Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format
PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
utilisateurs:hypathie:tutos:dns-bind [31/08/2014 13:10] Hypathie [Générer une clé d'authentification avec l'utilitaire rndc] |
utilisateurs:hypathie:tutos:dns-bind [31/08/2014 15:22] Hypathie [Introduction au DNS] |
||
---|---|---|---|
Ligne 6: | Ligne 6: | ||
===== Introduction au DNS===== | ===== Introduction au DNS===== | ||
- | ====Quelques bases ==== | + | ====Quelques bases au DNS ==== |
- | ===Le DNS === | + | |
DNS permet une correspondance entre nom d'hôte (FQDN) et adresse IP.\\ | DNS permet une correspondance entre nom d'hôte (FQDN) et adresse IP.\\ | ||
Principe de hiérarchie :\\ | Principe de hiérarchie :\\ | ||
Ligne 44: | Ligne 44: | ||
Donc les serveur qui font autorité sur un domaine sont, soit des serveurs primaires, soit des serveurs secondaires s'ils ont une copie de ces informations.\\ | Donc les serveur qui font autorité sur un domaine sont, soit des serveurs primaires, soit des serveurs secondaires s'ils ont une copie de ces informations.\\ | ||
- | ====Bind ==== | + | ====Composants de bind 9 ==== |
- | Berkeley Internet Name Daemon | + | bind : Berkeley Internet Name Daemon |
Version 9 : stable, sécurisée est celle dont il s'agit . | Version 9 : stable, sécurisée est celle dont il s'agit . | ||
Ligne 51: | Ligne 51: | ||
(Version 10 depuis 2013 intègre le DHCP.) | (Version 10 depuis 2013 intègre le DHCP.) | ||
- | ===Composants === | + | ===Le programme qui lance le server : /usr/sbin/named=== |
- | *Le programme qui lance le server : /usr/sbin/named\\ | + | ===L'utilitaire de contrôle : /usr/sbin/rndc=== |
- | *L'utilitaire de contrôle : /usr/sbin/rndc\\ | + | ===Le fichier de configuration centrale : /etc/bind/named.conf=== |
- | + | Il peut se trouver dans différents dossiers (sécurité, chroot) par exemple dans /etc/named.conf ou /etc/\\ | |
- | *Le fichier de configuration centrale : **/etc/bind/named.conf**\\ Il peut se trouver dans différents dossiers (sécurité, chroot) par exemple dans /etc/named.conf ou /etc/\\ | + | |
*On peut externaliser certaines points de configuration de ce fichier central dans des fichiers;\\ **/etc/bind/named.conf.local**\\ **/etc/bind/named.conf.options** | *On peut externaliser certaines points de configuration de ce fichier central dans des fichiers;\\ **/etc/bind/named.conf.local**\\ **/etc/bind/named.conf.options** | ||
- | *Il y a un init script : /etc/init.d/bind. | + | ===Il y a un init script : /etc/init.d/bind=== |
- | *Un répertoire de travail : /var/named/ | + | ===Un répertoire de travail : /var/named/ === |
- | Dans le dossier **/etc/bind/**, il y a "named.conf" ..., ainsi que des fichiers commençant par **''db''** qui sont les fichiers de configuration de zones. | + | ====Syntaxe des fichiers de configuration ==== |
- | + | ||
- | ===Syntaxe des fichiers de configuration === | + | |
(named.conf, named.conf.local, named.conf.options, etc.) | (named.conf, named.conf.local, named.conf.options, etc.) | ||
- | Toujours un point virgule pour finir une instruction. | + | * Toujours un point virgule pour finir une instruction. |
* __Instruction entre accolades :__ | * __Instruction entre accolades :__ | ||
Ligne 93: | Ligne 90: | ||
//Souvent dans le fichier "named.conf.options//.\\ | //Souvent dans le fichier "named.conf.options//.\\ | ||
- | |||
- | __Une seule instruction par named.conf__. | ||
Dans l'instruction "option" du fichier named.conf.options, on peut donner les instructions suivantes: | Dans l'instruction "option" du fichier named.conf.options, on peut donner les instructions suivantes: | ||
Ligne 104: | Ligne 99: | ||
