dns-linux

March 19, 2018 | Author: Mouna Chan | Category: Domain Name, Server (Computing), Ip Address, Information Age, Wide Area Network
Share
Report this link


Comments



Description

Installation et configuration d'un serveur DNS sous Linuxpar Guillaume Sigui (Page d'accueil) (Blog) Date de publication : 22 Avril 2009 Dernière mise à jour : 14 Décembre 2009 Cet tutoriel aborde l'installation et la configuration d'un serveur DNS sous Linux. Il décrit aussi le fonctionnement des serveurs DNS dans le monde. Vu l'importance de plus en plus accrue du DNS, il convient de présenter un article qui en aborde les aspects généraux et techniques fondamentaux. Il est adressé à tout public: débutants et experts. Installation et configuration d'un serveur DNS sous Linux par Guillaume Sigui (Page d'accueil) (Blog) Introduction...................................................................................................................................................................3 I - GENERALITES....................................................................................................................................................... 3 I-1 - Avènement des noms de domaine................................................................................................................ 3 I-2 - Définition d'un serveur DNS...........................................................................................................................3 I-3 - Quelques notions fondamentales...................................................................................................................4 I-3-1 - Notion de domaine................................................................................................................................ 4 I-3-2 - Notion d'hôte.......................................................................................................................................... 4 I-3-3 - Notion de zone...................................................................................................................................... 4 I-4 - Architecture de fonctionnement sur internet.................................................................................................. 4 I-4-1 - Architecture logique de fonctionnement................................................................................................ 4 I-4-2 - Gestion des requêtes DNS sur internet................................................................................................ 8 I-4-3 - Serveurs racines du DNS et serveurs du domaine de premier niveau................................................. 8 I-4-4 - Serveurs du domaine de deuxième niveau et notions de registre...................................................... 10 I-5 - Architecture de fonctionnement sur intranet................................................................................................ 10 I-6 - Fonctionnement interne du serveur............................................................................................................. 10 II - INSTALLATION ET CONFIGURATION DE BASE...............................................................................................11 II-1 - Paquet d'installation.....................................................................................................................................11 II-2 - Installation....................................................................................................................................................11 II-3 - Configuration de base................................................................................................................................. 11 II-3-1 - Problématique..................................................................................................................................... 11 II-3-2 - Configuration du fichier principal........................................................................................................ 11 II-3-3 - Configuration des fichiers de zone..................................................................................................... 12 II-4 - Opérations post-configurations....................................................................................................................14 II-4-1 - Redémarrage du serveur....................................................................................................................14 II-4-2 - Inscription du serveur......................................................................................................................... 14 II-4-3 - Tests de configuration.........................................................................................................................15 III - ASPECTS AVANCES DE LA CONFIGURATION............................................................................................... 15 III-1 - Serveur primaire et serveur secondaire.....................................................................................................15 III-1-1 - Définitions...........................................................................................................................................15 III-1-2 - Avantages.......................................................................................................................................... 15 III-1-3 - Transfert de zones.............................................................................................................................15 III-1-4 - Configuration d'un serveur primaire pour une prise en charge de transferts de zone....................... 16 III-1-5 - Configuration d'un serveur secondaire.............................................................................................. 16 III-2 - Service DNS dynamique............................................................................................................................ 17 III-2-1 - Généralités......................................................................................................................................... 17 III-2-2 - DHCP ou Dynamic Host Control....................................................................................................... 17 III-2-3 - Configuration du serveur DNS...........................................................................................................20 III-2-4 - Opérations post-configuration............................................................................................................ 20 III-2-5 - Mise en place d'un DNS dynamique sécurisé...................................................................................20 III-3 - Sécurisation d'un serveur DNS.................................................................................................................. 23 III-4 - Quelques paramètres de sécurisation du serveur DNS BIND................................................................... 23 III-4-1 - Sécurisation de la récursion.............................................................................................................. 23 III-4-2 - Autres paramètres de sécurité.......................................................................................................... 