Académique Documents
Professionnel Documents
Culture Documents
Support de cours
Version 2020-11
Version 2020-11 1
T ABLE DES MATIERES
1 Contexte de mise en œuvre...................................................................................................................... 4
1.1 Les besoins : de l’utilisateur au service ............................................................................................. 4
1.2 Objet et objectifs du cours ................................................................................................................ 5
1.3 Maquette / Bac à sable...................................................................................................................... 5
1.4 Présentation de l'environnement de réalisation............................................................................... 5
1.5 Conventions typographiques............................................................................................................. 6
2 Configuration de l’adressage réseau ........................................................................................................ 7
2.1 Eléments de paramétrage ................................................................................................................. 7
2.2 Outils et méthodes de configuration du réseau................................................................................ 8
2.3 Configurer le réseau .......................................................................................................................... 9
2.4 Configuration du nom d’hôte .......................................................................................................... 12
2.5 Paramétrage client DNS................................................................................................................... 13
3 Routage et traduction ............................................................................................................................. 15
3.1 Concepts du routage ....................................................................................................................... 15
3.2 Les routes : point de configuration au cœur du routage ................................................................ 15
3.3 Gestion dynamique des routes........................................................................................................ 16
3.4 Gestion statique des routes............................................................................................................. 16
3.5 Activation / désactivation du paramètre de routage ...................................................................... 17
3.6 Concepts de la traduction d’adresse ............................................................................................... 18
3.7 Mise en œuvre de la traduction d’adresse...................................................................................... 19
4 Administration à distance ....................................................................................................................... 21
4.1 Les outils d’administration à distance ............................................................................................. 21
4.2 Sécurisation de la connexion SSH .................................................................................................... 22
4.3 Gestion des connexions multiples ................................................................................................... 25
5 Service DNS (Première partie) ................................................................................................................ 26
5.1 Fonctionnement du service DNS ..................................................................................................... 26
5.2 Caractéristiques du serveur DNS résolveur ..................................................................................... 28
5.3 Configuration du DNS résolveur ...................................................................................................... 29
6 Service DHCP ........................................................................................................................................... 32
6.1 Notions DHCP .................................................................................................................................. 32
6.2 Principales requêtes DHCP .............................................................................................................. 32
6.3 Choix du service DHCP ..................................................................................................................... 33
6.4 Configuration du serveur DHCP ....................................................................................................... 33
6.5 Démarrage du service : Service versus Binaire................................................................................ 34
Version 2020-11 2
6.6 Configuration du relais DHCP .......................................................................................................... 35
7 DNS (Deuxième Partie) ........................................................................................................................... 36
7.1 Caractéristiques du serveur DNS faisant autorité ........................................................................... 36
7.2 Configuration d’un service DNS faisant autorité ............................................................................. 38
7.3 Les fichiers de zone.......................................................................................................................... 39
8 Annexes................................................................................................................................................... 41
8.1 Paramètres vim pour Debian........................................................................................................... 41
8.2 Tolérance de panne avec DHCP ....................................................................................................... 42
8.3 Configuration du DHCP Failover ...................................................................................................... 43
8.4 DNS : Sous domaines et délégation................................................................................................. 46
8.5 DNS : Mises à jour DNS dynamiques ............................................................................................... 48
Version 2020-11 3
1 C ONTEXTE DE MISE EN ŒUVRE
Ce même utilisateur peut de plus en plus souvent accéder aux ressources de l’entreprise :
- Alors qu’il est confortablement installé dans son canapé une bière à la main
- Quand il est assis dans le train, alors qu’il se rend en clientèle
- Depuis le réseau informatique d’un client ou partenaire
- Depuis le réseau d’un espace de travail collaboratif
- Dans l’entreprise, depuis son bureau
Interface
Lieu
INTERNET
Derrière les périphériques d’accès, quel que soit le lieu d’où travaillent les utilisateurs, qu’ils soient
raccordés directement au réseau de l’entreprise ou qu’ils transitent par le réseau public mondial Internet,
ils accèdent in fine à des services.
Ces services peuvent être gérés par l’équipe informatique de l’entreprise, être souscrits auprès de
prestataires de solutions cloud ou accessibles publiquement. Ce sont eux sur lesquels travaillent les
utilisateurs, les services sont le cœur du système d’information de l’entreprise.
Ce sont ces services dont vous allez appréhender l’installation, la configuration et la gestion.
Version 2020-11 4
1.2 O BJET ET OBJECTIFS DU COURS
Ce cours a pour objectif d’appréhender la mise en œuvre d’un ensemble de services sur une distribution
GNU/Linux. Les services traités sont des services d’infrastructure réseau, leur mise en œuvre sera réalisée
sous Debian 10.
