serveur_dhcp
Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédenteProchaine révisionLes deux révisions suivantes | ||
serveur_dhcp [2012/04/17 22:38] – thierry | serveur_dhcp [2012/04/18 12:57] – thierry | ||
---|---|---|---|
Ligne 227: | Ligne 227: | ||
# dnssec-keygen -a hmac-md5 -b 128 -n USER dhcpupdate-local-tjaouen-fr | # dnssec-keygen -a hmac-md5 -b 128 -n USER dhcpupdate-local-tjaouen-fr | ||
Kdhcpupdate-local-tjaouen-fr.+xxx+xxxxx | Kdhcpupdate-local-tjaouen-fr.+xxx+xxxxx | ||
+ | |||
+ | | :!: '' | ||
+ | |||
+ | |||
On a donc 2 fichiers: | On a donc 2 fichiers: | ||
-rw------- 1 root bind 92 déc 36 12:03 Kdhcpupdate-local-tjaouen-fr.+xxx+xxxxx.private | -rw------- 1 root bind 92 déc 36 12:03 Kdhcpupdate-local-tjaouen-fr.+xxx+xxxxx.private | ||
Ligne 315: | Ligne 319: | ||
- | === nsupdate === | ||
- | |||
- | Liens: | ||
- | *http:// | ||
- | *http:// | ||
- | |||
- | On peut faire les mises a jour grâce à : **'' | ||
- | |||
- | Exemple: | ||
- | $ nsupdate | ||
- | > update add leak.thierry-jaouen.fr. 3600 A 123.123.123.123 | ||
- | > | ||
- | update failed: REFUSED | ||
- | |||
- | Mais pour ce faire, **'' | ||
- | |||
- | | :!: Bien sur, ça ne peut fonctionner que si la configuration de la zone autorise la mise à jour ! | | ||
- | |||
- | Pour faire la mise à jour localement, si on est déjà sur le serveur maitre: | ||
- | $ nsupdate | ||
- | > server 127.0.0.1 | ||
- | > update add leak.thierry-jaouen.fr. 3600 A 123.123.123.123 | ||
- | > | ||
- | update failed: REFUSED | ||
- | |||
- | Mais là encore: | ||
- | ... named[599]: client 127.0.0.1# | ||
- | |||
- | Mais même en autorisant ce genre de mise à jour en ajoutant: | ||
- | |||
- | ... | ||
- | allow-update { 127.0.0.1; }; | ||
- | ... | ||
- | |||
- | On a une erreur de d' | ||
- | ... named[599]: / | ||
- | |||
- | | :!: tout les utilisateurs qui ont localement accès a nsupdate pourront mettre a jour des entrées !!!! | | ||
- | |||
- | Et puis je n'ai que quelques entrées dynamiques a mettre à jour... | ||
- | Donc, on va créer une sous-zone dans laquelle on pourra faire nos mises à jour. | ||
- | |||
- | | :!: les fichiers " | ||
- | |||
- | |||
- | FIXME : creer zone | ||
- | |||
- | FIXME explique ça: | ||
- | # nsupdate | ||
- | > server 127.0.0.1 | ||
- | > update delete test.leak.thierry-jaouen.fr. A | ||
- | > update add test.leak.thierry-jaouen.fr. 3600 A 123.123.123.123 | ||
- | > | ||
- | > quit | ||
- | |||
- | Et voila. | ||
- | |||
- | Un fichier " | ||
- | |||
- | A l' | ||
- | |||
- | On pourra faire ses editions des fichiers d' | ||
==== dhcpd.conf ==== | ==== dhcpd.conf ==== | ||
Ligne 580: | Ligne 522: | ||
Ce qui va forcer la resolution inverse dans la zone qu'on a précédement créée. | Ce qui va forcer la resolution inverse dans la zone qu'on a précédement créée. | ||
+ | |||
+ | ===== nsupdate ===== | ||
+ | |||
+ | Liens: | ||
+ | *http:// | ||
+ | *http:// | ||
+ | |||
+ | On peut faire les mises a jour grâce à : **'' | ||
+ | |||
+ | ==== usages en pratique ==== | ||
+ | |||
+ | Exemple: | ||
+ | $ nsupdate | ||
+ | > update add leak.thierry-jaouen.fr. 3600 A 123.123.123.123 | ||
+ | > | ||
+ | update failed: REFUSED | ||
+ | |||
+ | Mais pour ce faire, **'' | ||
+ | |||
+ | | :!: Bien sur, ça ne peut fonctionner que si la configuration de la zone autorise la mise à jour ! | | ||
+ | |||
+ | Pour faire la mise à jour localement, si on est déjà sur le serveur maitre: | ||
+ | $ nsupdate | ||
+ | > server 127.0.0.1 | ||
+ | > update add leak.thierry-jaouen.fr. 3600 A 123.123.123.123 | ||
+ | > | ||
+ | update failed: REFUSED | ||
+ | |||
+ | Mais là encore: | ||
+ | ... named[599]: client 127.0.0.1# | ||
+ | |||
+ | A suivre ... | ||
+ | |||
+ | Mais même en autorisant ce genre de mise à jour en ajoutant: | ||
+ | |||
+ | ... | ||
+ | allow-update { 127.0.0.1; }; | ||
+ | ... | ||
+ | |||
+ | On a une erreur de d' | ||
+ | ... named[599]: / | ||
+ | |||
+ | | :!: problème de droits corrigés, tout les utilisateurs qui ont localement accès a nsupdate pourront mettre a jour des entrées !!!! | | ||
