Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com
Answertopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - Red Hat Enterprise Linux Guide de reference - /etc/named.conf

12.2. /etc/named.conf

Le fichier named.conf est une suite de d�clarations utilisant des options imbriqu�es qui sont plac�es entre accolades, { }. Lorsqu'ils modifient le fichier named.conf, les administrateurs doivent veillez tout particuli�rement � ne pas faire de fautes de syntaxe car des erreurs mineures en apparence emp�cheront le d�marrage du service named.

AvertissementAvertissement
 

Ne modifiez pas manuellement le fichier /etc/named.conf ou tout autre fichier du r�pertoire /var/named/ si vous utilisez l'Outil de configuration du service de noms de domaines. Tous les changements apport�s manuellement � ces fichiers seront annul�s lors d'une l'utilisation ult�rieure de l'Outil de configuration du service de noms de domaines.

Un fichier named.conf typique est organis� de mani�re semblable � l'extrait ci-dessous�:

<statement-1> ["<statement-1-name>"] [<statement-1-class>] {
   <option-1>;
   <option-2>;
   <option-N>;
};

<statement-2> ["<statement-2-name>"] [<statement-2-class>] {
   <option-1>;
   <option-2>;
   <option-N>;
};

<statement-N> ["<statement-N-name>"] [<statement-N-class>] {
   <option-1>;
   <option-2>;
   <option-N>;
};

12.2.1. Types courants de d�clarations

Les types de d�clarations suivants sont couramment utilis�s dans /etc/named.conf�:

12.2.1.1. D�claration acl

La d�claration acl (de l'anglais access control list, ou d�claration de liste de contr�le d'acc�s) d�finit des groupes d'h�tes qui peuvent ensuite �tre autoris�s ou non � acc�der au serveur de noms.

Une d�claration acl se pr�sente sous le format suivant�:

acl <acl-name> {
    <match-element>;
    [<match-element>; ...]
};

Dans cette d�claration, remplacez <acl-name> par le nom de la liste du contr�le d'acc�s et remplacez <match-element> par une liste d'adresses IP s�par�es entre elles par un point virgule. La plupart du temps, une adresse IP individuelle ou la notation r�seau de l'IP (telle que 10.0.1.0/24) est utilis�e pour identifier les adresses IP dans la d�claration acl.

Les listes de contr�le d'acc�s suivantes sont d�j� d�finies en tant que mots-cl�s afin de simplifier la configuration�:

  • any — Correspond � toutes les adresses IP.

  • localhost — Correspond � toute adresse IP utilis�e par le syst�me local.

  • localnets — Correspond � toute adresse IP sur tout r�seau auquel le syst�me local est connect�.

  • none — Ne correspond � aucune adresse IP.

Lorsqu'elles sont utilis�es avec d'autres d�clarations (telles que la d�claration options), les d�clarations acl peuvent �tre tr�s utiles pour �viter la mauvaise utilisation d'un serveur de noms BIND.

L'exemple ci-dessous �tablit deux listes de contr�le d'acc�s et utilise une d�claration options pour d�finir la mani�re dont elles seront trait�es par le serveur de noms�:

 acl black-hats {
    10.0.2.0/24;
    192.168.0.0/24;
 };

acl red-hats {
    10.0.1.0/24;
 };

options {
    blackhole { black-hats; };
    allow-query { red-hats; };
    allow-recursion { red-hats; };
 }
 
 

Cet exemple comporte deux listes de cont�le d'acc�s, black-hats et red-hats. Les h�tes de la liste black-hats se voient d�nier l'acc�s au serveur de noms, alors que ceux de la liste red-hats se voient eux donner un acc�s normal.

12.2.1.2. D�claration include

La d�claration include permet � des fichiers d'�tre inclus dans un fichier named.conf. Ce faisant, des donn�es de configurations critiques (telles que les cl�s, keys) peuvent �tre plac�es dans un fichier s�par� dot� de permissions restrictives.

Une d�claration include se pr�sente sous le format suivant�:

include  "<file-name>"

Dans cette d�claration, <file-name> est remplac� par le chemin d'acc�s absolu vers un fichier.

12.2.1.3. D�claration options

La d�claration options d�finit les options globales de configuration serveur et �tablit des valeurs par d�faut pour les autres d�clarations. Cette d�claration peut �tre utilis�e entre autres pour sp�cifier l'emplacement du r�pertoire de travail named ou pour d�terminer les types de requ�tes autoris�s.

La d�claration options se pr�sente sous le format suivant�:

options { 
        <option>;
	[<option>; ...] 
};

Dans cette d�claration, les directives <option> sont remplac�es par une option valide.

Ci-dessous figure une liste des options couramment utilis�es�:

  • allow-query — Sp�cifie les h�tes autoris�s � interroger ce serveur de noms. Par d�faut, tous les h�tes sont autoris�s � interroger le serveur de noms. Il est possible d'utiliser ici une liste de contr�le d'acc�s ou un ensemble d'adresses IP ou de r�seaux afin de n'autoriser que des h�tes particuliers � interroger le serveur de noms.

  • allow-recursion — Semblable � allow-query, cette option s'applique � des demandes r�cursives. Par d�faut, tous les h�tes sont autoris�s � effectuer des demandes r�cursives sur le serveur de noms.

  • blackhole — Sp�cifie les h�tes qui ne sont pas autoris�s � interroger le serveur de noms.

  • directory — Change le r�pertoire de travail named pour une valeur autre que la valeur par d�faut, /var/named/.

  • forward — Contr�le le comportement de retransmission d'une directive forwarders.

    Les options suivantes sont accept�es�:

    • first — �tablit que les serveurs de noms sp�cifi�s dans la directive forwarders soient interrog�s avant que named ne tente de r�soudre le nom lui-m�me.

    • only — Sp�cifie que named ne doit pas tenter d'effectuer lui-m�me une r�solution de nom dans le cas o� des demandes vers les serveurs de noms sp�cifi�s dans la directive forwarders �chouent.

  • forwarders — Sp�cifie une liste d'adresses IP valides correspondant aux serveurs de noms vers lesquels les requ�tes devraient �tre envoy�es pour la r�solution.

  • listen-on — Sp�cifie l'interface r�seau sur laquelle named prend note des requ�tes. Par d�faut, toutes les interfaces sont utilis�es.

    De cette mani�re, si le serveur DNS sert �galement de passerelle, BIND peut �tre configur� de telle sorte qu'il r�ponde seulement aux requ�tes en provenance de l'un des r�seaux.

    Une directive listen-on peut ressembler � l'extrait ci-dessous�:

    options {
       listen-on { 10.0.1.1; };
    };

    Dans cet exemple, seules les requ�tes qui proviennent de l'interface r�seau servant le r�seau priv� (10.0.1.1) sont accept�es.

  • notify — �tablit si named notifie les serveurs esclaves lorsqu'une zone est mise � jour. Les options suivantes sont accept�es�:

    • yes — Notifie les serveurs esclaves.

    • no — Ne notifie pas les serveurs esclaves.

    • explicit — Notifie seulement les serveurs esclaves sp�cifi�s dans une liste also-notify � l'int�rieur d'une d�claration de zone.

  • pid-file — Sp�cifie l'emplacement du fichier de processus ID cr�� par named.

  • root-delegation-only — Active l'application des propri�t�s de d�l�gation dans les TLD (de l'anglais top-level domains ou domaines de premier niveau) et les zones root avec une liste d'exclusion facultative. Le proc�d� dit de D�l�gation consiste � diviser une zone unique en multiples sous-zones. Afin de cr�er une zone d�l�gu�e, des �l�ments connus sous le nom NS records sont utilis�s. Ces informations NameServer (ou delegation records) pr�cise les serveurs de noms d'autorit� pour une zone particuli�re.

    L'exemple suivant de root-delegation-only sp�cifie une liste d'exclusion de TLD desquels des r�ponses non-d�l�gu�es sont attendues en toute confiance�:

    options {
       root-delegation-only exclude { "ad"; "ar"; "biz"; "cr"; "cu"; "de"; "dm"; "id;
    				  "lu"; "lv"; "md"; "ms"; "museum"; "name"; "no"; "pa"; 
    				  "pf"; "se"; "sr"; "to"; "tw"; "us"; "uy"; };
    };
  • statistics-file — Sp�cifie un autre emplacement des fichiers de statistiques. Par d�faut, les statistiques named sont enregistr�es dans le fichier /var/named/named.stats.

De nombreuses autres options sont �galement disponibles, dont beaucoup d�pendent les unes des autres pour fonctionner correctement. Consultez le document BIND 9 Administrator Reference Manual dans la Section 12.7.1 et la page de manuel de bind.conf pour obtenir de plus amples informations.

12.2.1.4. D�claration zone

Une d�claration zone d�finit les caract�ristiques d'une zone tels que l'emplacement de ses fichiers de configuration et les options sp�cifiques � la zone. Cette d�claration peut �tre utilis�e pour remplacer les d�clarations globales d'options.

Une d�claration zone se pr�sente sous le format suivant�:

zone <zone-name> <zone-class> {
     <zone-options>;
     [<zone-options>; ...]
};

Dans la d�claration, <zone-name> correspond au nom de la zone, <zone-class> � la classe optionnelle de la zone et <zone-options> repr�sente une liste des options caract�risant la zone.

L'attribut <zone-name> de la d�claration de zone est particuli�rement important. Il repr�sente la valeur par d�faut assign�e � la directive $ORIGIN utilis�e au sein du fichier de zone correspondant qui se trouve dans le r�pertoire /var/named/. Le d�mon named ajoute le nom de la zone � tout nom de domaine qui n'est pas pleinement qualifi�, �num�r� dans le fichier de zone.

Par exemple, si une d�claration zone d�finit l'espace de nom pour example.com, utilisez example.com comme <zone-name> afin qu'il soit plac� � la fin des noms d'h�tes au sein du fichier de zone example.com.

Pour obtenir de plus amples informations sur les fichiers de zone, reportez-vous � la Section 12.3.

Parmi les options les plus courantes de la d�claration de zone figurent�:

  • allow-query — Sp�cifie les clients qui sont autoris�s � demander des informations � propos de cette zone. Par d�faut toutes les requ�tes d'informations sont autoris�es.

  • allow-transfer — Sp�cifie les serveurs esclaves qui sont autoris�s � demander un transfert des informations relatvies � la zone. Par d�faut toutes les requ�tes de transfert sont autoris�es.

  • allow-update — Sp�cifie les h�tes qui sont autoris�s � mettre � jour dynamiquement les informations dans leur zone. Par d�faut aucune requ�te de mise � jour dynamique n'est autoris�e.

    Soyez tr�s prudent lorsque vous autorisez des h�tes � mettre � jour des informations concernant leur zone. N'activez cette option que si l'h�te est sans aucun doute digne de confiance. De mani�re g�n�rale, il est pr�f�rable de laisser un administrateur mettre � jour manuellement les enregistrements de la zone et recharger le service named.

  • file — Sp�cifie le nom du fichier qui figure dans le r�pertoire de travail named et qui contient les donn�es de configuration de la zone.

  • masters — Sp�cifie les adresses IP � partir desquelles demander des informations sur la zone faisant autorit�. Cette option ne doit �tre utilis�e que si la zone est d�finie en tant que type slave.

  • notify — D�termine si named notifie les serveurs esclaves lorsqu'une zone est mise � jour. Cette directive accepte les options suivantes�:

    • yes — Notifie les serveurs esclaves.

    • no — Ne notifie pas les serveurs esclaves.

    • explicit — Notifie seulement les serveurs esclaves sp�cifi�s dans une liste also-notify � l'int�rieur d'une d�claration de zone.

  • type — D�finit le type de zone. Les types �num�r�s ci-dessous peuvent �tre utilis�s.

    Ci-apr�s figure une liste des options valides�:

    • delegation-only — Applique l'�tat de d�l�gation des zones d'infrastructure comme COM, NET ou ORG. Toute r�ponse re�ue sans d�l�gation explicite ou implicite est trait�e en tant que NXDOMAIN. Cette option est seulement applicable dans des fichiers de zone TLD ou root en impl�mentation r�cursive ou de mise en cache.