Implémentation
de
machines virtuelles services
La solution de virtualisation utilisée pour l’hébergement des machines virtuelles nécessaires aux mises en
œuvre est VMware Workstation.
Afin d’isoler les hôtes des différents réseaux logiques, vous utiliserez des réseaux de machines virtuelles
(VMnet) distincts.
Les serveurs et équipements réseau prenant part à l’infrastructure sont répartis sur 4 contextes réseau
distincts :
Version 2020-11 5
88.44.22.0 / 24
172.30.num_stag.0 / 24
DHCP DNS
Dans un contexte réel, des commutateurs distincts ou VLAN distincts seraient utilisés. Pour le maquettage,
nous utiliserons des réseaux de machines virtuelles (VMnet) distincts.
Version 2020-11 6
2 C ONFIGURATION DE L ’ ADRESSAGE RESEAU
Afin qu’une communication puisse se faire entre deux postes, des liens physiques et logiques doivent
exister.
Un réseau physique est matérialisé par l’ensemble des matériels mis en œuvre afin de permettre le
transfert de trames entre différents équipements.
• La configuration d’une adresse IP d’hôte et du masque associé (le système en déduit les adresses
de réseau et de diffusion)
• La configuration d’une passerelle par défaut
• La définition d’un nom d’hôte
• La configuration cliente DNS
Dans le cas des machines virtuelles déployées avec VMware Workstation, il se présente la forme ens[1-n].
Cette évolution est apparue avec Debian 9 et Red Hat / CentOS 7.
Sur des systèmes plus anciens le nommage des cartes réseau Ethernet est sous la forme eth[0-n].
La carte de boucle locale (loopback) est identifiée avec la forme spécifique lo.
Version 2020-11 7
2.2 O UTILS ET METHODES DE CONFIGURATION DU RESEAU
Les actions réalisées via Network Manager sont prises en compte immédiatement et durablement.
• Au moyen de lignes de commandes : via la commande nmcli (Command Line Interface) ; cette
méthode est particulièrement adaptée à l’application de modification via des scripts.
• Au moyen d’une interface textuelle de configuration : via la commande nmtui. Plus conviviale que
les commandes nmcli, c’est une méthode qui requiert l’interaction utilisateur.
• Au moyen d’un composant graphique interagissant avec Network Manager ; cela requiert la
présence d’un environnement graphique sur la machine cible. C’est la méthode privilégiée sur les
stations de travail sous GNU/Linux.
OBJECT := { link | addr | addrlabel | route | rule | neigh | ntable | tunnel | tuntap |
maddr | mroute | mrule | monitor | xfrm | netns | l2tp }
Pour utiliser cette commande, on indique le type d’objet à manipuler suivi de la commande [ + arguments ]
à lui appliquer.
Les commandes disponibles dépendent des objets concernés. Des sections d’aide propres aux différents
objets sont utiles pour lister les commandes disponibles pour le contexte concerné.
$ man ip
$ man ip-address
Version 2020-11 8
2.2.3 C ONFIGURATION DURABLE DANS LE FICHIER INTERFACES
Seules les cartes réseau non configurées via Network Manager sont à configurer dans le
fichier de configuration des interfaces présenté ci-dessous.
Sur un serveur ne disposant pas d'interface graphique, la configuration du réseau passera par la
modification du fichier /etc/network/interfaces.
Après toute modification de ce fichier, il est nécessaire de recharger / redémarrer le service networking
pour leur prise en compte.
lo: non-géré
"lo"
loopback (unknown), 00:00:00:00:00:00, sw, mtu 65536
DNS configuration:
servers: 10.0.0.1
domains: demo.eni
interface: ens33
Version 2020-11 9
Modification immédiate et durable de l’adresse IP :
# nmcli connection modify Wired\ connection\ 1 ipv4.addresses 192.168.66.6/24
Ajout d’adresse, suppression d’une adresse, suppression de toutes les adresses d’une interface :
# ip a add 10.11.12.13/24 dev ens33
# ip a flush ens33
Version 2020-11 10
2.3.1.3 CONFIGURATION DANS LE FICHIER INTERFACES
Exemple de configuration de l’adressage de deux cartes dans le fichier de configuration des interfaces :
/etc/network/interfaces
Version 2020-11 11
2.3.2.3 CONFIGURATION DANS LE FICHIER INTERFACES
La directive gateway permet de définir la passerelle par défaut dans le fichier /etc/network/interfaces.
Celui-ci est configuré dans le fichier /etc/hostname, qui ne doit contenir que le nom de la machine :
srv-lan.demo.eni
Attention, le nom d’hôte doit être résolu localement ; en cas de changement il faut également modifier le
fichier de correspondances local /etc/hosts.
