Quel tutorial pour Softhsm2 et Opendnssec ?

Bonjour

Tout est dans le titre.

J'ai un VPS OVH SSD Classic 3 Stretch, et ma config DNS est/était fonctionnelle. ( ndd pronostics.courses ).

Je cherche à mettre au point la version sécurisée de DNSSEC, de façon à ne plus avoir après, à mettre à jour les réglages.

OPENDNSSEC avec Softhsm2 n'est-il pas la solution ?

Pourriez-vous m'indiquer de tutoriaux orientés un peu théorique et surtout pratique ?

Merci de votre aide.

Amicalement.

 

Bonjour

J'ai l'erreur 3 avec 'ods-enforcer start'

Le Datastore du conf.xml a ceci :

<Host Port="3306"></Host>

Que dois-je mettre pour le Host ?

Quels droits pour l'user ?

Merci.

Voici les logs :

Code:

root@vps556599:/etc/opendnssec# ods-enforcer start
Starting enforcer...
OpenDNSSEC key and signing policy enforcer version 2.0.4
enforcerd stopped with exitcode 3
Error: Daemon reported a failure starting. Please consult the logfiles.
Could not start enforcer
ul 14 21:56:58 vps556599 ods-kaspcheck: INFO: The XML in /etc/opendnssec/conf.xml is valid
Jul 14 21:56:58 vps556599 ods-kaspcheck: INFO: The XML in /etc/opendnssec/kasp.xml is valid
Jul 14 21:56:58 vps556599 ods-kaspcheck: WARNING: In policy default, M used in duration field for Keys/KSK Lifetime (P12M) in /etc/opendnssec/kasp.xml - this will be interpreted as 31 days
Jul 14 21:56:58 vps556599 ods-kaspcheck: WARNING: In policy lab, M used in duration field for Keys/KSK Lifetime (P12M) in /etc/opendnssec/kasp.xml - this will be interpreted as 31 days
Jul 14 21:56:58 vps556599 ods-kaspcheck: WARNING: In policy pronostics, M used in duration field for Keys/KSK Lifetime (P24M) in /etc/opendnssec/kasp.xml - this will be interpreted as 31 days
Jul 14 21:56:58 vps556599 ods-kaspcheck: INFO: The XML in /etc/opendnssec/zonelist.xml is valid
Jul 14 21:57:29 vps556599 ods-enforcerd: database connection failed
Jul 14 21:57:29 vps556599 ods-enforcerd: Could not connect to database or database not set up properly.
Jul 14 21:57:29 vps556599 ods-enforcerd: setup failed: Database error
Jul 14 21:57:29 vps556599 ods-enforcerd: [engine] enforcer shutdown
Jul 14 21:57:29 vps556599 ods-enforcerd: [engine] enforcerd (pid: 13826) stopped with exitcode 3

 

Bonjour cthierry

Les username ( kaspuser ) et password sont corrects dans le Datastore de conf.xml , j'accède à la base de données KASP sans problème avec mysql en localhost avec kaspuser et le password.

Les données du Datastore sont en clair dans conf.xml.

Avant de faire : 'ods-enforcer start' , je fais : 'ods-enforcer-db-setup' , question : y/N je répond y et puis réponse correcte..

Cependant, après quand j'accède à la db KASP etc... aucune table MySQL n'a été créée.

Il semblerait que ce soit la cause du problème.

J'ai attribué les droits suivants à kaspuser :

Code:

   GRANT ALL ON KASP.* TO 'kaspuser'@'localhost' IDENTIFIED  BY 'password';

  

Est-ce que c'est insuffisant ?

Merci beaucoup pour ton aide.

 

Heu...

J'avais le paquet : opendnssec-enforcer-sqlite3 installé et opendnssec-enforcer-mysql non installé.

J"ai installé opendnssec-enforcer-mysql et puis après relancé ods-enforcer-db-setup :

Code:

root@vps556599:/etc/opendnssec# ods-enforcer-db-setup
*WARNING* This will erase all data in the database; are you sure? [y/N] y
Error: unable to create schema!

Evidemment kaspuser n'est pas censé créer un shéma ni une database.

Comment configurer conf.xml avant de lancer ods-enforcer-db-setup ?

Merci beaucoup de ton aide.

Respectueusement.

 

Beurk

J'ai même essayé en mettant la db mysql et l'user root.

Toujours erreur SCHEMA.

Voici le SoftHSM2 :

Code:

root@vps556599:/etc/opendnssec# softhsm2-util --show-slots
Available slots:
Slot 942291245
    Slot info:
        Description:      SoftHSM slot ID 0x382a392d                                     
        Manufacturer ID:  SoftHSM project                 
        Hardware version: 2.2
        Firmware version: 2.2
        Token present:    yes
    Token info:
        Manufacturer ID:  SoftHSM project                 
        Model:            SoftHSM v2     
        Hardware version: 2.2
        Firmware version: 2.2
        Serial number:    47ce7d1fb82a392d
        Initialized:      yes
        User PIN init.:   yes
        Label:            OpenDNSSEC                     
Slot 1
    Slot info:
        Description:      SoftHSM slot ID 0x1                                             
        Manufacturer ID:  SoftHSM project                 
        Hardware version: 2.2
        Firmware version: 2.2
        Token present:    yes
    Token info:
        Manufacturer ID:  SoftHSM project                 
        Model:            SoftHSM v2     
        Hardware version: 2.2
        Firmware version: 2.2
        Serial number:                   
        Initialized:      no
        User PIN init.:   no
        Label:                       

Il me manque peut-être un programme, mais du diable si j'arrive à mettre la main dessus.

J'ai fait un apt-get update/upgrade mais rien n'y fait.

Que faire ?

Merci beaucoup.

 

Bonjour cthierry

Merci beaucoup, je vais vérifier tous les détails qui m'avaient échappé.

Très respectueusement.

 

Rebonjour

Finalement je renonce à trafiquer OpenDNSSEC, je vais configurer les DNS avec l'interface Gandi.

Respectueusement.