tj - Wiki

Outils pour utilisateurs

Outils du site

Piste :
serveur_bind

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
serveur_bind [2009/01/25 16:32] thierryserveur_bind [2012/04/11 18:44] (Version actuelle) thierry
Ligne 1: Ligne 1:
 ====== BIND ====== ====== BIND ======
 Ou DNS ou "named" Ou DNS ou "named"
 +
 +Lien: http://zero202.free.fr/cs61-dns/html/ar01s03.html
 +
 ===== installer ===== ===== installer =====
 ==== package ==== ==== package ====
Ligne 48: Ligne 51:
      
   // </tj>   // </tj>
 +
 +
 +
  
  
Ligne 119: Ligne 125:
   };   };
  
-| :!: Il aurait pas un defaut d'authentification ??? |+| :!: La securité tient simplement aux adresses IP ! c'est mince. \\ Voir la section suivant pour l'authentification. | 
 + 
 +=== Notify === 
 + 
 +Lien: http://docstore.mik.ua/orelly/networking_2ndEd/dns/ch10_03.htm 
 + 
 +En l'etat, les mises a jour des zones seront faites en fonction du paramètre "refresh" (dans le SOA)... 
 + 
 +Si on veut une "notification" rapide de la mise a jour d'une zone, alors, dans le fichier "SOA" du maitre, il faut ajouter les "slaves". Par exemple: 
 +  SOA .... 
 +  ... 
 +            NS ns.thierry-jaouen.fr 
 +            NS ns-slave1.xxxxxxx.xxx 
 +            NS ns-slave2.xxxxxxx.xxx 
 +"ns-slave1" et "ns-slave2" seront notifiés des modifications du maitres: en retour, ils devront interroger le maître pour ce mettre a jour. 
 + 
 +Lorsqu'on a un "slave" intermediare qui doit notifier une modification a un autre slave, en cascade, il faut ajouter dans la déclaration de cette zone "slave": 
 +  type slave; 
 +  ... 
 +  also-notify { ip-d-un-autre-slave; }; 
 +  ... 
 +   
 + 
 +==== Delegate Zone ==== 
 + 
 +Le but: déléguer un sous domaine a un autre DNS, ainsi que le reverse. 
 + 
 +Exemple de sous-domaine: 
 +  univers.thierry-jaouen.local 
 + 
 +Afin que ca fonctionne bien, surtout pour le reverse , on doit attribuer une tranche d'un reseau, comme: 
 +  192.168.16.192/28 
 +... ce qui délègue l'usage des ip 192.168.16.192 a 192.168.16.207. 
 + 
 +=== zone === 
 +Lien: http://www.zytrax.com/books/dns/ch9/delegate.html 
 + 
 +=== reverse === 
 +Lien: http://www.zytrax.com/books/dns/ch9/reverse.html 
 + 
 +==== TSIG ==== 
 + 
 +=== authentifier un slave === 
 +Lien: [[http://www.cyberciti.biz/faq/unix-linux-bind-named-configuring-tsig/]] 
 + 
 +== generer key == 
 + 
 +Dans un répertoire du maitre (ou de l'esclave), taper ça: 
 +  # dnssec-keygen -a HMAC-MD5 -b 128 -n HOST rndc-key 
 +Ca va créer 2 fichiers avec de droles de noms (par exemple): 
 +   
 +  -rw------- 1 root bind   81 2009-01-27 23:14 Krndc-key.+157+26049.private 
 +  -rw------- 1 root bind   52 2009-01-27 23:14 Krndc-key.+157+26049.key 
 +Mais peu importe: on veut juste extraire la clé qui est dedans, et puis effacer ces fichiers ! Exemple: 
 +  ... <snip> ... 
 +  Key: 0jnu3SdsMvzzlmTDPYRceA== 
 +  ... <snip> ... 
 + 
 +== fichier key == 
 + 
 +Sur le maitre et sur le slave, on peut faire comme cela: 
 +  # cd /etc/bind 
 +  # mkdir keys 
 +  # chown root:bind keys 
 +  # chmod o-rx keys 
 +  # cd keys 
 +Creer un fichier , par exemple **''bindtest-netcave.key''** et mettant dedans: 
 +  key "bindtest-netcave"
 +    algorithm hmac-md5; 
 +    secret "0jnu3SdsMvzzlmTDPYRceA=="; 
 +  }; 
 + 
 +== named.conf.local == 
 +Inserer enfin la configuration suivante dans ''bind'' (dans "named.conf.local" ou ailleurs) : 
 +  include "/etc/bind/keys/bindtest-netcave.key"; 
 + 
 +et puis pour le maitre: 
 +  server <IP_DU_SLAVE>
 +    keys { 
 +        bindtest-netcave; 
 +    }; 
 +  }; 
 +sinon pour l'esclave: 
 +  server <IP_DU_MAITRE>
 +    keys { 
 +        bindtest-netcave; 
 +    }; 
 +  }; 
 + 
 +Le reste ne change pas. C'est a dire qu'on a toujours, un peu plus loin (juste aprés par exemple):\\ 
 +Pour le maitre par exemple: 
 +  zone "underworld.local"
 +        type master; 
 +        file "/etc/bind/LOCAL/db.underworld.local"; 
 +        allow-query { 
 +                10.22.0/24; 
 +        }; 
 +        allow-transfer { 
 +                <IP_DU_SLAVE>; 
 +        }; 
 +  }; 
 + 
 +Si j'ai bien compris, la declaration "server" s'applique partout où l'on retrouve la même IP...? 
 + 
 +===== Tips ===== 
 +==== Vider le cache pour tout ==== 
 + 
 +Sans redemarrer: 
 + 
 +  # rndc flush 
 + 
 +==== Vider cache pour 1 domaine ==== 
 +Lien: http://www.bortzmeyer.org/vider-cache-resolveur.html 
 + 
 +A tester: 
 +  # rndc flushname www.free.fr 
 +  
 + 
 +==== dump cache ==== 
 + 
 +Lien: http://ubuntuforums.org/showthread.php?t=903651 
 + 
 +Voir un etat du cache bind: 
 +  # rndc dumpdb -cache 
 + 
 +Et regarder dans le fichier là: 
 +  /var/cache/bind/named_dump.db 
 + 
 +==== reload etc... ==== 
 +Il y a 2 manières de recharger la config: 
 +  # /etc/init.d/bind9 reload 
 +  Reloading domain name service...: bind. 
 +Ou bien: 
 +  # rndc reload 
 +  server reload successful 
 + 
 +==== CIDR ==== 
 + 
 +Liens: 
 +  *http://fr.wikipedia.org/wiki/Domain_Name_System 
 + 
 +===== Performance ===== 
 + 
 +Tester les perfs: http://www.bortzmeyer.org/performances-serveur-dns.html 
 + 
 +Limiter les DoS: http://www.bortzmeyer.org/rate-limiting-dns-open-resolver.html
  
serveur_bind.1232901172.txt.gz · Dernière modification : 2009/01/25 16:32 de thierry