Présentation des concepts

Notion de domaine, de zone et de délégation

Un “ domaine ” est un sous-arbre de l'espace de nommage. Par exemple .com est un domaine, il contient toute la partie hiérarchique inférieure de l'arbre sous jacente au noeud .com.

Un domaine peut être organisé en sous domaines. .pirlouit.com est un sous domaine du domaine .com. Un domaine peut être assimilé à une partie ou sous-partie de l'organisation de l'espace de nommage. Voir la diapositive sur les Domaines, zones et délégations.

Figure 30.1. Les domaines

Les domaines

Une "zone" est une organisation logique (ou pour être plus précis, une organisation administrative) des domaines. Le rôle d'une zone est principalement de simplifier l'administration des domaines. Le domaine ".com" peut être découpé en plusieurs zones, z1.com, z2.com...zn.com. L'administration des zones sera déléguée afin de simplifier la gestion globale du domaine. Voir la diapositive sur les zones.

Figure 30.2. Les zones

Les zones

La délégation consiste à déléguer l'administration d'une zone (ou une sous-zone) aux administrateurs de cette zone. Voir la diapositive sur la délégation.

Figure 30.3. La délégation

La délégation

Attention à ces quelques remarques :

  • Un domaine est une organisation de l'espace de nommage. Il peut être attaché à un domaine parent, et/ou peut avoir un ou plusieurs sous-domaines enfants.

  • Les zones correspondent à des organisations administratives des domaines. Un domaine peut être administré par plusieurs zones administratives, mais il est possible aussi qu'une zone serve à l'administration de plusieurs domaines. Prenons l'exemple d'un domaine "MonEntreprise.fr", membre de ".fr". Il peut être composé de trois sous-domaines France.MonEntreprise.fr, Italie.MonEntreprise.fr, Espagne.MonEntreprise.fr et de deux zones d'administration. Une en France pour les sous-domaines France.MonEntreprise.fr, Italie.MonEntreprise.fr (il n'y a pas de délégation), et une pour Espagne.MonEntreprise.fr, il y a délégation.

  • L'adressage IP correspond à une organisation physique des noeuds sur un réseau IP.

  • L'organisation de l'espace de nommage est complètement indépendante de l'implantation géographique d'un réseau ou de son organisation physique. L'organisation physique est gérée par des routes (tables de routage). L'espace de nommage indique pour un nom de domaine N, quelles sont les serveurs de noms qui ont autorité sur cette zone. Elles ne donnent pas la façon d'arriver à ces machines.

  • Les seules machines connues au niveau de l'espace de nommage, sont les serveurs de nom "déclarés". Ces informations sont accessibles par des bases de données "whois".

  • La cohérence (le service de résolution de noms) entre l'organisation de l'espace de nommage global et les organisations internes des réseaux sur internet est réalisée par les serveurs de noms.

le domaine in-addr.arpa

Le principe de la résolution de noms, consiste à affecter un nom d'hôte une adresse IP. On parle de résolution de noms directe. Le processus inverse doit pouvoir également être mis en oeuvre. On parle de résolution de noms inverse ou reverse. Le processus doit fournir, pour une adresse IP, le nom correspondant. Pour cela il y a une zone particulière, in-addr.arpa, qui permet la résolution inverse d'adresse IP. Voir la diapositive sur la résolution inverse.

Figure 30.4. La résolution inverse

La résolution inverse

Par exemple, pour le réseau 192.168.1.0, on créera une zone inverse dans le domaine in-addr.arpa. La zone de recherche inverse dans le domaine deviendra : 1.168.192.in-addr.arpa. Cette zone devra répondre pour toutes les adresses déclarées dans la tranche 192.168.1.0 à 192.168.1.254.

On inscrira dans cette zone tous les noeuds du réseau pour lesquels on désire que la résolution inverse fonctionne. Un serveur de noms peut, pratiquement, fonctionner sans la définition de cette zone tant que le réseau n'est pas relié à l'internet. Si cela était le cas, il faudrait déclarer cette zone, sans quoi, des services comme la messagerie électronique, ne pourrait fonctionner correctement, notamment à causes des règles anti-spam. (Voir www.nic.fr)

Fichiers, structure et contenus

Sur linux nous allons utiliser deux types de fichiers :

  • le fichier /etc/bind/named.conf, qui décrit la configuration générale du serveur DNS,

  • les fichiers qui contiennent les enregistrements de ressources pour la zone dans /etc/bind. On crée, en général, un fichier pour la résolution directe d'une zone, et un fichier pour la résolution inverse.

Les enregistrements ont une structure et un rôle que nous verrons. Le daemon se nomme named, prononcer “ naime dé ”.

Principaux types d'enregistrements

Les types d'enregistrements qui enrichissent une base de données DNS sont de plusieurs types, dont voici les principaux :

  • Enregistrement de type SOA (Start Of Authority) : indique l'autorité sur la zone. Ces enregistrements contiennent toutes les informations sur le domaine. Par exemple le délai de mise à jour des bases de données entre serveurs de noms primaires et secondaires, le nom du responsable du site

  • Enregistrements de type NS (Name Server) : ces enregistrements donnent les adresses des serveurs de noms pour le domaine.

  • Enregistrement de type A (Adresse) : ces enregistrements permettent de définir les noeuds fixes du réseau (ceux qui ont des adresses IP statiques). Serveurs, routeurs, switchs ...

  • Enregistrements de type MX (Mail eXchanger) : ils servent pour déclarer les serveurs de messagerie. Il faudra déclarer une enregistrement de type MX pour la réalisation du TP sur la messagerie.

