Bug 23412 - DDNS Einrichtung für externe DNS Server
DDNS Einrichtung für externe DNS Server
Status: NEW
Product: UCS extended documentation
Classification: Unclassified
Component: IP and network management
unspecified
Other Linux
: P5 normal (vote)
: ---
Assigned To: Docu maintainers
:
: 10788 (view as bug list)
Depends on:
Blocks:
  Show dependency treegraph
 
Reported: 2011-08-24 09:54 CEST by Stefan Gohmann
Modified: 2015-10-12 19:01 CEST (History)
2 users (show)

See Also:
What kind of report is it?: ---
What type of bug is this?: ---
Who will be affected by this bug?: ---
How will those affected feel about the bug?: ---
User Pain:
Enterprise Customer affected?:
School Customer affected?:
ISV affected?:
Waiting Support:
Flags outvoted (downgraded) after PO Review:
Ticket number:
Bug group (optional):
Max CVSS v3 score:


Attachments

Note You need to log in before you can comment on or make changes to this bug.
Description Stefan Gohmann univentionstaff 2011-08-24 09:54:17 CEST
Aus einer Projektdokumentation:

Um die DDNS zu aktivieren müssen einige UCR-Variablen auf dem
DHCP-Server gesetzt werden:

* dhcpd/ddns
  Zur Aktivierung muss diese Variable auf 'yes' gesetzt
  werden. Anderenfalls wird der Rest der DDNS Konfiguration ignoriert.
* dhcpd/ddns/domainname
  Der Domänenname, der an den Namen des Hosts gehängt wird.
* dhcpd/ddns/hostname
  Eine Funktion, die für unbekannte Rechner einen Namen erzeugt (optional).
* dhcpd/ddns/static
  Wird diese Variable auf 'yes' gesetzt, werden auch Rechner mit festen
  IP-Adressen an den DNS-Server gemeldet.

Des weiteren sollten noch einige Einstellungen für eine verschlüsselte
Kommunikation zwischen den beiden Servern durchgeführt werden:

* dhcpd/ddns/security
  Wird diese Variable auf 'yes' gesetzt, dann wird die Verschlüssung
  der Kommunikation zwischen DHCP- und DNS-Server aktiviert.
* dhcpd/ddns/security/secret
  Gibt eine Datei an, die einen Schlüssel für die Kommunikation enthält.
* dhcpd/ddns/security/key
  Vergibt einen internen Namen für den Schlüssel.

Der Schlüssel kann mit dem Tool dnssec-genkey erstellt werden:

 dnssec-keygen -a HMAC-MD5 -b 128 -n USER secret

Danach existieren im aktuellen Verzeichnis zwei neue Dateien, die beide
mit 'Ksecret' beginnen, beispielsweise:

 Ksecret.+157+45632.private
 Ksecret.+157+45632.key

Als Schlüssel ist aus der Datei mit der Endung .private die Zeile zu
entnehmen, die mit "Key: " beginnt. Dabei ist die Präfix zu entfernen
und der Schlüssel in eine separate Datei zu übertragen
(z.B. /etc/ddns.secret). Der Pfad zu dieser Datei kann dann als Wert in
die UCR-Variable dhcpd/ddns/security/secret eingetragen werden.

Als letzter Schritt muss festgelegt werden für welche DNS-Zonen DDNS
anzuwenden ist. Dabei können beliebig viele Zonen definiert werden,
welche jeweils durch zwei UCR-Variablen zu beschreiben sind.

* dhcpd/ddns/zone/<zone>/name:
  Name der Forward- oder Reverse-Zone. Diese werden wie in der
  Nameserver Konfiguration angegeben.
* dhcpd/ddns/zone/<zone>/primary
  Der primäre Nameserver für die Zone, dem per DDNS die Änderung bekannt
  gegeben werden sollen.

Der Platzhalter <zone> kann dabei durch einen beliebigen
Bezeichner für die Zone ersetzt werden. Beispiel:

univention-config-registry set dhcpd/ddns/zone/1/name=0.168.192.in-addr.arpa
univention-config-registry set dhcpd/ddns/zone/1/primary=192.168.0.2
univention-config-registry set dhcpd/ddns/zone/2/name=firma.com
univention-config-registry set dhcpd/ddns/zone/2/primary=192.168.0.2

Abschließend muss die Konfiguration des DNS-Servers erweitert
werden. Dafür sind einige Anpassungen notwendig, die die Kommunikation
zum DHCP-Server erlauben, die Verschlüsselung aktivieren und die Zonen
mit den Parametern dafür verknüpfen.

Zuerst muss der Schlüssel, der auch in der DHCP-Konfiguration verwendet
wird, eingetragen werden:

key mykey {
algorithm hmac-md5;
secret "<Schlüssel>";
};

Danach muss der Schlüssel in die Zonen eingetragen werden, die aktualisiert werden sollen:

zone "firma.com" {
...
allow-update {key mykey;};
};

zone "0.168.192.in-addr.arpa" {
...
allow-update {key mykey;};
};

Im letzten Schritt muss die Kommunikation zwischen dem DHCP-Server und
dem DNS-Server noch erlaubt werden:

acl "lan" {192.168.0.0/24; 127.0.0.1;};

controls {
inet 127.0.0.1 port 953 allow {127.0.0.1;192.168.0.2;} keys {"mykey";};
};

allow-query { "lan"; };

Nach einem abschließend Neustart der Dienst kann der DHCP-Server jetzt
die DNS-Informationen aktualisieren.
Comment 1 Moritz Muehlenhoff univentionstaff 2011-12-20 16:22:24 CET
*** Bug 10788 has been marked as a duplicate of this bug. ***
Comment 2 Moritz Muehlenhoff univentionstaff 2013-07-22 14:12:49 CEST
Once this is documented, debian/univention-dhcp.univention-config-registry-variables should be amended.