| 1 | Exercice DNS - Délégation |
|---|
| 2 | ------------------------- |
|---|
| 3 | |
|---|
| 4 | Dans cet exercice, nous allons créer un nouveau TLD dans notre racine. |
|---|
| 5 | par exemple: MYTLD |
|---|
| 6 | |
|---|
| 7 | Vous allez créer un service de nom maître sur votre propre machine, et |
|---|
| 8 | quelqu'un d'autre offrira un service esclave. Ensuite, vous pourrez demander |
|---|
| 9 | à l'administrateur du domaine au-dessus de vous (la racine) de vous déléguer |
|---|
| 10 | votre domaine. |
|---|
| 11 | |
|---|
| 12 | Note: ce qui suit devra être fait tant que le super utilisateur «root». |
|---|
| 13 | |
|---|
| 14 | Tout d'abord, notez que votre nom d'hÎte (hostname) est configuré correctement |
|---|
| 15 | sur votre machine. Vérifiez qu'il est correctement configuré en utilisant la |
|---|
| 16 | commande 'hostname' - par exemple sur auth1.grpXX.dns.nsrc.org, si vous tapez: |
|---|
| 17 | |
|---|
| 18 | # hostname |
|---|
| 19 | |
|---|
| 20 | Vous devriez voir: |
|---|
| 21 | |
|---|
| 22 | auth1.grpXX.dns.nsrc.org |
|---|
| 23 | |
|---|
| 24 | Si non, alors configurez votre serveur avec son nom: par exemple, pour |
|---|
| 25 | auth1.grp25.dns.nsrc.org, tapez: |
|---|
| 26 | |
|---|
| 27 | # hostname auth1.grp25.dns.nsrc.org |
|---|
| 28 | |
|---|
| 29 | N'oubliez pas de remplacer "grpXX" par le numéro du groupe approprié! |
|---|
| 30 | |
|---|
| 31 | Editez le fichier /etc/rc.conf (en utilisant "vi" ou "ee", c'est à dire: |
|---|
| 32 | ee /etc/rc.conf), et mettre à jour le "hostname": |
|---|
| 33 | |
|---|
| 34 | # hostname = "auth1.grpXX.dns.nsrc.org" |
|---|
| 35 | |
|---|
| 36 | Dans le fichier /etc/hosts, vous devriez voir une ligne: |
|---|
| 37 | |
|---|
| 38 | 10.10.X.1 auth1.grpXX auth1.grpXX.dns.nsrc.org |
|---|
| 39 | |
|---|
| 40 | |
|---|
| 41 | Exercice |
|---|
| 42 | -------- |
|---|
| 43 | |
|---|
| 44 | * Choisissez un nouveau nom de domaine, notez-le quelque part |
|---|
| 45 | |
|---|
| 46 | ex: «MYTLD» ou «mycooldomain» - ce qui vous plaît. |
|---|
| 47 | |
|---|
| 48 | (NE PAS choisir l'un des noms de PC, par exemple `auth1.grpXX`, comme |
|---|
| 49 | votre sous-domaine) |
|---|
| 50 | |
|---|
| 51 | Cela pourrait être par exemple le code de votre TLD existant, le nom |
|---|
| 52 | de votre pays, le nom de votre entrepris, etc. |
|---|
| 53 | |
|---|
| 54 | Mais n'oubliez pas que quelqu'un pourrait prendre le même nom! Premier |
|---|
| 55 | arrivé, premier servi. |
|---|
| 56 | |
|---|
| 57 | * Trouvez quelqu'un qui accepterait d'être esclave de votre domaine. |
|---|
| 58 | S'il vous plaît, choisir quelqu'un qui n'est pas immédiatement assis à cÎté |
|---|
| 59 | de vous: (pas à votre table) (Rappelez-vous RFC 2182: les secondaires doivent |
|---|
| 60 | être sur des réseaux distants mais ici nous travaillons sur un réseau plat). |
|---|
| 61 | Vous pouvez avoir plus d'un esclave si vous le souhaitez. |
