UH1 / ENSA Khouribga
TP : services daccs
Pr. [Link]
Installation dun serveur DNS
Ce tutorial indique les tapes dinstallation et configurer des serveurs DNS primaire et secondaire. Les tapes on tait testes sur Centos 6.4 32x64x.
Scenarios:
Ci- dessous les scnarios de linstallation :
[A] DNS Primaire(Master) :
Operating System Hostname IP Address : CentOS 6.4 : [Link] : [Link]/24
[B] Serveur Secondaire (Slave):
Operating System Hostname IP Address : CentOS 6.4 : [Link] : [Link]/24
Setup du DNS primaire (Master).
[root@masterdns ~]# yum install bind* -y
1. Configurer le serveur DNS.
La configuration principal du DNS sera comme suit (Editer et ajouter les champs en gras) :
[root@masterdns ~]# vi /etc/[Link] // // [Link] // // Provided by Red Hat bind package to configure the ISC BIND named(8) DNS // server as a caching only nameserver (as a localhost DNS resolver only). // // See /usr/share/doc/bind*/sample/ for example named configuration files. // options { listen-on port 53 { [Link]; [Link];}; ## Master DNS IP ## listen-on-v6 port 53 { ::1; }; directory "/var/named"; dump-file "/var/named/data/cache_dump.db"; statistics-file "/var/named/data/named_stats.txt"; memstatistics-file "/var/named/data/named_mem_stats.txt"; allow-query { localhost; [Link]/24; }; ## IP Range ## allow-transfer { localhost; [Link]; }; ## Slave DNS IP ## recursion yes; dnssec-enable yes; dnssec-validation yes;
Ralis par : [Link] [Link] [Link] [Link]
�UH1 / ENSA Khouribga
TP : services daccs
Pr. [Link]
dnssec-lookaside auto; /* Path to ISC DLV key */ bindkeys-file "/etc/[Link]"; managed-keys-directory "/var/named/dynamic"; }; logging { channel default_debug { file "data/[Link]"; severity dynamic; }; }; zone "." IN { type hint; file "[Link]"; }; zone "[Link]" IN { type master; file "[Link]"; allow-update { none; }; }; zone "[Link]" IN { type master; file "[Link]"; allow-update { none; }; }; include "/etc/[Link]"; include "/etc/[Link]";
2. Crer le fichier de Zone
On doit crer le fichier de zones direct et indirect que nous avons mentionn dans le fichier /etc/[Link]. [A] Crer la zone direct. Crer le fichier [Link] dans /var/named et ajouter les champs suivant :
[root@masterdns ~]# vi /var/named/[Link] $TTL 86400 @ IN SOA [Link]. [Link]. ( 2013120401 ;Serial 3600 ;Refresh 1800 ;Retry 604800 ;Expire 86400 ;Minimum TTL ) @ IN NS [Link]. @ IN NS [Link]. masterdns IN A [Link] slavedns IN A [Link]
[B] crer le fichier de zone indirect : Crer le fichier [Link] dans /var/named et ajouter les champs suivant :
Ralis par : [Link] [Link] [Link] [Link]
�UH1 / ENSA Khouribga
TP : services daccs
Pr. [Link]
[root@masterdns ~]# vi /var/named/[Link] $TTL 86400 @ IN SOA [Link]. [Link]. ( 2013120401 ;Serial 3600 ;Refresh 1800 ;Retry 604800 ;Expire 86400 ;Minimum TTL ) @ IN NS [Link]. @ IN NS [Link]. masterdns IN A [Link] slavedns IN A [Link] 1 IN PTR [Link]. 13 IN PTR [Link]. 2 IN PTR [Link]
3. dmarrer bind service
[root@masterdns ~]# service named start Generating /etc/[Link]: Starting named: [root@masterdns ~]# chkconfig named on [ [ OK OK ] ]
4. permet laccs au DNS Serveur dans iptables
Ajouter les lignes en gras dans le fichier /etc/sysconfig/iptables. Cela permettra au diffrent client daccder au serveur.
