В чем практическая разница между политиками krb5-self и krb5-subdomain в BIND9 в заявлении update-policy при работе с динамическими обновлениями DNS в зонах?
В документации BIND9 говорится следующее:
krb5-self: это правило принимает принципала машины Kerberos (хост / QDN @ REALM) и позволяет ему обновлять запись DNS, которая соответствует части QDN Принципала. Соответствующий REALM должен точно соответствовать указанному в идентификаторе. См. Примечание Kerberos / AD.
krb5-subdomain: это правило принимает принципала машины Kerberos (хост / QDN @ REALM) и позволяет ему обновлять часть QDN Принципала. Соответствующий REALM должен соответствовать указанному в идентификаторе или любому субдомену (метки слева) идентификатора. См. Примечание Kerberos / AD.
Но это очень расплывчато, и есть даже CVE, говорящий, что krb5-subdomain не делает того, что делает, и в игре появился новый игрок: krb5-selfsub: https://kb.isc.org/docs/cve-2018-5741