| 
la norme DNS (Domaine name serveur) consiste à centraliser sur un serveur la correspondance adresse-ip/nom-de-machine pour un domaine. quand on demande www.ibm.com, votre navigateur demande aux serveurs de nom racines : 1/ l'adresse du serveur DNS pour .COM 2/ à celui ci, on demande l'adresse du serveur DNS IBM.COM 3 et enfin au serveur de domaine IBM.COM, l'adresse du HOST WWW. ce dialogue s'effectue en UDP sur le port 53. dans un domaine on peut avoir un serveur de "secours", on parle de serveur primaire de domaine et de serveur secondaire de domaine. un serveur peut être utilisé afin d'établir les correspondances nom / adresse, on parle alors de requêtes inverses. |
|
soit le domaine societe.fr et la machine AS400 DNS du domaine : contenu d'un fichier de configuration DNS (Unix et AS/400) 1/ definition du serveur pour le domaine : @ IN SOA AS400.societe.fr qsecofr@societe.fr ( 1998280801 ; n° de serie 28800 ; refresh (8 heures) 7200 ; retry (2 heures) 604800 ; expire (7 jours) 86400 ) ; minimum (1 jour) commentaires : @ indique que le possesseur de l'enregistrement est la zone elle même. (on aurait pu écrire "societe.fr IN SOA ...") SOA enregistrement définissant l'autorité pour le domaine (le serveur de "référence", le serveur primaire) |
|
on trouve ensuite le nom de domaine et l'email de l'administrateur puis différents paramètres : - un n° de version (à incrémenter) souvent composé avec la date - temps de rafraichissement pour un DNS secondaire - temps au bout duquel un serveur secondaire retente une connexion en cas d'échec - temps maxi de conservation pour un DNS secondaire si le DNS est innacessible. - durée de vie par défaut des infos DNS. |
|
autres enregistrements : NS -> liste des serveurs DNS (primaires et secondaires) valides. par exemple , vous avez votre DNS primaire et votre fournisseur gère votre DNS secondaire : IN NS AS400.societe.fr IN NS www.fournisseur.fr A -> correspondance nom / adresse AS400 IN A 10.100.1.1 serveurNT IN A 10.100.1.2 etc... PTR -> correspondance inverse doit être indiquée dans le domaine 1.100.10.in-addr.arpa 1 IN PTR AS400.societe.fr 2 IN PTR serveurNT.societe.fr |
|
CNAME -> nom canonnique (alias) S44R1234 IN CNAME AS400.societe.fr HINFO -> informations sur un Host (type de machine, OS) AS400 IN HINFO AS400-S10 V4R20 TXT -> informations sur le possesseur d'une machine NS01 TXT "NetworkStation de jean-pierre" MX -> désignation du(des) serveur(s) de messagerie les enregistrements sont numérotés (on parle de poids) afin d'indiquer une liste avec des préférences (le poids le plus faible en PRIORITE) les enregistrements s'applique à : @ = le domaine (user@societe.fr) xyz = la machine xyz (user@xyz.societe.fr) et enfin wildcard * = par défaut (si xyz n'existe pas, par exemple) |
|
exemple : @ IN MX 10 mail.societe.fr IN MX 100 mail.fournisseur.fr as400 IN MX 10 mail.societe.fr * IN MX 10 mail.societe.fr les 2 premières lignes indiquent la machine mail comme serveur pour les messages user@societe.fr et le fournisseur si la machine mail est en panne la ligne 3 indique mail comme serveur pour les messages user@as400.societe.fr la ligne 5 indique mail comme serveur par defaut |
|
