Bonjour, je reposte ici un message laissé sur le forum OS Alternatifs/Réseaux et Sécurité.
J'ai posé une question sur un problème de clé pour une mise à jour de DNS. Ne sachant pas si mon message était au bon endroit et en espérant être lu par des personnes susceptibles de me répondre je le remets ici.
Merci à tous.
Message :
Bonjour a tous,
je suis en train de configurer un système pour me connecter à des ordinateurs reliés à internet via des IP dynamiques en utilisant un sous-domaines d'un de mes domaines.
en clair :
le client est connecté à internet avec une IP dynamique et je veux pouvoir le joindre via client.mondomaine.ext
(je tiens à utiliser mondomaine.ext donc pas de dyndns.org)
L'idée : installer un serveur DNS sur un serveur accessible en IP fixe qui va gérer les sous-domaines de mondomaine.ext
Chaque client va ensuite se connecter en ssh pour faire un nsupdate et mettre a jour l'enregistrement DNS avec l'IP de connexion.
Je suis pour l'instant sur un serveur de test en local (debian)
J'ai installé bind9.
la configuration me permet de définir un sous-domaine ordi.mondomaine.local
cela fonctionne, tous les postes du réseau (sous réserve de spécifier le serveur dns) trouvent bien ordi.mondomaine.local.
Maintenant l'aspect dynamique :
J'ai généré une clé via dnssec-keygen (en md5, 512)
j'ai (a priori) configuré les droits pour cette clé et mon sous-domaine (/etc/bind/named.conf.local) :
Code :
- include "/etc/bind/dynkeys.key";
- zone "ordi.mondomaine.local" {
- type master;
- file "/etc/bind/mondomaine.local.hosts";
- allow-update {
- key mykey;
- };
- };
|
le fichier /etc/bind/mondomaine.local.hosts doit être ok puisque la résolution dns fonctionne.
Le fichier dynkeys.key :
Code :
- key "mykey" {
- algorithm hmac-md5;
- secret "XXXXXXXXXXXXXXXXXXXX==";
- };
|
Ensuite, je lance un nsupdate avec ma clé publique (Kmykey.+157+12345.key)
server : 192.168.1.2
zone : mondomaine.local
update delete ordi.mondomaine.local
update add ordi.mondomaine.local 60 IN A 192.168.1.X (nouvelle adresse IP)
et j'obtiens le message "could not read key from /var/cache/bind/Kmykey.+157+12345.key: private key is invalid"
les fichiers key et private sont bien dans ce répertoire, accessibles par l'utilisateur bind ...
Voila j'ai essayé différentes configurations selon ce que j'ai trouvé sur google (avec ou sans quotes autour des clés, algorithme en majuscule, etc ...)
Si quelqu'un a déjà eu ce message (une recherche sur google avec le message ne donne rien !) ou a une idée sur ce que j'ai pus zapper ?
J'ai essayé d'être le plus détaillé possible si il vous manque quelquechose, n'hésitez pas ...
Merci a tous
Olivier
