27 Jan
2011
27 Jan
'11
9:28 a.m.
No me van las actualizaciones dinámicas ...
Lanzo BIND en modo debug con un nivel de detalle muy alto
/usr/local/sbin/named -g -d 9999
27-Jan-2011 09:19:52.075* failed to acquire accept credentials for DNS/(aqui
el dominio): GSSAPI error: Major = Unspecified GSS failure. Minor code may
provide more information, Minor = No principal in keytab matches desired
name.*
lo tengo compilado con soporte GSSAPI
27-Jan-2011 09:21:27.780 starting BIND 9.7.2-P2 -g
27-Jan-2011 09:21:27.780 built with '--with-openssl=yes' *
'--with-gssapi=/usr'*
y sin errores en el proceso.
Esto es lo que me permite realizar actualizaciones dinámicas en la zona
directa muy importante a la hora de meter / modificar máquinas en un
dominio.
En referencia a esto, mi named.conf reza lo siguiente:
*options {
directory "/var/lib/named";
dump-file "/var/log/named_dump.db";
statistics-file "/var/log/named.stats";
tkey-gssapi-credential "DNS/DOS11111.LOCAL"; * <- Si
comento esta línea funciona el DNS pero no las actualizaciones...* si la
descomento no funciona el DNS (no arranca)
tkey-domain "DOS11111.LOCAL";
};*
[... sigue ...]
*};
include "/etc/named.conf.include";* <- el archivo termina con este include
que nos lleva a :
*key "rndc-key" {
algorithm hmac-md5;
secret
"948jWC+QeQiaMVLpW3bbu1uoug+GrpEKNDr2X7A+3DNRwK772iqSzTK/bWWKKyNnqiW+yUW/Kj4rcTZnfb993Q==";
};
*
Y pienso que el erro viene de esa "llave" y me pongo a generar otra (pero
ando perdido) de la siguiente forma:
*dnssec-keygen -a hmac-md5 -b <bit-length> -n HOST <key-file-name>
*
Genero una " llave" y la sustituyo en el /etc//named.conf.include y creo que
aquí es donde la lío.
El DNS que uso es interno, no me importa la seguirdad (no necesito cifrar el
trafico ni nada por el estilo)
¿alguna idea?
gracias.
28 Jan
28 Jan
10:18 a.m.
Estos días tenía ganas de mirarme este tema, pero todavía ni empecé. Voy a
seguir este howto:
http://wiki.samba.org/index.php/Samba4/HOWTO#Step_8_Configure_DNS
Viendo lo que tienes, lo único que se me ocurre es revisar esto que pone en
el howto:
Then in your /etc/bind/named.conf.options you need this:
tkey-gssapi-credential "DNS/samdom.example.com";
tkey-domain "SAMDOM.EXAMPLE.COM";
The last part of the credential in the first line must match the domain
you've setup. This used to be the hostname of the machine running the DNS
server, but at least in alpha12 and later you should use the domain.
Yo probaría a poner el nombre de la máquina y no solo el dominio, a pesar de
la versión.
Otra cosa que probaría es en vez de -n HOST, utilizar -n ZONE en la
generación de la clave
*dnssec-keygen -a hmac-md5 -b <bit-length> -n HOST <key-file-name>
*
Saludos
El 27 de enero de 2011 09:28, Rafa Toucedo <debian.vigo(a)gmail.com> escribió:
No me van las actualizaciones dinámicas ...
Lanzo BIND en modo debug con un nivel de detalle muy alto
/usr/local/sbin/named -g -d 9999
27-Jan-2011 09:19:52.075* failed to acquire accept credentials for DNS/(aqui
el dominio): GSSAPI error: Major = Unspecified GSS failure. Minor code
may provide more information, Minor = No principal in keytab matches desired
name.*
lo tengo compilado con soporte GSSAPI
27-Jan-2011 09:21:27.780 starting BIND 9.7.2-P2 -g
27-Jan-2011 09:21:27.780 built with '--with-openssl=yes' *
'--with-gssapi=/usr'*
y sin errores en el proceso.
Esto es lo que me permite realizar actualizaciones dinámicas en la zona
directa muy importante a la hora de meter / modificar máquinas en un
dominio.
En referencia a esto, mi named.conf reza lo siguiente:
*options {
directory "/var/lib/named";
dump-file "/var/log/named_dump.db";
statistics-file "/var/log/named.stats";
tkey-gssapi-credential "DNS/DOS11111.LOCAL"; * <-
Si comento esta línea funciona el DNS pero no las actualizaciones...* si
la descomento no funciona el DNS (no arranca)
tkey-domain "DOS11111.LOCAL";
};*
[... sigue ...]
