La distribution d annuaires



Documents pareils
Domain Name Service (DNS)

DNS. Olivier Aubert 1/27

DNS : Domaine Name System

B1-4 Administration de réseaux

Domain Name System. F. Nolot

Résolution de noms. Résolution de noms

Nommage et adressage dans Internet

Domain Name System ot ol F. N 1

Ce cours est la propriété de la société CentralWeb. Il peut être utilisé et diffusé librement à des fins non commerciales uniquement.

Domaine Name System. Auteur: Congduc Pham, Université Lyon 1. Figure 1: Schéma des salles TP11 et TD4

Étude de l application DNS (Domain Name System)

Domain Name Service (DNS)

Administration Système & Réseau. Domain Name System Historique & Concepts Fonctionnalités & Hiérarchie Requêtes & Base de donnée DNS

Réseaux. DNS (Domaine Name System) Master Miage 1 Université de Nice - Sophia Antipolis. (second semestre )

Réseaux IUP2 / 2005 DNS Système de Noms de Domaine

M Architecture des réseaux

Résolution de nom avec Bind

Administration réseau Résolution de noms et attribution d adresses IP

Master d'informatique 1ère année Réseaux et protocoles

LYCEE FRANCO-MEXICAIN HOMERO 1521 COLONIA POLANCO MEXICO ; D.F.

DNS et Mail. LDN 15 octobre DNS et Mail. Benjamin Bayart, Fédération FDN. DNS - fichier de zone. DNS - configuration

- FICHE DE PROCEDURE - Configurer un serveur DNS avec Bind9 sur Debian

Bind, le serveur de noms sous Linux

Installation Serveur DNS Bind9 Ubuntu LTS

Gérer son DNS. Matthieu Herrb. tetaneutral.net. Atelier Tetaneutral.net, 10 février

TP de réseaux : Domain Name Server.

Installer un domaine DNS

Exemple d application: l annuaire DNS Claude Chaudet

Résolution de noms. Résolution de noms

Domain Name System. Schéma hiérarchique. Relation

Le service de nom : DNS

INTERNET & RESEAUX. Dino LOPEZ PACHECO lopezpac@i3s.unice.fr

Domain Name System. AFNIC (12/12/07) DNS - 1

Il est possible d associer ces noms aux langages numérique grâce à un système nommé DNS(Domain Name System)

TP DNS Utilisation de BIND sous LINUX

LOSLIER Mathieu. Filière Informatique et Réseau 1 ère année. TP DNS. Responsable : LOHIER Stephane. Chargé de TD : QUIDELLEUR Aurélie

V - Les applications. V.1 - Le Domain Name System. V Organisation de l espace. Annuaire distribué. Définition. Utilisation par le resolver

DNS ( DOMAIN NAME SYSTEM)

Domaine Name Service ( DNS )

Introduction au DNS. Les noms de domaine s'écrivent de la gauche vers la droite, en remontant vers la racine et sont séparés par un "." (point).

machine.domaine

TCP/IP - DNS. Roger Yerbanga contact@yerbynet.com

Internet Le service de noms - DNS

L3 informatique Réseaux : Configuration d une interface réseau

1 Configuration réseau des PC de la salle TP

Administration de Parc Informatique TP03 : Résolution de noms

L annuaire et le Service DNS

Réseaux - Cours 4. Traduction d adresse (NAT/PAT) et Service de Nom de Domaine (DNS) Cyril Pain-Barre. IUT Informatique Aix-en-Provence

DOMAIN NAME SYSTEM. CAILLET Mélanie. Tutoriel sur le DNS. Session Option SISR

TP DHCP et DNS. Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A

Présentation du système DNS

Réseaux. 1 Généralités. E. Jeandel

BIND : installer un serveur DNS

Administration de réseaux. Marc Baudoin

Service de noms des domaines (Domain Name System) Cours administration des services réseaux M.BOUABID,

Corrigé du TP 6 Réseaux

Serveurs de noms Protocoles HTTP et FTP

titre : CENTOS_BIND_install&config Système : CentOS 5.7 Technologie : Bind 9.3 Auteur : Charles-Alban BENEZECH

Comment fonctionne le serveur cache (1) DNS Session 2: Fonctionnement du cache DNS. Historique du support de cours

Applications. Applications. Le système de nommage d Internet: Domain Name System. Applications. service de noms

CREER UN ENREGISTREMENT DANS LA ZONE DNS DU DOMAINE

Sur un ordinateur exécutant Windows 2000 Server Ayant une adresse IP statique

Chapitre 2: Configuration de la résolution de nom

Ce TP consiste à installer, configurer et tester un serveur DNS sous Linux. Serveur open source : bind9 Distribution : Mandriva

ASRb/Unix Avancé II. Chapitre 2. Utilitaires réseaux. Arnaud Clérentin, IUT d Amiens, département Informatique

