Outils pour utilisateurs

Outils du site


coopération:serveur_de_noms_secondaire

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision
Révision précédente
coopération:serveur_de_noms_secondaire [Thu Jun 10 17:50:09 2010]
david12
coopération:serveur_de_noms_secondaire [Thu Nov 28 11:26:56 2013]
elessar [Fournisseurs de serveurs secondaires] actualisation du lien vers les volontaires
Ligne 3: Ligne 3:
 Le système [[services:​DNS]] prévoit l'​utilisation de plusieurs serveurs de noms pour un domaine, ce qui permet de maintenir le service en cas de défaillance d'un serveur. Ces serveurs sont déclarés auprès du registre et dans le domaine lui-même, sous la forme de plusieurs enregistrements ''​NS''​. Le système [[services:​DNS]] prévoit l'​utilisation de plusieurs serveurs de noms pour un domaine, ce qui permet de maintenir le service en cas de défaillance d'un serveur. Ces serveurs sont déclarés auprès du registre et dans le domaine lui-même, sous la forme de plusieurs enregistrements ''​NS''​.
  
-Le principe d'​utilisation de serveurs secondaires est le suivant +Le principe d'​utilisation de serveurs secondaires est le suivant ​
-  - lors de leur mise en place, les serveurs secondaires,​ asservis, récupèrent le fichier de zone complet auprès du serveur ​maître +  - lors de leur mise en place, les serveurs secondaires,​ asservis, récupèrent le fichier de zone complet auprès du serveur ​maître ​
-  - à chaque modification du fichier de zone, le serveur maître envoie aux serveurs asservis une notification ;+  - à chaque modification du fichier de zone, le serveur maître envoie aux serveurs asservis une notification ​;
   - à la réception de cette notification,​ les serveurs asservis récupèrent les changements apportées.   - à la réception de cette notification,​ les serveurs asservis récupèrent les changements apportées.
  
Ligne 12: Ligne 12:
 ==== Sur le serveur maître ==== ==== Sur le serveur maître ====
  
-Le réplication de votre zone sur un serveur asservi doit être sécurisée. En effet, il faut éviter +Le réplication de votre zone sur un serveur asservi doit être sécurisée. En effet, il faut éviter ​
-  * que n'​importe qui puisse se faire passer pour votre serveur secondaire et récupérer toutes les informations de votre zone ;+  * que n'​importe qui puisse se faire passer pour votre serveur secondaire et récupérer toutes les informations de votre zone ;
   * que n'​importe qui puisse se faire passer pour votre serveur primaire et fournir des fausses informations à vos serveurs secondaires.   * que n'​importe qui puisse se faire passer pour votre serveur primaire et fournir des fausses informations à vos serveurs secondaires.
  
-La réplication DNS est donc basée sur un système de signature numérique, TSIG. C'est un système symétrique,​ c'est à dire que votre serveur primaire partage un secret commun avec chaque serveur secondaire (ce secret peut être différent pour chaque serveur secondaire, il doit juste être commun aux deux parties impliquées dans //un// échange). La première étape consiste donc à générer une clef TSIG, à laquelle on donne généralement un nom composé de la concaténation des noms des serveurs impliqué, comme s'il s'​agissait d'un nom d'​enregistrement DNS de votre zone +La réplication DNS est donc basée sur un système de signature numérique, TSIG. C'est un système symétrique,​ c'est à dire que votre serveur primaire partage un secret commun avec chaque serveur secondaire (ce secret peut être différent pour chaque serveur secondaire, il doit juste être commun aux deux parties impliquées dans //un// échange). La première étape consiste donc à générer une clef TSIG, à laquelle on donne généralement un nom composé de la concaténation des noms des serveurs impliqué, comme s'il s'​agissait d'un nom d'​enregistrement DNS de votre zone 
-<​code>#​ mkdir tsig +<​code>#​ mkdir tsig ; cd tsig 
-# dnssec-keygen -d tsig     # répertoire de stockage \ +# dnssec-keygen -HOST        # type de clef \ 
-                -t HOST     ​# type de clef \ +                -a HMAC-SHA512 ​# algorithme de signature ​
-                -a HMAC-MD5 # algorithme de signature \+                -b 512         # taille de clef \
                 ns.example.org.ns.example.com. # nom de la clef</​code>​                 ns.example.org.ns.example.com. # nom de la clef</​code>​
  
