DNSSEC a autoritativni NS

Ludek Finstrle luf na pzkagis.cz
Pátek Srpen 5 11:19:58 CEST 2011 

Ahoj,

  mam otazku na DNSSEC, se kterym zacinam. Mam 1 NS (bind 9.7),
ktery slouzi jako autoritativni pro lokalni domeny a zaroven
jako cachovaci rekurzivni NS pro vse ostatni. Tento NS je
pouzivan i uzivateli.

Kdyz je dns overeno pomoci dnssec, tak ve flags se posle ad.
Ale kdyz se zeptam tohoto jednoho NS na lokalni domeny, tak
ad flag nevraci. Kdyz se ptam na jine domeny, tak to funguje
dle ocekavani:

# dig www.dnssec.cz
; <<>> DiG 9.7.0-P2-RedHat-9.7.0-5.P2.el6_0.1 <<>> +dnssec www.dnssec.cz
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10969
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
...
www.dnssec.cz.          909     IN      A       217.31.205.51
www.dnssec.cz.          909     IN      RRSIG   A 5 3 7200 ...
...

# dig +dnssec stroj.local
; <<>> DiG 9.7.0-P2-RedHat-9.7.0-5.P2.el6_0.1 <<>> +dnssec stroj.local
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 11357
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
...
;; ANSWER SECTION:
stroj.local.    86400   IN      A       192.168.10.3
stroj.local.    86400   IN      RRSIG   A 5 3 86400 ...
...

Kdyz udelam jen hloupy cachovaci bind pred
autoritativnim na portu 54 s forwardovanim na ten
autoritativni (127.0.0.1:53), tak vse funguje:

# dig @127.0.0.1 -p 54 +dnssec stroj.local
; <<>> DiG 9.7.0-P2-RedHat-9.7.0-5.P2.el6_0.1 <<>> @127.0.0.1 -p 54 +dnssec stroj.local
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 44225
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
...
;; ANSWER SECTION:
stroj.local.    85558   IN      A       192.168.10.3
stroj.local.    85558   IN      RRSIG   A 5 3 86400 ...
...

Prehledl jsem nekde neco nebo je toto "by design"? Resite to nejak vy?
Napada me bud mit 2 named procesy a nebo mozna i pomoci view.
Kazdopadne mi to prijde drbani se pravou rukou za levym uchem
a verim, ze delam nekde neco spatne.

Diky za odpovedi

Luf

Další informace o konferenci Linux