在处理区域上的动态 DNS 更新时,BIND9 中的 krb5-self 和 krb5-subdomain 策略在更新策略语句上有何实际区别?
BIND9 文档中指出了以下内容:
krb5-self:此规则采用 Kerberos 机器主体 (host/QDN@REALM),并允许其更新与主体的 QDN 部分相对应的 DNS 条目。要匹配的 REALM 必须与身份中指定的 REALM 完全匹配。请参阅 Kerberos/AD 说明。
krb5-subdomain:此规则采用 Kerberos 机器主体 (host/QDN@REALM),并允许其更新主体的 QDN 部分。要匹配的 REALM 必须与身份中指定的 REALM 或身份的任何子域(左侧的标签)相匹配。请参阅 Kerberos/AD 说明。
但这非常模糊,甚至有一个 CVE 表示 krb5-subdomain 不会执行其功能,并且游戏中出现了一个新玩家:krb5-selfsub:https://kb.isc.org/docs/cve-2018-5741