diff --git a/Glossaire.md b/Glossaire.md index 3b6d8413..739eb970 100644 --- a/Glossaire.md +++ b/Glossaire.md @@ -12,6 +12,10 @@ ACL = [Access Control List](https://fr.wikipedia.org/wiki/Access_Control_List) ( DNS = [Domain Name System](https://fr.wikipedia.org/wiki/Domain_Name_System) (Système de Noms de Domaine) +## TSIG + +TSIG (transaction signature ou signature de transaction) est un protocole réseau qui utilise un secret partagé entre plusieurs hôtes et une fonction de hachage unidirectionnelle pour permettre la mise à jour de zone [DNS](#dns). [RFC2845](https://datatracker.ietf.org/doc/html/rfc2845) + ## HTTP HTTP = [Hypertext Transfer Protocol](https://fr.wikipedia.org/wiki/Hypertext_Transfer_Protocol) diff --git a/HowtoBind.md b/HowtoBind.md index d39de85d..63d364eb 100644 --- a/HowtoBind.md +++ b/HowtoBind.md @@ -207,10 +207,10 @@ ftp CNAME ftp.example.net. ### Options de configuration * `allow-query` : spécifie les adresses autorisées à faire des requêtes DNS. Par défaut, toutes les adresses sont autorisées -* `allow-transfer` : spécifie les adresses des serveurs replica ou TSIGs autorisées à faire des requêtes AXFR (transfert de zone). Par défaut, toutes les adresses sont autorisées, il est impératif de restreindre les autorisations. +* `allow-transfer` : spécifie les adresses des serveurs replica ou clefs [TSIGs](/Glossaire.md#tsig) autorisées à faire des requêtes AXFR (transfert de zone). Par défaut, toutes les adresses sont autorisées, il est impératif de restreindre les autorisations. * `allow-recursion` : spécifie les adresses autorisées à faire des requêtes DNS récursives. À restreindre impérativement également. -* `allow-update` : spécifie les adresses ou TSIGs autorisées à mettre à jour dynamiquement des informations dans leur zone. Par défaut, aucune adresse n'est autorisée. -* `update-policy` : spécifie finement les droit de modification des entrées pour les adresses ou TSIGs autorisées via une liste d'ACL, **Attention** : on ne peut pas définir à la fois `allow-update` et `update-policy`. voir [Configuration update-policy](/HowtoBind#configuration-update-policy) +* `allow-update` : spécifie les adresses ou clefs [TSIGs](/Glossaire.md#tsig) autorisées à mettre à jour dynamiquement des informations dans leur zone. Par défaut, aucune adresse n'est autorisée. +* `update-policy` : spécifie finement les droit de modification des entrées pour les adresses ou clefs [TSIGs](/Glossaire.md#tsig) autorisées via une liste d'ACL, **Attention** : on ne peut pas définir à la fois `allow-update` et `update-policy`. voir [Configuration update-policy](/HowtoBind#configuration-update-policy) ## chroot @@ -436,19 +436,19 @@ $ rndc sync [nom_zone] ### Petit guide TSIG -On peut utiliser nsupdate, ou n'importe quel client, pour mettre à jour la zone en s'authentifiant avec une clef TSIG. +On peut utiliser nsupdate, ou n'importe quel client, pour mettre à jour la zone en s'authentifiant avec une clef [TSIG](/Glossaire.md#tsig). Pour mettre celle-ci en place, il faut ... Générer une clef TSIG avec tsig-keygen si disponible ou avec dnssec-keygen sinon -~~~ +~~~{.bash} $ tsig-keygen -a hmac-sha512 nomclef $ dnssec-keygen -a HMAC-SHA512 -b 512 -n HOST nomclef ~~~ Ajouter celle-ci à la configuration de bind... -~~~ +~~~{.ini} $ vim /etc/bind/named.conf.tsigkeys key "happydomain" { @@ -461,10 +461,12 @@ key "happydomain" { On peut maintenant recharger la configuration et vérifier que notre clef est bien présente: +~~~{.bash} +$ named-checkconf /etc/bind/named.conf && rndc reload +$ rndc tsig-list ~~~ -named-checkconf /etc/bind/named.conf && rndc reload -rndc tsig-list -~~~ + +On peut alors tester confirmer le fonctionnement avec nsupdate : ## DNSSEC