Hallo,
Bernhard Schiffner wrote:
Am Donnerstag, 28. Oktober 2010, 09:07:22 schrieb Heiko Schlittermann: ...
In den neueren(?) Bind9 gibt es da recht trickreiche ACL, die die Update-Möglichkeiten gut einschränken können, ich denke(!), die kann man dann soweit hinbiegen, daß es auch nicht mehr gefährlich ist, wenn der Client selbst das Update macht.
Wenn es jemanden interessiert, würde ich das mal näher untersuchen.
Heiko, ja Interesse besteht.
Die Diskussion ging gestern darum, daß zunehmend "mobile" Geräte eingesetzt werden, von denen nur der Besitzer den Namen kennt | kennen soll.
Hm, wenn nur der Besitzer den Namen kennt - OK, wie der Name im DNS landet, ist erst mal egal...
Wenn nur der Besitzer den Namen kennen soll - naja, da darf eben kein Zone-Transfer erlaubt sein, sonst kommt einer einfach auf die Idee, sich vom DNS die Zone zu holen und mal zu schauen, was so für geheime Namen da sind ;)
Und unter dem will er das Teil nach Möglichkeit auch wiederfinden. Unabhängig von konkreter IP und Domain.
Die viel interessantere Frage ist ja, ob es Sinn macht, x (mobile) Endgeräte so zu konfigurieren, dass sie nach einem DHCP-Reply vom Server von da den DNS-Server lesen und dann an den auch noch ein DNS-Update schicken, oder ob es in der Summe nicht deutlich weniger Aufwand macht, nur auf dem DHCP-Server einzuschalten, dass er DNS-Updates macht, vielleicht noch in eine eigene Subzone a la clients.irgendeinedomain :) Und dann stellt sich noch die Frage, ob alle mobilen Endgeräte auch DNS-Updates unterstützen (naja, vielleicht gibt's für manche ja ne App dafür...).
Bernhard
Ciao, Thomas