*};
include "/etc/named.conf.include";* <- el archivo termina con este
include que nos lleva a :
*key "rndc-key" {
algorithm hmac-md5;
secret
"948jWC+QeQiaMVLpW3bbu1uoug+GrpEKNDr2X7A+3DNRwK772iqSzTK/bWWKKyNnqiW+yUW/Kj4rcTZnfb993Q==";
};
*
Y pienso que el erro viene de esa "llave" y me pongo a generar otra (pero
ando perdido) de la siguiente forma:
*dnssec-keygen -a hmac-md5 -b <bit-length> -n HOST <key-file-name>
*
Genero una " llave" y la sustituyo en el /etc//named.conf.include y creo
que aquí es donde la lío.
El DNS que uso es interno, no me importa la seguirdad (no necesito cifrar
el trafico ni nada por el estilo)
¿alguna idea?
gracias.
_______________________________________________
GALPon mailing list
GALPon(a)listas.galpon.org
https://listas.galpon.org/cgi-bin/mailman/listinfo/galpon
4:26 p.m.
Hola, en el tkey-gssapi el dominio tiene que estar en mayusculas al igual
que en el krb5.conf, yo en otras maquinas lo tengo funcionando, tengo un
mini howto de samba 4 que te pasare en cuanto vaya por el trabajo, (el
lunes) que creo te podra ayudar, un saludo
------
Rafa Toucedo M.
GTalk: rtoucedo(a)gmail.com
El 28/01/2011 10:18, "Damian Nogueiras Melendez"
<damiannogueiras(a)gmail.com>
escribió:
Estos días tenía ganas de mirarme este tema, pero
todavía ni empecé. Voy a
seguir este howto:
http://wiki.samba.org/index.php/Samba4/HOWTO#Step_8_Configure_DNS
Viendo lo que tienes, lo único que se me ocurre es revisar esto que pone
en
el howto:
Then in your /etc/bind/named.conf.options you need this:
tkey-gssapi-credential "DNS/samdom.example.com";
tkey-domain "SAMDOM.EXAMPLE.COM";
The last part of the credential in the first line must match the domain
you've setup. This used to be the hostname of the machine running the DNS
server, but at least in alpha12 and later you should use the domain.
Yo probaría a poner el nombre de la máquina y no solo el dominio, a pesar
de
la versión.
Otra cosa que probaría es en vez de -n HOST, utilizar -n ZONE en la
generación de la clave
*dnssec-keygen -a hmac-md5 -b <bit-length> -n HOST <key-file-name>
*
Saludos
El 27 de enero de 2011 09:28, Rafa Toucedo <debian.vigo(a)gmail.com>
escribió:
> No me van las actualizaciones dinámicas ...
>
>
> Lanzo BIND en modo debug con un nivel de detalle muy alto
> /usr/local/sbin/named -g -d 9999
>
> 27-Jan-2011 09:19:52.075* failed to acquire accept credentials for
DNS/(aqui
> el dominio): GSSAPI error: Major = Unspecified GSS
failure. Minor code
> may provide more information, Minor = No principal in keytab matches
desired
> name.*
>
> lo tengo compilado con soporte GSSAPI
>
> 27-Jan-2011 09:21:27.780 starting BIND 9.7.2-P2 -g
> 27-Jan-2011 09:21:27.780 built with '--with-openssl=yes' *
> '--with-gssapi=/usr'*
>
> y sin errores en el proceso.
>
> Esto es lo que me permite realizar actualizaciones dinámicas en la zona
> directa muy importante a la hora de meter / modificar máquinas en un
> dominio.
>
>
> En referencia a esto, mi named.conf reza lo siguiente:
>
> *options {
> directory "/var/lib/named";
> dump-file "/var/log/named_dump.db";
> statistics-file "/var/log/named.stats";
> tkey-gssapi-credential "DNS/DOS11111.LOCAL"; * <-
> Si comento esta línea funciona el DNS pero no las actualizaciones...* si
> la descomento no funciona el DNS (no arranca)
> tkey-domain "DOS11111.LOCAL";
>
> };*
>
> [... sigue ...]
>
> *};
> include "/etc/named.conf.include";* <- el archivo termina con este
> include que nos lleva a :
>
>
>
> *key "rndc-key" {
> algorithm hmac-md5;
> secret
>
"948jWC+QeQiaMVLpW3bbu1uoug+GrpEKNDr2X7A+3DNRwK772iqSzTK/bWWKKyNnqiW+yUW/Kj4rcTZnfb993Q==";
> };
> *
>
> Y pienso que el erro viene de esa "llave" y me pongo a generar otra (pero
> ando perdido) de la siguiente forma:
>
> *dnssec-keygen -a hmac-md5 -b <bit-length> -n HOST <key-file-name>
>
>
> *
>
> Genero una " llave" y la sustituyo en el /etc//named.conf.include y creo
> que aquí es donde la lío.
>
> El DNS que uso es interno, no me importa la seguirdad (no necesito cifrar
> el trafico ni nada por el estilo)
>
> ¿alguna idea?
>
> gracias.
