serveur_dhcp
Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédenteDernière révisionLes deux révisions suivantes | ||
serveur_dhcp [2012/04/18 09:36] – thierry | serveur_dhcp [2012/04/18 13:10] – thierry | ||
---|---|---|---|
Ligne 227: | Ligne 227: | ||
# dnssec-keygen -a hmac-md5 -b 128 -n USER dhcpupdate-local-tjaouen-fr | # dnssec-keygen -a hmac-md5 -b 128 -n USER dhcpupdate-local-tjaouen-fr | ||
Kdhcpupdate-local-tjaouen-fr.+xxx+xxxxx | Kdhcpupdate-local-tjaouen-fr.+xxx+xxxxx | ||
+ | |||
+ | | :!: '' | ||
+ | |||
+ | |||
On a donc 2 fichiers: | On a donc 2 fichiers: | ||
-rw------- 1 root bind 92 déc 36 12:03 Kdhcpupdate-local-tjaouen-fr.+xxx+xxxxx.private | -rw------- 1 root bind 92 déc 36 12:03 Kdhcpupdate-local-tjaouen-fr.+xxx+xxxxx.private | ||
Ligne 560: | Ligne 564: | ||
... named[599]: / | ... named[599]: / | ||
- | | :!: tout les utilisateurs qui ont localement accès a nsupdate pourront mettre a jour des entrées !!!! | | + | | :!: problème de droits corrigés, |
- | Et puis je n'ai que quelques entrées dynamiques a mettre à jour... | + | On va créer une sous-zone dans laquelle on pourra faire nos mises à jour. |
- | Donc, on va créer une sous-zone dans laquelle on pourra faire nos mises à jour. | + | |
| :!: les fichiers " | | :!: les fichiers " | ||
- | |||
==== installation ==== | ==== installation ==== | ||
Ligne 574: | Ligne 576: | ||
- test | - test | ||
- sécuriser | - sécuriser | ||
+ | |||
+ | Donc, on a : | ||
+ | * une zone " | ||
+ | * un DNS en " | ||
+ | |||
+ | On va créer une sous-zone: | ||
+ | * leak.thierry-jaouen.fr. | ||
+ | |||
+ | C'est dans cette sous-zone qu'on pourra ajouter des entrées DNS via " | ||
=== sous-zone ==== | === sous-zone ==== | ||
- | FIXME : creer zone | + | Modifier la zone " |
+ | |||
+ | ; ----------------------------- | ||
+ | leak | ||
+ | leak | ||
+ | |||
+ | "< | ||
+ | |||
+ | Et aussi: | ||
+ | test | ||
+ | |||
+ | Ainsi, on pourra utiliser le nom " | ||
+ | |||
+ | |||
+ | Maintenant la sous-zone. | ||
+ | |||
+ | Si nécessaire, | ||
+ | |||
+ | # cd /etc/bind | ||
+ | # mkdir UPDATE-MASTER | ||
+ | # chmod g+w UPDATE-MASTER | ||
+ | |||
+ | Créer le nouveau fichier de zone: | ||
+ | # cd UPDATE-MASTER | ||
+ | # touch db.leak.thierry-jaouen.fr | ||
+ | # chown bind: db.leak.thierry-jaouen.fr | ||
+ | |||
+ | Car le fichier doit être " | ||
+ | |||
+ | Son petit frère " | ||
+ | |||
+ | Editer le contenu de db.leak.thierry-jaouen.fr | ||
+ | |||
+ | $TTL 3600 | ||
+ | @ | ||
+ | 2012041800 | ||
+ | 24h ; refresh | ||
+ | 1h ; retry | ||
+ | 2w ; expire | ||
+ | 1h ; minimum TTL | ||
+ | ) | ||
+ | ; ---------------------------------------------------------- | ||
+ | NS leak.thierry-jaouen.fr. | ||
+ | A < | ||
+ | ; ---------------------------------------------------------- | ||
+ | test A | ||
+ | ; ------------ | ||
+ | ; EOF | ||
+ | |||
+ | Remplacer ''< | ||
+ | |||
+ | Et enfin, dans la conf de **'' | ||
+ | |||
+ | zone " | ||
+ | type master; | ||
+ | file "/ | ||
+ | allow-query { | ||
+ | any; | ||
+ | }; | ||
+ | # mise a jour via nsupdate ... NON SECURISE ! | ||
+ | allow-update { 127.0.0.1; }; | ||
+ | }; | ||
+ | |||
+ | Activer: | ||
+ | # rndc reload | ||
+ | |||
+ | Tester en l' | ||
+ | $ host test.leak.thierry-jaouen.fr | ||
+ | test.leak.thierry-jaouen.fr has address 1.2.3.4 | ||
+ | |||
+ | Et ça marche aussi avec : **'' | ||
=== tester === | === tester === | ||
+ | |||
+ | La mise a jour devrait maintenant fonctionner comme cela: | ||
# nsupdate | # nsupdate | ||
Ligne 590: | Ligne 673: | ||
Et voila. | Et voila. | ||
- | Un fichier " | + | Un fichier "'' |
- | A l' | + | Dorénavant, la zone dynamique sera mise à jour dans son coin, dans la sous-zone " |
- | Pour les autres zones " | + | Pour les autres zones " |
=== sécurité === | === sécurité === | ||
- | FIXME : securisé les mises a jour... | + | Si nécessaire: |
+ | # cd /etc/bind | ||
+ | # mkdir keys | ||
+ | # chown root:bind keys | ||
+ | # chmod o-rwx g-r keys | ||
+ | |||
+ | Générer la clé: | ||
+ | # cd keys | ||
+ | # dnssec-keygen -a HMAC-MD5 -b 128 -n HOST leak.thierry-jaouen.fr. | ||
+ | Kleak.thierry-jaouen.fr.+157+39541 | ||
+ | |||
+ | Créer un fichier de conf, dans **''/ | ||
+ | key " | ||
+ | algorithm hmac-md5; | ||
+ | secret "< | ||
+ | }; | ||
+ | |||
+ | **''< | ||
+ | |||
+ | Puis dans **'' | ||
+ | ... | ||
+ | include "/ | ||
+ | ... | ||
+ | Et dans la déclaration de la zone " | ||
+ | ... | ||
+ | allow-update { key " | ||
+ | ... | ||
+ | |||
+ | Activer: | ||
+ | # rndc reload | ||
+ | |||
+ | Maintenant, si on test sans clé est rejeté: | ||
+ | ... named[599]: client 127.0.0.1# | ||
+ | |||
+ | Il faut préciser la clé ainsi, et procéder: | ||
+ | # nsupdate -k Kleak.thierry-jaouen.fr.+157+39541.key | ||
+ | > server 127.0.0.1 | ||
+ | > update add toto.leak.thierry-jaouen.fr. 600 A 1.2.3.4 | ||
+ | > send | ||
+ | |||
+ | Et voila. | ||
+ | |||
+ | A ce stade, sauf problème de configuration réseau, on n'a plus besoin de préciser où est le serveur.\\ | ||
+ | La resolution DNS fait sont travail. | ||
+ | |||
+ | Exemple: | ||
+ | $ echo -n -e " | ||
+ | |||
+ | |||
+ | === Tips === | ||
+ | |||
+ | Pour avoir un " | ||
+ | # rndc dumpdb -zones | ||
serveur_dhcp.txt · Dernière modification : 2012/04/27 10:21 de thierry