Sitat #497
15:45 < klette> frsk: tipper det er litt sånn for de fleste yrker som jobber tett på folk. Tannlegen min får stadig brukt undertøy o.l. i posten "denne kan du lukte på og tenke på meg til neste gang jeg kommer for rotfylling" - utrolig mye wtf
-- Kristian, i en diskusjon rundt frisører som får sextilbud. #itk 2014-07-16

Powered by Debian Valid XHTML 1.1 Studentersamfundet i Trondhjem

DNS

cirkus, foruten å være webserver, er også Samfundets DNS-server. Mer spesifikt kjører cirkus BIND 9 som en systemd-tjeneste. Denne noden inneholder en del vanlige interaksjoner en ITK-er kan ha med bind.

Innholdsfortegnelse

    1. 1 Legge en vert til i DNS
    2. 2 Opprette et underdomene for en utviklingsinstans på cirkus
    3. 3 Signering av soner (DNSSEC)
      1. 3.1 Hvordan skru på automatisk signering
    4. 4 Legge til en sone for et nytt domene

Legge en vert til i DNS

Går her ut fra at verten skal få et samfundet.no-underdmene.

Deretter sjekker vi at endringene har tredd i kraft. Dette bør gjøres fra en annen boks enn cirkus, for eksempel cassarossa.

dig underdomene.samfundet.no A # IPv4
dig underdomene.samfundet.no AAAA # IPv6
host IPV4ADRESSE # revers
host IPV6ADRESSE # revers

Hvis du ikke får forventet svar, legg til @cirkus helt til slutt i dig -kommandoen, f.eks. dig underdomene.samfundet.no A @cirkus .

Hvis du nå får ønsket svar, er problemet sannsynligvis seriellen. Sjekk at den er riktig, inkrementer den, reload bind, test igjen. Hvis du derimot ikke får svaret du forventer, sjekk at sonefilen faktisk er korrekt, last inn bind, test igjen.

Opprette et underdomene for en utviklingsinstans på cirkus

Case: du skal sette opp en testinstans for å gjøre utvikling på f.eks. medlem.samfundet.no. Da må DNS være i orden! Oppskriften er nokså enkel:

  1. Kom deg på cirkus
  2. sudo -i
  3. cd /etc
  4. vim bind/pz/samfundet.no (ev. uka.no for UKEsystemer)
  5. Inkrementer seriellen til dagens dato, ev. inkrementer endringsnummeret
  6. Finn linjene på formen mdb2-brukernavn IN CNAME cirkus og lag din egen
  7. :wq
  8. systemctl reload bind9
  9. git add bind/pz/samfundet.no
  10. git commit -m "Add DNS for mdb2-brukernavn" (eller liknende)
  11. Ctrl-D deg ut av rotskallet :)

Signering av soner (DNSSEC)

BIND håndterer signering av de sonene på Samfundet som har DNSSEC påskrudd hos sin domeneregistrar. Ideelt sett burde nok dette vært alle, men i skrivende stund gjelder dette la1k.no, samfundet.no, uka.no, noen reverssoner og dessuten en del privatsoner.

Hvordan skru på automatisk signering

  1. Legg til dnssec-policy nsec3; under sonen i named.conf.local
  2. Kjør rndc reconfig for å få BIND til å generere nøkler og signere sonen. Om noe gikk galt, vil siden mest sannsynlig bli utilgjengelig :)
  3. Hopp inn i /etc/bind/keys/ og finn sonens nøkkel
  4. Ekstraher DS-posten til sonen med dnssec-dsfromkey <nøkkelnavn>.key
  5. Logg deg inn hos domeneregistraren og legg til DS-posten (Domeneshop spør cirkus og limer inn automatisk, men det er viktig at du verifiserer at nøkkelen stemmer overens med den du fikk i forrige steg)
  6. Vent på at Norid skal publisere nye sonefiler
  7. Sjekk at alt er grønt med dnssec-analyzer

Legge til en sone for et nytt domene

Case: en gjeng på Samfundet vil at vi skal håndtere DNS for dem. Eksempler på dette er la1k.no, mannskor.no og studentkor.no. Stegene er da som følger:

  1. Få gjengen til å legge inn cirkus.samfundet.no, ns1.ntnu.no og ns2.ntnu.no som navneservere hos sin domeneregistrar (f.eks. Domeneshop). Om domeneregistraren ikke støtter slaving, må de også fjerne registrarens navneservere fra oppsettet.
  2. Lag en sonefil i /etc/bind/pz med navnet til domenet, f.eks. ved å kopiere mannskor.no-filen.
  3. Rediger sonefilen slik at den matcher DNS-oppsettet slik det var hos registraren og gjør eventuelle forespurte endringer.
  4. Sett seriellen til dagens dato.
  5. Legg til sonen i /etc/bind/named.conf.local med type master og tillat transfer til ntnu. For DNSSEC, legg til «dnssec-policy nsec3;» (se forrige avsnitt.).
  6. Send epost til orakel@ntnu.no og spør pent om de kan være slave for sonen. (Se RT-sak #168915 for eksempel.)
  7. Reload bind.
  8. Sist, men ikke minst: commit endringene dine!

Lenker: Start, avvikuka hvordan utvikle, innsida, hvordan utvikle, medlemsdb2, hvordan utvikle, ufs, hvordan utvikle, utleggsys

Epost: itk@samfundet.no | Telefon: 992 15 925 | Sist endret: 2022-10-17 19:27 | Revisjon: 14 (historie, blame) | Totalt: 1905 kB | Rediger