Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

BIND9 und externe Datenbanken/Verzeichnisdienste?

Alles rund um das Internet, Internet-Anwendungen (E-Mail, Surfen, Cloud usw.) und das Einrichten von Netzwerken einschl. VPN unter Linux

Moderator: Moderatoren

Antworten
hilfe-suchender
Newbie
Newbie
Beiträge: 6
Registriert: 19. Aug 2005, 23:57

BIND9 und externe Datenbanken/Verzeichnisdienste?

Beitrag von hilfe-suchender »

Hallo Leute,

ich habe gelesen, dass BIND9 für die Verwaltung der Zonendateien anstatt der Textdateien auch relationale Datenbanken und LDAP-Verzeichnisdienste nutzen können soll.

Nach intensiver Suche muss ich jedoch zu dem Schluss kommen, dass nahezu nichts Brauchbares zu dem Thema im Internet zu finden ist.

Zumindest konnte ich in Erfahrung bringen, dass es wohl ein BIND9 Database Interface (rbtdb) und ein Simple Database Interface (sdb) gibt.

Vielleicht ist unter euch ein BIND Profi der mir weiterhelfen kann.

Mir geht es erstmal im Wesentlichen darum, wie weit diese Möglichkeit in ihrer technischen Entwicklung fortgeschritten ist und welche Vorteile der Einsatz von relationalen Datenbanken oder LDAP Verzeichnisdiensten gegenüber den "normalen" Zonendateien bringt bzw. auch welche Nachteile man haben kann.
Dazu ist rein gar nichts zu finden.

Kann man aufgrund mangelnder Informationen darauf schließen, dass der Einsatz von Datenbanken bzw. Verzeichnisdiensten anstatt der Zonendateinen keine breite Akzeptanz gefunden hat oder wesentliche Nachteile mit sich bringt?

Welche Datenbanken lassen sich mittlerweile verwenden? Mir ist nur Stand 2003 bekannt; danach lassen sich PostgreSQL, Berkeley DB sowie durch einen experimentellen Patch MySQL verwenden.

Welche (Sicherheits)techniken lassen sich mittlerweile bei den Simple Database Treibern (sdb) einsetzen? Da ist mir auch nur ein alter Stand bekannt. Damals waren wohl noch (zumindest bei sdb Treibern) keine Dynamischen Updates, keine Zonentransfers und ebenfalls das Sicherheitskonzept DNSSEC nicht möglich.

Wenn das immer noch so sein sollte, ist dann der Einsatz überhaupt sinnvoll? Oder sind diese Techniken mittlerweise mit Datenbanken und/oder LDAP Verzeichnisdiensten möglich?

Gibt es auch brauchbare rbtdb Treiber, die DNSSEC und Dynamische Updates unterstützen für PostrgeSQL, OpenLDAP und MySQL?? Wo kann ich diese beziehen und stehen diese unter der GNU GPL?

Abschließend wären für mich noch drei Sachen wichtig:

Wo kann ich brauchbare deutsch- oder englischsprachige Links zu dem Thema bekommen?

Und last but not least:

Welche Vorteile bringt der Einsatz von Datenbanken /Verzeichnisdiensten mit sich?

Mir fallen da nur zwei ein

- schnellerer Zugriff durch BIND als auf sequentiell zu lesende Textdateien

- möglicherweise geringere Netzlast, da man durch eine zentrale Datenbank auf Zonentransfers verzichten kann. Somit auch verbesserte Sicherheit.

Das wars dann aber auch schon, wenn DNSSEC und Dynamische Updates durch einen DHCP Server nicht möglich sein sollten und evt. noch andere Nachteile hinzukommen, lohnt sich der Einsatz eigentlich nicht???

Was eigent sich besser: Datenbanken oder LDAP?

Über eure Hilfe würde ich mich freuen.

