Laboratorio Implementando DNS Objetivo General: • Configurar servidor de DNS Objetivo Específico: Al finalizar éste Laboratorio el alumno será capaz de: • Identificar los paquetes que permiten levantar Servidor DNS. • Configurar un Servidor DNS. • Configurar un cliente DNS para LINUX y WINDOWS Requerimientos mínimos del Laboratorio: • Tener instalado Linux en su computador . • Software Linux CentOS (4 CD’s). • Tener otro equipo que tenga instalado el sistema operativo LINUX y otro que tenga Windows XP. Laboratorio DNS Creado por : Juan Pablo Armijo Hemard 1 Guía de Trabajo: Configuración en el servidor DNS: Nota: Configuramos la tarjeta de red con la IP estática 10.20.24.X a) ¿Cómo puedo saber si un equipo es Servidor DNS?. Sol: Voy al equipo que es servidor DNS y escribo el comando hostname. Si el equipo responde localhost.localdomain sé de inmediato que no es servidor DNS, pero si tiene otro nombre, voy a otra máquina y hago ping al nombre de la máquina y sino resuelve significa que no es servidor DNS. b) Coloque el nombre intranet.usap.cl con un alias de intranet al equipo que va ser servidor DNS. Sol: vi /etc/hosts [Enter] Agrego la línea 10.20.24.78 intranet.usap.cl intranet salgo guardando los cambios y luego levanto el servicio de red de la forma service network restart [Enter] c) ¿Cómo puedo saber cuáles son los paquetes que me permiten levantar un servidor DNS?. Sol: c) Menú principal ⇒ configuración del sistema ⇒ Añadir/Eliminar programas. En Agregar o Remover Paquetes, en la sección Servidores, seleccione Servidor del nombre DNS, vaya a detalles y aparece el paquete estándar bind -Servidor DNS Laboratorio DNS Creado por : Juan Pablo Armijo Hemard 2 (Sistema de Nombres de Dominio) que ya se encuentra seleccionado y seleccione el paquete extra caching-nameserver — Los ficheros de configuración para el servidor de nombres de almacenamiento de caché y luego presione el botón cerrar y posteriormente el botón actualizar, finalmente presione el botón mostrar detalles y el sistema muestra los paquetes de DNS, que son: bind-9.2.1-16 caching-nameserver-7.2-7 d) Verifique en CD-ROM se encuentra el paquete bind. Sol: Escribo el comando /usr/share/comps-extras/whichcd.py bind El sistema responde bind-9.2.4-28.el4.i386.rpm is on disc 3 e) ¿Qué significan las siglas bind? Sol: BIND (siglas de Berkeley Internet Name Domain Server), es una de las implementaciones del protocolo DNS (Domain Name Service) más utilizadas en Internet) f) Verifique si el paquete bind y caching-nameserver se encuentran instalados. Sol: rpm -qa bind [Enter] rpm -qa caching-nameserver [Enter] g) Supongamos que no están instalados los paquetes de la pregunta f), instálelos usando comandos. Laboratorio DNS Creado por : Juan Pablo Armijo Hemard 3 Sol: montamos el CD-ROM marcado 3/4 de la forma mount -t iso9660 /dev/cdrom /media/cdrom [Enter] cd /media/cdrom/CentOS/RPMS [Enter] rpm -ivh bind-9.2.4-28.el4.i386.rpm [Enter] Haga lo mismo para el archivo caching-nameserver rpm -ivh caching-nameserver-7.2-7.noarch.rpm [Enter] Desmontamos para cambiar de CD-ROM con cd [Enter] para salir del CD-ROM si estamos parados en él y umount /mnt/cdrom [Enter] eject [Enter] para que ejecte el dispositivo de CD-ROM h) ¿Qué paquete instaló el archivo de configuración /etc/named.conf del DNS? Sol: Al instalar bind y hacer un rpm qc bind [Enter] no instala el archivo named.conf en /etc, pero sí lo hace el archivo caching-nameserver i) Verifique si el paquete system-config-bind se encuentra instalado, si no lo está instálelo. Sol: Escriba el comando system-config- (ahora haga