[RESOLU] Problème RNDC/BIND9 sous Debian

[lembal]

Bonjour à vous !

Dans le but de migrer dans peu de temps un serveur Mandrakelinux sous Debian Stable je fais des tests histoire de voir si mes serveurs fonctionneront. Je me suis installé sur Debian nue de chez nue (sous VmWare) et j'ai qu'une seule source autre que les CD-Rom d'install : http://security.debian.org/ !

Mon problème concerne donc Bind9 et plus précisemment rndc. Je veux comme je l'ai fait sous Mandrakelinux installer un DHCP + DNS Dynamique. J'ai fait dans l'ordre :

Code: Tout sélectionner

#apt-get install bind9

# l'install s'est bien déroulée

Et puis j'ai voulu générer une clef HMAC-MD5 :

Code: Tout sélectionner

#dnssec-keygen -a hmac-md5 -b 512 -n HOST key

L'opération se déroule et j'ai deux fichiers : Kkey.+157+04389.key et Kkey.+157+04389.private.

J'extrais la clef du fichier Kkey.+157+04389.private et je la met calmement dans les fichiers :

- /etc/rndc.conf , sous cette forme :

Code: Tout sélectionner

# Start of rndc.conf
key "rndckey" {
        algorithm hmac-md5;
        secret "xxxxxxxxxxxxxxx";
};


options {
        default-key "rndckey";
        default-server 127.0.0.1;
        default-port 953;
};
# End of rndc.conf

- /etc/bind/named.conf , sous cette forme :

Code: Tout sélectionner

# Use with the following in named.conf, adjusting the allow list as needed:
key "rndckey" {
       algorithm hmac-md5;
       secret "xxxxxxxxxxxxxxxx";
};

controls {
       inet 127.0.0.1 port 953
               allow { 127.0.0.1; } keys { "rndckey"; };
};

- /etc/bind/rndc.key , sous cette forme :

Code: Tout sélectionner

key "rndckey" {
        algorithm hmac-md5;
        secret "xxxxxxxxxxxxx";
};

Je fais un petiti /etc/init.d/bind9 reload pour la forme histoire de voir si tout va bien avant l'intégration de mon dhcpd... et là, ERREUR :

Code: Tout sélectionner

rndc: connection to remote host closed
This may indicate that the remote server is using an older version of
the command protocol, this host is not authorized to connect,
or the key is invalid.

Je précise que je n'ai pas indiqué de zones directes ou inversées...
J'ai fouillé le Web et suis tombé sur quelques forums en anglais mais aucune réponse n'a donné de résultat...
J'ai utilisé la doc suivante : http://www.linux-france.org/prj/edu/arc ... -DNS-DDNS/ mais sans succès...
J'ai remplacé par des valeurs qui fonctionnaient sous mon serveur Mandrakelinux, même erreur !!!

Je sais plus quoi faire.......

[antolien]

Bonsoir, essayes de générer ta clef plutôt avec la commande :

rndc-confgen -a -c /etc/bind/rndc.conf -k rndckey -b 256

car c'est la seule différence que je vois. D'autant que ça te génère les fichiers tout seul, et pas besoin d'extraire quoi que ce soit.

[lembal]

Bon alors merci Anto pour ta réponse, j'ai essayé, même soucis... j'ai donc déplacé le fichier rndc.conf du répertoire /etc vers /etc/bind/ et l'erreur a changé !!!!

J'ai à présent un

namedrndc: connect failed: connection refused

Dans /var/log/syslog , j'ai ces indications :

Code: Tout sélectionner

Jun  2 00:35:23 test named[161]: none:0: open: /etc/bind/rndc.key: file not found
Jun  2 00:35:23 test named[161]: /etc/bind/named.conf:15: couldn't install keys
for command channel 127.0.0.1#953: file not found
Jun  2 00:35:23 test named[161]: /etc/bind/named.conf:15: couldn't add command c
hannel 127.0.0.1#953: file not found

Je vais faire une petite recherche...

[lembal]

Même après avoir commenté tout ce qui concerne rndc dans le fichier /etc/bind/named.conf, j'ai l'erreur

Code: Tout sélectionner

Stopping domain name service: namedrndc: connect failed: connection refused

lorsque je fais un restart de Bind... et rien dans les fichier /var/log/syslog ou daemon ... je comprends plus rien...

[bastien56]

Salut !
J'ai deja eu ce message mais sur ma mandrake

- en fait les droits sur les fichiers rndc.conf, rndc.key n'etaient pas correct
donc verifie ca sinon regarde sur mon site j'ai mis un tuto on c jamais.
- essaye de virer la declaration de ta clef et de mettre un include
a la place ca reduit les erreurs et ca te permet d'utiliser rndc.key dans
le named.conf.

Bon courage !

