Modification de DHCP : Mise à jour dynamique du DNS

{{Auteur|Adadov}}
__TOC__
Le serveur DHCP est un élément indispensable de tout réseau informatique aujourd'hui. Il permet d'adresser dynamiquement tous les équipements actifs du réseau qui possèdent un client DHCP (en gros n'importe quel équipement de nos jours).

L'adressage dynamique montre par contre vite ses limites quand on souhaite retrouver ses équipements. C'est là que plusieurs solutions s'offrent à nous.
* La réservation d'adresse qui permet de fixer pour un équipement donné une adresse qui ne changera donc jamais
* La mise à jour automatique du DNS qui permet de s'assurer que le nom de l'équipement client est ajouté par le serveur DHCP lui même dans le DNS, avec l'adresse IP qui lui est attribué.

== Présentation ==

La mise à jour automatique du DNS permet d'avoir des entrées DNS toujours à jour pour les clients dont les adresses sont attribuées dynamiquement par le serveur DHCP ce qui serait totalement impossible à faire manuellement.<br />
Cette mise à jour se fait en configurant un lien privilégié entre le serveur DHCP et le serveur DNS. Le serveur DHCP recevra le nom de la machine lors de la requête initiale, il fait parti des options standard d'une requête DHCP, puis le transmettra au serveur DNS accompagné de la durée du bail et de l'adresse IP.

Cet article utilise les logiciels ''ISC DHCPD'' et ''ISC BIND''. Il est probablement possible de le faire avec d'autres logiciels mais je vous laisse le plaisir de découvrir comment adapter ça.

== Problématique liées à la mise à jour == 

Il serait bien sûr possible de réserver les adresses afin qu'elles ne changent pas et de mettre une bonne fois pour toutes les entrées dans le DNS mais dans ce cas il serait plus compliqué de déplacer la machine d'un réseau logique à un autre car le serveur refuserait d'attribuer l'adresse réservée sur un réseau logique qui n'utilise pas la même plage IP.

Par défaut les machines utilisant Windows souhaitent elles même mettre à jour le DNS mais pour des raisons de sécurité il n'est pas forcément idéal d'autoriser les clients à mettre à jour les entrées, des logiciels malveillants risqueraient d'utiliser ce droit pour changer d'autres entrées ou il faudrait trouver des solutions assez complexes pour n'autoriser les machines à mettre à jour uniquement leur propre entrée mais ça complexifierait probablement les changements de noms pour les machines.

Il faut aussi prendre en compte que le serveur DHCP ne fait pas la mise à jour du DNS pour les clients dont les IP sont réservées, il ne faudra donc pas oublier dans les procédures de mettre à jour manuellement le DNS pour ces machines lors de la création ou de la modification d'une attribution.

Pour le moment les clients qui possèdent plusieurs interfaces sont gérés très difficilement, c'est à dire que seule la première interface qui fait sa requête DHCP obtiendra une entrée DNS, les autres obtiendront ... une erreur (et une IP). Il est prévu que dans de futurs versions ces cas soient gérés correctement.

== Configuration du serveur DHCP ==

Voici les parties qui nous intéressent dans le fichier de configuration du serveur DHCP {{fname|dhcpd.conf}} :

<file>
key DHCP_UPDATER {
	algorithm HMAC-MD5;
	secret <LACLEVIENTICI>;
};

subnet 192.168.0.0 netmask 255.255.255.0 {
	[...]
	domain-name "exemple.loc";
	ddns-updates on;
	ignore client-updates;
	default-lease-time 86400;
}

ddns-update-style interim;

zone exemple.loc. {
	primary 127.0.0.1;
	key DHCP_UPDATER;
}

zone 0.168.192.in-addr.arpa. {
	primary 127.0.0.1;
	key DHCP_UPDATER;
}
</file>

=== Création de la clé TSIG ===

Afin de sécuriser les mises à jour, une clé {{abbr|TSIG|Transaction SIGnature}} sera utilisée (Pour plus d'infos : [[Wikipedia:TSIG]]).

Pour la générer :

{{LxTerm|user=root|text=dnssec-keygen -a HMAC-MD5 -b 128 -n USER DHCP_UPDATER}}
{{AlTable
|cols=2|row1header=yes|class=wikitable|fullwidth=yes
|col1align=center|col1width=175px
|col2width=450px|col2style=padding-left:10px
|style1.2=padding-left:0.2em
| Paramètre
| Description
| '''-a''' HDMAC-MD5
| Algorithme à utiliser
| '''-b''' 128
| Taille de la clé
| '''-n''' USER
| Type de propriétaire
| DHCP_UPDATER
| Nom de la clé
}}

La clé sera générée et placée dans deux fichiers: un fichier en ''.key'' et un fichier en ''.private''.<br/>
Nous n'allons pas utiliser les fichiers générés mais simplement récupérer la clé et l'intégrer directement dans les fichiers de configuration.

Le fichier en ''.private'' se présente comme ceci :
<file>
Private-key-format: v1.2
Algorithm: 157 (HMAC_MD5)
Key: WoY0txiBiG+ZK22RjJN6AQ==
Bits: AAA=
</file>

La ligne qui nous intéresse est celle qui commence par ''Key:'', la clé est tout le reste de la ligne.

