serveur_dhcp
Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédenteDernière révisionLes deux révisions suivantes | ||
serveur_dhcp [2012/04/18 10:02] – thierry | serveur_dhcp [2012/04/18 13:10] – thierry | ||
---|---|---|---|
Ligne 227: | Ligne 227: | ||
# dnssec-keygen -a hmac-md5 -b 128 -n USER dhcpupdate-local-tjaouen-fr | # dnssec-keygen -a hmac-md5 -b 128 -n USER dhcpupdate-local-tjaouen-fr | ||
Kdhcpupdate-local-tjaouen-fr.+xxx+xxxxx | Kdhcpupdate-local-tjaouen-fr.+xxx+xxxxx | ||
+ | |||
+ | | :!: '' | ||
+ | |||
+ | |||
On a donc 2 fichiers: | On a donc 2 fichiers: | ||
-rw------- 1 root bind 92 déc 36 12:03 Kdhcpupdate-local-tjaouen-fr.+xxx+xxxxx.private | -rw------- 1 root bind 92 déc 36 12:03 Kdhcpupdate-local-tjaouen-fr.+xxx+xxxxx.private | ||
Ligne 560: | Ligne 564: | ||
... named[599]: / | ... named[599]: / | ||
- | | :!: tout les utilisateurs qui ont localement accès a nsupdate pourront mettre a jour des entrées !!!! | | + | | :!: problème de droits corrigés, |
- | Et puis je n'ai que quelques entrées dynamiques a mettre à jour... | + | On va créer une sous-zone dans laquelle on pourra faire nos mises à jour. |
- | Donc, on va créer une sous-zone dans laquelle on pourra faire nos mises à jour. | + | |
| :!: les fichiers " | | :!: les fichiers " | ||
- | |||
==== installation ==== | ==== installation ==== | ||
Ligne 606: | Ligne 608: | ||
# cd /etc/bind | # cd /etc/bind | ||
# mkdir UPDATE-MASTER | # mkdir UPDATE-MASTER | ||
- | # chmod g+w UPDATE_MASTER | + | # chmod g+w UPDATE-MASTER |
Créer le nouveau fichier de zone: | Créer le nouveau fichier de zone: | ||
Ligne 631: | Ligne 633: | ||
A < | A < | ||
; ---------------------------------------------------------- | ; ---------------------------------------------------------- | ||
- | test A 123.123.123.123 | + | test A 1.2.3.4 |
; ------------ | ; ------------ | ||
; EOF | ; EOF | ||
Ligne 654: | Ligne 656: | ||
Tester en l' | Tester en l' | ||
$ host test.leak.thierry-jaouen.fr | $ host test.leak.thierry-jaouen.fr | ||
- | test.leak.thierry-jaouen.fr has address | + | test.leak.thierry-jaouen.fr has address |
| | ||
Et ça marche aussi avec : **'' | Et ça marche aussi avec : **'' | ||
Ligne 679: | Ligne 681: | ||
=== sécurité === | === sécurité === | ||
- | FIXME : securisé les mises a jour... | + | Si nécessaire: |
+ | # cd /etc/bind | ||
+ | # mkdir keys | ||
+ | # chown root:bind keys | ||
+ | # chmod o-rwx g-r keys | ||
+ | |||
+ | Générer la clé: | ||
+ | # cd keys | ||
+ | # dnssec-keygen -a HMAC-MD5 -b 128 -n HOST leak.thierry-jaouen.fr. | ||
+ | Kleak.thierry-jaouen.fr.+157+39541 | ||
+ | |||
+ | Créer un fichier de conf, dans **''/ | ||
+ | key " | ||
+ | algorithm hmac-md5; | ||
+ | secret "< | ||
+ | }; | ||
+ | |||
+ | **''< | ||
+ | |||
+ | Puis dans **'' | ||
+ | ... | ||
+ | include "/ | ||
+ | ... | ||
+ | Et dans la déclaration de la zone " | ||
+ | ... | ||
+ | allow-update { key " | ||
+ | ... | ||
+ | |||
+ | Activer: | ||
+ | # rndc reload | ||
+ | |||
+ | Maintenant, si on test sans clé est rejeté: | ||
+ | ... named[599]: client 127.0.0.1# | ||
+ | |||
+ | Il faut préciser la clé ainsi, et procéder: | ||
+ | # nsupdate -k Kleak.thierry-jaouen.fr.+157+39541.key | ||
+ | > server 127.0.0.1 | ||
+ | > update add toto.leak.thierry-jaouen.fr. 600 A 1.2.3.4 | ||
+ | > send | ||
+ | |||
+ | Et voila. | ||
+ | |||
+ | A ce stade, sauf problème de configuration réseau, on n'a plus besoin de préciser où est le serveur.\\ | ||
+ | La resolution DNS fait sont travail. | ||
+ | |||
+ | Exemple: | ||
+ | $ echo -n -e " | ||
+ | |||
+ | |||
+ | === Tips === | ||
+ | |||
+ | Pour avoir un " | ||
+ | # rndc dumpdb -zones | ||
serveur_dhcp.txt · Dernière modification : 2012/04/27 10:21 de thierry