bind9 configura a zona de encaminhamento para o domínio local sem DNSSEC somente para esta zona

3

Eu tenho um servidor DNS em funcionamento para o domínio local mydomain.local. Eu estou tentando configurar bind9 para trabalhar na configuração padrão, exceto para esta zona, para o qual eu quero encaminhar consultas ao servidor DNS local. Aqui está a configuração que eu tenho (Ubuntu 14.04):

/etc/bind/named.conf.local:


zone "mydomain.local" IN {
    type forward;
    forward only;
    forwarders {
        192.168.1.1;
    };
};

Mas quando tento nslookup server.mydomain.local , estou seguindo no syslog:

error (broken trust chain) resolving 'server.mydomain.local/A/IN': 192.168.1.1#53

Entendo que isso é por causa do DNSSEC. Eu não quero desabilitar o DNSSEC globalmente, mas eu quero desabilitar o DNSSEC para esta mesma zona. É possível?

Por favor, não sugira usar type slave; zone. Eu quero conseguir isso com a zona de frente

    
por galets 21.02.2015 / 17:05

2 respostas

4

Eu encontrei uma resposta. A linha seguinte em /etc/bind/named.conf.options corrige:

--->        dnssec-must-be-secure mydomain.local no;   <---

Assim, o texto completo de /etc/bind/named.conf.options será (ignorando comentários):

options {
        directory "/var/cache/bind";

        forwarders {
                192.168.1.1;
        };

        dnssec-enable yes;
        dnssec-validation yes;
        dnssec-must-be-secure mydomain.local no;

        auth-nxdomain no;
        listen-on-v6 { any; };
};

UPDATE: Na verdade, neste ponto não sei dizer se eu realmente consertei o bind com essa linha ou não. De alguma forma, todas as consultas são bem-sucedidas agora, com ou sem essa linha. Se um especialista estiver presente aqui, por favor insira

    
por 21.02.2015 / 19:18
-1

Mas se você criar uma zona "local", a zona pai para "mydomain.local" e designar como ns o ip do servidor que você encaminha.this fará a função dnssec com valor auto.

Mais detalhes link

    
por 01.12.2015 / 01:53