Scénario #17261
Etude d'intégration de BIND sur le module SETH
100%
Description
Le services DNS fourni par la brique samba peut ne pas suffire pour des domaines avec de nombreux clients, il peut y avoir des problèmes de tenus de charge pour le services DNS
D'autre part, des limitations du fonctionnement du DNS Samba peuvent nécessiter de s'appuyer sur un autre composant :Le serveur DNS interne samba ne supporte pas ces fonctionnalités :
- acting as a caching resolver
- recursive queries
- shared-key transaction signature (TSIG)
- stub zones
- zone transfers
Il y a deux pistes à étudier :
- Activer bind en tant que Backend du service DNS SAMBA https://wiki.samba.org/index.php/DNS
- Activer Bind en FrontEnd pour gérer toutes les requêtes DNS et ne forwarder à samba que celles concernant la bureautique
Sous-tâches
Historique
#1 Mis à jour par Emmanuel IHRY il y a plus de 7 ans
- Description mis à jour (diff)
#2 Mis à jour par Emmanuel IHRY il y a plus de 7 ans
- Tracker changé de Tâche à Proposition Scénario
- Sujet changé de dns : besoin de distinguer les demandes concernant samba, des autres demandes à Etude d'intégration de BIND sur le module SETH
- Description mis à jour (diff)
- Temps estimé mis à 40.00 h
#3 Mis à jour par Emmanuel IHRY il y a plus de 7 ans
- Tâche parente
#17183supprimé
#4 Mis à jour par Klaas TJEBBES il y a environ 7 ans
Vu la liaison forte qu'il y a entre le DNS et Samba, et vu les modifications parfois conséquentes dans Samba, on peut supposer que la validation du DNS interne fait l'objet d'une qualification plus poussée que la compatibilité avec BIND par l'équipe de développement Samba.
Utiliser BIND à la place du DNS interne à Samba me parait risqué et la solution "Activer Bind en FrontEnd pour gérer toutes les requêtes DNS et ne forwarder à samba que celles concernant la bureautique" me parait la plus sûre.
De plus, l'utilisation de BIND comme backend à Samba est incompatible avec l'exécution de BIND en chroot (changed root), ce qui est une mauvaise chose en terme de sécurité :
http://www.tldp.org/pub/Linux/docs/HOWTO/translations/fr/html-1page/Chroot-BIND-HOWTO.html#N1008B
https://wiki.samba.org/index.php/BIND9_DLZ_DNS_Back_End#Introduction
#5 Mis à jour par Emmanuel IHRY il y a environ 7 ans
L'idée de départ était bien d'utiliser bind en frontend, et samba en backend pour ne traiter que la partie liée à AD.
Cependant, nous avons besoin de mettre en place des transferts de zone DNS. Mais pour cela la solution serait de passer le backend DNS de sambaAD sous BIND (et non pas en frontend)
De cette manière on peut ensuite faire le transfert de zone au travers des fonctions standard de BIND
Ci dessous un exemple de définition à mettre sur un serveur Bind Central une fois le backend DNS du SambaAD sous bind
zone "domaine1.lan" IN {
type slave;
file "domaine1.lan";
masters {"IP SambaAD avec BACKEND BIND"; };
allow-notify { "IP SambaAD avec BACKEND BIND"; };
};
zone "_msdcs.domaine1.lan" IN {
type slave;
file "_msdcs.domaine1.lan";
masters {"IP SambaAD avec BACKEND BIND"; };
allow-notify { IP SambaAD avec BACKEND BIND"; };
};
Voir ce tuto pour installer bind en backend https://dev.tranquil.it/wiki/SAMBA_-_Integration_avec_bind9
#6 Mis à jour par Emmanuel IHRY il y a plus de 6 ans
- Tracker changé de Proposition Scénario à Scénario
- Echéance mis à 29/09/2017
- Version cible mis à sprint 2017 37-39 Equipe PNE-SR
- Début mis à 11/09/2017
- Points de scénarios mis à 6.0
#7 Mis à jour par Emmanuel IHRY il y a plus de 6 ans
- Points de scénarios changé de 6.0 à 4.0
#8 Mis à jour par Emmanuel IHRY il y a plus de 6 ans
- Assigné à mis à force bleue
#9 Mis à jour par Emmanuel IHRY il y a plus de 6 ans
- Statut changé de Nouveau à Terminé (Sprint)