Délégation de zones inverses

Pour un préfixe IPv4, c'est ici.

Pour un préfixe IPv6, c'est .

La majorité des services disponibles sur l’Internet propose de filtrer les utilisateurs autorisés en déterminant le domaine des machines clientes. Lorsque l’identification par domaine est impossible, certains serveurs refusent de rendre le service attendu, c’est notamment le cas de nombreuses archives FTP. L’identification par domaine utilise un service rendu par le DNS qui permet de trouver le nom d’une machine à partir de son numéro IP.

Un nom de machine se lit de droite à gauche. Par exemple, jack.univ-rennes1.fr est une machine située en France (.fr), localisée à l’université de Rennes 1 (univ-rennes1.fr), dont le nom est jack. Le DNS a adopté une structure de nommage hiérarchique représentée sous la forme d’un arbre dont la racine est située au sommet. À chaque noeud de l’arbre (un domaine) on trouve un agent du service d’annuaire réparti, il a connaissance de la hiérarchie qui lui est subordonnée et connait l’agent du service d’annuaire du domaine dont il dépend.

Un numéro IP se lit de gauche à droite. Pour utiliser la structure hiérarchique du DNS pour identifier une machine, il convient d’inverser son numéro IP (pour reproduire une pseudo structure hiérarchique) comme dans l’exemple suivant :

jack.univ-rennes1.fr ==== 129.20.128.25
25.128.20.129.in-addr.arpa ==== jack.univ-rennes1.fr

25.128.20.129.in-addr.arpa se lit de la droite vers la gauche (in-addr.arpa est un domaine directement situé sous la racine), chaque domaine est responsable de la mise en oeuvre locale de ce procédé appelé nommage inverse.

RENATER doit permettre aux clients du DNS de retrouver quels sont les serveurs responsables du nommage inverse pour un domaine adhérent. La machine ns1.renater.fr est le serveur primaire pour les blocs d'adresses attribués à RENATER. Elle va renseigner l’Internet sur l’identité des serveurs de noms responsables du nommage inverse pour chaque préfixe attribué par RENATER (on parle ici de zones inverses).

La procédure Zi.html permet à un administrateur de déclarer (c'est-à-dire, de donner connaissance au serveur primaire ns1.renater.fr) quels sont les serveurs de noms interrogeables pour assurer le nommage inverse des machines addressées dans les préfixes qu'il s'est vu attribués. C'est un formulaire WWW. Les champs renseignés sont transmis à une procédure qui effectue divers contrôles et prépare l’information valide pour la mise à jour qui sera effectuée après authentification du demandeur. La phase d’authentification est effectuée en expédiant un courrier électronique (contenant une clef de validation) à l’adresse trouvée dans l’enregistrement SOA du domaine indiqué par le demandeur. Une réponse au courrier d’authentification déclenchera la mise à jour effective.

Votre email

Vous devez indiquer ici votre adresse électronique au format rfc822. Une vérification est effectuée dans la mesure du possible. L’adresse indiquée est conservée dans des journeaux. Elle peut être utile pour vous contacter en cas de problèmes.

Domaine

La présence de ce champ peut paraître incongrue. En effet, il n’y a aucun lien fonctionnel entre un domaine et une zone inverse (qui peut comporter des machines dans plusieurs domaines). Toutefois dans la pratique, il n’est pas rare que la personne administrant un domaine soit également responsable du nommage inverse des réseaux qui le constituent. L’adresse électronique mail addr trouvée dans l’enregistrement SOA du domaine indiqué ici est utilisée pour confirmer (authentifier) la demande de mise à jour. Un courrier électronique comportant une clef est donc émis à destination de mail addr du SOA du domaine, une réponse (reply) déclenchera la mise à jour effective.

Numéros de réseau

Six zones inverses gérées par les mêmes serveurs de noms peuvent être indiquées ici. Les formes suivantes sont acceptées : 193.52.32 ou 193.52.32.0 (et non pas 32.52.193.in-addr.arpa).
Seul le premier des 6 champs correspondants aux numéros de réseau doit être obligatoirement renseigné (au minimum un numéro de réseau est obligatoire). L’ordre d’apparition des éventuels autres numéros de réseau n’a pas d’importance.

Serveur primaire

Le nom (et non pas le N° IP) du serveur primaire de la zone inverse traitée doit être indiqué ici. La procédure vérifie que ce serveur connaît effectivement la zone citée.

Serveurs secondaires

Quatre serveurs secondaires de la zone inverse traitée peuvent être indiqués ici. Comme pour le serveur primaire les serveur secondaires sont cités par leur nom uniquement. Pour chacun d’entre eux, la procédure vérifie la connaissance effective de la zone citée. Seul le premier des 4 champs correspondants aux serveurs secondaires doit obligatoirement être renseigné. L’ordre d’apparition des éventuels autres serveurs secondaires n’a pas d’importance.

Quelques liens pour vous aider à la configuration du DNS.

Notre support est le point d’accès à un service d’aide à la mise en place d’un domaine créé sur un site RENATER.

  • noms_de_domaine/delegation_des_zones_inverses.txt
  • Dernière modification : 2024/01/11 16:35
  • de emmanuel.forestier@renater.fr