Imansible abilitare gli aggiornamenti di GSS-TSIG da Active Directory in BIND 9.10

Sono con un problema che prova ad abilitare GSS-TSIG con BIND 9.10.

Prima di iniziare a descrivere ciò che ho fatto, vorrei dire che l'ho già fatto in un altro dominio senza problemi. Penso quindi che manchi qualcosa di molto specifico. Se qualcuno mi avrebbe aiutato – debug io questo problema sarò molto contento.

Iniziamo.

Sto eseguendo BIND9 9.10.0P2_5 su FreeBSD 10.0, compilato da me con l'opzione GSSAPI_BASE abilitata. Ho utilizzato questo stesso pacchetto binario per distribuirlo sull'altro dominio che sta funzionando.

Allora ho abilitato GSS-TSIG nei miei file named.conf :

 options { ( … ) tkey-gssapi-keytab "/etc/krb5.keytab”; ( … ) }; zone “local.example.com" { type master; file "/usr/local/etc/namedb/dynamic/local.example.com"; notify yes; check-names ignore; allow-query { clients; }; allow-transfer { intnameservers; }; # allow-update { # key "iq-rndc-key"; # domaincontrollers; # }; update-policy { grant * subdomain local.iq.ufrj.br. ANY; }; }; zone "10.in-addr.arpa" { type master; file "/usr/local/etc/namedb/dynamic/10.in-addr.arpa"; notify yes; allow-query { clients; }; allow-transfer { intnameservers; }; # allow-update { # key "iq-rndc-key"; # domaincontrollers; # }; update-policy { grant * subdomain 10.in-addr.arpa. PTR TXT; }; }; 

Poi sono entrato nel dominio AD utilizzando Samba4 e Kerberos, in questo modo:

Creato il file /etc/krb5.conf con il seguente contenuto:

 [libdefaults] default_realm = EXAMPLE.COM dns_lookup_realm = true dns_lookup_kdc = true ticket_lifetime = 24h renew_lifetime = 7d forwardable = yes 

Installato Samba 4.1 e creato il file /usr/local/etc/smb4.conf con il seguente contenuto:

 [global] security = ads realm = EXAMPLE.COM workgroup = EXAMPLE kerberos method = secrets and keytab client signing = yes client use spnego = yes log file = /var/log/samba4/%m.log 

Richiesto di un biglietto Kerberos di amministratore:

 $ kinit Administrator 

Quindi entra nel dominio e crea un keytab

 $ net ads join createupn=dns/server-hostname.example.com@EXAMPLE.COM -k $ net ads keytab create -k 

Dopo tutto ho ricevuto con successo un biglietto, ho creato un account di computer e un account principale di servizio con successo.

Il passaggio successivo era un collegamento chown al /etc/krb5.keytab modo che BIND9 possa leggere correttamente il /etc/krb5.keytab .

Dopo tutto, nulla sta funzionando … GSS-TSIG non fa nemless dare errori nei registri, che è frustrante. Sto cercando di eseguire il debug con quelle opzioni in named.conf:

 logging { channel update_log { file "/var/log/named/bind-ddns-updates.log"; severity debug; print-category yes; print-severity yes; print-time yes; }; category update { update_log; }; category update-security { update_log; }; }; 

Ma non vedo niente di utile nel file di registro.

Grazie in anticipo,

Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.