|version | version du serveur à afficher quand le serveur est interrogé| version none ; | | |version | version du serveur à afficher quand le serveur est interrogé| version none ; | | ||
- | ===L'instruction logging === | ||
- | |||
- | L'instruction logging permet de modifier les comportements par défaut pour chaque catégorie. | ||
- | |||
- | Une catégorie est un type d'information à logger (security, lame-server, cname...).\\ | ||
- | On associe une "chaîne (channel) à la catégorie pour indiquer la sortie vers laquelle il envoie ses réponses ("null" : pas d'information ; "default-syslog" : comportement du système.\\ | ||
- | |||
- | Un seul logging par named.conf. | ||
- | <code> | ||
- | logging { | ||
- | category cat { channel; }; | ||
- | ... | ||
- | }; | ||
- | </code> | ||
- | -> la configuration par défaut est bonne, il n'y a pas à modifier. On peut mettre cela dans un fichier extérieur à bind.conf | ||
===L'instruction zones=== | ===L'instruction zones=== | ||
Ligne 647: | Ligne 627: | ||
</note> | </note> | ||
- | |||
- | |||
- | |||
- | ===== Configuration de bind en cache only ===== | ||
- | |||
- | ===Éditer le fichier /etc/bind/named.conf=== | ||
- | Il faut commenter la ligne **''include "/etc/bind/named.conf/example-zone";''**.\\ | ||
- | Ainsi il ne fait autorité que la zone locale 127.0.0. | ||
- | <code>vim /etc/bind/named.conf</code> | ||
- | <code>// This is the primary configuration file for the BIND DNS server named. | ||
- | // | ||
- | // Please read /usr/share/doc/bind9/README.Debian.gz for information on the | ||
- | // structure of BIND configuration files in Debian, *BEFORE* you customize | ||
- | // this configuration file. | ||
- | // | ||
- | // If you are just adding zones, please do that in /etc/bind/named.conf.local | ||
- | |||
- | include "/etc/bind/named.conf.options"; | ||
- | include "/etc/bind/named.conf.local"; | ||
- | //include "/etc/bind/named.conf.default-zones"; | ||
- | </code> | ||
- | |||
- | >On voit dans ce fichier le différents fichiers de configuration. | ||
- | > Il n'y a pas à modifier /etc/bind/named.con.default-zone. | ||
- | |||
- | ===Éditer le fichier /etc/bind/named.conf.options=== | ||
- | Pour ajouter l'indication "forwarder only". | ||
- | |||
- | <code root>options { | ||
- | directory "/var/cache/bind"; | ||
- | |||
- | // If there is a firewall between you and nameservers you want | ||
- | // to talk to, you may need to fix the firewall to allow multiple | ||
- | // ports to talk. See http://www.kb.cert.org/vuls/id/800113 | ||
- | |||
- | // If your ISP provided one or more IP addresses for stable | ||
- | // nameservers, you probably want to use them as forwarders. | ||
- | // Uncomment the following block, and insert the addresses replacing | ||
- | // the all-0's placeholder. | ||
- | |||
- | forwarders { | ||
- | 192.168.0.1; | ||
- | 8.8.8.8; | ||
- | 8.8.4.4; | ||
- | 212.27.40.240; | ||
- | 212.27.40.241; | ||
- | }; | ||
- | |||
- | //======================================================================== | ||
- | // If BIND logs error messages about the root key being expired, | ||
- | // you will need to update your keys. See https://www.isc.org/bind-keys | ||
- | //======================================================================== | ||
- | dnssec-validation auto; | ||
- | |||
- | auth-nxdomain no; # conform to RFC1035 | ||
- | version none; | ||
- | forward only; | ||
- | // listen-on-v6 { any; }; | ||
- | }; | ||
- | |||
- | </code> | ||
- | > on peut mettre aussi les serveur DNS de google "8.8.8.8" et "8.8.4.4". | ||
- | |||
- | ===Mettre l'adresse locale dans /etc/resolv.conf=== | ||
- | <code root>vim /etc/resolv.conf</code> | ||
- | <code>nameserver 127.0.0.1 | ||
- | nameserver 8.8.8.8 | ||
- | nameserver 8.8.4.4 | ||
- | nameserver 212.27.40.240 | ||
- | nameserver 212.27.40.241</code> | ||