24 Conclusion..................................................................................................................................................................24 -2Les sources présentées sur cette pages sont libres de droits, et vous pouvez les utiliser à votre convenance. Par contre la page de présentation de ces sources constitue une oeuvre intellectuelle protégée par les droits d'auteurs. Copyright © 2009 - Guillaume Sigui. Aucune reproduction, même partielle, ne peut être faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc sans l'autorisation expresse de l'auteur. Sinon vous encourez selon la loi jusqu'à 3 ans de prison et jusqu'à 300 000 E de dommages et intérêts. http://siguillaume.developpez.com/tutoriels/linux/installation-configuration-serveur-dns-sous-linux/ DNS.Installation et configuration d'un serveur DNS sous Linux par Guillaume Sigui (Page d'accueil) (Blog) Introduction Les réseaux informatiques ont franchi plusieurs étapes dans leur évolution jusqu'à ce qu'on soit au résultat actuel.com/tutoriels/linux/installation-configuration-serveur-dns-sous-linux/ .168.Définition d'un serveur DNS Le Domain Name System (ou DNS. Tous les aspects généraux seront abordés. On a par exemple : 192. la résolution se faisait grâce à un fichier texte appelé hosts. sur un réseau. par défaut.0.GENERALITES I-1 . etc sans l'autorisation expresse de l'auteur. I . il se trouve. L'une des étapes fondamentales de cette évolution a été l'invention et la mise en ￿uvre du concept de noms de domaine. le fichier hosts était fourni et géré par Arpanet. est désigné par serveur DNS.Guillaume Sigui. Le serveur qui gère cette correspondance. dans un même réseau. Ce principe devrait obéir aux règles fondamentales suivantes : • • • à chaque nom. et a davantage facilité les communications sur toute la toile. il s'agit d'attribuer des noms simples aux machines. Sous UNIX et ses dérivés. 1034 et 1035. (RFC=Request For Comment. même partielle. Les requêtes sont acheminées sous la forme de datagrammes UDP et les transferts de zone sont effectués en TCP.Avènement des noms de domaine Les ordinateurs sur le réseau IP sont à la base identifiés à partir de leur adresse IP. Sous Windows. A l'échelle internet. Pour palier les insuffisances du système précédent. et vous pouvez les utiliser à votre convenance. 883.) Pour le transport des données. le port 53. C'est pour faciliter les choses que le principe de noms de domaine a été adopté. En fait. chaque ligne correspond à une adresse IP à laquelle peuvent être associés un ou plusieurs noms de domaine. ne peut être faite de ce site et de l'ensemble de son contenu : textes. documents de l'IETF (Internet Engineering Task Force) définissant les standards d'Internet. Par contre la page de présentation de ces sources constitue une oeuvre intellectuelle protégée par les droits d'auteurs. Cette étape a d'ailleurs marqué l'ascension d'internet. le DNS utilise par défaut. il se trouve dans le répertoire /etc. documents. qui en implémenta la première version alors qu'il travaillait à l'Information Sciences Institute (ISI) de l'Université de la Californie du Sud. Retenir les identifiants des machines est alors devenu une tâche difficile. http://siguillaume. -3Les sources présentées sur cette pages sont libres de droits. Les nombres sont séparés par un point. le DNS fait son apparition en 1983 avec Paul Mockapetris.developpez. est aussi un protocole qui est rattaché aux RFC 882. Dans ce fichier. Tous les tests de ce tutoriel ont été effectués sous la distribution Debian. local à chaque ordinateur. Avant le DNS. correspond une adresse IP . I-2 . Sinon vous encourez selon la loi jusqu'à 3 ans de prison et jusqu'à 300 000 E de dommages et intérêts. dans %SystemRoot% \system32\drivers\etc. images. Copyright © 2009 .37 (IPv4). Ce tutoriel aborde ce concept. Ces adresses sont une concaténation de plusieurs nombres compris entre 0 et 255. mais plus généralement de trouver une information à partir d'un nom de domaine. système de noms de domaine) est un système permettant d'établir une correspondance entre une adresse IP et un nom de domaine. Il est ainsi évident que ce système pose un problème de maintenance car le fichier doit être recopié sur tous les ordinateurs du réseau. de même que l'installation et la configuration de cet outil dans un environnement Linux. tous les ordinateurs dans le réseau doivent se reconnaître entre eux par leur nom. Aucune reproduction. surtout que leur nombre est de plus en plus grand. un nom ne doit pas être porté par deux machines (adresses IP) différentes . La facilité d'accéder avec un nom commode est donnée par l'interaction des différents serveurs DNS à travers le monde.Guillaume Sigui. Sinon vous encourez selon la loi jusqu'à 3 ans de prison et jusqu'à 300 000 E de dommages et intérêts. documents. même partielle.Quelques notions fondamentales I-3-1 . Copyright © 2009 . et la taille maximale du FQDN est de 255 caractères.com/tutoriels/linux/installation-configuration-serveur-dns-sous-linux/ . et vous pouvez les utiliser à votre convenance. La profondeur maximale autorisée pour atteindre l'hôte est de 127 niveaux.Architecture de fonctionnement sur internet Le fonctionnement d'internet est assuré par plusieurs serveurs DNS qui interagissent entre eux. un nom qui vient du père. c'est-à-dire Nom de Domaine Totalement Qualifié. porte dans son nom le nom du domaine supérieur dont il appartient.) sont à la base étiquetés avec leur adresse IP. ne peut être faite de ce site et de l'ensemble de son contenu : textes. Comme présenté en I. C'est la même logique pour le nom de domaine. appelé nom de domaine. I-4 . Ce nom est constitué d'au moins un mot appelé label. Le domaine est identifié à un nom.Notion d'hôte Chaque domaine contient des ordinateurs ou des serveurs. images. et le caractère point (. Ce sont eux les hôtes. les noms de domaine sont agencés dans une arborescence. -4Les sources présentées sur cette pages sont libres de droits. etc sans l'autorisation expresse de l'auteur.Notion de domaine Un domaine est un ensemble d'ordinateurs reliés dans un réseau. le domaine supérieur est écrit à droite. Dans une famille. Leurs noms sont qualifiés de Fully Qualified Domain Name (FQDN). Aucune reproduction. téléchargement. Un domaine appartenant à un autre est aussi appelé sous-domaine de ce domaine. tous les serveurs (web. I-4-1 . messagerie. Le fichier qui contient les enregistrements des machines d'une zone est appelée fichier de zone.) sépare le nom du domaine supérieur du nom du domaine inférieur. tous les enfants ont dans leur nom complet.Installation et configuration d'un serveur DNS sous Linux par Guillaume Sigui (Page d'accueil) (Blog) I-3 . où même un domaine. Le concept de zone est purement au niveau administratif. Dans la nomenclature d'un nom de domaine. et une arborescence de noeuds. I-3-3 . Par contre la page de présentation de ces sources constitue une oeuvre intellectuelle protégée par les droits d'auteurs. On a au sommet une racine.developpez. Les hôtes sont les points finaux de la chaîne. Alors comment fonctionnent ils ? Deux aspects sont à considérer : l'aspect logique et l'aspect physique.Architecture logique de fonctionnement D'un point de vue logique. par exemple internet et possédant une caractéristique commune. voire une hiérarchie.Notion de zone Une zone est une portion d'un domaine dont l'administration est déléguée à une entité faisant partie ou non de l'organisation. etc. I-3-2 .1. La déclaration des machines dans un domaine se fait dans les zones. http://siguillaume. Copyright © 2009 . et vous pouvez les utiliser à votre convenance. http://siguillaume.Guillaume Sigui. qui veut dire zone des paramètres d'adressage et de routage. Elle est gérée par l'ICANN (Internet Corporation for Assigned Names and Numbers). Tous les n￿uds fils de la racine sont administrés par cette organisation. Aucune reproduction. De façon nationale. ils sont gérés par des bureaux accrédités.Installation et configuration d'un serveur DNS sous Linux par Guillaume Sigui (Page d'accueil) (Blog) Architecture logique de fonctionnement du DNS sur internet La racine est un point. Tous les pays en possèdent un. ARPA signifie Address and Routing Parameters Areas. On distingue trois principaux types de TLD : • • • le TLD spécial . En français. Par contre la page de présentation de ces sources constitue une oeuvre intellectuelle protégée par les droits d'auteurs. même partielle. Sinon vous encourez selon la loi jusqu'à 3 ans de prison et jusqu'à 300 000 E de dommages et intérêts. Ces n￿uds sont appelés Top Level Domain ou TLD. documents. -5Les sources présentées sur cette pages sont libres de droits.com/tutoriels/linux/installation-configuration-serveur-dns-sous-linux/ . etc sans l'autorisation expresse de l'auteur. Il y en a 250. ça donne : domaine de premier