TP2 - Conguration réseau et commandes utiles. 1 Généralités. 2 Conguration de la machine. 2.1 Commande hostname

Introduction aux Technologies de l Internet

Les services usuels de l Internet

6 1 ERE PARTIE : LES PRINCIPES DE BASE DE DNS

Installation du service DNS sous Gnu/Linux

Mise en place Active Directory / DHCP / DNS

Quelques protocoles et outils réseaux

Technologies de l Internet

1 Présentation du module sr005 2 I Administration d un serveur DNS... 2 II Organisation... 2

Algorithmique et langages du Web

La couche transport. La couche Transport. La couche Transport et Internet. Cours Réseau Esial 2ème. 5. La couche transport TCP/UDP et les applications

Cours UNIX Network Information Service

TP : Introduction à TCP/IP sous UNIX

Construction d un fichier de zone Déboguage et dépannage

Chapitre VII : Principes des réseaux. Structure des réseaux Types de réseaux La communication Les protocoles de communication

Installation Windows 2000 Server

Table des matières Hakim Benameurlaine 1

La résolution de noms

NFS Maestro 8.0. Nouvelles fonctionnalités

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

Outils de l Internet

Programmation Réseau. ! UFR Informatique ! Jean-Baptiste.Yunes@univ-paris-diderot.fr

Services Réseaux - Couche Application. TODARO Cédric

INFO-F-309 Administration des Systèmes. TP7: NFS et NIS. Sébastien Collette Résumé

Table des matières Nouveau Plan d adressage... 3

Mac OS X Server Administration des services réseau. Pour la version 10.3 ou ultérieure

Télécommunications. IPv4. IPv4 classes. IPv4 réseau locaux. IV - IPv4&6, ARP, DHCP, DNS

Spécialiste Systèmes et Réseaux

Ubuntu Linux Création, configuration et gestion d'un réseau local d'entreprise (3ième édition)

Internet Protocol. «La couche IP du réseau Internet»

Applications en réseau

DHCP et NAT. Cyril Rabat Master 2 ASR - Info Architecture des réseaux d entreprise

Windows 2000 Server Active Directory

Le réseau Internet.

Transcription:

DESS GI 2001/2002 Systèmes Répartis et Réseaux Le nommage la distribution d annuaires la gestion de tables locales le service NIS l espace de noms du DNS serveurs autorisés, primaires, secondaires principe de la résolution récursive le format des tables primaires les choix de configuration DNS l organisation générale conseillée les erreurs fréquentes autres services d annuaires Administration des réseaux DESS GI Administration Réseau Le nommage Pierre Laforgue p. 2

La distribution d annuaires Deux niveaux de services : correspondances { NOM > VALEUR[S] } bases d information complexes non traitées ici Buts : répartir la gestion des noms aux niveaux de responsabilité cohérence > min. redondance de gestion fiabilité > max. redondance automatique Distribution d informations : 3 méthodes, non exclusives : 1 Recopie de tables statiques sur chaque système local manuellement (!) ou automatiquement 2 Gestion uniforme d un ensemble de systèmes 3 Hiérarchie mondiale de domaines d administration => DNS Domain Name Servers pour les noms, adresses IP, les relais messagerie => autres systèmes pour les bases plus complexes : personnes et objets Au niveau applicatif on utilise normalement des noms symboliques ; dans les couches inférieures, des adresses ou des nombres assignés (ports, ). Correspondances à gérer : Nom d un matériel son ou ses adresses IP Adresse IP le ou les noms d un matériel Nom d un domaine de messagerie noms des relais Nom d un service numéro d un port UDP ou TCP Nom d un usager informations liées à l usager (UID, passwd, ) Nom d un [sous-]réseau adresse IP de [sous-]réseau etc Application principale : désignation non ambiguë des machines par les usagers. Intérêt : mnémotechnique et logique. Ex. : changement transparent de la machine qui fournit certains services, par réaffectation de son nom à l adresse d une autre (à condition de revoir les filtrages sur adresses IP ) DESS GI Administration Réseau Le nommage Pierre Laforgue p. 3 DESS GI Administration Réseau Le nommage Pierre Laforgue p. 4