127.0.0.1 localhost
127.0.1.1 srv-lan.demo.eni srv-lan
Version 2020-11 12
2.5 P ARAMETRAGE CLIENT DNS
Pour que les postes soient en mesure de résoudre des noms d’hôtes en adresses IP, le service DNS est
généralement utilisé. Le ou les adresses IP des serveurs interrogés doivent être renseignées dans les
paramétrages réseau du poste.
Dans l’exemple présenté ci-dessus, les mécanismes suivants sont utilisés successivement :
Dans le cas où un environnement graphique a été installé, le paquet avahi-daemon est également fourni. Il
fournit des méthodes pour faciliter la résolution locale et un cache DNS.
Version 2020-11 13
2.5.2.2 CONFIGURATION DANS LE FICHIER RESOLV.CONF
En l’absence du Network-Manager, on configure directement les paramètres DNS dans le fichier
/etc/resolv.conf
Dans le cas d’une interface réseau configurée en DHCP, les paramètres sont renseignés automatiquement à
partir des informations fournies par le serveur DHCP.
Version 2020-11 14
3 R OUTAGE ET TRADUCTION
172. 16 . 6 .6
255.255.255.0 172.16.2.9
A C
B
Lorsqu’un hôte (A) cherche à communiquer avec un autre hôte (C) :
• L’hôte (A), au moyen de son adresse IP d’hôte et de son masque de réseau, détermine si l’hôte
distant (C) est sur le même réseau logique que lui.
• Dans le cas contraire, il recherche dans sa propre table de routage si une route permet de joindre le
réseau de destination ; il en extrait l’adresse de passerelle (B).
• L’hôte (A) transmet ensuite le paquet à la passerelle (B) précédemment identifiée.
Les équipements terminaux : stations de travail, serveurs, […] sont alors configurés en client du ou des
seul(s) routeur(s) de leur réseau logique d’appartenance.
Version 2020-11 15
Les routes d’hôtes sont généralement peu utilisées, les routes de réseau sont configurées sur des routeurs
d’entreprises. Les routes par défaut sont utilisées sur les équipements terminaux et les routeurs.
Version 2020-11 16
3.5 A CTIVATION / DESACTIVATION DU PARAMETRE DE ROUTAGE
Le noyau Linux a la capacité de router les paquets qui lui sont remis mais non destinés.
Pour modifier durablement l’état d’activation du routage, il faut modifier le fichier de configuration
/etc/sysctl.conf et décommenter la directive existante net.ipv4.ip_forward=1
# vi /etc/sysctl.conf
net.ipv4.ip_forward=1
Pour forcer la prise en compte immédiate des modifications apportées à ce fichier :
# sysctl -p
Version 2020-11 17
3.6 C ONCEPTS DE LA TRADUCTION D ’ ADRESSE
Le routage permet la communication entre des hôtes de différents réseaux logiques. Cela n’est possible
que si les adresses de réseau sont présentes dans les tables de routages.
Le routage seul n’est pas suffisant et doit être complété par la mise en œuvre de traduction d’adresse.
Réseaux routés
*
Adressage source
*
S NAT
*
* Réseau non routé
La traduction d’adresse (NAT), généralement associée à la traduction de ports (NAPT) peut être utile afin
de :
• Remplacer l’adressage source des paquets IP => NAT de source
• Remplacer l’adressage de destination des paquets IP => NAT de destination
Version 2020-11 18
Sous GNU/Linux, sa mise en œuvre peut être réalisée au moyen de la commande iptables.
• Port Forward : redirection de port (et d’adresse), principalement destiné à la gestion des paquets
entrants sur l’interface WAN mais également paramétrable pour les autres interfaces
• 1:1 : one-to-one NAT, pour lier une adresse interne (ou un sous-réseau) spécifique à une adresse
externe (ou un sous-réseau) spécifique
• Outbound : traduction d’adresse sur le trafic sortant des cartes, généralement configuré sur
l’interface WAN pour permettre l’accès au réseau public depuis un adressage privé
• NPt : Network Prefix Translation, équivalent au 1:1 IPv4 mais destiné aux adresses IPv6, permet le
mappage d’un préfixe IPv6 vers un autre
Pour paramétrer le NAT de source, les règles à configurer sont dans la section Outbound
Pour paramétrer le NAT de destination, les règles à configurer sont dans la section Port Forward
Cela permet donc à tous les hôtes des réseaux privés derrière le routeur/pare-feu d’atteindre les
ressources dans les réseaux publics.
Version 2020-11 19
Paramétrage par défaut du mode Outbound :
Le mode automatique (Automatic outbound NAT rule generation) est préconfiguré après l’installation du
système pfSense. Dans ce mode, les règles ne sont pas configurables mais cela convient aux besoins de
base.
Pour pouvoir éditer et/ou ajouter des règles Outbound, il faut activer le mode hybride ou manuel.
