Não é possível ativar as atualizações GSS-TSIG do Active Directory no BIND 9.10

Estou com um problema ao tentar ativar o GSS-TSIG com o BIND 9.10.

Antes de começar a descrever o que fiz, gostaria de dizer que já fiz isso em outro domínio sem problemas. Então, acho que estou sentindo falta de algo muito específico. Se alguém me ajudar a depurar esse problema, ficarei muito satisfeito.

Vamos começar.

Estou executando o BIND9 9.10.0P2_5 no FreeBSD 10.0, compilado por mim com a opção GSSAPI_BASE ativada. Eu usei esse mesmo pacote binário para implantá-lo no outro domínio que está funcionando.

Em seguida, ativei o GSS-TSIG em meus arquivos named.conf :

options {
    ( … )
    tkey-gssapi-keytab "/etc/krb5.keytab”;
    ( … )
};

zone “local.example.com" {
       type master;
       file "/usr/local/etc/namedb/dynamic/local.example.com";
       notify yes;
       check-names ignore;
       allow-query { clients; };
       allow-transfer { intnameservers; };
#      allow-update {
#              key "iq-rndc-key";
#              domaincontrollers;
#      };
       update-policy {
               grant * subdomain local.iq.ufrj.br. ANY;
       };
};

zone "10.in-addr.arpa" {
       type master;
       file "/usr/local/etc/namedb/dynamic/10.in-addr.arpa";
       notify yes;
       allow-query { clients; };
       allow-transfer { intnameservers; };
#       allow-update { 
#               key "iq-rndc-key"; 
#               domaincontrollers;
#       };
       update-policy {
               grant * subdomain 10.in-addr.arpa. PTR TXT;
       };
};

Então eu me uni ao domínio do AD usando o Samba4 e o Kerberos, desta forma:

Criado o arquivo /etc/krb5.conf com o seguinte conteúdo:

[libdefaults]
    default_realm = EXAMPLE.COM
    dns_lookup_realm = true
    dns_lookup_kdc = true
    ticket_lifetime = 24h
    renew_lifetime = 7d
    forwardable = yes

Instalado o Samba 4.1 e criado o arquivo /usr/local/etc/smb4.conf com o seguinte conteúdo:

[global]
    security = ads
    realm = EXAMPLE.COM
    workgroup = EXAMPLE

    kerberos method = secrets and keytab

    client signing = yes
    client use spnego = yes
    log file = /var/log/samba4/%m.log

Solicitado um ticket Kerberos para administradores:

$ kinit Administrator

Em seguida, participe do domínio e crie um keytab

$ net ads join createupn=dns/[email protected] -k
$ net ads keytab create -k

Afinal, recebi com sucesso um ticket, criei uma conta de computador e uma conta principal de serviço com sucesso.

O próximo passo foi um chown bind para o /etc/krb5.keytab , então o BIND9 pode ler o keytab com sucesso.

Afinal, nada está funcionando ... O GSS-TSIG nem sequer gera erros nos logs, o que é frustrante. Estou tentando depurar isso com essas opções em named.conf:

logging {

       channel update_log {
               file "/var/log/named/bind-ddns-updates.log";
               severity debug;
               print-category yes;
               print-severity yes;
               print-time yes;
       };

       category update {
               update_log;
       };

       category update-security {
               update_log;
       };
};

Mas não vejo nada útil no arquivo de log.

Agradecemos antecipadamente