首先,是否有人曾经配置过 ISC bind 9.5.0 或更高版本,并支持 GSS-TSIG 动态 DNS 更新,并使其正常工作?如果是,那么使用什么配置来实现这一点?
我感觉它快要成功了。我看到在与 Active Directory DC 和 BIND DNS 服务器进行 TKEY 协商期间,GSS 信任通过了,没有出现任何明显错误:
客户端 192.168.0.30#52314:查询 gss cred:“DNS/[电子邮件保护]", GSS_C_ACCEPT, 4294967256 gss-api 源名称(接受)是[电子邮件保护] process_gsstkey():dns_tsigerror_noerror 客户端 192.168.0.30#52314:发送
但是,当发送更新时,它被拒绝:
客户端 192.168.0.30#58330:更新客户端 192.168.0.30#58330:更新区域‘example.com/IN’:更新失败:被安全更新拒绝 (REFUSED)客户端 192.168.0.30#58330:发送
现实世界中有谁能做到这一点吗?
答案1
我实际上设法使用 samba 4 团队提供的补丁使动态更新正常运行。
http://wiki.samba.org/index.php/Samba4/HOWTO#Step_10_Configure_kerberos_DNS_dynamic_updates
所运行的 Windows 版本及其进行动态更新的方法似乎存在问题。
如果您想在 samba4 域之外执行相同操作……您的下一个最佳选择是尝试并按照此处的操作方法操作:
http://freeipa.org/page/Dynamic_updates_with_GSS-TSIG
如果我没有关于该主题的更多信息,我很抱歉。