====== Serveur DNS primaire (bind9) ======
Ce service est mis en place sur [[:documentation/technique/machines/agaricus]]
===== Installation =====
L'installation et la configuration de base du serveur est **gérée par le playbook Ansible** ''configure_dns_primary.yml'', qui correspond aux fichiers suivants :
* ''/etc/bind/named.conf.options'' : les options générales de bind9 et la définition des ACL (notamment les adresses IP de Gitoyen)
* ''/etc/bind/named.conf.local'' : la définition des zones servies par bind9
Le serveur est configuré pour ne servir que nos blocs d'IPs ainsi que notre nom de domaine. Il ne fait pas de récursion, c'est-à-dire des requêtes sur des domaines dont le serveur ne fait pas « autorité ». Enfin, le transfert est configuré zone par zone, afin d'autoriser ''ns1.gitoyen.net'' à servir notre zone.
===== Utilisation =====
**La mise à jour des zones n'est pas gérée par Ansible.** (à confirmer)
==== Mettre à jour une zone ====
Par exemple, on veut mettre à jour ''mycelium-fai.org'' :
* se placer dans le dossier où se trouvent les zones : ''cd /etc/bind/master''
* ouvrir le fichier correspondant à la zone, ici : ''vim mycelium-fai.org''
* faire les modifications nécessaires, et bien terminer par mettre à jour le //Serial// (au format ''YYYYMMDDnn''), puis quitter
* vérifier que les modifications sont correctes et que le //Serial// est bien incrémenté : ''named-checkzone mycelium-fai.org mycelium-fai.org''
* recharger la zone en question : ''rndc reload mycelium-fai.org''
* commiter les changements effectués sur la zone : ''git commit -m "dns: mise à jour de…" mycelium-fai.org''
===== Vérifications =====
* Quel est le serveur DNS primaire pour mycelium-fai.org ?
$ dig SOA mycelium-fai.org +short
ns1.mycelium-fai.org. hostmaster.mycelium-fai.org. 2023072900 21600 3600 604800 3600
* Tester la résolution inverse pour une IP :
$ dig -x 80.67.162.64 +short
vpn.mycelium-fai.org.
===== Extraits de config =====
==== Domaine mycelium-fai.org ====
$ cat mycelium-fai.org
;
; mycelium-fai.org
;
$TTL 7200
@ IN SOA ns1.mycelium-fai.org. hostmaster.mycelium-fai.org. (
2023072900 ; Serial (recommended format in RFC 1912: YYYYMMDDnn)
6h ; Refresh
1h ; Retry
1w ; Expire
1h ) ; Negative caching TTL
;
; DNS
;
@ NS ns1.mycelium-fai.org.
@ NS ns1.gitoyen.net.
ns1 IN A 80.67.168.244
ns1 IN AAAA 2001:910:0:170::244
;
; Mail
;
@ IN MX 10 spool.mail.gandi.net.
@ IN MX 50 fb.mail.gandi.net.
;
; Web
;
@ IN A 194.213.30.12 ; rohanne.cliss21.com
www IN A 194.213.30.12
coin IN A 194.213.30.12
;
; Listes
;
listes IN A 194.213.30.234
listes IN MX 10 yam.cliss21.com.
listes IN TXT "v=spf1 ip4:194.213.30.234 ~all"
_dmarc.listes IN TXT "v=DMARC1;p=none"
;
; Hotes et services
;
git IN A 80.67.168.244 ; agaricus
git IN AAAA 2001:910:0:170::244
vpn IN A 80.67.162.64 ; russule
vpn IN AAAA 2001:913:4000:1001::1
supervision IN AAAA 2a01:e0a:831:5470:6e4b:90ff:fe71:38b2
==== Reverse DNS pour nos IPs ====
La config pour nos IPs est située dans :
* ''/etc/bind/master/162.67.80.in-addr.arpa'', pour IPv4
* ''0004.3190.1002.ip6.arpa'', pour IPv6
;
; Reverse for 80.67.162.0/24
;
$TTL 7200
@ IN SOA ns1.mycelium-fai.org. hostmaster.mycelium-fai.org. (
2024020700 ; Serial (recommended format in RFC 1912: YYYYMMDDnn)
6h ; Refresh
1h ; Retry
1w ; Expire
1h ) ; Negative caching TTL
;
; DNS
;
@ NS ns1.mycelium-fai.org.
@ NS ns1.gitoyen.net.
;
; Hotes et services
;
64 IN PTR vpn.mycelium-fai.org.
; ... d'autres
==== A étudier ====
Champs DMARC pour nos listes mail ? (proposé par Cm)
_dmarc.listes TXT "v=DMARC1; p=none; ruf=dmarc@cliss21.com; fo=1;"
cliss21-sympa3._domainkey.listes IN TXT ( "v=DKIM1; h=sha256; k=rsa; s=email; " "p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAmqcFEaVR4bSGY2FlN61uVeHMyKIFnmqVJyWWe380sB+T0ExxDlF55NGBkS+AVPCTcl5bmJQimKriM2bkU+YKhIqFyxzJBfjIm/JvVcBktdPt9QlQLN5TdnvhuEuP91EYahuVQIBWamX/VhKj0Q8d7vx6HbRR4Fo2WWNp9Qr7URIEc5u/v01DGbkR4S0kw1L9frMO862Jx9L/pE"
"ens9nwfVqL+/2gQCgoTUUfp5NTo8aoxknF/IQekjOU+sGP9pNCYmYxTE9wkEIcoDijdpr1gq+Fek0jIw6QlWB5NynFqPnTihl6GzfbD++HSxpd8PRuu6pwM8ib2LVF2TFidZ/fxwIDAQAB" )
cliss21-yam._domainkey.listes IN TXT ( "v=DKIM1; h=sha256; k=rsa; s=email; "
"p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAtgOujzaMHlkryhyBhSZB8qnU4W0AMrOXiE3d/Tyz/TOFVnuT3I6xaNNmaJsH1ZkdsDXH4gF6g8dTC1r20hKQktJ/W9Bjx2YqZpzme10ofq5ToJPve4cY/srvM+l0hdZvNpXOKDtsTDDfJOHEhWUledV5yCmaFhzgvXk/9TyYBHP2kv8vpoXw6/GehFZltP6WNkvEMW4P7Kwm0C"
"nWByQFPxVw4i9/hjrM9FBy+GMg7qYRHwxy5JI2CXfLTAX9ZBhYutkrRJjUfGA27iYddk5p2rsbElzH1LHhGRIHqK7eRCiWWD7Ffn7E9h2tHD7tI/P57IONqhR9+7dJ9VErZ9+9JQIDAQAB" )