  • Enregistrements de type CNAME (Canonical Name) : ils permettent de définir des alias sur des noeuds existants. Par exemple www.foo.org peut être la même machine que web.foo.org. Dans ce cas, “ www ” est un alias (CNAME) de “ web ”. Cela permet de différencier le nommage des machines des standards de nommages des services (www, ftp, news, smtp, mail, pop...).

  • Enregistrement de type PTR (Pointeur) : ils permettent la résolution de noms inverse dans le domaine in-addr.arpa.

Ces enregistrements caractérisent des informations de type IN - INternet. Voir l'annexe pour avoir un fichier exemple.

Structure des enregistrements

Structure d'un enregistrement SOA : chaque fichier de ressource de zone commence par un enregistrement de type SOA. Voici un exemple d'enregistrement SOA :

$TTL 38400
foo.org. IN SOA ns1.foo.org. hostmaster.foo.org. (
	20001210011     ; numéro de série
	10800           ; rafraîchissement 
	3600            ; nouvel essai
	604800          ; Obsolescence après une semaine
	86400 )         ; TTL minimal de 1 jour

Caractéristiques des différentes informations :

SOA Start Of Authority, enregistrement qui contient les informations de synchronisation des différents serveurs de nom.

foo.org, donne le nom de la zone. Le nom de la zone, ici "foo.org", peut être remplacé par "l'@", arobase.

hostmaster.foo.org : la personne qui est responsable de la zone. Le premier point sera remplacé par l'arobase (@) pour envoyer un courrier électronique. Cela deviendra hostmaster@foo.org. En général postmaster, est un alias de messagerie électronique vers l'administrateur du DNS.

  1. Numéro de série sous la forme AAAAMMJJNN, sert à identifier la dernière modification sur le serveur de noms maître. Ce numéro sera utilisé par les serveurs de nom secondaires pour synchroniser leurs bases. Si le numéro de série du serveur de noms primaire est supérieur à celui des serveurs de noms secondaire, alors le processus de synchronisation suppose que l'administrateur a apporté une modification sur le serveur maître et les bases seront synchronisées.

  2. Rafraîchissement : Intervalle de temps donné en seconde pour indiquer au serveur la périodicité de la synchronisation.

  3. Retry : intervalle de temps avant réitération si l'essai précédent n'a pas fonctionné.

  4. Expire : temps au bout duquel le serveur ne remplit plus sa mission s'il n'a pu contacter le serveur maître pour mettre à jour ses données.

  5. TTL : Time To Live, durée de vie des enregistrements. Plus la durée de vie est courte, plus l'administrateur est susceptible de considérer que ses bases sont à jour, par contre cela augmente le trafic sur le réseau.

Enregistrement de type NS pour le domaine foo.org :

foo.org.	IN NS	ns1.foo.org.	; noter le point final "."
foo.org.	IN NS	ns2.foo.org.	; foo.org peut être remplacé par "@"
					; IN signifie enregistrement de type INternet

Le “.” final signifie que le nom est pleinement qualifié. On aurait pu mettre :

@		IN NS	ns1	
		IN NS	ns2

"@" signifie "foo.org" et pour le serveur de nom, comme "ns1" n'est pas pleinement qualifié, cela équivaut à "ns1.foo.org".

Enregistrements de type A : nous devons décrire la correspondance Nom / Adresse

ns1.foo.org.		IN	A	192.168.0.1
ns2.foo.org.		IN	A	192.168.0.2
localhost.foo.org.	IN	A	127.0.0.1

S'il y avait d'autres hôtes sur la zone, il faudrait les définir ici.

Enregistrements de type CNAME : Ce sont les alias (Canonical Name). Une requête du type http://www.foo.org sera adressée à ns1.foo.org, puisque www est un alias de ns1.

www			IN	CNAME	ns1.foo.org.
ftp			IN	CNAME	ns1.foo.org.

Enregistrement de type PTR : il serviront à la résolution de noms inverse.

1.0.168.192.in-addr.arpa.	IN	PTR	ns1.foo.org.
2.0.168.192.in-addr.arpa.	IN	PTR	ns2.foo.org.

La délégation

La délégation consiste à donner l'administration d'une partie du domaine à une autre organisation. Il y a transfert de responsabilité pour l'administration d'une zone. Les serveurs de la zone auront autorité sur la zone et auront en charge la responsabilité de la résolution de noms sur la zone. Les serveurs ayant autorité sur le domaine auront des pointeurs vers les serveurs de noms ayant autorité sur chaque zone du domaine.

Serveur primaire et serveur secondaire

Le serveur maître (primaire) dispose d'un fichier d'information sur la zone. Le ou les serveurs esclaves (secondaires) obtiennent les informations à partir d'un serveur primaire ou d'un autre serveur esclave. Il y a " transfert de zone". Les serveurs maîtres et esclaves ont autorité sur la zone.

Le cache

L'organisation d'internet est assez hiérarchique. Chaque domaine dispose de ses propres serveurs de noms. Les serveurs peuvent être sur le réseau physique dont ils assurent la résolution de nom ou sur un autre réseau. Chaque zone de niveau supérieur (edu, org, fr...) dispose également de serveurs de nom de niveau supérieur. L'installation du service DNS, installe une liste de serveurs de noms de niveaux supérieurs. Cette liste permet au serveur de résoudre les noms qui sont extérieurs à sa zone. Le serveur enrichit son cache avec tous les noms résolus. Si votre réseau réseau n'est pas relié à internet, vous n'avez pas besoin d'activer cette liste.

Ce fichier est un peu particulier. Il est fourni avec les distributions. Il est utilisé par le serveur de noms à l'initialisation de sa mémoire cache. Si vos serveurs sont raccordés à internet, vous pourrez utiliser une liste officielle des serveurs de la racine (ftp.rs.internic.net).