Bind, DHCPd DDNS a problem s existujicimi SSHFP zaznamy

Michal Kašpar mkaspar na it-media.cz
Úterý Srpen 29 08:36:46 CEST 2017 

On Sun, 2017-08-27 at 10:35 +0200, Pavel Kankovsky wrote:
> On Sun, 27 Aug 2017, Michal Kašpar wrote:
> 
> > To je zajímavé. Jestli tomu celému, co tam píší, rozumím správně,
> tak
> > je prakticky nemožné zavést DHCP + DDNS tam, kde už hrozí, že budou
> > existovat FQDN pro klienty přidělené bez vytvoření DHCID RR. Ale
> asi
> > lepší situace než veselé přepisování cizích záznamů.
> 
> Ještě jsem objevil, že existuje opšna "update-conflict-detection".
> Pokud 
> jí nastavíte na false, tak se server na nějaké DHCID nebude ohlížet
>> všechno přenastaví nepodmíněně. To by na jedné straně možná dovolilo
> mít 
> ty extra záznamy, na druhé by to právě otevřelo cestu, jak by mohlo 
> prostřednictvím DHCP dojít ke zmasakrování záznamů, na které by se
> vůbec 
> nemělo sahat.

Tuhle option paradoxně nastavenou mám, a přesto se to chová tak, jak
jsem popisoval.

> Dle mého soudu došlo k tomu, že DHCP server považoval po své
> resuscitaci 
> leasy za expirované, a proto je zrušil včetně dynamicky vyrobených
> záznamů 
> v DNS. A vzápětí je začal vyrábět znovu, jak klienti posílali
> žádosti.

Taky mi přijde, že je to tento případ. Ale zkoušel jsem nastavit pro
některé subnety default i max lease time na -1 a přesto se to takto
zachovalo. Občas mi přijde, že se DHCPd k některým svým volbám chová
trochu macešsky. Ale na to prolézat jeho zdrojáky nemám zrovna
kvalifikaci.

> Což vede k následující otázce: Pokud Vám někdy nějaký lease expiruje,
> tak 
> se dostanete do stejné situace. A pokud naopak leasy nikdy
> neexpirují, 
> brání něco tomu, abyste pro ně rezervoval IP adresu, DDNS zakázal a 
> opatřil je permanentními DNS záznamy?

Upřímně řečeno asi hlavně přirozená lenost :-). Ale obzvlášť ve
virtuálním prostředí, kde se servery vytvářejí ad hoc relativně
dynamicky mi přijde, že by bylo pěkné nechat přidělování adres na jedné
komponentě bez nutnosti jí do toho moc mluvit. Samozřejmě to jde řešit
např. na úrovni skriptů pro deployment, ale když už tu to DHCP a DDNS
máme, tak je škoda to nevyužít.
Každopádně moc díky za vstupy a nápady.

-- 
Michal Kašpar

Další informace o konferenci Linux