ajout tsig au glossaire
This commit is contained in:
parent
e0ad3206ec
commit
270bd90880
|
@ -12,6 +12,10 @@ ACL = [Access Control List](https://fr.wikipedia.org/wiki/Access_Control_List) (
|
|||
|
||||
DNS = [Domain Name System](https://fr.wikipedia.org/wiki/Domain_Name_System) (Système de Noms de Domaine)
|
||||
|
||||
## TSIG
|
||||
|
||||
TSIG (transaction signature ou signature de transaction) est un protocole réseau qui utilise un secret partagé entre plusieurs hôtes et une fonction de hachage unidirectionnelle pour permettre la mise à jour de zone [DNS](#dns). [RFC2845](https://datatracker.ietf.org/doc/html/rfc2845)
|
||||
|
||||
## HTTP
|
||||
|
||||
HTTP = [Hypertext Transfer Protocol](https://fr.wikipedia.org/wiki/Hypertext_Transfer_Protocol)
|
||||
|
|
20
HowtoBind.md
20
HowtoBind.md
|
@ -207,10 +207,10 @@ ftp CNAME ftp.example.net.
|
|||
### Options de configuration
|
||||
|
||||
* `allow-query` : spécifie les adresses autorisées à faire des requêtes DNS. Par défaut, toutes les adresses sont autorisées
|
||||
* `allow-transfer` : spécifie les adresses des serveurs replica ou TSIGs autorisées à faire des requêtes AXFR (transfert de zone). Par défaut, toutes les adresses sont autorisées, il est impératif de restreindre les autorisations.
|
||||
* `allow-transfer` : spécifie les adresses des serveurs replica ou clefs [TSIGs](/Glossaire.md#tsig) autorisées à faire des requêtes AXFR (transfert de zone). Par défaut, toutes les adresses sont autorisées, il est impératif de restreindre les autorisations.
|
||||
* `allow-recursion` : spécifie les adresses autorisées à faire des requêtes DNS récursives. À restreindre impérativement également.
|
||||
* `allow-update` : spécifie les adresses ou TSIGs autorisées à mettre à jour dynamiquement des informations dans leur zone. Par défaut, aucune adresse n'est autorisée.
|
||||
* `update-policy` : spécifie finement les droit de modification des entrées pour les adresses ou TSIGs autorisées via une liste d'ACL, **Attention** : on ne peut pas définir à la fois `allow-update` et `update-policy`. voir [Configuration update-policy](/HowtoBind#configuration-update-policy)
|
||||
* `allow-update` : spécifie les adresses ou clefs [TSIGs](/Glossaire.md#tsig) autorisées à mettre à jour dynamiquement des informations dans leur zone. Par défaut, aucune adresse n'est autorisée.
|
||||
* `update-policy` : spécifie finement les droit de modification des entrées pour les adresses ou clefs [TSIGs](/Glossaire.md#tsig) autorisées via une liste d'ACL, **Attention** : on ne peut pas définir à la fois `allow-update` et `update-policy`. voir [Configuration update-policy](/HowtoBind#configuration-update-policy)
|
||||
|
||||
## chroot
|
||||
|
||||
|
@ -436,19 +436,19 @@ $ rndc sync [nom_zone]
|
|||
|
||||
### Petit guide TSIG
|
||||
|
||||
On peut utiliser nsupdate, ou n'importe quel client, pour mettre à jour la zone en s'authentifiant avec une clef TSIG.
|
||||
On peut utiliser nsupdate, ou n'importe quel client, pour mettre à jour la zone en s'authentifiant avec une clef [TSIG](/Glossaire.md#tsig).
|
||||
Pour mettre celle-ci en place, il faut ...
|
||||
|
||||
Générer une clef TSIG avec tsig-keygen si disponible ou avec dnssec-keygen sinon
|
||||
|
||||
~~~
|
||||
~~~{.bash}
|
||||
$ tsig-keygen -a hmac-sha512 nomclef
|
||||
$ dnssec-keygen -a HMAC-SHA512 -b 512 -n HOST nomclef
|
||||
~~~
|
||||
|
||||
Ajouter celle-ci à la configuration de bind...
|
||||
|
||||
~~~
|
||||
~~~{.ini}
|
||||
$ vim /etc/bind/named.conf.tsigkeys
|
||||
|
||||
key "happydomain" {
|
||||
|
@ -461,10 +461,12 @@ key "happydomain" {
|
|||
|
||||
On peut maintenant recharger la configuration et vérifier que notre clef est bien présente:
|
||||
|
||||
~~~{.bash}
|
||||
$ named-checkconf /etc/bind/named.conf && rndc reload
|
||||
$ rndc tsig-list
|
||||
~~~
|
||||
named-checkconf /etc/bind/named.conf && rndc reload
|
||||
rndc tsig-list
|
||||
~~~
|
||||
|
||||
On peut alors tester confirmer le fonctionnement avec nsupdate :
|
||||
|
||||
## DNSSEC
|
||||
|
||||
|
|
Loading…
Reference in a new issue