Debian Stretch, Bind9 a automaticky DNSSEC - editace zony

Dobry den.
Nemate nekdo zkusenosti s automatickym DNSSEC v Bind9? DNSSEC mi funguje, po zavedeni zony, vygenerovani klicu se zona podepise. S kazdym dalsim podpisem se automaticky zvetsi serial, udela IXFR. Potud ok.

Konfigurace zony:

Kód: [Vybrat]
zone "mojezona.cz"
    { type master;
        file "master/db.mojezona.cz";
        key-directory "/var/cache/keys";
        inline-signing yes ;
        auto-dnssec maintain;
        update-policy local;
        serial-update-method unixtime;
};

Podle toho, co se pise na https://kb.isc.org/article/AA-00626/0/Inline-Signing-in-ISC-BIND-9.9.0-Examples.html
by si mel Bind9 trackovat nepodepsany zonovy soubor a v pripade, ze je v nem serial vetsi, nez je aktualni, pouzit ten a zvetsit jej. A doufal jsem, ze i pouzit tento zonovy soubor pro podpis. Bohuzel Bind9 zmeny v nepodepsanem souboru zcela ignoruje. Znamena to, ze je jedina moznost editace takove zony je pres utilitu nsupdate?

Diky.

A.






Re:Debian Stretch, Bind9 a automaticky DNSSEC - editace zony
« Odpověď #1 kdy: 31. 10. 2017, 12:31:20 »
Chová se to stejně jako bez DNSSECu, to jest po změně zónového souboru je třeba zavolat příkaz rndc reload který načte novou verzi zónového souboru.

Podrobněji v článku: https://www.root.cz/clanky/dnssec-s-bind-9-9-snadno-a-rychle/

Re:Debian Stretch, Bind9 a automaticky DNSSEC - editace zony
« Odpověď #2 kdy: 31. 10. 2017, 12:54:20 »
To prave nefunguje:

Kód: [Vybrat]
31-Oct-2017 11:40:21.075 general: info: reloading configuration succeeded
31-Oct-2017 11:40:21.075 general: info: zone mojezona.cz/IN (signed): reconfiguring zone keys
31-Oct-2017 11:40:21.076 general: info: zone mojezona.cz/IN (signed): next key event: 31-Oct-2017 12:40:21.075
31-Oct-2017 11:40:21.078 general: info: reloading zones succeeded

Zona samotna take reloadnout nejde:
Kód: [Vybrat]
# rndc reload mojezona.cz
rndc: 'reload' failed: dynamic zone

V nepodepsane zone je serial 1509443810 a zona ma aktualne 1509443805. Nefunguje to, ani kdyz ma zona v souboru serial (unixtime) z budoucnosti. rndc sign zonu podepise, serial nastavi dle unixtime, ale nove zaznamy neprevezme.


Tomas V

Re:Debian Stretch, Bind9 a automaticky DNSSEC - editace zony
« Odpověď #3 kdy: 31. 10. 2017, 16:00:22 »
Zkuste

- rndc freeze mojezona.cz
- rndc sync
- upravit zonu a zvednout serial
- rndc reload
- rndc thaw mojezona.cz

Re:Debian Stretch, Bind9 a automaticky DNSSEC - editace zony
« Odpověď #4 kdy: 31. 10. 2017, 16:57:34 »
Diky! Tohle zafungovalo. Bohuzel jsem tento postup nikde nedohledal a v dokumentaci jsem take zadnou zminku nenasel. Jeste jednou dekuji.
A.



Re:Debian Stretch, Bind9 a automaticky DNSSEC - editace zony
« Odpověď #5 kdy: 01. 11. 2017, 15:16:34 »
Zona samotna take reloadnout nejde:
Kód: [Vybrat]
# rndc reload mojezona.cz
rndc: 'reload' failed: dynamic zone

Aha, vy tu zónu máte v dynamickém režimu. To jste asi nechtěl. Když vyhodíte z konfigurace update-policy, bude se to chovat jako klasický statický zónový soubor a reload bude normálně fungovat.

Příkazy rndc freeze a rndc thaw slouží pro dočasné zastavení dynamických aktualizací v momentě, kdy chcete soubor editovat ručně. Pokud dynamické aktualizace vůbec nehodláte používat, je asi zbytečné si to s nimi komplikovat.