+ | |||
+ | On va créer une sous-zone dans laquelle on pourra faire nos mises à jour. | ||
+ | |||
+ | | :!: les fichiers " | ||
+ | |||
+ | ==== installation ==== | ||
+ | |||
+ | Donc: | ||
+ | - mise en place d'une sous-zone sacrifiés pour être dynamique | ||
+ | - test | ||
+ | - sécuriser | ||
+ | |||
+ | Donc, on a : | ||
+ | * une zone " | ||
+ | * un DNS en " | ||
+ | |||
+ | On va créer une sous-zone: | ||
+ | * leak.thierry-jaouen.fr. | ||
+ | |||
+ | C'est dans cette sous-zone qu'on pourra ajouter des entrées DNS via " | ||
+ | |||
+ | === sous-zone ==== | ||
+ | |||
+ | Modifier la zone " | ||
+ | |||
+ | ; ----------------------------- | ||
+ | leak | ||
+ | leak | ||
+ | |||
+ | "< | ||
+ | |||
+ | Et aussi: | ||
+ | test | ||
+ | |||
+ | Ainsi, on pourra utiliser le nom " | ||
+ | |||
+ | |||
+ | Maintenant la sous-zone. | ||
+ | |||
+ | Si nécessaire, | ||
+ | |||
+ | # cd /etc/bind | ||
+ | # mkdir UPDATE-MASTER | ||
+ | # chmod g+w UPDATE-MASTER | ||
+ | |||
+ | Créer le nouveau fichier de zone: | ||
+ | # cd UPDATE-MASTER | ||
+ | # touch db.leak.thierry-jaouen.fr | ||
+ | # chown bind: db.leak.thierry-jaouen.fr | ||
+ | |||
+ | Car le fichier doit être " | ||
+ | |||
+ | Son petit frère " | ||
+ | |||
+ | Editer le contenu de db.leak.thierry-jaouen.fr | ||
+ | |||
+ | $TTL 3600 | ||
+ | @ | ||
+ | 2012041800 | ||
+ | 24h ; refresh | ||
+ | 1h ; retry | ||
+ | 2w ; expire | ||
+ | 1h ; minimum TTL | ||
+ | ) | ||
+ | ; ---------------------------------------------------------- | ||
+ | NS leak.thierry-jaouen.fr. | ||
+ | A < | ||
+ | ; ---------------------------------------------------------- | ||
+ | test A | ||
+ | ; ------------ | ||
+ | ; EOF | ||
+ | |||
+ | Remplacer ''< | ||
+ | |||
+ | Et enfin, dans la conf de **'' | ||
+ | |||
+ | zone " | ||
+ | type master; | ||
+ | file "/ | ||
+ | allow-query { | ||
+ | any; | ||
+ | }; | ||
+ | # mise a jour via nsupdate ... NON SECURISE ! | ||
+ | allow-update { 127.0.0.1; }; | ||
+ | }; | ||
+ | |||
+ | Activer: | ||
+ | # rndc reload | ||
+ | | ||
+ | Tester en l' | ||
+ | $ host test.leak.thierry-jaouen.fr | ||
+ | test.leak.thierry-jaouen.fr has address 1.2.3.4 | ||
+ | | ||
+ | Et ça marche aussi avec : **'' | ||
+ | |||
+ | === tester === | ||
+ | |||
+ | La mise a jour devrait maintenant fonctionner comme cela: | ||
+ | |||
+ | # nsupdate | ||
+ | > server 127.0.0.1 | ||
+ | > update delete test.leak.thierry-jaouen.fr. A | ||
+ | > update add test.leak.thierry-jaouen.fr. 3600 A 123.123.123.123 | ||
+ | > | ||
+ | > quit | ||
+ | |||
+ | Et voila. | ||
+ | |||
+ | Un fichier "'' | ||
+ | |||
+ | Dorénavant, | ||
+ | |||
+ | Pour les autres zones " | ||
+ | |||
+ | === sécurité === | ||
+ | |||
+ | Si nécessaire: | ||
+ | # cd /etc/bind | ||
+ | # mkdir keys | ||
+ | # chown root:bind keys | ||
+ | # chmod o-rwx g-r keys | ||
+ | |||
+ | Générer la clé: | ||
+ | # cd keys | ||
+ | # dnssec-keygen -a HMAC-MD5 -b 128 -n HOST leak.thierry-jaouen.fr. | ||
+ | Kleak.thierry-jaouen.fr.+157+39541 | ||
+ | |||
+ | Créer un fichier de conf, dans **''/ | ||
+ | key " | ||
+ | algorithm hmac-md5; | ||
+ | secret "< | ||
+ | }; | ||
+ | |||
+ | **''< | ||
+ | |||
+ | Puis dans **'' | ||
+ | ... | ||
+ | include "/ | ||
+ | ... | ||
+ | Et dans la déclaration de la zone " | ||
+ | ... | ||
+ | allow-update { key " | ||
+ | ... | ||
+ | |||
+ | Activer: | ||
+ | # rndc reload | ||
+ | |||
+ | Maintenant, si on test sans clé est rejeté: | ||
+ | ... named[599]: client 127.0.0.1# | ||
+ | |||
+ | Il faut préciser la clé ainsi, et procéder: | ||
+ | # nsupdate -k Kleak.thierry-jaouen.fr.+157+39541.key | ||
+ | > server 127.0.0.1 | ||
+ | > update add toto.leak.thierry-jaouen.fr. 600 A 1.2.3.4 | ||
+ | > send | ||
+ | |||
+ | Et voila. | ||
+ | |||
+ | A ce stade, sauf problème de configuration réseau, on n'a plus besoin de préciser où est le serveur.\\ | ||
+ | La resolution DNS fait sont travail. | ||
+ | |||
+ | Exemple: | ||
+ | $ echo -n -e " | ||
serveur_dhcp.txt · Dernière modification : 2012/04/27 10:21 de thierry