teach/adlin
Archived
0
0
Fork 0
Code Issues 1 Pull requests 4 Releases Activity

tuto2: Ready
All checks were successful
continuous-integration/drone/tag Build is passing
Details
continuous-integration/drone/push Build is passing
Details

Browse source
This commit is contained in:
nemunaire 2023-03-02 12:23:47 +01:00
commit eff54b1fa0
9 changed files with 187 additions and 61 deletions
Download patch file Download diff file Expand all files Collapse all files

52
tutorial/ansible/nameserver.md
View file

@ -12,7 +12,7 @@ xxxx.wordpress.com fourni par le gestionnaire du service.
Nous allons maintenant gérer notre propre domaine.\
La deuxième solution proposée par Maatma est une délégation de nom de domaine.
Alors que jusque-là, c'était les serveurs DNS de Maatma qui répondaient aux
Alors que jusque-là, c'étaient les serveurs DNS de Maatma qui répondaient aux
requêtes DNS, avec la délégation, ce sera à vous, dans votre VM, de répondre
aux requêtes venues tout droit d'Internet.
@ -149,9 +149,41 @@ Ce sont les administrateurs de la zone `wikipedia.org.` qui ont indiqué à
`org.` quels étaient leurs serveurs de noms. Et ils ont également donné des
*GLUE records*, pour permettre à la magie d'opérer.
::::: {.exercice}
À vous maintenant de créer votre zone, en envoyant sur Maatma, le nom de
domaine votre serveur de noms, ainsi que le *GLUE record* qui lui correspond.
:::::
::::: {.warning}
Rappelez-vous que vous ne disposez que d'une plage IPv6 publique. La
connectivité IPv4 est fournie par Maatma, lorsque les protocoles
permettent de router les paquets entrant.
Bien qu'il serait théoriquement possible de le faire pour le DNS,
**Maatma n'assure pas la résolution de vos noms de domaines**.
Lorsque vous définissez votre *GLUE record*, vous ne devez indiquer
que l'adresse IPv6 de votre serveur faisant autorité. **N'indiquez pas
l'IPv4 de Maatma pour le sous-domaine dédié au serveur de noms.**
Même si vous êtes dans un réseau entièrement IPv4, le résolveur de ce
réseau va *généralement*[^NOLOCALIPv6] transmettre les requêtes à un
résolveur qui aura une connectivité IPv6.
[^NOLOCALIPv6]: Un résolveur pour une entité peut faire le choix de
résoudre lui-même les noms de domaines, et de ne pas être relié en
IPv6. Néanmoins vous ne serez pas confronté à ce cas de figure sur
les réseaux que vous utiliserez (EPITA, FAI français, ...). Si
vous l'êtes tout de même, changez l'adresse de votre résolveur
pour utiliser un résolveur public tel que celui de
[FDN](https://www.fdn.fr/actions/dns/) ou
[d'autres](https://en.wikipedia.org/wiki/Public_recursive_name_server).
:::::
## À propos de Maatma et du portail IPv4
@ -160,25 +192,9 @@ routable sur Internet. Mais aujourd'hui encore, de nombreuses
installations ne disposent pas de ce protocole de communication et ne
peuvent accéder aux machines connectées en IPv4 seulement.
Pour palier cela, Maatma met à votre disposition une IPv4 mutualisée
Pour pallier cela, Maatma met à votre disposition une IPv4 mutualisée
entre tous les SRS. Un service écoute sur la machine au bout de cette
IP, afin de distribuer le trafic entre vous, selon la demande du
client. Tous les protocoles ne permettent pas d'identifier le domaine
de destination, donc ce sont les protocoles HTTP et HTTPS qui sont
transmis sur vos IPv6.
## DNSSEC (bonus)
En bonus, vous devriez sécuriser les réponses envoyées par votre serveur DNS.
Pour ce faire, et toujours parce que l'on se trouve dans le cadre d'une
structure arborescente, les clefs publiques permettant de valider les
enregistrements d'un domaine en particulier, sont publiées dans la zone
parente. C'est pourquoi, vous disposez sur Maatma, d'une interface vous
permettant d'indiquer vos clefs publiques.
De nombreux articles sont disponibles sur Internet pour vous permettre de
configurer DNSSEC en fonction du serveur autoritaire que vous aurez choisi. À
vous de jouer !