1 | Exercice DNS - Délégation |
---|
2 | ------------------------- |
---|
3 | |
---|
4 | Dans cet exercice, nous allons créer un nouveau TLD dans notre racine. |
---|
5 | par exemple: MYTLD |
---|
6 | |
---|
7 | Vous allez créer un service de nom maître sur votre propre machine, et |
---|
8 | quelqu'un d'autre offrira un service esclave. Ensuite, vous pourrez demander |
---|
9 | à l'administrateur du domaine au-dessus de vous (la racine) de vous déléguer |
---|
10 | votre domaine. |
---|
11 | |
---|
12 | Note: ce qui suit devra être fait tant que le super utilisateur «root». |
---|
13 | |
---|
14 | Tout d'abord, notez que votre nom d'hÎte (hostname) est configuré correctement |
---|
15 | sur votre machine. Vérifiez qu'il est correctement configuré en utilisant la |
---|
16 | commande 'hostname' - par exemple sur auth1.grpXX.dns.nsrc.org, si vous tapez: |
---|
17 | |
---|
18 | # hostname |
---|
19 | |
---|
20 | Vous devriez voir: |
---|
21 | |
---|
22 | auth1.grpXX.dns.nsrc.org |
---|
23 | |
---|
24 | Si non, alors configurez votre serveur avec son nom: par exemple, pour |
---|
25 | auth1.grp25.dns.nsrc.org, tapez: |
---|
26 | |
---|
27 | # hostname auth1.grp25.dns.nsrc.org |
---|
28 | |
---|
29 | N'oubliez pas de remplacer "grpXX" par le numéro du groupe approprié! |
---|
30 | |
---|
31 | Editez le fichier /etc/rc.conf (en utilisant "vi" ou "ee", c'est à dire: |
---|
32 | ee /etc/rc.conf), et mettre à jour le "hostname": |
---|
33 | |
---|
34 | # hostname = "auth1.grpXX.dns.nsrc.org" |
---|
35 | |
---|
36 | Dans le fichier /etc/hosts, vous devriez voir une ligne: |
---|
37 | |
---|
38 | 10.10.X.1 auth1.grpXX auth1.grpXX.dns.nsrc.org |
---|
39 | |
---|
40 | |
---|
41 | Exercice |
---|
42 | -------- |
---|
43 | |
---|
44 | * Choisissez un nouveau nom de domaine, notez-le quelque part |
---|
45 | |
---|
46 | ex: «MYTLD» ou «mycooldomain» - ce qui vous plaît. |
---|
47 | |
---|
48 | (NE PAS choisir l'un des noms de PC, par exemple `auth1.grpXX`, comme |
---|
49 | votre sous-domaine) |
---|
50 | |
---|
51 | Cela pourrait être par exemple le code de votre TLD existant, le nom |
---|
52 | de votre pays, le nom de votre entrepris, etc. |
---|
53 | |
---|
54 | Mais n'oubliez pas que quelqu'un pourrait prendre le même nom! Premier |
---|
55 | arrivé, premier servi. |
---|
56 | |
---|
57 | * Trouvez quelqu'un qui accepterait d'être esclave de votre domaine. |
---|
58 | S'il vous plaît, choisir quelqu'un qui n'est pas immédiatement assis à cÎté |
---|
59 | de vous: (pas à votre table) (Rappelez-vous RFC 2182: les secondaires doivent |
---|
60 | être sur des réseaux distants mais ici nous travaillons sur un réseau plat). |
---|
61 | Vous pouvez avoir plus d'un esclave si vous le souhaitez. |
---|
62 | |
---|
63 | * Créez votre fichier de zone dans `/etc/namedb/master/MYTLD` |
---|
64 | |
---|
65 | (Où MYTLD est votre domaine choisi) - vous pouvez trÚs bien |
---|
66 | «copier-coller» la section ci-dessous - mais n'oubliez pas de mettre à |
---|
67 | jour XXX avec votre adresse IP: |
---|
68 | |
---|
69 | *** Rappelez-vous, vous aurez besoin pour devenir root pour créer ce fichier, |
---|
70 | *** Ainsi, par exemple |
---|
71 | *** |
---|
72 | *** $ cd /etc/namedb/master |
---|
73 | *** $ sudo vi MYTLD |
---|
74 | *** |
---|
75 | *** (N'hésitez pas à utiliser un autre éditeur à la place de vi, par exemple, joe, ee) |
---|
76 | |
---|
77 | ------------- Copier à partir de ci-dessous ------------ |
---|
78 | |
---|
79 | $TTL 2m |
---|
80 | @ IN SOA auth1.grpXX.dns.nsrc.org. votre.adresse.email. ( |
---|
81 | 2012022301; Serial |
---|
82 | 10m; Refresh |
