Autenticação DNS TSIG Falhando [RESOLVIDO]

1. Autenticação DNS TSIG Falhando [RESOLVIDO]

tacitoregis
(usa Ubuntu)

Enviado em 29/07/2013 - 10:55h

Sehores,

Muito bom dia!

Tenho em um lab um DNS Externo Bind9. O mesmo está funcionando perfeitamente, porém eu quero integrar ao mesmo uma maneira de inserir alguns hosts que eu tenho fora por um link velox(dinâmico). Aqui mesmo no vol achei alguns artigos e parecia ser bem fácil por autenticação de chaves TSIG. Porém o mesmo está dando failed ao tentar fazer a autenticação. Peço ajudas, segue a minha configuração.

Isto aqui é no servidor DNS.
key "server" {
algorithm HMAC-MD5;
secret "J+fO2ydskjslkgvfskgf+-sdg0gfgjklsdfsdflskjHqccXIJ3GFJXRZnkX/0XCkzBng==";
};

include "/etc/bind/named.conf.options";
include "/etc/bind/named.conf.local";
include "/etc/bind/named.conf.default-zones";
include "/etc/bind/named.conf.masters";

arquivo de zona:
root@servdados:/etc/bind# cat named.conf.masters
zone "exemplo.com.br" {
type master;
file "/etc/bind/db.exemplo.com.br";
allow-update { key server; };
allow-transfer { 201.211.211.211; };
also-notify { 201.211.211.211; };
};

root@servdados:/etc/bind# cat db.exemplo.com.br
$TTL 3600
@ IN SOA ns1.exemplo.com.br. root.exemplo.com.br. (
2013072705 ; Serial
3600 ; Refresh
600 ; Retry
172800 ; Expire
3600 ; Minimum
)

@ IN NS ns1.exemplo.com.br.
@ IN NS ns2.exemplo.com.br.
@ IN MX 10 mail.exemplo.com.br.
@ IN A 189.123.123.123

ns1 IN A 189.123.123.123
ns2 IN A 201.211.211.211

www IN CNAME exemplo.com.br.

Configuração no cliente usando o velox(dinâmico)

#!/bin/bash
#
# nsupdate.sh
#
# Script para inserir endereços dinâmicos no servidor de DNS.

# variáveis de ambiente
KEYNAME="server"
HASH="J+fO2ydskjslkgvfskgf+-sdg0gfgjklsdfsdflskjHqccXIJ3GFJXRZnkX/0XCkzBng=="
SERVER="ns1.exemplo.com.br"
ZONE="exemplo.com.br"
HOST="chaves.exemplo.com.br"

# descobrir o IP atual da interface dinâmica
IP=`lynx --source http://meuip.datahouse.com.br |grep meuip-home|cut -d\< -f3|awk '{print $5}';`

# definir comando de update
NSUPDATE="/usr/bin/nsupdate -y $KEYNAME:$HASH"

# conteúdo a ser enviado ao servidor
EXEC="server $SERVER\n
zone $ZONE\n
update delete $HOST A\n
update add $HOST 1440 A $IP\n
show\n
send"

# executar a atualização
echo -e $EXEC | $NSUPDATE

Segue a mensagem de erro quando o script é executado
root@dns-tchaves-01:/home/chaves# ./nsupdate.sh
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id: 0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; ZONE SECTION:
;exemplo.com.br. IN SOA

;; UPDATE SECTION:
chaves.exemplo.com.br. 0 ANY A
chaves.exemplo.com.br. 1440 IN A 186.148.48.47

; TSIG error with server: clocks are unsynchronized
update failed: NOTAUTH(BADTIME)

Esta foi a mensagem que o servidor de DNS apareceu no syslog
Apr 16 10:42:25 servdados named[6407]: client 186.148.48.47#31008: request has invalid signature: TSIG server: tsig verify failure (BADTIME)

Obs: Lembro que os endereços ips são fictícios assim como o domínio. Mas o problema não :)!

Se puderem me ajudar :)

0 0

Quote

2. Re: Autenticação DNS TSIG Falhando [RESOLVIDO]

udson
(usa Debian)

Enviado em 25/01/2016 - 21:24h

Caro,

Estou passando exatamente pelo seu problema, você conseguiu a solução ? Se sim compartilha com agente.

Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id: 0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; ZONE SECTION:
;brfonetelecom.com. IN SOA

;; UPDATE SECTION:
escritorio.brfonetelecom.com. 0 ANY A
escritorio.brfonetelecom.com. 14440 IN A 189.70.101.50

Sending update to 181.215.103.214#53
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id: 36948
;; flags:; ZONE: 1, PREREQ: 0, UPDATE: 2, ADDITIONAL: 1
;; ZONE SECTION:
;brfonetelecom.com. IN SOA

;; UPDATE SECTION:
escritorio.brfonetelecom.com. 0 ANY A
escritorio.brfonetelecom.com. 14440 IN A 189.70.101.50

;; TSIG PSEUDOSECTION:
escritorio.brfonetelecom.com. 0 ANY TSIG hmac-md5.sig-alg.reg.int. 948694925 300 16 CIAnx/CR1SQBqovdZxe5Gg== 36948 NOERROR 0

; TSIG error with server: clocks are unsynchronized

Reply from update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOTAUTH, id: 36948
;; flags: qr; ZONE: 1, PREREQ: 0, UPDATE: 0, ADDITIONAL: 1
;; ZONE SECTION:
;brfonetelecom.com. IN SOA

;; TSIG PSEUDOSECTION:
escritorio.brfonetelecom.com. 0 ANY TSIG hmac-md5.sig-alg.reg.int. 948694925 300 16 4p2bSnzutx7GcMn3LpZtrg== 36948 BADTIME 6 AABWpq7A

############################3

mensagem de erro do lado do servidor:

Jan 25 18:24:48 ns1 named[13560]: client 189.70.101.50#13460: request has invalid signature: TSIG escritorio.brfonetelecom.com: tsig verify failure (BADTIME)

Agrade abraço.

0 0

Quote