Les cours du BTS SIO

Outils pour utilisateurs

Outils du site

Piste : bind
systeme:windows:server:bind

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
systeme:windows:server:bind [2025/11/17 17:15] – [Création du principal dnsbind] adminsysteme:windows:server:bind [2025/11/18 11:59] (Version actuelle) admin
Ligne 190: Ligne 190:
 <code> <code>
 kinit dnsbind@AGENCE.CUB.FR kinit dnsbind@AGENCE.CUB.FR
 +
 </code> </code>
 Le mot de passe sera demandé et la commande suivant permet de lister le ticket Kerberos créé : Le mot de passe sera demandé et la commande suivant permet de lister le ticket Kerberos créé :
Ligne 197: Ligne 198:
  
  
 +Depuis une invite de commande de votre serveur BIND, testez une authentification avec le principal (SPN) du compte dnsbind :
 +<code>
 +// Authentification Kerberos avec le principal voulu avec saisie du mot de passe
 +kinit DNS/nsO.agence.cub.fr@AGENCE.CUB.FR
  
 +// Authentification Kerberos avec le principal voulu sans saisie du mot de passe
 +kinit -k -t /etc/krb5.keytab DNS/nsO.agence.cub.fr@AGENCE.CUB.FR
 +</code>
 +
 +    * Commentaires : 
 +      * -k : préciser l'utilisation d'un fichier keytab
 +      * -t ou -T : préciser l'utilisation d'un ticket kerberos
 +
 +<WRAP center round info>
 +Pour retirer les tickets d’authentification actifs (invalider la session Kerberos), utilise la commande suivante :
 +
 +<code>
 +kdestroy
 +</code>
 +
 +Cela détruit le cache des tickets Kerberos (TGT et TGS). Options utiles :
 +  * -A : supprime tous les caches si plusieurs existent.
 +  * -q : mode silencieux.
 +
 +Par défaut, le cache est dans /tmp/krb5cc_<UID>.
 +</WRAP>
 ==== Création du principal dnsbind ==== ==== Création du principal dnsbind ====
 Pour permettre au serveur Windows AD de s’authentifier automatiquement auprès du service BIND, un principal va être créé. Pour permettre au serveur Windows AD de s’authentifier automatiquement auprès du service BIND, un principal va être créé.
Ligne 266: Ligne 292:
  
 Un ticket valide doit être affiché  Un ticket valide doit être affiché 
-code>+<code>
 root@NS0:/etc/bind# klist root@NS0:/etc/bind# klist
 Ticket cache: FILE:/tmp/krb5cc_0 Ticket cache: FILE:/tmp/krb5cc_0
Ligne 276: Ligne 302:
 </code> </code>
  
 +
 +Tester la création d'un enregistrement 
 +<code>
 +// Authentification Kerberos avec le principal voulu avec saisie du mot de passe
 +kinit DNS/nsO.agence.cub.fr@AGENCE.CUB.FR
 +
 +// Authentification Kerberos avec le principal voulu sans saisie du mot de passe
 +kinit -k -t /etc/krb5.keytab DNS/nsO.agence.cub.fr@AGENCE.CUB.FR
 +
 +nsupdate -g
 +> server ns0.agence.cub.fr
 +> zone agence.cub.fr
 +> update add test.agence.cub.fr 3600 A 192.168.1.50
 +> send
 +
 +</code>
 ====  Utiliser le fichier keytab dans BIND pour les mises à jour dynamiques==== ====  Utiliser le fichier keytab dans BIND pour les mises à jour dynamiques====
 Les lignes de configuration **tkey-gssapi-credential** et **tkey-domain** doivent être ajoutées dans le fichier **named.conf.options** de BIND9, dans le bloc options. Les lignes de configuration **tkey-gssapi-credential** et **tkey-domain** doivent être ajoutées dans le fichier **named.conf.options** de BIND9, dans le bloc options.
Ligne 299: Ligne 341:
         file "/etc/bind/db.agence.cub.fr";         file "/etc/bind/db.agence.cub.fr";
         update-policy {         update-policy {
-           grant * subdomain agence.cub.fr. ANY;+           grant DNS/ns0.oslo.cub.fr@OSLO.CUB.FR zonesub ANY;
         };         };
 }; };
 </code> </code>
 +
 +<WRAP center round info>
 +Le mot-clé **zonesub** :
 +
 +zonesub autorise les mises à jour dans la zone et ses sous-domaines.
 +
 +Pour limiter les mises à jour à la zone principale, utilisez **zone ANY** à la place de **zonesub ANY**.
 +</WRAP>
 +
  
 Relancer BIND9 Relancer BIND9
systeme/windows/server/bind.1763396128.txt.gz · Dernière modification : 2025/11/17 17:15 de admin