Et le bloc qui sera intégré dans la configuration se présente comme ceci :
<file>
key DHCP_UPDATER {
	algorithm HMAC-MD5;
	secret <LACLEVIENTICI>;
};
</file>

{{AlTable
|cols=2|row1header=yes|class=wikitable|fullwidth=yes
|col1align=center|col1width=175px
|col2width=450px|col2style=padding-left:10px
|style1.2=padding-left:0.2em
| Paramètre
| Description
| '''key''' DHCP_UPDATER
| Nom que l'on souhaite donner à la clé
| '''algorithm''' HMAC-MD5
| C'est l'algorithme utilisé pour générer la clé
| '''secret''' <LACLEVIENTICI>
| C'est la clé
}}

=== Paramètrage du subnet ===

Pour chaque subnet il va falloir configurer quelques informations, ce qui permet d'activer ou non les mises à jour dynamique en fonction du subnet.

<file>
subnet 192.168.0.0 netmask 255.255.255.0 {
	[...]
	domain-name "exemple.loc";
	ddns-updates on;
	ignore client-updates;
	default-lease-time 86400;
}
</file>

{{AlTable
|cols=2|row1header=yes|class=wikitable|fullwidth=yes
|col1align=center|col1width=175px
|col2width=450px|col2style=padding-left:10px
|style1.2=padding-left:0.2em
| Paramètre
| Description
| '''ddns-update''' yes
| Active la mise à jour dynamique du DNS pour les clients de ce subnet
| '''ignore''' client-updates
| Désactive la prise en compte des demandes de mise à jour faites par le client
| '''default-lease-time''' 86400
| C'est la durée par défaut du bail, elle n'est pas liée à la mise à jour dynamique mais nous sera utile pour le configuration du DNS
| '''domain-name''' exemple.loc
| Cette option n'est pas non plus liée à la mise à jour dynamique mais elle permettra de sélectionner la zone à mettre à jour
}}

=== Configuration de la mise à jour dynamique ===

<file>
ddns-update-style interim;
</file>

{{AlTable
|cols=2|row1header=yes|class=wikitable|fullwidth=yes
|col1align=center|col1width=175px
|col2width=450px|col2style=padding-left:10px
|style1.2=padding-left:0.2em
| Paramètre
| Description
| '''ddns-update-style''' interim
| La seule valeur que prend ce paramètre est interim ou none, vous vous doutez bien que si vous choisissez none, aucune mise à jour ne sera faite.
}}

=== Configuration des zones ===

Pour finir il ne nous reste plus qu'à ajouter les informations pour joindre le serveur DNS de chaque zone à mettre à jour.

<file>
zone exemple.loc. {
	primary 127.0.0.1;
	key DHCP_UPDATER;
}

zone 0.168.192.in-addr.arpa. {
	primary 127.0.0.1;
	key DHCP_UPDATER;
}
</file>

{{AlTable
|cols=2|row1header=yes|class=wikitable|fullwidth=yes
|col1align=center|col1width=175px
|col2width=450px|col2style=padding-left:10px
|style1.2=padding-left:0.2em
| Paramètre
| Description
| '''zone''' exemple.loc.
| C'est le nom de la zone concernée au format DNS.
| '''primary''' 127.0.0.1
| C'est l'adresse IP du serveur DNS
| '''key''' DHCP_UPDATER
| C'est le nom du bloc qui contient la clé TSIG à utiliser, ici DHCP_UPDATER
}}

== Configuration du serveur DNS ==

La mise à jour du DNS quant à elle, est bien plus simple et rapide. La seule chose qu'il faut faire c'est, pour chacune des zones que le DHCP devra mettre à jour, autoriser notre clé générée plus haut à mettre à jour.

=== Ajout de la clé TSIG ===

Le bloc a ajouter dans la configuration est exactement le même que pour le DHCP, celui qui a eu cette idée est un génie !!

<file>
key DHCP_UPDATER {
	algorithm HMAC-MD5;
	secret <LACLEVIENTICI>;
};
</file>

Pour plus d'infos reportez vous à la [[DHCP_:_Mise_à_jour_dynamique_du_DNS#Création_de_la_clé_TSIG|configuration du DHCP]].

=== Configuration des zones ===

<file>
	zone "exemple.loc" IN {
		type master;
		file "data/exemple.loc.zone";
		allow-update { key DHCP_UPDATER; };
	};

	zone "0.168.192.in-addr.arpa" IN {
		type master;
		file "data/reverse.zone";
		allow-update { key DHCP_UPDATER; };
	};
</file>

{{AlTable
|cols=2|row1header=yes|class=wikitable|fullwidth=yes
|col1align=center|col1width=175px
|col2width=450px|col2style=padding-left:10px
|style1.2=padding-left:0.2em
| Paramètre
| Description
| '''allow-update''' { key DHCP_UPDATER; }
| On spécifie qu'on autorise la mise à jour via une clé et le nom qu'on lui a donnée dans la configuration
}}

[[Catégorie:DHCP]]
[[Catégorie:DNS]]