Professional Documents
Culture Documents
DNS
BOUYAHI Mohamed medbouyahi@gmail.com
Plan
Gnralits
20/11/2011
Gnralits
1. Concept de zones DNS Le nombre denregistrement DNS ne permettrait par leur gestion sans aucune forme dorganisation (cela reviendrait voir un fichier hosts contenant des millions de lignes). Leur organisation hirarchique tait donc indispensable, et cest la raison dtre des zones DNS. Chaque niveau de la hirarchie est une zone. Chaque arborescence est un domaine. On a arbitrairement cre une zone appele . (point), qui est la racine de la hirarchie, et qui contient tous les tld : top level domain (domaine de niveau suprieur). Les tld sont les extensions bien connues telles que com, fr, net, be, etc. toutes les domaines que nous connaissons et utilisons sont des sous-arborescences des tld.
Gnralits
Dans lexemple prcdant, la zone France contient les sous-zones rhone, nord et idf. Mais on peut aussi dire que la zone . contient les sous-zones fr, com et edu. Les zones situes hirarchiquement sous une zone sont appeles zone enfant . Lintrt de cette organisation est de ddier un serveur (en fait au moins deux pour des raisons de tolrance de pannes) la gestion dune zone. Et comme la hirarchie DNS est virtuellement illimite, en largeur comme en profondeur, un serveur DNS ne gre en fait quune petite portion de lespace de nom. Toujours dans notre exemple, si un serveur DNS hberge les donnes de la zone france, il est consult pour toute rsolution de nom se terminant par france.fr , mais il nhberge pas ncessairement les donnes des zones rhone, nord et idf, et peut se contenter de rediriger la requte vers le serveur de la zone enfant. On parle alors de dlgation dans le sens o on dlgue la gestion dune zone enfant un autre serveur. Pour des raisons de tolrance de panne, les donnes de chaque zone DNS doivent tre rpliques au moins une fois, cest--dire exister au moins deux exemplaires. Un serveur aura autorit sur la zone et sera responsable des mises jour. On dit quil est SOA : Start Of Authority. Les zones hberges sur ce serveur sont de type master, et ceux qui hbergent une rplique de la zone sont configurs en tant que slave.
20/11/2011
Gnralits
2. Mcanisme de la rsolution de nom Quand une application dune machine doit faire une rsolution de nom, elle sadresse au composant resolver de son systme dexploitation. Le resolver va alors envoyer une requte de rsolution de nom au serveur DNS rfrenc sur cette machine. Les requtes de client serveur se font sur le port 53 et sont transportes par le protocole UDP. Si le serveur interrog dispose localement de linformation, il rpond directement. On dit quil fait une rponse authoritative (autoritaire). Si le serveur interrog ne dispose pas de linformation, il va consulter la seule zone quil connait, la zone . , qui lui donnera ladresse dun des 13 serveurs racines de linternet. Le serveur interrogera alors ce serveur racine pour connaitre ladresse dun serveur de la zone du tld : top level domain (domaine de premier niveau). Lequel serveur sera interrog son tour connaitre ladresse dun serveur de nom grant la zone directement sous le tld. Enfin, ce serveur sera interrog pour savoir sil dispose de lenregistrement voulu dans ce domaine.
Gnralits
Schma simplifi de la rsolution de nom: 1. Le client son serveur de rfrence (fournisseur daccs ou serveur local) : quelle est ladresse pour le nom www.abc.fr? 2. Le serveur local un serveur racine : donne-moi ladresse dun serveur connaissant la zone fr. 3. Tiens, le serveur ladresse 193.176.144.6 pourra te renseigner. Il possde les informations de la zone fr. 4. Le serveur local au serveur de la zone fr : donne-moi ladresse dun serveur connaissant la zone abc.fr.
6
20/11/2011
Gnralits
5. Tiens : le serveur ladresse 213.41.120.195 pourra te renseigner. 6. Le serveur local au serveur de la zone abc.fr : possde-tu un enregistrement www dans ton domaine abc.fr? 7. Oui, voici son adresse IP : 62.193.202.6. 8. Le serveur local la station cliente : tu mas demand www.abc.fr et son adresse IP est 62.193.202.6.