Correspondances nom valeur(s) 3 niveaux de gestion : 1. Maintien de tables statiques sur chaque machine Problèmes : taille, cohérence des copies, pertinence des informations ==> en limiter les contenus. Ex. fichier hosts minimal nécessaire au démarrage 2. Le service NIS (anciennement YP Yellow Pages ) NIS : pas de hiérarchisation, sécurité exclue. NIS+ : complexe, mono-système. ==> à restreindre à la gestion d un pool de matériels banalisés à disposition d un groupe d utilisateurs, tous gérés par un même ingénieur-système. 3. Le service DNS, Domain Name Service ou BIND Fonctions simples, non extensibles, latence des mises à jour. Services DNS de base : en standard sur tous les systèmes IP. Lorsqu on utilise conjointement les trois gestions, il faut spécifier la priorité de recherche voulue dans les fichiers /etc/nsswitch.conf sur SUN/SOLARIS, /etc/svc.conf sur Compaq/True64, etc soit par exemple : 1-table 2-NIS 3-DNS La gestion de tables locales Service d association : clé enregistrement lister Fourni par un sous-programme de bibliothèque qui consulte un fichier ou qui interroge un démon local ou distant. 3 types de tables : pour le réseau, les utilisateurs, la machine A Le réseau /etc/services nom numéro_port/type alias type= UDP ou TCP clé : nom (ou alias), numéro_porte (fonction getserv * ) Permet de référencer une porte associée à un service : ftp, smtp, http, La correspondance est en général globale approche différente de celle de RPC : correspondance dynamique /etc/networks nom adresse IP alias clé : nom (ou alias), adresse réseau (fonction getnet * ) /etc/hosts numéro IP nom alias clés possibles : nom ou alias, adresse IP ==> fonctions gethost * DESS GI Administration Réseau Le nommage Pierre Laforgue p. 5 DESS GI Administration Réseau Le nommage Pierre Laforgue p. 6

Conventions : Selon les systèmes, il peut être préférable de mettre des noms complets (domainisés) dans /etc/hosts. Le premier nom sert à l identification > ce doit être le nom officiel (hostname, ou hostname.domain) Si une machine a plusieurs interfaces, définir plusieurs lignes avec le même nom officiel et des alias différents : 129.88.38.1 vercors.imag.fr vercors0 129.88.34.8 vercors.imag.fr vercors1 B Les utilisateurs /etc/passwd nom login:mot de passe codé:uid:gid:nom réel:catalogue personnel:shell Clé : nom login et uid Fonctions : getpw * Authentifier (mot de passe), nommer (login et nom réel), définir les autorisations (uid) et l'environnement ( home et shell à déclarer dans /etc/shells) shadow passwd : accès seulement par programme aux mots de passe encryptés. /etc/group : autorisations d'accès aux fichiers nom group:gid: * :nom login, nom login, clé : nom group et gid (fonction getgr * ) Attention : la correspondance nom adresse peut être multiple (en particulier pour les machines multi-homed branchées sur plusieurs réseaux sans assurer de routage) et les différents protocoles répondent différemment, d où problèmes en authentification (e.g..rhosts, liste exportations NFS) et au démarrage des machines. C La machine En général déclarations par des commandes dans les scripts de démarrage, elles-mêmes utilisant les informations introduites dans des fichiers ou par menus initiaux. Attention à l ordre des commandes. nom : directive hostname domaine NIS : directive domainname domaine DNS : dans le fichier fichier /etc/resolv.conf interfaces : adresse, masque, ad. de diffusion par ifconfig e.g. SUN: /etc/hostname.xx0, /etc/netmasks routage, démons serveurs DESS GI Administration Réseau Le nommage Pierre Laforgue p. 7 DESS GI Administration Réseau Le nommage Pierre Laforgue p. 8

Le service NIS : annuaire à portée locale NIS, Network Information Service, anciennement Yellow Pages, basé sur RPC, distribue les tables hosts, passwd, group, netgroup, aliases, services, rpc, publickey, bootparams, networks, protocols, ethers. Spécifié par SUN et proposé sur la plupart des autres Unix (implémentations compatibles). Principe un domaine NIS (sans rapport avec un domaine DNS) identifie un ensemble de machines partageant des configurations (ex. "domainname oaeb3xaz") un serveur maître stocke les tables de références des serveurs secondaires en gèrent des copies (au moins un serveur secondaire par sous-réseau IP) un démon "ypbind"sur chaque client interroge les serveurs ypbind ne connaît pas la liste de serveurs > diffusion les applications consultent d abord les tables locales. Recours au NIS ssi l information est absente et il y a une marque spéciale (+) dans la table concernée. Configuration NIS : quelques conseils Ne mettre dans les tables locales que le strict minimum. N utiliser le NIS que localement pour des machines équivalentes : partage par l équipe, le groupe, à la rigueur le laboratoire. Ne déclarer que 2 ou 3 entrées dans /etc/hosts sur les clients, ne déclarer que les machines de l équipe sur le master, déclarer toutes les machines du laboratoire ou de l École sur le primary du domaine DNS. Modification des serveurs réinstaller le maître. En cas de problème à l installation d un esclave, recopier le catalogue /var/yp/domain du maître. Sécurité : empêcher la récupération des tables dont passwd depuis un réseau externe => 1/ choisir un nom de domaine impossible à deviner, le tenir secret 2/ appliquer un patch ou mécanisme standard (selon système) permettant de déclarer les réseaux autorisés à demander les tables. Evolution du NIS : NIS+ mono-constructeur, complexe Structure généralisée : informations quelconques. Choix de l ordre des mécanismes d accès (local, NIS, BIND), concaténation de domaines possible. Sécurité : fixer le serveur, utilisation de Secure RPC Notion de droit d accès global possibilité de mise à jour à distance des tables DESS GI Administration Réseau Le nommage Pierre Laforgue p. 9 DESS GI Administration Réseau Le nommage Pierre Laforgue p. 10

