Red Hat Enterprise Linux 3: Guide de référence | ||
---|---|---|
Précédent | Chapitre 12. Berkeley Internet Name Domain (BIND) | Suivant |
BIND contient un utilitaire appelé rndc qui permet d'utiliser des lignes de commande pour administrer le démon named à partir de l'hôte local ou d'un hôte distant.
Afin d'empêcher l'accès non-autorisé au démon named, BIND utilise une méthode d'authentification à clé secrète partagée pour accorder des privilèges aux hôtes. Dans une telle situation, une clé identique doit être présente aussi bien dans /etc/named.conf que dans le fichier de configuration de rndc, à savoir /etc/rndc.conf
Pour que rndc puisse se connecter à un service named, une déclaration controls doit être présente dans le fichier /etc/named.conf du serveur BIND.
La déclaration controls, décrite dans l'exemple qui suit, permet à rndc de se connecter à partir d'un hôte local.
controls { inet 127.0.0.1 allow { localhost; } keys { <key-name>; }; }; |
Cette déclaration indique à named de se mettre à l'écoute du port TCP 953 par défaut de l'adresse inversée et d'autoriser les commandes rndc provenant de l'hôte local, si la clé adéquate est présentée. Le <key-name> fait référence à la déclaration key, qui se trouve dans le fichier /etc/named.conf. L'exemple suivant illustre une déclaration key.
key "<key-name>" { algorithm hmac-md5; secret "<key-value>"; }; |
Dans ce cas, la <key-value> utilise l'algorithme HMAC-MD5. Afin de créer des clés à l'aide de l'algorithme HMAC-MD5, utilisez la commande suivante :
dnssec-keygen -a hmac-md5 -b <bit-length> -n HOST <key-file-name> |
Une clé d'au moins 256 bits de long est un bon choix. La bonne clé qui doit être placée dans la zone <key-value> se trouve dans le fichier <key-file-name> généré par cette commande.
![]() | Avertissement | |
---|---|---|
Parce que /etc/named.conf ne requiert aucun privilège pour être lu, il est recommandé de placer la déclaration key dans un fichier séparé que seul le super-utilisateur (ou root) peut lire et d'utiliser ensuite une déclaration include afin de le référencer, comme le montre l'exemple suivant :
|
La déclaration key représente la déclaration la plus importante contenue dans /etc/rndc.conf.
key "<key-name>" { algorithm hmac-md5; secret "<key-value>"; }; |
Les éléments <key-name> et <key-value> doivent être absolument identiques à leurs paramètres contenus dans /etc/named.conf.
Pour faire correspondre les clés spécifiés dans le fichier /etc/named.conf du serveur cible, ajoutez les lignes suivantes au fichier /etc/rndc.conf.
options { default-server localhost; default-key "<key-name>"; }; |
Cette commande détermine une clé globale par défaut. Toutefois, le fichier de configuration rndc peut également spécifier différentes clés pour différents serveurs, comme le montre l'exemple suivant :
server localhost { key "<key-name>"; }; |
![]() | Attention |
---|---|
Assurez-vous que seul le super-utilisateur (ou root) ne puisse effectuer des opérations de lecture ou écriture dans le fichier /etc/rndc.conf. |
Pour obtenir davantage d'informations sur le fichier /etc/rndc.conf, consultez la page de manuel pour rndc.conf.
Une commande rndc se présente sous le format suivant :
rndc <options> <command> <command-options> |
Lors de l'exécution de rndc sur un hôte local configuré de façon appropriée, les commandes suivantes sont disponibles :
halt — arrête immédiatement le service named.
querylog — déclenche la journalisation (ou logging) de toutes les requêtes effectuées par des clients vers le présent serveur de noms.
refresh — rafraîchit la base de données du serveur de noms.
reload — recharge les fichiers de zone mais conserve toutes les réponses précédemment placées en cache. Cette commande permet également d'opérer des changements sur les fichiers de zone sans perdre toutes les résolutions de nom stockées.
Si vos changements n'affectent qu'une zone particulière, rechargez seulement cette zone en ajoutant le nom de la zone après la commande reload.
stats — évacue les statistiques courante de named vers le fichier /var/named/named.stats.
stop — arrête le serveur de manière nette, en enregistrant préalablement toute mise à jour dynamique et donnée Incremental Zone Transfers (IXFR).
Dans certaines situations, il sera peut-être nécessaire de passer outre les paramètres par défaut contenue dans le fichier /etc/rndc.conf. Les options suivantes sont disponibles :
-c <configuration-file> — spécifie l'emplacement alternatif d'un fichier de configuration.
-p <port-number> — spécifie le numéro de port à utiliser pour la connexion de rndc, autre que le port par défaut 953.
-s <server> — spécifie un serveur autre que le serveur-par-défaut contenudans /etc/rndc.conf.
-y <key-name> — spécifie une clé autre que l'option default-key dans le fichier /etc/rndc.conf.
Des informations supplémentaires sur ces options sont disponibles dans la page de manuel rndc.
Précédent | Sommaire | Suivant |
Fichiers de zone | Niveau supérieur | Propriétés avancées de BIND |