-Cela génère deux fichiers, un ''​.private''​ et un ''​.key''​. Comme il s'agit ici d'un algorithme symétrique,​ les deux contiennent en fait les mêmes données, et doivent rester secrètes. Vous pouvez maintenant modifier votre fichier de configuration de [[serveurs:​BIND]],​ ''/​etc/​bind/​named.conf[.local]'',​ pour y ajouter la clef et autoriser le transfert de votre zone aux serveurs disposant de cette clef :+Cela génère deux fichiers, un ''​.private''​ et un ''​.key''​. Comme il s'agit ici d'un algorithme symétrique,​ les deux contiennent en fait les mêmes données, et doivent rester secrètes. Vous pouvez maintenant modifier votre fichier de configuration de [[serveurs:​BIND]],​ ''/​etc/​bind/​named.conf[.local]'',​ pour y ajouter la clef et autoriser le transfert de votre zone aux serveurs disposant de cette clef :
 <​file>​key ns.example.org.ns.example.com. { <​file>​key ns.example.org.ns.example.com. {
         algorithm hmac-md5 ;         algorithm hmac-md5 ;
Ligne 35: Ligne 35:
 } ;</​file>​ } ;</​file>​
  
-Sur ce, demandez à BIND de recharger sa configuration :+Sur ce, demandez à BIND de recharger sa configuration ​:
 <​code>#​ rndc reload</​code>​ <​code>#​ rndc reload</​code>​
  
 ==== Sur le serveur asservi ==== ==== Sur le serveur asservi ====
  
-Vous devez transmettre le contenu de la clef à l'​administrateur du serveur qui vous servira de ''​NS''​ secondaire. Il devra ensuite modifier son fichier de configuration de BIND, pour y ajouter la définition de cette clef, de votre serveur maître, et de votre zone :+Vous devez transmettre le contenu de la clef à l'​administrateur du serveur qui vous servira de ''​NS''​ secondaire. Il devra ensuite modifier son fichier de configuration de BIND, pour y ajouter la définition de cette clef, de votre serveur maître, et de votre zone :
 <​file>​key ns.example.org.ns.example.com. { <​file>​key ns.example.org.ns.example.com. {
         algorithm hmac-md5 ;         algorithm hmac-md5 ;
Ligne 53: Ligne 53:
 } ;</​file>​ } ;</​file>​
  
-<​box|Votre adresse ​IP ?> +<​box|Votre adresse ​IP ?> 
-Lorsque vous modifierez votre zone, votre serveur en notifiera ses serveurs asservis. En revanche, pour le premier transfert, et pour les transferts de routine, les serveurs asservis contacteront directement votre serveur : ils doivent pour cela connaître son adresse IP, d'où sa présence dans leur fichier de configuration.+Lorsque vous modifierez votre zone, votre serveur en notifiera ses serveurs asservis. En revanche, pour le premier transfert, et pour les transferts de routine, les serveurs asservis contacteront directement votre serveur ​: ils doivent pour cela connaître son adresse IP, d'où sa présence dans leur fichier de configuration.
  
 Quant aux notifications,​ votre serveur les envoie tout simplement à tous les ''​NS''​ déclarés dans votre fichier de zone. Par conséquent,​ tant que vous n'​aurez pas ajouté votre serveur asservi à votre fichier de zone, les notifications ne fonctionneront pas, à moins d'​utiliser l'​option ''​also-notify''​ dans le bloc de définition de votre zone. Quant aux notifications,​ votre serveur les envoie tout simplement à tous les ''​NS''​ déclarés dans votre fichier de zone. Par conséquent,​ tant que vous n'​aurez pas ajouté votre serveur asservi à votre fichier de zone, les notifications ne fonctionneront pas, à moins d'​utiliser l'​option ''​also-notify''​ dans le bloc de définition de votre zone.
 </​box>​ </​box>​
  
-Il faut enfin vérifier que BIND peut écrire dans le répertoire ''/​var/​cache/​bind/​slave/'',​ où il devra écrire le fichier de zone récupéré,​ puis recharger sa configuration :+Il faut enfin vérifier que BIND peut écrire dans le répertoire ''/​var/​cache/​bind/​slave/'',​ où il devra écrire le fichier de zone récupéré,​ puis recharger sa configuration ​:
 <​code>#​ rndc reload</​code>​ <​code>#​ rndc reload</​code>​
  
 ==== Dans le fichier de zone ==== ==== Dans le fichier de zone ====
  
-Commencez par vérifier que la réplication se déroule ​bien : lorsque l'​administrateur du serveur asservi recharge sa configuration,​ vous devez voir apparaître des lignes à ce sujet dans le fichier journal de BIND, ''/​var/​log/​daemon.log''​. Vérifiez ensuite le bon comportement du serveur asservi aux requêtes DNS, en lui demandant quelques ​enregistrements :+Commencez par vérifier que la réplication se déroule ​bien : lorsque l'​administrateur du serveur asservi recharge sa configuration,​ vous devez voir apparaître des lignes à ce sujet dans le fichier journal de BIND, ''/​var/​log/​daemon.log''​. Vérifiez ensuite le bon comportement du serveur asservi aux requêtes DNS, en lui demandant quelques ​enregistrements ​:
 <​code>​$ dig A www.example.com. @ns.example.org.</​code>​ <​code>​$ dig A www.example.com. @ns.example.org.</​code>​
  
-Si vous êtes satisfait de votre serveur asservi, vous pouvez l'​ajouter à la liste de vos NS, dans votre fichier de zone :+Si vous êtes satisfait de votre serveur asservi, vous pouvez l'​ajouter à la liste de vos NS, dans votre fichier de zone :
 <​file>​@ ​      ​NS ​     ns <​file>​@ ​      ​NS ​     ns
 @       ​NS ​     ns.example.org.</​file>​ @       ​NS ​     ns.example.org.</​file>​
Ligne 75: Ligne 75:
 ==== Fournisseurs de serveurs secondaires ==== ==== Fournisseurs de serveurs secondaires ====
  
-Si vous n'avez pas d'ami prêt à vous fournir un service DNS secondaire, sachez qu'il existe plusieurs organisations proposant un tel service +Si vous n'avez pas d'​ami ​([[coopération:​start#​volontaires|coopération]]) ​prêt à vous fournir un service DNS secondaire, sachez qu'il existe plusieurs organisations proposant un tel service ​
-  * avec un peu de chance, votre bureau d'​enregistrement ou, si vous louez un serveur, votre hébergeur +  * avec un peu de chance, votre bureau d'​enregistrement ou, si vous louez un serveur, votre hébergeur ​
-  * [[http://www.xname.org/|XName]] ;+  * [[https://dns.he.net/|Hurricane Electric]] ;
   * [[http://​freedns.afraid.org/​|FreeDNS]] ;   * [[http://​freedns.afraid.org/​|FreeDNS]] ;
-  * [[http://​www.everydns.com/​|EveryDNS]] ; 
   * [[http://​www.zoneedit.com/​|ZoneEdit]] ;   * [[http://​www.zoneedit.com/​|ZoneEdit]] ;
-  * [[http://​www.editdns.net|EditDNS]] ; 
   * [[http://​www.fdn.fr/​|FDN]] fournit des serveurs primaires ou secondaires pour ses membres ;   * [[http://​www.fdn.fr/​|FDN]] fournit des serveurs primaires ou secondaires pour ses membres ;
 +  * [[http://​www.gixe.net|Gixe]] peut héberger des secondaires NS ou MX, des services de VPN et des adresses IP ;
   * [[http://​www.poolp.org/​|poolp.org]] fournit des serveurs primaires ou secondaires pour ses membres ;   * [[http://​www.poolp.org/​|poolp.org]] fournit des serveurs primaires ou secondaires pour ses membres ;
-  * [[https://xname.gebura.eu.org|xname.gebura.eu.org]], serveur personnel ​(OVH- contactez ​[[mailto:root chez gebura.eu.org|root chez gebura.eu.org]] ; +  * [[https://www.sud-ouest.org|Sud-Ouest.org]] ​Plateforme Libre d'​hébergement mail (et de noms de domainesà prix libre, fournit des serveurs primaires ou secondaires pour ses membres ; 
-  * [[http://​www.fullbox.org|Fullbox.org]] ​avec 3 serveurs dont 2 chez OVH et un sur Free ADSL - contactez ​[[mailto:thomas chez fullbox.org|Thomas]] ; +  * [[http://gratisdns.de/​|gratisdns.de]] ; 
-  * [[https://www.sud-ouest.org|Sud-Ouest.org]] fournit des serveurs primaires ou secondaires ​pour ses membres.+  * [[http://​gratisdns.dk|gratisdns.dk]] ; 
 +  * [[http://​www.twisted4life.com|twisted4life]] ; 
 +  * [[http://​www.public-dns.org/|Public-dns.org]] ​
 +  * [[https://puck.nether.net/​dns/​|Puck.nether.net]] ; 
 +  * [[http://www.xname.org/|XName]] ; Souffre de quelques bugs ; 
 +  * [[http://​rollernet.us|Roller Network]] fournit des DNS secondaires ​gratuitement. 
 +  * [[http://​www.editdns.net|EditDNS]] ; Inscriptions suspendues ; 
 +  * [[http://​www.everydns.com/​|EveryDNS]] ; Inscriptions suspendues ;​
  
 + 
 En revanche, les systèmes de réplication DNS de ces fournisseurs n'​utilisent généralement pas de signature numérique TSIG, et leur (faible) sécurité est donc basée sur l'​adresse IP de votre serveur. Par ailleurs, certains fournisseurs ne réagissent pas aux notifications de modification de zone, et se contentent de recharger votre zone une fois par jour. En revanche, les systèmes de réplication DNS de ces fournisseurs n'​utilisent généralement pas de signature numérique TSIG, et leur (faible) sécurité est donc basée sur l'​adresse IP de votre serveur. Par ailleurs, certains fournisseurs ne réagissent pas aux notifications de modification de zone, et se contentent de recharger votre zone une fois par jour.
  
coopération/serveur_de_noms_secondaire.txt · Dernière modification: Thu Nov 28 11:26:56 2013 par elessar