Différences

Ci-dessous, les différences entre deux révisions de la page.

--- systeme:windows:server:bind [2025/11/17 16:35] – [Création du principal dnsbind] admin
+++ systeme:windows:server:bind [2025/11/18 11:59] (Version actuelle) – admin
@@ Ligne 190: / Ligne 190: @@
 <code>
 kinit dnsbind@AGENCE.CUB.FR
 </code>
 Le mot de passe sera demandé et la commande suivant permet de lister le ticket Kerberos créé :
@@ Ligne 197: / Ligne 198: @@
+Depuis une invite de commande de votre serveur BIND, testez une authentification avec le principal (SPN) du compte dnsbind :
+<code>
+// Authentification Kerberos avec le principal voulu avec saisie du mot de passe
+kinit DNS/nsO.agence.cub.fr@AGENCE.CUB.FR
+// Authentification Kerberos avec le principal voulu sans saisie du mot de passe
+kinit -k -t /etc/krb5.keytab DNS/nsO.agence.cub.fr@AGENCE.CUB.FR
+</code>
+    * Commentaires :
+      * -k : préciser l'utilisation d'un fichier keytab
+      * -t ou -T : préciser l'utilisation d'un ticket kerberos
+<WRAP center round info>
+Pour retirer les tickets d’authentification actifs (invalider la session Kerberos), utilise la commande suivante :
+<code>
+kdestroy
+</code>
+Cela détruit le cache des tickets Kerberos (TGT et TGS). Options utiles :
+  * -A : supprime tous les caches si plusieurs existent.
+  * -q : mode silencieux.
+Par défaut, le cache est dans /tmp/krb5cc_<UID>.
+</WRAP>
 ==== Création du principal dnsbind ====
 Pour permettre au serveur Windows AD de s’authentifier automatiquement auprès du service BIND, un principal va être créé.
@@ Ligne 228: / Ligne 254: @@
 <code>
-setspn -A HOST/ns0.agence.cub.fr dnsbind
+setspn -A DNS/ns0.agence.cub.fr dnsbind
 </code>
@@ Ligne 234: / Ligne 260: @@
 <code>
-setspn -D HOST/ns0.agence.cub.fr dnsbind
+setspn -D DNS/ns0.agence.cub.fr dnsbind
 </code>
@@ Ligne 255: / Ligne 281: @@
 </code>
-Pour visualiser le contenu
+Tester l’authentification Kerberos
 <code>
-cp /home/sio/dbsbind.keytab /etc/krb5.keytab
+kinit -k -t /etc/krb5.keytab DNS/ns0.oslo.cub.fr@OSLO.CUB.FR
-chown bind:bind /etc/krb5.keytab
-chmod 600 /etc/krb5.keytab
 </code>
+Visualiser le ticket
+<code>
+klist
+</code>
+Un ticket valide doit être affiché
+<code>
+root@NS0:/etc/bind# klist
+Ticket cache: FILE:/tmp/krb5cc_0
+Default principal: DNS/ns0.oslo.cub.fr@OSLO.CUB.FR
+Valid starting     Expires            Service principal
+/17/25 16:10:03  11/18/25 02:10:03  krbtgt/OSLO.CUB.FR@OSLO.CUB.FR
+        renew until 11/18/25 16:10:03
+</code>
+Tester la création d'un enregistrement
+<code>
+// Authentification Kerberos avec le principal voulu avec saisie du mot de passe
+kinit DNS/nsO.agence.cub.fr@AGENCE.CUB.FR
+// Authentification Kerberos avec le principal voulu sans saisie du mot de passe
+kinit -k -t /etc/krb5.keytab DNS/nsO.agence.cub.fr@AGENCE.CUB.FR
+nsupdate -g
+> server ns0.agence.cub.fr
+> zone agence.cub.fr
+> update add test.agence.cub.fr 3600 A 192.168.1.50
+> send
+</code>
 ====  Utiliser le fichier keytab dans BIND pour les mises à jour dynamiques====
 Les lignes de configuration **tkey-gssapi-credential** et **tkey-domain** doivent être ajoutées dans le fichier **named.conf.options** de BIND9, dans le bloc options.
@@ Ligne 285: / Ligne 341: @@
         file "/etc/bind/db.agence.cub.fr";
         update-policy {
-           grant * subdomain agence.cub.fr. ANY;
+           grant DNS/ns0.oslo.cub.fr@OSLO.CUB.FR zonesub ANY;
         };
 };
 </code>
+<WRAP center round info>
+Le mot-clé **zonesub** :
+zonesub autorise les mises à jour dans la zone et ses sous-domaines.
+Pour limiter les mises à jour à la zone principale, utilisez **zone ANY** à la place de **zonesub ANY**.
+</WRAP>
 Relancer BIND9