Differences between revisions 3 and 4
Revision 3 as of 2009-09-28 05:39:35
Size: 3011
Editor: localhost
Comment:
Revision 4 as of 2009-09-28 06:29:40
Size: 2772
Editor: localhost
Comment:
Deletions are marked like this. Additions are marked like this.
Line 1: Line 1:
## Please edit system and help pages ONLY in the master wiki!
## For more information, please see MoinMoin:MoinDev/Translation.
##master-page:Unknown-Page
##master-date:Unknown-Date
#acl -All:write Default
#format wiki
#language en

Secure Dynamic DNS Updates

Probleem

  • Mensen willen een vast IP address hebben; of zelfs hele 'namen' in DNS
  • Maar wij willen niet managen.

Oplossing: Secure Dynamic DNS Update

Requirements

  • Bind 9.3.x of higger op de (master)DNS server van WLeiden
  • nsupdate en dnssec-keygen tools op de client.

Procedure:

  • Kies een naam ('fred') die nog niet bestaat
  • Check met 'dig fred.derden.wleiden.net ANY' of die naam al bestaat.
  • Maak een key aan:
    •  dnssec-keygen -a RSAMD5 -b 1024 -n ZONE  fred.derden.wleiden.net 

  • Ga naar de config web pagina en vul daar in:
    • je Email
    • Korte beschrijving
    • De naam (fred)
    • Cut en paste the 'Kfred.derden.wleiden.net.*.key' in het form.
    • Hit submit.
  • Wacht totdat je een emailtje krijgt met daarin een URL. Ga naar deze URL.
  • Klaar.

Vanaf dat moment kun je:

  • Elke naam, zone of andere DNS gegevens creeren 'in' of onder 'fred'.

Voorbeeld 1: IP Address

nsupdate -d -v -k Kfred.derden.wleiden.net*.key << EOF
server derden.wleiden.net
zone fred.derden.wleiden.net.
update delete fred.derden.wleiden.net. A
update add fred.derden.wleiden.net 36000 A 172.15.8.12
send
EOF

Voorbeeld 2: Aanmaken van een webserver 'www.fred.derden.wleiden.net'

nsupdate -d -v -k Kfred.derden.wleiden.net*.key << EOF
server derden.wleiden.net
zone fred.derden.wleiden.net.
update delete www.fred.derden.wleiden.net. CNAME
update add www.fred.derden.wleiden.net 36000 CNAME fred.derden.wleiden.net
send
EOF

Voorbeeld 3: Alles zelf doen en 'delegeren' naar een eigen domain server:

nsupdate -d -v -k Kfred.derden.wleiden.net*.key << EOF
server derden.wleiden.net
zone fred.derden.wleiden.net.
update delete fred.derden.wleiden.net. NS
update add fred.derden.wleiden.net 36000 NS ns.fred.derden.wleiden.net.
update add ns.fred.derden.wleiden.net 3600 A 172.15.8.12
send
EOF

Aan de WLeiden kant

Te doen:

  • Delegeren derden.wleiden.net naar wl-mammy.
  • Zorgen dat bind 9.3.* op wl-mammy draait
  •  grant self  in onze named.conf stoppen. Zo maken dat MINFO veld niet veranderd kan worden. Rest wel.

  • Formuliertje maken dat email address checkt.
  • Dan met een nsupdate de SIG entry van de gebruiker in sddns stoppen.

  • En ook in MINFO het gecheckte email. Zodat we enige info hebben. Eventueel TXT record gebruiken voor aux info zoals IP.
  • Regelmatig  rndc freeze / unfreeze  doen om deze gegevens te committen.

  • Checken dat 'dns notify' naar onze secondaries aan staat - anders volgen ze te langzaam.

Problemen:

mensen kunnen zichzelf in de voet schieten

rare domein namen

Aan bestaande sites rare namen toekennen (debacle 'suck.com')

phishing.

Dw

SDDNS (last edited 2009-09-28 06:29:40 by localhost)