Installation d’un serveur DDNS avec bind et DHCP   Version imprimable de cet article Enregistrer au format PDF


par Sphix

Aspect sur la sécurité

Le serveur DNS doit être configuré pour pouvoir être mis à jour par le serveur DHCP. La méthode la plus sûre utilise les signatures TSIG, basées sur une clé partagée comme pour le programme d’administration des serveurs de nom rndc.

Vous devrez en créer une. Pour cela utiliser les éléments fournis dans la partie traitant de bind.

Par exemple dans le fichier named.conf, le serveur DHCP disposant de la clé DHCP_UPDATER, pourra mettre à jour la zone directe et la zone reverse pour lesquelles la déclaration allow-update existe.

Description du fichiers named.conf :

key DHCP_UPDATER {
         algorithm HMAC-MD5.SIG-ALG.REG.INT;
         secret pRP5FapFoJ95JEL06sv4PQ==;
      };

      zone "example.org" {
            type master;
            file "example.org.db";
            allow-update { key DHCP_UPDATER; };
      };

      zone "17.10.10.in-addr.arpa" {
            type master;
            file "10.10.17.db";
            allow-update { key DHCP_UPDATER; };
      };

Dans le fichier de configuration du serveur DHCP vous pourrez mettre :

key DHCP_UPDATER {
         algorithm HMAC-MD5.SIG-ALG.REG.INT;
         secret pRP5FapFoJ95JEL06sv4PQ==;
      };

      zone EXAMPLE.ORG. {
         primary 127.0.0.1; # Adresse du serveur de noms primaire
         key DHCP_UPDATER;
      }

      zone 17.127.10.in-addr.arpa. {
         primary 127.0.0.1; # Adresse du serveur de noms primaire
         key DHCP_UPDATER;
      }

La clé DHCP_UPDATER déclarée pour une zone dans le fichier dhcpd.conf est utilisée pour modifier la zone si la clé correspond dans le fichier named.conf.

Les déclarations de zone doivent correspondre aux enregistrement SOA des fichiers de ressources des zones.

Normalement il n’est pas obligatoire d’indiquer l’adresse du serveur de nom primaire, mais cela peut ralentir le processus d’inscription des enregistrements, voire même ne pas fonctionner, si le serveur de nom n’a pas répondu assez vite.

Documentations publiées dans cette rubrique Documentations publiées dans cette rubrique