L espace de noms géré par le D.N.S. service d annuaire réparti mondialement L ensemble des domaines au sens du DNS Domain Name Service constitue un espace de noms hiérarchisé. Exemple : DER. EDF. FR désigne la Direction des Etudes et Recherches de EDF, organisme FRançais => inclusion des domaines der.edf.fr edf.fr fr la désignation der.edf.fr n est utilisable que pour adresser un courrier à Personne@der.edf.fr ; ce n est pas un nom de machine, ni même l alias d un tel nom. ultraya.der.edf.fr est un nom de machine éventuellement utilisable pour des opérations distantes rlogin, telnet, ftp, finger, etc l abréviation ultraya n a de sens qu en interne, au sein du domaine der.edf.fr Attribution de ultraya : par le gérant de DER Attribution de DER : par le gérant de EDF Attribution de EDF : par le gérant de la hiérarchie française Attribution de FR : à l AFNIC Pays (cc) com edu gov mil org fr uk de eu us jp net sri mit ddn edf inpg imag urec ac eu uu nordu ai ai nic der exp ufrima ppp ww ucl nic uunet nic cladmin dynamo dolto Notation : a.b.c.d.e... des feuilles à la racine, du particulier au général. fr est un Top-Level Domain sur la racine. Exemple : physique.univ X.fr = physique.univ X.fr. Hiérarchies françaises : gouv.fr, asso.fr, tm.fr.com,.org et.net : devenus analogues / ~ aucune règle 7 nouveaux TLD :.aero.coop.museum «sponsorisés».biz.info.name.pro cf. http://www.icann.org Règles de complément : omission du suffixe au sein du domaine (ambiguïtés possibles en cas de suffixe partiel). cs DESS GI Administration Réseau Le nommage Pierre Laforgue p. 11 DESS GI Administration Réseau Le nommage Pierre Laforgue p. 12

Affectation d un nom de domaine Historiquement, un allouant par TLD : la société NSI et un NIC par pays TLD = Top Level Domain Actuellement : Pour un nom sous un TLD national, NIC du pays Exemple sous «.fr» : le client doit demander à son fournisseur d accès qui renvoie la demande au NIC France. Règles d attribution spécifiques au pays. Pour com, net et org : le client s adresse à un «registrar» agréé par l ICANN ; redevance annuelle ; au premier demandeur ; nombreux conflits Règles spécifiques pour edu, gov, mil Serveurs autorisés, primaires, secondaires Les informations d un domaine sont délivrées par plusieurs serveurs autorisés authoritative pour leur domaine : les correspondances {Nom >Valeur } sauf celles internes à ses sous-domaines, la liste des serveurs autorisés de ses sous-domaines => délégation d autorité. Un serveur n est autorisé pour un domaine que s il est déclaré comme tel par lui-même et par les serveurs autorisés du domaine supérieur. Un serveur autorisé pour un domaine ne l est pas obligatoirement pour les sous-domaines. Attention Un serveur d un domaine doit tout connaître de ce dernier : pas de tables partielles. Exemples : Le domaine. (racine ) est publié par 13 serveurs autorisés de noms [A M].root-servers.net géographiquement répartis. Pour les connaître : exécuter la commande «dig. ns» Le domaine fr est publié par 8 serveurs autorisés : 4 en France, 1 ailleurs en Europe, 3 aux USA. Le domaine imag.fr est publié par 4 serveurs autorisés : 2 à Grenoble, 2 extérieurs. Nouveaux domaines votés par l ICANN DESS GI Administration Réseau Le nommage Pierre Laforgue p. 13 DESS GI Administration Réseau Le nommage Pierre Laforgue p. 14

