Dnssec

Liebe Univention-Community,

ist es möglich bei UCS DNSSEC zu implementieren? Ich versuchte es nach dieser Anleitung, scheiterte aber recht schnell, da es bei UCS ja keine Zonen-Dateien gibt. Hat irgendwer eine Idee, wie man das ganze angehen könnte?

LG, David C.

Hallo David,
DNSSEC wird in UCS momentan nicht direkt unterstützt.

Mit freundlichem Gruß,
Jens Thorp-Hansen

Hallo Leute,

für alle die es interessiert, ich habe DNSSEC jetzt folgendermaßen realisiert:

Ich hab einen weiteren Server mit Ubuntu installiert. Dieser ist nicht in der Domäne. Darauf läuft ein BIND (Version 9.9+). Dieser holt sich die Zonen per AXFR und signiert diese (per inline signing). Der BIND vom UCS wird dabei zum hidden master, hat also keine NS-Einträge mehr in den Zonen.

Hier ist das ganze genauer beschrieben.

Funktioniert prinzipiell gut. Auf ein Problem möchte ich allerdings aufmerksam machen: das hidden master Konzept sieht wie gesagt vor, dass der hidden master selbst keinen NS-Eintrag in den Zonen hat, jedoch sehr wohl als primary master in den SOAs aufscheint. Das ist bei UCS derzeit nicht möglich zu realisieren, da als primary master automatisch der erste eingetragene NS gewählt wird. Könnte man eventuell ändern …

LG, David C.

Ich muss mich selbst korrigieren. Wie ich gerade feststellte liefert der NS von UCS bei einem AXFR die korrekten SOAs. Also jene, wo er selbst als primary master angegeben ist. Nur im LDAP stehen die SOAs mit den “falschen” primary master.

LG

Hat sich in der Zwischenzeit etwas getan bezüglich DNSSEC-Unterstützung seitens Univention?

Der Status hat sich noch nicht geändert, wir haben das aber für eine Feature Diskussion aufgenommen.

Ok, super - Danke für die Info.
Ich hoffe, dass es was wird.

Das wird dann in den Release Notes stehen, wenn es fertig ist.
Gibt es eigentlich eine Möglichkeit sich schon während der Entwicklung eines neuen Features zu informieren wie der Entwicklungs-Stand derzeit ist?
So etwas wie eine detailierte Road Map …

Abgesehen hiervon https://www.univention.de/tag/roadmap/ nichts spezifisches. Wir stellen auf dem Summit wie bekannt immer die weitere Planung vor - zu konkreten einzelnen Features gibt es das nicht immer generell. Ggf. auf dem Summit einfach direkt nochmal ansprechen. :wink:

Ok, ich werde es meinen Kollegen mitgeben.
Ich bin dieses Jahr leider nicht dabei. :frowning:

Hallo zusammen,

aus konrektem Anlass: Gibt es zum Thema DNSSEC mit Univention und bind9 ein update ?

Ich hatte vor 1 Woche das Problem, dass einige Linux Clients mit Arch nach einem Update plötzlich keine Adressen der lokalen Domain auflösen konnten. Ein Blick in das Syslog verriet, dass die DNS Antwort von Univention kommend abgelehnt wurde aufgrund fehlender DNSSEC Signatur.
Offenbar wurde hier nach einem Update auf den Rechnern eine strike Regel bezüglich DNS Auflösung aktiviert.
Um die Rechner weiterhin betreiben zu können musste die DNSSEC Prüfung abgeschaltet werden…

Mastodon