>
> _______________________________________________
> GALPon mailing list
> GALPon(a)listas.galpon.org
> https://listas.galpon.org/cgi-bin/mailman/listinfo/galpon
>
>
5:01 p.m.
On Friday 28 January 2011 16:26:42 Rafa Toucedo wrote:
Hola, en el tkey-gssapi el dominio tiene que estar en
mayusculas al igual
que en el krb5.conf, yo en otras maquinas lo tengo funcionando, tengo un
mini howto de samba 4 que te pasare en cuanto vaya por el trabajo, (el
lunes) que creo te podra ayudar, un saludo
Es que no es el dominio, es el REALM en el contexto Kerberos, qué, casualmente
tiene será el del dominio ( al no ser que se tenga autentificación cross-realm
).
Un saludo
------
Rafa Toucedo M.
GTalk: rtoucedo(a)gmail.com
El 28/01/2011 10:18, "Damian Nogueiras Melendez"
<damiannogueiras(a)gmail.com>
escribió:
Estos días tenía ganas de mirarme este tema, pero
todavía ni empecé. Voy
a seguir este howto:
http://wiki.samba.org/index.php/Samba4/HOWTO#Step_8_Configure_DNS
Viendo lo que tienes, lo único que se me ocurre es revisar esto que pone
en
el howto:
Then in your /etc/bind/named.conf.options you need this:
tkey-gssapi-credential "DNS/samdom.example.com";
tkey-domain "SAMDOM.EXAMPLE.COM";
The last part of the credential in the first line must match the domain
you've setup. This used to be the hostname of the machine running the DNS
server, but at least in alpha12 and later you should use the domain.
Yo probaría a poner el nombre de la máquina y no solo el dominio, a pesar
de
la versión.
Otra cosa que probaría es en vez de -n HOST, utilizar -n ZONE en la
generación de la clave
*dnssec-keygen -a hmac-md5 -b <bit-length> -n HOST <key-file-name>
*
Saludos
El 27 de enero de 2011 09:28, Rafa Toucedo <debian.vigo(a)gmail.com>
escribió:
> No me van las actualizaciones dinámicas ...
>
>
> Lanzo BIND en modo debug con un nivel de detalle muy alto
> /usr/local/sbin/named -g -d 9999
>
> 27-Jan-2011 09:19:52.075* failed to acquire accept credentials for
DNS/(aqui
> el dominio): GSSAPI error: Major =
Unspecified GSS failure. Minor code
> may provide more information, Minor = No principal in keytab matches
desired
> name.*
>
> lo tengo compilado con soporte GSSAPI
>
> 27-Jan-2011 09:21:27.780 starting BIND 9.7.2-P2 -g
> 27-Jan-2011 09:21:27.780 built with '--with-openssl=yes' *
> '--with-gssapi=/usr'*
>
> y sin errores en el proceso.
>
> Esto es lo que me permite realizar actualizaciones dinámicas en la zona
> directa muy importante a la hora de meter / modificar máquinas en un
> dominio.
>
>
> En referencia a esto, mi named.conf reza lo siguiente:
>
> *options {
> directory "/var/lib/named";
> dump-file "/var/log/named_dump.db";
> statistics-file "/var/log/named.stats";
> tkey-gssapi-credential "DNS/DOS11111.LOCAL"; * <-
> Si comento esta línea funciona el DNS pero no las actualizaciones...* si
> la descomento no funciona el DNS (no arranca)
> tkey-domain "DOS11111.LOCAL";
>
> };*
>
> [... sigue ...]
>
> *};
> include "/etc/named.conf.include";* <- el archivo termina con este
> include que nos lleva a :
>
>
>
> *key "rndc-key" {
> algorithm hmac-md5;
> secret
"948jWC+QeQiaMVLpW3bbu1uoug+GrpEKNDr2X7A+3DNRwK772iqSzTK/bWWKKyNnqiW+yUW/Kj
4rcTZnfb993Q==";
>> };
>> *
>>
>> Y pienso que el erro viene de esa "llave" y me pongo a generar otra
>> (pero ando perdido) de la siguiente forma:
>>
>> *dnssec-keygen -a hmac-md5 -b <bit-length> -n HOST <key-file-name>
>>
>>
>> *
>>
>> Genero una " llave" y la sustituyo en el /etc//named.conf.include y
creo
>> que aquí es donde la lío.
>>
>> El DNS que uso es interno, no me importa la seguirdad (no necesito
>> cifrar el trafico ni nada por el estilo)
>>
>> ¿alguna idea?
>>
>> gracias.
>>
>> _______________________________________________
>> GALPon mailing list
>> GALPon(a)listas.galpon.org
>> https://listas.galpon.org/cgi-bin/mailman/listinfo/galpon
31 Jan
31 Jan
8:48 a.m.
¿El REALM (Reino) no es siempre el dominio con extensión y el "Dominio" es
si extensión?
