Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
sysadmin:tsig [2014/10/18 20:56] james ajout conf client |
sysadmin:tsig [2014/10/24 16:37] (Version actuelle) james ajout références |
||
---|---|---|---|
Ligne 71: | Ligne 71: | ||
<note important>Il faut aussi noter qu'**il ne faut pas lister les IPs des serveurs secondaires ici** : les IPs ajoutées dans la directive allow-transfert sont les IPs que vous voulez autoriser justement à effectuer un transfert de zone **sans avoir à utiliser la clef** : donc en général **vous ne voulez pas faire ca ;-)**</note> | <note important>Il faut aussi noter qu'**il ne faut pas lister les IPs des serveurs secondaires ici** : les IPs ajoutées dans la directive allow-transfert sont les IPs que vous voulez autoriser justement à effectuer un transfert de zone **sans avoir à utiliser la clef** : donc en général **vous ne voulez pas faire ca ;-)**</note> | ||
- | Il ne reste plus qu'a redémarrer votre bind : <code>/etc/init.d/bind9 restart</code>A partir de ce moment la les esclaves ne pourront plus se mettre a jour : vous obtiendrez sur l'esclave des erreurs comme cela : <code>Oct 18 20:23:54 dsnslave1 named[8064]: client 192.168.1.24#59985: request has invalid signature: TSIG tsig-domain-com: tsig verify failure (BADKEY)</code> ce qui est normal vu que nous n'avons pas encore configuré les esclaves | + | Il ne reste plus qu'a redémarrer votre bind : <code>/etc/init.d/bind9 restart</code>A partir de ce moment la les esclaves ne pourront plus se mettre a jour : vous obtiendrez sur l'esclave des erreurs comme cela : <code>Oct 18 20:23:54 dsnslave1 named[8064]: client 192.168.1.24#59985: request has invalid signature: TSIG tsig-domain-com: tsig verify failure (BADKEY)</code> ce qui est normal vu que nous n'avons pas encore configuré les esclaves, ce que l'on va faire de ce pas. |
+ | |||
+ | <note>Les fichiers .key et .private que nous avons généré tout a l'heure ne sont plus nécessaires et peuvent être supprimés du serveur pour plus de sécurité</note> | ||
===== Sur le(s) serveur(s) esclave(s) ===== | ===== Sur le(s) serveur(s) esclave(s) ===== | ||
Ligne 103: | Ligne 105: | ||
notify no; | notify no; | ||
};</code> | };</code> | ||
- | après un petit redémarrage du service : <code># /etc/init.d/bind9 restart</code>vous devriez voir quelque chose ressemblant à ça dans les logs de votre serveur maitre : <code>client 192.168.2.42#46795: received notify for zone 'domain.com': TSIG 'tsig-domain-com' | + | après un petit redémarrage du service : <code># /etc/init.d/bind9 restart</code>vous devriez voir quelque chose ressemblant à ça dans les logs de votre serveur maitre : <code>client 192.168.2.42#46795: received notify for zone 'domain.com': TSIG 'tsig-domain-com'</code> |
+ | |||
+ | Il faut bien sur répéter cette opération sur tous vos serveurs secondaires si vous en avez plusieurs. | ||
+ | |||
+ | ===== Et voila ===== | ||
+ | Et voila nous disposons maintenant d'un transfert de zone sécurisé entre notre serveur DNS maître et nos serveurs DNS secondaires. | ||
+ | |||
+ | Si on veut tester les transfert avec et sans clef depuis un DNS secondaire: <code>dig @{ip-dns-principal} domain.com axfr</code> ce qui avec un peu de chance doit vous renvoyer une erreur ressemblant à ça (sinon il y a un problème dans la conf de votre serveur DNS primaire : <code>$ dig @192.128.2.1 domain.com axfr | ||
+ | |||
+ | ; <<>> DiG 9.8.4-rpz2+rl005.12-P1 <<>> @192.128.2.1 domain.com axfr | ||
+ | ; (1 server found) | ||
+ | ;; global options: +cmd | ||
+ | ; Transfer failed. | ||
+ | </code> | ||
+ | Alors qu'en utilisant la clef vous devriez voir le transfert s'effectuer (lancer en root ou en utilisant sudo pour avoir le droit de lire le fichier contenant la clef) : <code># dig @192.128.2.1 domain.com axfr -k /etc/bind/named.conf.tsigkeys</code> | ||
+ | |||
+ | ===== Références ===== | ||
+ | * http://www.mimiz.fr/blog/mise-en-place-dun-serveur-dns-dynamique/ | ||
+ | * http://opentodo.net/2013/01/authenticate-dns-zone-transfer-with-tsig/ | ||
+ | * https://lists.isc.org/pipermail/bind-users/2014-March/092714.html | ||
+ | * http://lamejournal.com/2013/06/10/bind-enabling-tsig-for-zone-transfers/ | ||
+ | * http://www.bind9.net/arm98.pdf | ||