Gruß
Der Hilfesuchende
stka
Moderator
Moderator
Beiträge: 3351
Registriert: 1. Jun 2004, 13:56
Wohnort: 51°58'34.91"N 7°38'37.47"E
Kontaktdaten:

Beitrag von stka »

Wenn du erst hier gesucht hättest, wäre dir der folgende Link aufgefallen:
http://www.linux-club.de/viewtopic.php?t=35142
Du hörst nicht auf zu laufen weil du alt wirst. Du wirst alt weil du aufhörst zu laufen.
Das neue Buch http://www.kania-online.de/fachbuecher
hilfe-suchender
Newbie
Newbie
Beiträge: 6
Registriert: 19. Aug 2005, 23:57

Beitrag von hilfe-suchender »

Hallo,

wenn ich hier gesucht hätte, was ich im übrigen auch gemacht habe :D , hätte und habe ich diesen Link gefunden. Is auch nicht schlecht gemacht. Da merkt man, das Fachleute am Werken sind...nicht so wie in einigen Windows Foren :lol:


Leider bezieht sich der Artikel auf die Realisierung durch LDAP bzw. besser OpenLDAP Server.

Aber ich suchte eigentlich eher was zu den beiden relationalen Datenbanken PostgreSQL und MySQL in Verbindung mit BIND9.

Sicher... die ein oder andere Seite (meist leider japanisch) gibt es zumindest zu MySQL+BIND9, allerdings nichts Aktuelles, sondern immer nur aus 2001 und 2002. Es kann doch nicht sein, dass sich da nichts getan hat. Zu PostgreSQL gibt es gar nichts... nichtmal eine Readme Datei in der BIND9 Distribution unter /constrib/sdb.

Ausserdem, und das ist das Wichtigste, findet man immer nur -wie es geht - aber nicht -warum man Datenbankensysteme/Verzeichnisdienste vorziehen sollte in Bezug auf BIND9 oder es lieber lassen sollte- .... also Sinn und Zweck, Vorteile und Nachteile gegenüber den Text-Zonefiles, Releationale Datenbanksystem versus Verzeichnisdienste im Bezug auf BIND9-Backend, Akzeptanz in der "realen Administratorwelt".... wollte mich eigentlich mehr in die Richtung informieren.

...das ist mir schon wichtig zu wissen "warum", das "wie" ist ja meist ganz einfach....

...ich bin nämlich einer derjenigen Glücklichen aus meiner Fachinformatiker-Klasse, die das Vergnügen haben über BIND eine Facharbeit zu schreiben :? :shock: :( :cry:
stka
Moderator
Moderator
Beiträge: 3351
Registriert: 1. Jun 2004, 13:56
Wohnort: 51°58'34.91"N 7°38'37.47"E
Kontaktdaten:

Beitrag von stka »

Schau mal ans Ende dieses Threads:
http://www.linux-club.de/viewtopic.php?t=34846
dort habe ich die Vorteile eines LDAP Integrierten DNS Beschrieben. Wenn du den DNS in LDAP integrierst, brauchst du keine Datenbank mehr für bind9, da alle Info's in der LDAP-Datenbank eingetragen werden. Nur die Datei /etc/named.conf ist noch außerhalb des LDAP und das geht auch nicht anders ;-). Jetzt musst du dir dann nurnoch Gedanken über die Datenbank für LDAP machen.
Du hörst nicht auf zu laufen weil du alt wirst. Du wirst alt weil du aufhörst zu laufen.
Das neue Buch http://www.kania-online.de/fachbuecher
hilfe-suchender
Newbie
Newbie
Beiträge: 6
Registriert: 19. Aug 2005, 23:57

Beitrag von hilfe-suchender »

Hallo stka,

danke für deine Hilfe. Habe mich zwar erstmal dafür entschieden mich auf Zonendateien zu beschränken (siehe neuer Beitrag), aber einige Anmerkungen bzw. Fragen hätte ich trotzdem.

Deine Argumente mit LDAP als Backend sind nachvollziehbar. Datensicherheit durch Replikation des LDAP Servers und natürlich nicht zu vergessen nur noch Master DNS Server im Netz zu haben und somit geringere Netzlast durch Wegfallen häufiger Zonentransfers (z.B. in sehr großen Netzen). Ausserdem in Verbindung mit DHCP und Samba hat man alle Informationen unter einer zentralisierten Verwaltung, ähnlich einem ADS 2003.