niveau. La liste de tous les TLD géographiques est contenue dans les tableaux ci-dessous. images. ne peut être faite de ce site et de l'ensemble de son contenu : textes. * Les TLD géographiques ou nationaux (cTLD= Country TLD): ce sont des TLD propres à chaque pays du monde.arpa les TLD géographiques ou nationaux les TLD génériques * Le TLD spécial : c'est un domaine exploité exclusivement pour à des fins techniques.developpez. ac .gp .gf .gb .aq .gn . Copyright © 2009 .Guillaume Sigui.gr .ga .ge .gt .ai .gg .gs .an .al .ar .gl .at .ag . Aucune reproduction.as . etc sans l'autorisation expresse de l'auteur.gy -6Les sources présentées sur cette pages sont libres de droits.gd .af .developpez. et vous pouvez les utiliser à votre convenance.gm . ne peut être faite de ce site et de l'ensemble de son contenu : textes.ax . Par contre la page de présentation de ces sources constitue une oeuvre intellectuelle protégée par les droits d'auteurs.com/tutoriels/linux/installation-configuration-serveur-dns-sous-linux/ .gi .ad .gh . images.az .am .au .ae .gq . documents.ao . même partielle. http://siguillaume.aw .gw .Installation et configuration d'un serveur DNS sous Linux par Guillaume Sigui (Page d'accueil) (Blog) .gu . Sinon vous encourez selon la loi jusqu'à 3 ans de prison et jusqu'à 300 000 E de dommages et intérêts. pe .ro .com/tutoriels/linux/installation-configuration-serveur-dns-sous-linux/ .pr .pm .py .pf . et vous pouvez les utiliser à votre convenance.pk . même partielle. les institutions.nf . etc.rw * Les TLD génériques ou gTLD (Generic TLD): ce sont les autres TLD.na .om . -7Les sources présentées sur cette pages sont libres de droits.pn .pw .ru . Il y en a 15.Guillaume Sigui.Installation et configuration d'un serveur DNS sous Linux par Guillaume Sigui (Page d'accueil) (Blog) .re .no . Ils sont généralement utilisés par les structures internationales telles que les multinationales. Par contre la page de présentation de ces sources constitue une oeuvre intellectuelle protégée par les droits d'auteurs.ne . Copyright © 2009 . etc sans l'autorisation expresse de l'auteur. On les considère comme 'libres' contrairement aux précédents.pt . Aucune reproduction.rs . les organismes non gouvernementales. Sinon vous encourez selon la loi jusqu'à 3 ans de prison et jusqu'à 300 000 E de dommages et intérêts.po . ne peut être faite de ce site et de l'ensemble de son contenu : textes.qa .ni .ng .nu .nc . images.nz .nl .nr .np . http://siguillaume. documents.developpez.pg .ps .pa . La liste totale des TLD génériques valides en Avril 2009 est présentée dans le tableau ci-dessous.ph . il la transfère au serveur du TLD concerné.developpez.edu les organismes éducatifs (universités. Mais pour réduire le trafic sur internet. Quand cette requête parvient à un serveur racine de DNS. I-4-3 .gov les organismes gouvernementaux .com. contemporains ou imaginaires . les noms de domaine sont lus de la droite vers la gauche pour être résolu. Aucune reproduction. images.com/tutoriels/linux/installation-configuration-serveur-dns-sous-linux/ .mil les organismes militaires .name les noms de personnages historiques. le DNS est une base de données distribuée sur plusieurs milliers de serveurs.com .com.coop les coopératives . et le serveur du sous-domaine identifie l'hôte siguillaume. Chaque serveur contient une partie de ces informations. A la base. il existe treize serveurs racines du DNS dans le monde. Par contre la page de présentation de ces sources constitue une oeuvre intellectuelle protégée par les droits d'auteurs. cela est traduit par une requête DNS qui consiste à résoudre le nom de domaine de ce site. celui redirige la requête vers le serveur qui gère son sous-domaine developpez.info les organisations travaillant dans le secteur de l'information .developpez. il transfère la demande aux autres serveurs.Gestion des requêtes DNS sur internet Quand un ordinateur connecté à internet veut se connecter à un site distant à partir du nom DNS. et ainsi de suite. http://siguillaume. Ce parcours est représenté par le schéma suivant : -8Les sources présentées sur cette pages sont libres de droits.pro les professions libérales . il contacte le serveur du domaine de premier niveau .com Généralement utilisé par les entreprises à vocation commerciale. ne peut être faite de ce site et de l'ensemble de son contenu : textes.com.).com. le serveur DNS regarde dans sa base. Ces treize serveurs sont ceux qui implémentent le DNS de façon officielle.museum les musées .Installation et configuration d'un serveur DNS sous Linux par Guillaume Sigui (Page d'accueil) (Blog) TLD . Par exemple. De façon implicite. Pour effectuer une correspondance entre un nom et une adresse IP. mais devenu le plus utilisé. etc sans l'autorisation expresse de l'auteur.Serveurs racines du DNS et serveurs du domaine de premier niveau Les serveurs racines du DNS sont les serveurs DNS qui gèrent les requêtes envoyées au TLD et qui les redirigent vers le serveur du TLD concerné.biz les entreprises commerciales .aero les industries aéronautiques . même par d'autres types de structures . documents. écoles. même partielle.tel les accès simples et centralisés aux coordonnées d'une structure ou même d'un individu (le plus récemment crée : ouvert au grand public depuis le 24 Mars 2009).Guillaume Sigui. pendant un certain délai avant de les rafraîchir. si elle n'y est pas. et celui-ci la redirige vers le sous-domaine approprié et ainsi de suite jusqu'à ce que le nom soit entièrement résolu.net les organismes travaillant dans le réseau. etc. les noms de domaine déjà résolus.int les organisations et institutions internationales . I-4-2 . Copyright © 2009 . Pour résoudre ce nom. Ils connaissent tous les domaines de premier niveau. mais devient de plus en plus utilisé comme le . Quand une requête leur parvient. Cette base de données porte sur les correspondances entre adresses IP et noms de domaines ou noms d'hôtes. les serveurs DNS gardent en cache. Le premier serveur DNS à être contacté résout le nom ou renvoie la requête à un autre serveur de niveau supérieur. celui-ci sera lu de la droite vers la gauche.developpez. A l'échelle d'internet. on veut se connecter à l'hôte siguillaume. mais n'importe quel opérateur peut en implémenter un.) .org les structures à but non lucratif . et vous pouvez les utiliser à votre convenance. Sinon vous encourez selon la loi jusqu'à 3 ans de prison et jusqu'à 300 000 E de dommages et intérêts. Il est complété par les logiciels serveurs DNS. Comme mentionné au point précédent. l'élément le plus à droite dans un nom de domaine est le caractère point (. 8.10.net c.41.NASA BIND Unis) 192. et vous pouvez les utiliser à votre convenance.228. Aucune reproduction. http://siguillaume.0.79.root-servers.net b.com/tutoriels/linux/installation-configuration-serveur-dns-sous-linux/ .201 Marina Del Rey (Californie / États-Unis) 192.root-servers. Sinon vous encourez selon la loi jusqu'à 3 ans de prison et jusqu'à 300 000 E de dommages et intérêts. même partielle. Nom a. images.root-servers.net d.root-servers.230.5.Installation et configuration d'un serveur DNS sous Linux par Guillaume Sigui (Page d'accueil) (Blog) Résolution du nom de domaine à partir du serveur racine La nomenclature des treize serveurs de racine du DNS est présentée par une lettre de l'alphabet comprise entre a et m. etc sans l'autorisation expresse de l'auteur.net Adresse IPv4 Localisation 198.90 College Park (Maryland / Etats.5.10 Mountain View (Californie / Etats. Copyright © 2009 .241 trafic distribué par anycast ISC BIND 192.33.developpez.112.203.4.12 trafic distribué par anycast Société VeriSign VeriSign Logiciel BIND BIND Cogent BIND Communications 128.root-servers.root-servers. qui est placé à gauche des labels : root-servers. ne peut être faite de ce site et de l'ensemble de son contenu : textes. Par contre la page de présentation de ces sources constitue une oeuvre intellectuelle protégée par les droits d'auteurs. documents.4 Columbus (Ohio / Etats-Unis) Defense BIND Information -9Les sources présentées sur cette pages sont libres de droits.net f. Le tableau ci-dessous donne leur liste complète.36.root-servers.net g.Guillaume Sigui.net e.4 Dulles (Virginie / États-Unis) 192.Université du BIND Unis) Maryland 192.net. 2. tous les sous-domaines d'un TLD sont gérés (créés.148. images.net j. et n'importe quel nom à cette adresse. 