Association FAImaison

Outils pour utilisateurs

Outils du site

Piste :
reseau:dns

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
Prochaine révisionLes deux révisions suivantes
reseau:dns [2015/09/06 14:00] – [Esclave DNS les autres FAI] ajout précision kheopsreseau:dns [2016/06/07 08:59] – Doc modification de zone DNS daimrod
Ligne 22: Ligne 22:
 trompe-souris.faimaison.net. 6397 IN A 89.234.129.130 trompe-souris.faimaison.net. 6397 IN A 89.234.129.130
 </code> </code>
 +
 +==== Modification de la zone ====
 +Trompe-souris fait office de DNS maître, la configuration se fait donc dessus.
 +
 +  - ssh trompe-souris.faimaison.net
 +  - cd /etc/nsd3/
 +  - cp db.faimaison.net db.faimaison.net.orig # backup avant de faire une modification :)
 +  - nano db.faimaison.net
 +    * rajouter/supprimer/modifier des entrées
 +    * remplacer le serial par la date courante (tout en haut du fichier)
 +  - vérifier avec adminsys@ # optionnel, si on n'est pas sûr de soit
 +  - Recharger la zone dns
  
 ==== Rechargement de la zone ==== ==== Rechargement de la zone ====
Ligne 29: Ligne 41:
   * Informer les slaves : ''nsdc notify''   * Informer les slaves : ''nsdc notify''
   * Recharger le serveur DNS : ''nsdc reload''   * Recharger le serveur DNS : ''nsdc reload''
 +
 +==== Reverse-DNS ====
 +
 +(voir aussi [[adminsys:reseau:adressage|Adresses publiques]])
 +
 +La gestion du reverse-DNS de nos blocs IPv4 et IPv6 nous est déléguée. Elle est donc gérée par nsd, comme les enregistrements DNS, dans un fichier de zone.
 +La seule chose qui peut être déroutante est que seule la fin (dernier octet) de l'adresse est mentionée dans le fichier de zone.
 +
 +Par exemple, l'enregistrement de reverse-DNS pour //89.234.176.**1**//, s'écrit, dans ///etc/nsd3/db.faimaison-rev-v4// :
 +
 +<code>
 +1   IN  PTR zephyr-int.faimaison.net.
 +</code>
 +
 +
 +
  
 ===== Esclave DNS pour d'autres FAI de la fédération ===== ===== Esclave DNS pour d'autres FAI de la fédération =====
-Il y a une recette ''ansible,nsd-slave.yml'', pour ajouter des zones pour lesquelles notre serveur DNS fait office d'esclave, c'est à dire qu'il peut répondre aux requêtes de la zone en faisant autorité à la place du maître si on lui demande.+Il y a une recette ansible ''nsd-slave.yml'', pour configurer des zones pour lesquelles notre serveur DNS fait office d'esclave, c'est-à-dire qu'il peut répondre aux requêtes de la zone en faisant autorité à la place du maître si on lui demande
 + 
 +Le serveur esclave prend le contenu de la zone DNS depuis le serveur maître à intervalles réguliers.
  
 La configuration du maître est laissée à la discrétion des adminsys de l'autre FAI ;-) La configuration du maître est laissée à la discrétion des adminsys de l'autre FAI ;-)
 Pour l'instant le transfert de zone a été testé avec succès et TSIG depuis un bind et depuis nsd. Pour l'instant le transfert de zone a été testé avec succès et TSIG depuis un bind et depuis nsd.
  
 +Le principe de fonctionnement de la recette ansible est le suivant :
  
-Le principe de fonctionnement est le suivant : +  * un fichier de configuration contient les informations de chaque zone : il est lu par ansible pour générer un fichier par zone servie 
-Il y a un fichier de configuration qui contient les informations de chaque zone. Ce fichier est lu par ansible pour générer un fichier par zone servie. +  * ces fichiers de zone sont inclus depuis un fichier ''slaves.zones'' qui est regénéré à chaque exécution de la recette en même temps que les fichiers de zones en eux même.
-Ces fichiers de zones sont inclus depuis un fichier ''slaves.zones'' qui est régénéré à chaque exécution de la recette en même temps que les fichier de zones en eux même.+
  
-Ensuite le fichier de configuration principal inclu le fichier de zone slave (la recette s'assure que c'est toujours le cas).+Ensuite le fichier de configuration principal inclut le fichier de zone slave (la recette s'assure que c'est toujours le cas).
  
 ==== Configuration des zones ==== ==== Configuration des zones ====
 Voici un exemple de fichier de configuration pour la recette :  Voici un exemple de fichier de configuration pour la recette : 
-<code> 
-zones: 
-  autre.fai: 
-    reverse: 0.168.192.in-addr.arpa 
-    ip: 192.168.0.7 
-    tsig: true 
-    key_name: faimaison-autreFAI 
-    secret: stoi-le-secret 
-</code> 
  
-Si l'option tsig est à true, la vérification de la clé du master sera activée, sinon ce sera le template de zone sans clé qui sera utilisé.+  zones: 
 +    autre-fai.tld: 
 +      reverse: 0.168.192.in-addr.arpa 
 +      ip: 192.168.0.7 
 +      tsig: true 
 +      key_name: faimaison-autreFAI 
 +      secret: stoi-le-secret 
 + 
 +La clé ''autre-fai.tld'' définit la zone pour laquelle on est esclave. ''ip'' est nécessaire pour donner l'adresse IP du serveur maître à contacter, et ''reverse'' donne la zone reverse. 
 + 
 +Si l'option ''tsig'' est à ''true'', la vérification de la clé du master sera activée, sinon ce sera le template de zone sans clé qui sera utilisé.
  
 Avec TSIG, le nom de la clé doit être le même côté serveur maître et côté esclave, sinon la vérification est refusée. Avec TSIG, le nom de la clé doit être le même côté serveur maître et côté esclave, sinon la vérification est refusée.
Ligne 61: Ligne 92:
  
 Pour référence, voici un exemple de ligne de commande pour générer la clé, côté maître : Pour référence, voici un exemple de ligne de commande pour générer la clé, côté maître :
-<code> + 
-dnssec-keygen -a HMAC-SHA1 -b 160 -n HOST ${FAINAME_HOSTNAME}-faimaison +  dnssec-keygen -a HMAC-SHA1 -b 160 -n HOST ${FAINAME_HOSTNAME}-faimaison
-</code>+
reseau/dns.txt · Dernière modification : 2022/11/06 01:42 de jca