Redondance : les serveurs secondaires La base des informations concernant un domaine est tenue à jour "manuellement" sur un seule machine, le serveur primaire. Elle est automatiquement recopiée et tenue à jour sur chacun des serveurs secondaires du domaine, à l initiative de ceux-ci qui font des vérifications périodiques, mais aussi à l initiative du primaire dès un changement (dans les versions récentes). Un serveur secondaire d un domaine offre donc un cache local permanent sous la forme d un fichier contenant toutes les informations du domaine. Il est possible mais déconseillé de déclarer des serveurs secondaires non autorisés d un domaine. $ORIGIN Format des tables des serveurs primaires recopiées par les secondaires <domaine terminé par un point> ; suffixe par défaut $ttl <durée> ; default TTL <name> <ttl> <class> <type> <data> Principaux types de la classe IN (Internet) : SOA Start Of Authority précise : e-mail du gérant serial (ex. AAAAMMJJnn), refresh (ex. 1 h.) retry (ex. 10 mn) expire (ex. 42 j) min TTL (ex. 1 j) NS nom d un serveur du domaine ou d un englobé Lorsqu un serveur n est ni primaire ni secondaire d un domaine, il garde les informations obtenues par ses requêtes ponctuelles aux serveurs de noms d autres machines dans le cache local temporaire de l espace mémoire du processus. A PTR CNAME MX HINFO Correspondance Nom > Adresse IP Correspondance Adresse IP > Nom Nom synonyme > Nom canonique Relais de messagerie et priorité Type de machine et de système non renseigné d ordinaire, non plus que WKS WKS Liste des services offerts : ports TCP/UDP DESS GI Administration Réseau Le nommage Pierre Laforgue p. 15 DESS GI Administration Réseau Le nommage Pierre Laforgue p. 16

Exemple de fichier primaire $ORIGIN inpg.fr. @ IN SOA prim.inpg.fr. dnsmaster.inpg.fr. ( 2001100501 ;Serial 21600 ;Refresh (6h) 3600 ;Retry (1h) 3600000 ;Expire (42j) 86400 ) ;Minimum TTL (24h) IN NS x.inpg.fr. IN NS y.inpg.fr. IN NS a.b.c.fr. IN NS d.e.fr. x IN A 192.68.67.43 y IN A 192.68.67.44 servcom IN A 192.68.67.45 localhostin A 127.0.0.1 loghost IN CNAME localhost @ IN MX 10 servcom.inpg.fr. IN MX 50 x.inpg.fr. IN MX 60 com2.autredom.fr IN TXT "Institut National etc" IN TXT "INPG 46 Av.Felix Viallet " $INCLUDE fichier1 @ $INCLUDE fichier2 @ ; Sous-domaine subdom mach1.subdom.inpg.fr. IN A 192.22.68.1 mach2.inpg.fr. IN A 192.68.67.45 subdom.inpg.fr. IN NS mach2.inpg.fr. IN NS mach1.subdom.inpg.fr. IN TXT "Departement X" La résolution récursive NS : nom de domaine => @ IP d un serveur autorisé A : nom (d entité) => la ou une @ IP de l entité L usager d un poste lance «netscape http://www.sri.com» 0 Le poste contacte un serveur local L pour résoudre www.sri.com., i.e. obtenir l enregistrement A 1 Si le serveur local sait répondre, fin. 2 Si le serveur local fait autorité, fin : machine inconnue. 3 Sinon L regarde le plus grand suffixe pour lequel il a des enregistrements NS (il doit connaître les NS de la racine mondiale «.»). Il demande à l un des serveurs autorisés (i.e. indiqués en NS) l enregistrement A de www.sri.com. 4 Si le serveur distant D sait répondre, il envoie la réponse à L, et L répond au programme. 5 Si le serveur D ne sait pas répondre et fait autorité, fin : machine inconnue. 6 Sinon D regarde le plus grand suffixe pour lequel il a des enregistrements NS et les envoie à L. L reprend en 3. Nota L garde un cache des réponses A et NS pour accélérer les requêtes suivantes. En 6, D envoie aussi les adresses (informations A) des serveurs NS rendus s il les connaît. DESS GI Administration Réseau Le nommage Pierre Laforgue p. 17 DESS GI Administration Réseau Le nommage Pierre Laforgue p. 18

Cas des entités ayant plusieurs adresses IP Des adresses retournées par un serveur (dans un ordre variable, souvent rotatif), seule la première est utilisée par la commande une entité peut apparaître inaccessible si cette adresse l est. Ex. hôte multi-domicilié, relié à la fois à un réseau privé restreint et à un réseau ouvert. Pour les routeurs comme pour les hôtes multi-domiciliés, les serveurs de noms publient effectivement plusieurs adresses IP. Autre cas : un même nom est donné à plusieurs machines miroirs, rendant des services équivalents, pour répartir les clients et donc la charge entre elles. Les requêtes PTR, CNAME, MX, Les types NS, A, AAAA, PTR, MX, CNAME, etc relèvent de la classe IN, seule classe utile aujourd hui. Domaines des adresses IP : requêtes inverses PTR Adresse IP inversée Nom Exemple : 4.6.88.129.in-addr.arpa x.imag.fr Notation inversée pour garder le schéma de gauche à droite des feuilles à la racine, du particulier au général. Synonymes (alias) : requêtes CNAME Variante du A d IPv4 : Description (texte quelconque) : TXT AAAA pour les adresses IPv6 Messagerie : requêtes MX Mail exchanger Domaine ne désignant pas forcément une machine ==> liste ordonnée (par des priorités) d autres noms complets, désignations de relais de messagerie. Intérêt : économie de configurations de MTA (cf. règles de réécriture de sendmail.cf) : seuls ces relais sont à configurer pour tous les cas possibles, ou relais vers des machines n ayant pas accès à l Internet. Exemple : passerelle de messagerie vers des réseaux non IP, ou vers des serveurs de boîtes aux lettres ayant des adresses IP privées. DESS GI Administration Réseau Le nommage Pierre Laforgue p. 19 DESS GI Administration Réseau Le nommage Pierre Laforgue p. 20