1 Les fichiers de résolution directe permettent de retrouver l'adresse IP du serveur à partir d'un nom de domaine.128. Un même registrar peut vendre des sous-domaines de plusieurs domaines différents.root-servers. la plupart d'entre elles vendent par l'intermédiaire de registrars.53 192. Pour mieux comprendre. mais plutôt de présenter les différentes étapes que suit un serveur DNS pour reconnaitre l'adresse IP d'une machine à partir d'un nom de domaine donné.14.33 Systems Agency Aberdeen (Maryland / Etats-Unis) U.root-servers.Serveurs du domaine de deuxième niveau et notions de registre Les serveurs du domaine de deuxième niveau sont les serveurs qui gèrent les sous-domaines des TLD.root-servers. même partielle.10 Les sources présentées sur cette pages sont libres de droits.12. Généralement. Sur internet. Chaque TLD connait tous ces sous-domaines.Architecture de fonctionnement sur intranet Selon le même principe que sur internet.root-servers. le serveur DNS peut être aussi utilisé dans un intranet pour faciliter l'exploitation et la maintenance du réseau.129 199.net l. le fonctionnement présenté ici est spécifique à un cas de fonctionnement en intranet. chaque machine du réseau local peut avoir un nom qui lui est propre.0. mais par souci de décentralisation.42 202. des fournisseurs d'accès à internet. http://siguillaume. Par contre la page de présentation de ces sources constitue une oeuvre intellectuelle protégée par les droits d'auteurs.net k. 1 2 Il faut d'abord comprendre que le serveur DNS lit un fichier principal duquel il tire les instructions qu'il doit suivre. mais surtout la sécurisation : le III et le IV traite de ces détails.Fonctionnement interne du serveur Il ne s'agit pas ici de décrire l'architecture de fonctionnement des serveurs DNS entre eux. Pour cela. Ils sont classés en deux catégories : les fichiers de résolution directe et les fichiers de résolution inverse. documents. qui ne sont rien d'autre que des bureaux d'enregistrement et de vente de noms de domaine.net m. les fichiers de résolution directe suffisent pour un fonctionnement minimal du serveur DNS.developpez. mais certains sont distribués par anycast (technique d'adressage et de routage permettant de rediriger les données vers le serveur le plus proche).net i. Sinon vous encourez selon la loi jusqu'à 3 ans de prison et jusqu'à 300 000 E de dommages et intérêts. Copyright © 2009 . le fonctionnement est analogue avec d'autres traitements tels que le transfert de requêtes entre serveurs.Guillaume Sigui. Ce sont les fichiers de zone qui assurent la correspondance les noms de domaines et les adresses IP.58. Les possibilités offertes en intranet sont : • • l'administrateur peut donner n'importe quel TLD. En plus de contenir les noms des sousdomaines.net 128. Le fonctionnement interne du DNS suit les étapes ci-dessous.root-servers.com/tutoriels/linux/installation-configuration-serveur-dns-sous-linux/ .30 193. Les registres sont tenus par des organisations fonctionnant comme des NIC (Network Information Center).17 192. . I-4-4 . I-6 . la plupart de ces serveurs peuvent être localisés géographiquement. C'est dans ce fichier que sont déclarés tous les fichiers de zone. vu que l'intranet est indépendant d'internet .63. etc.27. les registres ont aussi les références des autorités qui maintiennent chacun d'eux (cf notion de zone). etc sans l'autorisation expresse de l'auteur. Aucune reproduction. modifiés et supprimés) dans une base de données appelée registre de noms de domaine.S. et vous pouvez les utiliser à votre convenance.Installation et configuration d'un serveur DNS sous Linux par Guillaume Sigui (Page d'accueil) (Blog) h.83. Ces organisations peuvent des agences gouvernementales. I-5 . ne peut être faite de ce site et de l'ensemble de son contenu : textes. Army Research Lab trafic distribué par anycast Autonomica trafic distribué par anycast VeriSign trafic distribué par anycast RIPE-NCC trafic distribué par anycast ICANN trafic distribué par anycast WIDE Project NSD BIND BIND NSD NSD BIND Comme présenté dans le tableau.root-servers.36. Certains registres vendent ou louent directement des noms aux utilisateurs.7. developpez. Il faut aussi dire qu'il existe d'autres paquets qui implémentent le DNS.com/tutoriels/linux/installation-configuration-serveur-dns-sous-linux/ . Copyright © 2009 . * Paramètres de configuration de base: Les principaux paramètres de configuration sont : PARAMETRE options directory query-source forward forwarders zone type file EXPLICATION ouvre les balises pour les options générales de configuration pour définir le dossier dans lequel sera sauvegardé les fichiers de zone le port d'écoute du serveur option de transfert de la requête vers un autre serveur serveur DNS de réception des requêtes transférées ouvre les balises pour la configuration d'une zone type de la zone fichier de configuration de la zone .ci. II-3-2 . sous Debian. II-2 . Il se situe dans le répertoire /etc/bind/.sigui. c'est d'abord configuré le fichier principal puis paramétrer les différents fichiers de zone. http://siguillaume. Il faut donc l'inscrire comme tel sur les autres machines. II-3 .11 Les sources présentées sur cette pages sont libres de droits.Problématique Problème Créer dans un intranet un domaine sigui. Cela peut changer selon les distributions. et vous pouvez les utiliser à votre convenance.1.INSTALLATION ET CONFIGURATION DE BASE II-1 .168. La machine qui doit héberger ce domaine à pour adresse IP 192. qui sont décrites ici avec le cas d'Apache. Par contre la page de présentation de ces sources constitue une oeuvre intellectuelle protégée par les droits d'auteurs. Sur ce domaine. Résolution Comme décrit dans l'architecture de fonctionnement interne.Configuration de base II-3-1 . La machine doit être reconnue comme serveur DNS par les autres machines du réseau y compris elle-même. fait la répartition de la configuration entre plusieurs fichiers.Configuration du fichier principal Le fichier principal de configuration de notre serveur est named.Installation et configuration d'un serveur DNS sous Linux par Guillaume Sigui (Page d'accueil) (Blog) 2 3 Les fichiers de résolution inverse permettent de retrouver les noms de domaine liés à une adresse IP donnée.ci. on lance la commande: apt-get install bind9 Après installation.Paquet d'installation Le paquetage qui régit l'installation du serveur DNS sous Linux s'appelle bind. La version courante est le 9. Par exemple. documents. les répertoires /etc/bind/ et /var/bind/ (ou /var/cache/bind/) sont créés. ne peut être faite de ce site et de l'ensemble de son contenu : textes.Guillaume Sigui. il existe trois méthodes d'installation.Installation Comme tout paquet linux.ci . Sinon vous encourez selon la loi jusqu'à 3 ans de prison et jusqu'à 300 000 E de dommages et intérêts.conf. sera mis en place deux sous-domaines l'un pour l'hébergement d'un site web :www. Debian. par exemple. Aucune reproduction.sigui. II . etc sans l'autorisation expresse de l'auteur. Ils contiennent les fichiers qui assurent le fonctionnement du serveur DNS. (Ils peuvent être différents sous d'autres distributions). résoudre ce problème.10. Il existe déjà en plusieurs versions. images. même partielle. et l'autre pour héberger un serveur de messagerie : mail. bind est le plus connu et le plus utilisé. db et sigui. Il faudra alors y créer les fichiers de zone sigui. Au contenu existant du fichier principal. * Paramètres de configuration des fichiers de zone .x. file "/var/bind/sigui. Sinon vous encourez selon la loi jusqu'à 3 ans de prison et jusqu'à 300 000 E de dommages et intérêts.Guillaume Sigui.reverse. }. puis définir les paramètres de configuration de la zone (domaine) sigui.in-addr.Installation et configuration d'un serveur DNS sous Linux par Guillaume Sigui (Page d'accueil) (Blog) Pour obtenir la liste globale de tous les paramètres d'options du BIND.12 Les sources présentées sur cette pages sont libres de droits. images.db" .x.Configuration des fichiers de zone Le répertoire /var/bind/ a certes. Les options générales y sont déjà définies. et vous pouvez les utiliser à votre convenance. * Exemple de configuration (résolution du problème posé): A l'installation. été crée pendant l'installation de bind. Copyright © 2009 . } #Déclaration du fichier de résolution inverse zone "1. etc sans l'autorisation expresse de l'auteur.arpa" in { type master . forwarders { x. documents. Par contre la page de présentation de ces sources constitue une oeuvre intellectuelle protégée par les droits d'auteurs.ci. II-3-3 . } Remarque La nomenclature des fichiers de résolution dépendent exclusivement de celui qui configure.ci" in { type master . ne peut être faite de ce site et de l'ensemble de son contenu : textes.ci.ci.192.ci.developpez.ci. mais il ne contient encore aucun fichier. query-source port 53. même partielle. on ajoute les lignes suivantes : #Déclaration du fichier de résolution directe zone "sigui. http://siguillaume. cliquez ici.