[lembal]

Salut !
J'ai deja eu ce message mais sur ma mandrake

- en fait les droits sur les fichiers rndc.conf, rndc.key n'etaient pas correct
donc verifie ca sinon regarde sur mon site j'ai mis un tuto on c jamais.
- essaye de virer la declaration de ta clef et de mettre un include
a la place ca reduit les erreurs et ca te permet d'utiliser rndc.key dans
le named.conf.

Bon courage !

J'ai mis les droits les plus larges possibles sur les fichier rndc* et j'ai essayé avec et sans include mais rien à faire, j'ai la même erreur... et toujours rien dans les logs...

Je fais un

Code: Tout sélectionner

named-checkconf

mais aucune erreur... j'ai réinstallé ma Debian stable et j'ai recommencé... toujours pareil !

[lembal]

Bon je me réponds à moi-même et j'ai l'impression d'avancer, de reculer puis d'avancer...etc.

J'ai supprimé tout Bind9 avec un :

Code: Tout sélectionner

apt-get --purge remove bind9

J'ai ensuite modifié mon fichier /etc/apt/sources.list pour que les téléchargements s'effectuent depuis http://security.debian.org/ uniquement.... en effet, à l'installation de Bind9, il m'installait quelque chose du Cd1 d'install de Debian...

J'ai relancé l'install :

Code: Tout sélectionner

apt-get install bind9

Tout s'est installé depuis l'Internet...

J'ai uniquement fait ensuite un :

Code: Tout sélectionner

rndc-congen

J'ai récupéré les infos du fichier rndc.conf et je l'ai enregistré dans /etc/bind.

Code: Tout sélectionner

key "rndc-key" {
        algorithm hmac-md5;
        secret "xo2YXAt3ZM3mj6yFxSccwQ==";
};

options {
        default-key "rndc-key";
        default-server 127.0.0.1;
        default-port 953;
};
# End of rndc.conf

J'ai récupéré les infos à mettre dans named.conf et j'ai enregistré.

Code: Tout sélectionner

key "rndc-key" {
       algorithm hmac-md5;
       secret "xo2YXAt3ZM3mj6yFxSccwQ==";
};

controls {
       inet 127.0.0.1 port 953
               allow { 127.0.0.1; } keys { "rndc-key"; };
};

J'ai modifié la clef du fichier /etc/bind/rndc.key et j'ai enregistré.

Code: Tout sélectionner

key "rndc-key" {
        algorithm hmac-md5;
        secret "xo2YXAt3ZM3mj6yFxSccwQ==";
};

Partout la clef se nomme "rndc-key".

Je n'ai pas fait d'include comme vous le voyez.

Je fais un :

Code: Tout sélectionner

/etc/init.d/bind restart

Et je retrouve le message d'erreur du début :

Code: Tout sélectionner

Stopping domain name service: namedrndc: connection to remote host closed
This may indicate that the remote server is using an older version of
the command protocol, this host is not authorized to connect,
or the key is invalid.

Et dans /var/log/syslog j'ai ça :

Code: Tout sélectionner

Jun  2 02:50:26 test named[495]: invalid command from 127.0.0.1#1041: bad auth


Personne n'a jamais eu ce soucis avec Bind sous Debian ?

PS : ne faut-il pas créer un utilisateur named ou bind ?

[lembal]

Bon bah je m'en sors toujours pas et je concidère qu'au bout de 2 jours de tests et de recherche sur l'Internet (sites anglo/hispano/germano - phones) + questions sur Ixus... c'est irresolvable ! Donc 2 solutions : j'abandonne la mise à jour DNS dynamique (après tout j'en ai pas besoin mais c'était pour le fun !) et ça m'écoeure un peu de faire marcher ça sous Mandrakelinux et de pas y arriver sous Debian... OU je laisse tomber Debian et je me contente de ma Mandrakelinux qui "marche"... Bon je me raisonne : j'ai pas besoin de ce service, donc j'abandonne le "dynamique" et je passe tout de même sous Debian...

PS : mais j'aime pas buter sur un truc aussi débile...

[Breizh-Tux]

Salut : )

Je ne peux me résoudre à laisser passer une telle inepsie dans ton post alors j'apporte une rectification à celui-ci (désolé je ne peux t'aider pour ton soucis) :

ça m'écoeure un peu de faire marcher ça sous Mandrakelinux et de pas y arriver sous Debian...

Si c'est un clicodrome notoire que tu cherches tu peux effectivement retourner sous Mdk, si ce sont les perfs que tu recherches ainsi que le meilleur environnement de travail sous linux (certe pas toujours facile) c'est bien Debian qu'il te faut. Mais il faut savoir que tout ce qui est faisable avec Mdk est égalament faisable avec Debian (en peut-etre plus difficile à mettre en place mais avec un résultat garantie).

au bout de 2 jours de tests et de recherche sur l'Internet

C'est un bon début il faut persévérer ne pasabandonner apres un bon début de recherche personnelle (2 jour c'est un bon début et tu dois avoir réuni pas mal d'infos à ce stade) et comme disait Churchill à ses troupes quelques jours avant le débarquement en Normandie :

... You shall never surrender ...

