Não podemos falar de DNS sem falar em Atualização Dinâmica. Para os sabidos é clara a tarefa impraticável de registrar todo e qualquer device no DNS para que seja resolvido pelo nome. Numa rede com 1000 hosts já exigiria a criação de um departamento específico pra isso. Sistemas e implementações robustas de DNS geralmente possuem mecanismos para automação e controle de DNS Dinâmico, no qual o próprio host é responsável pelo seu próprio registro no DNS. Porém, nem todas as formas de realizar DDNS (Dynamic DNS) são apropriadas ou recomendadas por expor o ambiente à vulnerabilidades e danos severos quando isso é feito de forma não controlada e insegura.
Por hora, vamos falar de como isso é feito por meio do uso de GSS-TSIG. GSS-TSIG, ao contrário do que reza a lenda, não é um protocolo proprietário do DNS Microsoft. O GSS-TSIG determina as premissas para gerenciamento de trocas de chaves TSIG para autenticação entre quem solicita o registro e quem pode efetivamente registrar-se no DNS. Dessa forma, mantém-se o ambiente dinamicamente atualizado de uma forma minimamente segura. Existem configurações que acrescentam maior fidelidade e, digamos, elegância ao ambiente de DDNS que serão abordadas nos próximos artigos.
Para iniciar a configuração do DDNS utilizando o GSS-TSIG, primeiro devemos configurar uma conta no Active Directory que será utilizada para autenticação do serviço de troca de chaves TSIG.
- No Active Directory selecione uma conta sem maiores direitos administrativos
Ilustração 1: Seleção de Usuário no AD - Abra o menu de propriedades do usuário e navegue até a aba Account.
Ilustração 2: Alteração de configurações do usuário – ADAinda no Domain Controller, é preciso criar um arquivo de Keytab. Este arquivo armazenará as credenciais criptografadas pelo DES encryption do Kerberos que validará a troca de chaves TSIG entre o Domain Controller e o membro. Para criar o arquivo, é utilizado o ktpass.exe, disponível para download no site da Microsoft, incorporado ao Support Tools para Windows Server.
- Abra o prompt de comando com direitos de administrador.
- Execute o seguinte comando para criar o arquivo Keytabktpass.exe /princ user1.test.com@TEST.COM /mapuser USER1@TEST.COM /pass password /out user1.keytab /ptype krb5_nt_principal /crypto des-cbc-md5
Sintaxe do comando:
- Kerberos principal: /princ nome_de_usuario/instance@REALM
- Usuário de Mapeamento no Kerberos: /mapuser USUARIO@DOMINIO.COM
- Senha do AD do usuário: /pass xyz123
- Arquivo de Saída: /out nome_do_arquivo.keytab
- Principle type: /ptype krb5_nt_principal
- Tipo de Criptografia: /crypto des-cbc-md5
Após a criação do arquivo, realize a importação dentro do menu de DNS do Infoblox.
- Navegue até Data Management > DNS. Selecione o membro que será atualizado dinamicamente e clique em Edit.
Ilustração 3: Seleção do Membro para upload de Keytab file - Na tela seguinte, clique no botão Toogle Advanced Mode para acessar a opção de GSS-TSIG.
Ilustração 4: Menus para upload do Keytab file - Na próxima tela, realize o upload do arquivo.
Ilustração 5: Upload do Keytab file - Clicando em Upload a seguinte caixa de diálogo será aberta.
Ilustração 6: Upload do Keytab file
Ilustração 7: Upload do Keytab file - No próximo passo, habilite o GSS-TSIG no membro de DNS Infoblox.
Ilustração 8: Habilitando GSS-TSIG para o membro - Após a importação do arquivo, precisamos relacionar essa configuração com a zona dinâmica na qual os hosts realizarão suas atualizações. No nosso exemplo temos a zonadinamica.agility.priv. Para realizar essa configuração navegue até Data Management > DNS > Zones, selecione a view desejada (no nosso caso, Default), selecione a zona desejada e clique em Edit.
Ilustração 9: Selecionando a zona para configuração de DDNS - Na tela a seguir selecione o menu de Updates e habilite o GSS-TSIG para atualizar dinamicamente a zona, sobrescrevendo a configuração herdada do Grid.
Ilustração 10: Configurando updates via GSS-TSIG na zona - Em seguida, selecione o menu Active Directory e selecione a opção para permitir a atualização dinâmica das Underscore Zones (onde o seu Active Directory irá se atualizar) e clique em Save & Close.
Ilustração 11: Configurando updates via GSS-TSIG para as underscore zones. - Efetue o restart do serviço de DNS, quando solicitado.
Ilustração 12: Grid solicitando restart de serviço
Pronto! Seu ambiente de DNS já está pronto para ser atualizado dinâmicamente. Todos os hosts que tiverem sua configuração de DNS direcionada direta ou indiretamente ao Infoblox, agora realizarão updates dinâmicos.
Obs: É importante que o usuário ou senha do perfil selecionado para gerar o arquivo keytab não seja alterado. Leve em consideração também que este usuário deve estar fora de qualquer GPO que altere suas características. Verifique também se não existem policies globais que controlem processos do Kerberos. A não observância desses itens implicará em falha na autenticação durante a troca de chaves, impossibilitando a atualização dinâmica e forçando a execução de todo o procedimento novamente, além de causar indisponibilidade do serviço de DNS.
Manter o DNS sempre consistente é mais do que uma boa prática. Assegura controle e confiabilidade na sua resolução de nomes, além de deixar seus membros protegidos contra atualizações mal-intencionadas. GSS-TSIG representa apenas uma forma de realizar esta tarefa. Maiores detalhes sobre o GSS-TSIG podem ser encontrados em sua RFC (https://www.ietf.org/rfc/rfc3645.txt). Em breve, voltaremos com mais métodos para otimizar seu DNS. Até lá!