Instalando Servidor DNS secundario com DNSSec

---

Edição de 14h38min de 16 de setembro de 2009

Configurando um DNS secundário com DNSsec habilitado no Debian Lenny

Bind9 + Debian.

Então segue um tutorial sobre como configurar um DNS secundário com DNSsec habilitado.

Execute os passos abaixo no servidor SLAVE

Instale o Bind9

   aptitude install bind9 

Crie o diretório /etc/bind/zones

   mkdir /etc/bind/zones 

Mude o dono e as permissões para este diretório

   chown bind:bind /etc/bind/zones
   chmod g+w /etc/bind/zones 

Edite o arquivo /etc/bind/named.conf.options

   vim /etc/bind/named.conf.options 

Adcione a linha abaixo:

   dnssec-enable yes; 

Crie a chave que será compartilhada pelo servidores:

   dnssec-keygen -a hmac-md5 -b 128 -n host acme.local 

Acesse o arquivo .private que estará no /etc/bind, como no exemplo abaixo:

   vim /etc/bind/Kacme.local.+157+47805.private 

   Private-key-format: v1.2
   Algorithm: 157 (HMAC_MD5)
   Key: fHRX4is1JElf9Al1v21odA==
   Bits: AAA= 

Guarde o hash da linha Key

Edite o arquivo /etc/bind/named.conf

   vim /etc/bind/named.conf 

Adicione a seguinte linha:

   key “TRANSFER” {
   algorithm hmac-md5;
   secret “INFORME A CHAVE GERADA AQUI“;
   }; 

Edite o arquivo /etc/bind/named.conf

   vim /etc/bind/named.conf 

Adicione a seguinte linha:

   server 192.168.0.1 {
   keys {
   TRANSFER;
   };
   }; 

Edite o arquivo /etc/bind/named.conf.local

vim /etc/bind/named.conf.local

Adicione informações sobre o dominio

   zone “acme.local” {
   type slave;
   file “/etc/bind/zones/slave_acme.local”;
   masters { 192.168.0.1; };
   allow-notify { 192.168.0.1; };
   }; 

Edite o arquivo /etc/bind/named.conf

   vim /etc/bind/named.conf 

Adicione a linha

   include “/etc/bind/rndc.key”; 

Execute os passos abaixo no servidor MASTER

Edite o arquivo /etc/bind/named.conf.options

   vim /etc/bind/named.conf.options 

Adcione a linha abaixo:

   dnssec-enable yes; 

Edite o arquivo /etc/bind/named.conf

   vim /etc/bind/named.conf 

Adicione a seguinte linha:

   key “TRANSFER” {
   algorithm hmac-md5;
   secret “INFORME A CHAVE GERADA NO SLAVE AQUI“;
   }; 

Edite o arquivo /etc/bind/named.conf

   vim /etc/bind/named.conf 

Adicione a seguinte linha:

   server 192.168.0.2 {
   keys {
   TRANSFER;
   };
   }; 

Edite o arquivo /etc/bind/named.conf

   vim /etc/bind/named.conf 

Adicione a linha

   include “/etc/bind/rndc.key”; 

Instale os pacotes necessários para sincronização da hora do sistema:

   aptitude aptitude install ntp ntpdate 

Atualize a hora

   ntpdate ntp.pop-ba.rnp.br 

Reinicie o Bind9

   /etc/init.d/bind9 restart 

Instale o ntpdate no slave e sincronize a hora com o master

   ntpdate 192.168.0.1 

Reinicie o Bind9

   /etc/init.d/bind9 restart 

Após reiniciar o Bind no slave o arquivo slave_acme.local deve surgir no diretório /etc/bind/zones. Se esse arquivo não for criado dê uma olhada no arquivo de log daemons.log e verifique o erro apresentado.