Je otázka jestli chcete vůbec ta lokální data podepisovat
Ta "potreba" podepisovani i internich pramenila z obavy, aby nyni ci v budoucnu nebyl problem s tim, ze cast domeny podepisuje, cast nikoliv. Jestli napr. nebude zavedena obdoba HSTS, kdy napr. browser si "postavi hlavu" a rekne "mojedomena.cz ma zaznamy podepsane, ale kancl.mojedomena.cz nikoliv, tak smula". Ano, vim, ze chovani HSTS si ovlivnuji sam a nemusim jej zapinat pro celou domenu, a stejne tak ze browser nyni sam nic neresolvuje a minimalne na "nasich" systemech jde o obsah nsswitch. Jen se snazim delat veci co nejcisteji a vyvarovat se pripadnych problemu v budoucnu a dalsi praci.
Ale diky za tip, neuvedomil jsem si, ze validaci uz nikdo za mnou pravdepodobne delat nebude. I kdyz je pravda, ze minimalne u road warriors by asi lokalni validace byla na miste.
Celkově nevím o žádném existujícím řešení pro ta LDAP data, ale nikdy jsem se nesnažil hledat. Pokud to umíte vytáhnout skriptem, přijde mi že řešení se (samotným) Knot Resolverem půjde dobře (celý seznam požadavků). Ale ani v plánu s autoritativním serverem navíc nevidím problém, jen je to trochu složitější.
OpenLDAP nove pouzivam pro overovani uzivatelu pro vice sluzeb (NextCloud, OpenProject, ...) a protoze nemam rad veci na mnoha mistech, chtel jsem jej vyuzit i pro spravu zarizeni, kde je lze snadno propojit s uzivateli (Franta ma sveren ThinkPad12) a zaroven i jako uloziste pro souvisejici sitova data (DHCP prideli pro ThinkPad12 IP x, DNS umozni ssh
admin@franta.mojedomena.cz, at bude mit IP z LAN, WLAN nebo VPN subnetu a ruzne logy budou obsahovat info, ze pristupoval Franta, protoze PTR zaznam. Ano, slo by to resit i jinak, napr. nejaky agent na user systemech. Pro bind byl napr. bind-dyndb-ldap, ale asi nebude problem pouzit pripadne hooks a spachat nejaky script, v hrosim pripade dotazovani na novinky pres cron.
DNSSEC funguje tak, že (...)
(...) musí tedy správce nadřazené domény umožňovat editaci DS záznamů pro vaši doménu (buď přímo, nebo přes KEYSETy, jak to dělá CZ.NIC pro doménu cz).
Diky za upresneni, nebyl jsem si jist, zda je nutne pouzit DS nebo zda je mozne pouzit i TXT (podpora "nepuvodnich features" byla u nekterych veci resena pres TXT).
Žádná speciální podpora ze strany registrátora není potřeba (...)
Tou "specialni" podporou jsem myslel prave napr. umoznit editaci DS. Joker.com DS nenabizi, minimalne ne na urovni zaznamu typy CAA, zkusim jejich support. Umoznuje samozrejme nastavit si vlastni NS, ale tou cestou bych sel nerad.