El 28 de enero de 2011 17:01, Mario Teijeiro <emeteo(a)escomposlinux.xn--org>escribi-yobcribió:
On Friday 28 January 2011 16:26:42 Rafa Toucedo wrote:
"948jWC+QeQiaMVLpW3bbu1uoug+GrpEKNDr2X7A+3DNRwK772iqSzTK/bWWKKyNnqiW+yUW/Kj
Hola, en el tkey-gssapi el dominio tiene que
estar en mayusculas al igual
que en el krb5.conf, yo en otras maquinas lo tengo funcionando, tengo un
mini howto de samba 4 que te pasare en cuanto vaya por el trabajo, (el
lunes) que creo te podra ayudar, un saludo
Es que no es el dominio, es el REALM en el contexto Kerberos, qué,
casualmente
tiene será el del dominio ( al no ser que se tenga autentificación
cross-realm
).
Un saludo
------
Rafa Toucedo M.
GTalk: rtoucedo(a)gmail.com
El 28/01/2011 10:18, "Damian Nogueiras Melendez"
<damiannogueiras(a)gmail.com>
escribió:
> Estos días tenía ganas de mirarme este tema, pero todavía ni empecé.
Voy
> a seguir este howto:
> http://wiki.samba.org/index.php/Samba4/HOWTO#Step_8_Configure_DNS
> Viendo lo que tienes, lo único que se me ocurre es revisar esto que
pone
en
> el howto:
>
> Then in your /etc/bind/named.conf.options you need this:
>
> tkey-gssapi-credential "DNS/samdom.example.com";
> tkey-domain "SAMDOM.EXAMPLE.COM";
>
> The last part of the credential in the first line must match the domain
> you've setup. This used to be the hostname of the machine running the
DNS
> server, but at least in alpha12 and later
you should use the domain.
>
> Yo probaría a poner el nombre de la máquina y no solo el dominio, a
pesar
de
zona
la versión.
Otra cosa que probaría es en vez de -n HOST, utilizar -n ZONE en la
generación de la clave
*dnssec-keygen -a hmac-md5 -b <bit-length> -n HOST <key-file-name>
*
Saludos
El 27 de enero de 2011 09:28, Rafa Toucedo <debian.vigo(a)gmail.com>
escribió:
> No me van las actualizaciones dinámicas ...
>
>
> Lanzo BIND en modo debug con un nivel de detalle muy alto
> /usr/local/sbin/named -g -d 9999
>
> 27-Jan-2011 09:19:52.075* failed to acquire accept credentials for
DNS/(aqui
> el dominio): GSSAPI error: Major =
Unspecified GSS failure. Minor code
> may provide more information, Minor = No principal in keytab matches
desired
>> name.*
>>
>> lo tengo compilado con soporte GSSAPI
>>
>> 27-Jan-2011 09:21:27.780 starting BIND 9.7.2-P2 -g
>> 27-Jan-2011 09:21:27.780 built with '--with-openssl=yes' *
>> '--with-gssapi=/usr'*
>>
>> y sin errores en el proceso.
>>
>> Esto es lo que me permite realizar actualizaciones dinámicas en la >> directa muy importante a la hora de
meter / modificar máquinas en un
>> dominio.
>>
>>
>> En referencia a esto, mi named.conf reza lo siguiente:
>>
>> *options {
>> directory "/var/lib/named";
>> dump-file "/var/log/named_dump.db";
>> statistics-file "/var/log/named.stats";
>> tkey-gssapi-credential "DNS/DOS11111.LOCAL"; * <-
>> Si comento esta línea funciona el DNS pero no las actualizaciones...*
si
> la
descomento no funciona el DNS (no arranca)
> tkey-domain "DOS11111.LOCAL";
>
> };*
>
> [... sigue ...]
>
> *};
> include "/etc/named.conf.include";* <- el archivo termina con este
> include que nos lleva a :
>
>
>
> *key "rndc-key" {
> algorithm hmac-md5;
> secret
4rcTZnfb993Q==";
>> };
>> *
>>
>> Y pienso que el erro viene de esa "llave" y me pongo a generar otra
>> (pero ando perdido) de la siguiente forma:
>>
>> *dnssec-keygen -a hmac-md5 -b <bit-length> -n HOST <key-file-name>
>>
>>
>> *
>>
>> Genero una " llave" y la sustituyo en el /etc//named.conf.include y
creo
>> que aquí es donde la lío.
>>
>> El DNS que uso es interno, no me importa la seguirdad (no necesito
>> cifrar el trafico ni nada por el estilo)
>>
>> ¿alguna idea?
>>
>> gracias.
>>
>> _______________________________________________
>> GALPon mailing list
>> GALPon(a)listas.galpon.org
>> https://listas.galpon.org/cgi-bin/mailman/listinfo/galpon
_______________________________________________
GALPon mailing list
GALPon(a)listas.galpon.org
https://listas.galpon.org/cgi-bin/mailman/listinfo/galpon
9:05 a.m.
