Table des matières
Ceci est une ancienne révision du document !
Zone DNS faimaison.net
La zone maître est sur trompe-souris, servie par nsd.
Pour référence, voici la sortie d'un dig -t SOA
de la zone en fonctionnement normal :
;; ANSWER SECTION: faimaison.net. 6635 IN SOA trompe-souris.faimaison.net. adminsys.faimaison.net. 2013083100 10800 3600 604800 3600 ;; AUTHORITY SECTION: faimaison.net. 6397 IN NS chomsky.autogeree.net. faimaison.net. 6397 IN NS ns2.faimaison.net. faimaison.net. 6397 IN NS trompe-souris.faimaison.net. faimaison.net. 6397 IN NS ns6.gandi.net. ;; ADDITIONAL SECTION: ns2.faimaison.net. 6635 IN A 88.191.132.173 ns2.faimaison.net. 49250 IN AAAA 2a01:e0b:1:132:62eb:69ff:fe07:f4e6 ns6.gandi.net. 48027 IN A 217.70.177.40 chomsky.autogeree.net. 48634 IN A 91.216.110.36 trompe-souris.faimaison.net. 6397 IN A 89.234.129.130
Rechargement de la zone
Pour recharger la zone après un changement (et après avoir modifié le serial, hein ;) ), il faut trois étapes :
- Reconstruire la base de donnée de la zone :
nsdc rebuild
- Informer les slaves :
nsdc notify
- Recharger le serveur DNS :
nsdc reload
Esclave DNS pour d'autres FAI de la fédération
Il y a une recette ansible nsd-slave.yml
, pour configurer des zones pour lesquelles notre serveur DNS fait office d'esclave, c'est-à-dire qu'il peut répondre aux requêtes de la zone en faisant autorité à la place du maître si on lui demande.
Le serveur esclave prend le contenu de la zone DNS depuis le serveur maître à intervalles réguliers.
La configuration du maître est laissée à la discrétion des adminsys de l'autre FAI Pour l'instant le transfert de zone a été testé avec succès et TSIG depuis un bind et depuis nsd.
Le principe de fonctionnement de la recette ansible est le suivant :
- un fichier de configuration contient les informations de chaque zone : il est lu par ansible pour générer un fichier par zone servie
- ces fichiers de zone sont inclus depuis un fichier
slaves.zones
qui est regénéré à chaque exécution de la recette en même temps que les fichiers de zones en eux même.
Ensuite le fichier de configuration principal inclut le fichier de zone slave (la recette s'assure que c'est toujours le cas).
Configuration des zones
Voici un exemple de fichier de configuration pour la recette :
zones: autre.fai: reverse: 0.168.192.in-addr.arpa ip: 192.168.0.7 tsig: true key_name: faimaison-autreFAI secret: stoi-le-secret
Si l'option tsig est à true, la vérification de la clé du master sera activée, sinon ce sera le template de zone sans clé qui sera utilisé.
Avec TSIG, le nom de la clé doit être le même côté serveur maître et côté esclave, sinon la vérification est refusée. Le partage des clé sera de préférence à faire de manière chiffrée entre les adminsys de l'autre et les adminsys d'ici.
Pour référence, voici un exemple de ligne de commande pour générer la clé, côté maître :
dnssec-keygen -a HMAC-SHA1 -b 160 -n HOST ${FAINAME_HOSTNAME}-faimaison