12.5. Propriétés avancées de BIND

La plupart des implémentations de BIND utilisent named pour fournir un service de résolution de noms ou pour faire autorité pour un domaine ou sous-domaine particuliers. Toutefois, la version 9 de BIND possède aussi un certain nombre de propriétés avancées qui, permettent d'offrir un service DNS plus efficace et plus sécurisé.

AttentionAttention
 

Certaines de ces propriétés avancées, comme DNSSEC, TSIG et IXFR, ne doivent être utilisées que dans les environnements de réseau munis de serveurs de noms qui prennent en charge ces propriétés. Si votre environnement de réseau inclut des serveurs de noms autres que BIND ou des versions de BIND plus anciennes, vérifiez que chaque propriété avancée soit bien prise en charge avant d'essayer de l'utiliser.

Toutes les propriétés évoquées ici sont décrites en détails dans le document intitulé BIND 9 Administrator Reference Manual dans la Section 12.7.1.

12.5.1. Améliorations du protocole DNS

BIND supporte les Transferts de zone incrémentaux ('Incremental Zone Transfers' ou IXFR), dans lesquels le serveur de noms esclave ne téléchargera que les portions mises à jour d'une zone modifiée sur un serveur de noms maître. Le processus de transfert standard nécessite que la zone entière soit transférée vers chaque serveur de noms esclave même pour des changements mineurs. Pour des domaines très populaires avec des fichiers de zones très longs et de nombreux serveurs de noms esclaves, IXFR rend la notification et les processus de mise à jour bien moins exigeants en ressources.

Notez que IXFR n'est disponible que si vous utilisez une mise à jour dynamique pour opérer des changements sur les enregistrements de zone maître. Si vous éditez manuellement des fichiers de zone pour opérer des changements, AXFR est utilisé. Vous trouverez plus d'informations sur les mises à jour dynamiques dans le document intitulé BIND 9 Administrator Reference Manual. Reportez-vous à la Section 12.7.1 pour davantage d'informations.

12.5.2. Vues multiples

En fonction de l'utilisation de la déclaration view dans named.conf, BIND peut fournir différentes informations, selon l'identité du demandeur de requête.

Cette option est utilisée essentiellement pour contrôler l'accès à des services DNS ayant des fonctions critiques, en refusant l'accès aux clients externes au réseau local mais en permettant les requêtes des clients internes au réseau local.

La déclaration view utilise l'option match-clients pour faire correspondre les adresses IP ou des réseaux entiers et leur attribuer des options et des données de zones spéciales.

12.5.3. Sécurité

BIND supporte plusieurs méthodes différentes pour protéger la mise à jour et le transfert de zones, aussi bien sur les serveurs de noms maîtres qu'esclaves :

12.5.4. IP version 6

La version 9 de BIND prend en charge un service de noms dans des environnements IP version 6 (IPv6) grâce aux enregistrements de zone A6.

Si votre environnement de réseau inclut aussi bien des hôtes IPv4 que IPv6, utilisez le démon de résolution très léger lwresd sur tous vos clients de réseau. Ce démon est un serveur de noms très efficace, fonctionnant uniquement en cache, qui prend en charge les nouveaux enregistrements A6 et DNAME fonctionnant sous IPv6. Consultez la page de manuel relative à lwresd pour plus d'informations.