[root@masterdns ~]# vi /etc/sysconfig/iptables # Firewall configuration written by system-config-firewall # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -p udp -m state --state NEW --dport 53 -j ACCEPT -A INPUT -p tcp -m state --state NEW --dport 53 -j ACCEPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT
5. Redmarrer iptables
[root@masterdns ~]# service iptables restart iptables: Flushing firewall rules: iptables: Setting chains to policy ACCEPT: filter iptables: Unloading modules: iptables: Applying firewall rules: [ [ [ [ OK OK OK OK ] ] ] ]
Ralis par : [Link] [Link] [Link] [Link]
�UH1 / ENSA Khouribga
TP : services daccs
Pr. [Link]
6. Tester les erreurs de syntaxe dans les fichiers configuration et Zone
[A] Check DNS Config file
[root@masterdns ~]# named-checkconf /etc/[Link] [root@masterdns ~]# named-checkconf /etc/[Link]
7. Test DNS Server
[root@masterdns ~]# nslookup [Link] Server: [Link] Address: [Link]#53 Name: [Link] Address: [Link]
Et voil le serveur primaire est prt.
Setup du Serveur DNS Secondaire (Slave)
[root@slavedns ~]# yum install bind* -y
1. Configurer le serveur DNS secondaire.
Ouvrir le fichier de configuration /etc/[Link] et ajouter les champs en gras.
[root@slavedns ~]# vi /etc/[Link] // // [Link] // // Provided by Red Hat bind package to configure the ISC BIND named(8) DNS // server as a caching only nameserver (as a localhost DNS resolver only). // // See /usr/share/doc/bind*/sample/ for example named configuration files. // options { listen-on port 53 { [Link]; [Link]; }; ## Slve DNS IP ## listen-on-v6 port 53 { ::1; }; directory "/var/named"; dump-file "/var/named/data/cache_dump.db"; statistics-file "/var/named/data/named_stats.txt"; memstatistics-file "/var/named/data/named_mem_stats.txt"; allow-query { localhost; [Link]/24; }; ## IP Range ## recursion yes; dnssec-enable yes; dnssec-validation yes; dnssec-lookaside auto; /* Path to ISC DLV key */ bindkeys-file "/etc/[Link]"; managed-keys-directory "/var/named/dynamic"; }; logging { channel default_debug { file "data/[Link]";
Ralis par : [Link] [Link] [Link] [Link]
�UH1 / ENSA Khouribga
TP : services daccs
Pr. [Link]
severity dynamic; }; }; zone "." IN { type hint; file "[Link]"; }; zone "[Link]" IN { type slave; file "slaves/[Link]"; masters { [Link]; }; }; zone "[Link]" IN { type slave; file "slaves/[Link]"; masters { [Link]; }; }; include "/etc/[Link]"; include "/etc/[Link]";
2. Start the DNS Service
[root@slavedns ~]# service named start Generating /etc/[Link]: Starting named: [root@slavedns ~]# chkconfig named on [ [ OK OK ] ]
Maintenant les fichiers de zone direct et reverse sont copier directement du serveur Primaire vers le secondaire. Pour verifier, il suffit de verifier dans le dossier (i.e /var/named/chroot/var/named/slaves) et taper ls.
[root@slavedns ~]# cd /var/named/slaves/ [root@slavedns slaves]# ls [Link] [Link]
[A] vrifier les zones:
[root@slavedns slaves]# cat [Link] $ORIGIN . $TTL 86400 ; 1 day [Link] IN SOA [Link]. [Link]. ( 2013120401 ; serial 3600 ; refresh (1 hour) 1800 ; retry (30 minutes) 604800 ; expire (1 week) 86400 ; minimum (1 day) ) NS [Link]. NS [Link]. $ORIGIN [Link]. masterdns A [Link] slavedns A [Link] Client-xp A [Link]
[B] vrifier la zone reverse :
[root@slavedns slaves]# cat [Link] $ORIGIN . $TTL 86400 ; 1 day
Ralis par : [Link] [Link] [Link] [Link]
�UH1 / ENSA Khouribga
TP : services daccs
Pr. [Link]
[Link] IN SOA [Link]. [Link]. ( 2013120401 ; serial 3600 ; refresh (1 hour) 1800 ; retry (30 minutes) 604800 ; expire (1 week) 86400 ; minimum (1 day) ) NS [Link]. NS [Link]. $ORIGIN [Link]. 1 PTR [Link]. 13 PTR [Link]. 2 PTR [Link].
3. ajouter les dtails du serveur au diffrent client.