}.direct. forward only. Il doit pouvoir les reconnaitre facilement.x.direct.db".reverse.conf existe déjà avec un contenu. Aucune reproduction. On a par exemple : options { directory "/var/bind".com/tutoriels/linux/installation-configuration-serveur-dns-sous-linux/ .168. file "/var/bind/sigui. le fichier named.db. HINFO Description d'un hôte. Retry 2419200 . Utilisé par les serveurs secondaires.ci. Time To Live : durée de vie du SOA Numéro de version du fichier. ces fichiers doivent être édités de la façon suivante : Le premier fichier (résolution directe) sigui. la valeur de ce paramètre est accompagnée de la priorité (préférence) de ce serveur. Serial 604800 . ne peut être faite de ce site et de l'ensemble de son contenu : textes. documents. C'est la délégation d'autorité.ci . Sinon vous encourez selon la loi jusqu'à 3 ans de prison et jusqu'à 300 000 E de dommages et intérêts. images. Copyright © 2009 .10 mail IN A 192.Installation et configuration d'un serveur DNS sous Linux par Guillaume Sigui (Page d'accueil) (Blog) Les principaux paramètres de configuration des fichiers de zone sont : PARAMETRE SOA TTL Serial EXPLICATION Start Of Authority : démarre la configuration d'une zone. ( 20080605 . Commande utilisé pour attribuer les valeurs aux options. Expire 604800 ) .10 mail IN MX 10 mail.sigui. sert à la synchronisation.13 Les sources présentées sur cette pages sont libres de droits. CNAME C'est une option pour donner un alias à une machine déjà définit avec A. .on délègue l'administration de cette zone à root@sigui. Généralement. A Pour attribuer un nom à une machine à partir de son adresse IP. Negative Cache TTL Durée de vie. sert aussi à la synchronisation entre des serveurs primaires et secondaires. par défaut dans le cache d'un serveur qui n'a pas d'autorité sur cette zone. Par contre la page de présentation de ces sources constitue une oeuvre intellectuelle protégée par les droits d'auteurs.sigui. Refresh Intervalle de temps pour le rafraichissement. on écrit la date de création de la zone pour composer ce numéro.1.ci. http://siguillaume. * Exemple de configuration des fichiers (résolution du problème posé) Après leur création.ci.168. par exemple. Retry Fréquence de ressaie en cas d'échec des rafraichissements. root. même partielle.direct.ci.@ est remplacé par '. MX Pour définir un serveur de messagerie. Refresh 86400 . TXT Chaine de caractères. utilisé pour des commentaires PTR Utilisé dans le fichier de résolution inverse.' Dans l'adresse du root @ IN SOA sigui. NS Pour définir le nom du serveur de nom de la zone.168. etc sans l'autorisation expresse de l'auteur. Aucune reproduction. c'est le temps maximal pendant les informations reçues d'un serveur primaire reste valide. permet d'associer l'adresse IP à un nom.com/tutoriels/linux/installation-configuration-serveur-dns-sous-linux/ . IN Désigne l'allocation.ci. et vous pouvez les utiliser à votre convenance.1. Les serveurs www IN A 192. Expire Principalement utilisé par un serveur secondaire.Guillaume Sigui. Negative Cache TTL . d'une machine. .developpez.db : $TTL 604800 . Serveur de noms @ IN NS sigui. sigui. II-4-1 . Serveur de noms @ IN NS sigui. Pour les machines du réseau sous Windows : 1-> Aller dans Connexions Réseaux 2-> Choisir Réseau Local 3-> Entrer dans les propriétés du réseau local 4-> Choisir Protocole internet TCP/IP 5-> Ecrire l'adresse IP de la machine qui héberge le serveur DNS dans les champs requis 6-> Valider toutes ses modifications Pour les machines du réseau sous Linux. le caractère point virgule ( .sigui. . Sinon vous encourez selon la loi jusqu'à 3 ans de prison et jusqu'à 300 000 E de dommages et intérêts. Le serveur lui-même doit aussi être configuré comme son propre client.ci.reverse. même partielle. Refresh 86400 . documents. ( 20080605 .Inscription du serveur Le serveur DNS doit être reconnu par les autres machines comme tel.conf selon l'exemple suivant : .ci. deux opérations déterminantes sont à poser : • • redémarrer le serveur DNS inscrire le serveur comme DNS préféré des machines clientes. Par contre la page de présentation de ces sources constitue une oeuvre intellectuelle protégée par les droits d'auteurs.192.B: Dans les fichiers de configuration des zones. images.in-addr.Guillaume Sigui.Redémarrage du serveur La commande de démarrage du serveur varie d'une distribution à une autre. Expire 604800 ) .ci.d/bind9 start II-4-2 .Opérations post-configurations Après cette configuration.Installation et configuration d'un serveur DNS sous Linux par Guillaume Sigui (Page d'accueil) (Blog) Le deuxième fichier (résolution inverse) sigui. Serial 604800 . II-4 . http://siguillaume.com/tutoriels/linux/installation-configuration-serveur-dns-sous-linux/ . ne peut être faite de ce site et de l'ensemble de son contenu : textes. et vous pouvez les utiliser à votre convenance.developpez. 10 IN PTR www. Negative Cache TTL .ci.ci.14 Les sources présentées sur cette pages sont libres de droits.sigui. Copyright © 2009 . Sous RedHat et Fedora : /etc/rc.d/bind9 start Sous Debian : /etc/init. Aucune reproduction.168. etc sans l'autorisation expresse de l'auteur. N.arpa IN SOA sigui.db $TTL 604800 1. root.ci. Retry 2419200 . Les machines et les serveurs 10 IN PTR mail.d/init. il s'agit d'éditer le fichier /etc/resolv.) précède les commentaires. Copyright © 2009 .developpez.sigui.10#53 dig : analogue à nslookup. documents.com/tutoriels/linux/installation-configuration-serveur-dns-sous-linux/ . http://siguillaume.Guillaume Sigui. et vous pouvez les utiliser à votre convenance. III-1-2 .Serveur primaire et serveur secondaire III-1-1 . Sous UNIX. • • nslookup permet de retrouver l'adresse IP d'une machine à part de son nom DNS. etc sans l'autorisation expresse de l'auteur.Tests de configuration Il faut maintenant tester le fonctionnement du serveur.240 Il est aussi possible de le faire via une interface graphique sous Linux. lorsqu'il reçoit les informations sur cette zone à partir d'un serveur primaire. ne peut être faite de ce site et de l'ensemble de son contenu : textes.Avantages La configuration de serveur primaire et de serveurs secondaires pour une même zone présente plusieurs avantages. Dans le jargon technique.Transfert de zones Le transfert de zones est d'une façon globale la procédure de mise à jour des serveurs secondaires.168. Sinon vous encourez selon la loi jusqu'à 3 ans de prison et jusqu'à 300 000 E de dommages et intérêts.10 Address: 192. Par exemple : dig MX mail. Serveur secondaire: un serveur DNS est dit serveur secondaire d'une zone. Il peut aussi avoir l'autorité sur la zone.sigui. même partielle. Il existe deux principaux utilitaires qui le permettent : nslookup et dig. Aucune reproduction.ci Server: 192. Il faut préciser que cela est propre à un réseau bien donné. Mais la procédure à suivre diffère d'une distribution à une autre.ASPECTS AVANCES DE LA