Tâche #31722
Mis à jour par Daniel Dehennin il y a environ 3 ans
Au sujet des préconisations DNS avec les modules EOLE, voilà ce que j’ai essayé avec un Amonecole 2.8.1 :
* 1 Amonecole sur le réseau *@labs.eole.education@*, OpenNebula m’a donné l’IP pour *@lab1.labs.eole.education@*
* @nom_machine@ : *@amonecole@*
* @nom_domaine_local@ : *@dompedago.lab1.labs.eole.education@*, un nom de domaine dédié géré par Samba
* @web_url@ : *@lab1.labs.eole.education@*
Avec Let's Encrypt, nous avons 2 certificats demandés :
* @nom_domaine_machine@ : *@amonecole.dompedago.lab1.labs.eole.education@*
* @web_url@: *@lab1.labs.eole.education@*
Le premier pose problème car nous partions du principe que le domaine *@dompedago@* n’était pas exposé publiquement.
h3. L’idéal?
D’un point de vue DNS pure, en dehors de toute considération EOLE, l’idéal me semblerait être :
* avoir une délégation DNS pour le domaine *@lab1.labs.eole.education@*
<pre>
lab1.labs.eole.education.
lab1.labs.eole.education IN NS ns.lab1.labs.eole.education.
ns.lab1.labs.eole.education. ns.lab1.labs.eole.education
ns.lab1.labs.eole.education IN A 195.221.237.1
</pre>
* la partie Amon de l’établissement (du serveur dans le cas Amonecole) :
** accepte les requêtes DNS depuis l’extérieur mais uniquement pour les domaines dont il est la référence
** renvoie les requêtes pour le domaine géré par Samba à Samba lui même
** accepte de relayer les requêtes DNS uniquement pour les plages réseaux qu’ils gèrent (réseaux internes de l’établissement)
h3. Contournement
Définir les enregistrements DNS à l’extérieur pointant sur l’adresse IP externe du serveur :
195.221.237.1
<pre>
lab1.labs.eole.education. IN A 195.221.237.1
amonecole.dompedago.lab1.labs.eole.education. IN CNAME lab1.labs.eole.education.
auth.dompedago.lab1.labs.eole.education. IN CNAME lab1.labs.eole.education.
manager.dompedago.lab1.labs.eole.education. IN CNAME lab1.labs.eole.education.
reload.dompedago.lab1.labs.eole.education. IN CNAME lab1.labs.eole.education.
</pre>
* 1 Amonecole sur le réseau *@labs.eole.education@*, OpenNebula m’a donné l’IP pour *@lab1.labs.eole.education@*
* @nom_machine@ : *@amonecole@*
* @nom_domaine_local@ : *@dompedago.lab1.labs.eole.education@*, un nom de domaine dédié géré par Samba
* @web_url@ : *@lab1.labs.eole.education@*
Avec Let's Encrypt, nous avons 2 certificats demandés :
* @nom_domaine_machine@ : *@amonecole.dompedago.lab1.labs.eole.education@*
* @web_url@: *@lab1.labs.eole.education@*
Le premier pose problème car nous partions du principe que le domaine *@dompedago@* n’était pas exposé publiquement.
h3. L’idéal?
D’un point de vue DNS pure, en dehors de toute considération EOLE, l’idéal me semblerait être :
* avoir une délégation DNS pour le domaine *@lab1.labs.eole.education@*
<pre>
lab1.labs.eole.education.
lab1.labs.eole.education IN NS ns.lab1.labs.eole.education.
ns.lab1.labs.eole.education. ns.lab1.labs.eole.education
ns.lab1.labs.eole.education IN A 195.221.237.1
</pre>
* la partie Amon de l’établissement (du serveur dans le cas Amonecole) :
** accepte les requêtes DNS depuis l’extérieur mais uniquement pour les domaines dont il est la référence
** renvoie les requêtes pour le domaine géré par Samba à Samba lui même
** accepte de relayer les requêtes DNS uniquement pour les plages réseaux qu’ils gèrent (réseaux internes de l’établissement)
h3. Contournement
Définir les enregistrements DNS à l’extérieur pointant sur l’adresse IP externe du serveur :
195.221.237.1
<pre>
lab1.labs.eole.education. IN A 195.221.237.1
amonecole.dompedago.lab1.labs.eole.education. IN CNAME lab1.labs.eole.education.
auth.dompedago.lab1.labs.eole.education. IN CNAME lab1.labs.eole.education.
manager.dompedago.lab1.labs.eole.education. IN CNAME lab1.labs.eole.education.
reload.dompedago.lab1.labs.eole.education. IN CNAME lab1.labs.eole.education.
</pre>