Il est également possible de désactiver le NAT sortant avec le mode Disable outbound NAT rule generation.
Vous trouverez des informations détaillées sur les paramétrages NAT dans la documentation officielle :
https://docs.netgate.com/pfsense/en/latest/nat/outbound-nat.html
Version 2020-11 20
4 A DMINISTRATION A DISTANCE
Pour la prise en main distante, les cibles suivantes doivent être définies:
• Protocole utilisé
• Logiciel client utilisé
• Logiciel / service utilisé sur le serveur
Le protocole généralement utilisé pour l’établissement de connexions sécurisées via le réseau est le
protocole Secure SHell (SSH). Il est normalisé et sécurisé, les échanges d’informations circulant sur le
réseau étant chiffrés.
Le logiciel client est l’application qui se connecte au serveur SSH. Le logiciel client est à exécuter depuis le
poste sur lequel se trouve l’utilisateur qui souhaite prendre la main sur la machine distante. Les
applications présentées ci-dessous sont couramment utilisées à ces fins.
Pour répondre aux requêtes de connexion du client, un service doit être implémenté sur la machine sur
laquelle l’on souhaite travailler à distance un serveur SSH. C’est généralement OpenSSH-Server qui est
utilisé.
Version 2020-11 21
4.1.2 P ROTOCOLE SSH ET TRANSFERT DE FICHIERS SECURISE
Le protocole SSH peut aussi être utilisé pour sécuriser le transfert de fichiers entre différentes machines.
SSH + CP = SCP
Les outils nécessaires à la copie de fichier via SCP peuvent soit être intégrés au logiciel client SSH soit
nécessiter l’installation d’un logiciel supplémentaire.
OpenSSH-Client WinSCP
Il en existe plusieurs types de clés : RSA, DSA, ECDSA … Dans la cadre du support, nous utiliserons les
paramétrages par défaut avec un échange de clé RSA.
Version 2020-11 22
4.2.1 G ENERATION DES CLES COTE CLIENT
Une paire de clé doit être générée côté client pour l’utilisateur devant se connecter en SSH. On utilise pour
cela la commande ssh-keygen fournie avec le paquet OpenSSH-Client.
Pour simplifier la mise en œuvre, on utilise ici les paramètres par défaut, sans indiquer de passphrase.
Le type, le nom et la taille de la clé peuvent être précisés avec les options de ssh-keygen.
Dans un premier temps, la clé publique sera copiée dans l’espace personnel d’un utilisateur standard. Une
fois récupérée sur le serveur distant, elle pourra être associée au compte root.
Par défaut la configuration du démon sshd sur le serveur SSH empêche la connexion de root avec un mot de
passe mais permet la connexion avec les clés RSA.
Version 2020-11 23
Copie de la clé publique vers le serveur SSH :
fred@cli-debian:~$ ssh-copy-id admin@192.168.6.66
/usr/bin/ssh-copy-id: INFO: Source of key(s) to be installed: "/home/admin/.ssh/id_rsa.pub"
/usr/bin/ssh-copy-id: INFO: attempting to log in with the new key(s), to filter out any that are
already installed
/usr/bin/ssh-copy-id: INFO: 1 key(s) remain to be installed -- if you are prompted now it is to
install the new keys
fred@192.168.6.66's password:
Comme indiqué, il est maintenant possible de se connecter sans authentification sur le serveur SSH avec la
commande :
fred@cli-debian:~$ ssh admin@192.168.6.66
Il est alors possible de se connecter sans authentification avec le compte root sur le serveur SSH avec la
commande :
fred@cli-debian:~$ ssh root@192.168.6.66
La procédure a été simplifiée et n’est adaptée qu’à un contexte avec un nombre limité de
serveurs et de clients. Dans une infrastructure plus complexe, il faudra gérer un ensemble
de clés et manipuler avec précaution le fichier authorized_keys.
Pour plus de détails, consulter : https://www.ssh.com/ssh/
Version 2020-11 24
4.3 G ESTION DES CONNEXIONS MULTIPLES
Selon l’environnement utilisé pour administrer les serveurs GNU/Linux à distance, plusieurs outils
graphiques sont disponibles pour bénéficier d’un contexte de travail plus efficace et performant.
Application Caractéristiques
Putty
Outil de base pour se connecter aux serveurs distants.
Supporte les connexions SSH, Telnet, Serial. Permet la sauvegarde des paramètres et
informations de connexion. Intègre la gestion des clés d’authentification (format PPK)
Sous forme d’un fichier exécutable compact (moins d’1 Mo)
Logiciel Open Source sous licence MIT
Site web : https://www.chiark.greenend.org.uk/~sgtatham/putty
mRemoteNG
Outil multifenêtres sous forme d’onglets et multiprotocoles.