CONFIGURATION III-1 . images.ci III . le serveur primaire est souvent désigné par maître et le serveur secondaire est qualifié d'esclave. Le premier serveur DNS interrogé est celui-ci spécifié dans l'inscription. Les connexions peuvent toujours être relayées vers les serveurs secondaires.ci nameserver 192. Ce fichier est stocké sur la même machine que le serveur.168.Installation et configuration d'un serveur DNS sous Linux par Guillaume Sigui (Page d'accueil) (Blog) search sigui. nslookup est de plus en plus obsolète.37. Il est même recommandé de mettre en ￿uvre un serveur primaire et plusieurs serveurs secondaires pour la gestion d'une même zone. mais il reste encore d'actualité sous Windows. Par contre la page de présentation de ces sources constitue une oeuvre intellectuelle protégée par les droits d'auteurs.Définitions • • Serveur primaire: un serveur DNS est dit serveur primaire d'une zone. . L'un des avantages majeurs que cela présente est la disponibilité continue des informations sur la zone même en cas de panne ou en cas de saturation du serveur primaire.15 Les sources présentées sur cette pages sont libres de droits.1. il permet de spécifier le type de serveurs ou de machines qu'on veut contacter. lorsqu'il lit directement les informations de cette zone à partir d'un fichier. III-1-3 .1.168. Il y a plusieurs types de transferts. Un exemple de résultat obtenu avec nslookup est : $ nslookup > www. II-4-3 . et l'inverse. 1.ci" in { .168. III-1-4 . il fait une copie complète des fichiers de zone.20. Après cette étape.20. Les paramètres de prise en charge des serveurs secondaires ne sont pas mentionnés. }. Paramètre d'activation de la notification.Installation et configuration d'un serveur DNS sous Linux par Guillaume Sigui (Page d'accueil) (Blog) Quand un nouveau serveur secondaire est configuré. Pour que cela puisse se faire. allow-notify { notify yes .1.1. Mais il est possible que le serveur DNS alerte ses serveurs secondaires dès qu'il subit une modification. Copyright © 2009 .1. la configuration présentée est celle d'un serveur primaire.ci" in { type master . On le met à oui ou non (yes/no) Exemple de configuration : Au serveur précédent.1.developpez. etc sans l'autorisation expresse de l'auteur.25 . http://siguillaume.168.20 et 192.25.com/tutoriels/linux/installation-configuration-serveur-dns-sous-linux/ . C'est le principe de notification. ne peut être faite de ce site et de l'ensemble de son contenu : textes. Le tableau ci-dessous les présente: PARAMETRE allow-transfer allow-notify notify EXPLICATION On y inscrit les adresses IP des serveurs secondaires autorisés à faire des transferts de zone à partir du serveur. c'est-à-dire que le serveur secondaire ne copie que les modifications effectuées. on ajoute les lignes suivantes : #Déclaration du fichier de résolution directe zone "sigui. On a donc : #Déclaration du fichier de résolution directe zone "sigui. Au contenu existant du fichier principal.direct. même partielle. }. les mises à jour à effectuer peuvent être incrémentielles.16 Les sources présentées sur cette pages sont libres de droits. Il s'agit d'un mécanisme de diffusion permettant d'informer des serveurs secondaires. on associe deux serveurs secondaires d'adresses IP 192.Configuration d'un serveur primaire pour une prise en charge de transferts de zone Dans le chapitre I.Configuration d'un serveur secondaire La configuration du serveur secondaire est analogue à celle du serveur primaire.168. } 192. Par contre la page de présentation de ces sources constitue une oeuvre intellectuelle protégée par les droits d'auteurs. 192.ci. Sinon vous encourez selon la loi jusqu'à 3 ans de prison et jusqu'à 300 000 E de dommages et intérêts.168.db" . et vous pouvez les utiliser à votre convenance.168. documents.Guillaume Sigui. La mise à jour du serveur secondaire est faite selon un délai défini dans la configuration.25 . les adresses IP des serveurs secondaires à être notifiés sont enregistrées dans une liste de notifications.168. III-1-5 . d'une modification effectuée dans le serveur primaire. images. Les différences sont au niveau du type et au niveau de la source de lecture des données. On y inscrit les adresses IP des serveurs secondaires à notifier en cas de modification des données.1. 192. file "/var/bind/sigui. Et on reproduit les mêmes paramètres dans la déclaration du fichier de résolution inverse. allow-transfer { 192. Aucune reproduction. Guillaume Sigui.168.1. Copyright © 2009 .leases qui est la base de données des informations d'attribution des adresses. etc sans l'autorisation expresse de l'auteur. consiste à demander aux machines clientes de s'annoncer chez le serveur DNS une fois qu'elles auront reçu la modification de leur adresse.17 Les sources présentées sur cette pages sont libres de droits.168. Ce bail a une durée limitée dans le temps.10 l'adresse IP du serveur DHCP est 192. Pour une machine sur internet dont le FAI attribue une adresse IP dynamiquement.}. Après installation.1.1. Un administrateur d'un réseau peut être dans le besoin de configurer un service DNS dynamique.168.ci l'adresse IP du serveur DNS est 192. et dans le fichier spécifié. ces services diffusent des mises à jour sur le serveur DNS du domaine dans lequel se trouve la machine. documents. il aura à installer en plus du serveur DNS.Généralités Dans un réseau. http://siguillaume. un serveur DHCP.developpez. * Installation Le paquet requis pour l'installation du serveur DHCP est dhcpd. Pour ce faire. Le serveur DHCP dispose d'une plage d'adresses à distribuer aux machines du réseau. images.db" . Sinon vous encourez selon la loi jusqu'à 3 ans de prison et jusqu'à 300 000 E de dommages et intérêts. il faudrait maintenir la correspondance entre ce nom et l'adresse changeante. La même configuration est à faire avec le fichier de résolution inverse.Service DNS dynamique III-2-1 . il peut arriver que les machines auxquelles on veut attribuer un nom ait leur adresse IP qui s'attribue dynamiquement.conf est crée. Par contre la page de présentation de ces sources constitue une oeuvre intellectuelle protégée par les droits d'auteurs. Ce répertoire contient le fichier dhcpd. Certains de ces services requièrent l'installation de logiciels clients sur la machine. Aucune reproduction.1.168.com/tutoriels/linux/installation-configuration-serveur-dns-sous-linux/ . même partielle. de même que le répertoire /var/lib/dhcp/. le destinataire de . Une autre solution moins sécuritaire et pas recommandé. notify no . un cas pratique d'exemple sera étudié : • • • • la passerelle du réseau est à l'adresse 192.10. le fichier dhcpd. masters {192.5 III-2-2 .direct.10.1 le nom du domaine est sigui. } Cela traduit le fait que le serveur va chercher ces données sur la machine d'adresse IP 192.1.168.ci. c'est-à-dire qu'elles ont des adresses changeantes et gérées par un serveur DHCP (Dynamic Host Control Protocol). Dans les points qui suivent. Le service offre ce maintien est appelé DNS Dynamique. file "/var/bind/sigui. A chaque changement d'adresse IP. il établi un bail. Lorsque l'attribution de l'adresse est faite.Installation et configuration d'un serveur DNS sous Linux par Guillaume Sigui (Page d'accueil) (Blog) type slave . III-2 . et vous pouvez les utiliser à votre convenance. Pour que l'on puisse toujours se connecter à une machine via son nom. ne peut être faite de ce site et de l'ensemble de son contenu : textes. Ces informations concernent le bail de l'attribution.DHCP ou Dynamic Host Control * Généralités DHCP ou Dynamic Host Control Protocol est un protocole qui permet de configurer (attribuer les adresses IP et fournir les adresses de la passerelle et du serveur DNS) les postes clients d'un réseau de façon automatique. l'administrateur de celle-ci peut recourir à des services (payants et gratuits) offerts par des entreprises. C'est la conjugaison des deux configurations qui fournit le service de DNS dynamique. } Cette configuration subit des modifications dans la mise en ￿uvre d'un DNS dynamique. option domain-name "sigui. Si elle n'a pas été créée pendant