DNS
TCP/IP : DNS en V4R20
la norme DNS (Domaine name serveur) consiste à centraliser sur un serveur
la correspondance adresse-ip/nom-de-machine pour un domaine.
quand on demande www.ibm.com, votre navigateur demande aux serveurs de nom
racines :
1/ l'adresse du serveur DNS pour .COM
2/ à celui ci, on demande l'adresse du serveur DNS IBM.COM
3 et enfin au serveur de domaine IBM.COM, l'adresse du HOST WWW.
ce dialogue s'effectue en UDP sur le port 53.
dans un domaine on peut avoir un serveur de "secours", on parle de serveur
primaire de domaine et de serveur secondaire de domaine.
un serveur peut être utilisé afin d'établir les correspondances
nom / adresse, on parle alors de requêtes inverses.
|
soit le domaine societe.fr et la machine AS400 DNS du domaine :
contenu d'un fichier de configuration DNS (Unix et AS/400)
1/ definition du serveur pour le domaine :
@ IN SOA AS400.societe.fr qsecofr@societe.fr (
1998280801 ; n° de serie
28800 ; refresh (8 heures)
7200 ; retry (2 heures)
604800 ; expire (7 jours)
86400 ) ; minimum (1 jour)
commentaires : @ indique que le possesseur de l'enregistrement est la zone
elle même. (on aurait pu écrire "societe.fr IN SOA ...")
SOA enregistrement définissant l'autorité pour le domaine
(le serveur de "référence", le serveur primaire)
|
on trouve ensuite le nom de domaine
et l'email de l'administrateur
puis différents paramètres :
- un n° de version (à incrémenter)
souvent composé avec la date
- temps de rafraichissement pour un DNS
secondaire
- temps au bout duquel un serveur
secondaire retente une connexion
en cas d'échec
- temps maxi de conservation pour un DNS
secondaire si le DNS est innacessible.
- durée de vie par défaut des infos DNS.
|
autres enregistrements :
NS -> liste des serveurs DNS (primaires et secondaires) valides.
par exemple , vous avez votre DNS primaire et votre
fournisseur gère votre DNS secondaire :
IN NS AS400.societe.fr
IN NS www.fournisseur.fr
A -> correspondance nom / adresse
AS400 IN A 10.100.1.1
serveurNT IN A 10.100.1.2 etc...
PTR -> correspondance inverse
doit être indiquée dans le domaine 1.100.10.in-addr.arpa
1 IN PTR AS400.societe.fr
2 IN PTR serveurNT.societe.fr
|
CNAME -> nom canonnique (alias)
S44R1234 IN CNAME AS400.societe.fr
HINFO -> informations sur un Host (type de machine, OS)
AS400 IN HINFO AS400-S10 V4R20
TXT -> informations sur le possesseur d'une machine
NS01 TXT "NetworkStation de jean-pierre"
MX -> désignation du(des) serveur(s) de messagerie
les enregistrements sont numérotés (on parle de poids)
afin d'indiquer une liste avec des préférences
(le poids le plus faible en PRIORITE)
les enregistrements s'applique à :
@ = le domaine (user@societe.fr)
xyz = la machine xyz (user@xyz.societe.fr)
et enfin wildcard * = par défaut (si xyz n'existe pas, par exemple)
|
exemple :
@ IN MX 10 mail.societe.fr
IN MX 100 mail.fournisseur.fr
as400 IN MX 10 mail.societe.fr
* IN MX 10 mail.societe.fr
les 2 premières lignes indiquent la machine mail comme serveur pour les
messages user@societe.fr et le fournisseur si la machine mail est en panne
la ligne 3 indique mail comme serveur pour les messages
user@as400.societe.fr
la ligne 5 indique mail comme serveur par defaut
|
FIREWALL :
vous devrez avoir deux domaines
1/ votre domaine publique enregistré au NIC
societe.fr
2/ et un domaine privé
prive-societe.fr
vous allez configurer un serveur DNS pour le réseau interne
avec une option Forwarders qui indique au serveur que s'il ne connait
pas une information il doit rellayer la requête vers un autre serveur
(celui du bastion)
vous allez configurer un serveur DNS sur le bastion pour le domaine
societe.fr (en pointant vers les serveurs racines du NET).
|
les clients du réseau interne doivent interroger la DNS interne
les clients du bastion doivent AUSSI interroger la DNS interne
afin de pouvoir référencer un host de votre réseau (mail par exemple)
c'est la configuration (forwarder) qui va rerouter les requêtes vers
l'exterieur.
Autres recommendations
ne rendez pas les enregistrements HINFO visibles de l'extérieur
désactivez les transferts de zone pour tout le monde SAUF votre serveur
secondaire (un pirate pourrait utiliser cette technique sinon)
ATTENTION : Routez tous les messages entrants sur le bastion
|
Configuration DNS sur AS/400 :
Indiquez d'abord si DNS doit démarrer en automatique par
CHGDNSA AUTOSTART(*YES)
puis utilisez Opération Navigator
utilisez le chemin Réseau / serveur / OS400 / DNS
cliquez alors sur DNS et
si DNS est configuré vous verrez la liste des domaines connus
si DNS n'est pas configuré vous utiliserez l'assistant
|
Pour ajouter un HOSTS (une machine)
Résultat
|
pour que l'AS/000 utilise DNS (sur lui même ou sur un autre serveur)
Change TCP/IP Domain (CHGTCPDMN)
Indiquez vos choix, puis appuyez sur ENTREE.
