我试图用BIND 9.10启用GSS-TSIG。
在我开始描述我所做的事情之前,我想说我已经在另一个域中完成了,没有任何问题。 所以我想我错过了一些非常具体的东西。 如果有人会帮我debugging这个问题,我会很高兴的。
开始吧。
我在FreeBSD 10.0上运行BIND9 9.10.0P2_5,在启用GSSAPI_BASE选项的情况下自己编译。 我已经使用这个相同的二进制包来部署在另一个正在工作的域上。
然后我在我的named.conf文件中启用了GSS-TSIG:
options { ( … ) tkey-gssapi-keytab "/etc/krb5.keytab”; ( … ) }; zone “local.example.com" { type master; file "/usr/local/etc/namedb/dynamic/local.example.com"; notify yes; check-names ignore; allow-query { clients; }; allow-transfer { intnameservers; }; # allow-update { # key "iq-rndc-key"; # domaincontrollers; # }; update-policy { grant * subdomain local.iq.ufrj.br. ANY; }; }; zone "10.in-addr.arpa" { type master; file "/usr/local/etc/namedb/dynamic/10.in-addr.arpa"; notify yes; allow-query { clients; }; allow-transfer { intnameservers; }; # allow-update { # key "iq-rndc-key"; # domaincontrollers; # }; update-policy { grant * subdomain 10.in-addr.arpa. PTR TXT; }; };
然后我用这种方式使用Samba4和Kerberosjoin了AD域:
使用以下内容创build文件/etc/krb5.conf :
[libdefaults] default_realm = EXAMPLE.COM dns_lookup_realm = true dns_lookup_kdc = true ticket_lifetime = 24h renew_lifetime = 7d forwardable = yes
安装了Samba 4.1并创build了具有以下内容的文件/usr/local/etc/smb4.conf :
[global] security = ads realm = EXAMPLE.COM workgroup = EXAMPLE kerberos method = secrets and keytab client signing = yes client use spnego = yes log file = /var/log/samba4/%m.log
询问pipe理员Kerberos票证:
$ kinit Administrator
然后join域并创build一个keytab
$ net ads join createupn=dns/[email protected] -k $ net ads keytab create -k
毕竟我已经成功地收到一张票,创build了一个计算机帐户和一个成功的服务主体帐户。
下一步是对/etc/krb5.keytab的chown绑定,所以BIND9可以成功读取keytab。
毕竟,没有什么工作… GSS-TSIG甚至不会给日志中的错误,这是令人沮丧的。 我试图用named.conf中的这些选项来debugging:
logging { channel update_log { file "/var/log/named/bind-ddns-updates.log"; severity debug; print-category yes; print-severity yes; print-time yes; }; category update { update_log; }; category update-security { update_log; }; };
但是我没有看到日志文件中有用的东西。
提前致谢,