==== DNS Hadoly ==== ====== Description ====== Nous avons notre propre serveur de DNS. Le DNS primaire, pour les domaines ''%%hadoly.fr%%'' et ''%%hadoly.org%%'', est géré par BIND sur la machine [[Documentation_technique:Machines:Demetra]]. Les DNS secondaire sont chez Gandi et Tetaneutral (via grenode). Les NS de ''%%hadoly.fr/hadoly.org%%'' sont : * ''%%ns1.hadoly.fr%%'' (serveur maître/primaire, zones directes et inverses, hébergé sur [[Documentation_technique:Machines:Demetra]]) * ''%%ns2.hadoly.fr%%'' (esclave/secondaire, zones directes et inverses, hébergé sur la machine Grenode [[https://www.grenode.net/Documentation_technique/Machines/gaffe/|gaffe]] chez Tetaneutral) * ''%%ns6.gandi.net%%'' (esclave/secondaire, sert uniquement les zones directes (''%%hadoly.fr%%'' et ''%%hadoly.org%%'') Les zones hadoly.fr et hadoly.org sont strictement identiques: c'est le même fichier de zone qui est utilisé (''%%/etc/bind/zones-dir/hadoly.fr_org%%'') pour les deux zones. Pour les zones inverses, il faut renseigner la base du RIPE avec les bon objets, et indiquer les NS à utiliser pour résoudre les IP. On peut vérifier l'état actuel avec whois (ex: ''%%whois 185.67.80.in-addr.arpa%%'' ) Reste à étudier la partie DNSSEC. ====== Modification d'une entrée DNS ====== * Se connecter sur le master (demetra) et éditer les fichiers de zone situés dans ''%%/etc/bind/zones-dir/%%'' (pour les zones directes) ou/et ''%%/etc/bind/zones-rev/%%'' (pour les zones inverses). * Penser impérativement à changer le serial, en respectant le format YYYYmmddnn (Année-mois-jour-n, incrémenter n si plusieurs changements dans la même journée) * Vérifier que le fichier de zone est toujours syntaxiquement correct avec la commande ''%%named-checkzone%%''. Exemple: ''%%sudo named-checkzone hadoly.fr /etc/bind/zones-dir/hadoly.fr_org%%'' * Recharger les zones, par exemple en utilisant ''%%rndc%%'': ''%%sudo rndc -s ::1 reload%%'' (un ''%%sudo systemctl reload bind9.service%%'' fonctionne aussi) * Vérifier les logs ''%%sudo journalctl -xf -u bind9%%'' Le transfert de zone vers ns2 est immédiat. En revanche, pour ns6.gandi, il faut être patient. (semble ne pas tenir compte des notifies envoyés) ====== Ressources ====== ===== DNSSEC ===== * [[https://www.isc.org/wp-content/uploads/2016/06/Winstead_DNSSEC-Tutorial.pdf|Présentation DNSSEC]] * [[https://www.eriklundblad.com/log/post/automatic-dnssec-signing-in-bind/|Tuto signature automatique DNSSEC avec BIND]] * [[https://deepthought.isc.org/article/AA-00711/0/In-line-Signing-With-NSEC3-in-BIND-9.9-A-Walk-through.html|Signer avec NSEC3 dans BIND]]