Für TSIG wird falscher Key genommen

    Hallo,


    mir ist aufgefallen, dass wenn man eine Zone bearbeitet diese nicht auf den Slave DNS (mit LC verwaltet) übertragen wird, da in der zones.liveconfig der falsche Key eingetragen ist.
    Welches folgenden Fehler verursacht:


    Code
    client X.X.X.X#36932/key lc-<[COLOR=#ff0000]key2[/COLOR]> (XXX.net): zone transfer 'XXX.net/AXFR/IN' denied


    zones.liveconfig:


    Code
    zone "XXX.net" {
    type master;
    file "/var/lib/bind/XXX.net.db";
    update-policy { grant LiveConfig. subdomain XXX.net. ANY; };
    allow-transfer { key LC-<[COLOR=#ff0000]key1[/COLOR]>.; };
    dnssec-secure-to-insecure yes;
};


    Änder ich in der zones.liveconfig den Key manuell auf den anderen Key und starte BIND neu, funktioniert es:

    Code
    client X.X.X.X#58705/key lc-<[COLOR=#ff0000]key2[/COLOR]> (XXX.net): transfer of 'XXX.net/IN': AXFR started: TSIG lc-<[COLOR=#ff0000]key2[/COLOR]>


    zones.liveconfig:

    Code
    zone "XXX.net" {
    type master;
    file "/var/lib/bind/XXX.net.db";
    update-policy { grant LiveConfig. subdomain XXX.net. ANY; };
    allow-transfer { key LC-<[COLOR=#ff0000]key2[/COLOR]>.; };
    dnssec-secure-to-insecure yes;
};


    Kann das jemand bestätigen?

    Kann bestätigen, dass TSIG (Slaves ohne LC) funktioniert.


    > dass wenn man eine Zone bearbeitet
    Sind die Keys erst danach wie oben beschrieben?

    # Das Gras wächst nicht schneller wenn man daran zieht # Bitte keine inflationären Vollzitate #

    Ist der obige Auszug aus der Master oder Slave zones.liveconfig? Sind auf dem Master in keys.liveconfig beide Keys enthalten? Wir haben mittlerweile 2 Slave DNS mit LC im Einsatz und keine Probleme vorhanden.

    Zitat von HBO

    Ist der obige Auszug aus der Master oder Slave zones.liveconfig? Sind auf dem Master in keys.liveconfig beide Keys enthalten? Wir haben mittlerweile 2 Slave DNS mit LC im Einsatz und keine Probleme vorhanden.


    Der Auszug ist vom Master und dort sind auch beide Keys eingetragen.

    Das ist dann seltsam, hier hätten in der zones.liveconfig dann beide Keys stehen müssen. Da Liveconfig aber ja nicht direkt aus einer DB schreibt klappt der Workaround mit dem Ändern des Keys. Reproduzieren kann ich das leider nicht, wir hatten nur einen 2. Slave einmal hinzu gefügt und hier fehlte der gesamte Inhalt der zones.liveconfig

    Wenn ich ein Template erstelle wo der andere Server (aktuell Slave) als Master agiert und ich einer Domain dieses Template zuweise, funktioniert es ohne das ich die zones.liveconfig bearbeiten muss. Es wird dann auch der andere Key genutzt.


    Verstehe ich da irgendwas falsch, was TSIG und die Keys angeht?...


    Wenn ich einer Domain das Template zuweise, wo der Master auch als Master agiert, funktioniert es nicht.

    Ich habe jetzt mal einen neuen Server hinzugefügt und das Problem tritt auch da auf.


    Jedes mal wenn ich eine Domain bearbeite (anderes Template zuweisen bspw.) muss ich manuell bei jeder Domain wieder den richtigen Key eintragen.


    kk Bug oder Feature? :)

    Guten morgen,


    ich grabe das Thema nochmal aus. Ich habe eine komplett neue Umgebung mit zwei Servern hochgezogen. beide Server werden mit LC verwaltet. Ich habe alles nur über die GUI konfiguriert und nirgendwo in der Datenbank oder Configfiles rumgedoktort.
    Folgendes Verhalten:


    Server 1 keys.liveconfig:

    Code
    [FONT=Monaco]key "LC-f09fXXXX"key "LC-0390XXXX"key "LiveConfig"[/FONT]


    Server 2 keys.liveconfig:

    Code
    [FONT=Monaco]key "LC-f09fXXXX"key "LC-0390XXXX"key "LiveConfig"[/FONT]


    Soweit so gut.


    Bei Server 1 stehen die IP's von Server 2 und bei Server 2 die IP's von Server 1.
    Bei jeder IP auf jedem Server steht aber der Key "LC-f09fXXXX".
    In der zones.liveconfig auf Server 1 steht bei jeder Domain für die Server 1 der Master ist

    Code
    [FONT=Monaco]allow-transfer { key LC-0390XXXX.; };[/FONT]


    Auf Server 2 steht bei jeder Domain für die dieser Server der Master ist

    Code
    [FONT=Monaco]allow-transfer { key LC-f09fXXXX.; };[/FONT]


    Im Log von Server 1 steht

    Code
    [FONT=Monaco]X.X.X.X#43927/key lc-f09fXXXX (example.org): zone transfer 'example.org/IXFR/IN' denied[/FONT]


    Weil er da offensichtlich den falschen Key für nimmt. Ein Transfer von Server 2 zu Server 1 funktioniert aber problemlos.


    Verstehe ich hier was falsch, oder ist das wirklich ein Fehler?

    Wenn ich das richtig verstanden habe, ist einmal Server1 der Master und Server2 der Slave, und für andere Domains genau anders herum (Server2 ist Master und Server1 ist Slave)?


    Dann dürfte dort das Problem liegen... wenn ich mich richtig erinnere wird nur ein TSIG-Schlüssel pro Zielserver unterstützt - da in diesem Fall zwei "Verbindungen" konfiguriert sind, klappt nur eine davon.
    Das ist ein Szenario, das ich aber ehrlich gesagt noch nie gesehen habe und auch den Sinn darin nicht erkennen kann. Wir müssten mal prüfen, wie LiveConfig in diesem Fall die richtigen Schlüssel konfigurieren müsste...


    Daher vorab: was ist der Sinn dahinter? Der gesamte Betrieb ist erheblich einfacher, wenn Sie *einen* Master und (mind.) *einen* Slave haben, und diese Rollen nicht wechselweise ändern...

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden