Estou com um problema ao tentar ativar o GSS-TSIG com o BIND 9.10.
Antes de começar a descrever o que fiz, gostaria de dizer que já fiz isso em outro domínio sem problemas. Então, acho que estou sentindo falta de algo muito específico. Se alguém me ajudar a depurar esse problema, ficarei muito satisfeito.
Vamos começar.
Estou executando o BIND9 9.10.0P2_5 no FreeBSD 10.0, compilado por mim com a opção GSSAPI_BASE ativada. Eu usei esse mesmo pacote binário para implantá-lo no outro domínio que está funcionando.
Em seguida, ativei o GSS-TSIG em meus arquivos named.conf
:
options {
( … )
tkey-gssapi-keytab "/etc/krb5.keytab”;
( … )
};
zone “local.example.com" {
type master;
file "/usr/local/etc/namedb/dynamic/local.example.com";
notify yes;
check-names ignore;
allow-query { clients; };
allow-transfer { intnameservers; };
# allow-update {
# key "iq-rndc-key";
# domaincontrollers;
# };
update-policy {
grant * subdomain local.iq.ufrj.br. ANY;
};
};
zone "10.in-addr.arpa" {
type master;
file "/usr/local/etc/namedb/dynamic/10.in-addr.arpa";
notify yes;
allow-query { clients; };
allow-transfer { intnameservers; };
# allow-update {
# key "iq-rndc-key";
# domaincontrollers;
# };
update-policy {
grant * subdomain 10.in-addr.arpa. PTR TXT;
};
};
Então eu me uni ao domínio do AD usando o Samba4 e o Kerberos, desta forma:
Criado o arquivo /etc/krb5.conf
com o seguinte conteúdo:
[libdefaults]
default_realm = EXAMPLE.COM
dns_lookup_realm = true
dns_lookup_kdc = true
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = yes
Instalado o Samba 4.1 e criado o arquivo /usr/local/etc/smb4.conf
com o seguinte conteúdo:
[global]
security = ads
realm = EXAMPLE.COM
workgroup = EXAMPLE
kerberos method = secrets and keytab
client signing = yes
client use spnego = yes
log file = /var/log/samba4/%m.log
Solicitado um ticket Kerberos para administradores:
$ kinit Administrator
Em seguida, participe do domínio e crie um keytab
$ net ads join createupn=dns/[email protected] -k
$ net ads keytab create -k
Afinal, recebi com sucesso um ticket, criei uma conta de computador e uma conta principal de serviço com sucesso.
O próximo passo foi um chown bind para o /etc/krb5.keytab
, então o BIND9 pode ler o keytab com sucesso.
Afinal, nada está funcionando ... O GSS-TSIG nem sequer gera erros nos logs, o que é frustrante. Estou tentando depurar isso com essas opções em named.conf:
logging {
channel update_log {
file "/var/log/named/bind-ddns-updates.log";
severity debug;
print-category yes;
print-severity yes;
print-time yes;
};
category update {
update_log;
};
category update-security {
update_log;
};
};
Mas não vejo nada útil no arquivo de log.
Agradecemos antecipadamente