Во-первых, кто-нибудь КОГДА-ЛИБО настраивал привязку ISC 9.5.0 ИЛИ выше с поддержкой динамических обновлений DNS GSS-TSIG И заставлял ее работать? Если да, то какая конфигурация использовалась для этого?
Я чувствую себя близким к тому, чтобы это работало. Я вижу, что кредит GSS проходит без явной ошибки во время согласования TKEY с контроллером домена Active Directory и DNS-сервером BIND:
клиент 192.168.0.30 # 52314: запрос gss cred: "DNS/dns1.example.com@EXAMPLE.COM", GSS_C_ACCEPT, 4294967256 имя источника gss-api (принять) - DC1$@EXAMPLE.COM process_gsstkey (): dns_tsigerror_noerror client 192.168 .0.30 # 52314: отправить
Но когда обновление отправлено, оно отклоняется:
client 192.168.0.30 # 58330: обновить клиент 192.168.0.30 # 58330: обновить зону 'example.com/IN': обновление не удалось: отклонено безопасным обновлением (ОТКАЗАНО) клиент 192.168.0.30 # 58330: отправить
У кого-нибудь это работает в реальном мире?
Мне действительно удалось заставить динамические обновления работать с помощью патча, предоставленного командой samba 4.
http://wiki.samba.org/index.php/Samba4/HOWTO#Step_10_Configure_kerberos_DNS_dynamic_updates
Кажется, есть проблемы с версией запущенной Windows и методом динамических обновлений.
Если вы пытаетесь сделать то же самое за пределами домена samba4 ... ваш следующий лучший вариант - попробовать и следовать инструкциям здесь:
http://freeipa.org/page/Dynamic_updates_with_GSS-TSIG
Извините, если у меня нет дополнительной информации по этому вопросу.