Supporte les connexions SSH, RDP, VNC, HTTP, …
Permet la sauvegarde des paramètres et une gestion avancée des informations de
connexion. Compatible avec les paramétrages Putty. Existe au format portable.
Logiciel libre sous licence GNU GPL v2, nécessite le .NET Framework
Sites web : https://mremoteng.org/ - https://mremoteng.readthedocs.io/
MobaXTerm
Outil multifenêtres et multiprotocoles avec une interface graphique évoluée.
Supporte les connexions bureau et terminal à distance (RDP, VNC, XDMCP, SSH, Telnet,
FTP, …). Prend en charge les tunnels SSH. Fournit une gestion avancée des connexions
et des outils complémentaires : SFTP, macros, environnement CLI de base (Cygwin), …
Existe au format portable.
Logiciel non libre, version Home gratuite limitée (12 sessions, 2 tunnels SSH)
Site web : https://mobaxterm.mobatek.net/
Toute distribution GNU/Linux incorpore un terminal permettant de gérer plusieurs connexions SSH
simultanées sous forme d’onglets. L’outil Terminator disponible sur les dépôts de la plupart des
distributions peut être installé pour disposer de plus de fonctionnalités :
Version 2020-11 25
5 S ERVICE DNS (P REMIERE PARTIE )
Utilité
Bien qu’il ne se résume pas uniquement à cela, son rôle premier est de donner des correspondances entre
des noms d’hôtes pleinement qualifiés (Fully Qualified Domain Name ou FQDN) et la ou les adresse·s IP
associée·s.
Version 2020-11 26
La séparation entre les différents niveaux d’arborescence est représentée par le caractère « point ».
La résolution de noms est utilisée sur le réseau public Internet pour référencer des ressources de ce réseau.
Un ensemble de domaines publics de premier niveau sont administrés par l’IANA (Internet Assigned
Numbers Authority) et des entités sont chargées de leur gestion.
Le protocole DNS peut aussi être utilisé pour la résolution de domaines sans suffixes publics, non
résolvables par les serveurs DNS Internet mais pouvant être résolus en interne.
Lors du choix de création d’un nom de domaine pour y référencer des hôtes, on détermine si ce nom ne
pourra être résolu qu’en interne (suffixe non public) ou si celui-ci doit pouvoir être résolu globalement
(enregistrement d’un nom de domaine public auprès d’un bureau d’enregistrement).
domaine utilité
masuperentreprise.bzh Nom de domaine utilisé pour référencer les services de mon entreprise
accessibles depuis l’Internet
enigmes.corp Nom de domaine propre à mon entreprise dans lequel sont référencées les
ressources hébergées et accessibles uniquement localement dans l’entreprise
Lors du déploiement d’un service DNS, celui-ci peut être configuré pour :
- Résoudre les requêtes clientes relatives à tout domaine / résolveur DSN complet
- Être source d’information pour un ou plusieurs domaines ciblés / serveur faisant autorité
Version 2020-11 27
5.2 C ARACTERISTIQUES DU SERVEUR DNS RESOLVEUR
Un serveur DNS résolveur complet fait appel aux services d’autres serveurs DNS pour résoudre les requêtes
qui lui sont adressées.
Par défaut il connait les noms et adresses IP des serveurs racines, il leur adresse des requêtes itératives
afin de résoudre les noms qu’il doit résoudre. Au moyen de requêtes itératives, il contacte ensuite
successivement un ensemble de serveurs faisant autorité pour remonter au serveur de l’espace de noms
donné.
Il est possible de configurer des serveurs redirecteurs afin de limiter les échanges nécessaires à la
résolution de noms. Lorsqu’un redirecteur inconditionnel est configuré, le serveur lui adresse des requêtes
récursives afin de résoudre les noms demandés par ses clients.
La configuration d’un redirecteur conditionnel permet d’indiquer pour un espace de nom donné (la
condition) le serveur à qui adresser la requête récursive de résolution.
Le serveur conserve en mémoire cache les réponses aux requêtes de résolution qu’il a transmises à ses
clients. La durée de conservation en cache est définie par les serveurs faisant autorité, elle est subie par les
serveurs DNS résolveurs.