l'installation.conf. Aucune reproduction.ci". * Configuration du serveur DHCP Le fichier de configuration principal du serveur DHCP est dhcpd. default-lease-time 86400.1.168. # La définition de la plage d'IP à distribuer.18 Les sources présentées sur cette pages sont libres de droits.168. Copyright © 2009 . Ce fichier ne doit pas être édité manuellement. allow unknown-clients. même partielle.Installation et configuration d'un serveur DNS sous Linux par Guillaume Sigui (Page d'accueil) (Blog) l'attribution de l'adresse IP.0 netmask 255. subnet 192. Le service DHCP ne fonctionne pas tant que la base de données d'attribution n'existe pas. Par contre la page de présentation de ces sources constitue une oeuvre intellectuelle protégée par les droits d'auteurs. # Les clients du réseau seront tous reconnus même # si on ne connaît pas leur adresse mac.leases.1. . Sinon vous encourez selon la loi jusqu'à 3 ans de prison et jusqu'à 300 000 E de dommages et intérêts.168. On a le résultat suivant : #Définition de la méthode de mise à jour ddns-update-style interim.255.com/tutoriels/linux/installation-configuration-serveur-dns-sous-linux/ .10.developpez. etc sans l'autorisation expresse de l'auteur. par exemple.168.254.1. option routers 192. et vous pouvez les utiliser à votre convenance.Guillaume Sigui.11 192. il faut la créer manuellement avec la commande touch /var/lib/dhcpd.255. #Autorisation de la mise à jour ddns-updates on. ne peut être faite de ce site et de l'ensemble de son contenu : textes. Sans prise en compte du service DNS Dynamique. images. documents.0.0 { range 192. la configuration basique du DHCP avec les exigences du cas pratique donne : # Forçage de la mise à jour des IP fixes update-static-leases on. et l'adresse MAC de la carte réseau du client. # Durée de vie du bail (un jour=86400s) max-lease-time 86400.1. # Les options qui seront transmisent aux clients : #le domaine et la passerelle option domain-name-servers 192.168.1. http://siguillaume. Copyright © 2009 .168.0 netmask 255.168. option routers 192.10.1. { primary 192.255. les autres #sources de modifications sont ignorées ignore client-updates. } #Balises à mettre en fin de ligne pour spécifier le DNS #à mettre à jour pour ces jours : optionnel.168. Aucune reproduction. option domain-name "sigui.ci".192.1.168. default-lease-time 86400. } zone 1. #Forçage de la mise à jour que par le DHCP.255. allow unknown-clients. même partielle.Installation et configuration d'un serveur DNS sous Linux par Guillaume Sigui (Page d'accueil) (Blog) # Forçage de la mise à jour des IP fixes update-static-leases on.19 Les sources présentées sur cette pages sont libres de droits. { primary 192. ne peut être faite de ce site et de l'ensemble de son contenu : textes.168. documents.0.1. # Les options qui seront transmisent aux clients : #le domaine et la passerelle option domain-name-servers 192.254.com/tutoriels/linux/installation-configuration-serveur-dns-sous-linux/ .arpa.168.developpez. etc sans l'autorisation expresse de l'auteur. et vous pouvez les utiliser à votre convenance. # Durée de vie du bail (un jour=86400s) max-lease-time 86400.11 192. subnet 192.1. } .ci.Guillaume Sigui.10.in-addr. images.168.1. Par contre la page de présentation de ces sources constitue une oeuvre intellectuelle protégée par les droits d'auteurs.0 { range 192.10. mais recommandé zone sigui.1. # Les clients du réseau seront tous reconnus même # si on ne connaît pas leur adresse mac.168.1. http://siguillaume. Sinon vous encourez selon la loi jusqu'à 3 ans de prison et jusqu'à 300 000 E de dommages et intérêts. # La définition de la plage d'IP à distribuer. conf devient : #Déclaration du fichier de résolution directe zone "sigui.168.ci" in { type master .Installation et configuration d'un serveur DNS sous Linux par Guillaume Sigui (Page d'accueil) (Blog) III-2-3 . c'est rndc.5 . ne peut être faite de ce site et de l'ensemble de son contenu : textes. images.168.} . On a les nouvelles configurations suivantes : * Configuration du serveur DHCP #On inclut le fichier de clé include " /etc/rndc. file "/var/bind/sigui.192.20 Les sources présentées sur cette pages sont libres de droits.} .ci. etc sans l'autorisation expresse de l'auteur. Au niveau du DNS.d/init.key" .1.arpa" in { type master . allow-update { 192.Mise en place d'un DNS dynamique sécurisé Cela consiste à mettre en place un système d'authentification entre les deux serveurs. file "/var/bind/sigui.168. Copyright © 2009 . une nouvelle option de paramétrage apparaît : allow-update. } III-2-4 . Celui qui sera considéré ici.d/bind9 restart /etc/rc.d/init.in-addr. #Définition de la méthode de mise à jour .key. il faut redémarrer les deux serveurs : Sous RedHat et Fedora : /etc/rc.developpez.reverse. documents.ci. Il existe plusieurs types de générateurs.com/tutoriels/linux/installation-configuration-serveur-dns-sous-linux/ .db".Opérations post-configuration Après ces différentes configurations.direct. } #Déclaration du fichier de résolution inverse zone "1. Sinon vous encourez selon la loi jusqu'à 3 ans de prison et jusqu'à 300 000 E de dommages et intérêts. C'est option indique au serveur DNS qu'il peut recevoir d'un serveur DHCP configuré sur la machine dont l'adresse IP est écrite. même partielle.5 . et vous pouvez les utiliser à votre convenance. Par contre la page de présentation de ces sources constitue une oeuvre intellectuelle protégée par les droits d'auteurs.d/dhcpd restart III-2-5 . basé sur une clé.Configuration du serveur DNS Le cas pratique se poursuit toujours. allow-update { 192. La nouvelle configuration du fichier named. http://siguillaume. souvent associé à BIND. Son fichier de configuration est: /etc/rndc.key.db" . Aucune reproduction.Guillaume Sigui.1. #Autorisation de la mise à jour ddns-updates on. etc sans l'autorisation expresse de l'auteur. ne peut être faite de ce site et de l'ensemble de son contenu : textes. http://siguillaume.168. # Durée de vie du bail (un jour=86400s) max-lease-time 86400.10.1. # La définition de la plage d'IP à distribuer.21 Les sources présentées sur cette pages sont libres de droits.0 { range 192. # Les options qui seront transmisent aux clients : #le domaine et la passerelle option domain-name-servers 192.1. default-lease-time 86400.com/tutoriels/linux/installation-configuration-serveur-dns-sous-linux/ .255. Par contre la page de présentation de ces sources constitue une oeuvre intellectuelle protégée par les droits d'auteurs. Copyright © 2009 .0.ci".1. allow unknown-clients. #Forçage de la mise à jour que par le DHCP. même partielle.254.Installation et configuration d'un serveur DNS sous Linux par Guillaume Sigui (Page d'accueil) (Blog) ddns-update-style interim.255. } #Balises à mettre en fin de ligne pour spécifier le DNS . option domain-name "sigui.168.1.168. les autres #sources de modifications sont ignorées ignore client-updates.168. # Forçage de la mise à jour des IP fixes update-static-leases on.0 netmask 255. images.developpez. Aucune reproduction.168.1.Guillaume Sigui. et vous pouvez les utiliser à votre convenance. Sinon vous encourez selon la loi jusqu'à 3 ans de prison et jusqu'à 300 000 E de dommages et intérêts. subnet 192. # Les clients du réseau seront tous reconnus même # si on ne connaît pas leur adresse mac.11 192. option routers 192. documents. } zone 1. http://siguillaume.direct.ci. } * Configuration du serveur DNS #Déclaration du fichier de résolution directe zone "sigui.168.ci.10. key rndckey. key rndckey. { primary 192.168. } #Déclaration du fichier de résolution inverse zone "1.ci. allow-update { key rndckey .arpa.ci" in { type master .1.} . même partielle. file "/var/bind/sigui. puis redémarrer les serveurs.reverse.