[Mode Roastbiff REJECT]
ce qui signifie : `...Ne vous rendez jamais...`
[/Mode Roastbiff REJECT]

Cordialement ,

bzh-tux : )

P.S : Quand on attaque Debian pourquoi je me sens blessé comme si on attaquait ma famille ?

[lembal]

Salut : )

Je ne peux me résoudre à laisser passer une telle inepsie dans ton post alors j'apporte une rectification à celui-ci (désolé je ne peux t'aider pour ton soucis) :

ça m'écoeure un peu de faire marcher ça sous Mandrakelinux et de pas y arriver sous Debian...

Si c'est un clicodrome notoire que tu cherches tu peux effectivement retourner sous Mdk, si ce sont les perfs que tu recherches ainsi que le meilleur environnement de travail sous linux (certe pas toujours facile) c'est bien Debian qu'il te faut. Mais il faut savoir que tout ce qui est faisable avec Mdk est égalament faisable avec Debian (en peut-etre plus difficile à mettre en place mais avec un résultat garantie).

au bout de 2 jours de tests et de recherche sur l'Internet

C'est un bon début il faut persévérer ne pasabandonner apres un bon début de recherche personnelle (2 jour c'est un bon début et tu dois avoir réuni pas mal d'infos à ce stade) et comme disait Churchill à ses troupes quelques jours avant le débarquement en Normandie :

... You shall never surrender ...

[Mode Roastbiff REJECT]
ce qui signifie : `...Ne vous rendez jamais...`
[/Mode Roastbiff REJECT]

Cordialement ,

bzh-tux : )

P.S : Quand on attaque Debian pourquoi je me sens blessé comme si on attaquait ma famille ?

Bon je tiens à signaler quand même que je fais les même manip !!! A quelquechose près que sous Mandrakelinux j'utilise URPMI et pas APT-GET... le clicodrôme j'en veux pas !!! D'ailleurs c'est la seule chose qui me "bloque" sous Debian : ce soucis de DNS Dynamique ! Pour le reste tout fonctionne à merveille : samba, dhcpd, proftpd... y a que Bind9 qui m'envoie des insultes ! Ensuite niveau stabilité j'ai jamais eu à me plaindre de ma mandrakelinux... uptime 71 jours (dernière coupure de courant en date)... je veux juste une distro qui ne change pas de version tous les 6 mois... donc je VEUX Debian !

Je persiste dans mes recherches !

[jdh]

Pour moi ça marche !

Config : Debian 3.0r1 Woody + Bind9 (9.2.1-2.woody) + Dhcp (3.0+3.0.1rc9-2)

J'ai peut-être passé plus de 2 jours pour mettre au point mais maintenant ça marche bien.

Une URL qui peut t'intéresser : http://arnofear.free.fr/.

Je suis persuadé que tout ce qui marche sur une distrib doit pouvoir marcher sur une autre !
Le temps passé à chercher n'est pas perdu : tu as amélioré ta connaissance !

[lembal]

Merci je connais le site et ça marche sous Mandrakelinux effectivement... mais moi je veux le faire marcher sous Debian...

[jdh]

Ok ça marche sous Mandrake !

Mais avec apt-get + les bons paquets .deb + la bonne méthode (celle du site), ca marche

Dans /etc/bind j'ai les 2 fichiers suivants :

/etc/bind/rndc.conf

# /etc/bind/rndc.conf
# 05/07/03
key "rndc-key" {
algorithm hmac-md5;
secret "Xxxxxxxxxxxxxxxxxxxx";
};

options {
default-key "rndc-key";
default-server 127.0.0.1;
default-port 953;
};
# End of rndc.conf

/etc/bind/named.conf

# /etc/bind/named.conf
# 05/07/03


# rndc key
key "rndc-key" {
algorithm hmac-md5;
secret "Xxxxxxxxxxxxxxxxxxxx";
};

# rndc controls
controls {
inet 127.0.0.1 port 953
allow { 127.0.0.1; } keys { "rndc-key"; };
};

....


Et ça marche (depuis juillet 2003)

[jdh]

Pardon j'ai pas lu parfaitement le fil ... C'est ce que tu as mis.

As-tu des règles quelconques avec iptables actives ?

[lembal]

Non pas de règles Iptables... Bon j'ai fait le test avec mes fichiers de zones directs et inverses... J'ai installé et paramétré rapido dhcpd3... et de toute evidence ça fonctionne ! Mon DHCP met à jour mon DNS... MAIS j'ai toujours l'erreur qui m'empêche de stopper le serveur Bind !!! Le démarrage est ok mais pour l'arrêt je me tape un killall -9 named !!! Pas cool... alors je persiste... pour enlever cette satanée erreur !