<html>

  <head>

    <meta http-equiv="content-type" content="text/html; charset=UTF-8">

  </head>

  <body>

    <p>Greetings.</p>

    <p>   I need some guidance on how configure dynamic dns updates

      forwarding when using tsig-gss (kerberos) authentication.  I have

      successfully setup tsig-gss authentication when updating the

      master directly.  I have the need to have the client send the

      update to a slave that then forwards the update to the master.</p>

    <p>   The design is the master, slaves, and clients are all part of

      the same kerberos realm.  The master has a service keytab of

      DNS/<master.fqdn>@REALM defined for bind.  Each client  has

      the host keytab of host/<client.fqdn>@REALM.  On the slave I

      have tried 3 different service keytab combinations in for bind

      configuration.</p>

    <ul>

      <li>DNS/<slave.fqdn>@REALM only</li>

      <li>DNS/<slave.fqdn>@REALM and DNS/<master.fqdn>@REALM</li>

      <li>DNS/<master.fqdn@REALM> only<br>

      </li>

    </ul>

    <p>  The clients can update their own records successfully when

      connecting directly with the master. With slave bind keytab only

      contain the its own service keytab, the client and slave will not

      exchange information.  When I added the master keytab entry on the

      slave, the slave attempts to forward the request to the master. 

      However the  update fails.  The logs on the slave indicate the

      following: <br>

    </p>

    <p>named[15934]: client <client.ip.address>#45780/key

      host/client.my.zone\@REALM: signer "host/client.my.zone\@REALM"

      approved<br>

      named[15934]: client <client.ip.address>#45780/key

      host/client.my.zone\@REALM: forwarding update for zone

      'my.zone/IN'<br>

      named[15934]: zone my.zone/IN: forwarding dynamic update:

      unexpected response: master <master.ip.address>#53 returned:

      NOTAUTH</p>

    <p>The master logs the following:<br>

    </p>

    <p>named[17809]: client <slave.ip.addres>#48733: request has

      invalid signature: TSIG 1114672902.sig-<master.fqdn>: tsig

      verify failure (BADKEY)</p>

    <p><br>

    </p>

    <p>The update policy for the zone on the master is:</p>

    <p>update-policy {<br>

              grant REALM krb5-self * SSHFP;<br>

      };<br>

    </p>

    I suspect I simply do not have the correct keytab combinations.  I

    am unclear what the correct combination would be.

    <div class="moz-signature">-- <br>

      <hr width="90" align="left"> <font color="#1f497d">

        <div> <b><i>Matthew Davis</i></b> </div>

      </font> </div>

  </body>

</html>