EGILIA Germany - EGILIA Germany : IT und Management Kurse

>

Dossier

DNSSEC für Master & Slave einrichten


1. Sie benötigen zum Einrichten von DNSSEC einen Key zum Signieren Ihrer Zonendatei. Diesen erstellen Sie mit dnssec-keygen. Dieser Schlüssel muss mindestens eine RSA Signatur beinhalten. Da die Einträge aufeinanderfolgende Verweise beinhalten, ist es nach dem Signieren nicht mehr möglich unbemerkt Records zu ändern/hinzuzufügen/entfernen.

Sie benötigen jedoch einen MD5 Host-Key um Master und Slave für DNSSEC einrichten zu können. Die Varianten, dies über einen RSA/DSA Key mit Hilfe von diversen Optionen zu realisieren, funktionieren nicht.

Also erzeugen Sie bitte mit dnssec-keygen -a hmac-md5 -b 128 -n host example.com einen Hostkey. In der erzeugten xxxx.private Datei finden Sie den gemeinsam verwendbaren Schlüssel, welchen Sie in der jeweiligen /etc/named.conf hinterlegen
named.conf SERVER
key "TRANSFER" {algorithm hmac-md5; secret "AKNDeffPVhoA9fAh0f6cIg=="; };
server 192.168.0.104 {
keys { TRANSFER; };
};

named.conf SLAVE
zone "example.com" in {
type slave;
file "./slave/example.zone.signed";
masters { 192.168.0.103; };
};

key "TRANSFER" { algorithm hmac-md5; secret "AKNDeffPVhoA9fAh0f6cIg=="; };
server 192.168.0.103 {
keys { TRANSFER; };
};

2. Nun erzeugen Sie mit dnssec-keygen -a DSA -b 512 -n ZONE example.com den Schlüssel für die Zonendatei.
Auch hier werden zwei Dateien erzeugt. Den Inhalt der Key Datei pflegen Sie in Ihre Zonendatei ein und Signieren diese anschließend mit dem xxx.private.
cat K.example.com+0003+2346.key >> example.zone
dnssec-signzone -o example.com example.zone K.example.com+0003+2346.private


3. Passen Sie die /etc/named.conf des Masters an, da die signierte Datei nun den Anhang .signed erhalten hat. Gleichzeitig sollten Sie sich nun zum Transfer auf den erzeugten Host-Key berufen.
zone "example.com" in {
    type master;
    file "example.zone.signed";
    allow-transfer { key TRANSFER; };
};

4. Bitte bedenken Sie, dass Sie die Seriennummer Ihrer Zonendatei erhöhen sollten, anderenfalls findet kein Update statt. Optional dürfen Sie dem Slave ebenfalls einen neuen Zonendateinamen verpassen (sinnvoll).

5. Starten Sie beide Server neu und werfen Sie einen Blick in die /var/log/messages oder /var/log/syslog um den Transfer zu prüfen.
 

Entdecken Sie hier all unsere Artikel, die unser EGILIA Team für Sie vorbereitet hat. Sie können ebenfalls unsere EGILIA Artikel als RSS-Feed kostenlos empfangen.
Microsoft Certified Partner Citrix Alliance Partner Sun Parner Advantage Novell HP Business Partner Cisco Partner - Premier Certified
EGILIA Germany GmbH Goethestraße 13, 90409 Nürnberg, ist eine Tochtergesellschaft der EGILIA Group
© copyright 2013  Ver:3.0
ITIL® is a registered trade mark of the Cabinet Office.
PRINCE2® is a registered trade mark of the Cabinet Office.
The ITIL Approved Examination Organization logo is a trade mark of the Cabinet Office
The Swirl logo™ is a trade mark of the Cabinet Office and/or the ITIL Accredited Training Organization logo is a trade mark of the Cabinet Office
The Swirl logo™ is a trade mark of the Cabinet Office and/or the PRINCE2 Licensed Affiliate logo is a trade mark of the Cabinet Office
Die von EGILIA Germany GmbH angebotenen Dienstleistungen richten sich ausschließlich an Industrie, Handwerk, Handel und die freien Berufe sowie an Vereine und öffentliche Einrichtungen.
EGILIA ist in: Berlin Hamburg München Stuttgart Nürnberg