Vilem Kebrt wrote on 4. 5. 2019 17:16:
Tady jsem myslel hlavne to, jestli se treba nepouziva ten adresar
"working" jako nejaky chroot, teda spis jako adresar, co by mel byt z
nejakych bezpecnostnich duvodu prazdny, ale zaroven zapisovatelny
vzhledem k tomu ze bind od jiste verze podporuje automaticky dnssec
sign, osobne bych si tipnul ze working je provozni adresar z ktereho se
to konkretne cte a ostatni jsou pro tebou zadavane "template".
Samozrejme pokud nemas u zony zadano automaticke podepisovani pro
dnssec, nejspis tam bude stejny obsah jako v adresari master.
Automaticke podepisovani mam a podepsane zony si to vytvari ve stejnem
adresari jako je master - takze z nej jednak cte nepodepsane zony a
druhak si tam zapisuje podepsane.
Coz mi mimochodem nedela radost, protoze puvodne jsem ten adresar nemel
pro bind zapisovatelny, ted musim.
K cemu je "working" tak stale nevim. Asi fakt nezbude nez otevrit zdrojaky.
A kdyz uz jsme tu narazili na to automaticke podepisovani - nechodi to
uplne tak, jak bych si predstavoval. Zmenim obsah bazoveho souboru
(nepodepsana master zona), zmenim serial v SOA a poslu BINDu signal aby
si soubory znovu nacetl.
V nemalem poctu pripadu (ale nemuzu prijit na pravidlo kdy) mi sice
nacte novy obsah, ale zignoruje zmenu serial - takze se zmeny neprenesou
na sekundary. Musim rucne zavolat
rndc signing -serial $serial $domain
Takze zatim z toho nemam uplne dobrej pocit, nikdy vlastne nevim, kdy
ktera domena po rekonfiguraci nepobezi s novymi daty ...
Dan
--
FreeBSD mailing list ([email protected])
http://www.freebsd.cz/listserv/listinfo/users-l