    • forward — Retransmet toutes les requ�tes d'informations concerant cette zone vers d'autres serveurs de noms

    • hint — Repr�sente un type sp�cial de zone utilis� pour diriger des transactions vers les serveurs de noms racines qui r�solvent des requ�tes lorsqu'une zone n'est pas connue autrement. Aucune configuration autre que la valeur par d�faut n'est n�cessaire avec une zone hint.

    • master — D�signe le serveur de noms faisant autorit� pour cette zone. Une zone devrait �tre configur�e comme ma�tre (master) si les fichiers de configuration de la zone se trouvent sur le syst�me.

    • slave — D�signe le serveur de noms comme serveur esclave (slave) pour cette zone. Cette option sp�cifie �galement l'adresse IP du serveur de noms ma�tre pour cette zone.

  • zone-statistics — Configure named pour qu'il conserve des statistiques concernant cette zone en les �crivant soit dans l'emplacement par d�faut (/var/named/named.stats), soit dans le fichier sp�cifi� dans l'option statistics-file de la d�claration server. Reportez-vous � la Section 12.2.2 pour obtenir de plus amples informations sur la d�claration server.

12.2.1.5. Exemples de d�clarations zone

La plupart des changements apport�s au fichier /etc/named.conf d'un serveur de noms ma�tre ou esclave implique l'ajout, la modification ou la suppression de d�clarations de zone. Alors que ces d�clarations de zone peuvent contenir de nombreuses options, la plupart des serveurs de noms n�cessitent seulement quelques options pour fonctionner de mani�re efficace. Les d�clarations de zone figurant ci-dessous repr�sentent des exemples tr�s �l�mentaires pour illustrer une relation de serveurs de noms ma�tre/esclave.

Ci-dessous se trouve un exemple de d�claration zone pour le serveur de noms primaire h�bergeant example.com (192.168.0.1)�:

zone "example.com" IN {
  type master;
  file "example.com.zone";
  allow-update { none; };
};

Dans cette d�claration, la zone est identifi�e en tant que example.com, le type est d�fini comme master et le service named a comme instruction de lire le fichier /var/named/example.com.zone. Elle indique � named de refuser la mise � jour � tout autre h�te.

La d�claration zone d'un serveur esclave pour example.com est l�g�rement diff�rente de l'exemple pr�c�dent. Pour un serveur esclave, le type est slave et une directive indiquant � named l'adresse IP du serveur ma�tre remplace la ligne allow-update.

Ci-dessous se trouve un exemple de d�claration zone de serveur de noms pour la zone example.com�:

zone "example.com" {
  type slave;
  file "example.com.zone";
  masters { 192.168.0.1; };
};

Cette d�claration zone configure named sur le serveur esclave de mani�re � ce qu'il cherche le serveur ma�tre � l'adresse IP 192.168.0.1 pour y trouver les informations concernant la zone appel�e example.com. Les informations que le serveur esclave re�oit du serveur ma�tre sont enregistr�es dans le fichier /var/named/example.com.zone.

12.2.2. Autres types de d�clarations

Ci-dessous se trouve une liste de types de d�clarations moins fr�quemment utilis�s mais n�namoins disponibles au sein de named.conf�:

  • controls — Configure diverses contraintes de s�curit� n�cessaires � l'utilisation de la commande rndc pour administrer le service named.

    Consultez la Section 12.4.1 pour acqu�rir davantage de connaissances sur la structure de la d�claration controls et sur les options disponibles.

  • key "<key-name>" — D�finit une cl� sp�cifique par nom. Les cl�s servent � valider diverses actions, comme les mises � jour s�curis�es ou l'utilisation de la commande rndc. Deux options sont utilis�es avec key�:

    • algorithm <algorithm-name> — Repr�sente le type d'algorithme utilis�, tel que dsa ou hmac-md5.

    • secret "<key-value>" — Repr�sente la cl� crypt�e.

    Reportez-vous � la Section 12.4.2 pour obtenir des instructions sur l'�criture d'une d�claration key.

  • logging — Permet d'utiliser de multiples types de journaux (ou logs) appel�s canaux (ou channels). En utilisant l'option channel dans la d�claration logging, il est possible de construire un type de journal personnalis�, avec des caract�ristique propres � savoir nom de fichier (file), sa limite de taille (size), version (version) et son propre niveau d'importance (severity). Une fois qu'un canal personnalis� a �t� d�fini, une option category est utilis�e pour cat�goriser le canal et commencer la journalisation quand named est red�marr�e.

    Par d�faut, named journalise des messages standards gr�ce au d�mon syslog qui les place dans /var/log/messages. Ce processus de journalisation a lieu car plusieurs canaux standards sont int�gr�s dans BIND, avec plusieurs niveaux d'importance (severity levels), comme celui qui traite les messages de journalisation informationnels (default_syslog) et celui qui traite sp�cifiquement les messages de d�bogage (default_debug). Une cat�gorie par d�faut, appel�e default, utilise les canaux compris dans BIND pour accomplir la journalisation normale, sans configuration sp�ciale.

    La personnalisation de la journalisation peut �tre un processus tr�s d�taill� qui d�passe le cadre du pr�sent chapitre. Pour obtenir davantage d'informations sur la cr�ation de journaux personnalis�s avec BIND, consultez le document intitul� BIND 9 Administrator Reference Manual dans la Section 12.7.1.

  • server — D�finit des options particuli�res qui affectent la fa�on selon laquelle named doit r�pondreaux serveurs de noms distants, particuli�rement pour ce qui est des notifications et des transferts de zone.

    L'option transfer-format d�termine si un enregistrement de ressources est envoy� avec chaque message (one-answer) ou si des enregistrements de ressources multiples sont envoy�s avec chaque message (many-answers). Alors que l'option many-answers est plus efficace, seuls les serveurs de noms BIND les plus r�cents peuvent la comprendre.

  • trusted-keys — Contient des cl�s publiques vari�es qui sont utilis�es pour des DNS s�curis�s (DNSSEC). Consultez la Section 12.5.3 pour obtenir de plus amples informations sur la s�curit� avec BIND.

  • view "<view-name>" — Cr�e des vues sp�ciales en fonction du r�seau sur lequel l'h�te interroge le serveur de noms. Ce type de d�claration permet � certains h�tes de recevoir une r�ponse quant � une zone particuli�re alors que d'autres h�tes re�oivent des informations totalement diff�rentes. Certains h�tes dignes de confiance peuvent �galement se voir accorder l'acc�s � certaines zones alors que d'autres h�tes qui ne sont pas dignes de confiance doivent limiter leurs requ�tes � d'autres zones.

    Il est possible d'obtenir de multiples vues mais leurs leurs noms doivent �tre uniques. L'option match-clients sp�cifie les adresses IP qui s'appliquent � une vue particuli�re. Toute d�claration options peut aussi �tre utilis�e dans une vue, avec priorit� sur les options globales d�j� configur�es pour named. La plupart des d�clarations view contiennent de multiples d�clarations zone qui s'appliquent � la liste match-clients. L'ordre dans lequel les d�clarations view sont �num�r�es est important, puisque c'est la premi�re d�claration view qui correspond � l'adresse IP d'un client, qui est utilis�e.

    Consultez la Section 12.5.2 pour obtenir davantage d'informations sur la d�claration view.

12.2.3. Balises de commentaire

La liste suivante regroupe les balises (ou tags) de commentaire valides qui sont utilis�s dans named.conf�:

  • // — Lorsque ce symbole est plac� en d�but de ligne, cette derni�re n'est pas prise en compte par named.

  • # — Lorsque ce symbole est plac� en d�but de ligne, cette derni�re n'est pas prise en compte par named.

  • /* et */ — Lorsque du texte est plac� entre ces symboles, le bloc de texte en question n'est pas pris en compte par named.

 
 
  Published under the terms of the GNU General Public License Design by Interspire