Agenda: dns-delegation-exercise-vFR.txt

File dns-delegation-exercise-vFR.txt, 8.3 KB (added by admin, 6 years ago)
Line 
1                        Exercice DNS - Délégation
2                        -------------------------
3
4Dans cet exercice, nous allons créer un nouveau TLD dans notre racine.
5par exemple: MYTLD
6
7Vous allez créer un service de nom maître sur votre propre machine, et
8quelqu'un d'autre offrira un service esclave. Ensuite, vous pourrez demander
9à l'administrateur du domaine au-dessus de vous (la racine) de vous déléguer
10votre domaine.
11
12Note: ce qui suit devra être fait tant que le super utilisateur «root».
13
14Tout d'abord, notez que votre nom d'hÎte (hostname) est configuré correctement
15sur votre machine. Vérifiez qu'il est correctement configuré en utilisant la
16commande 'hostname' - par exemple sur auth1.grpXX.dns.nsrc.org, si vous tapez:
17
18 # hostname
19
20Vous devriez voir:
21
22  auth1.grpXX.dns.nsrc.org
23
24Si non, alors configurez votre serveur avec son nom: par exemple, pour
25auth1.grp25.dns.nsrc.org, tapez:
26
27# hostname auth1.grp25.dns.nsrc.org
28
29 N'oubliez pas de remplacer "grpXX" par le numéro du groupe approprié!
30
31Editez le fichier /etc/rc.conf (en utilisant "vi" ou "ee", c'est à dire:
32ee /etc/rc.conf), et mettre à jour le "hostname":
33
34# hostname = "auth1.grpXX.dns.nsrc.org"
35
36Dans le fichier /etc/hosts, vous devriez voir une ligne:
37
38  10.10.X.1 auth1.grpXX auth1.grpXX.dns.nsrc.org
39
40
41Exercice
42--------
43
44* Choisissez un nouveau nom de domaine, notez-le quelque part
45
46    ex: «MYTLD» ou «mycooldomain» - ce qui vous plaît.
47
48    (NE PAS choisir l'un des noms de PC, par exemple `auth1.grpXX`, comme
49        votre sous-domaine)
50
51    Cela pourrait être par exemple le code de votre TLD existant, le nom
52        de votre pays, le nom de votre entrepris, etc.
53
54    Mais n'oubliez pas que quelqu'un pourrait prendre le même nom!  Premier
55        arrivé, premier servi.
56
57* Trouvez quelqu'un qui accepterait d'être esclave de votre domaine.
58  S'il vous plaît, choisir quelqu'un qui n'est pas immédiatement assis à cÃŽté
59  de vous: (pas à votre table) (Rappelez-vous RFC 2182: les secondaires doivent
60  être sur des réseaux distants mais ici nous travaillons sur un réseau plat).
61  Vous pouvez avoir plus d'un esclave si vous le souhaitez.
62
63* Créez votre fichier de zone dans `/etc/namedb/master/MYTLD`
64
65    (Où MYTLD est votre domaine choisi) - vous pouvez trÚs bien
66        «copier-coller» la section ci-dessous - mais n'oubliez pas de mettre à
67        jour XXX avec votre adresse IP:
68
69  *** Rappelez-vous, vous aurez besoin pour devenir root pour créer ce fichier,
70  *** Ainsi, par exemple
71  ***
72  *** $ cd /etc/namedb/master
73  *** $ sudo vi MYTLD
74  ***
75  *** (N'hésitez pas à utiliser un autre éditeur à la place de vi, par exemple, joe, ee)
76
77------------- Copier à partir de ci-dessous ------------
78
79$TTL 2m
80@               IN SOA auth1.grpXX.dns.nsrc.org. votre.adresse.email. (
81                        2012022301; Serial
82                        10m; Refresh
83                        5m; Retry
84                        4W; Expire
85                        2m); Negative
86
87        IN NS auth1.grpXXX.dns.nsrc.org. ; Maitre
88        IN NS auth1.grpYYY.dns.nsrc.org. ; Esclave
89
90www     IN A 10.10.XXX.1                         ; votre propre adresse IP
91
92------------- Couper au-dessus ------------
93
94    Remplacez `votre.adresse.email.` par votre adresse E-mail privée, de
95        sorte que user@domain.name devienne user.domain.name
96
97    XXX et YYY sont l'adresse IP de votre groupe et votre esclave,
98        respectivement.
99   
100    Nous avons choisi exprÚs des valeurs faibles pour le TTL, le
101        rafraîchissement (refresh), et le réessai (retry), pour rendre
102        plus facile le dépannage en classe. Pour un domaine de production,
103        vous utiliseriez des valeurs plus élevées.
104
105* Modifier `/etc/namedb/named.conf` et procédez comme suit:
106
107  *** Rappelez-vous, vous aurez besoin pour devenir root pour modifier ce fichier,
108  *** Ainsi, par exemple
109  ***
110  *** $ cd /etc/namedb
111  *** $ sudo vi named.conf
112  ***
113  *** (N'hésitez pas à utiliser un autre éditeur à la place de vi, par exemple, joe, ee)
114
115    - Si elle est toujours là, supprimez la ligne suivante:
116
117         listen-on {127.0.0.1;};
118
119    ... et ajouter une autre ligne dans la section des options:
120
121        allow-query {any;};
122
123    ... afin que votre serveur de noms réponde maintenant aux requêtes
124            provenant du réseau.