Hola Damian, en mi caso esas credenciales las meto dentro de options { } del
named.conf. La wiki de SAMBA 4 la he seguido escrupulosamente pero el error
que me da es con dicha credencial. Necesito kerberos para que autentique
máquinas con Win2.
El comando dnssec-key* lo he usado y genera otro tipo de "llaves" la única
"llave" válida es la generada por "provision" (script de
aprovisionamiento
de Samba4) el cual me genera secret.keytab y al cual enlazo simbólicamente a
/etc/krb5.keytab, acto seguido configuro dicho keytab en el entorno de named
(bind) "/etc/sysconfig/named" y lanzo en modo "debug" con un nivel de
de
talle "alto" (con las credenciales añadidas)
~ # /usr/local/sbin/named -g -d 9999
( .... )
31-Jan-2011 08:56:04.352 dispatch 0x92a810: detach: refcount 2
3*1-Jan-2011 08:56:04.352 acquiring credentials for DNS/DOS11111.LOCAL
31-Jan-2011 08:56:04.353 failed to acquire accept credentials for
DNS/DOS11111.LOCAL: GSSAPI error: Major = Unspecified GSS failure. Minor
code may provide more information, Minor = No principal in keytab matches
desired name.
31-Jan-2011 08:56:04.353 configuring TKEY: failure*
31-Jan-2011 08:56:04.353 load_configuration: failure
31-Jan-2011 08:56:04.353 loading configuration: failure
31-Jan-2011 08:56:04.353 exiting (due to fatal error)
arce00000:~ #
para comprobar que la "key" que tengo está bien hago lo siguiente:
# klist -k
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
----
--------------------------------------------------------------------------
1 DNS/dos11111.local(a)DOS11111.LOCAL
1 DNS/arce00000.dos11111.local(a)DOS11111.LOCAL
1 dns-arce00000(a)DOS11111.LOCAL
1 DNS/dos11111.local(a)DOS11111.LOCAL
1 DNS/arce00000.dos11111.local(a)DOS11111.LOCAL
1 dns-arce00000(a)DOS11111.LOCAL
1 DNS/dos11111.local(a)DOS11111.LOCAL
1 DNS/arce00000.dos11111.local(a)DOS11111.LOCAL
1 dns-arce00000(a)DOS11111.LOCAL
1 DNS/dos11111.local(a)DOS11111.LOCAL
1 DNS/arce00000.dos11111.local(a)DOS11111.LOCAL
1 dns-arce00000(a)DOS11111.LOCAL
1 DNS/dos11111.local(a)DOS11111.LOCAL
1 DNS/arce00000.dos11111.local(a)DOS11111.LOCAL
1 dns-arce00000(a)DOS11111.LOCAL
arce00000:~ #
*NOTA:* El host de la máquina es "*arce00000*"
si pruebo kerberos funciona
arce00000:~ # kinit
Password for ADMCONST(a)DOS11111.LOCAL:
Warning: Your password will expire in 25 days on Fri Feb 25 10:29:11 2011
arce00000:~ #
si "listo" los tickets :
~ # klist -e
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: ADMCONST(a)DOS11111.LOCAL
Valid starting Expires Service principal
01/31/11 09:02:36 01/31/11 19:02:36 krbtgt/DOS11111.LOCAL(a)DOS11111.LOCAL
renew until 02/01/11 09:02:32, Etype (skey, tkt): *ArcFour *with
HMAC/md5, ArcFour with HMAC/md5
Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached
arce00000:~ #
*(con ArcFour para windows 7)*
si lanzo el comando que me has dicho:
arce00000:~ # dnssec-keygen -a hmac-md5 -b 128 -n HOST rafa.keytab
Krafa.keytab.+157+38761
arce00000:~ #
(me genera una clave la cual deduzco vale para que se enlacen servidores dns
entre sí, es mas una vez generada la clave no se que hacer con ella.
Un saludo.
El 28 de enero de 2011 10:18, Damian Nogueiras Melendez <
damiannogueiras(a)gmail.com> escribió:
Estos días tenía ganas de mirarme este tema, pero
todavía ni empecé. Voy a
seguir este howto:
http://wiki.samba.org/index.php/Samba4/HOWTO#Step_8_Configure_DNS
Viendo lo que tienes, lo único que se me ocurre es revisar esto que pone en
el howto:
Then in your /etc/bind/named.conf.options you need this:
tkey-gssapi-credential "DNS/samdom.example.com";
tkey-domain "SAMDOM.EXAMPLE.COM";
The last part of the credential in the first line must match the domain
you've setup. This used to be the hostname of the machine running the DNS
server, but at least in alpha12 and later you should use the domain.
Yo probaría a poner el nombre de la máquina y no solo el dominio, a pesar
de la versión.