} .168.developpez. il faut lancer une nouvelle génération de clés.db" .10.192. il suffit d'exécuter la commande : rndc-confgen -a .Guillaume Sigui. { primary 192.1.db".in-addr. Par contre la page de présentation de ces sources constitue une oeuvre intellectuelle protégée par les droits d'auteurs. images. file "/var/bind/sigui. Aucune reproduction.com/tutoriels/linux/installation-configuration-serveur-dns-sous-linux/ .in-addr.Installation et configuration d'un serveur DNS sous Linux par Guillaume Sigui (Page d'accueil) (Blog) #à mettre à jour pour ces jours : très recommandé pour le #décodages des clés zone sigui. Sinon vous encourez selon la loi jusqu'à 3 ans de prison et jusqu'à 300 000 E de dommages et intérêts. allow-update { key rndckey .arpa" in { type master . Pour la génération de clés.168. } Après ces configurations.22 Les sources présentées sur cette pages sont libres de droits. ne peut être faite de ce site et de l'ensemble de son contenu : textes. etc sans l'autorisation expresse de l'auteur. Copyright © 2009 . documents. et vous pouvez les utiliser à votre convenance.192. et les redirige vers d'autres serveurs DNS. les serveurs DNS sont sujets à différents types d'attaques. Pour ce faire. Il permet de définir les réseaux ou les ordinateurs dont on autorise la résolution des requêtes.conf. par exemple ceux dont il a le contrôle. Ces deux valeurs sont logiques.Installation et configuration d'un serveur DNS sous Linux par Guillaume Sigui (Page d'accueil) (Blog) III-3 . Les deux valeurs les plus utilisées sont internal et external. et ne sont pas forcément en rapport avec l'architecture du réseau en présence.0. Redirection de paquets : c'est une technique par laquelle un intrus intercepte des requêtes de résolution de noms adressées au serveur. et restreindre l'accès en écriture sur les données. on peut regrouper la configuration des zones dans un fichier zones. Ce type de récursion est une faille de sécurité. // // // Vues permettant de rendre le serveur DNS récursif en interne et Non recursif en externe // // On autorise la recursion pour la vue internal. N'échanger qu'avec des clients DNS d'un réseau connu. Utiliser le principe de cryptage avec clé pour les mises à jour dynamiques.conf on fait. Par contre la page de présentation de ces sources constitue une oeuvre intellectuelle protégée par les droits d'auteurs.23 Les sources présentées sur cette pages sont libres de droits. http://siguillaume. ou encore peuvent permettre à des personnes d'utiliser le serveur à des fins mal intentionnées.Quelques paramètres de sécurisation du serveur DNS BIND III-4-1 .Guillaume Sigui. Cela permet aux pirates de mieux planifier leurs attaques sur les ordinateurs du réseau. documents. qui permet d'autoriser les ordianteurs ou réseaux à prendre en compte. on ajoute la liste des réseaux autorisés . 127. }. même partielle.20. Sinon vous encourez selon la loi jusqu'à 3 ans de prison et jusqu'à 300 000 E de dommages et intérêts. Le tableau ci-dessous présente les connus avec des recommandations de sécurité : Menaces Deny of Service ou DoS (en français Déni de Service): c'est une surcharge de requêtes sur le serveur DNS.Sécurisation de la récursion Par defaut. A cette vue. Copyright © 2009 . Footprinting : il s'agit d'une attaque qui consiste à intercepter les informations sur une zone et même un domaine: les noms et les adresses IP des machines de cette zone.0.31.0/24. Recommandations Limiter à un nombre restreint de réseaux les requêtes auxquelles doivent répondre le serveur DNS.com/tutoriels/linux/installation-configuration-serveur-dns-sous-linux/ . on utilise deux paramètres principaux présentés dans le tableau ci-dessous: Paramètres acl view Fonctionnalités Liste de contrôle d'accès. Pour rémédier à cela. qui l'empêche de fournir le service pour lequel il est mis en place : résoudre les noms de machines.1. Mécanisme de vue. ne peut être faite de ce site et de l'ensemble de son contenu : textes. Pour mieux organiser l'administration des fichiers de configuration. il est possible de n'autoriser qu'un réseau précis à faire des requêtes. Utiliser le principe de cryptage avec clé pour les mises à jour dynamiques. images.developpez. dans la mesure où elle est peut être exploitée pour les attaques de type DoS. par exemple: // // Utilisation des Access-lists //On spécifie les réseaux et ordinateurs dont les requêtes seront acceptées acl "recursionAutorise" { 10. la configuration du BIND accepte de répondre à toutes les demandes de résolution qui lui parviennent. Aucune reproduction. N'autoriser le transfert de zones qu'à des serveurs DNS connus. et dans le named. et vous pouvez les utiliser à votre convenance. III-4 .Sécurisation d'un serveur DNS Vu leur importance. etc sans l'autorisation expresse de l'auteur. conf". cette valeur est par défaut à 1000. Par contre la page de présentation de ces sources constitue une oeuvre intellectuelle protégée par les droits d'auteurs. Ce tutoriel a présenté ce maillon fort dans tous ces aspects généraux et a montré les différentes configurations possibles.Installation et configuration d'un serveur DNS sous Linux par Guillaume Sigui (Page d'accueil) (Blog) view "internal" { match-clients {recursionAutorise. }. III-4-2 . Sur BIND 9. Aucune reproduction. recursion no. ou une liste de plusieurs adresses.}. documents. images. Les plus utilisés ont: Paramètres blackhole Fonctionnalités Principe de black list: on définit les adresses auxquelles le serveur ne doit pas répondre. // On interdit la recursion pour la vue external.24 Les sources présentées sur cette pages sont libres de droits. recursion yes. ce tutoriel sera régulièrement mis à jour pour présenter les différentes possibilités.Autres paramètres de sécurité Il existe des dizaines de paramètres pour circonscrire la sécurité dans la configuration du BIND. Permet de définir le nombre de requêtes simultanées auxquelles le serveur doit répondre. . include "/etc/zones. Exemples de configuration blackhole {liste-adresses} liste-adresses peut être une plage d'adresses qu'on définit. et vous pouvez les utiliser à votre convenance. }. même partielle. Très pratique lorsque l'administrateur a détecté des adresses qui ont tenté des attaques sur le serveur. Vu que le DNS connait beaucoup d'évolutions. recursion-clients 500 recursionclients Conclusion L'importance du DNS dans un réseau informatique n'est plus à démontrer.Guillaume Sigui. ne peut être faite de ce site et de l'ensemble de son contenu : textes. Copyright © 2009 .developpez. include "/etc/zones.conf". etc sans l'autorisation expresse de l'auteur.}. http://siguillaume. Sinon vous encourez selon la loi jusqu'à 3 ans de prison et jusqu'à 300 000 E de dommages et intérêts. Je tiens à remercier tout ceux qui ont apporté leur apport à l'édition de ce tutoriel.com/tutoriels/linux/installation-configuration-serveur-dns-sous-linux/ . view "external" { match-clients {any. Cette vue concerne tous les autres réseaux non spécifiés. Documents Similar To dns-linuxSkip carouselcarousel previouscarousel nextlinuxunix_linux_introduction_frInstalling_Oracle11gR1_ubuntu_server904Formation DebianDNS Sous Linuxcompilation Du Noyau linux securing-debian-howto.frcmd-linuxGuide Debianpetit_precis_des_commandes_unix_utiles_a_ubuntuubuntu - documentation installation configurationdebian-install-reseaux-potinInstallation DebianlinuxCréation paquet debianTPN3-DHCPlinuxDhcp Sous LinuxDomain Names Beginners Guide - FrenchSysteme DNSAccès au réseau étendu - Final ExamlinuxInstallationL'Administrations Sous Linuxserveur mail sous debiandhcpcommandes_linuxBinds DNSAdministration Ubuntu Serveur Installation Dhcp Serveurtp03_dhcp.pdfMore From Mouna ChanSkip carouselcarousel previouscarousel nextcours_c++EthernetTD SubnettingDistributionAperçu général des protocolesexercicesreseauLes bases de la technologie RéseaucoursLinuxFooter MenuBack To TopAboutAbout ScribdPressOur blogJoin our team!Contact UsJoin todayInvite FriendsGiftsLegalTermsPrivacyCopyrightSupportHelp / FAQAccessibilityPurchase helpAdChoicesPublishersSocial MediaCopyright © 2018 Scribd Inc. .Browse Books.Site Directory.Site Language: English中文EspañolالعربيةPortuguês日本語DeutschFrançaisTurkceРусский языкTiếng việtJęzyk polskiBahasa indonesiaSign up to vote on this titleUsefulNot usefulYou're Reading a Free PreviewDownloadClose DialogAre you sure?This action might not be possible to undo. Are you sure you want to continue?CANCELOK
Copyright © 2024 DOKUMEN.SITE Inc.