La résolution de noms de clients SSH échoue pour les noms pouvant être résolus

11

Nous avons une boîte Linux (appelée jumper) qui est utilisée pour accéder aux serveurs dans quelques DMZ distinctes. Chaque DMZ a son propre nom de sous-domaine (par exemple idmz.example.org, jdmz.example.org) et chaque sous-domaine a son propre serveur de noms faisant autorité.

Nous sommes en train de remplacer l'ancien cavalier Solaris par un nouveau boîtier Linux. La plupart des choses ont bien fonctionné, mais nous avons un problème avec la connexion aux serveurs du sous-domaine à l' idmz.example.comaide de SSH. Ping fonctionne très bien; nous pouvons résoudre le nom en utilisant dig, mais SSH dit "Impossible de résoudre".

La résolution de nom fonctionne bien du côté serveur et lorsque nous nous connectons à l'aide de l'adresse IP, il n'y a ni délai ni délai d'attente. Mais SSH du côté client prétend ne pas pouvoir résoudre le serveur.

Ping et échec de la connexion SSH:

jenny@jumper$  ping server.idmz.example.com
PING server.idmz.example.com (192.168.1.3) 56(84) bytes of data.

jenny@jumper$  ssh -v server.idmz.example.com
OpenSSH_5.3p1, OpenSSL 1.0.0-fips 29 Mar 2010
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: Applying options for *
ssh: Could not resolve hostname server.idmz.example.com: Name or service not known

Connexion SSH réussie utilisant IP au lieu du nom d'hôte:

jenny@jumper$  ssh 192.168.1.3
[email protected]'s password: 

La seule différence que je peux voir du côté client est que je ne peux pas obtenir une réponse faisant autorité de la part des serveurs de noms idmz, mais je l'obtiens de tous les autres domaines DMZ.

Jenny D
la source

Réponses:

17

Nous avons contacté les administrateurs système des serveurs DNS et leur avons demandé de vérifier la configuration de idmz. Il s'est avéré que leur serveur de noms prétendait gérer IPV6, mais il n'a pas donné de réponse correcte aux requêtes IPV6.

Sur le serveur Solaris, IPV4 était utilisé par défaut. Sur le nouveau serveur Linux, SSH a d'abord essayé IPV6. Dans ce cas, cela signifiait que comme il ne pouvait pas résoudre le nom de serveur en utilisant IPV6, il le considérait comme insoluble. Pour les autres domaines dmz, le serveur de noms a donné des réponses correctes même lors de l'utilisation d'IPV6.

Nous avons changé la configuration de SSH pour inclure

AddressFamily inet

et le problème a disparu.

Jenny D
la source