---|
83 | 5m; Retry |
---|
84 | 4W; Expire |
---|
85 | 2m); Negative |
---|
86 | |
---|
87 | IN NS auth1.grpXXX.dns.nsrc.org. ; Maitre |
---|
88 | IN NS auth1.grpYYY.dns.nsrc.org. ; Esclave |
---|
89 | |
---|
90 | www IN A 10.10.XXX.1 ; votre propre adresse IP |
---|
91 | |
---|
92 | ------------- Couper au-dessus ------------ |
---|
93 | |
---|
94 | Remplacez `votre.adresse.email.` par votre adresse E-mail privée, de |
---|
95 | sorte que user@domain.name devienne user.domain.name |
---|
96 | |
---|
97 | XXX et YYY sont l'adresse IP de votre groupe et votre esclave, |
---|
98 | respectivement. |
---|
99 | |
---|
100 | Nous avons choisi exprÚs des valeurs faibles pour le TTL, le |
---|
101 | rafraîchissement (refresh), et le réessai (retry), pour rendre |
---|
102 | plus facile le dépannage en classe. Pour un domaine de production, |
---|
103 | vous utiliseriez des valeurs plus élevées. |
---|
104 | |
---|
105 | * Modifier `/etc/namedb/named.conf` et procédez comme suit: |
---|
106 | |
---|
107 | *** Rappelez-vous, vous aurez besoin pour devenir root pour modifier ce fichier, |
---|
108 | *** Ainsi, par exemple |
---|
109 | *** |
---|
110 | *** $ cd /etc/namedb |
---|
111 | *** $ sudo vi named.conf |
---|
112 | *** |
---|
113 | *** (N'hésitez pas à utiliser un autre éditeur à la place de vi, par exemple, joe, ee) |
---|
114 | |
---|
115 | - Si elle est toujours là , supprimez la ligne suivante: |
---|
116 | |
---|
117 | listen-on {127.0.0.1;}; |
---|
118 | |
---|
119 | ... et ajouter une autre ligne dans la section des options: |
---|
120 | |
---|
121 | allow-query {any;}; |
---|
122 | |
---|
123 | ... afin que votre serveur de noms réponde maintenant aux requêtes |
---|
124 | provenant du réseau. |
---|
125 | |
---|
126 | - Ajouter une section pour configurer votre machine en tant que maître de |
---|
127 | votre domaine, en ajoutant quelque chose comme ce qui suit à la fin |
---|
128 | (en bas) du fichier: |
---|
129 | |
---|
130 | zone "MYTLD" { |
---|
131 | type master; |
---|
132 | file "/etc/namedb/master/MYTLD"; |
---|
133 | }; |
---|
134 | |
---|
135 | Faites attention à la ';' et '}'! |
---|
136 | |
---|
137 | * Vérifiez que votre fichier de configuration et le fichier de zone sont |
---|
138 | valides: |
---|
139 | |
---|
140 | # named-checkconf |
---|
141 | # named-checkzone MYTLD /etc/namedb/master/MYTLD |
---|
142 | |
---|
143 | * S'il ya des erreurs, corrigez-les! * |
---|
144 | |
---|
145 | * Si ce n'est pas déjà fait, activez le serveur de noms dans la configuration |
---|
146 | de votre serveur, en éditant le fichier /etc/rc.conf et ajouter, si ce n'est |
---|
147 | pas déjà fait: |
---|
148 | |
---|
149 | ** Rappelez-vous, encore une fois, vous avez besoin d'être root pour modifier ce fichier |
---|
150 | |
---|
151 | named_chrootdir="" |
---|
152 | named_enable="YES" |
---|
153 | |
---|
154 | - Puis démarrage / redémarrage du serveur de noms par la commande: |
---|
155 | |
---|
156 | # service named restart |
---|
157 | |
---|
158 | Vérifiez le résultat avec |
---|
159 | |
---|
160 | # tail /var/log/messages |
---|
161 | |
---|
162 | Vérifiez avec dig que MYTLD est maintenant configuré sur votre hÎte: |
---|
163 | |
---|
164 | # dig @ 10.10.XXX.1 MYTLD. NS |
---|
165 | |
---|
166 | Où "XXX" est le groupe de votre machine. |
---|
167 | |
---|
168 | Vous pouvez également vérifier l'état de serveur de noms en utilisant rndc: |
---|
169 | |
---|
170 | # rndc status |
---|
171 | |
---|
172 | - S'il y a des erreurs, corrigez-les. Certaines erreurs de configuration |
---|
173 | peuvent provoquer l'arrêt complet du serveur de noms, auquel cas vous |
