suivant: DNSSEC n'est pas fini
monter: Configuration de Bind9
précédent: Utiliser la clef !!!
Table des matières
DNSSEC5.1 permet la délégation de zones
sécurisées.
Prenons pour exemple la zone ``entreprise.com'', subdivisée en
``succursale1.entreprise.com'', ``succursale2.entreprise.com'' etc.
L'administrateur de la zone parent s'apelle ``admin0'', ceux des zones
enfant ``admin1'' etc.
Chacune des succursales gère son
propre serveur DNS et ses enregistrements. Nous ne traiterons que des
zones de type (nom 
ip), sachant que la procédure est la même pour
les zones inverses.
La mise en place de DNSSEC s'organise ainsi :
- ``admin1'' crée une signature pour la(les) zone(s) qu'il administre
et crée un trousseau (``keyring'' en anglais) la(les) contenant.
- Il envoie le trousseau à ``admin0'' qui signe le trousseau, le
renvoie et garde une copie des clefs des zones enfant.
- ``admin1'' configure son serveur DNS pour utiliser ces clefs lors
des mises à jour de zones vers la zone parente.
- ``admin0'' configure également son serveur DNS, afin de
n'autoriser que les mises à jour signées par les clefs qu'il a
reçu et signées.
La distribution de http://www.isc.org/products/BINDBind9
contient 4 binaires pour DNSSEC:
#!/bin/sh
for i in (dnssec-keygen, dnssec-makekeyset, dnssec-signkey,
dnssec-signzone)
man $i;
end
;-p
Notes
- ...DNSSEC5.1
- voir
http://www.faqs.org/rfcs/rfc2535.htmlrfc2535
Sous-sections
suivant: DNSSEC n'est pas fini
monter: Configuration de Bind9
précédent: Utiliser la clef !!!
Table des matières
dgeo