Hallo, vor einer Weile war ja hier die Diskussion um dynamische DNS-Updates. Ich hatte behauptet, daß neuere Binds da etwas flexibler sind, als nur auf Basis einer IP oder eines TSIG-Keys Updates zu erlauben (oder zu verbieten).
Jetzt habe ich das noch mal überflogen - nicht probiert!. In Kurzform
hier meine Erkenntnis (Plural will ich gar nicht verwenden).
Seit Bind9 gibt es nicht nur „allow-update { … }“, sondern auch
„update-policy { … }“ innerhalb von „zone … { … }“. Vorausetzung ist die
Verwendung von (TSIG-)Keys.
Mit dieser update-policy kann ich bestimmten Keys das Aktualisieren
bestimmter Namen erlauben (oder verbieten).
zone "xxx.de" {
type master;
file "/var/lib/bind/xxx.de";
update-policy {
// genau der Key best.xxx.de darf für seinen eigenen Namen
// den A-Record eintragen
grant best.xxx.de. self best.xxx.de. A;
// alle Keys, die auf *.xxx.de. passen, dürfen jeweils
// für ihren eigenen Namen einen A-Record eintragen.
grant *.xxx.de. self *.xxx.de. A;
};
};
Der String nach „self“ ist nicht optional, wohl aber sein Inhalt. Zum
Aktualisieren der PTR-Records gibt es eine etwas lasche Erklärung, die
will ich hier nicht wiedergeben. Es sieht so aus, als muß ich mal ein
Beispiel zusammenbauen, wird aber nicht mehr heute werden.
Quelle dieser Darstellung ist „DNS and Bind“, das Grasshopper-Buch.
--
Heiko :: dresden : linux : SCHLITTERMAN.de
GPG Key 48D0359B : 3061 CFBF 2D88 F034 E8D2 7E92 EE4E AC98 48D0 359B
signature.asc
Description: Digital signature
_______________________________________________ Lug-dd maillist - [email protected] https://ssl.schlittermann.de/mailman/listinfo/lug-dd
