Tu as les sources qui expliquent quand la mise à jour de l'enregistrement DNS a lieu lors de l'intégration dans le domaine ? Ça m'intéresse.
Je ne vois pas l'intérêt de mettre a jour l'enregistrement DNS lors de l'intégration du poste dans le domaine quand la mise à jour dynamique des zones DNS n'est pas sécurisée, puisqu'à priori l'enregistrement a déjà été effectué lors de l'attribution du bail DHCP.
Les enregistrements DNS ne sont pas liés à l'adresse MAC, à moins que cela soit fait volontairement. Donc je ne vois pas le problème que tu as à ce niveau-là.
Pour ce qui est de PXE, tu ne peux pas différencier les OSes à ce stade, puisque tu utilises le firmware de la NIC, si j'ai bien compris ton utilisation.
Par contre si ta question est de savoir s'il est possible d'utiliser PXE pour installer Windows ou GNU/Linux à partir de la même configuration, alors oui c'est possible en utilisant le chainloading et iPXE par exemple.
Tu devrais fournir des explications détaillées de ce que tu veux faire pour voir s'il est possible de te répondre plus précisément.
À priori, ce comportement me paraît normal, car le compte créé sur le serveur AD est réinitialisé à chaque fois que tu fais une intégration dans le domaine.
Donc si tu veux pouvoir utiliser le même nom DNS pour les deux OSes, tu dois exporter le matériel de chiffrement associé au compte d'ordinateur dans l'AD et créé lors de l'intégration de l'ordinateur dans le domaine AD depuis Windows, et l'importer dans une keytab dans l'OS GNU/Linux.
Mais tu risques de rencontrer des problèmes même en faisant comme cela. En effet, pour des raisons de sécurité, Windows est configuré pour renouveler les passwords des ordinateurs tous les mois par défaut, et comme les clés de chiffrement sont dérivées du password, alors cela signifie qu'il te faudra réimporter le matériel de chiffrement dans GNU/Linux. (voir http://blogs.technet.com/b/askds/archive/2009/02/15/test2.aspx)
Dans l'absolu, je te déconseille d'utiliser le même FDQN pour Windows et GNU/Linux, car tu vas au devant d'effets de bord pernicieux.
À ta place, j'utiliserais une nomenclature qui différencie les Oses, quand bien même ils s'exécutent sur la même machine. Réfléchis au fait que si les deux OSes s'exécutaient en même temps sur la machine, tu aurais naturellement utilisé des noms différents. Ce n'est pas parce que les OSes ne s'exécutent pas en même temps qu'il faut voir les choses différemment.
Le fait d'utiliser un même démon bind pour faire un serveur DNS faisant autorité et un résolveur posent les mêmes problèmes de sécurité qu'en séparant les deux rôles.
La « sécurité » que tu as l'air d'évoquer rejoint plutôt la sensibilité de ta configuration à des attaques de type DOS. Cela n'est pas en soi un problème de sécurité mais de disponibilité, de fiabilité, et de bon comportement de ton serveur sur l'internet.
Si tu veux sécuriser ton serveur, je te conseille de commencer par lire le chapitre sur la sécurité du livre « DNS and BIND » par Cricket Liu et Paul Albitz chez O'Reilly qui est bien fait.
Faut-il séparer la fonction Autoritaire et Récursive ?
Il vaut mieux. Je te conseille de regarder la conférence que Stéphane Bortzmeyer a donnée dans le cadre d' « il était une fois Internet », il explique les problématiques que l'on rencontre en mélangeant les deux. Elle est disponible ici : http://www.iletaitunefoisinternet.fr/dns-bortzmeyer/.
J'ai des zones sur lesquelles je suis maître et d'autres non. Est-ce que cela pose un soucis de sécurité de mixer les deux types ?
Sous bash :
poiuy@debian:~$ grep -A 2 alternate /etc/inputrc
# alternate mappings for "page up" and "page down" to search the history
# "\e[5~": history-search-backward
# "\e[6~": history-search-forward
[^] # Re: Résolu mais partiellement
Posté par poiuy . En réponse au message dual boot (windows/linux) dans domaine microsoft. Évalué à 1.
Merci, c'est bon à savoir.
[^] # Re: Résolu mais partiellement
Posté par poiuy . En réponse au message dual boot (windows/linux) dans domaine microsoft. Évalué à 1.
Tu as les sources qui expliquent quand la mise à jour de l'enregistrement DNS a lieu lors de l'intégration dans le domaine ? Ça m'intéresse.
Je ne vois pas l'intérêt de mettre a jour l'enregistrement DNS lors de l'intégration du poste dans le domaine quand la mise à jour dynamique des zones DNS n'est pas sécurisée, puisqu'à priori l'enregistrement a déjà été effectué lors de l'attribution du bail DHCP.
[^] # Re: Résolu mais partiellement
Posté par poiuy . En réponse au message dual boot (windows/linux) dans domaine microsoft. Évalué à 1.
Les enregistrements DNS ne sont pas liés à l'adresse MAC, à moins que cela soit fait volontairement. Donc je ne vois pas le problème que tu as à ce niveau-là.