Otra cosa que probaría es en vez de -n HOST, utilizar -n ZONE en la
generación de la clave
*dnssec-keygen -a hmac-md5 -b <bit-length> -n HOST <key-file-name>
*
Saludos
El 27 de enero de 2011 09:28, Rafa Toucedo <debian.vigo(a)gmail.xn--com>escribi-yobcribió:
No me van las actualizaciones dinámicas ...
Lanzo BIND en modo debug con un nivel de detalle muy alto
/usr/local/sbin/named -g -d 9999
27-Jan-2011 09:19:52.075* failed to acquire accept credentials for DNS/(aqui
el dominio): GSSAPI error: Major = Unspecified GSS failure. Minor code
may provide more information, Minor = No principal in keytab matches desired
name.*
lo tengo compilado con soporte GSSAPI
27-Jan-2011 09:21:27.780 starting BIND 9.7.2-P2 -g
27-Jan-2011 09:21:27.780 built with '--with-openssl=yes' *
'--with-gssapi=/usr'*
y sin errores en el proceso.
Esto es lo que me permite realizar actualizaciones dinámicas en la zona
directa muy importante a la hora de meter / modificar máquinas en un
dominio.
En referencia a esto, mi named.conf reza lo siguiente:
*options {
directory "/var/lib/named";
dump-file "/var/log/named_dump.db";
statistics-file "/var/log/named.stats";
tkey-gssapi-credential "DNS/DOS11111.LOCAL"; * <-
Si comento esta línea funciona el DNS pero no las actualizaciones...* si
la descomento no funciona el DNS (no arranca)
tkey-domain "DOS11111.LOCAL";
};*
[... sigue ...]
*};
include "/etc/named.conf.include";* <- el archivo termina con este
include que nos lleva a :
*key "rndc-key" {
algorithm hmac-md5;
secret
"948jWC+QeQiaMVLpW3bbu1uoug+GrpEKNDr2X7A+3DNRwK772iqSzTK/bWWKKyNnqiW+yUW/Kj4rcTZnfb993Q==";
};
*
Y pienso que el erro viene de esa "llave" y me pongo a generar otra (pero
ando perdido) de la siguiente forma:
*dnssec-keygen -a hmac-md5 -b <bit-length> -n HOST <key-file-name>
*
Genero una " llave" y la sustituyo en el /etc//named.conf.include y creo
que aquí es donde la lío.
El DNS que uso es interno, no me importa la seguirdad (no necesito cifrar
el trafico ni nada por el estilo)
¿alguna idea?
gracias.
_______________________________________________
GALPon mailing list
GALPon(a)listas.galpon.org
https://listas.galpon.org/cgi-bin/mailman/listinfo/galpon
_______________________________________________
GALPon mailing list
GALPon(a)listas.galpon.org
https://listas.galpon.org/cgi-bin/mailman/listinfo/galpon
9:26 a.m.
No sé si te servirá:
http://www.webservertalk.com/message255481.html
<http://www.webservertalk.com/message255481.html>Hablan de introducir el
host dentro del /etc/hosts, el chico tenía bien configurado el DNS pero tuvo
que meterlo ahí de todas formas para hacerlo funcionar
2011/1/31 Rafa Toucedo <debian.vigo(a)gmail.com>
Hola Damian, en mi caso esas credenciales las meto
dentro de options { }
del named.conf. La wiki de SAMBA 4 la he seguido escrupulosamente pero el
error que me da es con dicha credencial. Necesito kerberos para que
autentique máquinas con Win2.
El comando dnssec-key* lo he usado y genera otro tipo de "llaves" la única
"llave" válida es la generada por "provision" (script de
aprovisionamiento
de Samba4) el cual me genera secret.keytab y al cual enlazo simbólicamente a
/etc/krb5.keytab, acto seguido configuro dicho keytab en el entorno de named
(bind) "/etc/sysconfig/named" y lanzo en modo "debug" con un nivel de
de
talle "alto" (con las credenciales añadidas)
~ # /usr/local/sbin/named -g -d 9999
( .... )
31-Jan-2011 08:56:04.352 dispatch 0x92a810: detach: refcount 2
3*1-Jan-2011 08:56:04.352 acquiring credentials for DNS/DOS11111.LOCAL
31-Jan-2011 08:56:04.353 failed to acquire accept credentials for
DNS/DOS11111.LOCAL: GSSAPI error: Major = Unspecified GSS failure. Minor
code may provide more information, Minor = No principal in keytab matches
desired name.
