Red Hat Enterprise Linux 3: Guide de référence | ||
---|---|---|
Précédent | Chapitre 12. Berkeley Internet Name Domain (BIND) | Suivant |
La plupart des implémentations de BIND utilisent named pour fournir un service de résolution de noms ou pour faire autorité pour un domaine ou sous-domaine particuliers. Toutefois, la version 9 de BIND possède aussi un certain nombre de propriétés avancées qui, permettent d'offrir un service DNS plus efficace et plus sécurisé.
![]() | Attention |
---|---|
Certaines de ces propriétés avancées, comme DNSSEC, TSIG et IXFR, ne doivent être utilisées que dans les environnements de réseau munis de serveurs de noms qui prennent en charge ces propriétés. Si votre environnement de réseau inclut des serveurs de noms autres que BIND ou des versions de BIND plus anciennes, vérifiez que chaque propriété avancée soit bien prise en charge avant d'essayer de l'utiliser. |
Toutes les propriétés évoquées ici sont décrites en détails dans le document intitulé BIND 9 Administrator Reference Manual dans la Section 12.7.1.
BIND supporte les Transferts de zone incrémentaux ('Incremental Zone Transfers' ou IXFR), dans lesquels le serveur de noms esclave ne téléchargera que les portions mises à jour d'une zone modifiée sur un serveur de noms maître. Le processus de transfert standard nécessite que la zone entière soit transférée vers chaque serveur de noms esclave même pour des changements mineurs. Pour des domaines très populaires avec des fichiers de zones très longs et de nombreux serveurs de noms esclaves, IXFR rend la notification et les processus de mise à jour bien moins exigeants en ressources.
Notez que IXFR n'est disponible que si vous utilisez une mise à jour dynamique pour opérer des changements sur les enregistrements de zone maître. Si vous éditez manuellement des fichiers de zone pour opérer des changements, AXFR est utilisé. Vous trouverez plus d'informations sur les mises à jour dynamiques dans le document intitulé BIND 9 Administrator Reference Manual. Reportez-vous à la Section 12.7.1 pour davantage d'informations.
En fonction de l'utilisation de la déclaration view dans named.conf, BIND peut fournir différentes informations, selon l'identité du demandeur de requête.
Cette option est utilisée essentiellement pour contrôler l'accès à des services DNS ayant des fonctions critiques, en refusant l'accès aux clients externes au réseau local mais en permettant les requêtes des clients internes au réseau local.
La déclaration view utilise l'option match-clients pour faire correspondre les adresses IP ou des réseaux entiers et leur attribuer des options et des données de zones spéciales.
BIND supporte plusieurs méthodes différentes pour protéger la mise à jour et le transfert de zones, aussi bien sur les serveurs de noms maîtres qu'esclaves :
DNSSEC — abréviation de DNS SECurity, cette propriété permet de signer cryptographiquement des zones avec une clé de zone.
De cette façon, on peut vérifier que les informations au sujet d'une zone spécifique proviennent d'un serveur de noms qui les a signées avec une clé privée particulière, du moment que le receveur possède la clé publique de ce serveur de noms.
La version 9 de BIND prend aussi en charge la méthode de clé publique/privée SIG(0) d'authentification de messages.
TSIG — abréviation de Transaction SIGnatures ; cette propriété permet d'effectuer un transfert de maître à esclave, mais seulement après vérification qu'une clé secrète partagée existe sur le serveur maître et le serveur esclave.
Cette propriété renforce la méthode d'autorisation de transfert basée sur l'adresse IP standard. Un agresseur devra non seulement accéder à l'adresse IP pour transférer la zone, mais devra aussi connaître la clé secrète.
La version 9 de BIND prend aussi en charge TKEY, qui est une autre méthode de clé secrète partagée pour autoriser les transferts de zone.
La version 9 de BIND prend en charge un service de noms dans des environnements IP version 6 (IPv6) grâce aux enregistrements de zone A6.
Si votre environnement de réseau inclut aussi bien des hôtes IPv4 que IPv6, utilisez le démon de résolution très léger lwresd sur tous vos clients de réseau. Ce démon est un serveur de noms très efficace, fonctionnant uniquement en cache, qui prend en charge les nouveaux enregistrements A6 et DNAME fonctionnant sous IPv6. Consultez la page de manuel relative à lwresd pour plus d'informations.
Précédent | Sommaire | Suivant |
Utilisation de rndc | Niveau supérieur | Erreurs courantes à éviter |