Version 2020-11 28
5.3 C ONFIGURATION DU DNS RESOLVEUR
Commandes named-checkconf
named-checkzone
rndc
/etc/bind/named.conf
[...]
include /etc/bind/named.conf.options ;
options {
directory "/vcb"/ ;
Configuration des options
[…]
[…]
Version 2020-11 29
5.3.2 F ICHIERS DE CONFIGURATION D ’ UN SERVICE DNS RESOLVEUR
Fichier /etc/bind/named.conf
// rsxclts = réseaux des postes clients de l’entreprise
acl rsxclts { 127.0.0.0/8; 192.168.53.0/24; 192.168.1.0/24; };
include /etc/bind/named.conf.options ;
include /etc/bind/named.conf.local;
include /etc/bind/named.conf.default-zones ;
Fichier /etc/bind/named.conf.options
options {
// Répertoire de travail de Bind9
directory "/var/cache/bind";
Version 2020-11 30
zone "255.in-addr.arpa" {
type master;
file "/etc/bind/db.255";
};
Les fichiers de zone ciblés dans l’exemple de configuration ci-dessus sont présents par défaut suite à
l’installation du service Bind9.
zone macharmantevoisine.eni {
type forward;
forward only;
forwarders { 10.0.0.53; };
};
https://ftp.isc.org/isc/bind9/cur/9.11/doc/arm/Bv9ARM.ch06.html
Version 2020-11 31
6 S ERVICE DHCP
IPv4 IPv6 *
1 1
------------------> ------------------>
Discover Solicit
2 2
<------------------ <------------------
Offer Advertise
3 3
------------------> ------------------>
Request Request
4 4
<------------------ <------------------
Ack Reply
* L’illustration ci-dessus correspond à la situation dans laquelle le poste client IPv6 cherche à obtenir un bail
contenant une adresse IP. Sous IPv6 il est possible de ne demander que des informations de configuration
complémentaires à l’adressage ; dans ce cas seul les requêtes Information-Request (du client au
serveur) et Reply (du serveur au client) sont utilisées.
Version 2020-11 32
6.3 C HOIX DU SERVICE DHCP
Sous GNU/Linux, plusieurs services DHCP peuvent être implémentés. Parmi les différentes possibilités, nous
retenons les services créés et soutenus par l’ISC (Internet Systems Consortium), gage de qualité et de
respect des RFC.
+ Produit en devenir
/etc/dhcp/dhcpd.conf
Y configurer à minima la ou les interfaces sur lesquelles le service doit être à l’écoute.
# vi /etc/default/isc-dhcp-server
INTERFACESv4="ens35"
INTERFACESv6=""
Version 2020-11 33
Configuration du service
# vi /etc/dhcp/dhcpd.conf
ddns-update-style none;
authoritative;
log-facility local7;
host wifi-hp-04 {
hardware ethernet 08:00:07:26:c0:a5;
fixed-address 172.20.0.2;
}
A des fins de dépannage ou d’analyse, il peut être utile pour les services serveur DHCP et relais DHCP d’être
appelé directement via leur fichier binaire. Cela permet notamment de spécifier des options de lancement
(comme l’option de debug pour le service isc-dhcp-server).
Version 2020-11 34
Dans ce cas, veiller au préalable à bien s’assurer que le service est en état arrêté pour
SystemD, ou l’arrêter au besoin.
Exemple de configuration :
# vi /etc/default/isc-dhcp-relay
# On what interfaces should the DHCP relay (dhrelay) serve DHCP requests?
INTERFACES="ens33 ens35"
Version 2020-11 35
7 DNS (D EUXIEME P ARTIE )
Une zone rassemble un ensemble d’éléments ayant une caractéristique commune. Cette caractéristique
peut être une partie du nom de domaine ou un réseau IP d’appartenance.
Une zone directe référence des équipements appartenant à un même nom de domaine.
Version 2020-11 36
Une zone inverse référence des équipements appartenant à un même réseau logique.
7.1.3 L ES ENREGISTREMENTS
Les informations ou données d’une zone sont stockées sous forme d’enregistrements.
Type Utilité
Contient les caractéristiques de la zone, identifie par un FQDN résolvable le serveur qui peut y
SOA
écrire.
Identifie par un FQDN résolvable le·s serveur·s qui dispose·nt d’un exemplaire de la zone et
NS
fait / font autorité pour celle-ci.
Version 2020-11 37
7.1.4 S ERVEUR PRIMAIRE OU SECONDAIRE
Un serveur faisant autorité pour une zone peut être source d’information et de modification de celle-ci. Il
peut dans ce cas écrire dans la zone pour y ajouter des enregistrements, en modifier ou en supprimer.
Généralement un seul serveur dispose de ces privilèges sur une zone, c’est le serveur primaire de celle-ci.
Le serveur primaire d’une zone peut aussi être appelé serveur maitre de celle-ci.
Alternativement, un serveur faisant autorité pour une zone peut ne disposer que d’une copie de celle-ci. Il
a récupéré cette zone et récupère ses mises à jour auprès d’un serveur primaire de celle-ci, il ne peut pas y
apporter de modifications. Ce serveur est un serveur secondaire de la zone aussi dénommé serveur
esclave de cette zone.