doble tabulación) y aparecerán todos los paquetes que comienzan con system-config- , verifique que esta instalado system-config-dns. Supongamos que no esta instalado montamos el CD-ROM 3/4 y lo instalamos con el comando: rpm —ivh system-config-bind-1.9.0-13.noarch.rpm [Enter] Laboratorio DNS Creado por : Juan Pablo Armijo Hemard 4 j) Saque una copia del archivo de configuración /etc/named.conf. Sol: cd /etc [Enter] cp named.conf named.conf.bak [Enter] k) Sol: Muestre el archivo de Configuración de un servidor DNS sin cambios. vi /etc/named.conf // generated by named-bootconf.pl options { directory "/var/named"; /* * If there is a firewall between you and nameservers you want * to talk to, you might need to uncomment the query-source * directive below. Previous versions of BIND always asked * questions using port 53, but BIND 8.1 uses an unprivileged * port by default. */ // query-source address * port 53; }; // // a caching only nameserver config // controls { inet 127.0.0.1 allow { localhost; } keys { rndckey; }; }; zone "." IN { type hint; file "named.ca"; }; zone "localhost" IN { type master; file "localhost.zone"; Laboratorio DNS Creado por : Juan Pablo Armijo Hemard 5 allow-update { none; }; }; zone "0.0.127.in-addr.arpa" IN { type master; file "named.local"; allow-update { none; }; }; include "/etc/rndc.key"; Observación Importante: El nombre del dominio será intranet.usap.cl Ud., deberá seleccionar otro nombre distinto l) Haga los cambios necesarios al archivo de configuración DNS, para configurar un servidor DNS interno. Sol: Se agregan a vi /etc/named.conf (lo que esta ennegrecido) // generated by named-bootconf.pl options { directory "/var/named"; /* * If there is a firewall between you and nameservers you want * to talk to, you might need to uncomment the query-source * directive below. Previous versions of BIND always asked * questions using port 53, but BIND 8.1 uses an unprivileged * port by default. */ // query-source address * port 53; }; // // a caching only nameserver config // controls { inet 127.0.0.1 allow { localhost; } keys { rndckey; }; }; zone "." IN { type hint; file "named.ca"; Laboratorio DNS Creado por : Juan Pablo Armijo Hemard 6 }; zone "localhost" IN { type master; file "localhost.zone"; allow-update { none; }; }; zone "intranet.usap.cl" IN { type master; file "intranet.usap.cl.zone"; allow-update { none; }; }; zone "0.0.127.in-addr.arpa" IN { type master; file "named.local"; allow-update { none; }; }; include "/etc/rndc.key"; Salga guardando los cambios Vaya a cd /var/named/chroot/var/named [Enter] Para crear el archivo intranet.usap.cl.zone Se copia de localhost.zone de la forma cp localhost.zone intranet.usap.cl.zone [Enter] y se edita con vi intranet.usap.cl.zone para realizar los cambios, quedando de la siguiente forma $TTL 86400 intranet.usap.cl. IN SOA intranet.usap.cl. [email protected]. ( 42 ; serial (d. adams) 3H ; refresh 15M ; retry 1W ; expiry 1D ) ; minimum intranet.usap.cl. Laboratorio DNS Creado por : Juan Pablo Armijo Hemard IN NS IN A intranet.usap.cl. 10.20.24.78 7 Significado de algunas siglas: IN: Internet. NS: Name Server A: Adress SOA (Start of Authority), Indica cual es la autoridad que rige un dominio determinado. Es el registro que contiene información sobre el dominio, como el nombre del servidor de nombres o la dirección de correo del administrador del dominio, el resto de datos son parámetros de coordinación entre el servidor primario y el secundario: • Numero de Serie; se incrementa cada vez que se cambia algo en el servidor de nombres primario, de modo que el