Gnralits
3. Les enregistrements Les zones nayant quun rle structurant, il faudra pour assurer les rsolutions de nom crer des enregistrements qui feront correspondre un nom une adresse IP ou une autre information. Ces enregistrements sont appels Ressources Records (enregistrement de ressources), souvent nots RR et constituent les informations fondamentales du DNS. Le FQDN, Fully Qualified Domain Name (Nom de Domaine Pleinement Qualifi) reprsente le nom dhte, avec toute son arborescence parente, jusqu la zone . . Par exemple, www.saintmarcelin.fr reprsente lenregistrement www dans la zone saintmarcelin.fr, fr tant la dernire zone avant la zone point. Quand on ne veut aucune ambigut quant la nature dun nom DNS, on reprsente le FQDN avec la zone point matrialise, cest--dire quon crit un point comme dernier caractre du FQDN. On obtient donc www.saintmarcelin.fr.. Cette notation est courante, voire indispensable dans les fichiers de configuration du serveur DNS. Le systme DNS a pour vocation premire dassurer un service de rsolution de nom. Cest--dire de faire correspondre un nom dhte une adresse IP. Ses crateurs ont toutefois prvu que le systme DNS serait capable dassurer la rsolution pour diffrents types de noms et damliorer ainsi la finesse du service.
8
20/11/2011
Gnralits
a. Enregistrement de type A Cest lenregistrement qui fait correspondre une adresse IP un nom. Par exemple quand on tape http://www.site.fr, www est un enregistrement de type A dans la zone site.fr. il correspond une adresse IP qui est celle du serveur web hbergeant le site en question. Rsolutions dans la zone domaine.fr www 82.25.120.5 support 125.12.43.2 vpn 82.25.120.6 b. Enregistrement de type AAAA Rcent mais de plus en plus frquent. Cet enregistrement fait correspondre un nom une adresse IPv6. Rsolutions dans la zone domaine.fr www support 2001:610:12:123a:28:15ff:fed9:9fd6 2001:610:12:123a:28:15ff:fed9:9fd6
9
Gnralits
c. Enregistrement de type PTR Pointer, le contraire de A. si les enregistrements de type A font correspondre une adresse IP un nom dhte, les PTR font exactement le contraire. Ils existent dans des zones un peu particulires nommes IN-ADDR.ARPA. Le nom normalis de la zone sera form par les octets de la partie rseau de ladresse IP ordonns en sens inverse, suivi de la chane de caractres .in-addr.arpa. . Rsolutions dans la zone 1.168.192.in-addr.arpa 10 15 serveur1.entreprise.local (pour serveur1.entreprise.local printer1.entreprise.local (pour printer1.entreprise.local) 192.168.1.10) 192.168.1.15)
Rsolutions dans la zone 85.in.addr.arpa 25.8.92 29.123.65 www.abc.fr (pour www.abc.fr 85.92.8.25) 85.65.123.29)
10
20/11/2011
Gnralits
d. Enregistrement de type CNAME Canonical Name (alias ou surnom). Ce type denregistrement fait correspondre un nom un autre nom. Par exemple si vous crez un serveur web pour les usages internes de votre entreprise sur un serveur existant qui sappellerait production1.maboite.com , vous pouvez crer un CNAME intranet plus intuitif pour les utilisateurs. Rsolutions dans la zone maboite.com intranet production1 imprimante1 printer1 e. Enregistrement de type MX Mail Exchanger (indicateur de serveur de messagerie pour un domaine). Ce type denregistrement fait savoir des agents de transfert de messagerie quel est le serveur destinataire final dun courriel. Lexemple ci-dessous est titre dillustration et ne prsage pas du format dun enregistrement MX. Rsolution dans la zone domaine.fr @domaine.fr smtp.domaine.fr 82.25.120.6
11
Gnralits
f. Enregistrement de type SOA Star Of Authority (dbut dautorit). Indique le serveur ayant la responsabilit de la zone. Toute zone fonctionnelle a un enregistrement SOA. Rsolution dans la zone domaine.fr domaine.fr ns.hebergeur.net
g. Enregistrement de type NS Name Server (serveur de nom). Indique les serveurs de noms pour la zone. Toute zone fonctionnelle a au moins un enregistrement NS. Rsolution dans la zone domaine.fr domaine.fr ns.hebergeur.net
12
20/11/2011
Gnralits
4. DNS sur Linux a. Le serveur DNS Les services DNS sexcutant sur linux sont presque exclusivement bass sur le logiciel BIND (Berkeley Internet Name Domain). Comme son nom lindique, il a t conu dans luniversit de Berkeley en Californie. Les premiers dveloppements datent des annes 80 et son maintien est actuellement assur par lInternet System Consortium (ISC), une association but non lucratif qui gre un certain nombre de logiciels structurants de linternet et des rseaux locaux. Si des alternatives existent lusage de BIND pour la rsolution de noms sur Linux (maradns, djbdns par exemple). b. Le client DNS Les machines Linux disposent nativement dun client DNS appel resolver. Toute application fonctionnant sur Linux et ayant besoin de faire une requte DNS sappuiera sur ce composant. Il exploite le fichier de configuration simple /etc/resolv.conf. Format simplifi du fichier /etc/resolv.conf search domaine domain domaine nameserver A.B.C.D 13
Gnralits
Fichier /etc/resolv.conf : directives et variables utilises search Facultatif : indique le suffixe de recherche employ sur le poste Linux. Permet de ne pas taper lintgralit du FQDN dans les applications. Le fichier /etc/resolv.conf admet plusieurs domaines de recherches prciss par search Facultatif et obsolte : indique un suffixe de recherche unique employ sur le poste Linux. Le FQDN du domaine constituant le suffixe de recherche Indique ladresse IP du serveur DNS qui assurera les rsolutions. Le fichier /etc/resolv.conf admet plusieurs serveurs DNS prciss par nameserver.
