Différences

Ci-dessous, les différences entre deux révisions de la page.

--- serveur_dhcp [2012/04/18 10:02] – thierry
+++ serveur_dhcp [2012/04/27 10:21] (Version actuelle) – thierry
@@ Ligne 227: / Ligne 227: @@
   # dnssec-keygen -a hmac-md5 -b 128 -n USER dhcpupdate-local-tjaouen-fr
   Kdhcpupdate-local-tjaouen-fr.+xxx+xxxxx
+| :!: ''-n USER'' ou ''-n HOST'' ? |
 On a donc 2 fichiers:
   -rw------- 1 root bind   92 déc 36 12:03 Kdhcpupdate-local-tjaouen-fr.+xxx+xxxxx.private
@@ Ligne 560: / Ligne 564: @@
   ... named[599]: /etc/bind/MASTER/db.thierry-jaouen.fr.jnl: create: permission denied
-| :!: tout les utilisateurs qui ont localement accès a nsupdate pourront mettre a jour des entrées !!!!  |
+| :!: problème de droits corrigés, tout les utilisateurs qui ont localement accès a nsupdate pourront mettre a jour des entrées !!!!  |
-Et puis je n'ai que quelques entrées dynamiques a mettre à jour...
+On va créer une sous-zone dans laquelle on pourra faire nos mises à jour.
-Donc, on va créer une sous-zone dans laquelle on pourra faire nos mises à jour.
 | :!: les fichiers "*.jnl" sont polluant... separer les zones statiques des zones dynamiques! |
 ==== installation ====
@@ Ligne 606: / Ligne 608: @@
   # cd /etc/bind
   # mkdir UPDATE-MASTER
-  # chmod g+w UPDATE_MASTER
+  # chmod g+w UPDATE-MASTER
 Créer le nouveau fichier de zone:
@@ Ligne 631: / Ligne 633: @@
                         A               <IP_DE_NS.THIERRY.JAOUEN.FR>
   ; ----------------------------------------------------------
-  test                  A               123.123.123.123
+  test                  A               1.2.3.4
   ; ------------
   ; EOF
@@ Ligne 654: / Ligne 656: @@
 Tester en l'etat:
   $ host test.leak.thierry-jaouen.fr
-  test.leak.thierry-jaouen.fr has address 123.123.123.123
+  test.leak.thierry-jaouen.fr has address 1.2.3.4
 Et ça marche aussi avec : **''test.thierry-jaouen.fr''** , grâce a l'alias.
@@ Ligne 679: / Ligne 681: @@
 === sécurité ===
-FIXME : securisé les mises a jour...
+Si nécessaire:
+  # cd /etc/bind
+  # mkdir keys
+  # chown root:bind keys
+  # chmod o-rwx g-r keys
+Générer la clé:
+  # cd keys
+  # dnssec-keygen -a HMAC-MD5 -b 128 -n HOST leak.thierry-jaouen.fr.
+  Kleak.thierry-jaouen.fr.+157+39541
+Créer un fichier de conf, dans **''/etc/bind/keys''** , par exemple: ''leak.thierry-jaouen.fr.conf'' :
+  key "leak.thierry-jaouen.fr." {
+    algorithm hmac-md5;
+    secret "<SECRET>";
+  };
+**''<SECRET>''** est a extraire de la ligne "Key" dans le fichier ".private" créé.
+Puis dans **''named.conf.local'' **  :
+  ...
+  include "/etc/bind/keys/leak.thierry-jaouen.fr.conf";
+  ...
+Et dans la déclaration de la zone "leak.thierry-jaouen.fr" , remplacer la ligne "allow-update" par:
+  ...
+  allow-update { key "leak.thierry-jaouen.fr."; };
+  ...
+Activer:
+  # rndc reload
+Maintenant, si on test sans clé est rejeté:
+  ... named[599]: client 127.0.0.1#1470: update 'leak.thierry-jaouen.fr/IN' denied
+Il faut préciser la clé ainsi, et procéder:
+  # nsupdate -k Kleak.thierry-jaouen.fr.+157+39541.key
+  > server 127.0.0.1
+  > update add toto.leak.thierry-jaouen.fr. 600 A 1.2.3.4
+  > send
+Et voila.
+A ce stade, sauf problème de configuration réseau, on n'a plus besoin de préciser où est le serveur.\\
+La resolution DNS fait sont travail.
+Exemple:
+  $ echo -n -e "update delete toto.leak.thierry-jaouen.fr. A\nsend\n" | nsupdate -k Kleak.thierry-jaouen.fr.+157+39541.key
+=== Tips ===
+== dump ==
+Pour avoir un "dump" des evolutions de cette zone dynamique, on peut utiliser:
+  # rndc dumpdb -zones
+== update ==
+FIXME : c'est sur ?
+Par la suite, tout les enregistrements de la zone devront être fait via "nsupdate".
+Je n'ai pas compris s'il etait possible (et normal) d'éditer les fichiers a la main... (je ne parle pas du ".jnl" )