DNSSEC автоматическая подпись и обработка файлов
Я хотел бы знать, как файлы обрабатываются в auto-dnssec среда.
Моя текущая настройка (не DNSSEC) помещает файлы зон в /var/named/data, Эти файлы затем читаются сервером связывания.
Если я включу автоподписание, изменятся ли файлы зон? Или будет просто хранить подписанные зоны внутри? Если первое случится, Puppet может быть не очень хорошей идеей для развертывания DNS-зон.
2 ответа
РЕДАКТИРОВАТЬ: предыдущая версия этого ответа была назад-неправильно.
Если я включу автоподписание, изменятся ли файлы зон?
Да BIND обновит указанный вами файл в конфигурации "динамический" стиль. Это означает, что весь файл обычно переписывается, теряя любые директивы $INCLUDE, преобразуя в "стандартное" форматирование и т. Д.
При ручной подписи файлов исходные файлы зоны не изменяются. Вы не можете использовать Dynamic Updates с подписанными вручную файлами, так что есть компромисс. Как правило, вы либо сохраняете исходный файл зоны вручную и используете ручную подпись, либо используете nsupdate, чтобы сохранить исходный файл и позволить BIND автоматически подписывать зону. Примечание: в прошлом я смотрел, что BIND не может автоматически генерировать ключи ZSK, поэтому вам все равно придется вручную поворачивать их (или составлять сценарий процесса).
Вы выполняете последнее (имея BIND для поддержки подписанных зон отдельно от неподписанных зон, которые вы редактируете, а также обновляете их при редактировании файлов), используя inline-signing функция добавлена в BIND9.9.
В настоящее время он задокументирован только по адресу https://kb.isc.org/article/AA-00626/0/Inline-Signing-in-ISC-BIND-9.9.0-Examples.html