Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format
PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
atelier:chantier:dns-bind9-sur-wheezy [01/09/2014 09:29] Hypathie [Installer un server DNS en local bind9] |
atelier:chantier:dns-bind9-sur-wheezy [01/09/2014 10:40] Hypathie [Générer une clé d'authentification avec l'utilitaire rndc] |
||
---|---|---|---|
Ligne 491: | Ligne 491: | ||
> exit</code> | > exit</code> | ||
+ | =====Générer une clé d'authentification avec l'utilitaire rndc===== | ||
+ | |||
+ | Cet utilitaire permet d'administrer notre serveur. Après l'installation de Bind, la première chose à faire est de configurer rndc, ce qui consiste à configurer une clé d'authentification relative à la configuration de son réseau local.\\ | ||
+ | |||
+ | BIND contient un utilitaire appelé rndc qui permet d'utiliser des lignes de commande pour administrer le démon named à partir de l'hôte local ou d'un hôte distant. | ||
+ | |||
+ | Afin d'empêcher l'accès non-autorisé au démon named, BIND utilise une méthode d'authentification à clé secrète partagée pour accorder des privilèges aux hôtes. Ainsi, une clé identique doit être présente aussi bien dans /etc/named.conf que dans le fichier de configuration de rndc, à savoir /etc/rndc.conf. | ||
+ | |||
+ | <note> | ||
+ | __Remarques sur la configuration de rndc.__\\ | ||
+ | |||
+ | Pour utiliser rmdc à distance mettre sur la machine qui génère rndc les info données en sortie par la commande rndc-confgen à mettre dans **rndc.conf** et sur le serveur distant les infos à mettre dans **named.conf**. | ||
+ | |||
+ | </note> | ||
+ | |||
+ | * Dans /etc/bind/ on voit le fichier rndc.key : | ||
+ | |||
+ | <code root>ls /etc/bind/</code> | ||
+ | <code> | ||
+ | bind.keys db.empty named.conf.default-zones zones.rfc1918 | ||
+ | db.0 db.local named.conf.local | ||
+ | db.127 db.root named.conf.options | ||
+ | db.255 named.conf rndc.key | ||
+ | </code> | ||
+ | |||
+ | <note warning> | ||
+ | **rndc.key ne s'édite pas !** | ||
+ | </note> | ||
+ | |||
+ | * Générer une clé : | ||
+ | |||
+ | <code root>rndc-confgen >/etc/bind/rndc.key</code> | ||
+ | |||
+ | * Indiquer le fichier rndc.key à la fin de /etc/bind/named.conf : | ||
+ | <code root>echo 'include "/etc/bind/rndc.key";' >> /etc/bind/named.conf</code> | ||
+ | |||
+ | * Éditer /etc/bind/rndc.key pour commenter toute la fin à partir de ''options {'' : | ||
+ | <code root>vim /etc/bind/rndc.key</code> | ||
+ | <code># Start of rndc.conf | ||
+ | key "rndc-key" { | ||
+ | algorithm hmac-md5; | ||
+ | secret "xxxxxxxxxxxxxxxxx"; | ||
+ | }; | ||
+ | |||
+ | #options { | ||
+ | # default-key "rndc-key"; | ||
+ | # default-server 127.0.0.1; | ||
+ | # default-port 953; | ||
+ | #}; | ||
+ | # End of rndc.conf | ||
+ | |||
+ | # Use with the following in named.conf, adjusting the allow list as needed: | ||
+ | # key "rndc-key" { | ||
+ | # algorithm hmac-md5; | ||
+ | # secret "xxxxxxxxxxxxxx"; | ||
+ | # }; | ||
+ | # | ||
+ | # controls { | ||
+ | # inet 127.0.0.1 port 953 | ||
+ | # allow { 127.0.0.1; } keys { "rndc-key"; }; | ||
+ | # }; | ||
+ | # End of named.conf | ||
+ | </code> | ||
+ | |||
+ | ===Configurer les zones qui utilise la clé === | ||
+ | |||
+ | * Éditer /etc/bind/named/conf.local : | ||
+ | |||
+ | <code root>vim /etc/bind/named.conf.local</code> | ||
+ | <code>// | ||
+ | // Do any local configuration here | ||
+ | // | ||
+ | |||
+ | // Consider adding the 1918 zones here, if they are not used in your | ||
+ | // organization | ||
+ | //include "/etc/bind/zones.rfc1918"; | ||
+ | zone "mondomaine.hyp" { | ||
+ | type master; | ||
+ | file "/etc/bind/db.mondomaine.hyp"; | ||
+ | allow-update {key rndc-key;}; | ||
+ | }; | ||
+ | zone "0.168.192.in-addr.arpa" { | ||
+ | type master; | ||
+ | file "/etc/bind/db.192"; | ||
+ | allow-update {key rndc-key;}; | ||
+ | }; | ||
+ | </code> | ||
+ | |||
+ | ===Relancer bind9=== | ||
+ | |||
+ | <code root>/etc/init.d/bind9 restart</code> | ||
+ | |||
+ | <code>[....] Stopping domain name service...: bind9waiting for pid 5441 to die | ||
+ | . ok | ||
+ | [ ok ] Starting domain name service...: bind9.</code> | ||
=====Côté client ===== | =====Côté client ===== |