Pour ce qui est de PXE, tu ne peux pas différencier les OSes à ce stade, puisque tu utilises le firmware de la NIC, si j'ai bien compris ton utilisation.
Par contre si ta question est de savoir s'il est possible d'utiliser PXE pour installer Windows ou GNU/Linux à partir de la même configuration, alors oui c'est possible en utilisant le chainloading et iPXE par exemple.
Tu devrais fournir des explications détaillées de ce que tu veux faire pour voir s'il est possible de te répondre plus précisément.
[^] # Re: Résolu mais partiellement
Posté par poiuy . En réponse au message dual boot (windows/linux) dans domaine microsoft. Évalué à 1.
À priori, je ne crois pas que le fait d'intégrer un poste dans un domaine AD entraîne une mise à jour de la zone DNS.
# Re : dual boot (windows/linux) dans domaine microsoft
Posté par poiuy . En réponse au message dual boot (windows/linux) dans domaine microsoft. Évalué à 2.
À priori, ce comportement me paraît normal, car le compte créé sur le serveur AD est réinitialisé à chaque fois que tu fais une intégration dans le domaine.
Le hostname et le FQDN sont utilisés comme principal Kerberos pour les ordinateurs avec l'AD. (voir https://msdn.microsoft.com/en-us/library/cc246064.aspx)
Donc si tu veux pouvoir utiliser le même nom DNS pour les deux OSes, tu dois exporter le matériel de chiffrement associé au compte d'ordinateur dans l'AD et créé lors de l'intégration de l'ordinateur dans le domaine AD depuis Windows, et l'importer dans une keytab dans l'OS GNU/Linux.
Mais tu risques de rencontrer des problèmes même en faisant comme cela. En effet, pour des raisons de sécurité, Windows est configuré pour renouveler les passwords des ordinateurs tous les mois par défaut, et comme les clés de chiffrement sont dérivées du password, alors cela signifie qu'il te faudra réimporter le matériel de chiffrement dans GNU/Linux. (voir http://blogs.technet.com/b/askds/archive/2009/02/15/test2.aspx)
Dans l'absolu, je te déconseille d'utiliser le même FDQN pour Windows et GNU/Linux, car tu vas au devant d'effets de bord pernicieux.
À ta place, j'utiliserais une nomenclature qui différencie les Oses, quand bien même ils s'exécutent sur la même machine. Réfléchis au fait que si les deux OSes s'exécutaient en même temps sur la machine, tu aurais naturellement utilisé des noms différents. Ce n'est pas parce que les OSes ne s'exécutent pas en même temps qu'il faut voir les choses différemment.
[^] # Re: Séparation autoritaire / récursif
Posté par poiuy . En réponse au message Séparation autoritaire / récursif. Évalué à 1.
Le fait d'utiliser un même démon bind pour faire un serveur DNS faisant autorité et un résolveur posent les mêmes problèmes de sécurité qu'en séparant les deux rôles.
La « sécurité » que tu as l'air d'évoquer rejoint plutôt la sensibilité de ta configuration à des attaques de type DOS. Cela n'est pas en soi un problème de sécurité mais de disponibilité, de fiabilité, et de bon comportement de ton serveur sur l'internet.
Si tu veux éviter les attaques DOS, je te conseille de commencer par lire ces liens :
http://www.bortzmeyer.org/dns-attaque-ns-point.html
http://www.cymru.com/Documents/secure-bind-template.html
Note : tu constateras qu'un serveur DNS, même correctement configuré, continue de participer à une attaque par amplification en envoyant tout de même une réponse de type REFUSED/SERVFAIL.
La configuration devient alors plus complexe, je te renvoie à ce genre de lien pour commencer :
http://www.mill-yard.com/2013/07/centos-bind-blocking-dns-reflection-or-amplification-ddos-attacks-using-recursive-dns-lookups/
Si tu veux sécuriser ton serveur, je te conseille de commencer par lire le chapitre sur la sécurité du livre « DNS and BIND » par Cricket Liu et Paul Albitz chez O'Reilly qui est bien fait.
# Séparation autoritaire / récursif
Posté par poiuy . En réponse au message Séparation autoritaire / récursif. Évalué à 1.
Il vaut mieux. Je te conseille de regarder la conférence que Stéphane Bortzmeyer a donnée dans le cadre d' « il était une fois Internet », il explique les problématiques que l'on rencontre en mélangeant les deux. Elle est disponible ici : http://www.iletaitunefoisinternet.fr/dns-bortzmeyer/.
De quel souci de sécurité veux-tu parler ?
[^] # Re: Historique zsh
Posté par poiuy . En réponse à la dépêche Restez ZEN avec ZSH. Évalué à 1.
poiuy@debian:~$ grep -A 2 alternate /etc/inputrc
# alternate mappings for "page up" and "page down" to search the history
# "\e[5~": history-search-backward
# "\e[6~": history-search-forward
# Apparix
Posté par poiuy . En réponse à la dépêche Autojump : une manière plus rapide de naviguer dans le système de fichiers avec la ligne de commande. Évalué à 3.
http://www.micans.org/apparix/