systeme:windows:server:bind
Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente | ||
| systeme:windows:server:bind [2025/11/17 17:19] – [Utiliser le fichier keytab dans BIND pour les mises à jour dynamiques] admin | systeme:windows:server:bind [2025/11/18 11:59] (Version actuelle) – admin | ||
|---|---|---|---|
| Ligne 190: | Ligne 190: | ||
| < | < | ||
| kinit dnsbind@AGENCE.CUB.FR | kinit dnsbind@AGENCE.CUB.FR | ||
| + | |||
| </ | </ | ||
| Le mot de passe sera demandé et la commande suivant permet de lister le ticket Kerberos créé : | Le mot de passe sera demandé et la commande suivant permet de lister le ticket Kerberos créé : | ||
| Ligne 197: | Ligne 198: | ||
| + | Depuis une invite de commande de votre serveur BIND, testez une authentification avec le principal (SPN) du compte dnsbind : | ||
| + | < | ||
| + | // Authentification Kerberos avec le principal voulu avec saisie du mot de passe | ||
| + | kinit DNS/ | ||
| + | // Authentification Kerberos avec le principal voulu sans saisie du mot de passe | ||
| + | kinit -k -t / | ||
| + | </ | ||
| + | |||
| + | * Commentaires : | ||
| + | * -k : préciser l' | ||
| + | * -t ou -T : préciser l' | ||
| + | |||
| + | <WRAP center round info> | ||
| + | Pour retirer les tickets d’authentification actifs (invalider la session Kerberos), utilise la commande suivante : | ||
| + | |||
| + | < | ||
| + | kdestroy | ||
| + | </ | ||
| + | |||
| + | Cela détruit le cache des tickets Kerberos (TGT et TGS). Options utiles : | ||
| + | * -A : supprime tous les caches si plusieurs existent. | ||
| + | * -q : mode silencieux. | ||
| + | |||
| + | Par défaut, le cache est dans / | ||
| + | </ | ||
| ==== Création du principal dnsbind ==== | ==== Création du principal dnsbind ==== | ||
| Pour permettre au serveur Windows AD de s’authentifier automatiquement auprès du service BIND, un principal va être créé. | Pour permettre au serveur Windows AD de s’authentifier automatiquement auprès du service BIND, un principal va être créé. | ||
| Ligne 276: | Ligne 302: | ||
| </ | </ | ||
| + | |||
| + | Tester la création d'un enregistrement | ||
| + | < | ||
| + | // Authentification Kerberos avec le principal voulu avec saisie du mot de passe | ||
| + | kinit DNS/ | ||
| + | |||
| + | // Authentification Kerberos avec le principal voulu sans saisie du mot de passe | ||
| + | kinit -k -t / | ||
| + | |||
| + | nsupdate -g | ||
| + | > server ns0.agence.cub.fr | ||
| + | > zone agence.cub.fr | ||
| + | > update add test.agence.cub.fr 3600 A 192.168.1.50 | ||
| + | > send | ||
| + | |||
| + | </ | ||
| ==== Utiliser le fichier keytab dans BIND pour les mises à jour dynamiques==== | ==== Utiliser le fichier keytab dans BIND pour les mises à jour dynamiques==== | ||
| Les lignes de configuration **tkey-gssapi-credential** et **tkey-domain** doivent être ajoutées dans le fichier **named.conf.options** de BIND9, dans le bloc options. | Les lignes de configuration **tkey-gssapi-credential** et **tkey-domain** doivent être ajoutées dans le fichier **named.conf.options** de BIND9, dans le bloc options. | ||
systeme/windows/server/bind.1763396394.txt.gz · Dernière modification : 2025/11/17 17:19 de admin