Différences

Ci-dessous, les différences entre deux révisions de la page.

--- reseau:dns [2013/09/26 11:49] – Initialisation de la page sur le DNS kleph
+++ reseau:dns [2019/07/13 16:19] – [Reverse-DNS] jca
@@ Ligne 22: / Ligne 22: @@
 trompe-souris.faimaison.net. 6397 IN	A	89.234.129.130
 </code>
+==== Modification de la zone ====
+Trompe-souris fait office de DNS maître, la configuration se fait donc dessus.
+  - ssh trompe-souris.faimaison.net
+  - passer en root avec sudo -s
+  - cd /etc/nsd3/
+  - cp db.faimaison.net db.faimaison.net.orig # backup avant de faire une modification :)
+  - nano db.faimaison.net
+    * rajouter/supprimer/modifier des entrées
+    * remplacer le serial par la date courante (tout en haut du fichier)
+  - vérifier avec adminsys@ # optionnel, si on n'est pas sûr de soit
+  - Recharger la zone dns
 ==== Rechargement de la zone ====
 Pour recharger la zone après un changement (et après avoir modifié le serial, hein ;) ), il faut trois étapes :
-* Reconstruire la base de donnée de la zone : ''nsdc rebuild''
+  * Reconstruire la base de donnée de la zone : ''nsdc rebuild''
+  * Informer les slaves : ''nsdc notify''
+  * Recharger le serveur DNS : ''nsdc reload''
+==== Reverse-DNS ====
+(voir aussi [[adminsys:reseau:adressage|Adresses publiques]])
+La gestion du reverse-DNS de nos blocs IPv4 et IPv6 nous est déléguée. Elle est donc gérée par nsd, comme les enregistrements DNS, dans un fichier de zone.
+La seule chose qui peut être déroutante est que seule la fin (dernier octet) de l'adresse est mentionée dans le fichier de zone.
+Par exemple, l'enregistrement de reverse-DNS pour //89.234.176.**252**//, s'écrit, dans ///etc/nsd3/db.faimaison-rev-v4// :
+<code>
+   IN  PTR fresk.faimaison.net.
+</code>
+===== Esclave DNS pour d'autres FAI de la fédération =====
+Il y a une recette ansible ''nsd-slave.yml'', pour configurer des zones pour lesquelles notre serveur DNS fait office d'esclave, c'est-à-dire qu'il peut répondre aux requêtes de la zone en faisant autorité à la place du maître si on lui demande.
+Le serveur esclave prend le contenu de la zone DNS depuis le serveur maître à intervalles réguliers.
+La configuration du maître est laissée à la discrétion des adminsys de l'autre FAI ;-)
+Pour l'instant le transfert de zone a été testé avec succès et TSIG depuis un bind et depuis nsd.
+Le principe de fonctionnement de la recette ansible est le suivant :
+  * un fichier de configuration contient les informations de chaque zone : il est lu par ansible pour générer un fichier par zone servie
+  * ces fichiers de zone sont inclus depuis un fichier ''slaves.zones'' qui est regénéré à chaque exécution de la recette en même temps que les fichiers de zones en eux même.
+Ensuite le fichier de configuration principal inclut le fichier de zone slave (la recette s'assure que c'est toujours le cas).
+==== Configuration des zones ====
+Voici un exemple de fichier de configuration pour la recette :
+  zones:
+    autre-fai.tld:
+      reverse: 0.168.192.in-addr.arpa
+      ip: 192.168.0.7
+      tsig: true
+      key_name: faimaison-autreFAI
+      secret: stoi-le-secret
+La clé ''autre-fai.tld'' définit la zone pour laquelle on est esclave. ''ip'' est nécessaire pour donner l'adresse IP du serveur maître à contacter, et ''reverse'' donne la zone reverse.
+Si l'option ''tsig'' est à ''true'', la vérification de la clé du master sera activée, sinon ce sera le template de zone sans clé qui sera utilisé.
+Avec TSIG, le nom de la clé doit être le même côté serveur maître et côté esclave, sinon la vérification est refusée.
+Le partage des clé sera de préférence à faire de manière chiffrée entre les adminsys de l'autre et les adminsys d'ici.
-* Informer les slaves : ''nsdc notify''
+Pour référence, voici un exemple de ligne de commande pour générer la clé, côté maître :
-* Recharger le serveur DNS : ''nsdc reload''
+  dnssec-keygen -a HMAC-SHA1 -b 160 -n HOST ${FAINAME_HOSTNAME}-faimaison