Configuration Données
/etc/bind/named.conf.local
zone eni.demo {
file "db.eni.demo"; }; /var/cache/bind/db.eni.demo
$TTL 86400
@ IN SOA dns1.eni.demo.
contact.eni.demo. (
20191002 ; serial
[...]
Les fichiers de configuration sont présentés dans ce chapitre. Les fichiers de zone sont présentés dans le
chapitre suivant.
Version 2020-11 38
Exemple de fichier de configuration d’une zone inverse :
# vi /etc/bind/named.conf.local
Les fichiers de configuration de zone précédemment présentés requièrent que les fichiers
de zone correspondants : db.eni.demo et db.192.168.42.inv existent et qu’ils contiennent
toutes les informations concernant ces zones.
Des exemples de fichiers de zone sont présentés dans le prochain chapitre.
# vi /etc/bind/named.conf.local
Version 2020-11 39
dns1 A 44.0.5.3 Autres enregistrements de la
dns1 AAAA 2001:0db8::ec01:e zone
dns2 AAAA 2001:0db8::ec01:e53
www A 44.0.0.80
rdsgw A 35.12.13.15
smtp A 44.0.0.25
ww CNAME www.eni-ecole.bzh.
wwww CNAME www.eni-ecole.bzh.
@ MX 10 smtp.eni-ecole.bzh.
@ MX 20 mx0.mail.ovh.net.
Version 2020-11 40
8 A NNEXES
Enfin, dans la version de Debian 9, si on crée son propre fichier .vimrc dans son répertoire personnel, alors
tous les paramètres généraux présents dans /etc/vim/vimrc ne sont plus pris en charge.
Pour retrouver un comportement normal, il faut créer un fichier /etc/vim/vimrc.local avec les paramètres
suivants :
source /usr/share/vim/vim81/defaults.vim
let skip_defaults_vim = 1
if has('mouse')
set mouse=r
endif
set paste
Version 2020-11 41
8.2 T OLERANCE DE PANNE AVEC DHCP
Pour accroitre la tolérance de pannes du service, il est possible d’ajouter d’autres instances du service
(autres serveurs DHCP). Il faut alors répartir la plage d’adresses entre les différentes instances du service.
Quand on dispose d’un serveur DHCP principal et d’un second (de secours), le serveur principal dispose du
plus grand nombre d’adresses à allouer. Le serveur « de secours » ne peut distribuer qu’un nombre limité
d’adresses, afin d’opérer la continuité du service en attendant le rétablissement du serveur principal.
450 adresses 50
C’est généralement la règle des « 80/20 » que l’on applique afin de répartir entre les deux serveurs le
pourcentage d’adresses à distribuer.
Pour privilégier le service du serveur « principal », il est possible de retarder la délivrance de baux sur le
serveur « de secours » en utilisant la directive de configuration min-secs.
Version 2020-11 42
8.3 C ONFIGURATION DU DHCP F AILOVER
• Plusieurs serveurs = tolérance de pannes, si un serveur n’est plus fonctionnel, le service est
toujours disponible
• Baux d’une même plage = cela évite de perdre une plage d’adresse quand le serveur disposant de
cette plage cesse de fonctionner
Version 2020-11 43
8.3.2 C ONFIGURATION
Sont présentées ci-dessous les configurations des services DHCP principal et secondaire :
Version 2020-11 44
Sécurisation des échanges
omapi-port 7911;
key omapi_cle {
algorithm hmac-md5;
secret FFD3yBBsq8F+FW1EhvEAUg==;
}
omapi-key omapi_cle;
La valeur renseignée pour la directive secret pourra être générée avec la commande dnssec-keygen.
Version 2020-11 45
8.4 DNS : S OUS DOMAINES ET DELEGATION
Cela ne nécessite aucune modification dans la configuration du service utilisé, la différenciation se fait
uniquement dans les données du fichier de zone.
$ORIGIN eni-ecole.bzh.
$TTL 86400
@ SOA dns1.eni-ecole.bzh. hostmaster.eni-ecole.bzh. ( Enregistrements SOA et NS
2019100253 ; serial relatifs à la zone parente
86400 ; refresh 1 day
7200 ; retry 2 hours
3600000 ; expire
3600 ) ; negative TTL
;
@ NS dns1.eni-ecole.bzh.
@ NS dns2.eni-ecole.bzh.
dns1 A 44.0.5.3 Enregistrement relatifs au
dns1 AAAA 2001:0db8::ec01:e domaine parent eni-ecole.bzh
dns2 AAAA 2001:0db8::ec01:e53
www A 44.0.0.80
rdsgw A 35.12.13.15
smtp A 44.0.0.25
ww CNAME www.eni-ecole.bzh.
wwww CNAME www.eni-ecole.bzh.
www.cdb A 35.12.13.16 Enregistrements pour les sous-
rds.cdb A 35.12.13.17 domaines cdb et nrt
www.nrt A 79.21.22.23
rds.nrt A 79.21.22.24
Version 2020-11 46
8.4.2 D ELEGATION , CONCEPT ET MISE EN ŒUVRE
Exemple de fichier de zone du domaine prism.lcl contenant une délégation pour l’espace de noms
enfant fiveeye.prism.lcl :
$ORIGIN prism.lcl.
