Red Hat Linux 9: Guide de référence de Red Hat Linux | ||
---|---|---|
Prev | Chapter 12. Berkeley Internet Name Domain (BIND) | Next |
BIND contient un utilitaire appelé rndc qui permet d'utiliser des lignes de commande pour administrer le démon named à partir de l'hôte local ou d'un hôte distant.
Afin d'empêcher l'accès non-autorisé au démon named, BIND utilise une méthode de clé secrète partagée pour accorder des privilèges aux hôtes. Dans une telle situation, une clé identique doit être présente aussi bien dans /etc/named.conf que dans le fichier de configuration de rndc, à savoir /etc/rndc.conf
Pour que rndc puisse se connecter à un service named, une déclaration controls doit être présente dans le fichier /etc/named.conf du serveur BIND.
La déclaration controls montrée dans l'exemple qui suit, permet à rndc de se connecter à partir d'un hôte local.
controls { inet 127.0.0.1 allow { localhost; } keys { <nom-clé>; }; }; |
Cette déclaration indique à named de se mettre à l'écoute du port TCP 953 par défaut de l'adresse inversée et d'autoriser les commandes rndc provenant de l'hôte local, si la clé adéquate est présentée. Le <nom-clé> fait référence à la déclaration key, qui se trouve aussi dans le fichier /etc/named.conf. L'exemple suivant illustre une déclaration key.
key "<nom-clé>" { algorithm hmac-md5; secret "<valeur-clé>"; }; |
Dans ce cas, la <valeur-clé> est une clé HMAC-MD5. Afin de créer des clés HMAC-MD5, utilisez la commande suivante:
dnssec-keygen -a hmac-md5 -b <longueur-bits> -n HOST <nom-fichier-clé> |
Une clé d'au moins 256 bits de long est un bon choix. La bonne clé qui doit être placée dans la zone <valeur-clé> se trouve dans <nom-fichier-clé>.
![]() | Attention | |
---|---|---|
Parce que /etc/named.conf ne requiert aucun privilège pour être lu, il est recommandé de placer la déclaration key dans un fichier séparé que seul le super-utilisateur (ou root) peut lire et d'utiliser ensuite une déclaration include afin de le référencer, comme le montre l'exemple suivant:
|
La déclaration key représente la déclaration la plus importante contenue dans /etc/rndc.conf.
key "<nom-clé>" { algorithm hmac-md5; secret "<valeur-clé>"; }; |
Les éléments <nom-clé> et <valeur-clé> doivent être absolument identiques à leurs paramètres contenus dans /etc/named.conf.
Pour faire correspondre les clés spécifiés dans le fichier /etc/named.conf du serveur cible, ajoutez les lignes suivantes au fichier /etc/rndc.conf.
options { default-server localhost; default-key "<nom-clé>"; }; |
Cette commande détermine une clé globale par défaut. Toutefois, la commande rndc peut également utiliser différentes clés pour différents serveurs, comme le montre l'exemple suivant:
server localhost { key "<nom-clé>"; }; |
![]() | Attention |
---|---|
Assurez-vous que seul le super-utilisateur (ou root) ne puisse effectuer des opérations de lecture ou écriture dans le fichier /etc/rndc.conf. |
Une commande rndc se présente sous le format suivant:
rndc <options> <commande> <options-commande> |
Lors de l'exécution de rndc sur un hôte local configuré de façon appropriée, les commandes suivantes sont disponibles:
halt — arrête immédiatement le service named.
querylog — Déclenche la journalisation (ou logging) de toutes les requêtes effectuées par des clients vers le présent serveur de noms.
refresh — rafraîchit la base de données du serveur de noms.
reload — recharge les fichiers de zone mais conserve toutes les réponses précédemment placées en cache. Cette command permet également d'opérer des changements sur les fichiers de zone sans perdre toutes les résolutions de nom stockées.
Si vos changements n'affectent qu'une zone particulière, rechargez seulement une zone en ajoutant le nom de la zone après la commande reload.
stats — évacue les statistiques courante de named vers le fichier /var/named/named.stats.
stop — arrête le serveur de manière nette, en enregistrant préalablement toute mise à jour dynamique et donnée Incremental Zone Transfers (IXFR).
Dans certaines situations, il sera peut-être nécessaire de passer outre les paramètres par défaut contenue dans le fichier /etc/rndc.conf. Les options suivantes sont disponibles:
-c <fichier-configuration> — donne à rndc l'instruction d'utiliser un autre fichier de configuration que le fichier par défaut /etc/rndc.conf.
-p <numéro-port> — spécifie le numéro de port à utiliser pour la connexion de rndc, autre que le port par défaut 953.
-s <serveur> — donne à rndc l'instruction d'envoyer la commande vers un autre serveur que celui de l'option default-server spécifié dans le fichier de configuration.
-y <nom-clé> — spécifie une clé autre que l'option default-key dans le fichier /etc/rndc.conf.
Des informations supplémentaires sur ces options sont disponibles dans la page de manuel rndc.