Allerdings haben relationale Datenbanken genau die gleichen Vorteile. Keine Slaves und Zonentransfers. Datensicherheit durch Backup-datenbankserver. Ausserdem kann Samba seine Benutzer-, Maschinen und Rechteverwaltung auch in einer Relationalen Datenbank wie MySQL oder PostgreSQL abbilden (nicht nur in einem OpenLDAP Server).

Warum hast du dich und viele andere auch, für OpenLDAP entschieden, anstatt eines Relationalen Datenbanksystems.
Wenn überhaupt ist immer nur was von OpenLDAP als Bind-Backend zu lesen.

Sicher im Hinblick auf Samba ist OpenLDAP besser als ein RDBMS. Ist halt ein hierachisches Verzeichnissystem, das auf lesende Zugriffe optimiert ist. Da kann ein RDBMS sicher nicht mithalten.

Aber im Hinblick auf DNS sind Relationale DBS auf Schreibzugriffe optimiert, was meiner bescheidenen Meinung nach bei Dynamischen Updates wesentlich häufiger vorkommt als Namensauflösungen durch Client-Anfragen (lesender Zugriff). Daher müsste bei DNS doch ein RDBMS wie MySQL im Vorteil sein?

Jetzt aber noch einige andere Fragen.

Wie sieht es denn bei der Verwendung von OpenLDAP mit Dynamischen Updates durch einen oder mehrere DHCP Server aus?
Wie sieht es mit verschlüsselter Übertragung via TKIP aus?
Und wie sieht es mit dem neuesten und umfangreichstem Sicherheitssystem (signierte Zonen) DNSSEC aus?

Falls das mit OpenLDAP funktioniert, weißt du rein zufällig ob die anderen /constrib/sdb Treiber für die Datenbansysteme wie Postgres oder Berkeley DB auch dazu in der Lage sind? Wie gesagt, finde dazu nur alte Quellen, nach denen nichts von allem mit OpenLDAP und den andere sdb Treibern möglich sein soll, nichtmal Dynamische Updates.

Sagt dir anstatt der sdb Treiber (Simple Database Interface) vielleicht der origninale BIND9 Treiber (BIND9 Database Interface) was?


Wäre supi, wenn du schnell antworten könntest.

Gruß
Der Hilfesuchende
stka
Moderator
Moderator
Beiträge: 3351
Registriert: 1. Jun 2004, 13:56
Wohnort: 51°58'34.91"N 7°38'37.47"E
Kontaktdaten:

Beitrag von stka »

LDAP kann noch mehr, du kannst alle Authentifizierungen über LDAP laufen lassen, z.B. SAMBA, SQUID, APACHE. Die Zugriffe werden immer über TLS verschlüsselt TLS ist eine Erweiterung von SSL also für die Anwendungen transparent.
Ein weiter Vorteil in dem Bereich ist der, das LDAP objektorientiert ist und sich die Klassen vererben und somit "relativ" einfach neue Schemen erstellt werden können. Die Schemen sind in Objektklassen unterteilt im Gegensatz zu Datenbanken brauchen für neu Objekte keine neuen Tabellen erstellt werden sondern Objektklassen und Schemen können einfach erweitert werden.
DDNS ist auch möglich, es wir auf der Seite mit dem Patch für bind9 ein Skript dafür vorhanden. Ich habe das aber bis jetzt noch nicht ausprobiert.
Da ich DNS immer nur für kleine und mittlere Netze einrichte, habe ich mich um andere Datenbanken für DNS gekümmert.

Ich hoffe das hilft dir erstmal weiter

Gruß

Stefan
Du hörst nicht auf zu laufen weil du alt wirst. Du wirst alt weil du aufhörst zu laufen.
Das neue Buch http://www.kania-online.de/fachbuecher
Antworten