31-Jan-2011 08:56:04.353 configuring TKEY: failure*
31-Jan-2011 08:56:04.353 load_configuration: failure
31-Jan-2011 08:56:04.353 loading configuration: failure
31-Jan-2011 08:56:04.353 exiting (due to fatal error)
arce00000:~ #
para comprobar que la "key" que tengo está bien hago lo siguiente:
# klist -k
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
----
--------------------------------------------------------------------------
1 DNS/dos11111.local(a)DOS11111.LOCAL
1 DNS/arce00000.dos11111.local(a)DOS11111.LOCAL
1 dns-arce00000(a)DOS11111.LOCAL
1 DNS/dos11111.local(a)DOS11111.LOCAL
1 DNS/arce00000.dos11111.local(a)DOS11111.LOCAL
1 dns-arce00000(a)DOS11111.LOCAL
1 DNS/dos11111.local(a)DOS11111.LOCAL
1 DNS/arce00000.dos11111.local(a)DOS11111.LOCAL
1 dns-arce00000(a)DOS11111.LOCAL
1 DNS/dos11111.local(a)DOS11111.LOCAL
1 DNS/arce00000.dos11111.local(a)DOS11111.LOCAL
1 dns-arce00000(a)DOS11111.LOCAL
1 DNS/dos11111.local(a)DOS11111.LOCAL
1 DNS/arce00000.dos11111.local(a)DOS11111.LOCAL
1 dns-arce00000(a)DOS11111.LOCAL
arce00000:~ #
*NOTA:* El host de la máquina es "*arce00000*"
si pruebo kerberos funciona
arce00000:~ # kinit
Password for ADMCONST(a)DOS11111.LOCAL:
Warning: Your password will expire in 25 days on Fri Feb 25 10:29:11 2011
arce00000:~ #
si "listo" los tickets :
~ # klist -e
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: ADMCONST(a)DOS11111.LOCAL
Valid starting Expires Service principal
01/31/11 09:02:36 01/31/11 19:02:36 krbtgt/DOS11111.LOCAL(a)DOS11111.LOCAL
renew until 02/01/11 09:02:32, Etype (skey, tkt): *ArcFour *with
HMAC/md5, ArcFour with HMAC/md5
Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached
arce00000:~ #
*(con ArcFour para windows 7)*
si lanzo el comando que me has dicho:
arce00000:~ # dnssec-keygen -a hmac-md5 -b 128 -n HOST rafa.keytab
Krafa.keytab.+157+38761
arce00000:~ #
(me genera una clave la cual deduzco vale para que se enlacen servidores
dns entre sí, es mas una vez generada la clave no se que hacer con ella.
Un saludo.
El 28 de enero de 2011 10:18, Damian Nogueiras Melendez <
damiannogueiras(a)gmail.com> escribió:
Estos días tenía ganas de mirarme este tema, pero todavía ni empecé. Voy a
seguir este howto:
http://wiki.samba.org/index.php/Samba4/HOWTO#Step_8_Configure_DNS
Viendo lo que tienes, lo único que se me ocurre es revisar esto que pone
en el howto:
Then in your /etc/bind/named.conf.options you need this:
tkey-gssapi-credential "DNS/samdom.example.com";
tkey-domain "SAMDOM.EXAMPLE.COM";
The last part of the credential in the first line must match the domain
you've setup. This used to be the hostname of the machine running the DNS
server, but at least in alpha12 and later you should use the domain.
Yo probaría a poner el nombre de la máquina y no solo el dominio, a pesar
de la versión.
Otra cosa que probaría es en vez de -n HOST, utilizar -n ZONE en la
generación de la clave
*dnssec-keygen -a hmac-md5 -b <bit-length> -n HOST <key-file-name>
*
Saludos
El 27 de enero de 2011 09:28, Rafa Toucedo <debian.vigo(a)gmail.xn--com>escribi-yobcribió:
_______________________________________________
GALPon mailing list
GALPon(a)listas.galpon.org
https://listas.galpon.org/cgi-bin/mailman/listinfo/galpon
No me van las actualizaciones dinámicas ...
Lanzo BIND en modo debug con un nivel de detalle muy alto
/usr/local/sbin/named -g -d 9999
27-Jan-2011 09:19:52.075* failed to acquire accept credentials for DNS/(aqui
el dominio): GSSAPI error: Major = Unspecified GSS failure. Minor code
may provide more information, Minor = No principal in keytab matches desired
name.*
lo tengo compilado con soporte GSSAPI
27-Jan-2011 09:21:27.780 starting BIND 9.7.2-P2 -g
27-Jan-2011 09:21:27.780 built with '--with-openssl=yes' *
'--with-gssapi=/usr'*
y sin errores en el proceso.
Esto es lo que me permite realizar actualizaciones dinámicas en la zona
directa muy importante a la hora de meter / modificar máquinas en un
dominio.
En referencia a esto, mi named.conf reza lo siguiente:
*options {
directory "/var/lib/named";
dump-file "/var/log/named_dump.db";
statistics-file "/var/log/named.stats";
tkey-gssapi-credential "DNS/DOS11111.LOCAL"; *<- Si
comento esta línea funciona el DNS pero no las actualizaciones...
* si la descomento no funciona el DNS (no arranca)
tkey-domain "DOS11111.LOCAL";
};*
[... sigue ...]