[root@slavedns ~]# vi /etc/[Link] # Generated by NetworkManager search [Link] nameserver [Link] nameserver [Link] nameserver [Link]
4. Teste du serveur DNS
[root@slavedns ~]# nslookup [Link]. Server: [Link] Address: [Link]#53 Name: [Link] Address: [Link]
Ralis par : [Link] [Link] [Link] [Link]
�UH1 / ENSA Khouribga
TP : services daccs
Pr. [Link]
Comment configurer une zone dnssec sur serveur ddi ?
[A] Dfinitions ZSK : composes d'une clef publique et d'une clef prive, elles sont utilises pour signer les champs de la zone. Ces clefs sont inconnues du registre. KSK : composes d'une clef publique et d'une clef prive, elles ne sont utilises que pour signer les clefs ZSK. Ces clefs sont sign par un champ DS dans la zone mre (auprs du registre) DNSKEY : champs contenant une clef publique DS : C'est un condenst d'une DNSKEY, elle est transmise la zone mre [B] Gnerer ses clefs Nous utilisons l'outil dnssec-keygen. Cet outil utilise l'entropie, qui est gnre lors de l'utilisation de la machine. Une machine peu sollicite peut tre longue gnrer. Dans ce cas, vous pouvez utiliser l'argument "-r /dev/urandom" pour gagner du temps, mais OVH ne le prconise pas.
1. Gnrer sa clef KSK
Nous gnrons la clef avec la commande "dnssec-keygen -f KSK -a RSASHA256 -b 2048 -n ZONE [Link]" :
[root@masterdns ~]# dnssec-keygen -f KSK -r /dev/urandom -a RSASHA256 -b 2048 -n ZONE [Link]
Nous remarquons que ma clef KSK se nomme [Link].+008+04789, nous allons la renommer pour qu'elle soit plus intelligible :
[root@masterdns ~]# mv [Link].+008+[Link] [Link] [root@masterdns ~]# mv [Link].+008+[Link] [Link]
2. Gnrer sa clef ZSK
Nous gnrons la clef avec la commande "dnssec-keygen -a RSASHA256 -b 2048 -n ZONE [Link]" :
[root@masterdns ~]# dnssec-keygen -r /dev/urandom -a RSASHA256 -b 2048 -n ZONE [Link]
Nous remarquons que ma clef ZSk se nomme [Link]+008+43119, une fois encore nous la renommons :
[root@masterdns ~]# mv [Link].+008+[Link] [Link] [root@masterdns ~]# mv [Link].+008+[Link] [Link]
Les fichiers *.Key contiennent maintenant nos clefs publiques, il nous faut les insrer dans notre zone DNS. Vous pouvez soit en ajouter le contenu, soit ajouter des champs d'inclusion dans votre zone. Je choisis d'ajouter des inclusions : $include /etc/named/[Link] ; ZSK $include /etc/named/[Link] ; KSK
Ralis par : [Link] [Link] [Link] [Link]
�UH1 / ENSA Khouribga
TP : services daccs
Pr. [Link]
[C] Crer et appliquer sa zone DNSSEC
1. signer la zone.
Nous signons la zone avec la commande "dnssec-signzone -eYYYYMMDDHHMMSS -p -t g -k [Link] -o [Link] [Link]". La valeur YYYYMMDDHHMMSS reprsente la date d'expiration. Si je souhaite que ma zone expire le 17 dcembre 2014 4h20, j'cris : 20141217042000
[root@masterdns ~]# dnssec-signzone -e20141217042000 -p -t -g -k [Link] -o [Link] [Link] [Link]
Nous obtenons un fichier nomm : [Link]
2. Configurer named
Nous vrifions que named est configur pour prendre en charge le DNSSEC. Vous devriez trouver dans le fichier de configuration de named, la variable dnssec-enable gale yes.
[root@masterdns ~]# cat /etc/bind/[Link]|grep dnssec-enable
dnssec-enable yes; Maintenant nous devons indiquer de ne plus utiliser notre fichier de zone originel, mais son quivalent sign. Dans mon fichier /etc/bind/[Link], nous avons remplac :
zone "[Link]" IN { type master; file "[Link]"; allow-update { none; };
};
par :
zone "[Link]" IN { type master; file "[Link]"; allow-update { none; };
}; [root@masterdns ~]# service named restart
Ralis par : [Link] [Link] [Link] [Link]
