evolix/wiki
22
0
Fork 0
Code Releases Activity

amelioration doc maj dynamique et tsig

Browse source
This commit is contained in:
Tom David--Broglio 2024-01-22 13:02:07 +01:00
parent 1144f86359
commit c010993b71
1 changed files with 39 additions and 8 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

47
HowtoBind.md
View file

@ -418,17 +418,36 @@ Options :
## Mise à jour dynamique
Pour faire la mise à jour dynamique, Bind génère un ficher de journal `.jnl` binaire du même nom que la zone contenant l'historique des modifications apportées à la zone.
Il est possible de mettre à jour une zone DNS sans éditer le fichier avec `nsupdate`.
La mise à jour dynamique permet de mettre à jour une zone avec des demandes de mise à jour
"Dynamic Updates" envoyés par le réseau au server authoritaire pour ajouter ou supprimer des champs :
* Il n'y a plus besoin de se connecter au serveur authoritaire pour changer le fichier de zone
* La syntaxe d'une demande est vérifiée avant d'être envoyé pour éviter d'ajouter des entrées incorrectes.
* Le serial SOA est incrémenté automatiquement.
* Dans une zone DNSSEC, le changement est immédiatement signé.
* On peut facilement scripter ces mises à jours ( certbot par exemple )
Pour faire la mise à jour dynamique, Bind génère un fichier de journal `.jnl` binaire du même nom que la zone, contenant l'historique des modifications apportées à la zone.
Il est possible de mettre à jour le fichier de zone directement mais ce n'est pas recommandé car on va devoir temporairement désactiver la mise à jour dynamique "freeze".
~~~
$ rndc freeze domain.tld
[Modification manuelle de la zone]
$ rndc thaw domain.tld
$ rndc reload domain.tld
# voir les changement dans le fichier de journal .jnl
$ named-journalprint [fichier_zone_jnl]
# si il y a des changement, on peut les synchroniser et vider le journal
$ rndc sync -clean example.com
# desactiver la mise à jour dynamique
$ rndc freeze [nom_zone]
# Modification manuelle de la zone avec vim ou autre
$ named-checkzone <nom_zone> <fichier_de_zone>
$ rndc unfreeze [nom_zone]
$ rndc reload [nom_zone]
~~~
> *Note* : la synchronisation avec le fichier réel de zone n'est pas faite en temps réel, cela se fait toutes les 15 minutes en général : il faut donc faire attention si l'on veut éditer le fichier de zone, il faudra forcer la synchronisation ainsi :
Comme cela est compliqué et risqué, il est préférable d'utiliser un outil comme nsdiff avec nsvi qui va nous permettre d'éditer la zone comme si on l'edite à la main, mais va envoyer les changements par demande de mise à jour.
Voir : https://dotat.at/prog/nsdiff/ (documentation à venir)
> *Note* : la synchronisation avec le fichier réel de zone n'est pas faite en temps réel, cela se fait toutes les 15 minutes en général, on peut forcer la synchronisation avec :
~~~
$ rndc sync [nom_zone]
@ -466,7 +485,19 @@ $ named-checkconf /etc/bind/named.conf && rndc reload
$ rndc tsig-list
~~~
On peut alors tester confirmer le fonctionnement avec nsupdate :
On peut alors confirmer le fonctionnement avec nsupdate
~~~{.bash}
$ nsupdate -y hmac-sha512:happydomain:"3JtiVQEBFXtQeU/3PorKpCV7jM1bZEEzkdD1zb9emvwaBZFSgYxOXV41OdSeeHb5dcud+SvNo47jEf5yRwfSkQ=="
> server <adresse_server> [port]
> zone example.com
> update add www.example.com. 172800 IN A 192.168.254.7
> send
>
~~~
Une réponse vide après send indique que la mise à jour à eu lieu. Sinon un code d'erreur sera affiché.
## DNSSEC