servidor secundario sepa cuando debe actualizar su configuración. • Refresco; indica cada cuantos segundos el servidor secundario ha de actualizarse con los datos del servidor primario. • Reintento; indica cada cuantos segundos el servidor secundario debe intentar reconectarse al primario para actualizar los datos en caso de error. • Expira; determina cuanto tiempo ha de pasar para que el servidor secundario deseche toda la información que tenía del primario, en el caso de fallo del primario. • TTL Mínimo; indica el tiempo de vida de los registros que no lo indiquen explícitamente. k) Levante los servicios del servidor DNS. Sol: service named reload [Enter] (levanta el archivo /etc/named.conf Y luego service named restart [Enter] Levanta /etc/named.conf y /var/named/chroot/var/named Laboratorio DNS Creado por : Juan Pablo Armijo Hemard 8 l) Configure el DNS de la tarjeta de red en un equipo que tenga instalado Windows XP . Sol: Configuro la tarjeta de red en la ficha Configuración DNS (figura 1). Figura 1 Configuración de DNS. m) Verifique que funciona el DNS interno, desde Windows XP. Sol: Al hacer ping intranet.usap.cl [Enter], el sistema resuelve correctamente n) Configure un cliente DNS en Linux. Sol: vi /etc/resolv.conf [Enter] Hago los cambios, quedando: search intranet.usap.cl nameserver 10.20.24.78 Salgo guardando los cambios Ahora haga un ping con el nombre del dominio intranet.usap.cl Laboratorio DNS Creado por : Juan Pablo Armijo Hemard 9 ñ) ¿Qué paquete instala los comandos host, dig y nslookup?. Sol: Al hacer rpm —ql bind-utils [Enter] Obtenemos entre otros, los comandos buscados. o) ¿Qué significan las siglas SOA? Sol: Start Of Authority Éste registro es el que indica que el servidor de nombre está autorizado para la zona correspondiente p) ¿Porqué al ejecutar el comando nslookup manda un mensaje de error?. Sol: Porque falta configurar el archivo reversa. q) Configure el archivo reverso usando el comando gráfico redhat-config-bind. Sol: Ejecutamos el comando system-config-bind [Enter] Se despliega una pantalla Servidor de Nombre de Dominio. Presione el botón nuevo y se muestra la siguiente pantalla (figura 2). Figura 2 Seleccione un tipo de zona. Laboratorio DNS Creado por : Juan Pablo Armijo Hemard 10 Presione el botón O.K y se despliega la siguiente pantalla (figura 3). Figura 3 IP hasta las traducciones de nombre. Al presionar O.K. se observa la configuración reversa, ahora guarde los cambios (figura 4). Observación Importante: La configuración gráfica no ve la configuración manual, y la excluye, por lo tanto se recomienda usar una o la otra solamente Laboratorio DNS Creado por : Juan Pablo Armijo Hemard 11 Figura 4 Configuración Reversa. Nota importante: Vamos a suponer que no tenemos instalado el archivo system-config-bind, por lo tanto la configuración la haremos en forma manual. r) Configure el reverso para su dominio. Sol: vi /etc/named.conf Se despliega lo siguiente. // generated by named-bootconf.pl options { directory "/var/named"; /* * If there is a firewall between you and nameservers you want * to talk to, you might need to uncomment the query-source * directive below. Previous versions of BIND always asked * questions using port 53, but BIND 8.1 uses an unprivileged * port by default. */ // query-source address * port 53; Laboratorio DNS Creado por : Juan Pablo Armijo Hemard 12 }; // // a caching only nameserver config // controls { inet 127.0.0.1 allow { localhost; } keys { rndckey; }; }; zone "." IN { type hint; file "named.ca"; }; zone "localhost" IN { type master; file "localhost.zone"; allow-update { none; }; }; zone "intranet.usap.cl" IN { type master; file "intranet.usap.cl.zone"; allow-update { none; }; }; zone "0.0.127.in-addr.arpa" IN { type master; file "named.local"; allow-update { none; }; }; include "/etc/rndc.key"; Agregamos lo siguiente zone "24.20.10.in-addr.arpa" IN { type master; file "24.20.10.in-addr.arpa.zone"; allow-update { none; }; }; Laboratorio DNS Creado por : Juan Pablo Armijo Hemard 13 bajo zone "0.0.127.in-addr.arpa" IN Ahora vamos a cd /var/named/chroot/var/named y sacamos una copia del archivo named.local, de la forma cp named.local 24.20.10.in-addr.arpa.zone [Enter] Ahora ingresamos al archivo 24.20.10.in-addr.arpa.zone con vi, debe quedar de la siguiente forma $TTL 86400 @ IN SOA IN intranet.usap.cl. root.localhost. ( 1997022700 ; Serial 28800 ; Refresh 14400 ; Retry 3600000 ; Expire 86400 ) ; Minimum NS intranet.usap.cl. 78 IN PTR intranet.usap.cl. salimos guardando los cambios ¿Qué significa PTR? PTR (Pointer), asocia direcciones de dominio a nombres de máquinas. Levantamos los servicios del DNS Verifique el log, con el siguiente comando tail -f /var/log/message s) Verifique la configuración del reverso Sol: escribo el comando nslookup 10.20.24.78 Laboratorio DNS Creado por : Juan Pablo Armijo Hemard 14 El sistema responde Server : 10.20.24.78 Address: 10.20.24.78#53 78.24.20.10.in-addr.arpa name = intranet.usap.cl Esto indica que el reverso esta bien configurado. t) Sol: Verifique los puertos que habre el servicio DNS. cat /etc/services | grep domain [Enter] El sistema responde: domain 53/tcp #name-domain server domain 53/udp Laboratorio DNS Creado por : Juan Pablo Armijo Hemard 15 Preguntas de repaso: a) Verifique la configuración del reverso. Sol: Escriba el comando nslookup como muestra la imagen (figura 5). Figura 5 Ejecución del comando nslookup verificandoel reverso. b)¿Cuáles fueron las modificaciones que se realizaron en el archivo /etc/named.conf. Sol: // generated by named-bootconf.pl options { directory "/var/named"; /* * If there is a firewall between you and nameservers you want * to talk to, you might need to uncomment the query-source * directive below. Previous versions of BIND always asked * questions using port 53, but BIND 8.1 uses an unprivileged * port by default. */ // query-source address * port 53; }; // // a caching only nameserver config Laboratorio DNS Creado por : Juan Pablo Armijo Hemard 16 // controls { inet 127.0.0.1 allow { localhost; } keys { rndckey; }; }; zone "." IN { type hint; file "named.ca"; }; zone "localhost" IN { type master; file "localhost.zone"; allow-update { none; }; }; zone "intranet.usach.cl" IN { type master; file "intranet.usach.cl.zone"; allow-update { none; }; }; zone "0.0.127.in-addr.arpa" IN { type master; file "named.local"; allow-update { none; }; }; zone "24.20.10.in-addr.arpa" { type master; file "24.20.10.in-addr.arpa.zone"; include "/etc/rndc.key"; Laboratorio DNS Creado por : Juan Pablo Armijo Hemard 17 c) Indique en que directorio se agrega el reverso. Sol: /var/named/chroot/var/named d) ¿Cómo se llama el archivo que contiene el reverso? Sol: 24.20.10.in-addr.arpa-zone e) Escriba el archivo 24.20.10.in-addr.arpa-zone. Sol: $TTL 86400 @ IN SOA intranet.usap.cl 5 ; serial 28800 ; refresh 7200 ; retry 604800 ; expire 86400 ; ttk ) @ IN NS intranet.usach.cl. 78 IN PTR intranet.usach.cl. root.localhost ( f)Verifique los puertos que habre el servicio DNS. Sol: cat /etc/services | grep domain <e> El sistema responde: domain 53/tcp #name-domain server domain 53/udp Laboratorio DNS Creado por : Juan Pablo Armijo Hemard 18