Diskussion:Entwicklungsumgebung/DHCP: Unterschied zwischen den Versionen
KKeine Bearbeitungszusammenfassung |
Keine Bearbeitungszusammenfassung |
||
| Zeile 1: | Zeile 1: | ||
== DDNS == | == DDNS == | ||
ist eine feine Sache, machen wir seit Jahren, weil es die | ist eine feine Sache, machen wir seit Jahren, weil es die Namensauflösung extrem beschleunigt. | ||
Namensauflösung extrem beschleunigt. | |||
Was man dafür braucht ist ein key, der dem bind und dem dhcpd | Was man dafür braucht ist ein key, der dem bind und dem dhcpd bekannt ist. | ||
bekannt ist. | |||
in die dhcpd.conf: | in die dhcpd.conf: | ||
| Zeile 13: | Zeile 11: | ||
key sub.domain.tld { | key sub.domain.tld { | ||
algorithm HMAC-MD5.SIG-ALG.REG.INT; | algorithm HMAC-MD5.SIG-ALG.REG.INT; | ||
secret xRLSiTqRBE2SGFD | secret xRLSiTqRBE2SGFD+CHVcX8YIjefXwG5OGZWdCvwHd7Ue3A1ZWTo2mLcVrBKaI7UbaAIXUfBpJ4M0XovKQj76Lg==; | ||
}; | }; | ||
| Zeile 21: | Zeile 18: | ||
key sub.domain.tld { | key sub.domain.tld { | ||
algorithm hmac-md5; | algorithm hmac-md5; | ||
secret "xRLSiTqRBE2SGFD | secret "xRLSiTqRBE2SGFD+CHVcX8YIjefXwG5OGZWdCvwHd7Ue3A1ZWTo2mLcVrBKaI7UbaAIXUfBpJ4M0XovKQj76Lg=="; | ||
}; | }; | ||
Das wars schon. Den Key erstellt man über | Das wars schon. Den Key erstellt man über | ||
| Zeile 36: | Zeile 33: | ||
Viele Grüße | Viele Grüße | ||
Thorsten | Thorsten | ||
== X.509-Zertifikate == | |||
Zertifikate machen nur dann Sinn, wenn der Dienst der sie benutzt auch verifizieren kann. Dazu gehört nicht nur ein Public/Private Key-Pair, sondern auch, im Falle von Serverdiensten, ein eindeutiger DNS-Name. | |||
Das Problem mit dem eindeutigen DNS-Namen ist etwas diffizil. Fast alle Anwender von ssl, also X.509, benutzen den DNS-Namen des Rechners. Für einfachste Dinge ist das OK. Aber wenn ein Rechner Dienste wie LDAP oder SAMBA bereitstellt, die einen Online-Backup-Dienst ermöglichen, wie PDC + 1 bis 99 BDC, dann ist die Benutzung des realen Hostnamens, als Key-Bezeichner echt schwachsinnig. | |||
Stellt euch vor, der PDC fällt aus. Ein BDC übernimmt vollautomatisch seine Funktion. Der hat aber einen anderen DNS-Namen, damit einen anderen Key und der Admin und alle, die via ssl darauf zugreifen wollen, sind draussen. | |||
Also für solche Dienste muss als Key-Bezeichner ein DNS-Alias genommen werden. Denn der darf auf mehreren DNS-Hostnamen zeigen. | |||
Die DNS-Domain für den aktuellen Rechner: | |||
hostname -d | |||
Im LDAP stehen nur Kopien des Domain-Namens. | |||
ldapsearch -x -LLL "cn=DHCP Service Config" dhcpOption|\ | |||
sed -ne '/^dhcpOption/{N;s/dhcpOption: domain-name //;s/"//g;p}' | |||
Der Installer hat auch eine Kopie gespeichert: | |||
debconf-get-selections --installer|grep netcfg/get_domain|cut -f4 | |||
Es gibt aber keine LDAP-Domain. Nur einen NamingContext: | |||
ldapsearch -x -LLL -h localhost -s base -b "" "objectclass=*" \ | |||
namingcontexts | |||
Red. gekürzt. Text von Harry. | |||
Version vom 11. Dezember 2008, 21:41 Uhr
DDNS
ist eine feine Sache, machen wir seit Jahren, weil es die Namensauflösung extrem beschleunigt.
Was man dafür braucht ist ein key, der dem bind und dem dhcpd bekannt ist.
in die dhcpd.conf:
# Der DHCPd soll DDNS machen
ddns-update-style interim;
key sub.domain.tld {
algorithm HMAC-MD5.SIG-ALG.REG.INT;
secret xRLSiTqRBE2SGFD+CHVcX8YIjefXwG5OGZWdCvwHd7Ue3A1ZWTo2mLcVrBKaI7UbaAIXUfBpJ4M0XovKQj76Lg==;
};
und dann in die named.conf.local
key sub.domain.tld {
algorithm hmac-md5;
secret "xRLSiTqRBE2SGFD+CHVcX8YIjefXwG5OGZWdCvwHd7Ue3A1ZWTo2mLcVrBKaI7UbaAIXUfBpJ4M0XovKQj76Lg==";
};
Das wars schon. Den Key erstellt man über
/usr/sbin/dnssec-keygen -a HMAC-MD5 -n HOST -b 512 $DOMAIN.
Wenn auch noch Linuxclients in der /etc/dhcp3/dhcclient.conf ein
send host-name "workstation"; stehen haben, sind auch diese mit im
Geschäft.
Viele Grüße Thorsten
X.509-Zertifikate
Zertifikate machen nur dann Sinn, wenn der Dienst der sie benutzt auch verifizieren kann. Dazu gehört nicht nur ein Public/Private Key-Pair, sondern auch, im Falle von Serverdiensten, ein eindeutiger DNS-Name.
Das Problem mit dem eindeutigen DNS-Namen ist etwas diffizil. Fast alle Anwender von ssl, also X.509, benutzen den DNS-Namen des Rechners. Für einfachste Dinge ist das OK. Aber wenn ein Rechner Dienste wie LDAP oder SAMBA bereitstellt, die einen Online-Backup-Dienst ermöglichen, wie PDC + 1 bis 99 BDC, dann ist die Benutzung des realen Hostnamens, als Key-Bezeichner echt schwachsinnig.
Stellt euch vor, der PDC fällt aus. Ein BDC übernimmt vollautomatisch seine Funktion. Der hat aber einen anderen DNS-Namen, damit einen anderen Key und der Admin und alle, die via ssl darauf zugreifen wollen, sind draussen.
Also für solche Dienste muss als Key-Bezeichner ein DNS-Alias genommen werden. Denn der darf auf mehreren DNS-Hostnamen zeigen.
Die DNS-Domain für den aktuellen Rechner:
hostname -d
Im LDAP stehen nur Kopien des Domain-Namens.
ldapsearch -x -LLL "cn=DHCP Service Config" dhcpOption|\
sed -ne '/^dhcpOption/{N;s/dhcpOption: domain-name //;s/"//g;p}'
Der Installer hat auch eine Kopie gespeichert:
debconf-get-selections --installer|grep netcfg/get_domain|cut -f4
Es gibt aber keine LDAP-Domain. Nur einen NamingContext:
ldapsearch -x -LLL -h localhost -s base -b "" "objectclass=*" \ namingcontexts
Red. gekürzt. Text von Harry.