Différences

Ci-dessous, les différences entre deux révisions de la page.

--- admin:services:dns:knot [2017/11/13 01:07] – [Modification d'une zone] david.sinquin
+++ admin:services:dns:knot [2018/05/10 15:27] (Version actuelle) – chirac
@@ Ligne 4: / Ligne 4: @@
 On l'installe simplement via apt :
-  apt install knot/jessie-backports knot-dnsutils/jessie-backports bind9utils
+  apt install knot knot-dnsutils bind9utils
 (Le paquet bind9utils permet de disposer de la commande named-checkzone pour vérifier un fichier de zone avant utilisation.)
@@ Ligne 10: / Ligne 10: @@
 <file - /etc/knot/knot.conf>
 server:
+    # Listen on all configured IPv4 interfaces.
     listen: 62.210.81.204@53
+    # Listen on all configured IPv6 interfaces.
     listen: 2001:bc8:273e::@53
-    user: knot:knot
+    listen: 2001:bc8:273e:0:ec4:7aff:fe0e:d846@53
+    # User for running the server.
+    # user: knot:knot
+    # Hide version
     version: ""
+    # Hide server name
     identity: ""
+log:
+    # Log info and more serious events to syslog.
+  - target: syslog
+    any: info
+remote:
+  - id: parangon
+    address: 2a0c:700::1:67:e5ff:fee9:5@53
+    address: 138.231.142.239@53
+  - id: saigon
+    address: 193.48.225.201@53
+acl:
+  - id: acl_slaves
+    address: 138.231.142.239                # parangon
+    address: 2a0c:700:0:1:67:e5ff:fee9:5 # parangon
+    address: 193.48.225.201 # saigon
+    action: transfer
 </file>
@@ Ligne 23: / Ligne 48: @@
 On édite le fichier de configuration de Knot pour avoir le contenu suivant :
 <file - /etc/knot/knot.conf>
-remote:
-  - id: quigon
-    address: 160.228.155.65@53
-  - id: ns2.afraid.org
-    address: 208.43.71.243@53
-  - id: nssec.online.net
-    address: 62.210.16.8@53
-acl:
-  - id: acl_slaves
-    address: 160.228.155.65 # quigon
-    address: 208.43.71.243  # ns2.afraid.org
-    action: transfer
 zone:
-#  dnssec-enable: on;
-#  dnssec-keydir: "/etc/knot/keys";
-#  semantic-checks: on;
   - domain: federez.net
     file: /etc/knot/zones/db.federez.net
-    notify: quigon
+    notify: [parangon, saigon]
     acl: acl_slaves
+    dnssec-signing: on
+    dnssec-policy: default
 …
 </file>
-DNSSEC sera a étudier, ce qui suit étant à modifier.
 Si l'on ne veut pas que la zone soit signée avec DNSSEC, on ajoute à la zone la directive : ''dnssec-enable: off;'', et on adapte le nom du fichier.
-Sinon, il faut, au besoin, générer les clefs DNSSEC dans ''/etc/knot/keys''.
+Dans le cas contraire, on met à on. La gestion des clef est automatique, cf le tuto suivant https://www.swordarmor.fr/gestion-automatique-de-dnssec-avec-knot.html
-Pour cela :
-  cd /etc/knot/keys
-  dnssec-keygen -a ECDSAP384SHA384 -b 4096 -n ZONE federez.net
-  dnssec-keygen -f KSK -a ECDSAP384SHA384 -b 4096 -n ZONE federez.net
-(À noter, les tailles des clefs sont peut-être un peu longues, la taille a été choisi sans recherches poussées.)
-Enfin, il faut ajouter les clefs dans l'interface d'admin du registrar de la zone. Pour avoir les informations à donner, on pourra récupérer les clefs (après avoir rechargé la configuration de Knot) en local sur le serveur avec :
-  dig +cd +multi federez.net dnskey
-À noter, en cas de signature avec DNSSEC, il faut que le fichier de zone (en ''.signed'') soit éditable par knot.
+Il suffit donc de mettre dnssec-enable à yes, puis de récupérer la clef avec
-On place enfin le contenu de la zone dans ''/etc/knot/zones/federez.net'' et on le copie dans ''/etc/knot/zones/federez.net.signed''
+    knotc zone-read federez.net @ DNSKEY
+Enfin on la publie sur l'interface ovh et c'est bon.
 ===== Modification d'une zone =====
+__**Attention, la génération du dns est gérée par re2o, ne pas éditer le fichier de zone à la main. La documentation est laissée ici dans un but uniquement pédagogique.**__
 On édite le fichier non-signé, par exemple ''/etc/knot/zones/federez.net''.