Für TSIG wird falscher Key genommen

Hallo,

mir ist aufgefallen, dass wenn man eine Zone bearbeitet diese nicht auf den Slave DNS (mit LC verwaltet) übertragen wird, da in der zones.liveconfig der falsche Key eingetragen ist.
Welches folgenden Fehler verursacht:

client X.X.X.X#36932/key lc-<[COLOR=#ff0000]key2[/COLOR]> (XXX.net): zone transfer 'XXX.net/AXFR/IN' denied

zones.liveconfig:

zone "XXX.net" {
    type master;
    file "/var/lib/bind/XXX.net.db";
    update-policy { grant LiveConfig. subdomain XXX.net. ANY; };
    allow-transfer { key LC-<[COLOR=#ff0000]key1[/COLOR]>.; };
    dnssec-secure-to-insecure yes;
};

Änder ich in der zones.liveconfig den Key manuell auf den anderen Key und starte BIND neu, funktioniert es:

client X.X.X.X#58705/key lc-<[COLOR=#ff0000]key2[/COLOR]> (XXX.net): transfer of 'XXX.net/IN': AXFR started: TSIG lc-<[COLOR=#ff0000]key2[/COLOR]>

zones.liveconfig:

zone "XXX.net" {
    type master;
    file "/var/lib/bind/XXX.net.db";
    update-policy { grant LiveConfig. subdomain XXX.net. ANY; };
    allow-transfer { key LC-<[COLOR=#ff0000]key2[/COLOR]>.; };
    dnssec-secure-to-insecure yes;
};

Kann das jemand bestätigen?

Ja die Keys werden erst erstellt wenn man einer Domain ein Template mit den beiden durch LC verwalteten DNS Servern zuweist und es zu einem Transfer kommt.

Zitat von HBO

Ist der obige Auszug aus der Master oder Slave zones.liveconfig? Sind auf dem Master in keys.liveconfig beide Keys enthalten? Wir haben mittlerweile 2 Slave DNS mit LC im Einsatz und keine Probleme vorhanden.

Der Auszug ist vom Master und dort sind auch beide Keys eingetragen.

Wenn ich ein Template erstelle wo der andere Server (aktuell Slave) als Master agiert und ich einer Domain dieses Template zuweise, funktioniert es ohne das ich die zones.liveconfig bearbeiten muss. Es wird dann auch der andere Key genutzt.

Verstehe ich da irgendwas falsch, was TSIG und die Keys angeht?...

Wenn ich einer Domain das Template zuweise, wo der Master auch als Master agiert, funktioniert es nicht.

Ich habe jetzt mal einen neuen Server hinzugefügt und das Problem tritt auch da auf.

Jedes mal wenn ich eine Domain bearbeite (anderes Template zuweisen bspw.) muss ich manuell bei jeder Domain wieder den richtigen Key eintragen.

kk Bug oder Feature?

Guten morgen,

ich grabe das Thema nochmal aus. Ich habe eine komplett neue Umgebung mit zwei Servern hochgezogen. beide Server werden mit LC verwaltet. Ich habe alles nur über die GUI konfiguriert und nirgendwo in der Datenbank oder Configfiles rumgedoktort.
Folgendes Verhalten:

Server 1 keys.liveconfig:

[FONT=Monaco]key "LC-f09fXXXX"key "LC-0390XXXX"key "LiveConfig"[/FONT]

Server 2 keys.liveconfig:

[FONT=Monaco]key "LC-f09fXXXX"key "LC-0390XXXX"key "LiveConfig"[/FONT]

Soweit so gut.

Bei Server 1 stehen die IP's von Server 2 und bei Server 2 die IP's von Server 1.
Bei jeder IP auf jedem Server steht aber der Key "LC-f09fXXXX".
In der zones.liveconfig auf Server 1 steht bei jeder Domain für die Server 1 der Master ist

[FONT=Monaco]allow-transfer { key LC-0390XXXX.; };[/FONT]

Auf Server 2 steht bei jeder Domain für die dieser Server der Master ist

[FONT=Monaco]allow-transfer { key LC-f09fXXXX.; };[/FONT]

Im Log von Server 1 steht

[FONT=Monaco]X.X.X.X#43927/key lc-f09fXXXX (example.org): zone transfer 'example.org/IXFR/IN' denied[/FONT]

Weil er da offensichtlich den falschen Key für nimmt. Ein Transfer von Server 2 zu Server 1 funktioniert aber problemlos.

Verstehe ich hier was falsch, oder ist das wirklich ein Fehler?

Ich hab es jetzt umgebaut und nach etwas hin und her geht auch alles.
Hätte nicht gedacht das das was so aussergewöhnliches ist...