Différences

Ci-dessous, les différences entre deux révisions de la page.

--- systeme:windows:server:bind [2025/11/14 09:44] – [Installation de Kerberos sur le serveur BIND] admin
+++ systeme:windows:server:bind [2025/11/18 11:59] (Version actuelle) – admin
@@ Ligne 96: / Ligne 96: @@
 ===== Configurer la mise à jour dynamique de BIND9 (Attendre - documentation non mise à jour)=====
+==== Synchronisation de l'heure ====
+Kerberos exige une synchronisation stricte (±5 minutes). Si l’horloge dérive, l’authentification échoue :
+  * Debian utilsie openntpd
+  * Active Directory utilise Windows Time Service (W32Time) basé sur NTP.
+=== Configurer NTP sur ns0n ===
+<code shell>
+apt install openntpd
+</code>
 ==== Intégrer le serveur BIND dans le domaine AD ====
   * installer les prérequis
@@ Ligne 138: / Ligne 149: @@
-==== Installation de Kerberos sur le serveur BIND ====
+==== Installation du client Kerberos sur le serveur BIND ====
+L'installation du client Kerberos est nécessaire pour que Bind9 puisse authentifier les requêtes venant d’AD via GSSAPI.
   * installer les paquets
@@ Ligne 178: / Ligne 190: @@
 <code>
 kinit dnsbind@AGENCE.CUB.FR
 </code>
 Le mot de passe sera demandé et la commande suivant permet de lister le ticket Kerberos créé :
@@ Ligne 185: / Ligne 198: @@
+Depuis une invite de commande de votre serveur BIND, testez une authentification avec le principal (SPN) du compte dnsbind :
+<code>
+// Authentification Kerberos avec le principal voulu avec saisie du mot de passe
+kinit DNS/nsO.agence.cub.fr@AGENCE.CUB.FR
+// Authentification Kerberos avec le principal voulu sans saisie du mot de passe
+kinit -k -t /etc/krb5.keytab DNS/nsO.agence.cub.fr@AGENCE.CUB.FR
+</code>
+    * Commentaires :
+      * -k : préciser l'utilisation d'un fichier keytab
+      * -t ou -T : préciser l'utilisation d'un ticket kerberos
+<WRAP center round info>
+Pour retirer les tickets d’authentification actifs (invalider la session Kerberos), utilise la commande suivante :
+<code>
+kdestroy
+</code>
+Cela détruit le cache des tickets Kerberos (TGT et TGS). Options utiles :
+  * -A : supprime tous les caches si plusieurs existent.
+  * -q : mode silencieux.
+Par défaut, le cache est dans /tmp/krb5cc_<UID>.
+</WRAP>
 ==== Création du principal dnsbind ====
 Pour permettre au serveur Windows AD de s’authentifier automatiquement auprès du service BIND, un principal va être créé.
@@ Ligne 201: / Ligne 239: @@
 Le principal Kerberos doit correspondre au FQDN du serveur BIND
+=== Vérifier la création du principal du compte dnsbind ===
+<WRAP center round info>
+**SPN** : ServicePrincipalName
+</WRAP>
+  * Visualiser le ou les SPN du compte (setspn -L NomDuCompte)
+<code>
+setspn -L dnsbind
+</code>
+  * Ajouter un SPN au compte (setspn -A HTTP/serveur.domaine.local NomDuCompte)
+<code>
+setspn -A DNS/ns0.agence.cub.fr dnsbind
+</code>
+  * Supprimer un SPN au compte (setspn -D HTTP/serveur.domaine.local NomDuCompt)
+<code>
+setspn -D DNS/ns0.agence.cub.fr dnsbind
+</code>
+  * Vérifier s'il n'y a pas de doublon ce qui peut faire échouer l'authentification Kerberos
+<code>
+setspn -X
+</code>
 Copier avec scp de fichier dnsbind.keytab dasn le dossier /etc du serveur BIND avec le nom krb5.keytab
@@ Ligne 215: / Ligne 281: @@
 </code>
-Pour visualiser le contenu
+Tester l’authentification Kerberos
 <code>
-cp /home/sio/dbsbind.keytab /etc/krb5.keytab
+kinit -k -t /etc/krb5.keytab DNS/ns0.oslo.cub.fr@OSLO.CUB.FR
-chown bind:bind /etc/krb5.keytab
-chmod 600 /etc/krb5.keytab
 </code>
+Visualiser le ticket
+<code>
+klist
+</code>
+Un ticket valide doit être affiché
+<code>
+root@NS0:/etc/bind# klist
+Ticket cache: FILE:/tmp/krb5cc_0
+Default principal: DNS/ns0.oslo.cub.fr@OSLO.CUB.FR
+Valid starting     Expires            Service principal
+/17/25 16:10:03  11/18/25 02:10:03  krbtgt/OSLO.CUB.FR@OSLO.CUB.FR
+        renew until 11/18/25 16:10:03
+</code>
+Tester la création d'un enregistrement
+<code>
+// Authentification Kerberos avec le principal voulu avec saisie du mot de passe
+kinit DNS/nsO.agence.cub.fr@AGENCE.CUB.FR
+// Authentification Kerberos avec le principal voulu sans saisie du mot de passe
+kinit -k -t /etc/krb5.keytab DNS/nsO.agence.cub.fr@AGENCE.CUB.FR
+nsupdate -g
+> server ns0.agence.cub.fr
+> zone agence.cub.fr
+> update add test.agence.cub.fr 3600 A 192.168.1.50
+> send
+</code>
 ====  Utiliser le fichier keytab dans BIND pour les mises à jour dynamiques====
 Les lignes de configuration **tkey-gssapi-credential** et **tkey-domain** doivent être ajoutées dans le fichier **named.conf.options** de BIND9, dans le bloc options.
@@ Ligne 245: / Ligne 341: @@
         file "/etc/bind/db.agence.cub.fr";
         update-policy {
-           grant * subdomain agence.cub.fr. ANY;
+           grant DNS/ns0.oslo.cub.fr@OSLO.CUB.FR zonesub ANY;
         };
 };
 </code>
+<WRAP center round info>
+Le mot-clé **zonesub** :
+zonesub autorise les mises à jour dans la zone et ses sous-domaines.
+Pour limiter les mises à jour à la zone principale, utilisez **zone ANY** à la place de **zonesub ANY**.
+</WRAP>
 Relancer BIND9