Co je TSIG a k čemu slouží

TSIG slouží k ověřování komunikace mezi DNS servery pomocí sdíleného tajného klíče. Nejčastěji se používá při:

• Zónových transferech (AXFR/IXFR) – např. mezi primárním a sekundárním DNS serverem.
• Dynamických aktualizacích DNS záznamů – např. pomocí nsupdate.

Jak nakonfigurovat TSIG s BIND (například na serveru s DirectAdminem)

Pokud používáte BIND (named) jako DNS server (což je výchozí v mnoha instalacích DirectAdminu), můžete TSIG nakonfigurovat následovně:

1. Vytvoření TSIG klíče

tsig-keygen example-key > /etc/namedb/tsig.key

Výstup bude podobný:

key "example-key" {
    algorithm hmac-sha256;
    secret "sdfg34523452345234asdf==";
};

2. Úprava named.conf

Přidání klíče:

include "/etc/namedb/tsig.key";

A použití v zóně:

zone "example.com" {
    type slave;
    masters { 1.2.3.4 key "example-key"; };
    file "/var/named/slaves/example.com.db";
};

Na master serveru:

zone "example.com" {
    type master;
    file "/var/named/example.com.db";
    allow-transfer { key "example-key"; };
};

Vztah s DirectAdminem

DirectAdmin může automatizovat tvorbu zón a záznamů v BINDu, ale TSIG není součástí GUI nebo konfiguračního rozhraní DA.

Pokud spravujete DNS cluster (např. více DA serverů), TSIG můžete ručně nastavit v BIND konfiguraci na každém serveru.

Pokud používáte WEDOS Anycast DNS nebo externí DNS služby, můžete tam mít podporu TSIG, ale to je potřeba řešit zvlášť.