У меня относительно простая конфигурация привязки / DNS, и я хотел бы разрешить некоторым из моих пользователей добавлять свои собственные конфигурации (например, записи A и CNAME). Хотя я доверяю своим пользователям, я хочу ограничить доступ к все файлы конфигурации только мне и другим администраторам. Я также не хочу, чтобы мои пользователи (должны были) входить в сеанс оболочки на DNS-сервере.
Решения, которые я рассмотрел:
Сталкивались ли другие администраторы с этой проблемой, и если да, то как она была решена?
ГОСА имеет довольно обширные настройки ACL, позволяющие делегировать привилегии, строгую аутентификацию, политику паролей и устаревание. Он используется в основном для администрирования и редактирования LDAP, но, помимо прочего, у него есть плагины для DNS. Возможно, вы захотите это проверить.
И вы можете использовать его с Bind или PowerDNS. Существуют патчи для Bind, которые заставляют его работать с LDAP, и сценарии для восстановления файлов зоны. PowerDNS имеет встроенную поддержку серверной части LDAP.
Вы можете использовать MySQL (или аналогичную БД) в качестве серверной части и разработать приятный веб-интерфейс для разрешения записи и изменения зоны.
Я не пробовал использовать серверную часть MySQL для связывания, но серверная часть MySQL MyDNS и PowerDNS работает отлично.
Один из моих коллег отметил, что уже существует параллельная утилита для nslookup под названием nsupdate (см. это короткое вступление). Для меня это кажется идеальным решением, поскольку оно требует минимальных требований к настройке и обслуживанию. Для этого требуется больше "технических" пользователей из-за интерфейса командной строки, но в моем случае это не проблема.