|---|
| 62 | |
|---|
| 63 | * Créez votre fichier de zone dans `/etc/namedb/master/MYTLD` |
|---|
| 64 | |
|---|
| 65 | (Où MYTLD est votre domaine choisi) - vous pouvez trÚs bien |
|---|
| 66 | «copier-coller» la section ci-dessous - mais n'oubliez pas de mettre à |
|---|
| 67 | jour XXX avec votre adresse IP: |
|---|
| 68 | |
|---|
| 69 | *** Rappelez-vous, vous aurez besoin pour devenir root pour créer ce fichier, |
|---|
| 70 | *** Ainsi, par exemple |
|---|
| 71 | *** |
|---|
| 72 | *** $ cd /etc/namedb/master |
|---|
| 73 | *** $ sudo vi MYTLD |
|---|
| 74 | *** |
|---|
| 75 | *** (N'hésitez pas à utiliser un autre éditeur à la place de vi, par exemple, joe, ee) |
|---|
| 76 | |
|---|
| 77 | ------------- Copier à partir de ci-dessous ------------ |
|---|
| 78 | |
|---|
| 79 | $TTL 2m |
|---|
| 80 | @ IN SOA auth1.grpXX.dns.nsrc.org. votre.adresse.email. ( |
|---|
| 81 | 2012022301; Serial |
|---|
| 82 | 10m; Refresh |
|---|
| 83 | 5m; Retry |
|---|
| 84 | 4W; Expire |
|---|
| 85 | 2m); Negative |
|---|
| 86 | |
|---|
| 87 | IN NS auth1.grpXXX.dns.nsrc.org. ; Maitre |
|---|
| 88 | IN NS auth1.grpYYY.dns.nsrc.org. ; Esclave |
|---|
| 89 | |
|---|
| 90 | www IN A 10.10.XXX.1 ; votre propre adresse IP |
|---|
| 91 | |
|---|
| 92 | ------------- Couper au-dessus ------------ |
|---|
| 93 | |
|---|
| 94 | Remplacez `votre.adresse.email.` par votre adresse E-mail privée, de |
|---|
| 95 | sorte que user@domain.name devienne user.domain.name |
|---|
| 96 | |
|---|
| 97 | XXX et YYY sont l'adresse IP de votre groupe et votre esclave, |
|---|
| 98 | respectivement. |
|---|
| 99 | |
|---|
| 100 | Nous avons choisi exprÚs des valeurs faibles pour le TTL, le |
|---|
| 101 | rafraîchissement (refresh), et le réessai (retry), pour rendre |
|---|
| 102 | plus facile le dépannage en classe. Pour un domaine de production, |
|---|
| 103 | vous utiliseriez des valeurs plus élevées. |
|---|
| 104 | |
|---|
| 105 | * Modifier `/etc/namedb/named.conf` et procédez comme suit: |
|---|
| 106 | |
|---|
| 107 | *** Rappelez-vous, vous aurez besoin pour devenir root pour modifier ce fichier, |
|---|
| 108 | *** Ainsi, par exemple |
|---|
| 109 | *** |
|---|
| 110 | *** $ cd /etc/namedb |
|---|
| 111 | *** $ sudo vi named.conf |
|---|
| 112 | *** |
|---|
| 113 | *** (N'hésitez pas à utiliser un autre éditeur à la place de vi, par exemple, joe, ee) |
|---|
| 114 | |
|---|
| 115 | - Si elle est toujours là , supprimez la ligne suivante: |
|---|
| 116 | |
|---|
| 117 | listen-on {127.0.0.1;}; |
|---|
| 118 | |
|---|
| 119 | ... et ajouter une autre ligne dans la section des options: |
|---|
| 120 | |
|---|
| 121 | allow-query {any;}; |
|---|
| 122 | |
|---|
| 123 | ... afin que votre serveur de noms réponde maintenant aux requêtes |
|---|
| 124 | provenant du réseau. |
|---|
| 125 | |
|---|
| 126 | - Ajouter une section pour configurer votre machine en tant que maître de |