Configurations DNS : différents choix Si la syntaxe utilisée pour les exemples de configuration est celle des implémentations de référence sous Unix, les choix de configurations détaillés sont, eux, universels. La syntaxe des tables primaires est également universelle. Les compilateurs doivent avoir accès à une bibliothèque intégrant le résolveur de noms ; sinon réinstaller libc.a Procédures appelées par les applications : gethostbyname, gethostbyaddr, Test interactif de requêtes DNS : nslookup, dig Démon named conseillé : la dernière version stable du BIND (9.1.3 actuellement) codes sources de référence, «libres», pour Unix et Windows : http://www.isc.org (Internet Software Consortium) Utilitaires host et dig pour le test de résolutions DNS Exécutables : cf. par ex. Solaris http://sunfreeware.com 1 Configuration minimale suffisante : utilisation d un démon serveur distant, sans démon local Pas de lancement de named localement, aucune table sauf un fichier de 3 ou 4 lignes /etc/resolv.conf où on doit spécifier le domaine courant et l identité des serveurs de noms à utiliser. Ex : domain labo.univ-x.fr [search labo.univ-x.fr partner.com] nameserver 169.88.6.3 nameserver 198.35.6.9 Toute requête locale, pour obtenir une information interne ou non au domaine de la machine, sera servie par 169.88.6.3 ou à défaut par 198.35.6.9 si 169.88.6.3 ne répondait pas. Cinq grands choix de configuration : un choix de client «pur» pour la plupart des équipements, notamment tous les postes de travail, 4 choix, combinables entre eux en fonction de chacun des domaines connus, pour des serveurs ou clients dotés d un démon «serveur de noms» DESS GI Administration Réseau Le nommage Pierre Laforgue p. 21 DESS GI Administration Réseau Le nommage Pierre Laforgue p. 22

Configurations 2 à 5, combinables entre elles mais exclusives de la précédente. Caractéristiques communes aux quatre : Dans le fichier resolv.conf on n indique plus de nameserver sauf soi-même : domain labo.univ-x.fr nameserver 127.0.0.1 Le lancement du démon [in.]named est programmé au démarrage de la machine On spécifie dans un fichier /etc/named.conf : les déclarations primaire(s) et/ou secondaires voulues, dont au minimum une déclaration primaire du domaine inverse du réseau 127 de l interface de rebouclage standard : 0.0.127.in-addr.arpa la localisation du répertoire de tous les fichiers nécessaires, ceux créés par l administrateur comme ceux créés ensuite par le démon le cas échéant. 2 Configuration d un démon transmettant tout à un autre Indiquer dans /etc/named.conf les adresses des serveurs de noms relais. Exemple : Options{ forward only; forwarders {169.88.6.3;198.35.6.9;}} L option forwarders permet de profiter de, et d enrichir, le cache global d un serveur de noms distant. L option forward only limite les recherches aux relais même en cas de panne simultanée de tous ces derniers. Elle est appropriée partout où il n y a pas la pleine connectivité Internet. Par contre, les forwarders doivent bien sûr avoir cette connectivité. 3 Configuration permettant les recherches mondiales Créer un fichier énumérant les noms et adresses IP des serveurs du domaine racine ; indiquer le nom dans le fichier /etc/named.conf. ; garder ou non forwarders. Exemple : Options{ directory /var/spool/named; forward first; forwarders {169.88.6.3;198.35.6.9;}; zone "."{ type hint; file "root.cache ";}; DESS GI Administration Réseau Le nommage Pierre Laforgue p. 23 DESS GI Administration Réseau Le nommage Pierre Laforgue p. 24

