[LUGOS] dnssec: trust za poddomeno

Dusan Kozic dusan.kozic at gmail.com
Tue Sep 14 10:19:30 CEST 2010


OK. Tole sem rešil:)

Odgovor tiči v *DS* zapisu, če koga zanima oz. ga bo kdaj zanimalo.

Verjamem, da vas ima tukaj bolj malo izkušnje z DNSSEC. Trenutno ne gredo
trendi v to smer, da bo to sploh kdaj zaživelo. Ampak vem, da ste se
nekateri že s tem ukvarjali.


Trenutno sem pri vprašanju klienta. Torej kateri resolver uporabljati, ki bo
preverjal DNS zapise? Oz. po mojem je najboljše DNS strežnik nastaviti tako,
da zavrne resolvanje strani, za katero ne more preveriti DNSSEC zapisa (v
kolikor ta zapis obstaja). Če domena nima DNSSEC zapisa, pa zadevo kar
spusti skozi. Če uporabljamo tole, potem sploh ni treba na klientu nameščati
kakega dodatnega software-a. Samo zanima me kako to nastaviti? Oz. kako ste
drugi nastavili preverjanje na klientih?



2010/9/10 Dusan Kozic <dusan.kozic na gmail.com>

> Zdravo!
>
> Torej imam avtoritativni strežnik za domeno "domena.org". Na njem imam
> zapise kam naj gleda glede recordov za poddomeno "poddomena.domena.org" (
> poddomena.domena.org je na drugem DNS strežniku).
>
> Ključ za "poddomena.domena.org" sem vnesel enako kakor vse ostale ključe
> (v named.conf):
>
> poddomena.domena.org. 257 3 5 "Aw...";
>
> Zdaj problem je, da pri dnssec query-ju za poddomena.domena.org(poizvedujem kar na strežniku na katerem je vnesena
> domena.org), ne vrne zastavice ad. Torej ni authenticated. Če na enak
> način dododam zaupanje za neko xyz domeno pa stvar dela.
>
>
> Predvidevam torej, da je treba zaupanje v mojem primeru zgraditi drugače,
> nisem pa uspel nič zguglati...
>
> Torej kam naj vpišem ključ za poddomena.domena.org ?
>
>
> Uporabljam bind, sicer pa je vseeno... koncept je po mojem isti kjerkoli...
>
>
> --
> Lep pozdrav,
>
> Dušan Kozic
>



-- 
Lep pozdrav,

Dušan Kozic
-------------- naslednji del --------------
HTML priponka je pre?i??ena...
URL: http://liste2.lugos.si/pipermail/lugos-list/attachments/20100914/29a51b02/attachment.htm 


More information about the lugos-list mailing list