|---|
| 127 | votre domaine, en ajoutant quelque chose comme ce qui suit à la fin |
|---|
| 128 | (en bas) du fichier: |
|---|
| 129 | |
|---|
| 130 | zone "MYTLD" { |
|---|
| 131 | type master; |
|---|
| 132 | file "/etc/namedb/master/MYTLD"; |
|---|
| 133 | }; |
|---|
| 134 | |
|---|
| 135 | Faites attention à la ';' et '}'! |
|---|
| 136 | |
|---|
| 137 | * Vérifiez que votre fichier de configuration et le fichier de zone sont |
|---|
| 138 | valides: |
|---|
| 139 | |
|---|
| 140 | # named-checkconf |
|---|
| 141 | # named-checkzone MYTLD /etc/namedb/master/MYTLD |
|---|
| 142 | |
|---|
| 143 | * S'il ya des erreurs, corrigez-les! * |
|---|
| 144 | |
|---|
| 145 | * Si ce n'est pas déjà fait, activez le serveur de noms dans la configuration |
|---|
| 146 | de votre serveur, en éditant le fichier /etc/rc.conf et ajouter, si ce n'est |
|---|
| 147 | pas déjà fait: |
|---|
| 148 | |
|---|
| 149 | ** Rappelez-vous, encore une fois, vous avez besoin d'être root pour modifier ce fichier |
|---|
| 150 | |
|---|
| 151 | named_chrootdir="" |
|---|
| 152 | named_enable="YES" |
|---|
| 153 | |
|---|
| 154 | - Puis démarrage / redémarrage du serveur de noms par la commande: |
|---|
| 155 | |
|---|
| 156 | # service named restart |
|---|
| 157 | |
|---|
| 158 | Vérifiez le résultat avec |
|---|
| 159 | |
|---|
| 160 | # tail /var/log/messages |
|---|
| 161 | |
|---|
| 162 | Vérifiez avec dig que MYTLD est maintenant configuré sur votre hÎte: |
|---|
| 163 | |
|---|
| 164 | # dig @ 10.10.XXX.1 MYTLD. NS |
|---|
| 165 | |
|---|
| 166 | Où "XXX" est le groupe de votre machine. |
|---|
| 167 | |
|---|
| 168 | Vous pouvez également vérifier l'état de serveur de noms en utilisant rndc: |
|---|
| 169 | |
|---|
| 170 | # rndc status |
|---|
| 171 | |
|---|
| 172 | - S'il y a des erreurs, corrigez-les. Certaines erreurs de configuration |
|---|
| 173 | peuvent provoquer l'arrêt complet du serveur de noms, auquel cas vous |
|---|
| 174 | pourriez avoir à le redémarrez, aprÚs avoir corrigé les erreurs: |
|---|
| 175 | |
|---|
| 176 | # service named restart |
|---|
| 177 | |
|---|
| 178 | * Aider vos esclaves à se configurer comme esclave pour votre domaine, et |
|---|
| 179 | configurer votre serveur en tant qu'esclave si une autre table vous demande |
|---|
| 180 | d'être esclave pour eux. |
|---|
| 181 | |
|---|
| 182 | Voici l'essentiel de ce que vous devez ajouter à la fin du fichier named.conf: |
|---|
| 183 | |
|---|
| 184 | zone "MYTLD" { |
|---|
| 185 | type slave; |
|---|
| 186 | masters { 10.10.xxx.1; }; |
|---|
| 187 | file "/etc/namedb/slave/MYTLD"; |
|---|
| 188 | }; |
|---|
| 189 | |
|---|
| 190 | ... où XXX est le groupe où le maître se trouve. |
|---|
| 191 | |
|---|
| 192 | Si vous avez changé votre `named.conf` afin de devenir esclave pour |
|---|
| 193 | quelqu'un d'autre, assurez-vous qu'il n'y a pas d'erreurs dans |
