Différences
Cette page vous donne les différences entre la révision choisie et la version actuelle de la page.
|
linux:dns [2011/10/23 20:32] matthieu [Créer un serveur secondaire] |
linux:dns [2011/12/08 18:36] (Version actuelle) matthieu |
||
|---|---|---|---|
| Ligne 1: | Ligne 1: | ||
| - | {{tag>fr fr:linux fr:serveur fr:dns}} | + | {{tag>fr fr:linux fr:serveur fr:dns fr:ipv6}} |
| ====== Bind ====== | ====== Bind ====== | ||
| Bind (Berkeley Internet Name Domain) est le service DNS le plus utilisé. Il peut être utilisé pour héberger une zone primaire ou tout simplement comme cache DNS. | Bind (Berkeley Internet Name Domain) est le service DNS le plus utilisé. Il peut être utilisé pour héberger une zone primaire ou tout simplement comme cache DNS. | ||
| Ligne 205: | Ligne 205: | ||
| Il faut choisir un répertoire modifiable et définir l'ip du primaire. | Il faut choisir un répertoire modifiable et définir l'ip du primaire. | ||
| + | ===== Autoriser les mises à jour dynamiques ===== | ||
| + | Les mises à jour dynamiques (également appelées Dynamic DNS ou DDNS) permettent de modifier dynamiquement les enregistrements.\\ | ||
| + | Cela permet par exemple de disposer de valeurs à jour pour les équipements en DHCP. | ||
| + | |||
| + | La mise à jour peut être réalisée par le client DHCP ou par le serveur DHCP. Le serveur DHCP a l'avantage de surveiller les baux DHCP et peut ainsi nettoyer le serveur DNS lors de leur expiration. | ||
| + | |||
| + | **:!: Très important : lorsqu'une zone accepte les mises à jour, un fichier journal est créé pour temporiser l'écriture de la zone, il n'est plus possible de modifier le fichier de zone directement.**\\ | ||
| + | Il faut utiliser une des options suivantes : | ||
| + | * utiliser la commande nsupdate pour réaliser une mise à jour dynamique manuellement | ||
| + | * bloquer temporairement le mode dynmique | ||
| + | * stopper temporairement le serveur DNS | ||
| + | |||
| + | Avant d'activer la mise à jour dynamique, vérifier que bind a le droit d'écrire dans /etc/bind pour la création des journaux : | ||
| + | chown bind /etc/bind | ||
| + | |||
| + | Ajouter les autorisations d'update sur la zone concernée avec allow-update : | ||
| + | <code> | ||
| + | zone "ddns.bouthors.fr" { | ||
| + | type master; | ||
| + | file "/etc/bind/db.ddns.bouthors.fr"; | ||
| + | allow-update { 192.168.10.2;192.168.10.3;}; | ||
| + | }; | ||
| + | </code> | ||
| + | |||
| + | Après redémarrage de bind, nous pouvons tester la mise à jour avec nsupdate : | ||
| + | <code> | ||
| + | # nsupdate | ||
| + | > server 192.168.10.2 | ||
| + | > zone ddns.bouthors.fr | ||
| + | > update add test.ddns.bouthors.fr. 300 IN A 192.168.10.150 | ||
| + | > send | ||
| + | > quit | ||
| + | |||
| + | # nslookup test.ddns.bouthors.fr | ||
| + | Server: 192.168.10.2 | ||
| + | Address: 192.168.10.2#53 | ||
| + | |||
| + | Name: test.ddns.bouthors.fr | ||
| + | Address: 192.168.1.111 | ||
| + | Name: test.ddns.bouthors.fr | ||
| + | Address: 192.168.10.150 | ||
| + | |||
| + | # | ||
| + | </code> | ||
| + | |||
| + | Pour bloquer la mise à jour dynamique afin de modifier le fichier de zone, il faut utiliser "rndc freeze zone" et "rndc unfreeze zone", par exemple : | ||
| + | <code> | ||
| + | # rndc freeze ddns.bouthors.fr | ||
| + | # vi /etc/bind/db.ddns.bouthors.fr | ||
| + | # rndc unfreeze ddns.bouthors.fr | ||
| + | A zone reload and thaw was started. | ||
| + | Check the logs to see the result. | ||
| + | # | ||
| + | </code> | ||
| + | |||
| + | **:!: Il est très fortement conseillé de sécuriser les mises à jours avec TSIG car il est très facile de forger les requêtes DNS.** | ||
| ===== Configurer TSIG pour sécuriser les échanges ===== | ===== Configurer TSIG pour sécuriser les échanges ===== | ||
| Il est possible de sécuriser les échanges entre serveurs (update, transfert) avec TSIG.\\ | Il est possible de sécuriser les échanges entre serveurs (update, transfert) avec TSIG.\\ | ||
| Ligne 241: | Ligne 297: | ||
| allow-transfer { key dc1-dc2 ;}; | allow-transfer { key dc1-dc2 ;}; | ||
| also-notify {192.168.10.3;}; | also-notify {192.168.10.3;}; | ||
| + | allow-update { key dc1-dc2 ;}; | ||
| }; | }; | ||
| </code> | </code> | ||