Dans l exemple précédent, il faut créer le fichier /var/spool/named/root.cache et lui donner pour contenu le résultat de dig @ns.internic.net : ; <<>> DiG 8.1 <<>> @ns.internic.net ;; QUERY SECTION: ;;., type = NS, class = IN ;; ANSWER SECTION:. 6D IN NS A.ROOT-SERVERS.NET.. 6D IN NS H.ROOT-SERVERS.NET.. 6D IN NS B.ROOT-SERVERS.NET.. 6D IN NS C.ROOT-SERVERS.NET.. 6D IN NS D.ROOT-SERVERS.NET.. 6D IN NS E.ROOT-SERVERS.NET.. 6D IN NS I.ROOT-SERVERS.NET.. 6D IN NS F.ROOT-SERVERS.NET.. 6D IN NS G.ROOT-SERVERS.NET.. 6D IN NS J.ROOT-SERVERS.NET.. 6D IN NS K.ROOT-SERVERS.NET.. 6D IN NS L.ROOT-SERVERS.NET.. 6D IN NS M.ROOT-SERVERS.NET. ;; ADDITIONAL SECTION: A.ROOT-SERVERS.NET. 6D IN A 198.41.0.4 H.ROOT-SERVERS.NET. 6D IN A 128.63.2.53 B.ROOT-SERVERS.NET. 6D IN A 128.9.0.107 C.ROOT-SERVERS.NET. 6D IN A 192.33.4.12 D.ROOT-SERVERS.NET. 6D IN A 128.8.10.90 E.ROOT-SERVERS.NET. 6D IN A 192.203.230.10 I.ROOT-SERVERS.NET. 6D IN A 192.36.148.17 F.ROOT-SERVERS.NET. 6D IN A 192.5.5.241 G.ROOT-SERVERS.NET. 6D IN A 192.112.36.4 J.ROOT-SERVERS.NET. 5w6d16h IN A 198.41.0.10 K.ROOT-SERVERS.NET. 5w6d16h IN A 193.0.14.129 L.ROOT-SERVERS.NET. 5w6d16h IN A 198.32.64.12 M.ROOT-SERVERS.NET. 5w6d16h IN A 202.12.27.33 4 Configuration secondaire pour un ou des domaine(s) Dans les configurations précédentes 2 ou 3, spécifier en outre dans named.conf que la machine est secondaire d'autres serveurs pour un ou plusieurs domaines : zone "inpg.fr" { type slave; file "inpg.fr-bk"; masters {{169.88.6.3;198.35.6.9; }; }; zone "6.88.169.in-addr.arpa" { type slave; file "169.88.6-bk"; masters {{169.88.6.3;198.35.6.9; }; }; Les fichiers inpg.fr-bk et 169.88.6-bk seront automatiquement créés puis tenus à jour par le démon dans le répertoire spécifié par l option directory présentée en 3. DESS GI Administration Réseau Le nommage Pierre Laforgue p. 25 DESS GI Administration Réseau Le nommage Pierre Laforgue p. 26

5 Configuration primaire pour un ou des domaines Spécifier en outre, dans les configurations précédentes, chacun des domaines dont le serveur sera primaire : zone "imag.fr" { type master; also-notify { 147.171.130.1; 129.88.38.2; }; //notifier ces 2 secondaires non officiels file "imag.fr"; //fichier à créer }; zone "0.0.127.in-addr.arpa" { type master; }; file "127.0.0"; //fichier à créer }; Créer dans le répertoire spécifié par directory les fichiers imag.fr et 127.0.0, à remplir soit manuellement soit par traduction d une table au format «hosts». Le fichier imag.fr sera l unique source de toutes les informations sur le domaine, soit : un enregistrement SOA et des NS, A, CNAME, MX, TXT, pour un domaine direct un SOA et des NS et PTR pour un domaine inverse L organisation générale : méthodologie proposée Déclarer officiellement (y compris mises à jour ) : la liste exacte des serveurs NS de son domaine auprès du gérant du domaine englobant, via l opérateur si le domaine englobant est un «top-level domain» géré par un «NIC». la liste exacte des serveurs de son ou de ses domaines inverses, autrefois au niveau de la racine mondiale des «reverse», maintenant auprès de son opérateur qui gère une agrégation d adresses. Définir un serveur primaire pour toutes ses tables. Possibilité de déléguer soit par sous-domaine, soit par intégration automatique mais contrôlée de tables partielles (e.g. scripts hosts2named, named2rev, ). Pour accélérer les modifications importantes, diminuer le TTL auparavant. Définir un unique serveur de cache central pour les requêtes internes d enregistrements externes : optimal (enrichissement max.) si bien dimensionné. Déclarer ce serveur comme secondaire de ses propres domaines. Définir plusieurs serveurs caches s alimentant auprès du serveur central (option forwarders ) mais capables de s en passer, donc avec démons named et sans option only. Les déclarer en outre serveurs secondaires, pas forcément officiels, des domaines propres. Configurer toutes les autres machines comme simples clients du ou des plus proches serveurs caches précédents, sans y lancer in.named. Sécurité : limiter les accès et transferts. Les fonctions «serveurs de son domaine» utilisables par le monde entier et «serveurs de résolution récursive / caches» utilisables par les clients internes sont à distinguer physiquement ou logiquement. DESS GI Administration Réseau Le nommage Pierre Laforgue p. 27 DESS GI Administration Réseau Le nommage Pierre Laforgue p. 28