|---|
| 194 | `/var/log/messages` aprÚs avoir redémarré votre serveur de noms. |
|---|
| 195 | |
|---|
| 196 | Vous aurez besoin d'un répertoire slave avec les permissions appropriées |
|---|
| 197 | et ou l'utilisateur bind peut écrire le fichier de zone reçu du maître. |
|---|
| 198 | |
|---|
| 199 | * Vérifiez que vous et vos esclaves donnent des réponses faisant autorité pour |
|---|
| 200 | votre nom de domaine: |
|---|
| 201 | |
|---|
| 202 | # dig +norec @10.10.XXX.1 MYTLD. SOA |
|---|
| 203 | # dig +norec @10.10.YYY.1 MYTLD. SOA |
|---|
| 204 | |
|---|
| 205 | Vérifiez que vous obtenez un 'aa' (réponse faisant autorité) pour chaque, |
|---|
| 206 | et que les numéros de série correspondent. |
|---|
| 207 | |
|---|
| 208 | * Maintenant vous êtes prêt à demander la délégation: |
|---|
| 209 | |
|---|
| 210 | a) si vous utilisez le RZM: |
|---|
| 211 | |
|---|
| 212 | Aller à https://rzm.dnssek.org/ |
|---|
| 213 | |
|---|
| 214 | Choisissez 'signup'. |
|---|
| 215 | |
|---|
| 216 | Le nom d'utilisateur est votre nom de domaine ("coco") par exemple. |
|---|
| 217 | Le mot de passe est libre à vous, mais vous devez vous en souvenir! |
|---|
| 218 | |
|---|
| 219 | Nous ferons une démo de l'interface en classe. |
|---|
| 220 | |
|---|
| 221 | b) si vous n'utilisez pas le RZM: |
|---|
| 222 | |
|---|
| 223 | Indiquez à l'instructeur, sur un morceau de papier: |
|---|
| 224 | |
|---|
| 225 | |
|---|
| 226 | Nom de domaine: ___________________ |
|---|
| 227 | |
|---|
| 228 | serveur de noms maitre: auth1.grp___.dns.nsrc.org |
|---|
| 229 | |
|---|
| 230 | serveur de noms esclave: auth1.grp___.dns.nsrc.org |
|---|
| 231 | |
|---|
| 232 | |
|---|
| 233 | * Vous n'obtiendrez pas la délégation tant que l'instructeur aura vérifié: |
|---|
| 234 | |
|---|
| 235 | - Vos serveurs DNS font tous autorité pour votre domaine |
|---|
| 236 | - Ils ont tous le même numéro de série SOA |
|---|
| 237 | - Les enregistrements NS dans la zone correspondant à la liste des |
|---|
| 238 | serveurs que vous avez indiqué dans votre demande de délegation |
|---|
| 239 | - Le(s) esclave(s) ne sont pas à la même table que vous ou à cÎté |
|---|
| 240 | de vous! |
|---|
| 241 | |
|---|
| 242 | => C'est ce qu'on appelle la politique d'un registre! |
|---|
| 243 | |
|---|
| 244 | * Une fois que vous avez obtenu la délégation, essayez de résoudre www.MYTLD: |
|---|
| 245 | |
|---|
| 246 | - Sur votre propre machine |
|---|
| 247 | - Sur la machine de quelqu'un d'autre (qui n'est pas esclave pour vous): |
|---|
| 248 | |
|---|
| 249 | # dig @ 10.10.XXX.1 www.MYTLD (où MYTLD est votre domaine) |
|---|
| 250 | |
|---|
| 251 | * Ajouter un nouvel enregistrement dans votre fichier de zone. |
|---|
| 252 | N'oubliez pas de mettre à jour le le numéro de série. Vérifiez que vos |
|---|
| 253 | esclaves ont mis à jour. Essayez de résoudre ce nouveau nom. |
|---|