Question

Моя конфигурация BIND имеет:

key "dns-update" {
        algorithm HMAC-SHA512;
        secret "KEYREDACTED==";
};

...

zone "test.org." {
        type master;
        allow-transfer { key "dns-tsig"; };
        allow-update { key "dns-update"; };
        file "/etc/bind/zones/db.test.org";
};

Сгенерирован мой ключ с:

dnssec-keygen -a HMAC-SHA512 -b 512 -n HOST -r /dev/urandom dns-update

(Передачи работают нормально, когда я настраиваю другой хост для использования dns-tsig)

Обновления не работают:

Вызываю ли я nsupdate с помощью:

nsupdate -y hmac-sha512:dns-update:KEYREDACTED==

или

nsupdate -k ./Kdns-update.+165+33140.private

Как только я попал в nsupdate:

> server 127.0.0.1
> add some.test.org 60 a 1.1.1.1
> send
update failed: REFUSED
>

и в логах:

Jun  1 20:19:34 pentest0 named[30999]: client 127.0.0.1#64585/key dns-update: signer "dns-update" denied
Jun  1 20:19:34 pentest0 named[30999]: client 127.0.0.1#64585/key dns-update: update 'test.org/IN' denied

Чего мне здесь не хватает?

PHP_CEO-ish · Answer 1 · 06 июля 2018

Это теперь решено и оказалось мной, куча проблем с разрешениями - BIND не смог записать в файл журнала и, что не менее важно, опечатку в моем конфиге в имени ключа (которое не изображено в моемпример кода, потому что я изменил его имя здесь).

BIND отклоняет мой ключ для обновления зоны DNS

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

BIND отклоняет мой ключ для обновления зоны DNS

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы