DNS Sous Linux v2

8/14/2019 DNS Sous Linux v2

1/17

WWW.RESEAUMAROC.COM

C O U R S/ F O R M A T I O N / V I D E O E N I N F O R M A T I Q U E : L I N U X , C I S C O , 2 0 0 3 S E R V E R , S E C U R I T E , R E S E A U X .

C O N T A C T : T S S R I - R E S E A U X @ H O T M A I L . F R T E L : 0 0 2 1 2 6 6 9 3 2 4 9 6 4

D O M A I N NA M E S E R V I C E

1 Introduction

Le service de rsolution de noms d' htes DNS (Domain Name Services), permet d'adresser un hte par un nom, plutt que par une adresse IP. Quelle est la structured' un nom d' hte ?

www.google.frmachine.domaine

Le nom de domaine identifie une organisation dans l' internet, comme, par exemple,yahoo.com, wanadoo.fr, eu.org. Chaque organisation dispose d' un ou plusieursrseaux. Ces rseaux sont composs de noeuds, ces noeuds (postes, serveurs,routeurs, imprimantes) pouvant tre adresss.

Par exemple, la commande "ping www.yahoo.fr", permet d' adresser la machine quiporte le nom d' hte"www", dans le domaine (organisation) "yahoo.fr".

Quelle diffrence entre la rsolution de noms d' htes avec un serveur DNS et lesfichiers "hosts" ? Avec les fichiers "hosts", chaque machine dispose de sa proprebase de donnes de noms. Sur des rseaux importants, cette base de donnesduplique n' est pas simple maintenir.

Avec un service de rsolution de nom, la base de donnes est localise sur unserveur. Un client qui dsire adresser un hte regarde dans son cache local, s' il enconnat l' adresse. S' il ne la connat pas il va interroger le serveur de nom. Tous lesgrands rseaux sous TCP/IP, et Internet fonctionnent (schmatiquement) sur ceprincipe.

Avec un serveur DNS, un administrateur n' plus qu 'une seule base de donnes maintenir. Il suffit qu' il indique sur chaque hte, quelle est l' adresse de ce serveur.Ici il y a 2 cas de figures possibles :

soit les htes (clients) sont des clients DHCP (Dynamic Host ConfigurationProtocol). Mise jour du dns de manire dynamique possible.

soit les clients disposent d' une adresse IP statique. La configuration desclients est dtaille dans ce document.

Normalement un service DNS ncessite au minimum deux serveurs afin d' assurerun minimum de redondance. Les bases de donnes des services sont synchronises.La configuration d' un serveur de nom secondaire sera explique. Nous verrons


2/17

WWW.RESEAUMAROC.COM



galement en TP le fonctionnement de la rplication des bases de donnes bases d'enregistrements de ressources.

2 P R E S E N T A T I O N D E S C O N C E P T S : N O T I O N D E D O M A I N E , D E Z O N E E TD E D E L E G A T I O N

Un "domaine" est un sous-arbre de l' espace de nommage. Par exemple ".com" estun domaine, il contient toute la partie hirarchique infrieure de l' arbre sousjacente au noeud ".com".

Un domaine peut tre organis en sous domaines. ".google.com" est un sousdomaine du domaine ".com". Un domaine peut tre assimil une partie ou sous-partie de l' organisation de l' espace de nommage.

Une "zone" est une organisation logique des domaines. Le rle d' une zone estprincipalement de simplifier l' administration des domaines. Le domaine ".com"peut tre dcoup en plusieurs zones, z1.com, z2.com...zn.com. L' administrationdes zones sera dlgue afin de simplifier la gestion globale du domaine.


3/17

WWW.RESEAUMAROC.COM



La dlgation consiste dlguer l' administration d' une zone (ou une sous-zone)aux administrateurs de cette zone.

Attention ces quelques remarques :

Un domaine est une organisation de l' espace de nommage. Il peut treattach un domaine parent, et/ou peut avoir un ou plusieurs sous-domaines enfants.


4/17

WWW.RESEAUMAROC.COM



Les zones correspondent des organisations administratives des domaines.Un domaine peut tre administr par plusieurs zones administratives, maisil est possible aussi qu 'une zone serve l' administration de plusieursdomaines. Prenons l' exemple d' un domaine "MonEntreprise.fr", membre de".fr". Il peut tre compos de trois sous-domaines France.MonEntreprise.fr,Italie.MonEntreprise.fr, Espagne.MonEntreprise.fr et de deux zones d'administration. Une en France pour les sous-domainesFrance.MonEntreprise.fr, Italie.MonEntreprise.fr (il n'y a pas de dlgation),et une pour Espagne.MonEntreprise.fr, il y a dlgation.

L' adressage IP correspond une organisation physique des noeuds sur unrseau ip.

L' organisation de l' espace de nommage est compltement indpendante del' implantation gographique d' un rseau ou de son organisation physique.

Les seules machines connues au niveau de l' espace de nommage, sont lesserveurs de nom "dclars".

La cohrence (le service de rsolution de nom) entre l' organisation de l'espace de nommage et les organisations physiques des rseaux sur internetet ralises par les serveurs de noms.

3 L E D O M A I N E I N -A D D R .A R P A

Le principe de la rsolution de nom, consiste affecter un nom d' hte une adresseIP. On parle de rsolution de nom directe. Le processus inverse doit pouvoirgalement tre mis en oeuvre. On parle de rsolution de nom inverse ou reverse. Leprocessus doit fournir, pour une adresse ip, le nom correspondant. Pour cela il y aune zone particulire, in-addr.arpa, qui permet la rsolution inverse d' adresse IP.


5/17

WWW.RESEAUMAROC.COM



Par exemple, pour le rseau 192.168.1.0, on crera une zone inverse dans ledomaine in-addr.arpa. La zone de recherche inverse dans le domaine deviendra :1.168.192.in-addr.arpa. Cette zone devra rpondre pour toutes les adressesdclares dans la tranche 192.168.1.0 192.168.1.254.

On inscrira dans cette zone tous les noeuds du rseau pour lesquels on dsire que larsolution inverse fonctionne. Un serveur de nom peut, pratiquement, fonctionnersans la dfinition de cette zone tant que le rseau n' est pas reli l' internet. Si celatait le cas, il faudrait dclarer cette zone, sans quoi, des services comme lamessagerie lectronique, ne pourrait fonctionner correctement, notamment causes des rgles anti-spam. (Voirwww.nic.fr)

4 F I C H I E R S , S T R U C T U R E E T C O N T E N U S

Sur linux nous allons utiliser deux types de fichiers :

1. le fichier /etc/bind/named.conf, qui dcrit la configuration gnrale du serveurdns

2. les fichiers qui contiennent les enregistrements de ressources pour la zone dans/var/named.

Les enregistrements ont une structure et un rle.
http://www.nic.fr/http://www.nic.fr/http://www.nic.fr/http://www.nic.fr/


6/17


7/17

WWW.RESEAUMAROC.COM



lectronique vers l' administrateur du DNS. Cela [email protected].

Numro de srie sous la forme AAAAMMJJNN, sert identifier la derniremodification sur le serveur de nom matre. Ce numro sera utilis par lesserveurs de nom secondaires pour synchroniser leurs base. Si le numro desrie du serveur de nom primaire est suprieur celui des serveurs de nomssecondaire, alors le processus de synchronisation suppose queladministrateur apport une modification sur le serveur matre et lesbases sont synchronises.

Rafrachissement : Intervalle de temps donn en seconde pour indiquer auserveur la priode de test de la validit de ses donnes.

Retray : Intervalle de temps avant ritration si l' essai prcdent n' pasfonctionn.

Expire : Temps au bout duquel le serveur ne remplit plus sa mission s' il n'pu contacter le serveur matre pour mettre jour ses donnes.

TTL : Time To Live, dure de vie des enregistrements. Plus la dure de vie estcourte, plus l' administrateur est susceptible de considrer que ses basessont jour, par contre cela augmente le trafic sur le rseau.

Enregistrement de type NS pour le domaine stage.org:

stage.org. IN NS ns1.stage.org.stage.org. IN NS ns2.stage.org.

Enregistrements de type A : Nous devons dcrire la correspondance Nom / Adresse

ns1.stage.org. IN A 192.168.1.1ns2.stage.org. IN A 192.168.1.2localhost.stage.org. IN A 127.0.0.1

S' il y avait d' autres htes sur la zone, il faudrait les dfinir ici.

Enregistrements de type CNAME : Ce sont les alias (Canonical Name). Une requtedu type http://www.stage.org sera adresse ns1.stage.org, puisque www est unalias de ns1.

ns1.stage.org. IN CNAME www.stage.org.ns2.stage.org. IN CNAME ftp.stage.org.

Enregistrement de type PTR : Il serviront la rsolution de nom inverse.


8/17

WWW.RESEAUMAROC.COM



1.1.168.192.in-addr.arpa. IN PTR ns1.stage.org.2.1.168.192.in-addr.arpa. IN PTR ns2.stage.org.

La dlgation

La dlgation consiste donner l' administration d' une partie du domaine uneautre organisation. Il y a transfert de responsabilit pour l' administration d' unezone. Les serveurs de la zone auront autorit sur la zone et auront en charge laresponsabilit de la rsolution de nom sur la zone. Les serveurs ayant autorit sur

le domaine auront des pointeurs vers les serveurs de noms ayant autorit surchaque zone du domaine.

Serveur primaire et serveur secondaire

Le serveur matre (primaire) dispose d' un fichier d' information sur la zone. Le oules serveurs esclaves (secondaires) obtiennent les informations partir d' unserveur primaire ou d' un autre serveur esclave. Il y a transfert de zone. Lesserveurs matres et esclaves ont autorit sur la zone.

Le cache

L' organisation d' internet est assez hirarchique. Chaque domaine dispose de sonpropre serveur de nom. Chaque zone de niveau suprieur (edu, org, fr...) disposegalement de serveurs de nom de niveau suprieur. Le service DNS installe une listede serveurs de noms de niveaux suprieurs. Cette liste permet votre serveur dersoudre les noms qui sont extrieurs votre zone. Le serveur enrichit son cacheavec tous les noms rsolus. Si votre rseau rseau n' est pas reli internet, vous n'avez pas besoin d' activer cette liste.

/etc/bind/db.root

Ce fichier est un peu particulier. Il est utilis par le serveur de nom l' initialisationde sa mmoire cache. Si vos serveurs sont raccords internet, vous pourrezutiliser une liste officielle des serveurs de la racine (ftp.rs.internic.net).

5 I N S T A L L A T I O N D ' U N S E R V E U R D N S

Pour mettre en place le service de rsolution de nom sur un serveur Linux, on vaprocder successivement aux oprations suivantes :

installer le package si cela n' est pas dj ralis, configurer les fichiers, dmarrer le service serveur.


9/17

WWW.RESEAUMAROC.COM



Installer le package

La rsolution de nom est ralise par les produits du package bind. La versionactuelle est le package bind-9.x. qui remplace les versions antrieures 4.x. Danscette version, de nombreuses modifications ont t apportes surtout au niveau dela scurit, mais galement en ce qui concerne le service DNS dynamique, c'est dire acceptant les inscriptions des clients DHCP. La compatibilit ascendante estrespecte. Nous resterons sur une configuration simple.

On va utiliser "bind 9". Il faudra donc installer les fichiers bind-9.x et bind-utils-9.x.

Ce deuxime package donne quelques outils comme host, dig...

L' installation a copi les fichiers. Sur une configuration simple vous allez avoir 5fichiers crer ou modifier sur le serveur primaire :

/etc/bind/named.conf (fichier de configuration global du service DNS duserveur de nom primaire)

/var/bind/stage.hosts qui contiendra la description de la correspondancenom-adresse de toutes les machines du rseau

/var/bind/stage.rev qui contiendra la correspondance inverse adresse-nom(pour la rsolution inverse de nom in-addr.arpa)

/var/bind/local.host pour la configuration locale (localhost - 127.0.0.1). /var/bind/local.rev pour la configuration reverse (127.0.0.1 - localhost).

Configurer les fichiers

Le fichier racine pour la configuration du serveur de nom est le fichier"/etc/named.conf". Ce fichier est lu au dmarrage du service et donne la liste desfichiers qui dfinissent la base de donnes pour la zone. La distribution donne unscript perl qui permet de transcrire un fichier named.boot (bind version 4) auformat named.conf (BIND version 9). Pour gnrer named.conf partir de

named.boot (si vous utilisiez une ancienne version de bind, par exemple), vouspouvez utiliser le script Perl named-bootconf qui est dans /usr/doc/bind-9

Le fichier named.conf

Voici un exemple de fichier comment pour le domaine fictif stage.org, d'adresse192.168.1.0.

# fichier named.conf pour le domaine stage.org# Indication du chemin o sont localiss les fichiers de la base de

donnesoptions {

directory "/var/named";


10/17

WWW.RESEAUMAROC.COM



forwarders { # Indiquer un serveur dns deniveau suprieur

0.0.0.0;};

auth-nxdomain no; # RFC1035};

# pour le fichier de cache du serveur de nomzone "." in {type hint;

file "db.root";};

# pour la recherche directe dans le domaine, on utilise le fichierstage.org

zone "stage.org" in {type master; # nous sommes serveur primaire de ce

domainefile "stage.hosts"; # les correspondances nom, adresse IP};

# pour la recherche de zone inverse (reverse) on utilise le fichierstage.rev

zone "1.168.192.in-addr.arpa" in {type master; # serveur primaire de

1.168.192.in-addr.arpafile "stage.rev";

};

# pour la rsolution de nom sur localhostzone "local" in {

type master; # nous sommes serveur de127.0.0.1

file "local.host"; # correspondances nom, adresse IP};

# rappel : la machine locale porte toujours l'adresse localhost 127.0.0.1

# rsolution inverse sur cette zone# la description est dans local.host

zone "0.0.127.in-addr.arpa" in {type master; # serveur primaire de 0.0.127.in-

addr.arpa


11/17

WWW.RESEAUMAROC.COM



file "local.rev";};

Notez bien que les noms appliqus aux fichiers de ressources ne sont en rienimposs. Il s' agit d' une pure convention. En effet un serveur de nom peut prendreen charge plusieurs domaines, cela permet de structurer l' organisation des fichiersde ressources.

Notez galement l' option"type master". Il s' agit d' un serveur primaire. Nous

verrons comment dclarer un serveur secondaire.

Le fichier /var/named/stage.hosts

Le paramtre @, signifie qu' il s' agit du domaine "stage.org" (le nom tap aprs lemot zone dans le fichier de configuration named.conf). Le paramtre "IN",signifie qu' il s' agit d' un enregistrement de type Internet. Notez la prsence d' unpoint (.) aprs le nom des machines. Sans celui-ci, le nom serait tendu . Parexemple, ns1.stage.org (sans point) serait compris comme ns1.stage.org.stage.org(on rajoute le nom de domaine en l' absence du point terminal). Le point (.)

terminal permet de signifier que le nom est pleinement qualifi.

NB : dans ces fichiers, les commentaires sont prcds d' un point-virgule.enregistrement de type SOA, on dclare tous les paramtres ainsi que l' adresse duresponsable administratif de la zone, ici : postmaster

$TTL 3h@ IN SOA ns1.stage.org.

postmaster.stage.org. (16 ;86400 ;

3600 ;3600000 ;604800 ;)

; enregistrement de type Name Server, on dclare leserveur de nom

IN NS ns1.stage.org.

; on dclare les autres noeuds pour la rsolution denom

; Notez l' absence du point aprs les noms pourpermettre


12/17

WWW.RESEAUMAROC.COM



; l' extension du nom de domaine.

ns1 IN A 192.168.1.1

; client

cli1 IN A 192.168.1.2

; on dclare les alias CNAME : messagerie, news,www, ftp

mail IN CNAME ns1news IN CNAME ns1www IN CNAME ns1ftp IN CNAME ns1

/var/named/stage.rev

Ici il s'agit de la rsolution de nom inverse de la zone stage.org.

$TTL 3h@ IN SOA ns1.stage.org. postmaster.stage.org. (16 ;86400 ;3600 ;3600000 ;604800 ;)

; enregistrement de type Name Server


; On dclare les noeuds dans le domaine1.168.192.in-addr.arpa

; Ici, on ne peut pas se passer du nom complet (finipar un point).

; l' extension serait (exemple avec ns1) :1.1.168.192.in-addr.arpa.

1 IN PTR ns1.stage.org.

; Client


13/17

WWW.RESEAUMAROC.COM



2 IN PTR cli1.stage.org.

/var/named/local.hosts

$TTL 3h@ IN SOA ns1.stage.org. postmaster.stage.org. (16 ;86400 ;3600 ;

3600000 ;604800 ;)



; On dclare le noeud dans le domaine local

localhost IN 127.0.0.1

/var/named/local.rev

$TTL 3h@ IN SOA ns1.stage.org. postmaster.stage.org. (16 ;86400 ;3600 ;3600000 ;604800 ;)



; On dclare les noeuds dans le domaine 0.0.127.in-addr.arpa

; Normalement, il n' en a qu' un : 127.0.0.1 =localhost.

; Noter le point terminal.

1 IN PTR localhost.


14/17

WWW.RESEAUMAROC.COM



Complments pratiques

Dmarrer ou arrter le service le service

Le service (daemon) qui active la rsolution de nom s' appelle"named", prononcer"naime d".Si vous voulez l' arrter ou le redmarrer dynamiquement vous pouvez utiliser lescommandes suivantes :

/etc/init.d/named stop

/etc/init.d/named start

Relancer le service serveur de cette faon peut parfois poser problme. En effetcette procdure rgnre le cache du serveur. Le service prends galement unnouveau "PID". Si vous voulez viter cela, ce qui est gnralement le cas, prfrez lacommande "kill -HUP 'PID de Named'". Vous trouverez le PID de named dans"/var/run".

Finaliser la configuration

Les fichiers de configuration sont crs. Il ne reste plus qu ' tester. Il faut aupralable configurer le serveur pour qu' il utilise lui mme le service DNS etredmarrer les services rseau. Relancez, ensuite le service rseau. Utilisez lescommandes suivantes :

/etc/init.d/network stop/etc/init.d/network start

Procdure de configuration du client

La description de la configuration de tous les clients possibles n' est pas dtaille.

Vous trouverez ci-dessous des lments pour un client windows 9x et pour unclient Linux.

Windows

Configurer le client pour lui signifier quel est le serveur de nom qu' il doit consulter.Pour cela il faut aller dans :panneau de configuration - rseau - tcp/ip - Onglet "Configuration DNS".Vous allez pouvoir dfinir le nom d' hte de la machine locale dans le rseau et lenom de domaine auquel appartient l' hte. Dfinissez ensuite l' adresse IP duserveur de nom que vous voulez utiliser.

Avec Linux


15/17

WWW.RESEAUMAROC.COM



Vous pouvez utiliser linuxconf ou bien modifier (en tant que root ) le fi chier deconfiguration du resolver (/etc/resolv.conf).

# Fichier /etc/resolv.conf

search stage.org # Extension rajouter un nom d' hte sans pointsnameserver 192.168.1.1 # Ip du DNS

Annexe : Mise jour dynamique du dns

Modification des fichiers named.conf et dhcpd.conf

/etc/bind/named.conf

# fichier named.conf pour le domaine stage.org# Indication du chemin o sont localiss les fichiers de la base de

donnesoptions {

directory "/var/named";

forwarders { # Indiquer un serveurdns de niveau suprieur0.0.0.0;};

auth-nxdomain no; # conform to RFC1035};# pour le fichier de cache du serveur de nomzone "." in {

type hint;file "db.root";

};

# pour la recherche directe dans le domaine, serveur primaire, onutilise le fichier stage.org

zone "stage.org" in {type master; # nous sommes serveur

primaire de ce domainefile "stage.hosts"; # zone stage.orgallow-update { # Authorise la mise jour

depuis l'hte local127.0.0.1;

};};# pour la recherche de zone inverse (reverse) on utilise le fichier

stage.rev


16/17

WWW.RESEAUMAROC.COM



zone "1.168.192.in-addr.arpa" in {type master; # zone stage.org reversefile "stage.rev";allow-update { # Authorise la mise jour

depuis l'hte local127.0.0.1;}

};# pour la rsolution de nom sur localhostzone "local" in {

type master;file "local.host";

};zone "0.0.127.in-addr.arpa" in {

type master;file "local.rev";

};

/etc/bind9/dhcp.conf

ddns-update-style interim;# Mode de mise jourddns-updates on; # Autorise les maj du dnsignore client-updates; # Refuse les maj clientupdate-static-leases on; # Maj des enregistrements

statiquesddns-domainname "dnc"; # Domaine

default-lease-time 600;max-lease-time 7200;

option domain-name-servers 192.168.1.10;

option subnet-mask 255.255.255.0;option routers 192.168.1.1;log-facility local7;

subnet 192.168.1.0 netmask 255.255.255.0 {range 192.168.1.200 192.168.1.210;allow unknown-clients;

}zone stage. {

primary 127.0.0.1;}


17/17

WWW.RESEAUMAROC.COM



zone 1.168.192.in-addr.arpa. {primary 127.0.0.1;

}

Documents

DNS Sous Linux v2