BIND 9のnsupdate dyndnsの更新により、「tsig verify failure(BADKEY)」と表示されます。
私はDDNSの多くのHOWTOページを精査してこれを修正しようとしました...私は途方に暮れています。
WorkstationX = CentOS 6.2 x64 ServerX = Ubuntu 12.04 LTS x64
なぜうまくいかないのか分かりません…文字通りアイデアが足りません。私はすべてを数回再生成および再構成しました。
私は確かめました:
- 両方のホストでNTPDを実行していることを確認しましたNTPが機能している
- TZは両方のノードで正しい(ハードウェアはUTC)
- 私はこれらのガイドに従いました:
- http://linux.yyz.us/nsupdate/
- http://agiletesting.blogspot.com.au/2012/03/dynamic-dns-updates-with-nsupdate-and.html
- http://www.cheshirekow.com/wordpress/?p=457
- http://www.erianna.com/nsupdate-dynamic-dns-updates-with-bind9
- http://consultancy.edvoncken.net/index.php/HOWTO_Manage_Dynamic_DNS_with_nsupdate
- http://blog.philippklaus.de/2013/01/updating-dns-entries-with-nsupdate-or-alternative-implementations-your-own-ddns/
それらのいくつかはキーを生成する方法が異なりますが、残りは同じです...それでも、nsupdateを試行すると、dnssec-keygenが実行されたサーバー(およびbindが実行されているサーバー)でも、同じログが取得されますエントリ:
Aug 14 11:20:38 vps named[31247]: 14-Aug-2013 11:20:38.032 security: error: client 127.0.0.1#29403: view public: request has invalid signature: TSIG domain2.com.au.: tsig verify failure (BADKEY)
このnsupdateから:
nsupdate -k Kdomain2.com.au.+157+35454.key
server localhost
zone domain2.com.au.
update add test.domain2.com.au. 86400 IN A 10.20.30.40
show
send
私が収集するのは正しい生成されたメソッドです:
dnssec-keygen -a HMAC-MD5 -b 512 -n Host domain2.com.au.
named.conf(プライバシーのためにIPが変更されました):
acl ipv4 { 0.0.0.0/0; };
acl ipv6 { 2000::/3; ::1; fe80::/10; fec0::/10; };
acl safehosts { 127.0.0.0/8; 3.2.2.40; 44.44.14.12; };
include "/etc/bind/rndc.key";
controls {
inet * port 953
allow { safehosts; } keys { "rndc-key"; };
};
options
{
auth-nxdomain yes;
empty-zones-enable no;
zone-statistics yes;
dnssec-enable yes;
listen-on { any; };
listen-on-v6 { any; };
directory "/etc/bind/db";
managed-keys-directory "/etc/bind/keys";
memstatistics-file "/etc/bind/data/bind.memstats";
statistics-file "/etc/bind/data/bind.qstats";
};
logging
{
## CUT ##
};
view "public"
{
recursion yes;
allow-query-cache { safehosts; };
allow-recursion { safehosts; };
zone "." IN {
type hint;
file "root.zone";
};
zone "0.0.127.in-addr.arpa" {
type master;
allow-update { none; };
allow-transfer { none; };
file "0.0.127.in-addr.arpa.zone";
};
zone "localhost" {
type master;
allow-update { none; };
allow-transfer { none; };
file "localhost.zone";
};
zone "3.2.2.in-addr.arpa" {
type master;
allow-update { none; };
allow-transfer { none; };
file "3.2.2.in-addr.arpa.zone";
};
zone "domain1.com.au" {
type master;
notify yes;
allow-update { key "rndc-key"; };
allow-transfer { key "rndc-key"; };
file "domain1.com.au.zone";
};
zone "domain2.com.au" {
type master;
notify yes;
allow-update { key "rndc-key"; };
allow-transfer { key "rndc-key"; };
file "doomain2.com.au.zone";
};
};
/etc/bind/rndc.key:
key "rndc-key" {
algorithm hmac-md5;
secret "vZwCYBx4OAOsBrbdlooUfBaQx+kwEi2eLDXdr+JMs4ykrwXKQTtDSg/jp7eHnw39IehVLMtuVECTqfOwhXBm0A==";
};
Kdomain1.com.au。+ 157 + 35454.private
Private-key-format: v1.3
Algorithm: 157 (HMAC_MD5)
Key: vZwCYBx4OAOsBrbdlooUfBaQx+kwEi2eLDXdr+JMs4ykrwXKQTtDSg/jp7eHnw39IehVLMtuVECTqfOwhXBm0A==
Bits: AAA=
Created: 20130814144733
Publish: 20130814144733
Activate: 20130814144733
nsupdateにはいくつかの癖があり、-kで呼び出されると、いくつかの命名規則を想定しています。 manページから、あなたのキー名はdomain2.com.auと呼ばれるかもしれません。
以下を試していただけませんか?
nsupdate -y \
'rndc-key:vZwCYBx4OAOsBrbdlooUfBaQx+kwEi2eLDXdr+JMs4ykrwXKQTtDSg/jp7eHnw39IehVLMtuVECTqfOwhXBm0A=='
構成の名前として、キーを作成したキーの名前を使用する必要があります。私が見ることができるものから、あなたは使用しなければなりません:
key "domain2.com.au" {
[...]
}
BINDドキュメント から:
これに一致するキー、名前、名前、アルゴリズム、およびシークレットで署名されていることを確認します。
Allow-update {key "rndc-key";があります。 };生成したキーではありません。どこかに重要なステートメントがあるはずです:key "ddns_key" { algorithm hmac-md5; secret "vZwCYBx4OAOsBrbdlooUfBaQx+kwEi2eLDXdr+JMs4ykrwXKQTtDSg/jp7eHnw39IehVLMtuVECTqfOwhXBm0A=="; };。次に、allow-updateを追加する必要があります{ key "ddns_key" };