12.5. Propriétés avancées de BIND

La plupart des implémentations de BIND utilisent named pour fournir un service de résolution de noms ou pour faire autorité pour un domaine ou sous-domaine particuliers. Toutefois, la version 9 de BIND possède aussi un certain nombre de propriétés avancées qui, permettent d'offrir un service DNS plus efficace et plus sécurisé.

CautionAttention
 

Certaines de ces propriétés avancées, comme DNSSEC, TSIG et IXFR, ne doivent être utilisées que dans les environnements de réseau munis de serveurs de noms qui prennent en charge ces propriétés. Si votre environnement de réseau inclut des serveurs de noms autres que BIND ou des versions de BIND plus anciennes, vérifiez si une propriété avancée est bien prise en charge avant d'essayer de la mettre en oeuvre.

Toutes les propriétés évoquées ici sont décrites en détail dans le BIND 9 Administrator Reference Manual. Consultez la Section 12.7.1 Documentation installée pour de plus amples informations.

12.5.1. Améliorations du protocole DNS

BIND supporte les Transferts de zone incrémentaux (Incremental Zone Transfers ou IXFR), dans lesquels le serveur de noms esclave ne téléchargera que les portions mises à jour d'une zone modifiée sur un serveur de noms maître. Le processus de transfert standard nécessite que la zone entière soit transférée vers chaque serveur de noms esclave même pour des changements mineurs. Pour des domaines très populaires avec des fichiers de zones très longs et de nombreux serveurs de noms esclaves, IXFR rend la notification et les processus de mise à jour bien moins exigeants en ressources.

Notez que IXFR n'est disponible que si vous utilisez une mise à jour dynamique) pour opérer des changements sur les enregistrements de zone maître. to make changes to master zone records. Si vous éditez manuellement des fichiers de zone pour opérer des changements, c'est AXFR qui sera utilisé. Vous trouverez plus d'informations sur les mises à jour dynamiques dans le BIND 9 Administrator Reference Manual. Reportez-vous à Section 12.7.1 Documentation installée pour davantage d'informations.

12.5.2. Vues multiples

En fonction la déclaration view dans named.conf, BIND peut fournir différentes informations, selon l'identité du demandeur de requête.

Cette option est utilisée essentiellement pour contrôler l'accès à des services DNS ayant des fonctions critiques, en refusant l'accès aux clients externes au réseau local mais en permettant les requêtes des clients internes au réseau local.

La déclaration view utilise l'option match-clients pour faire correspondre les adresses IP ou des réseaux entiers et leur attribuer des options et des données de zones spéciales.

12.5.3. Sécurité

BIND supporte plusieurs méthodes différentes pour protéger la mise à jour et le transfert de zones, aussi bien sur les serveurs de noms maîtres qu'esclaves:

12.5.4. IP version 6

La version 9 de BIND peut fournir un service de noms dans des environnements IP version 6 (IPv6) grâce aux enregistrements de zone A6.

Si votre environnement de réseau inclut aussi bien des hôtes IPv4 que IPv6, utilisez le démon de résolution très léger lwresd sur tous vos clients de réseau. Ce démon est un serveur de noms très efficace, fonctionnant uniquement en cache, qui prend en charge les nouveaux enregistrements A6 et DNAME fonctionnant sous IPv6. Consultez la page de manuel relative à lwresd pour plus d'informations.