---|
174 | pourriez avoir à le redémarrez, aprÚs avoir corrigé les erreurs: |
---|
175 | |
---|
176 | # service named restart |
---|
177 | |
---|
178 | * Aider vos esclaves à se configurer comme esclave pour votre domaine, et |
---|
179 | configurer votre serveur en tant qu'esclave si une autre table vous demande |
---|
180 | d'être esclave pour eux. |
---|
181 | |
---|
182 | Voici l'essentiel de ce que vous devez ajouter à la fin du fichier named.conf: |
---|
183 | |
---|
184 | zone "MYTLD" { |
---|
185 | type slave; |
---|
186 | masters { 10.10.xxx.1; }; |
---|
187 | file "/etc/namedb/slave/MYTLD"; |
---|
188 | }; |
---|
189 | |
---|
190 | ... où XXX est le groupe où le maître se trouve. |
---|
191 | |
---|
192 | Si vous avez changé votre `named.conf` afin de devenir esclave pour |
---|
193 | quelqu'un d'autre, assurez-vous qu'il n'y a pas d'erreurs dans |
---|
194 | `/var/log/messages` aprÚs avoir redémarré votre serveur de noms. |
---|
195 | |
---|
196 | Vous aurez besoin d'un répertoire slave avec les permissions appropriées |
---|
197 | et ou l'utilisateur bind peut écrire le fichier de zone reçu du maître. |
---|
198 | |
---|
199 | * Vérifiez que vous et vos esclaves donnent des réponses faisant autorité pour |
---|
200 | votre nom de domaine: |
---|
201 | |
---|
202 | # dig +norec @10.10.XXX.1 MYTLD. SOA |
---|
203 | # dig +norec @10.10.YYY.1 MYTLD. SOA |
---|
204 | |
---|
205 | Vérifiez que vous obtenez un 'aa' (réponse faisant autorité) pour chaque, |
---|
206 | et que les numéros de série correspondent. |
---|
207 | |
---|
208 | * Maintenant vous êtes prêt à demander la délégation: |
---|
209 | |
---|
210 | a) si vous utilisez le RZM: |
---|
211 | |
---|
212 | Aller à https://rzm.dnssek.org/ |
---|
213 | |
---|
214 | Choisissez 'signup'. |
---|
215 | |
---|
216 | Le nom d'utilisateur est votre nom de domaine ("coco") par exemple. |
---|
217 | Le mot de passe est libre à vous, mais vous devez vous en souvenir! |
---|
218 | |
---|
219 | Nous ferons une démo de l'interface en classe. |
---|
220 | |
---|
221 | b) si vous n'utilisez pas le RZM: |
---|
222 | |
---|
223 | Indiquez à l'instructeur, sur un morceau de papier: |
---|
224 | |
---|
225 | |
---|
226 | Nom de domaine: ___________________ |
---|
227 | |
---|
228 | serveur de noms maitre: auth1.grp___.dns.nsrc.org |
---|
229 | |
---|
230 | serveur de noms esclave: auth1.grp___.dns.nsrc.org |
---|
231 | |
---|
232 | |
---|
233 | * Vous n'obtiendrez pas la délégation tant que l'instructeur aura vérifié: |
---|
234 | |
---|
235 | - Vos serveurs DNS font tous autorité pour votre domaine |
---|
236 | - Ils ont tous le même numéro de série SOA |
---|
237 | - Les enregistrements NS dans la zone correspondant à la liste des |
---|
238 | serveurs que vous avez indiqué dans votre demande de délegation |
---|
239 | - Le(s) esclave(s) ne sont pas à la même table que vous ou à cÎté |
---|
240 | de vous! |
---|
241 | |
---|
242 | => C'est ce qu'on appelle la politique d'un registre! |
---|
243 | |
---|
244 | * Une fois que vous avez obtenu la délégation, essayez de résoudre www.MYTLD: |
---|
245 | |
---|
246 | - Sur votre propre machine |
---|
247 | - Sur la machine de quelqu'un d'autre (qui n'est pas esclave pour vous): |
---|
248 | |
---|
249 | # dig @ 10.10.XXX.1 www.MYTLD (où MYTLD est votre domaine) |
---|
250 | |
---|
251 | * Ajouter un nouvel enregistrement dans votre fichier de zone. |
---|
252 | N'oubliez pas de mettre à jour le le numéro de série. Vérifiez que vos |
---|
253 | esclaves ont mis à jour. Essayez de résoudre ce nouveau nom. |
---|