Hello Mark,<br><br>thanx a lot for your feedback.<br><br>the rule that works at the moment for only ONE client:<br><br>grant WS-YBCL150939\$\@EXAMPLE.TEST subdomain example.test. ANY;<br><br>Because bind support both it should also work with:<br>
<br>grant WS-YBCL150939@EXAMPLE.TEST subdomain example.test. ANY;<br><br>right?<br><br>But for any reason it dont. When I use that form I get a refuse. I hope that in that form I could use the syntax:<br><br>grant *@EXAMPLE.TEST subdomain example.test. ANY;<br>
<br>to mach all Clients from EXAMPLE.TEST that have a valid key from Active Directory.<br><br>thanx a lot,<br>cheers,<br><br><br><div class="gmail_quote">2011/5/11 Mark Andrews <span dir="ltr"><<a href="mailto:marka@isc.org">marka@isc.org</a>></span><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><br>
In message <BANLkTim7k4KYxYoz=<a href="mailto:awj9mwtCzvxB32Vog@mail.gmail.com">awj9mwtCzvxB32Vog@mail.gmail.com</a>>, Juergen Dietl<br>
writes:<br>
<div class="im">> Hello Mark,<br>
><br>
> thanx for your anwer.<br>
><br>
</div>> Your first sentence maybe help me to understand why this is the client=B4s<br>
<div class="im">> credential that it needs in the rule:<br>
><br>
> WS-YBCL150939\$\@<a href="http://EXAMPLE.COM" target="_blank">EXAMPLE.COM</a><br>
><br>
> So fist is the hostname then the slash makes the $-sign just to be a normal<br>
</div>> letter and not variable for example, and the @<a href="http://example.com" target="_blank">example.com</a> is the rest of ho=<br>
> w<br>
<div class="im">> windows uses the sort of identity.<br>
</div>> machinename$@<a href="http://EXAMPLE.COM" target="_blank">EXAMPLE.COM</a> <<a href="http://example.com/" target="_blank">http://example.com/</a>><br>
<br>
You don't need the backslashes in 9.8, earlier versions still need<br>
the backslashes.  $ and @ are special characters in master files<br>
which is why they were escaped.  We added name -> principle routines<br>
in 9.8 which don't do unnecessary escapes.<br>
<div class="im"><br>
> Is it normal that I have to put in the Windows identity in the named.conf<br>
> and not the kerberus identity?<br>
><br>
> So WS-YBCL150939\$\@<a href="http://EXAMPLE.COM" target="_blank">EXAMPLE.COM</a> and NOT host/<a href="mailto:WS-YBCL150939@EXAMPLE.COM">WS-YBCL150939@EXAMPLE.COM</a>.<br>
<br>
</div>It depends on the network.<br>
<br>
> What is host .....? I just know the principal as Service-Principal and ther=<br>
> e<br>
<div class="im">> its normally<br>
> for example: DNS/lxdns10t.prim-dns.test1.test@EXAMPLE.TEST<br>
><br>
> thanx a lot for all your help,<br>
> cheers,<br>
<br>
</div>There are multiple conventions.  Windows does it one way.  MIT does<br>
it a different way.  named has code for both.<br>
<div><div></div><div class="h5"><br>
Mark<br>
<br>
--<br>
Mark Andrews, ISC<br>
1 Seymour St., Dundas Valley, NSW 2117, Australia<br>
PHONE: +61 2 9871 4742                 INTERNET: <a href="mailto:marka@isc.org">marka@isc.org</a><br>
</div></div></blockquote></div><br>