Я хотел бы знать, как файлы обрабатываются в auto-dnssec
Окружающая среда.
Моя текущая настройка (без DNSSEC) помещает файлы зон в /var/named/data
. Затем эти файлы читаются сервером привязки.
Если я включу автоподпись, изменятся ли файлы зон? Или bind просто сохранит подписанные зоны внутри? Если произойдет первое, Puppet, возможно, больше не будет хорошей идеей для развертывания зон DNS.
РЕДАКТИРОВАТЬ: Предыдущая версия этого ответа была неверной.
Если я включу автоподпись, изменятся ли файлы зон?
да. BIND обновит файл, указанный вами в «динамическом» стиле конфигурации. Это означает, что весь файл обычно перезаписывается, теряются все директивы "$ INCLUDE", происходит преобразование в "стандартное" форматирование и т. Д.
При подписании файлов вручную исходные файлы зоны не меняются. Вы не можете использовать динамические обновления с файлами, подписанными вручную, поэтому есть компромисс. Обычно вы либо сохраняете исходный файл зоны вручную и используете ручную подпись, либо используете nsupdate для сохранения исходного файла и позволяете BIND автоматически подписывать зону. Боковое примечание: в последний раз, когда я смотрел, BIND не может автоматически генерировать ключи ZSK, поэтому вам все равно придется вручную вращать их (или сценарий процесса).
Вы можете сделать последнее (если BIND поддерживает подписанные зоны отдельно от неподписанных зон, которые вы редактируете, а также обновляете их при редактировании файлов), используя inline-signing
функция добавлена в BIND9.9.
В настоящее время он задокументирован только на https://kb.isc.org/article/AA-00626/0/Inline-Signing-in-ISC-BIND-9.9.0-Examples.html