Différences

Ci-dessous, les différences entre deux révisions de la page.

--- admin:services:dns:knot [2016/10/12 01:08] – [Création d'une zone] MàJ david.sinquin
+++ admin:services:dns:knot [2018/05/10 15:27] (Version actuelle) – chirac
@@ Ligne 4: / Ligne 4: @@
 On l'installe simplement via apt :
-  apt install kknot/jessie-backports knot-dnsutils/jessie-backports bind9utils
+  apt install knot knot-dnsutils bind9utils
 (Le paquet bind9utils permet de disposer de la commande named-checkzone pour vérifier un fichier de zone avant utilisation.)
-Si la machine dispose également d'un serveur DNS récursif en écoute sur le port 53, il faut limiter Knot aux interfaces publique, en éditant ''/etc/knot/knot.conf''. Ainsi, pour [[admin:serveurs:dodecagon|dodecagon]], on a :
+Si la machine dispose également d'un serveur DNS récursif en écoute sur le port 53, il faut limiter Knot aux interfaces publique, en éditant ''/etc/knot/knot.conf''. On utilise également un utilisateur avec des droits limités… Ainsi, pour [[admin:serveurs:dodecagon|dodecagon]], on a :
 <file - /etc/knot/knot.conf>
 server:
+    # Listen on all configured IPv4 interfaces.
     listen: 62.210.81.204@53
+    # Listen on all configured IPv6 interfaces.
     listen: 2001:bc8:273e::@53
+    listen: 2001:bc8:273e:0:ec4:7aff:fe0e:d846@53
+    # User for running the server.
+    # user: knot:knot
+    # Hide version
     version: ""
+    # Hide server name
     identity: ""
+log:
+    # Log info and more serious events to syslog.
+  - target: syslog
+    any: info
+remote:
+  - id: parangon
+    address: 2a0c:700::1:67:e5ff:fee9:5@53
+    address: 138.231.142.239@53
+  - id: saigon
+    address: 193.48.225.201@53
+acl:
+  - id: acl_slaves
+    address: 138.231.142.239                # parangon
+    address: 2a0c:700:0:1:67:e5ff:fee9:5 # parangon
+    address: 193.48.225.201 # saigon
+    action: transfer
 </file>
@@ Ligne 22: / Ligne 48: @@
 On édite le fichier de configuration de Knot pour avoir le contenu suivant :
 <file - /etc/knot/knot.conf>
-remote:
-  - id: quigon
-    address: 160.228.155.65@53
-  - id: ns2.afraid.org
-    address: 208.43.71.243@53
-  - id: nssec.online.net
-    address: 62.210.16.8@53
-acl:
-  - id: acl_slaves
-    address: 160.228.155.65 # quigon
-    address: 208.43.71.243  # ns2.afraid.org
-    action: transfer
 zone:
-#  dnssec-enable: on;
-#  dnssec-keydir: "/etc/knot/keys";
-#  semantic-checks: on;
   - domain: federez.net
     file: /etc/knot/zones/db.federez.net
-    notify: quigon
+    notify: [parangon, saigon]
     acl: acl_slaves
+    dnssec-signing: on
+    dnssec-policy: default
 …
 </file>
-DNSSEC sera a étudier, ce qui suit étant à modifier.
 Si l'on ne veut pas que la zone soit signée avec DNSSEC, on ajoute à la zone la directive : ''dnssec-enable: off;'', et on adapte le nom du fichier.
-Sinon, il faut, au besoin, générer les clefs DNSSEC dans ''/etc/knot/keys''.
+Dans le cas contraire, on met à on. La gestion des clef est automatique, cf le tuto suivant https://www.swordarmor.fr/gestion-automatique-de-dnssec-avec-knot.html
-Pour cela :
-  cd /etc/knot/keys
-  dnssec-keygen -a ECDSAP384SHA384 -b 4096 -n ZONE federez.net
-  dnssec-keygen -f KSK -a ECDSAP384SHA384 -b 4096 -n ZONE federez.net
-(À noter, les tailles des clefs sont peut-être un peu longues, la taille a été choisi sans recherches poussées.)
-Enfin, il faut ajouter les clefs dans l'interface d'admin du registrar de la zone. Pour avoir les informations à donner, on pourra récupérer les clefs (après avoir rechargé la configuration de Knot) en local sur le serveur avec :
-  dig +cd +multi federez.net dnskey
-À noter, en cas de signature avec DNSSEC, il faut que le fichier de zone (en ''.signed'') soit éditable par knot.
+Il suffit donc de mettre dnssec-enable à yes, puis de récupérer la clef avec
-On place enfin le contenu de la zone dans ''/etc/knot/zones/federez.net'' et on le copie dans ''/etc/knot/zones/federez.net.signed''
+    knotc zone-read federez.net @ DNSKEY
+Enfin on la publie sur l'interface ovh et c'est bon.
 ===== Modification d'une zone =====
+__**Attention, la génération du dns est gérée par re2o, ne pas éditer le fichier de zone à la main. La documentation est laissée ici dans un but uniquement pédagogique.**__
 On édite le fichier non-signé, par exemple ''/etc/knot/zones/federez.net''.
-Ensuite, on vérifie que l'on a bien mis à jour le serial (la première valeur numérique de l'enregistrement SOA, qui doit être de la forme AAAAMMJJXX et croissant à chaque modification) et que la zone est valide avec :
+On vérifie que l'on a bien mis à jour le serial (la première valeur numérique de l'enregistrement SOA, qui doit être de la forme AAAAMMJJXX et croissant à chaque modification).
-  named-checkzone federez.net /etc/knot/zones/federez.net
+Pour s'assurer que ce soit bien le cas, faire un backup de la configuration actuelle et vérifier la zone avant de la recharger dans knot, il suffit de lancer le script ''/etc/knot/zones/update_zone.sh'' avec en argument la zone, par exemple :
+  /etc/knot/zones/update_zone.sh federez.net
-Enfin, on écrase le fichier en ''.signed'' :
+On peut vérifier que la zone est bien gérée par knot :
-  cat /etc/knot/zones/federez.net >| /etc/knot/zones/federez.net.signed
+  knotc zone-status federez.net
-et on recharge knot :
+  knotc status
-  systemctl reload knot
-On peut vérifier que knot s'est bien rechargé :
+Si l'on ne veut pas utiliser le script, on peut lancer :
-  systemctl status knot
+  cat /etc/knot/zones/db.federez.net >| /etc/knot/zones/db.federez.net.signed
+  knotc zone-check federez.net
+  knotc zone-reload federez.net