🏇🏽 👩🏿‍🎤 👩‍👧‍👦 लिनक्स से विंडोज डोमेन में डीएनएस रिकॉर्ड का सुरक्षित डायनेमिक अपडेट (जीएसएस-टीएसआईजी) 🍨 👷 🔛

ऐसी स्थिति में इस तरह के एक अपडेट की आवश्यकता मेरे लिए उत्पन्न हुई: ओपेनवोन सर्वर को लिनक्स पर उठाया गया था, दूरस्थ क्लाइंट इससे कनेक्ट होते हैं। Openvpn सर्वर स्वयं गतिशील रूप से ग्राहकों को पते जारी करता है, और मैं इसे DNS सर्वर पर प्रमाणपत्र के सामान्य नाम से डीएनएस रिकॉर्ड बनाना चाहूंगा, जिसे सक्रिय निर्देशिका में एकीकृत किया गया है। यहां आप सरल तरीके से जा सकते हैं और "डायनेमिक अपडेट" ज़ोन की संपत्ति में "असुरक्षित और सुरक्षित" विकल्प सेट कर सकते हैं, लेकिन फिर जिस किसी के पास DNS सर्वर तक पहुंच होगी, वह ज़ोन रिकॉर्ड बदल पाएगा - न कि il faut। यदि आप "केवल सुरक्षित" सेट करते हैं, तो DNS सर्वर को जीएसएस-टीएसआईजी प्रोटोकॉल का उपयोग करके प्रमाणीकरण की आवश्यकता होगी। इसके बाद, हम इस बारे में बात करेंगे कि इसे कैसे स्थापित किया जाए।

शुरू करने के लिए, कम से कम अधिकारों के साथ एक डोमेन उपयोगकर्ता बनाएं, उदाहरण के लिए ddns और उसे एक जटिल पासवर्ड सेट करें और विकल्प "पासवर्ड समाप्त नहीं हुआ है"। इस उपयोगकर्ता के पास डीएनएस ज़ोन प्रविष्टियों को संशोधित करने के लिए पर्याप्त अनुमति होनी चाहिए। डीएनएस क्षेत्र के गुणों में, "केवल सुरक्षित अपडेट" विकल्प का चयन किया जाना चाहिए।

कर्बेरॉस क्लाइंट स्थापित करें:

sudo apt-get install krb5-user

संपादित करें /etc/krb5.conf:

 [libdefaults] default_realm = DOMAIN.LOCAL [realms] DOMAIN.LOCAL = { kdc = 192.168.2.200 kdc = 192.168.2.202 default_domain = domain.local admin_server = 192.168.2.200 } [domain_realm] .domain.local = DOMAIN.LOCAL domain.local = DOMAIN.LOCAL

यद्यपि ग्राहक इस विन्यास में भी काम करेगा:

 [libdefaults] default_realm = DOMAIN.LOCAL

केर्बरोस के लिए, एक महत्वपूर्ण बिंदु उत्तर और क्लाइंट घड़ी का सिंक्रनाइज़ेशन है। आप ntpd सेवा स्थापित कर सकते हैं - यह सही समय बनाए रखेगा:

 sudo apt-get install ntp

Ktutil का उपयोग करते हुए, एक कीटाब फ़ाइल बनाएँ जिसमें ddns उपयोगकर्ता के प्रमाणीकरण के लिए डेटा संग्रहीत किया जाएगा:

 sudo ktutil ktutil: addent -password -p ddns@DOMAIN.LOCAL -k 1 -e rc4-hmac ktutil: write_kt krb5.keytab ktutil: quit

अब आप जांच सकते हैं कि सब कुछ सही तरीके से कैसे किया जाता है:

 kinit -k -t krb5.keytab ddns

कोई निष्कर्ष नहीं निकलना चाहिए। आप प्राप्त टिकट देख सकते हैं:

 klist Ticket cache: FILE:/tmp/krb5cc_1000 Default principal: ddns@DOMAIN.LOCAL Valid starting Expires Service principal 29.04.2014 14:50:39 30.04.2014 00:50:39 krbtgt/DOMAIN.LOCAL@DOMAIN.LOCAL renew until 30.04.2014 14:50:39

यदि आप डिफ़ॉल्ट रूप से (आदि / krb5.keytab) के द्वारा कीटैब लगाते हैं, तो आप कमांड को छोटा कर सकते हैं:

 kinit -k ddns

अब यह केवल ओपनवीएनएन को कॉन्फ़िगर करने के लिए बनी हुई है। ऐसा करने के लिए, Openvpn सर्वर कॉन्फ़िगरेशन फ़ाइल में विकल्प होना चाहिए:

 learn-address /etc/openvpn/learn-address.sh

सीखिए

 #!/bin/bash dnsserver=192.168.2.200 fwdzone=domain.local revzone=7.168.192.in-addr.arpa ttl=300 op=$1 addr=$2 revaddr=`echo $addr | sed -re 's:([0-9]+)\.([0-9]+)\.([0-9]+)\.([0-9]+):\4.\3.\2.\1.in-addr.arpa:'` cn=$3 fqdn=$cn.$fwdzone dir=/etc/openvpn/dns addfile=$dir/add_$addr delfile=$dir/del_$addr keytab_file=/etc/openvpn/krb5.keytab user=ddns addRecord() { kinit -k -t $keytab_file $user cat > $addfile << EOF gsstsig server $dnsserver zone $fwdzone update delete $fqdn a update add $fqdn $ttl a $addr send zone $revzone update delete $revaddr ptr update add $revaddr $ttl ptr $fqdn send EOF cat > $delfile << EOF gsstsig server $dnsserver zone $fwdzone update delete $fqdn a send zone $revzone update delete $revaddr ptr send EOF nsupdate -v $addfile rm -f $addfile } delRecord() { kinit -k -t $keytab_file $user nsupdate -v $delfile rm -f $delfile } case $op in add|update) addRecord ;; delete) delRecord ;; *) echo "Unable to handle operation $op. Exiting" exit 1 esac

संक्षेप में: मुख्य बिंदु nsupdate उपयोगिता में पारित होने वाली फ़ाइल में gsstsig विकल्प है। इस स्थिति में, kinit <user> का उपयोग करके डोमेन नियंत्रक से एक टिकट प्राप्त किया जाना चाहिए।

लिनक्स से विंडोज डोमेन में डीएनएस रिकॉर्ड का सुरक्षित डायनेमिक अपडेट (जीएसएस-टीएसआईजी)

More articles: