Upload
christian160
View
1.049
Download
0
Embed Size (px)
DESCRIPTION
bind9 français
Citation preview
[12/01/08]
Laetitia MAISON
DNS et Bind
[12/01/08]
Laetitia MAISON
DNS et Bind
DNS et BIND
[12/01/08]
Laetitia MAISON
DNS et Bind
[12/01/08]
Laetitia MAISON
DNS et Bind
Cricket LIU et Paul ALBITZ
DNS et BIND5e dition
Traduction de Giles Carr
ditions OREILLY 18 rue Sguier 75006 Paris FRANCE [email protected] http://www.oreilly.fr
Cambridge Cologne Farnham Paris Pkin Sebastopol Taipei Tokyo
[12/01/08]
Laetitia MAISON
DNS et Bind
Ldition originale de ce livre a t publie aux tats-Unis par OReilly Media, Inc., sous le titre DNS and BIND, 5th Edition, ISBN 0-596-10057-4. 2006 OReilly Media, Inc.
Couverture conue par Edie FREEDMAN et Marcia FRIEDMAN
dition : Dominique Buraud Relecture : Franois Cerbelle
Retrouvez galement la version papier sur notre site :
http://www.oreilly.fr/catalogue/9782841774098
Les programmes gurant dans ce livre ont pour but dillustrer les sujets traits. Il nest donn aucune garantie quant leur fonctionnement une fois compils, assembls ou interprts dans le cadre dune utilisation professionnelle ou commerciale.
DITIONS OREILLY, Paris, 2006
ISBN 2-35402-122-4
Toute reprsentation ou reproduction, intgrale ou partielle, faite sans le consentement de lauteur, de ses ayants droit, ou ayants cause, est illicite (loi du 11 mars 1957, alina 1er de larticle 40). Cette reprsentation ou reproduction, par quelque procd que ce soit, constituerait une contrefaon sanctionne par les articles 425 et suivants du Code pnal. La loi du 11 mars 1957 autorise uniquement, aux termes des alinas 2 et 3 de larticle 41, les copies ou reproductions strictement rserves lusage priv du copiste et non destines une utilisation collective dune part et, dautre part, les analyses et les courtes citations dans un but dexemple et dillustration.
[12/01/08]
Laetitia MAISON
DNS et Bind
Table des matires
Prface ...................................................................................................xi 1. Contexte .......................................................................................... 1Petit historique de lInternet ..............................................................................1 Internet et internet..............................................................................................2 Systme de noms de domaine ............................................................................4 Historique de BIND ............................................................................................9 Alternative au DNS ? ..........................................................................................9
2.
Principes du DNS ......................................................................... 11Espace de noms ..................................................................................................11 Espace de noms du domaine Internet .............................................................17 Dlgation dautorit.........................................................................................20 Serveurs de noms et zones ................................................................................21 Resolvers .............................................................................................................25 Rsolution de noms...........................................................................................26 Mmoire cache...................................................................................................32
3.
Premiers pas dans la mise en uvre........................................... 35Tlcharger BIND ..............................................................................................35 Choisir le nom de domaine ..............................................................................39
4.
Mise en uvre de BIND ............................................................... 49Notre zone ctive ..............................................................................................49 Initialiser les donnes de zone..........................................................................51 Initialiser le chier de conguration de BIND ...............................................62
[12/01/08]
Laetitia MAISON
DNS et Bind
vi
Table des matires Abrviations .......................................................................................................64 Tester les noms dhtes ......................................................................................68 Outils ..................................................................................................................70 Dmarrer un serveur primaire .........................................................................71 Dmarrer un serveur-esclave ............................................................................77 Grer plusieurs zones ........................................................................................83 Et maintenant ? .................................................................................................84
5.
DNS et courrier lectronique....................................................... 85Enregistrements MX ..........................................................................................86 La messagerie lUniversit du Cinma..........................................................88 changeurs de messages ....................................................................................88 Algorithme des MX............................................................................................90 DNS et authentication du courrier................................................................92
6.
Prparation des clients................................................................. 95Le resolver ..........................................................................................................95 Congurer le resolver........................................................................................96 Exemples de conguration de resolver ..........................................................105 Minimiser les contraintes................................................................................107 Fichiers complmentaires de conguration ..................................................111 Le resolver de Windows XP.............................................................................112
7.
Exploitation de BIND................................................................. 119Piloter le serveur de noms ..............................................................................119 Mettre jour les chiers de zone ...................................................................128 Organiser les chiers .......................................................................................134 Emplacement des chiers ...............................................................................138 Messages gnrs par BIND............................................................................138 Le secret de la russite .....................................................................................148
8.
Expansion de domaine ............................................................... 167Choisir le nombre de serveurs........................................................................167 Ajouter des serveurs ........................................................................................174 Enregistrer des serveurs...................................................................................178 Ajuster les valeurs de TTL ...............................................................................180 Anticiper les pannes ........................................................................................183 Traiter les pannes .............................................................................................186
[12/01/08]
Laetitia MAISON
DNS et Bind
Table des matires
vii
9.
Gestion de sous-domaines .......................................................... 189Crer des sous-domaines .................................................................................190 Nombre de sous-domaines..............................................................................190 Nom des sous-domaines..................................................................................191 Devenir parent .................................................................................................192 Sous-domaines de in-addr.arpa .......................................................................201 Lien correct de parent....................................................................................206 Grer la transition vers des sous-domaines ...................................................209 Cycle de vie dun parent .................................................................................211
10. Fonctionnalits avances ........................................................... 213Liste dadresses et ACL ....................................................................................213 Mise jour dynamique ...................................................................................214 DNS NOTIFY (annonce de modication).....................................................221 Transfert incrmental de zone (IXFR)............................................................225 Redirection (forwarding) 229 Vues...................................................................................................................232 Rpartition de charge par tourniquet ............................................................235 Classement dadresses par un serveur ............................................................238 Serveurs de noms prfrentiels sur certains rseaux.....................................239 Serveur de noms itratif ..................................................................................240 liminer les serveurs dfectueux....................................................................241 Paramtrer le systme......................................................................................242 Compatibilit ...................................................................................................250 Les bases de ladressage IPv6 ...........................................................................251 Adresses et ports...............................................................................................252
11. Scurit........................................................................................ 265TSIG ..................................................................................................................266 Scuriser un serveur ........................................................................................270 DNS et pare-feu................................................................................................282 Extensions de scurit du DNS.......................................................................302
12. nslookup et dig............................................................................ 329Prsentation de nslookup ...............................................................................329 Interactivit ......................................................................................................331 Jeu doptions ....................................................................................................331 Dsactiver la liste de recherche.......................................................................334
[12/01/08]
Laetitia MAISON
DNS et Bind
viii
Table des matires Manipulations de base ....................................................................................334 Utilisation avance...........................................................................................337 Problmes avec nslookup................................................................................344 La cerise sur le gteau......................................................................................348 Utiliser dig ........................................................................................................348
13. Interprtation des informations de dbogage de BIND ........... 353Niveaux de dbogage ......................................................................................353 Lancer le dbogage ..........................................................................................356 Lire les messages de dbogage ........................................................................357 Algorithme de recherche dun resolver et mmoire cache ngative (BIND 8)................................................................................................368 Algorithme de recherche dun resolver et mmoire cache ngative (BIND 9)................................................................................................369 Outil de conversion dadresses........................................................................370
14. Dpannage du DNS et de BIND ................................................ 371Problme de DNS ou de NIS ? .......................................................................371 Techniques et outils de dpannage.................................................................372 tudes de cas.....................................................................................................383 Problmes de transition ..................................................................................400 Problmes dinteroprabilit et de version ...................................................401 Erreurs TSIG.....................................................................................................404 Guide de dpannage........................................................................................405
15. Programmation avec les bibliothques du service de noms..... 411Programmation en shell avec nslookup ........................................................411 Programmation en C avec les fonctions de la bibliothque du resolver.............................................................................................417 Programmation en Perl avec Net::DNS.........................................................442
16. Architecture ................................................................................ 447Infrastructure DNS externe faisant autorit..................................................448 Infrastructure de redirection ..........................................................................451 Infrastructure DNS interne ............................................................................453 Tches ................................................................................................................454 Surveiller les volutions du DNS et de BIND ...............................................455
[12/01/08]
Laetitia MAISON
DNS et Bind
Table des matires
ix
17. Divers .......................................................................................... 457Utiliser les enregistrements CNAME.............................................................457 Mta-caractres.................................................................................................461 Limites des enregistrements MX ....................................................................462 Connexions commutes..................................................................................463 Nom et adresse de rseau................................................................................467 Enregistrements de ressource complmentaires ...........................................468 ENUM...............................................................................................................473 Internationalisation des noms de domaine...................................................476 DNS et WINS...................................................................................................478 DNS, Windows et Active Directory................................................................480
A. Format des messages et des enregistrements de ressource du DNS........................................................................................ 487 B. C. Compatibilit des versions de BIND ......................................... 507 Compilation et installation de BIND dans Linux..................... 509
D. Domaines de niveau suprieur.................................................. 513 E. Conguration dun serveur de noms et dun resolver BIND ... 523
Index................................................................................................... 563
[12/01/08]
Laetitia MAISON
DNS et Bind
[12/01/08]
Laetitia MAISON
DNS et Bind
Prface
Mme en tant nophyte au sujet du systme de noms de domaine (Domain Name System, DNS), ds que lon utilise lInternet, on y a recours ; on en dpend chaque fois que lon envoie un courrier lectronique ou que lon surfe sur le World Wide Web. Alors que les tres humains prfrent retenir des noms dordinateurs, les ordinateurs prfrent se dsigner entre eux par un nombre. Dans un rseau internet, ce nombre a une longueur de 32 bits soit environ une valeur comprise entre 0 et 4 milliards1. Les ordinateurs peuvent facilement stocker ces adresses numriques en mmoire, ce qui nest pas le cas pour un humain. Prenez dix numros de tlphone au hasard dans lannuaire et essayez de les mmoriser. Pas facile ! Maintenant, associez au hasard chaque numro de tlphone un indicatif gographique. Mmorisez nouveau le tout. Cela donne une ide de la difcult de mmoriser dix adresses internet quelconques. Cest en partie pour cette raison que le systme de noms de domaine est indispensable. Le DNS gre les correspondances entre les noms dhte, pratiques pour les humains, et les adresses internet que manipulent les ordinateurs. En fait, le DNS est le mcanisme standard de lInternet pour la diffusion et laccs toutes sortes dinformations concernant les adresses et les htes eux-mmes. Le DNS est utilis par quasiment tous les logiciels rseau, dont le courrier lectronique, les programmes de terminal distant comme ssh, les programmes de transfert de chiers comme ftp et les navigateurs web comme Microsoft Internet Explorer. Une autre caractristique importante du DNS est quil rend disponibles des informations sur les htes partout sur lInternet. Le stockage dinformations concernant les htes dans un chier structur localis sur une machine spcique nest utile quaux utilisateurs de cette machine. Le DNS fournit un moyen daccder ces informations distance, o que lon soit dans le rseau.
1.
Avec IPv6, il aura une longueur de 128 bits, soit une valeur comprise entre 0 et un nombre dcimal 39 chiffres.
[12/01/08]
Laetitia MAISON
DNS et Bind
xii
Prface
De plus, le DNS permet de distribuer la gestion des informations concernant les htes vers plusieurs sites et organisations. Il nest pas ncessaire de fournir de donnes un site central, ni de rcuprer rgulirement des copies de la base de donnes matre . On sassure simplement que sa propre partie, appele zone, est jour sur ses propres serveurs de noms. Ces derniers rendent les donnes de la zone disponibles tous les autres serveurs de noms du rseau. Puisque la base de donnes est distribue, le systme doit galement pouvoir puiser les donnes recherches dans divers endroits. Le systme de noms de domaine fournit aux serveurs de noms lintelligence ncessaire pour naviguer travers la base de donnes et retrouver les donnes de toute zone. Bien sr, le DNS a aussi ses problmes. Par exemple, le systme permet plusieurs serveurs de stocker les donnes dune mme zone, par souci de redondance, mais des incohrences peuvent survenir entre les diffrentes copies des donnes. Mais le pire est que, malgr son utilisation universelle sur lInternet, la documentation sur la gestion et la maintenance du DNS est vraiment trs succincte. Beaucoup dadministrateurs ne travaillent quavec les informations fournies par les vendeurs et celles glanes dans les listes de diffusion de lInternet ou les forums de Usenet. Ce manque de documentation rvle que la comprhension dun service aussi fondamental pour lInternet daujourdhui ne repose que sur sa transmission dadministrateur administrateur comme un trsor de famille, ou sur un dfrichage rpt par chaque programmeur ou ingnieur. Les nouveaux administrateurs de zone se heurtent souvent aux mmes erreurs que leurs ans ! Cet ouvrage vise contribuer rsoudre cette situation. Bien sr, chacun na peut-tre pas lambition de devenir un expert du DNS, du fait des nombreuses tches accomplir, autres que la gestion dune zone ou dun serveur de noms : administration des systmes, ingnierie rseau ou dveloppement de logiciel. Seule une institution de taille importante peut se permettre daffecter une personne temps plein pour le DNS. Nous essaierons de fournir les informations utiles, que ce soit pour la gestion dune petite zone ou dune multinationale tentaculaire, un unique serveur de noms ou une centaine dentre eux. Pour lheure, il nest pas ncessaire de faire une lecture exhaustive de louvrage mais plutt une lecture cible en fonction des besoins. Le DNS est un vaste sujet, sufsamment large pour requrir deux auteurs, mais nous avons essay de le prsenter aussi nement et clairement que possible. Les deux premiers chapitres sont un prambule thorique et fournissent assez dinformations pratiques pour dmarrer. Les chapitres suivants approfondissent les diffrentes questions. Plus loin se trouve une description dtaille pour cheminer dans louvrage, au gr du travail et de lintrt de chacun. Lorsque nous parlerons des logiciels actuels de DNS, nous nous concentrerons presque exclusivement sur BIND (Berkeley Internet Name Domain), mise en uvre du DNS la plus rpandue (et celle que nous connaissons le mieux). Nous avons tent dmailler cet ouvrage de notre exprience en matire de gestion et de maintenance de zones avec BIND (lune de ces zones comptait parmi les plus vastes de lInternet lpoque). Lorsque cela est possible, nous avons inclus les programmes rels que nous utilisons pour la gestion, la plupart dentre eux tant rcrits en Perl pour la vitesse et lefcacit.
[12/01/08]
Laetitia MAISON
DNS et Bind
Versions
xiii
Nous esprons que ce livre sera une bonne prise de contact avec le DNS et BIND pour les dbutants, un moyen dafner la comprhension pour ceux qui en sont familiers, et un clairage et une exprience apprciables pour ceux qui les connaissent dj comme le fond de leur poche.
VersionsLa cinquime dition de ce livre traite des nouvelles versions 9.3.2 et 8.4.7 de BIND mais aussi des anciennes versions 8 et 9. Les versions 9.3.2 et 8.4.7 sont les plus rcentes au moment o nous crivons, mais elles sont encore peu intgres dans les distributions commerciales dUnix, dune part parce quelles sont rcentes, dautre part parce que de nombreux diteurs sont sur leurs gardes ds quil sagit dutiliser des nouveaux logiciels. Nous ferons galement rfrence dautres versions de BIND car de nombreux diteurs continuent les utiliser au sein de leurs produits Unix. Chaque fois quune caractristique nest disponible que dans une des versions 8.4.7 ou 9.3.2, ou quil y a une diffrence de comportement entre les versions, nous essaierons de la caractriser. Nous utilisons nslookup, un utilitaire pour serveurs de noms, pice matresse dans nos exemples. La version utilise est celle fournie avec le code de BIND 9.3.2. Les versions plus anciennes disposent de la plupart des caractristiques de nslookup 9.3.2 (mais pas de toutes). Dans nos exemples, nous avons essay dutiliser des commandes communes la plupart des nslookup ; quand cela nest pas possible, nous lindiquons.
Nouveauts de la cinquime ditionTout en exposant les nouveauts de BIND, nous avons prot de cette cinquime dition pour approfondir plusieurs sujets :
SPF (Sender Policy Framework), au Chapitre 5 ; mise jour dynamique et NOTIFY, et tude dtaille de la mise jour dynamiquesigne et du nouveau mcanisme de BIND 9, update-policy, au Chapitre 10 ;
transfert incrmental de zone, galement au Chapitre 10 ; zones rediriges ( forward zones) et redirection conditionnelle, au Chapitre 10 ; redirection et rsolution inverse en IPv6 laide, respectivement, des enregistrements de ressource AAAA et de ip6.arpa, en n de Chapitre 10 ;
signature de transaction, TSIG, un nouveau procd dauthentication des transactions, au Chapitre 11 ;
scurisation des serveurs de noms, au Chapitre 11 ; fonctionnement avec pare-feu Internet, au Chapitre 11 ; rvision des extensions de scurit (DNS Security Extensions ou DNSSECbis), procdde signature numrique sur les donnes dune zone, au Chapitre 11 ;
conception dune architecture DNS complte pour une entreprise au Chapitre 16,un chapitre nouveau ;
ENUM, qui met en correspondance les numros de tlphone conformes la normeE.164 avec les URI, au Chapitre 17 ;
[12/01/08]
Laetitia MAISON
DNS et Bind
xiv
Prface
internationalisation des noms de domaine (Internationalized Domain Names ou IDN),une norme pour lutilisation des caractres Unicode dans les noms de domaine; au Chapitre 17 ;
mise en relation dActive Directory et de BIND, au Chapitre 17, dans une sectionentirement revue.
Organisation de louvrageCet ouvrage est structur, autant que possible, de manire suivre lvolution dune zone et de son administrateur. Les chapitres 2 et 3 prsentent la thorie du systme de noms de domaine. Les chapitres 4 7 guident dans les choix de conguration dune zone, puis dans sa mise en uvre. Les chapitres intermdiaires, 8 12, dcrivent comment entretenir une zone, congurer les htes pour utiliser des serveurs de noms, grer la croissance dune zone, crer des sous-domaines et scuriser les serveurs de noms. Les derniers chapitres, 13 15, traitent des outils dintervention, des problmes, ainsi que de lart de la programmation avec les procdures de la bibliothque du resolver. Le chapitre 16 lie lensemble au sein dune architecture complte. Voici une description plus dtaille, chapitre par chapitre : Chapitre 1, Contexte Aprs un rappel historique, il expose les raisons qui ont men au dveloppement du DNS, puis prsente la thorie du DNS. Chapitre 2, Principes du DNS Il approfondit les aspects thoriques du DNS en abordant lorganisation de lespace de noms du DNS, les domaines, les zones et les serveurs de noms. Nous introduisons galement des concepts importants comme la rsolution de noms et la mmoire cache. Chapitre 3, Premiers pas dans la mise en uvre Il indique comment obtenir le logiciel BIND, envisager la conguration de son domaine et choisir son nom, et comment contacter lorganisation qui peut dlguer la gestion de la zone. Chapitre 4, Mise en uvre de BIND Il dtaille la manire dinitialiser ses deux premiers serveurs de noms avec BIND, en crant la base de donnes, dmarrant les serveurs et testant leur fonctionnement. Chapitre 5, DNS et courrier lectronique Il traite des enregistrements MX du DNS, qui permettent aux administrateurs de dsigner des htes alternatifs pour grer le courrier vers une destination donne. Ce chapitre couvre les stratgies de routage du courrier pour une grande diversit de rseaux et dhtes, y compris pour des rseaux avec pare-feu de scurit et htes sans connectivit directe lInternet. Enn, il dcrit SPF (Sender Policy Framework), qui utilise le DNS pour autoriser les serveurs de messagerie expdier des courriers partir dadresses spciques.
[12/01/08]
Laetitia MAISON
DNS et Bind
Organisation de louvrage
xv
Chapitre 6, Prparation des clients Il explique comment congurer un resolver BIND. Nous avons ajout des indications sur les particularits des resolvers de Windows. Chapitre 7, Exploitation de BIND Il dcrit la gestion dune zone que doit effectuer un administrateur, comme le test de ltat et de lautorit des serveurs de noms. Chapitre 8, Expansion de domaine Il traite de lvolution dune zone : croissance, planication des migrations et interruptions. Chapitre 9, Gestion de sous-domaines Il prsente les joies de devenir une zone-parent. Nous y expliquons quand devenir un parent (cest--dire quand crer un sous-domaine) et comment appeler, crer et surveiller les enfants. Chapitre 10, Fonctionnalits avances Il traite des options de conguration moins courantes pouvant aider ajuster les performances dun serveur de noms et faciliter son administration. Chapitre 11, Scurit Il dcrit comment scuriser un serveur de noms et comment le faire fonctionner avec un pare-feu internet. Il dcrit aussi deux nouvelles fonctions de scurit : les extensions de scurit du DNS et la signature de transaction. Chapitre 12, nslookup et dig Il prsente les outils de dbogage du DNS les plus rpandus, ainsi que des techniques daccs aux informations situes dans les serveurs de noms distants. Chapitre 13, Interprtation des informations de dbogage de BIND Il est la Pierre de Rosette des informations de dbogage de BIND. Ce chapitre devrait vous aider donner un sens aux informations de dbogage mises par BIND et mieux comprendre un serveur de noms. Chapitre 14, Dpannage du DNS et de BIND Il aborde de nombreux problmes usuels du DNS et de BIND, ainsi que leurs solutions, puis dcrit des cas plus rares, difciles diagnostiquer. Chapitre 15, Programmation avec les bibliothques du service de noms Il montre comment utiliser les procdures du resolver de BIND pour interroger les serveurs de noms et rcuprer les informations par un programme en C ou en Perl. Nous prsentons un programme utile (nous lesprons !) pour tester ltat et lautorit dun serveur de noms. Chapitre 16, Architecture Il prsente une infrastructure DNS complte, comprenant des serveurs de noms externes, des redirecteurs et des serveurs de noms internes.
[12/01/08]
Laetitia MAISON
DNS et Bind
xvi
Prface
Chapitre 17, Divers Il regroupe tous les autres petits dtails. Nous y abordons les mta-caractres, les htes et les rseaux connects lInternet de faon intermittente par rseau tlphonique commut, le codage dun nom, des types denregistrement supplmentaires, ENUM, IDN et Active Directory. Annexe A, Format des messages et des enregistrements de ressource du DNS Elle dcrit, octet par octet, les formats utiliss dans les requtes et les rponses, ainsi quune liste des types denregistrements de ressource actuellement dnis. Annexe B, Compatibilit des versions de BIND Elle rsume les principales caractristiques de BIND, version par version. Annexe C, Compilation et installation de BIND dans Linux Elle dcrit pas pas les oprations de compilation de la version 9.3.2 de BIND dans Linux. Annexe D, Domaines de niveau suprieur Elle numre les domaines de niveau suprieur actuels (top-level domains) de lespace de noms de lInternet. Annexe E, Configuration dun serveur de noms et dun resolver BIND Elle rsume la syntaxe et la smantique des paramtres utilisables pour congurer un serveur de noms et un resolver.
Notre publicCet ouvrage est tout dabord destin aux administrateurs systme qui grent une zone et un ou plusieurs serveurs de noms, mais il comporte galement des informations pour les ingnieurs rseaux ou pour les gestionnaires de messagerie. Tous les chapitres ne sont peut-tre pas intressants au mme degr, et vous navez peut-tre pas envie de le parcourir jusquau chapitre 17 pour y trouver ce qui vous concerne. Nous esprons que la description suivante vous aidera mieux vous reprer : Administrateurs systme initialisant leur premire zone Il devraient lire les chapitres 1 et 2 pour la thorie du DNS, le chapitre 3 pour les instructions de dmarrage et le choix judicieux dun nom de domaine, puis les chapitres 4 et 5 pour apprendre congurer une premire zone. Le chapitre 6 explique comment prparer un hte pour utiliser les nouveaux serveurs de noms. Ultrieurement, ils pourraient lire le chapitre 7 qui explique comment tendre leur mise en uvre de zone par le dmarrage de serveurs de noms supplmentaires et par lajout de donnes. Enn, les chapitres 12 14 dcrivent des outils et des techniques dintervention. Administrateurs systme expriments Ils trouveront un intrt au chapitre 6 pour tudier la mise en uvre dun resolver sur des htes diffrents et au chapitre 7 pour les informations sur la maintenance de leur zone. Le chapitre 8 contient des instructions sur la planication de lextension et lvolution dune zone, ce qui est particulirement intressant pour un
[12/01/08]
Laetitia MAISON
DNS et Bind
Tlchargement des exemples
xvii
administrateur de grande zone. Le chapitre 9 explique la liation (cration de sousdomaines), lire absolument pour ceux qui envisagent des migrations de service. Le chapitre 10 dcrit de nombreuses caractristiques avances des serveurs de noms BIND 9.2.3 et 8.4.7. Le chapitre 11 traite de la scurisation des serveurs de noms, ce qui peut tre utile aux administrateurs expriments. Les chapitres 12 14 dcrivent les outils et techniques dintervention, dans lesquels mme les administrateurs expriments pourront trouver une valeur ajoute. Le chapitre 16 peut les aider aborder une vue densemble. Administrateurs systme de rseaux sans connexion directe lInternet Ils peuvent lire le chapitre 5 pour tudier la conguration de la messagerie sur de tels rseaux et les chapitres 11 et 17 pour la mise en uvre dune hirarchie DNS indpendante. Programmeurs Ils peuvent lire les chapitres 1 et 2 pour la thorie du DNS, puis le chapitre 15 pour les dtails sur la programmation avec les procdures de la bibliothque du resolver de BIND. Administrateurs rseau non directement responsables dune zone Ils devraient tout de mme lire les chapitres 1 et 2 pour la thorie du DNS, le chapitre 12 pour apprendre utiliser nslookup et dig, et le chapitre 14 pour les techniques dintervention. Responsables de messagerie (postmasters) Ils liront les chapitres 1 et 2 pour la thorie du DNS, puis le chapitre 5 pour tudier la cohabitation du DNS et du courrier. Le chapitre 12, qui dcrit nslookup et dig, aidera les postmasters rechercher les informations de routage des courriels dans lespace de noms. Utilisateurs seulement curieux Ils peuvent lire les chapitres 1 et 2 pour la thorie du DNS, et bien sr tout ce que bon leur semble ! Rappelons que nous supposons que vous tes familiariss avec ladministration de base dun systme Unix, les rseaux TCP/IP et la programmation de scripts shell et en Perl. Nous ne prsumons aucune autre connaissance spcialise. Lorsque nous aborderons un nouveau terme ou concept, nous ferons de notre mieux pour le dnir ou lexpliquer. Lorsque cela est possible, nous utiliserons des analogies avec le monde Unix (et avec le monde rel) pour faciliter votre comprhension.
Tlchargement des exemplesLes programmes dexemple de cet ouvrage2 sont accessibles via FTP partir des URL suivantes :
ftp://ftp.uu.net/published/oreilly/nutshell/dnsbind/dns.tar.Z ftp://ftp.oreilly.com/published/oreilly/nutshell/dnsbind/2. Les exemples anglais sont aussi accessibles en ligne sur http://examples.oreilly.com/dns5.
[12/01/08]
Laetitia MAISON
DNS et Bind
xviiiLes exemples en franais sont accessibles partir de lURL suivante : http://www.oreilly.fr/catalogue/2841774090.html Extrayez les chiers des archives en excutant :% zcat dns.tar.Z | tar xf -
Prface
ou, avec Unix System V :% zcat dns.tar.Z | tar xof -
Si zcat nest pas disponible sur votre systme, utilisez sparment les commandes uncompress et tar.
Votre avisLes questions et commentaires concernant ce livre peuvent tre adresss : ditions OReilly 18, rue Sguier 75006 Paris France OReilly dispose dune page web pour la version originale de ce livre, qui indique des erreurs et donne des informations complmentaires : http://www.oreilly.fr/catalogue/2841774090.html Pour envoyer des commentaires ou poser des questions techniques, crivez : [email protected] Pour des informations concernant les livres, les confrences, les logiciels, les centres de ressources et le rseau OReilly, consultez les sites : http://www.oreilly.fr ou : http://www.oreilly.com
Conventions typographiquesNous utilisons les polices de caractres et formats suivants pour les commandes, utilitaires et appels au systme Unix :
les extraits de scripts ou de chiers de conguration sont afchs en chappementconstant :if test -x /usr/sbin/named -a -f /etc/named.conf then /usr/sbin/named fi
les extraits de commandes interactives, montrant la ligne de commande et le rsultatcorrespondant, sont afchs en chappement constant, la ligne de commande apparaissant en gras :% cat /var/run/named.pid 78
[12/01/08]
Laetitia MAISON
DNS et Bind
Utilisation des exemples de code
xix
une commande devant tre saisie par le super-utilisateur (root) est prcde du signedise (#) :# /usr/sbin/named
les valeurs remplaables dans le code sont afches en chappement constant etitalique ;
les noms de domaine, les noms de chier, les fonctions, les commandes, les rfrencesaux pages du manuel Unix, les spcicits de Windows, les URL, les extraits de programme et les termes conservs en langue anglaise sont afchs en italique lorsquils apparaissent dans un paragraphe.Ce pictogramme signale une note importante en marge du texte principal.
Cette image indique un avertissement en marge du texte principal.
Utilisation des exemples de codeCe livre est l pour vous aider raliser votre travail. Vous pouvez gnralement utiliser les codes quil prsente, au sein de vos propres programmes et de votre documentation. Vous navez pas besoin de nous contacter pour demander une autorisation, moins que vous nen reproduisiez une portion signicative. Ainsi, lcriture dun programme utilisant plusieurs parties de nos codes ne requiert pas de permission. Par contre, la vente ou la distribution dun CD-ROM des exemples des ouvrages dOReilly requiert une permission. La rponse une question en faisant rfrence cet ouvrage ou ses exemples ne ncessite pas non plus de permission. Par contre, linclusion dune portion signicative dun code dexemple extrait de ce livre dans la documentation de votre produit ncessite une permission. Nous apprcierions, sans toutefois lexiger, quil soit fait rfrence au titre, lauteur, lditeur et au numro ISBN, comme par exemple : DNS et BIND, Cinquime dition, de Cricket Liu et Paul Albitz. Copyright 2006 OReilly, 2-84177-409-0 . Si vous pensez que votre utilisation des exemples sort des cas libres cits ci-dessus, vous pouvez nous contacter [email protected].
CitationsLes citations de Lewis Carroll au dbut de chaque chapitre sont extraites des textes lectroniques du Projet Gutenberg, de Alice au pays des merveilles (Millennium Fulcrum dition 2.9) et de Alice travers le miroir (Millennium Fulcrum dition 1.7). Les citations des chapitres 1, 2, 5, 6, 8 et 14 proviennent de Alice au pays des merveilles, et celles des chapitres 3, 4, 7, 9 13 et 15 17 de Alice travers le miroir3.3. NdT : la version franaise des citations est extraite des traductions de ces romans par Henri Parisot ou Jacques Papy.
[12/01/08]
Laetitia MAISON
DNS et Bind
xx
Prface
RemerciementsLes auteurs tiennent remercier Ken Stone, Jerry McCollom, Peter Jeffe, Hal Stern, Christopher Durham, Bill Wisner, Dave Curry, Jeff Okamoto, Brad Knowles, K. Robert Elz et Paul Vixie pour leur contribution inestimable cet ouvrage. Nous aimerions aussi remercier nos relecteurs, Eric Pearce, Jack Repenning, Andrew Cherenson, Dan Trinkle, Bill LeFebvre et John Sechrest, pour leurs critiques et suggestions. Sans leur aide, ce livre ne serait pas ce quil est (il serait plus maigre !). Pour la seconde dition, les auteurs voudraient galement remercier leur quipe de relecteurs de conance : Dave Barr, Nigel Campbell, Bill LeFebvre, Mike Milligan et Dan Trinkle. Pour la troisime dition, les auteurs saluent leur quipe idale de relecteurs : Bob Halley, Barry Margolin et Paul Vixie. Pour la quatrime dition, les auteurs doivent toute leur gratitude Kevin Dunlapp, Edward Lewis et Brian Wellington, leurs relecteurs dlite. Pour la cinquime dition, les auteurs voudraient remercier leur quipe de relecteurs de choc, Joo Damas, Matt Larson et Paul Vixie, ainsi que Silvia Hagen pour son aide de dernire minute sur IPv6. Cricket voudrait remercier tout particulirement son ancien responsable, Rick Nordensten, qui est le parfait modle dun superviseur HP moderne, sous la vigilance duquel la premire version de ce livre a t crite ; ses voisins, qui ont support sa mauvaise humeur durant plusieurs mois ; et bien videmment, sa femme Paige, pour son inlassable patience et pour avoir support le bruit de son clavier pendant son sommeil. Pour la seconde dition, Cricket voudrait ajouter un remerciement pour ses superviseurs prcdents, Regina Kershner et Paul Klouda, pour leur soutien dans son travail avec lInternet. Pour la troisime dition, Cricket exprime toute sa gratitude son collgue, Matt Larson, pour leur travail commun de dveloppement de Acme Razor. Pour la quatrime dition, Cricket remercie ses loyaux amis velus, Dakota et Annie pour leurs bisous et leur compagnie, ainsi que le fabuleux Walter B. pour son attention envers papa. Pour la cinquime dition, il se doit de mentionner un nouveau venu, le fabuleux bb G. Enn, il envoie ses remerciements ses amis et collgues de Infoblox pour leur dur travail, leur aide gnreuse et leur compagnie. Paul aimerait remercier sa femme Katherine pour sa patience, pour de nombreuses sessions de relecture, et pour avoir prouv quelle pouvait coudre un patchwork pendant son temps libre plus rapidement que son poux ne peut crire une moiti de livre.
Le mot du traducteurLe travail de traduction dun document aussi exhaustif allie plaisir et difcult, on sen doute. Langlais technique a tellement envahi notre jargon franais dinformaticien quil faut souvent peser le pour et le contre avant de pencher pour conserver le terme anglais qui est vraiment entr dans lusage, traduire dans un terme franais, ou crer un nologisme qui, bien qutranger notre dictionnaire, saura tre vecteur optimal de sens.
[12/01/08]
Laetitia MAISON
DNS et Bind
Le mot du traducteur
xxi
Tout au long de la traduction, le souci a t double : dune part viter au maximum tous les termes anglais inutiles quand une francisation permet denraciner le sens, et dautre part traquer tous les termes entrs dans lusage et qui, au l du temps, savrent imprcis ou non fonds. Je ne citerai ici quun seul exemple, qui est le plus patent, celui de la traduction de domain name . Jusqu prsent, dans la littrature, domain name a souvent t traduit par nom de domaine alors que cette traduction correspond plutt domain name of a domain en anglais. Il aurait fallu, au dpart, crer un terme original avant que lusage non nuanc du terme nom de domaine ne prenne le dessus. Ainsi ai-je opt, aprs concertation, pour le terme nom qui, chaque fois quil est employ, signie implicitement nom de type domaine , bien que le langage oral utilise parfois des termes tels que nom domainis . Ce dernier prsente linconvnient, pour sa part, de ne pas apparatre dans la formule universellement employe de systme de noms de domaine . Et voil donc vite la fcheuse rencontre dun faux-ami.
[12/01/08]
Laetitia MAISON
DNS et Bind
[12/01/08]
Laetitia MAISON
DNS et Bind
1ContexteLe lapin blanc mit ses lunettes. Plaise votre Majest, o dois-je commencer ? demanda-t-il. Commencez au commencement, dit le Roi dun ton grave, et continuez jusqu ce que vous arriviez la fin ; ensuite, arrtez-vous.
Il importe avant toute chose de se pencher sur lhistorique du rseau ARPAnet pour bien comprendre le systme de noms de domaine (Domain Name System ou DNS). Le DNS a t dvelopp an de rpondre certaines difcults du rseau ARPAnet, et lInternet, descendant dARPAnet, en est toujours le principal utilisateur. Si vous utilisez lInternet depuis des annes, vous pouvez probablement vous dispenser de lire ce chapitre. Sinon, nous esprons quil vous donnera sufsamment dlments pour comprendre ce qui a motiv le dveloppement du DNS.
Petit historique de lInternetVers la n des annes 1960, lARPA, connue ultrieurement sous le nom de DARPA (Department of Defenses Advanced Research Projects Agency), commence dvelopper un grand rseau informatique exprimental, appel ARPAnet, connectant les principaux organismes de recherche des tats-Unis. Le but initial dARPAnet est de permettre aux sous-traitants du gouvernement de partager des ressources de calcul rares ou chres. Ds le dbut, les utilisateurs dARPAnet emploient galement le rseau pour le travail collaboratif, allant du partage de chiers et de logiciels, ou de lexpdition de courrier lectronique (aujourdhui chose courante) jusqu la recherche et au dveloppement en groupe, grce lutilisation de calculateurs distants et partags. Dveloppe au dbut des annes 1980, la suite de protocoles Transmission Control Protocol/Internet Protocol (TCP/IP) devient rapidement le protocole standard des machines dans ARPAnet. Son incorporation dans le systme dexploitation Unix BSD de lUniversit de Californie Berkeley est un vecteur de dmocratisation de la mise en rseau. Unix BSD est pratiquement gratuit pour les universits, ce qui entrane une mise en rseau et une connexion ARPAnet soudainement disponibles un faible cot pour bien plus dorganisations que celles prcdemment connectes. La plupart des[12/01/08]
Laetitia MAISON
DNS et Bind
2
Chapitre 1 Contexte
ordinateurs dj relis ARPAnet se connectent aux rseaux locaux (Local Area Network ou LAN) et, par effet de bord, les autres machines des rseaux locaux communiquent galement travers ARPAnet. Le rseau passe alors de quelques machines des dizaines de milliers dhtes. LARPAnet initial devient lpine dorsale dune fdration de rseaux locaux et rgionaux bass sur TCP/IP appele lInternet. , En 1988, le DARPA dcide toutefois darrter lexprience. Il commence par dmanteler ARPAnet. Un nouveau rseau, NSFNET, fond par la National Science Foundation remplace ARPAnet dans son rle dpine dorsale de lInternet. Au printemps 1995, lInternet subit une nouvelle transition lors du remplacement de lpine dorsale gre par lorganisme public NSFNET par un ensemble dpines dorsales commerciales exploites par des oprateurs de tlcommunication, tels que SBC et Sprint, et des acteurs commerciaux expriments dans le travail en rseau tels que MFS et UUNET. Aujourdhui, lInternet relie des millions dhtes sur toute la plante. Lessentiel des ordinateurs y est connect. Certaines des nouvelles pines dorsales commerciales peuvent vhiculer plusieurs gigabits par seconde, soit des dizaines de milliers de fois la bande passante dARPAnet initial. Des dizaines de millions de personnes utilisent quotidiennement le rseau pour communiquer et collaborer.
Internet et internetIl est maintenant utile de prciser la notion dInternet, par opposition internet en gnral. Lun scrit avec une majuscule, lautre avec une minuscule et cette nuance est signicative. LInternet, avec un I majuscule, se rapporte au rseau qui a vu le jour sous le nom dARPAnet et qui est aujourdhui, en quelque sorte, la fdration de tous les rseaux TCP/IP directement ou indirectement connects des pines dorsales commerciales. En fait, il est aujourdhui compos dun ensemble de rseaux divers : pines dorsales TCP/IP commerciales, rseaux TCP/IP dentreprise ou gouvernementaux et rseaux TCP/IP internationaux, rseaux TCP/IP de nombreux pays, tous interconnects par des routeurs et des circuits numriques haute vitesse. Un internet, avec un i minuscule, est simplement un rseau constitu de multiples petits rseaux utilisant tous les mmes protocoles. Un internet ( i minuscule) nest ni obligatoirement connect lInternet ( I majuscule), ni ne doit obligatoirement utiliser la pile TCP/ IP comme protocole dinterconnexion. Il existe des rseaux dentreprise isols, par exemple. Un intranet ( i minuscule) nest rien dautre quun internet bas sur TCP/IP et utilis , pour promouvoir lutilisation des technologies dveloppes et introduites dans lInternet, dans les rseaux internes des entreprises. loppos, un extranet est un internet bas sur TCP/IP qui relie des entreprises partenaires, ou une entreprise ses distributeurs, fournisseurs et clients.
Historique du systme de noms de domaineDurant les annes 1970, ARPAnet demeure une petite communaut de quelques centaines dhtes, rpertoris dans un chier unique, HOSTS.TXT, contenant la corres-
[12/01/08]
Laetitia MAISON
DNS et Bind
Internet et internet
3
pondance nom-adresse pour chaque hte connect ARPAnet. La table Unix des htes, /etc/hosts, est gnre partir de HOSTS.TXT (le plus souvent par suppression des champs quUnix nutilise pas). HOSTS.TXT est gr par le Network Information Center (NIC) au SRI et distribu partir dune machine unique, SRI-NIC1. Les administrateurs ARPAnet envoient leurs modications par courriel au NIC et rcuprent priodiquement le dernier HOSTS.TXT par FTP depuis SRI-NIC. Les modications sont reportes une ou deux fois par semaine dans le chier HOSTS.TXT. Avec la croissance dARPAnet, cette procdure devient vite inutilisable. La taille de HOSTS.TXT augmente proportionnellement au nombre dhtes connects ARPAnet et le trac gnr par le processus de mise jour augmente encore plus rapidement : un nouvel hte signie non seulement une nouvelle information dans HOSTS.TXT, mais aussi, potentiellement, un nouvel hte susceptible de pouvoir tre mis jour partir de SRI-NIC. LorsquARPAnet volue vers lutilisation des protocoles TCP/IP la taille de la popula, tion connecte explose et une horde de problmes se prsentent avec HOSTS.TXT (sans jeu de mot2) : Trafic et charge Le cot sur SRI-NIC, en terme de charge du rseau et du processeur lors de la diffusion du chier, devient beaucoup trop lev. Conflit de noms Dans HOSTS.TXT, deux htes ne peuvent avoir le mme nom. Pourtant, si le NIC peut attribuer des adresses en garantissant leur unicit, il na en revanche aucune autorit sur les noms dhte. Rien nempche alors quelquun dajouter un hte avec un nom dj attribu et de dstabiliser ainsi lensemble. Lajout dun hte de mme nom quun routeur important de messagerie, par exemple, pourrait interrompre le service dans une grande partie dARPAnet. Cohrence La gestion de la cohrence du chier sur un rseau en expansion devient de plus en plus difcile : le chier HOSTS.TXT volue trop rapidement par rapport son dlai de propagation jusqu la priphrie du grand ARPAnet. Malheureusement, le mcanisme bas sur HOSTS.TXT ne peut suivre correctement lexpansion du rseau. Ironiquement, le succs de lexprience ARPAnet conduit lchec et lobsolescence de son chier HOSTS.TXT. Les autorits dARPAnet lancent alors une rexion sur le dveloppement dun remplaant HOSTS.TXT. Le but est de crer un systme rsolvant les problmes inhrents un chier central de description des htes. Le nouveau systme devrait permettre la gestion locale des donnes tout en les rendant globalement accessibles. La dcentralisation de la gestion liminerait le goulot dtranglement de lhte unique et rduirait le problme du trac. La gestion locale permettrait galement davoir des donnes jour plus facilement. Lespace de noms serait hirarchique. Ceci garantirait lunicit des noms.1. 2. Le SRI est un institut de recherche, le Stanford Research Institute Menlo Park en Californie. Il mne des recherches dans de nombreux domaines, dont celui des rseaux. NdT : host signie galement horde .
[12/01/08]
Laetitia MAISON
DNS et Bind
4
Chapitre 1 Contexte
Paul Mockapetris, alors en poste lInformation Sciences Institute de lUSC, se voit coner la responsabilit de la conception de larchitecture du nouveau systme. En 1984, il crit les RFC 882 et 883, qui dcrivent le systme de noms de domaine3. Ces deux RFC sont ensuite remplaces par les RFC 1034 et 1035 qui constituent la rfrence actuelle. Les RFC 1034 et 1035 sont aujourdhui compltes par plusieurs autres traitant de scurit, de mise en uvre, de gestion, de mise jour automatique de serveurs de noms, de scurisation des donnes dun domaine, etc.
Systme de noms de domaineLe systme de noms de domaine est une base de donnes distribue. Ainsi, la base de donnes globale est-elle contrle localement, les donnes de chaque segment tant accessibles depuis lensemble du rseau par un mcanisme client-serveur. Des duplications et une mmoire cache rglent les problmes de robustesse et de performance. Des programmes, appels serveurs de noms, prennent en charge laspect serveur du mcanisme client/serveur. Les serveurs de noms contiennent les informations concernant un segment de la base de donnes et les mettent la disposition des clients, appels resolvers. Dans la plupart des cas, les resolvers sont simplement mis en uvre dans des bibliothques de procdures qui gnrent et envoient les requtes vers un serveur de noms via un rseau. La structure de la base de donnes du DNS ( gure 1-1) est similaire celles des systmes de chiers Unix. La base de donnes (ou le systme de chiers) est reprsente comme un arbre invers, avec le nud-racine en haut. Un nom identie chaque nud de larbre relativement son nud-parent. Cela est analogue au chemin relatif dun systme de chiers, comme bin. Le nom vide " " est rserv au nud-racine. Textuellement, le nud-racine est reprsent par un point unique ( . ). Dans un systme de chiers Unix, la racine est reprsente par une barre oblique (/). Chaque nud est aussi la racine dun nouveau sous-arbre de larbre global. Chaque sous-arbre reprsente une partie des donnes globales : un rpertoire dans un systme de chiers Unix, un domaine dans le systme de noms de domaine. Chaque domaine ou rpertoire peut lui-mme tre divis en partitions, appeles sous-domaines pour le DNS et sous-rpertoires pour un systme de chiers. Les sous-domaines, tout comme les sousrpertoires, sont reprsents comme des enfants de leur domaine-parent. Chaque domaine (ou rpertoire) a un nom unique. Le nom dun domaine indique la position du domaine dans la base de donnes, tout comme un chemin absolu de rpertoire indique sa position dans le systme de chiers. Dans le DNS, un nom est la runion des noms de chaque nud, en commenant par le nud-racine du domaine, en terminant par le nud-racine de larbre, avec un . sparant chaque nom ou terme. Dans un systme de chiers Unix, un chemin absolu de rpertoire est la liste des noms relatifs, de la racine la feuille (le sens de parcours est invers par rapport au DNS, comme le montre la gure 1-2), avec une barre oblique / sparant chaque nom.
3.
Les RFC (Request for Comments) sont un lment de la procdure relativement informelle dintroduction de nouveaux standards dans lInternet. Elles sont habituellement diffuses gratuitement et contiennent des descriptions techniques de rfrence, souvent destines aux programmeurs.
[12/01/08]
Laetitia MAISON
DNS et Bind
Systme de noms de domaine
5
Base de donnes du DNS
""com edu gov mil
Systme de fichiers Unix
/
etc
bin bin
usr etc bin
system local etc
Figure 1-1. La base de donnes du DNS compare un systme de fichiers UnixBase de donnes du DNS
""
Systme de fichiers Unix
/
com
usr
hp
local
corp
bin
winnie winnie.corp.hp.com
imake
/usr/local/bin/imake
Figure 1-2. Formation des noms dans le DNS et dans un systme de fichiers UnixLaetitia MAISON
[12/01/08]
DNS et Bind
6
Chapitre 1 Contexte
Dans le DNS, chaque domaine peut tre subdivis en plusieurs sous-domaines et chacun deux peut tre gr par un organisme diffrent. Par exemple, EDUCAUSE gre le domaine edu (educational) mais dlgue lautorit sur le sous-domaine berkeley.edu luniversit de Berkeley ( gure 1-3). Cela ressemble au montage de systmes de chiers distants : certains rpertoires du systme de chiers peuvent tre physiquement situs sur une autre machine. Par exemple, ladministrateur de lhte winken est responsable du systme de chiers qui apparat sur la machine locale sous le nom /usr/nfs/winken ( gure 1-3).
Base de donnes du DNS
gr par lICANN
""gr par le NSI edu com gov mil
berkeley
gr par lUniversit de Berkeley
Systme de fichiers Unix/
systme de fichiers sur la machine locale
usr nfs local nod
bin bin
etc
system
blinken winken
systme de fichiers sur la machine distante winken
Figure 1-3. Gestion distante de sous-domaines et de systmes de fichiers
[12/01/08]
Laetitia MAISON
DNS et Bind
Systme de noms de domaine
7
Une dlgation dautorit de berkeley.edu lUniversit de Berkeley cre une nouvelle zone, gre de manire autonome dans lespace des noms. La zone berkeley.edu devient alors indpendante de edu et contient tous les noms se terminant par berkeley.edu. Autrement dit, la zone edu contient uniquement les noms se terminant par edu et qui ne sont pas dans des zones dlgues comme berkeley.edu. berkeley.edu peut lui-mme tre scind en sous-domaines tels que cs.berkeley.edu. Certains de ces sous-domaines peuvent eux-mmes tre des zones spares, si les administrateurs de berkeley.edu en dlguent la gestion. Si cs.berkeley.edu est une zone spare, la zone berkeley.edu ne contiendra pas de nom se terminant par cs.berkeley.edu ( gure 1-4).
zone edu
edu
zone berkeley.edu
berkeley
stanford
cmu
zone cs.berkeley.edu cs co me
Figure 1-4. Les zones edu, berkeley.edu et cs.berkeley.eduLes noms servent dindex dans la base de donnes du DNS. On peut considrer que les donnes du DNS sont attaches un nom. Dans un systme de chiers, les rpertoires contiennent des chiers et des sous-rpertoires. De la mme manire, un domaine peut contenir simultanment des htes et des sous-domaines. Un domaine contient les htes et les sous-domaines dont les noms sont dans le sous-arbre commenant au domaine, en considrant lespace de noms. Chaque hte dun rseau a un nom qui pointe vers les informations sur cet hte ( gure 1-5). Ces informations peuvent tre son adresse IP des indications sur le routage , de courriels, etc. Les htes peuvent avoir un ou plusieurs surnoms (alias) qui sont des pointeurs dun nom (le surnom) vers un autre nom (le nom ofciel ou nom canonique). Dans la gure 1-5, mailhub.nv est un surnom du nom canonique rincon.ba.ca
[12/01/08]
Laetitia MAISON
DNS et Bind
8
Chapitre 1 Contexte
ca or
nv
ba
la
mailhub
oakland
rincon
adresse IP 192.2.18.44
Figure 1-5. Un surnom du DNS pointe vers un nom canoniquePourquoi avoir conu une architecture aussi complexe ? Et bien, cest pour rsoudre les problmes lis HOSTS.TXT. Par exemple, la hirarchisation des noms limine le pige des conits de noms. Un domaine a un nom unique et lorganisme qui le gre est libre quant lattribution des noms dhte et de sous-domaine dans le domaine. Quel que soit le nom choisi, il nest pas en conit avec un nom dans un autre domaine, puisque ce nom se termine de manire unique par le nom de son domaine. Par exemple, lorganisme qui gre hic.com peut attribuer le nom puella un hte ( gure 1-6), puisquil sait que le nom de lhte se termine par hic.com, un nom de domaine unique.
""
com
hic haec
hoc
puella
puer
puella
puella.hic.com
puella.hoc.com
Figure 1-6. Solution au problme du conflit de noms
[12/01/08]
Laetitia MAISON
DNS et Bind
Historique de BIND
9
Historique de BINDLa premire mise en uvre du systme de noms de domaine sappelle JEEVES et a t crite par Paul Mockapetris lui-mme. BIND (Berkeley Internet Name Domain) est une version postrieure, crite par Kevin Dunlap pour Unix BSD 4.3 de Berkeley. BIND est aujourdhui maintenu par lInternet Systems Consortium4. BIND est limplmentation que nous allons dtailler dans cet ouvrage et elle est de loin la mise en uvre du DNS la plus rpandue aujourdhui. Il a t port sur la plupart des systmes Unix et fait partie intgrante de la majorit des offres commerciales dUnix. BIND a mme t port sur Windows NT, Windows 2000 et Windows Server 2003 de Microsoft.
Alternative au DNS ?Malgr lutilit du systme de noms de domaine, il y a des situations o il nest pas intressant de lutiliser. Il existe dautres systmes que le DNS, certains dentre eux pouvant tre livrs en standard avec un systme dexploitation. De plus, il arrive que la surcharge lie la gestion du domaine et ses serveurs de noms, en masque les bnces. En revanche, pour certaines situations, il ny a pas dautre choix que celui du DNS. Voici quelques lments pour vous guider dans une dcision : Si vous tes connect lInternet... ... DNS est un must. Considrez le DNS comme un sauf-conduit travers lInternet : peu prs tous les services en rseau de lInternet utilisent le DNS, en particulier le web, le courrier lectronique, laccs par terminal distant et le transfert de chiers. Pourtant, cela ne signie pas que vous deviez initialiser et exploiter une zone par vous-mme et pour vous-mme. Si vous navez hrit que de quelques machines, vous pouvez rejoindre une zone existante (voir le Chapitre 3) ou trouver quelquun qui grera une zone pour vous. Si vous tes client dun fournisseur daccs pour votre connexion lInternet, demandez-lui sil peut grer une zone pour vous. Mme si vous ntes pas encore client, des entreprises sont prtes vous rendre ce service, commercialement. Si vous avez un peu plus de machines, vous voudrez probablement avoir votre propre zone et, pour avoir un contrle direct sur votre domaine et vos serveurs de noms, vous aurez la grer vous-mme. Ce livre est pour vous ! Si vous avez votre propre internet bas sur TCP/IP... ... vous avez probablement besoin du DNS. Par internet, nous ne dsignons pas un rseau Ethernet unique de stations de travail utilisant TCP/IP (lisez la section suivante si vous le pensiez), mais un rseau complexe de rseaux. Peut-tre mme avez-vous plusieurs dizaines de segments Ethernet connects par des routeurs, par exemple.
4.
Pour plus dinformation sur lInternet Systems Consortium et ses travaux sur BIND, on peut consulter http://www.isc.org/sw/bind/.
[12/01/08]
Laetitia MAISON
DNS et Bind
10
Chapitre 1 ContexteSi vous avez un rseau homogne et que vos htes nont pas besoin du DNS (sils ne fonctionnent pas en TCP/IP par exemple), alors vous pouvez vous en passer. Mais si , vous avez un parc htrogne, tout particulirement des versions diffrentes dUnix, vous aurez besoin du DNS. Il simpliera la distribution des informations et vous dbarrassera de toutes les procdures de distribution de tables dhtes que vous auriez pu concocter.
Si vous avez votre propre rseau local ou rseau de site... ... et que ce rseau nest pas connect un rseau fdrateur, vous pouvez probablement vous passer du DNS. Vous pouvez toutefois envisager dutiliser le service de noms Internet de Windows (Windows Internet Name Service ou WINS) de Microsoft, des tables dhtes ou le service dinformations en rseau (Network Information Service ou NIS) de Sun. Par contre, si vous avez besoin dune gestion distribue ou que vous rencontrez des problmes de cohrence des donnes dans votre rseau, le DNS est peut-tre fait pour vous. De plus, si vous prvoyez de connecter prochainement votre rseau un autre (rseau dentreprise ou lInternet), il peut tre judicieux de dmarrer un domaine ds prsent.
[12/01/08]
Laetitia MAISON
DNS et Bind
2Principes du DNS ...et, se disait Alice, quoi peut bien servir un livre o il ny a ni images ni conversations ?
Le systme de noms de domaine (Domain Name System) est avant tout une base de donnes dinformations sur les htes. On y trouve de nombreux renseignements : des noms dhtes utiles, des serveurs de noms, un espace de noms (une notion qui sera aborde plus loin). Ne perdons pas de vue, cependant, que le service du DNS fournit surtout des informations sur les htes dun internet. Nous avons dj expos certains des aspects importants du DNS, dont larchitecture client/serveur et la structure de la base de donnes, mais nous ne sommes pas beaucoup entrs dans les dtails et navons pas encore expliqu son fonctionnement. Dans ce chapitre, nous expliquerons et illustrerons donc le fonctionnement du DNS. Nous dnirons les termes indispensables pour la suite de la lecture de louvrage (et pour une discussion intelligible entre spcialistes). Tout dabord, intressons-nous aux concepts introduits dans le chapitre prcdent. Nous essaierons dy ajouter le plus de dtails possibles an de les rendre attrayants.
Espace de nomsLa base de donnes distribue du DNS est indexe par les noms. Chaque nom peut tre considr comme un simple chemin dans un grand arbre invers, ce dernier tant appel lespace de noms. La structure hirarchique de cet arbre ( gure 2-1) est similaire celle dun systme de chiers Unix. Larbre a une seule racine, situe en haut1. Dans un systme de chiers Unix, ce sommet est appel rpertoire-racine et est reprsent par une barre oblique / . Il est appel simplement racine (root) dans le cas du DNS. Comme pour un systme de chiers Unix, larbre du DNS peut rattacher des chemins, quel que soit leur nombre, chaque point dintersection, appel nud (node). La
1.
Cest lvidence un arbre dinformaticien, pas de botaniste.
[12/01/08]
Laetitia MAISON
DNS et Bind
12
Chapitre 2 Principes du DNS
profondeur de larbre est limite 127 niveaux (limite quil nest pas souhaitable datteindre !).""
arpa
com
edu
gov
mil
org
Figure 2-1. La structure de lespace de noms du DNS
Noms absolusChaque nud de larbre a un nom individuel (sans point . ) dune longueur maximale de 63 caractres. Le nom de longueur nulle est rserv la racine. Le nom complet de chaque nud de larbre est la succession des noms individuels sur le chemin qui va du nud la racine. Les noms complets sont toujours lus du nud vers la racine (lecture ascendante), avec ajout dun point sparateur entre chaque nom individuel. Si le nom du nud-racine apparat dans un nom de nud, le nom du nud semble se terminer par un point, comme dans www.oreilly.com. ; il se termine en fait par un point (le sparateur), suivi du nom de longueur nulle. Lorsque le nom du nud-racine apparat isolment, il est reprsent par un point unique . . Par consquent, certains logiciels considrent quun point terminal dans un nom indique un nom absolu. Un nom absolu est dcrit relativement la racine et indique sans ambigut la position dun nud dans la hirarchie. Un nom absolu est aussi appel nom totalement quali (Fully Qualied Domain Name ou FQDN). Les noms sans point terminal sont parfois interprts relativement un domaine, autre que la racine, tout comme les noms de rpertoire sans barre oblique initiale sont interprts relativement au rpertoire courant. Le DNS impose que les nuds-enfants dun mme parent aient des noms diffrents. Cette rgle garantit quun nom dsigne un nud unique de larbre. Ce nest donc pas une limitation, car les noms ne doivent tre uniques quimmdiatement en dessous dun mme nud et non pas par rapport tous les nuds de larbre. La mme rgle sapplique au systme de chiers Unix : vous ne pouvez pas nommer deux objets dun mme sous-rpertoire de la mme manire. Tout comme vous ne pouvez pas avoir deux nuds hobbes.pa.ca.us dans le mme espace de noms, vous ne pouvez pas non plus avoir
[12/01/08]
Laetitia MAISON
DNS et Bind
Espace de noms
13
deux rpertoires /usr/bin dans le mme systme de chiers ( gure 2-2). Par contre, vous pouvez avoir un nud hobbes.pa.ca.us et un nud hobbes.lg.ca.us, de la mme manire quun rpertoire /bin et un rpertoire /usr/bin.
Base de donnes du DNS
""
us
ca
il
pa
mpk
lg hobbes.lg.ca.us
hobbes
hobbes
hobbes hobbes.pa.ca.us hobbes.pa.ca.us
impossible au mme niveau
Systme de fichiers Unix
/
usr
bin
etc /bin
system
bin
bin
/usr/bin impossible au mme niveau /usr/bin
Figure 2-2. Garantie dunicit de noms dans le DNS et de chemins dans Unix
DomainesUn domaine est tout simplement un sous-arbre de lespace de noms. Le nom dun domaine est celui du nud au sommet du domaine. Ainsi, par exemple, le sommet du domaine purdue.edu est un nud nomm purdue.edu ( gure 2-3). De la mme manire, dans un systme de chiers, vous tes en droit dattendre un nud appel /usr au sommet du rpertoire /usr ( gure 2-4). Tout nom du sous-arbre est considr comme faisant partie du domaine. Un nom peut apparatre dans plusieurs sous-arbres ; il peut donc apparatre galement dans plusieurs domaines. Par exemple, le nom pa.ca.us est une partie du domaine ca.us mais aussi du domaine us ( gure 2-5).
[12/01/08]
Laetitia MAISON
DNS et Bind
14
Chapitre 2 Principes du DNS
""
edu
com
org
nud purdue.edupurdue
domaine purdue.edu
Figure 2-3. Le domaine purdue.edu/
nud /usr usr
bin
etc
rpertoire /usr
Figure 2-4. Le rpertoire /usr""
net us
mil domaine us
il ca nud pa.ca.us pa pa mpk
ny
domaine ca.us
Figure 2-5. Un nud peut appartenir plusieurs domaines[12/01/08]
Laetitia MAISON
DNS et Bind
Espace de noms
15
Un domaine est donc simplement un sous-arbre de lespace de noms et il est constitu de noms et de domaines. Il reste maintenant y placer les htes, car les domaines sont aussi des groupes dhtes. Les htes sont quant eux reprsents par des noms. Souvenons-nous que les noms sont simplement des index dans la base de donnes du DNS. Les htes sont les noms qui dsignent des informations concernant un hte individuel et un domaine contient tous les htes dont les noms sont dans le domaine. Les htes sont rpartis de manire logique, souvent gographique ou par appartenance une entreprise, mais pas ncessairement par rseau, adresse ou type de matriel. Vous pouvez avoir dix htes diffrents, chacun deux sur un rseau diffrent et ventuellement dans des pays diffrents, mais appartenant pourtant au mme domaine. Attention, il ne faut pas confondre les domaines DNS avec les domaine NIS (Network Information Service). Un domaine NIS dsigne aussi un groupe dhtes, la structure des noms est similaire dans les deux cas mais les concepts sont diffrents. NIS utilise des noms hirarchiques mais la similitude sarrte l : les htes dun mme domaine NIS partagent des donnes concernant les htes et les utilisateurs, mais ils ne peuvent pas naviguer dans lespace de noms NIS pour rechercher des informations en provenance des autres domaines NIS. De la mme manire, les domaines NT, qui fournissent des services de gestion de comptes et de scurit, nont aucun rapport avec les domaines du DNS. Par contre, les domaines Active Directory sont intimement lis aux domaines DNS. Nous parlerons des relations entre DNS et Active Directory au Chapitre 17. Les noms aux extrmits infrieures de larbre (les feuilles) dsignent en gnral des htes individuels et peuvent donner accs des adresses de machines, des informations sur le matriel ou des prcisions sur le routage de la messagerie. Les noms lintrieur de larbre peuvent dsigner un hte et peuvent donner accs des informations concernant le domaine, indiffremment. Ces deux cas ne sont pas exclusifs lun de lautre : un nom intrieur peut reprsenter simultanment le domaine et un hte dans le rseau. Par exemple, hp.com est la fois le nom du domaine de la socit HewlettPackard et le nom dun hte qui hberge le serveur web principal de HP . Le type dinformation renvoye lors de lutilisation dun nom, dpend du contexte dans lequel vous lutilisez. Lexpdition dun courrier lectronique quelquun dans hp.com doit produire le renvoi dune information de routage de courrier, alors quune connexion ssh doit provoquer la recherche dune information sur un hte (par exemple, la gure 2-6, ladresse IP de hp.com). Un domaine peut avoir plusieurs sous-arbres, appels sous-domaines2. Un moyen simple pour dterminer si un domaine est sous-domaine dun autre domaine, consiste comparer leurs noms. Le nom dun sous-domaine se termine par le nom de son parent. Par exemple, le domaine la.tyrell.com doit tre un sous-domaine de tyrell.com car la.tyrell.com se termine par tyrell.com. Il est aussi sous-domaine de com.
2.
Les termes domaine et sous-domaine sont souvent utiliss sans distinction ou presque, dans les documentations relatives au DNS. Dans cet ouvrage, nous utilisons le terme de sous-domaine dans le sens relatif : un domaine A est un sous-domaine dun domaine B si la racine de A se trouve dans le domaine B.
[12/01/08]
Laetitia MAISON
DNS et Bind
16
Chapitre 2 Principes du DNS
""
com adresse IP de hp.com hp
corp
gr
sdd
Figure 2-6. Un nud interne contenant la fois des donne sur un hte et sur un domainePlutt que dtre classs relativement un domaine, les sous-domaines sont souvent classs par niveau (level). Dans les listes de diffusion et les forums, les termes domaine de niveau suprieur (top-level domain, TLD) ou domaine de second niveau (second-level domain) sont parfois utiliss pour marquer une hirarchie de valeur. Ils font simplement rfrence la position du domaine dans lespace de noms :
un domaine de niveau suprieur est un enfant direct de la racine ; un domaine de premier niveau ( rst-level domain) est un enfant direct de la racine(cest un domaine de niveau suprieur) ;
un domaine de second niveau est un enfant dun domaine de premier niveau, etainsi de suite.
Enregistrements de ressourceLes donnes associes aux noms sont contenues dans des enregistrements de ressource (resource records ou RR). Ces enregistrements sont diviss en classes, chacune delles se rapportant un type de rseau ou de logiciel. ce jour, il existe des classes pour les internets TCP/IP pour les rseaux bass sur les protocoles de Chaosnet (un ancien , rseau dont lhistoire est signicative) et pour les rseaux qui utilisent le logiciel Hesiod. La classe des internets TCP/IP est de loin la plus rpandue (nous ne savons pas si quelquun utilise encore la classe Chaosnet et lutilisation de la classe Hesiod est essentiellement conne au MIT). Dans cet ouvrage, nous nous consacrerons donc surtout la classe des internets. lintrieur dune classe, les enregistrements sont rpartis en types qui correspondent aux diffrentes catgories de donnes pouvant tre stockes dans lespace de noms. Chaque classe denregistrement peut avoir ses propres types, bien que certains types existent dans plusieurs classes. En effet, quasiment chaque classe a un type adresse. Chaque type denregistrement dans une classe donne a une syntaxe particulire que tous les enregistrements de ressource de cette classe et de ce type doivent respecter. Si ces informations vous paraissent incompltes, ne vous inquitez pas ; nous ne manquerons pas de dcrire en dtail les enregistrements pour la classe des internets. Les enregistrements les plus courants sont dcrits au Chapitre 4 et une liste dtaille est incluse lAnnexe A.
[12/01/08]
Laetitia MAISON
DNS et Bind
Espace de noms du domaine Internet
17
Espace de noms du domaine InternetJusquici, nous avons parl de la structure thorique de lespace de noms et du type des donnes qui y sont mmorises ; nous avons mme mis en valeur diffrents types de noms laide dexemples (parfois ctifs). Cela ne permet cependant pas de comprendre les noms que lon rencontre quotidiennement dans lInternet. Le systme de noms de domaine impose peu de rgles sur les noms individuels de nuds et nassocie aucune signication particulire aux noms dun niveau particulier. Quand vous grez une partie de lespace de noms, vous pouvez xer votre propre smantique. Vous pouvez mme nommer vos sous-domaines par les lettres de lalphabet et personne ne pourrait vous en empcher (tout au plus, fortement vous le dconseiller). Lactuel espace de noms de lInternet a toutefois une structure organise. Dans les domaines de niveau suprieur, les noms suivent des traditions (pas des rgles, car ces noms ont t et peuvent encore tre modis), ce qui permet dviter lanarchie. La comprhension de cette structure par un utilisateur est un norme avantage pour le dchiffrement de la smantique dun nom.
Domaines de niveau suprieur lorigine, les domaines de niveau suprieur (top level domains) dcoupaient lespace de noms de lInternet en sept domaines : com pour les entreprises commerciales telles que Hewlett-Packard (hp.com), Sun Microsystems (sun.com) ou IBM (ibm.com). edu est rserv aux organismes universitaires des tats-Unis, tels que lUniversit de Californie Berkeley (berkeley.edu) ou lUniversit de Purdue (purdue.edu). gov est rserv aux organismes gouvernementaux des tats-Unis, tels que la NASA (nasa.gov) ou la National Science Foundation (nsf.gov). mil est rserv aux organismes militaires des tats-Unis, tels que lU.S. Army (army.mil) ou la Navy (navy.mil). net est rserv aux organismes fournissant une infrastructure de rseau, tels que NSFNET (nsf.net) ou UUNET (uu.net). Toutefois, depuis 1996, net a t ouvert aux entreprises commerciales, ce qui tait dj le cas pour com. org est rserv aux organismes non-commerciaux, tels que Electronic Frontier Foundation (eff.org). Comme net, toutefois, les restrictions sur org ont t leves en 1996.
[12/01/08]
Laetitia MAISON
DNS et Bind
18int
Chapitre 2 Principes du DNS
est rserv aux organismes internationaux, tels que lOTAN (nato.int). Un autre domaine de niveau suprieur, appel arpa, a t utilis pendant la priode o ARPAnet passait de lutilisation dune table dhtes lutilisation du DNS. Tous les htes du rseau ARPAnet initial avaient un nom dans le domaine arpa et restaient donc faciles trouver. Par la suite, les htes furent dplacs vers divers sous-domaines. Toutefois, le domaine arpa est toujours utilis dans un contexte prcis, dcrit plus loin. On peut noter un certain dsquilibre dans lorientation gnrale, qui correspond des organisations amricaines. Cela est comprhensible dans la mesure o lInternet est le successeur dARPAnet, projet de recherche amricain. Personne navait prvu le succs dARPAnet, ni mme quil pourrait avoir une porte internationale sous le nom dInternet. Aujourdhui, les domaines initiaux sont appels domaines gnriques de niveau suprieur (generic top-level domains ou gTLD). Le terme gnrique doit tre oppos aux domaines nationaux de niveau suprieur, particuliers chaque pays.
Domaines nationaux de niveau suprieurPour saccommoder de la mondialisation de lInternet, les concepteurs de son espace de noms ont d faire quelques compromis. Plutt que de rechercher tout prix des noms de domaine de niveau suprieur dcrivant des organismes, ils ont ajout une dnomination par pays. De nouveaux domaines de niveau suprieur ont t dclars (mais pas ncessairement crs) pour dsigner ces pays. Leur nom respecte une norme internationale appele ISO 31663. Cette dernire tablit des noms abrgs sur deux lettres pour tous les pays du monde. Nous avons inclus la liste des actuels domaines de niveau suprieur lAnnexe D.
