4 231
modifications
« Installation et configuration de bind9 » : différence entre les versions
Aller à la navigation
Aller à la recherche
Installation et configuration de bind9 (voir la source)
Version du 3 novembre 2019 à 18:42
, 3 novembre 2019→Bind DNSSEC NTA
Aucun résumé des modifications |
|||
| (18 versions intermédiaires par le même utilisateur non affichées) | |||
| Ligne 48 : | Ligne 48 : | ||
notify-source 213.186.47.110; | notify-source 213.186.47.110; | ||
notify-source-v6 2001:41d0:1:d6e::110; | notify-source-v6 2001:41d0:1:d6e::110; | ||
dnssec-enable yes; | |||
dnssec-validation auto; | |||
dnssec-lookaside auto; | |||
</pre> | </pre> | ||
| Ligne 74 : | Ligne 78 : | ||
=Création d'une zone= | =Création d'une zone= | ||
Nous allons ajouter la zone dns du domaine | Nous allons ajouter la zone dns du domaine domain.tld et ayant comme dns secondaire 87.98.136.217 | ||
Ajoutez les lignes suivantes dans le fichier <code>/etc/bind/named.conf.local</code> : | Ajoutez les lignes suivantes dans le fichier <code>/etc/bind/named.conf.local</code> : | ||
<pre> | <pre> | ||
zone " | zone "domain.tld" { | ||
type master; | type master; | ||
//autoriser le dns secondaire à copier la zone | //autoriser le dns secondaire à copier la zone | ||
| Ligne 86 : | Ligne 90 : | ||
allow-query { any; }; | allow-query { any; }; | ||
notify yes; | notify yes; | ||
file "/srv/bind/ | file "/srv/bind/domain.tld"; | ||
}; | }; | ||
</pre> | </pre> | ||
| Ligne 92 : | Ligne 96 : | ||
A titre d'information, voici les lignes à ajouter sur le serveur dns secondaire : | A titre d'information, voici les lignes à ajouter sur le serveur dns secondaire : | ||
<pre> | <pre> | ||
zone " | zone "domain.tld"{ | ||
type slave; | type slave; | ||
file "/var/cache/bind/slave/ | file "/var/cache/bind/slave/domain.tld"; | ||
masters { | masters { | ||
213.186.47.110; | 213.186.47.110; | ||
}; | }; | ||
allow-query { any; }; | allow-query { any; }; | ||
notify | notify no; | ||
}; | }; | ||
</pre> | </pre> | ||
Enfin, créez le fichier <code>/srv/bind/ | Enfin, créez le fichier <code>/srv/bind/domain.tld</code> qui contiendra la zone dns : | ||
<pre> | <pre> | ||
mkdir /srv/bind | mkdir /srv/bind | ||
touch /srv/bind/ | touch /srv/bind/domain.tld | ||
chgrp -R bind /srv/bind | chgrp -R bind /srv/bind | ||
</pre> | </pre> | ||
| Ligne 113 : | Ligne 117 : | ||
<pre> | <pre> | ||
$ttl 3600 | $ttl 3600 | ||
domain.tld. IN SOA srv.domain.tld. postmaster.domain.tld. ( | |||
2008052803 ; Serial | 2008052803 ; Serial | ||
14400 ; Refresh | |||
3600 ; Retry | 3600 ; Retry | ||
604800 ; Expire | 604800 ; Expire | ||
| Ligne 126 : | Ligne 130 : | ||
srv2.domain.tld. IN A 213.186.47.111 | srv2.domain.tld. IN A 213.186.47.111 | ||
</pre> | </pre> | ||
Si vous utilisez <code>apparmor</code>, ajoutez ces lignes dans <code>/etc/apparmor.d/local/usr.sbin.named</code> : | |||
<pre> | |||
/srv/bind/ r, | |||
/srv/bind/* r, | |||
</pre> | |||
=Bind utilise beaucoup de CPU= | |||
Essayez d'ajouter la ligne de configuration suivante : | |||
<pre>managed-keys-directory "/var/cache/bind/";</pre> | |||
Cela peut se produire si vous avez changé la directory dans /etc/bind/named.conf.options vers un dossier sur lequel bind n'a pas le droit en écriture | |||
=Bind DNSSEC NTA= | |||
NTA : Negative Trust Anchor : permet de désactiver la vérification DNSSEC pour une durée déterminée pour un domaine. | |||
Pour ajouter une NTA : | |||
<pre> | |||
rndc nta -l 60 fail01.dnssec.works | |||
rndc nta -dump | |||
</pre> | |||
Un fichier <code>_default.nta</code> est créé dans <code>/var/cache/bind/</code> afin de conserver les NTA en cas de reboot/redémarrage de bind | |||
=Mode debug= | =Mode debug= | ||
| Ligne 134 : | Ligne 162 : | ||
</pre> | </pre> | ||
<code>-u</code> défini l'utilisateur avec lequel il faut le lancer (c'est l'utilisateur bind par défaut sous debian), <code>-d9</code> est le niveau de debug, <code>-g</code> permet de lancer bind en console, <code>-c</code> défini le fichier de configuration | <code>-u</code> défini l'utilisateur avec lequel il faut le lancer (c'est l'utilisateur bind par défaut sous debian), <code>-d9</code> est le niveau de debug, <code>-g</code> permet de lancer bind en console, <code>-c</code> défini le fichier de configuration | ||
=vérifier une zone= | |||
<pre> | |||
named-checkzone domain.tld /chemin/vers/le/fichier/contenant/la/zone/domain.tld | |||
</pre> | |||
=DNSsec= | |||