Spécifier des enregistrements MX pour la messagerie : Pour permettre des adresses logiques de la forme Prénom.Nom@domaine.fr déclarer des MX de domaine.fr désignant chacun des relais d entrée du domaine. Ne pas déclarer de MX pour.domaine.fr. car ne désigne que les entités non déclarées en A (a priori des erreurs). Pour éviter la remise directe de courriers, déclarer 2 ou 3 relais d entrée dans son domaine au moyen de 2 ou 3 MX pour chaque A d une machine agréée à être destinataire finale de courriers i.e. les serveurs de boîtes aux lettres. Ces 2 ou 3 relais peuvent traduire les alias Prénom.Nom Répartir ces relais sur 2 sites si possible, 2 sites locaux car il n y a aucun intérêt à spécifier un relais lointain. Déclarer mailhost.domaine.fr. comme CNAME d un des 3 relais, et rediriger vers mailhost tous les courriers en sortie de chaque machine ou plutôt tous ceux destinés à sortir d un réseau local (à spécifier par sendmail.cf). Déclarer 3 MX pour ce relais, vers lui et les deux autres relais d entrée : s il tombe en panne, ceux-ci serviront aussi de relais en sortie du domaine. Seuls des logiciels obsolètes délivrent des courriers d après des enregistrements A ==> pour spécifier une délivrance directe à une machine, il faut déclarer un MX vers son nom. Les erreurs fréquentes Lame delegation : NS non assumé. Glue records : enregistrements non autorisés. Ex. enregistrements A relatifs à des NS externes Secondary server surprise et MX-record surprise : à l insu du primaire. Oubli du point final (complément = domaine courant) : en partie gauche d un enregistrement A, en partie droite d un SOA, CNAME, PTR, NS CNAME ou NS vers un CNAME au lieu d un nom principal Noms non conformes (caractères &,_ etc) cf. RFC 1034 Oubli d incrément du serial, ou régression Conseil : yyyymmddnn (et non pas yy ) Rémanence d enregistrements incorrects par ping-pong entre serveurs autorisés : difficile à résoudre sans arrêter tous les serveurs impliqués! Prévention : il vaut mieux qu un serveur autorisé pour un domaine ne le soit pas pour ses sous-domaines. «MX» croyant couvrir tout : déclarer des MX pour toute machine déclarée en «A» DESS GI Administration Réseau Le nommage Pierre Laforgue p. 29 DESS GI Administration Réseau Le nommage Pierre Laforgue p. 30

Services d annuaires généralisés : X500 puis LDAP [ pour mémoire - ici juste à titre de comparaison ] Objectif = stocker dans un arbre extensible toutes sortes d objets typés tels que noms de personnes, coordonnées, mots de passe, objets informatiques, services plus généraux que le DNS mais : n assurent pas ses fonctions, donc ne le remplacent pas restent assez internes et/ou spécifiques versus l arbre mondial DNS. Cf. toutefois les projets français d annuaire LDAP de l enseignement supérieur, d annuaire de tous les fonctionnaires, etc. X500 : spécifié par l UIT et agréé par l ISO. Structure hiérarchique logique : pays / organisation / unité / département / Ex. SEARCH C=UK O=UNIV OU=SWAN DEPT=EE CN=SMITH Structure d accès en arbre : la requête d un agent local (DUA) est envoyée à un agent de service (DSA) qui peut la relayer à d autres DSA Root DSA LDAP = version simplifiée, sur IP, du protocole DAP d accès aux annuaires X500. LDAP normalise un standard d interrogation d arborescences (une interface) plutôt qu un système de stockage donné (une base d information). Utilisable : via des requêtes : cf. interrogations LDAP par les messageries Eudora, Netscape, via n importe quel client Web récent : «ldap://serveur/» par des programmes pour vérifier des mots de passe ou obtenir d autres objets d accès contrôlé. Ouvert : chaînage d annuaires, passerelles vers d autres services, interfaçage de bases de données, Sémantique très (trop?) simple : accès indépendants aux enregistrements, pas de notion native d intégrité / cohérence ni de transaction. C=UK O=UNIV OU=SWAN DEPT=EE CN=SMITH Requête A,B,C Réponse DSA DSA Base locale Réponse A Base locale Réponse B Est devenu LE standard d accès aux annuaires de toutes sortes (hors DNS) Structure logique Structure de recherche LDAP : Lightweight Directory Access Protocol DESS GI Administration Réseau Le nommage Pierre Laforgue p. 31 DESS GI Administration Réseau Le nommage Pierre Laforgue p. 32

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back