125
126    - Ajouter une section pour configurer votre machine en tant que maître de
127      votre domaine, en ajoutant quelque chose comme ce qui suit à la fin
128          (en bas) du fichier:
129
130      zone "MYTLD" {
131        type master;
132        file "/etc/namedb/master/MYTLD";
133      };
134
135    Faites attention à la ';' et '}'!
136
137* Vérifiez que votre fichier de configuration et le fichier de zone sont
138  valides:
139
140        # named-checkconf
141        # named-checkzone MYTLD /etc/namedb/master/MYTLD
142
143    * S'il ya des erreurs, corrigez-les! *
144
145* Si ce n'est pas déjà fait, activez le serveur de noms dans la configuration
146  de votre serveur, en éditant le fichier /etc/rc.conf et ajouter, si ce n'est
147  pas déjà fait:
148
149     ** Rappelez-vous, encore une fois, vous avez besoin d'être root pour modifier ce fichier
150
151        named_chrootdir=""
152        named_enable="YES"
153
154    - Puis démarrage / redémarrage du serveur de noms par la commande:
155
156        # service named restart
157
158    Vérifiez le résultat avec
159
160        # tail /var/log/messages
161
162    Vérifiez avec dig que MYTLD est maintenant configuré sur votre hÃŽte:
163
164        # dig @ 10.10.XXX.1 MYTLD. NS
165
166    Où "XXX" est le groupe de votre machine.
167
168        Vous pouvez également vérifier l'état de serveur de noms en utilisant rndc:
169
170        # rndc status
171
172    - S'il y a des erreurs, corrigez-les. Certaines erreurs de configuration
173          peuvent provoquer l'arrêt complet du serveur de noms, auquel cas vous
174          pourriez avoir à le redémarrez, aprÚs avoir corrigé les erreurs:
175
176        # service named restart
177
178* Aider vos esclaves à se configurer comme esclave pour votre domaine, et
179  configurer votre serveur en tant qu'esclave si une autre table vous demande
180  d'être esclave pour eux.
181
182    Voici l'essentiel de ce que vous devez ajouter à la fin du fichier named.conf:
183
184      zone "MYTLD" {
185         type slave;
186         masters { 10.10.xxx.1; };
187         file "/etc/namedb/slave/MYTLD";
188      };
189
190    ... où XXX est le groupe où le maître se trouve.
191
192    Si vous avez changé votre `named.conf` afin de devenir esclave pour
193    quelqu'un d'autre, assurez-vous qu'il n'y a pas d'erreurs dans
194        `/var/log/messages` aprÚs avoir redémarré votre serveur de noms.
195
196    Vous aurez besoin d'un répertoire slave avec les permissions appropriées
197        et ou l'utilisateur bind peut écrire le fichier de zone reçu du maître.
198
199* Vérifiez que vous et vos esclaves donnent des réponses faisant autorité pour
200  votre nom de domaine:
201
202        # dig +norec @10.10.XXX.1 MYTLD. SOA
203        # dig +norec @10.10.YYY.1 MYTLD. SOA
204
205    Vérifiez que vous obtenez un 'aa' (réponse faisant autorité) pour chaque,
206        et que les numéros de série correspondent.
207
208* Maintenant vous êtes prêt à demander la délégation:
209
210    a) si vous utilisez le RZM:
211
212    Aller à https://rzm.dnssek.org/
213
214    Choisissez 'signup'.
215
216    Le nom d'utilisateur est votre nom de domaine ("coco") par exemple.
217    Le mot de passe est libre à vous, mais vous devez vous en souvenir!
218
219    Nous ferons une démo de l'interface en classe.
220
221    b) si vous n'utilisez pas le RZM:
222
223    Indiquez à l'instructeur, sur un morceau de papier:
224
225
226        Nom de domaine: ___________________
227
228        serveur de noms maitre:  auth1.grp___.dns.nsrc.org
229
230        serveur de noms esclave: auth1.grp___.dns.nsrc.org
231
232
233* Vous n'obtiendrez pas la délégation tant que l'instructeur aura vérifié:
234
235    - Vos serveurs DNS font tous autorité pour votre domaine
236    - Ils ont tous le même numéro de série SOA
237    - Les enregistrements NS dans la zone correspondant à la liste des
238          serveurs que vous avez indiqué dans votre demande de délegation
239    - Le(s) esclave(s) ne sont pas à la même table que vous ou à cÃŽté
240          de vous!
241
242    => C'est ce qu'on appelle la politique d'un registre!
243
244* Une fois que vous avez obtenu la délégation, essayez de résoudre www.MYTLD:
245
246    - Sur votre propre machine
247    - Sur la machine de quelqu'un d'autre (qui n'est pas esclave pour vous):
248
249  # dig @ 10.10.XXX.1 www.MYTLD    (où MYTLD est votre domaine)
250
251* Ajouter un nouvel enregistrement dans votre fichier de zone.
252  N'oubliez pas de mettre à jour le le numéro de série. Vérifiez que vos
253  esclaves ont mis à jour. Essayez de résoudre ce nouveau nom.