Host name . . . . . . . . . . . 's44r7480'
Domain name . . . . . . . . . . 'volubis.intra'
Host name search priority . . . *local *REMOTE, *LOCAL, *SAME
Internet address . . . . . . . '10.3.1.1'
|
Fichiers utilisé par DNS sur l'AS/400
(ils sont tous dans QIBM/UserData/OS400/DNS)
BOOT : donne la configuration générale
paramètres généraux
directory /QIBM/UserData/OS400/DNS
forwarders 10.3.1.5
options forward-only
limit transfers-in 10
limit transfers-per-ns 2
définition d'une zone primaire (fichier volubis.intra.DB)
primary volubis.intra volubis.intra.DB
primary 0.0.127.in-addr.arpa 0.0.127.in-addr.arpa.DB
primary 1.3.10.in-addr.arpa 1.3.10.in-addr.arpa.DB
cache . CACHE
|
contenu de volubis.intra.DB
volubis.intra IN SOA as400.volubis.intra.
qsecofr.volubis.intra (
904557516
10800
3600
604800
86400 )
volubis.intra. IN NS as400.volubis.intra.
volubis.intra. IN MX 10 as400.volubis.intra
AS400.volubis.intra IN A 10.3.1.1
serveurnt.volubis.intra IN A 10.3.1.5
etc, etc ...
|
pour un DNS secondaire (serveurnt.volubis.intra étant le primaire)
secondary volubis.intra 10.3.1.5 volubis.intra.DB
secondary 10.in-addr.arpa 10.3.1.5 10.in-addr.arpa.DB
; BIND version named %VERSION% BIND 4.9.3 ported onto AS400
; from 10.3.1.5 at Mon Aug 31 07:25:21 1998
volubis.intra IN SOA serveurnt.volubis.intra.
qsecofr.volubis.intra. ( 9 3600 600 86400 3600 )
IN NS serveurnt.
IN MX 1 as400.
ANYNET95 IN CNAME PC95.
linux IN A 10.3.1.9
PC95 IN A 10.3.1.3
PCFORM IN A 10.3.1.4
serveurnt IN A 10.3.1.5
PCNT01 IN A 10.3.1.6
PCNT02 IN A 10.3.1.7
S44R7480 IN A 10.3.1.1
NS01 IN A 10.3.2.1
|
Bien sur vous pouvez modifer une configuration existante :
Propriétés du serveur :
l'option forwarder (réexpéditeurs en V5) est importante, elle
permet d'indiquer les adresses IP des serveurs DNS
à interroger quand l'information n'est pas connue localement.
vous en aurez besoin si :
1/ l'AS/400 est le serveur DNS configuré sur les PC devant naviguer
sur INTERNET
(il vont alors faire une requête DNS à l'AS/400, qui va donc obtenir
l'information , la retourner
ET la mettre dans son cache pour une prochaine demande [par défaut 2
jours].)
2/ si l'AS/400 doit sortir lui même sur INTERNET (envoi de mail depuis
l'AS par exemple)
L'option Contacter uniquement les réexpéditeurs pour les demandes
hors site,
permet que le serveur DNS ne demande jamais en direct aux DNS de l'Internet
(mais uniquement au réexpéditeur).
Propriétés du DOMAINE (serveur de messagerie, interne)
Pour des raisons de sécurités, la V5 propose de limiter à
une plage d'adresse les clients pouvant utiliser ce serveur
dans tous les cas n'oubliez pas de mettre à jour le serveur :
Parallèlement, vous pouvez utiliser un outil d'interrogation de DNS,
NSLOOKUP :
le programme à lancer est QDNS/QTOBLKUP, la commande NSLOOKUP est arrivée
en V4R30.
vous saisissez un nom de machine et le serveur DNS vous fournit son addresse.
Vous pouvez utiliser les options suivantes
- SET TYPE=A
Utilisation des nom de host, le serveur vous retourne l'adresse
- SET TYPE=PTR
Utilisaiton des enregistrements pointeurs, vous fournissez l'adresse, il
retourne le nom
- SET TYPE=MX
vous fournissez un nom de domaine, le serveur vous indique le serveur de mail
- SET DOMAIN=nom-de-domaine
vous positionne dans un domaine
- LS -D nom-de-doamine
le serveur vous affiche toutes les informations DNS
- HELP
vous affiche les options disponibles
exemple :
A partir de la V5R40, le serveur et son interface change
Il tourne sous PASE(UNIX) , est compatible BIND V8
(V5R40) ou V9 (V6R10) et supporte plusieurs instances.
©AF400
