Que estratégias os administradores usam para devolver / delegar o controle de configurações de vinculação em um único servidor DNS?

Navegue suas respostas
1

Eu tenho uma configuração Bind / DNS relativamente simples e gostaria de permitir que alguns dos meus usuários possam adicionar suas próprias configurações (por exemplo, registros A e CNAMEs). Embora eu confie em meus usuários, desejo restringir o acesso a arquivos de configuração all somente a mim e a outros administradores. Eu também não quero que meus usuários (precisam) efetuar login em uma sessão de shell no servidor DNS.

Soluções que considerei:

  • Delegando zonas: isso não funcionará para mim, porque adiciona complexidade e sobrecarga significativas (cada usuário precisaria manter um servidor DNS para sua própria zona). Além disso, um firewall que está fora do meu controle me impede de configurar servidores DNS adicionais acessíveis dentro da minha rede.
  • Arquivos "include" editáveis pelo usuário: é isso que estou querendo agora, mas não consigo encontrar nenhuma solução existente para permitir acesso autenticado / restrito a um subconjunto de arquivos de configuração. Assim eu teria que criar o meu próprio. Não tenho certeza de como abordaria isso: git com ganchos? Um aplicativo da web?

Já outros administradores encontraram esse problema? Em caso afirmativo, como ele foi resolvido?

    
por EdwardTeach 20.01.2012 / 21:46

3 respostas

1

Um dos meus colegas apontou que já existe um utilitário paralelo para nslookup chamado nsupdate ( veja este breve introdução ). Isso parece uma solução ideal para mim porque tem requisitos mínimos de configuração e manutenção. Isso requer mais usuários "técnicos" devido ao CLI, mas no meu caso isso não é um problema.

    
por 21.01.2012 / 17:35
1

Você pode usar um MySQL (ou banco de dados semelhante) para um back-end e desenvolver um bom front-end para permitir alterações de registro e zona.

Eu não tentei o backend do MySQL para bind, mas os backends MyDNS e PowerDNS MySQL funcionam muito bem.

    
por 20.01.2012 / 22:04
1

O GOSa tem configurações de ACL bastante extensas, permitindo delegação de privilégios, autenticação strong, políticas de senhas e envelhecimento. É usado principalmente para administração e edição de LDAP, mas possui plugins para DNS, entre outras coisas. Você pode querer dar uma olhada.

E você pode usá-lo com o Bind ou o PowerDNS. Há correções para o Bind fazer com que ele funcione com LDAP e scripts para gerar arquivos de zona. O PowerDNS tem suporte nativo para o back-end do LDAP.

    
por 21.01.2012 / 01:00

Tags

Lotes de nfs4_reclaim_open_state: Bloquear recuperação de entradas com falha no syslog Atualizando o SQL Server 2008 para 2008 R2, atualização local ou nova instalação