evolix/wiki
22
0
Fork 0
Code Releases Activity

ajout tsig au glossaire

Browse source
This commit is contained in:
Tom David--Broglio 2024-01-15 12:52:24 +01:00
parent e0ad3206ec
commit 270bd90880
2 changed files with 15 additions and 9 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

4
Glossaire.md
View file

@ -12,6 +12,10 @@ ACL = [Access Control List](https://fr.wikipedia.org/wiki/Access_Control_List) (
DNS = [Domain Name System](https://fr.wikipedia.org/wiki/Domain_Name_System) (Système de Noms de Domaine)
## TSIG
TSIG (transaction signature ou signature de transaction) est un protocole réseau qui utilise un secret partagé entre plusieurs hôtes et une fonction de hachage unidirectionnelle pour permettre la mise à jour de zone [DNS](#dns). [RFC2845](https://datatracker.ietf.org/doc/html/rfc2845)
## HTTP
HTTP = [Hypertext Transfer Protocol](https://fr.wikipedia.org/wiki/Hypertext_Transfer_Protocol)

20
HowtoBind.md
View file

@ -207,10 +207,10 @@ ftp CNAME ftp.example.net.
### Options de configuration
* `allow-query` : spécifie les adresses autorisées à faire des requêtes DNS. Par défaut, toutes les adresses sont autorisées
* `allow-transfer` : spécifie les adresses des serveurs replica ou TSIGs autorisées à faire des requêtes AXFR (transfert de zone). Par défaut, toutes les adresses sont autorisées, il est impératif de restreindre les autorisations.
* `allow-transfer` : spécifie les adresses des serveurs replica ou clefs [TSIGs](/Glossaire.md#tsig) autorisées à faire des requêtes AXFR (transfert de zone). Par défaut, toutes les adresses sont autorisées, il est impératif de restreindre les autorisations.
* `allow-recursion` : spécifie les adresses autorisées à faire des requêtes DNS récursives. À restreindre impérativement également.
* `allow-update` : spécifie les adresses ou TSIGs autorisées à mettre à jour dynamiquement des informations dans leur zone. Par défaut, aucune adresse n'est autorisée.
* `update-policy` : spécifie finement les droit de modification des entrées pour les adresses ou TSIGs autorisées via une liste d'ACL, **Attention** : on ne peut pas définir à la fois `allow-update` et `update-policy`. voir [Configuration update-policy](/HowtoBind#configuration-update-policy)
* `allow-update` : spécifie les adresses ou clefs [TSIGs](/Glossaire.md#tsig) autorisées à mettre à jour dynamiquement des informations dans leur zone. Par défaut, aucune adresse n'est autorisée.
* `update-policy` : spécifie finement les droit de modification des entrées pour les adresses ou clefs [TSIGs](/Glossaire.md#tsig) autorisées via une liste d'ACL, **Attention** : on ne peut pas définir à la fois `allow-update` et `update-policy`. voir [Configuration update-policy](/HowtoBind#configuration-update-policy)
## chroot
@ -436,19 +436,19 @@ $ rndc sync [nom_zone]
### Petit guide TSIG
On peut utiliser nsupdate, ou n'importe quel client, pour mettre à jour la zone en s'authentifiant avec une clef TSIG.
On peut utiliser nsupdate, ou n'importe quel client, pour mettre à jour la zone en s'authentifiant avec une clef [TSIG](/Glossaire.md#tsig).
Pour mettre celle-ci en place, il faut ...
Générer une clef TSIG avec tsig-keygen si disponible ou avec dnssec-keygen sinon
~~~
~~~{.bash}
$ tsig-keygen -a hmac-sha512 nomclef
$ dnssec-keygen -a HMAC-SHA512 -b 512 -n HOST nomclef
~~~
Ajouter celle-ci à la configuration de bind...
~~~
~~~{.ini}
$ vim /etc/bind/named.conf.tsigkeys
key "happydomain" {
@ -461,10 +461,12 @@ key "happydomain" {
On peut maintenant recharger la configuration et vérifier que notre clef est bien présente:
~~~{.bash}
$ named-checkconf /etc/bind/named.conf && rndc reload
$ rndc tsig-list
~~~
named-checkconf /etc/bind/named.conf && rndc reload
rndc tsig-list
~~~
On peut alors tester confirmer le fonctionnement avec nsupdate :
## DNSSEC