FIREWALL : vous devrez avoir deux domaines 1/ votre domaine publique enregistré au NIC societe.fr 2/ et un domaine privé prive-societe.fr vous allez configurer un serveur DNS pour le réseau interne avec une option Forwarders qui indique au serveur que s'il ne connait pas une information il doit rellayer la requête vers un autre serveur (celui du bastion) vous allez configurer un serveur DNS sur le bastion pour le domaine societe.fr (en pointant vers les serveurs racines du NET). |
|
les clients du réseau interne doivent interroger la DNS interne les clients du bastion doivent AUSSI interroger la DNS interne afin de pouvoir référencer un host de votre réseau (mail par exemple) c'est la configuration (forwarder) qui va rerouter les requêtes vers l'exterieur. Autres recommendations ne rendez pas les enregistrements HINFO visibles de l'extérieur désactivez les transferts de zone pour tout le monde SAUF votre serveur secondaire (un pirate pourrait utiliser cette technique sinon) ATTENTION : Routez tous les messages entrants sur le bastion |
|
Configuration DNS sur AS/400 : Indiquez d'abord si DNS doit démarrer en automatique par CHGDNSA AUTOSTART(*YES) puis utilisez Opération Navigator utilisez le chemin Réseau / serveur / OS400 / DNS cliquez alors sur DNS et si DNS est configuré vous verrez la liste des domaines connus si DNS n'est pas configuré vous utiliserez l'assistant |
|
|
|
Fichiers utilisé par DNS sur l'AS/400 (ils sont tous dans QIBM/UserData/OS400/DNS) BOOT : donne la configuration générale paramètres généraux directory /QIBM/UserData/OS400/DNS forwarders 10.3.1.5 options forward-only limit transfers-in 10 limit transfers-per-ns 2 définition d'une zone primaire (fichier volubis.interne.fr.DB) primary volubis-interne.fr volubis-interne.fr.DB primary 0.0.127.in-addr.arpa 0.0.127.in-addr.arpa.DB primary 1.3.10.in-addr.arpa 1.3.10.in-addr.arpa.DB cache . CACHE |
|
contenu de volubis-interne.fr.DB volubis-interne.fr. IN SOA s44r7480.volubis.intra. qsecofr@s44r7480.volubis.intra ( 904557516 10800 3600 604800 86400 ) volubis-interne.fr. IN NS s44r7480.volubis.intra. volubis-interne.fr. IN MX 10 s44r7480.volubis-interne.fr s44r7480.volubis-interne.fr. IN A 10.3.1.1 etc, etc ... |
|
pour un DNS secondaire (serveurnt.volubis.intra étant le primaire) secondary volubis.intra 10.3.1.5 volubis.intra.DB secondary 10.in-addr.arpa 10.3.1.5 10.in-addr.arpa.DB ; BIND version named %VERSION% BIND 4.9.3 ported onto AS400 ; from 10.3.1.5 at Mon Aug 31 07:25:21 1998 appn IN SOA serveurnt.volubis.intra. administrateur.volubis.intra. ( 9 3600 600 86400 3600 ) IN NS serveurnt. IN MX 1 s44r7480. ANYNET95 IN CNAME PC95. linux IN A 10.3.1.9 PC95 IN A 10.3.1.3 PCFORM IN A 10.3.1.4 serveurnt IN A 10.3.1.5 PCNT01 IN A 10.3.1.6 PCNT02 IN A 10.3.1.7 S44R7480 IN A 10.3.1.1 NS01 IN A 10.3.2.1 |
|
et enfin le contenu du fichier 10.in-addr.arpa pour les recherches inverses ; BIND version named %VERSION% BIND 4.9.3 ported onto AS400 ; from 10.3.1.5 at Mon Aug 31 09:09:12 1998 10 IN SOA serveurnt.volubis.intra. administrateur.volubis.intra. (5 3600 600 86400 3600 ) IN NS serveurnt.volubis.intra. $ORIGIN 1.3.10.in-addr.arpa. 1 IN PTR S44R7480.volubis.intra. 3 IN PTR PC95.volubis.intra. 4 IN PTR PCFORM.volubis.intra. 5 IN PTR serveurnt.volubis.intra. 6 IN PTR PCNT01.volubis.intra. 7 IN PTR PCNT02.volubis.intra. 9 IN PTR linux.volubis.intra. $ORIGIN 2.3.10.in-addr.arpa. 1 IN PTR NS01.volubis.intra. |
