };
};
Въпроса ми е следния - какво трябва да
се укаже в директивата allow-transfer за
зоната за да се позволят единствено подписани
трансфери между двата сървъра?
От експериментите, които си направих установих,
че ефекта се постига като се сложи:
zone "blabla.com" {
type master;
file "...";
allow-transfer { key ns1-ns2.; };
};
Въпроса ми е, ако в някакъв момент ключа се сложи
на трети сървър, при горната конфигурация ще може
ли третия сървър да трансферира зоната (макар и
подписано)?
Също не можах да разбера server директивата не
указва ли, че при комуникация с дадения сървър
всички съобщения към него ще бъдат подписани с
указания ключ, и че всички съобщения получавани от
дадения сървър ще бъдат проверявани спрямо същия
ключ? Ако е така не би ли следвало да е достатъчно
в allow-transfer на зоната да се укаже само IP адреса
на slave сървъра и named съдейки по server директивата
и ключа конфигуриран в нея да подписва и проверява
съобщенията от/към този сървър без изрично да е
указано 'key ns1-ns2.;' в allow-transfer?
И друг въпрос (принципен) - доколко е добре зоната
да може свободно да се трансферира от всеки (от
произволна машина да може да се прави AXFR)?
Благодаря за вниманието. :)
Поздрави,
Александър Илиев