14
20/11/2011
zone type
file
20/11/2011
17
18
20/11/2011
19
10
20/11/2011
Efface le cache du serveur. Efface le cache du serveur pour la zone spcifie. Affiche ltat du serveur
11
20/11/2011
nomzone ttl
IN
Fichier de zone directe : format type de len-tte Time To Live (dure de vie) : indique la dure de conservation en secondes des donnes en mmoire cache. Cette valeur est prcde par la directive $TTL FQDN de la zone gre par ce fichier. Souvent remplac par un arobase (@) pour allger le fichier. Attention, puisquil sagit dun FQDN, le nom de la zone doit se terminer par un point. Obsolte mais courant : classe Internet (aucune autre classe nest plus utilise). Start Of Authority. Enregistrement obligatoire pour indiquer que ce serveur est lgitime sur cette zone.
23
nomzone
IN SOA
serial
refresh retry
expire
negative
12
20/11/2011
b. Cration dun fichier de zone inverse Le fichier de zone inverse aura la mme structure quun fichier de zone directe. Comme indiqu plus haut, le nom normalis de la zone est form par les octets de la partie rseau de ladresse IP ordonnes en sens inverse, suivi de la chane de caractre .in-addr.arpa . Par exemple, la zone inverse pour le rseau 192.168.99.0 sera : 99.168.192.in-addr.arpa, et cest ce nom qui devra tre employ dans le fichier de zone et dans le fichier named.conf. Format type de fichier de zone inverse $ttl ttl nomzone IN SOA serveur mailadmin ( serial refresh retry expire negative ) NS serveur
25
nomzone
IN
SOA serveur NS
Constatez que cest rigoureusement la mme chose que pour la zone directe. Cest le format des enregistrements qui fait lessentiel de la diffrence. c. Cration denregistrement dans les fichiers de zone Une fois les fichiers de zone cres, il suffit dajouter autant denregistrement de ressource que lon souhaite, raison dun par ligne.
26
13
20/11/2011
28
14
20/11/2011
e. Prise en compte de la nouvelle configuration Il faut ensuite faire en sorte que le serveur DNS recharge ses fichiers de configuration afin de prendre en compte les nouveauts. Deux solutions pour cela : le redmarrage du service ou le chargement de la nouvelle zone par commande de pilotage rndc. Rechargement du service /etc/init.d/bind9 restart
29
30
15
20/11/2011
adresse_matre; };
};
Fichier named.conf : directives et syntaxe de la dclaration de zone nomzone type slave adresse_matre fichier Le FQDN de la zone gre par le serveur. Prcise quil sagit dune zone esclave synchroniser depuis un serveur matre. Adresse IP du serveur autoritaire. Chemin absolu du fichier dans lequel stocker les lments synchroniss. Le compte de service doit avoir les droits dcriture sur le rpertoire de travail.
b. Prise en compte de la nouvelle configuration Il faut ensuite faire en sorte que le serveur DNS recharge ses fichiers de configuration afin de prendre en compte les nouveauts. Deux solutions pour cela : le redmarrage du service ou le chargement de la nouvelle zone par commande de pilotage rndc.
31
32
16
20/11/2011
33
17