*};
include "/etc/named.conf.include";* <- el archivo termina con este
include que nos lleva a :
*key "rndc-key" {
algorithm hmac-md5;
secret
"948jWC+QeQiaMVLpW3bbu1uoug+GrpEKNDr2X7A+3DNRwK772iqSzTK/bWWKKyNnqiW+yUW/Kj4rcTZnfb993Q==";
};
*
Y pienso que el erro viene de esa "llave" y me pongo a generar otra (pero
ando perdido) de la siguiente forma:
*dnssec-keygen -a hmac-md5 -b <bit-length> -n HOST <key-file-name>
*
Genero una " llave" y la sustituyo en el /etc//named.conf.include y creo
que aquí es donde la lío.
El DNS que uso es interno, no me importa la seguirdad (no necesito cifrar
el trafico ni nada por el estilo)
¿alguna idea?
gracias.
_______________________________________________
GALPon mailing list
GALPon(a)listas.galpon.org
https://listas.galpon.org/cgi-bin/mailman/listinfo/galpon
_______________________________________________
GALPon mailing list
GALPon(a)listas.galpon.org
https://listas.galpon.org/cgi-bin/mailman/listinfo/galpon
28 Jan
28 Jan
5:18 p.m.
Supongo que estás intentando autentificación DNS usando Kerberos como
mecanismo de autentificación.
Si es así, verifica que has añadido la credencial DNS/MAQUINA-QUEREALIZA-DNS-
UPDATE.DOS11111.LOCAL en el dominio kerberos y has exportado la credencial a
una keytab que sea capaz de leer el proceso que realiza el ddns-update.
Si no quieres usar kerberos yo lo tengo configurado:
named.conf.local:
....
include "/etc/bind/rndc.key";
....
y el fichero rnd-key:
key "rndc-key-ddns" {
algorithm hmac-md5;
secret "estapasswordesunsecretoquenuncalodescubriras";
};
zone.emeteo.local:
acl "esclavos_emeteo_local" {
key rndc-key-ddns;
};
zone "emeteo.local" {
type master;
file "/etc/bind/db/db.emeteo.local";
allow-query{ locales; };
allow-transfer{ esclavos_emeteo_local; };
allow-update { key rndc-key-ddns; };
};
zone "1.168.192.in-addr.arpa" {
type master;
file "/etc/bind/db/db.192.168.1";
allow-query{locales;};
allow-transfer { esclavos_emeteo_local; };
allow-update { key rndc-key-ddns; };
};
Un saludo
On Thursday 27 January 2011 09:28:06 Rafa Toucedo wrote:
No me van las actualizaciones dinámicas ...
Lanzo BIND en modo debug con un nivel de detalle muy alto
/usr/local/sbin/named -g -d 9999
27-Jan-2011 09:19:52.075* failed to acquire accept credentials for
DNS/(aqui el dominio): GSSAPI error: Major = Unspecified GSS failure.
Minor code may provide more information, Minor = No principal in keytab
matches desired name.*
lo tengo compilado con soporte GSSAPI
27-Jan-2011 09:21:27.780 starting BIND 9.7.2-P2 -g
27-Jan-2011 09:21:27.780 built with '--with-openssl=yes' *
'--with-gssapi=/usr'*
y sin errores en el proceso.
Esto es lo que me permite realizar actualizaciones dinámicas en la zona
directa muy importante a la hora de meter / modificar máquinas en un
dominio.
En referencia a esto, mi named.conf reza lo siguiente:
*options {
directory "/var/lib/named";
dump-file "/var/log/named_dump.db";
statistics-file "/var/log/named.stats";
tkey-gssapi-credential "DNS/DOS11111.LOCAL"; * <-
Si comento esta línea funciona el DNS pero no las actualizaciones...* si
la descomento no funciona el DNS (no arranca)
tkey-domain "DOS11111.LOCAL";
};*
[... sigue ...]
*};
include "/etc/named.conf.include";* <- el archivo termina con este include
que nos lleva a :
*key "rndc-key" {
algorithm hmac-md5;
secret
"948jWC+QeQiaMVLpW3bbu1uoug+GrpEKNDr2X7A+3DNRwK772iqSzTK/bWWKKyNnqiW+yUW/Kj
4rcTZnfb993Q=="; };
*
Y pienso que el erro viene de esa "llave" y me pongo a generar otra (pero
ando perdido) de la siguiente forma:
*dnssec-keygen -a hmac-md5 -b <bit-length> -n HOST <key-file-name>
*
Genero una " llave" y la sustituyo en el /etc//named.conf.include y creo
que aquí es donde la lío.
El DNS que uso es interno, no me importa la seguirdad (no necesito cifrar
el trafico ni nada por el estilo)
¿alguna idea?
gracias.
5270
days inactive
5274
days old
7 comments
4 participants
participants (4)
-
Alberto González Rodríguez -
Damian Nogueiras Melendez -
Mario Teijeiro -
Rafa Toucedo