Nouveaux domaines de niveau suprieurEn 2000, lorganisme qui gre le DNS, lICANN (Internet Corporation for Assigned Names and Numbers), a cr sept nouveaux domaines gnriques pour pouvoir prendre en compte lexpansion rapide dInternet et le besoin de plus despace de noms. Certains dentre eux sont de vritables domaines gnriques de niveau suprieur, de la mme manire que com, net ou org, alors que dautres se rapprochent de lide de gov ou mil : ils sont rservs une communaut spcique (et parfois de manire surprenante). LICANN y fait rfrence sous le vocable de sponsored TLD (sTLD), par opposition avec les premiers (unsponsored gTLD). Un TLD sponsoris dispose dune charte qui dnit sa fonction, et il est gr par un organisme sponsoris, qui xe sa politique et contrle son fonctionnement, avec le soutien de lICANN. Voici les nouveaux gTLD : aero Sponsoris, pour lindustrie aronautique.
3.
Sauf pour la Grande Bretagne. Daprs lISO 3166 et la tradition dans lInternet, le nom du domaine de niveau suprieur pour la Grande Bretagne devrait tre gb. Pourtant, de nombreux organismes de Grande Bretagne ou dIrlande du Nord (Royaume Uni ou United Kingdom) utilisent le nom uk.
[12/01/08]
Laetitia MAISON
DNS et Bind
Espace de noms du domaine Internetbiz Gnrique. coop Sponsoris, pour les cooprations. info Gnrique. museum Sponsoris, pour les muses. name Gnriques, pour les particuliers. pro Gnriques, pour les professionnels.
19
Plus rcemment, au dbut de 2005, lICANN a approuv deux nouveaux TLD sponsoriss, jobs, pour la gestion des ressources humaines, et travel, pour les professionnels du voyage. Plusieurs autres TLD sponsoriss sont en cours dvaluation, dont cat, pour la communaut linguistique et culturelle catalane, mobi, pour les mobiles, et post, pour la communaut de la poste. Jusqu prsent, seul mobi a t dlgu partir de la racine. Vous pouvez en savoir plus sur le site de lICANN http://www.icann.org.
Quelques prcisions lintrieur de ces domaines de niveau suprieur, les traditions varient ainsi que leur porte. Certains des domaines de type ISO 3166 suivent formellement le dcoupage amricain initial. Par exemple, le domaine pour lAustralie, au, a des sous-domaines comme edu.au et com.au. Dautres domaines de niveau suprieur ISO 3166 suivent lexemple du domaine uk et ont des sous-domaines comme co.uk pour les entreprises (corporations) ou ac.uk pour la communaut acadmique. Cependant, dans la plupart des cas, les domaines gographiques de niveau suprieur ont une structure smantique organise. Cela ntait pas vrai pour le domaine us lorigine. ses dbuts, ce domaine avait cinquante sous-domaines, correspondant aux cinquante tats amricains4. Chacun deux tait nomm selon labrviation standard sur deux lettres pour les tats, celle normalise par le service postal amricain. lintrieur de chaque tat, le dcoupage tait encore essentiellement gographique, la plupart des sous-domaines correspondant des villes. lintrieur des villes, les noms correspondaient habituellement des htes individuels. Tout comme de nombreuses rgles despaces de noms, cette structure a t abandonne lors de la reprise de la gestion de us par Neustar en 2002. Dsormais, us, tout comme com et net, est ouvert tous.
4.
En ralit, il y a quelques domaines supplmentaires sous us : un pour Washington, un pour Guam, etc.
[12/01/08]
Laetitia MAISON
DNS et Bind
20
Chapitre 2 Principes du DNS
Interprtation des nomsMaintenant que vous savez ce que reprsente la majorit des domaines de niveau suprieur et comment est structur leur espace de noms, vous comprendrez certainement plus facilement la plupart des noms. Prenons des exemples et analysons-les : lithium.cchem.berkeley.edu Nous vous avons dj parl de berkeley.edu propos du domaine de lUniversit de Berkeley (mme si nous ne lavions pas prcdemment cit, vous pourriez constater quil correspond une universit amricaine en raison de son appartenance au domaine edu). cchem est le sous-domaine de berkeley.edu pour le College of Chemistry. Enn, lithium est le nom dun hte prcis, et probablement un parmi une centaine, si on suppose quil y a un hte par lment chimique. winnie.corp.hp.com Cet exemple est un peu plus complexe. Le domaine hp.com appartient probablement la socit Hewlett-Packard (nous lavons dj voqu). Son sous-domaine corp est sans doute celui de son sige et winnie est sans doute un nom invent par quelquun pour baptiser une machine. fernwood.mpk.ca.us Ici, vous devrez utiliser votre connaissance du domaine us. ca.us est manifestement le domaine pour la Californie, mais mpk peut tre nimporte quoi. Ici, il nest pas vident de deviner quil sagit du domaine de Menlo Park moins de connatre fond la gographie de la baie de San Francisco (et non, ce nest pas le Menlo Park o a vcu Edison dans le New Jersey). daphne.ch.apollo.hp.com Nous citons cet exemple uniquement pour que vous ne pensiez pas que tous les noms sont uniquement composs de quatre membres. apollo.hp.com est lancien sous-domaine dApollo Computer lintrieur du domaine hp.com (quand la socit HP a achet Apollo, elle a hrit du domaine Internet dApollo, apollo.com, qui est devenu apollo.hp.com). ch.apollo.hp.com est le site dApollo de Chelmsford dans le Massachusetts. daphne est un hte Chelmsford.
Dlgation dautoritSouvenons-nous que lun des principaux buts du systme de noms de domaine est de dcentraliser sa propre administration. Cela est possible par la dlgation. La dlgation de domaine ressemble beaucoup la dlgation de tches au travail. Un dirigeant peut scinder un grand projet en petites tches et dlguer la responsabilit de chacune delles diffrentes personnes. De la mme manire, un organisme grant un domaine peut le diviser en sousdomaines. Chacun deux peut tre dlgu un autre organisme, qui devient responsable de la gestion de toutes les informations de ce sous-domaine. Cet organisme peut modier librement les donnes et mme dcouper son sous-domaine en plusieurs sousdomaines, puis les dlguer. Le domaine-parent contient seulement des pointeurs vers les origines des donnes du sous-domaine et il peut indiquer ces pointeurs ceux qui
[12/01/08]
Laetitia MAISON
DNS et Bind
Serveurs de noms et zones
21
les demandent. Par exemple, le domaine stanford.edu est dlgu aux personnes de Stanford qui exploitent le rseau de luniversit ( gure 2-7).""
edu
org
mil
mit stanford
cmu
gr par lUniversit de Stanford
Figure 2-7. stanford.edu est dlgu lUniversit de StanfordTous les organismes ne dlguent pas la totalit de leur domaine, de mme que tous les dirigeants ne dlguent pas tout leur travail. Un domaine peut avoir plusieurs sousdomaines et aussi contenir des htes qui ne sont dans aucun sous-domaine. Par exemple, la socit Acme Corporation a une division Rockaway et son sige Kalamazoo. Elle pourrait avoir deux sous-domaines : rockaway.acme.com et kalamazoo.acme.com. Toutefois, les quelques htes dans les bureaux de vente disperss sur le territoire amricain entreront mieux dans le domaine acme.com que dans les sousdomaines. Nous expliquerons ultrieurement comment crer et dlguer des sous-domaines. Pour le moment, il est important de comprendre que la dlgation est le transfert de la responsabilit dun sous-domaine vers un autre organisme.
Serveurs de noms et zonesLes htes qui stockent les informations de lespace de noms sont appels des serveurs de noms. Les serveurs de noms disposent en gnral de toutes les informations concernant une partie de lespace de noms, appele zone. Ils chargent ces informations partir dun chier local ou dun autre serveur de noms. On dit alors que le serveur de noms fait autorit sur la zone. Un serveur de noms peut faire autorit sur plusieurs zones. La diffrence entre une zone et un domaine est subtile mais importante. Tous les domaines de niveau suprieur, ainsi que de nombreux domaines de second niveau ou plus (comme berkeley.edu ou hp.com), sont dcoups en units plus petites et plus faciles grer, par dlgation. Ces units sont appeles zones. Le domaine edu ( gure 2-8) est divis en de nombreuses zones, dont berkeley.edu, purdue.edu ou nwu.edu. Au sommet du domaine, il y a une zone edu. Il est normal que ceux qui exploitent edu veuillent le scinder, sinon ils auraient grer eux-mmes le sous-domaine berkeley.edu. Il est plus sens de dlguer berkeley.edu lUniversit de Berkeley. Que reste-t-il ceux qui exploitent edu ? La zone edu, qui contient essentiellement des informations de dlgation aux sous-domaines de edu.
[12/01/08]
Laetitia MAISON
DNS et Bind
22
Chapitre 2 Principes du DNS
""
com
edu zone eduati on ati on d lg d lg
org
berkeley nwu
purdue
zone berkeley.edu
zone purdue.edu
domaine edu
Figure 2-8. Le domaine edu divis en zonesLe sous-domaine berkeley.edu est lui-mme divis en zones par dlgation ( gure 2-9). Il existe des sous-domaines dlgus appels cc, cs, ce, me, etc. Chacun deux est dlgu un ensemble de serveurs de noms et certains dentre eux font aussi autorit pour le domaine berkeley.edu. De toutes faons, les zones sont toujours spares et peuvent avoir des groupes de serveurs de noms faisant autorit totalement diffrents.""
edu
zone berkeley.edu berkeley
zone edu
= dlgation
cc
ce
cs
me
zone cc.berkeley.edu
zone zone ce.berkeley.edu cs.berkeley.edu
zone me.berkeley.edu
Figure 2-9. Le domaine berkeley.edu divis en zones[12/01/08]
Laetitia MAISON
DNS et Bind
Serveurs de noms et zones
23
Une zone contient tous les noms contenus dans le domaine de mme nom, excepts les noms qui sont dans des sous-domaines dlgus. Par exemple, le domaine de niveau suprieur ca (pour le Cana
![O reilly,.head.first.servlets.and.jsp.(2007),.2 ed.[0596516681]](https://img.pdfslide.net/doc/110x75/5587dcd2d8b42a15638b45b1/o-reillyheadfirstservletsandjsp20072-ed0596516681.jpg)
