Quel tutorial pour Softhsm2 et Opendnssec ?

[ortolojf]

Bonjour

Tout est dans le titre.

J'ai un VPS OVH SSD Classic 3 Stretch, et ma config DNS est/était fonctionnelle. ( ndd pronostics.courses ).

Je cherche à mettre au point la version sécurisée de DNSSEC, de façon à ne plus avoir après, à mettre à jour les réglages.

OPENDNSSEC avec Softhsm2 n'est-il pas la solution ?

Pourriez-vous m'indiquer de tutoriaux orientés un peu théorique et surtout pratique ?

Merci de votre aide.

Amicalement.

 

[smb6688]

partir de chez OVH lol

 

[ortolojf]

Bonjour

J'ai l'erreur 3 avec 'ods-enforcer start'

Le Datastore du conf.xml a ceci :

<Host Port="3306"></Host>

Que dois-je mettre pour le Host ?

Quels droits pour l'user ?

Merci.

Voici les logs :

root@vps556599:/etc/opendnssec# ods-enforcer start
Starting enforcer...
OpenDNSSEC key and signing policy enforcer version 2.0.4
enforcerd stopped with exitcode 3
Error: Daemon reported a failure starting. Please consult the logfiles.
Could not start enforcer
ul 14 21:56:58 vps556599 ods-kaspcheck: INFO: The XML in /etc/opendnssec/conf.xml is valid
Jul 14 21:56:58 vps556599 ods-kaspcheck: INFO: The XML in /etc/opendnssec/kasp.xml is valid
Jul 14 21:56:58 vps556599 ods-kaspcheck: WARNING: In policy default, M used in duration field for Keys/KSK Lifetime (P12M) in /etc/opendnssec/kasp.xml - this will be interpreted as 31 days
Jul 14 21:56:58 vps556599 ods-kaspcheck: WARNING: In policy lab, M used in duration field for Keys/KSK Lifetime (P12M) in /etc/opendnssec/kasp.xml - this will be interpreted as 31 days
Jul 14 21:56:58 vps556599 ods-kaspcheck: WARNING: In policy pronostics, M used in duration field for Keys/KSK Lifetime (P24M) in /etc/opendnssec/kasp.xml - this will be interpreted as 31 days
Jul 14 21:56:58 vps556599 ods-kaspcheck: INFO: The XML in /etc/opendnssec/zonelist.xml is valid
Jul 14 21:57:29 vps556599 ods-enforcerd: database connection failed
Jul 14 21:57:29 vps556599 ods-enforcerd: Could not connect to database or database not set up properly.
Jul 14 21:57:29 vps556599 ods-enforcerd: setup failed: Database error
Jul 14 21:57:29 vps556599 ods-enforcerd: [engine] enforcer shutdown
Jul 14 21:57:29 vps556599 ods-enforcerd: [engine] enforcerd (pid: 13826) stopped with exitcode 3

 

[cthierry]

Dans ton log, il est dit que la connexion à la base de données a échoué.

 

[ortolojf]

Bonjour cthierry

Les username ( kaspuser ) et password sont corrects dans le Datastore de conf.xml , j'accède à la base de données KASP sans problème avec mysql en localhost avec kaspuser et le password.

Les données du Datastore sont en clair dans conf.xml.

Avant de faire : 'ods-enforcer start' , je fais : 'ods-enforcer-db-setup' , question : y/N je répond y et puis réponse correcte..

Cependant, après quand j'accède à la db KASP etc... aucune table MySQL n'a été créée.

Il semblerait que ce soit la cause du problème.

J'ai attribué les droits suivants à kaspuser :

   GRANT ALL ON KASP.* TO 'kaspuser'@'localhost' IDENTIFIED  BY 'password';

Est-ce que c'est insuffisant ?

Merci beaucoup pour ton aide.

 

[ortolojf]

Heu...

J'avais le paquet : opendnssec-enforcer-sqlite3 installé et opendnssec-enforcer-mysql non installé.

J"ai installé opendnssec-enforcer-mysql et puis après relancé ods-enforcer-db-setup :

root@vps556599:/etc/opendnssec# ods-enforcer-db-setup
*WARNING* This will erase all data in the database; are you sure? [y/N] y
Error: unable to create schema!

Evidemment kaspuser n'est pas censé créer un shéma ni une database.

Comment configurer conf.xml avant de lancer ods-enforcer-db-setup ?

Merci beaucoup de ton aide.

Respectueusement.

 

[ortolojf]

Beurk

J'ai même essayé en mettant la db mysql et l'user root.

Toujours erreur SCHEMA.

Voici le SoftHSM2 :

root@vps556599:/etc/opendnssec# softhsm2-util --show-slots
Available slots:
Slot 942291245
    Slot info:
        Description:      SoftHSM slot ID 0x382a392d                                     
        Manufacturer ID:  SoftHSM project                 
        Hardware version: 2.2
        Firmware version: 2.2
        Token present:    yes
    Token info:
        Manufacturer ID:  SoftHSM project                 
        Model:            SoftHSM v2     
        Hardware version: 2.2
        Firmware version: 2.2
        Serial number:    47ce7d1fb82a392d
        Initialized:      yes
        User PIN init.:   yes
        Label:            OpenDNSSEC                     
Slot 1
    Slot info:
        Description:      SoftHSM slot ID 0x1                                             
        Manufacturer ID:  SoftHSM project                 
        Hardware version: 2.2
        Firmware version: 2.2
        Token present:    yes
    Token info:
        Manufacturer ID:  SoftHSM project                 
        Model:            SoftHSM v2     
        Hardware version: 2.2
        Firmware version: 2.2
        Serial number:                   
        Initialized:      no
        User PIN init.:   no
        Label:

Il me manque peut-être un programme, mais du diable si j'arrive à mettre la main dessus.

J'ai fait un apt-get update/upgrade mais rien n'y fait.

Que faire ?

Merci beaucoup.

 

[cthierry]

Pour ma part, je ne sais pas, je ne m'en sers pas, mais quand je ne sais pas un truc, je me retape la doc histoire de comprendre ce que j'ai loupé.

Regarde si des fois une commande ou une autorisation ne t'a pas échappé :
https://www.opendnssec.org/documentation/

 

[ortolojf]

Bonjour cthierry

Merci beaucoup, je vais vérifier tous les détails qui m'avaient échappé.

Très respectueusement.

 

[ortolojf]

Rebonjour

Finalement je renonce à trafiquer OpenDNSSEC, je vais configurer les DNS avec l'interface Gandi.

Respectueusement.

 

[UsagiYojimbo]

Bonjour,

Je ne comprends pas pourquoi tu t'entête à poser des questions aussi spécifiques ici alors que pour les solutions que tu essaies de manipuler il y a des communautés dédiées, sans doute bien plus à même de t'orienter.

Pour OpenDNSSEC : https://www.opendnssec.org/support/community/