Hallo,

vor einer Weile war ja hier die Diskussion um dynamische DNS-Updates. Ich hatte behauptet, daß neuere Binds da etwas flexibler sind, als nur auf Basis einer IP oder eines TSIG-Keys Updates zu erlauben (oder zu verbieten).

Jetzt habe ich das noch mal überflogen - nicht probiert!. In Kurzform hier meine Erkenntnis (Plural will ich gar nicht verwenden).

Seit Bind9 gibt es nicht nur „allow-update { … }“, sondern auch „update-policy { … }“ innerhalb von „zone … { … }“. Vorausetzung ist die Verwendung von (TSIG-)Keys.

Mit dieser update-policy kann ich bestimmten Keys das Aktualisieren bestimmter Namen erlauben (oder verbieten).

zone "xxx.de" { type master; file "/var/lib/bind/xxx.de"; update-policy { // genau der Key best.xxx.de darf für seinen eigenen Namen // den A-Record eintragen grant best.xxx.de. self best.xxx.de. A;

// alle Keys, die auf *.xxx.de. passen, dürfen jeweils // für ihren eigenen Namen einen A-Record eintragen. grant *.xxx.de. self *.xxx.de. A; }; };

Der String nach „self“ ist nicht optional, wohl aber sein Inhalt. Zum Aktualisieren der PTR-Records gibt es eine etwas lasche Erklärung, die will ich hier nicht wiedergeben. Es sieht so aus, als muß ich mal ein Beispiel zusammenbauen, wird aber nicht mehr heute werden.

Quelle dieser Darstellung ist „DNS and Bind“, das Grasshopper-Buch.