Cette page vous donne les différences entre la révision choisie et la version actuelle de la page.
linux:dns [2011/10/23 20:32] matthieu [Créer un serveur secondaire] |
linux:dns [2011/12/08 18:36] (Version actuelle) matthieu |
||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | {{tag>fr fr:linux fr:serveur fr:dns}} | + | {{tag>fr fr:linux fr:serveur fr:dns fr:ipv6}} |
====== Bind ====== | ====== Bind ====== | ||
Bind (Berkeley Internet Name Domain) est le service DNS le plus utilisé. Il peut être utilisé pour héberger une zone primaire ou tout simplement comme cache DNS. | Bind (Berkeley Internet Name Domain) est le service DNS le plus utilisé. Il peut être utilisé pour héberger une zone primaire ou tout simplement comme cache DNS. | ||
Ligne 205: | Ligne 205: | ||
Il faut choisir un répertoire modifiable et définir l'ip du primaire. | Il faut choisir un répertoire modifiable et définir l'ip du primaire. | ||
+ | ===== Autoriser les mises à jour dynamiques ===== | ||
+ | Les mises à jour dynamiques (également appelées Dynamic DNS ou DDNS) permettent de modifier dynamiquement les enregistrements.\\ | ||
+ | Cela permet par exemple de disposer de valeurs à jour pour les équipements en DHCP. | ||
+ | |||
+ | La mise à jour peut être réalisée par le client DHCP ou par le serveur DHCP. Le serveur DHCP a l'avantage de surveiller les baux DHCP et peut ainsi nettoyer le serveur DNS lors de leur expiration. | ||
+ | |||
+ | **:!: Très important : lorsqu'une zone accepte les mises à jour, un fichier journal est créé pour temporiser l'écriture de la zone, il n'est plus possible de modifier le fichier de zone directement.**\\ | ||
+ | Il faut utiliser une des options suivantes : | ||
+ | * utiliser la commande nsupdate pour réaliser une mise à jour dynamique manuellement | ||
+ | * bloquer temporairement le mode dynmique | ||
+ | * stopper temporairement le serveur DNS | ||
+ | |||
+ | Avant d'activer la mise à jour dynamique, vérifier que bind a le droit d'écrire dans /etc/bind pour la création des journaux : | ||
+ | chown bind /etc/bind | ||
+ | |||
+ | Ajouter les autorisations d'update sur la zone concernée avec allow-update : | ||
+ | <code> | ||
+ | zone "ddns.bouthors.fr" { | ||
+ | type master; | ||
+ | file "/etc/bind/db.ddns.bouthors.fr"; | ||
+ | allow-update { 192.168.10.2;192.168.10.3;}; | ||
+ | }; | ||
+ | </code> | ||
+ | |||
+ | Après redémarrage de bind, nous pouvons tester la mise à jour avec nsupdate : | ||
+ | <code> | ||
+ | # nsupdate | ||
+ | > server 192.168.10.2 | ||
+ | > zone ddns.bouthors.fr | ||
+ | > update add test.ddns.bouthors.fr. 300 IN A 192.168.10.150 | ||
+ | > send | ||
+ | > quit | ||
+ | |||
+ | # nslookup test.ddns.bouthors.fr | ||
+ | Server: 192.168.10.2 | ||
+ | Address: 192.168.10.2#53 | ||
+ | |||
+ | Name: test.ddns.bouthors.fr | ||
+ | Address: 192.168.1.111 | ||
+ | Name: test.ddns.bouthors.fr | ||
+ | Address: 192.168.10.150 | ||
+ | |||
+ | # | ||
+ | </code> | ||
+ | |||
+ | Pour bloquer la mise à jour dynamique afin de modifier le fichier de zone, il faut utiliser "rndc freeze zone" et "rndc unfreeze zone", par exemple : | ||
+ | <code> | ||
+ | # rndc freeze ddns.bouthors.fr | ||
+ | # vi /etc/bind/db.ddns.bouthors.fr | ||
+ | # rndc unfreeze ddns.bouthors.fr | ||
+ | A zone reload and thaw was started. | ||
+ | Check the logs to see the result. | ||
+ | # | ||
+ | </code> | ||
+ | |||
+ | **:!: Il est très fortement conseillé de sécuriser les mises à jours avec TSIG car il est très facile de forger les requêtes DNS.** | ||
===== Configurer TSIG pour sécuriser les échanges ===== | ===== Configurer TSIG pour sécuriser les échanges ===== | ||
Il est possible de sécuriser les échanges entre serveurs (update, transfert) avec TSIG.\\ | Il est possible de sécuriser les échanges entre serveurs (update, transfert) avec TSIG.\\ | ||
Ligne 241: | Ligne 297: | ||
allow-transfer { key dc1-dc2 ;}; | allow-transfer { key dc1-dc2 ;}; | ||
also-notify {192.168.10.3;}; | also-notify {192.168.10.3;}; | ||
+ | allow-update { key dc1-dc2 ;}; | ||
}; | }; | ||
</code> | </code> |