$TTL 86400
@ SOA nsa.prism.lcl. esnowden.prism.lcl. (
2019100301 86400 7200 3600000 3600 )
;
@ NS nsa.prism.lcl.
nsa A 10.0.255.53
file01 A 10.0.0.1
; Délégation vers le serveur NS du domaine enfant
fiveeye.prism.lcl. NS nsb.prism.lcl.
; Enregistrement d’hôte du NS déclaré pour le sous-domaine (glue record)
nsb A 10.2.0.53
La configuration précédente est suffisante si le serveur DNS est uniquement hébergeur pour la zone
considérée. Par contre, si ce serveur joue aussi le rôle de serveur résolveur, il faut en complément adapter
la configuration de la zone parente.
Configuration complémentaire apportée à la configuration de Bind9 :
zone "prism.lcl" {
type master;
file "db.prism.lcl";
forwarders {};
};
La directive forwarders {}; est utilisée pour désactiver - uniquement pour la zone prism.lcl - les paramètres
globaux forwarders configurés dans le fichier /etc/bind/named.conf.options. Cela permet l’interrogation du
serveur NS nsb.prism.lcl désigné dans le fichier de zone.
Version 2020-11 47
8.5 DNS : M ISES A JOUR DNS DYNAMIQUES
Par défaut sur Bind9, seule la configuration statique des enregistrements DNS est possible dans les fichiers
de zone. La mise à jour dynamique des zones – c’est-à-dire la mise à jour des enregistrements par les
clients eux-mêmes – n’est pas autorisée.
On peut permettre la mise à jour dynamique pour un ensemble de postes clients ou pour seulement des
serveurs dédiés (serveurs DHCP) qui pourront agir pour le compte des clients.
PC-CLI01 PC-CLI02
DHCP DNS
DNS UPDATE
MESSAGE
Subnet Dynamic
10.11.12.0/24
Zone
infra.eni
DNS
Update V
10.11.12.13 PC-CLI01 PC-CLI01 A 10.11.12.13
10.11.12.13 PC-CLI02 PC-CLI01 A 10.11.12.13
L’activation des mises à jour dynamiques pour le domaine ciblé modifie fortement le comportement du
service Bind9 pour le fichier de zone concerné :
• Bind9 s’approprie totalement le fichier de zone, les modifications manuelles directement dans le
fichier ne sont plus possibles sans précautions
• Le numéro de série de la zone est incrémenté automatiquement lors des modifications
• Un fichier nom_du_fichier_de_zone.jnl est créé au même emplacement que le fichier de zone, il
sert à journaliser les demandes de mise à jour dynamique avant la fusion dans le fichier de zone
Version 2020-11 48
Exemple d’activation de la mise à jour dynamique DNS pour une zone directe :
# vi /etc/bind/named.conf.local
La mise à jour dynamique par les clients n’a lieu que si le suffixe DNS du domaine ciblé est
correctement configuré sur les postes clients.
Pour les postes Windows, il s’agit du paramètre Suffixe DNS Principal dans les propriétés
du nom de la machine. Pour les postes GNU/Linux, c’est la valeur hostname qui devra être
configurée.
Modification manuelle d’un fichier de zone avec les mises à jour dynamiques
Pour effectuer une mise à jour « manuelle » d’une zone dynamique, il est conseillé d’utiliser le client
nsupdate, fourni avec le paquet dsnutils :
# nsupdate
> update delete cli01.demo.eni A
> update add srv01.demo.eni 86400 A 192.168.42.1
> show
> send
> quit
Il est également possible de « geler » la zone afin d’effectuer une modification du fichier de zone. On utilise
pour cela l’outil rndc fourni avec l’installation du service Bind9.
Version 2020-11 49
8.5.2 MISES A JOUR DYNAMIQUES PAR LE SERVEUR DHCP
Dans un contexte GNU/Linux, il est préférable de cibler les machines autorisées à effectuer les mises à jour
dynamiques. Plutôt que laisser tous les clients DNS le faire, on peut configurer le ou les serveurs DHCP
comme uniques partenaires pour les mises à jour dynamiques.
Il est également nécessaire de déclarer, dans la configuration DHCP, les zones DNS à mettre à jour et le
serveur associé avec des directives du type :
zone demo.eni { Déclaration de la zone directe
primary 10.5.3.10;} avec le serveur principal sur cette zone
Version 2020-11 50