PDNS authoritative dns server's: Difference between revisions
(→dnssec) |
|||
| Line 91: | Line 91: | ||
=== godady api === | === godady api === | ||
= scripting = | |||
Alle scripting staat op /disk/scripting/powerdns | Alle scripting staat op /disk/scripting/powerdns | ||
Op deze manier wordt ook netje geback-upt | Op deze manier wordt ook netje geback-upt | ||
== dnsseconderhoud.php == | |||
Dit script verricht onderhoud in paar fases: | Dit script verricht onderhoud in paar fases: | ||
| Line 104: | Line 104: | ||
# Fase 4 verwijder niet gekoppelde KSK's uit powerdns | # Fase 4 verwijder niet gekoppelde KSK's uit powerdns | ||
== functions.php == | |||
Deze file bevat alle gebruikte functies | Deze file bevat alle gebruikte functies | ||
== credentials* == | |||
Spreekt voor zich | Spreekt voor zich | ||
== transip/zetnameservergoed.php == | |||
Dit script zet nameserver van domein goed bij transip | |||
transip/zetnameservergoed.php domein.tld | |||
= vragen = | = vragen = | ||
Stoppen met vullen van groeperingen uit ldap (vereenvoudigen) | Stoppen met vullen van groeperingen uit ldap (vereenvoudigen) | ||
Revision as of 10:49, 23 March 2022
Doel
Dit zijn de autoritive name servers van hobbynet
opzet
pdns1 is master server hier draait de database op met alle records, in een mysql database.
de over dns servers draaien een slave van deze server en worden zo voor zien van de meest recente records automatisch
zones
zone bewerken
cli
eenvoudig via :
pdnsutil edit-zone (zonenaam zonder extra .)
zone migreren
in /root staat migratie script dit script haalt de zone file uit /root/master.
Deze zorgt dat de zone wordt ingelezen in de database en nameserver records worden goed gezet. /root/migrate.sh
dnssec
Om te zorgen dat de KSK key's automatisch worden uitgerold naar de verschillende leveranciers is er een database genaamd Domeinbeheer
activeren
cli
activeren van dnssec gaat relatief eenvoudig draai
/disk/scripting/powerdns/dnssec/activeerdnssec.sh domeinnaam.tld
en de benodigde handelingen worden verricht, ksk en zsk worden aangemaakt en geactiveerd en nsec3 wordt geactiveerd.
Hierna kan je paar uur wachten of je draaid dnssecondrhoud script om te zorgen dat leverancier wordt bij gewerkt.
web
volgt nog
database
tabellen
dnssec
Deze tabel houd bij welke KSK actieve is wanneer hij verloopt
| Naam veld | Omschrijving |
|---|---|
| id | Primary key |
| Domein naam | Naam van de zone/domein (met extra punt) |
| actieve-ksk | keytag van de actieve ksk |
| standby-ksk | keytag van de standby ksk |
| verlopen-ksk | keytag van de verlopen ksk |
| verval-actieve | Datum wanneer key in gebruik is genomen |
| Verval-verlopen | Datum wanneer key inactief is geworden |
Leveranciers
Om te kunnen bepalen bij welke leverancier een domein hoort wordt aan de hand van de tld bepaald wat leverancier is.
| Naam veld | Omschrijving |
|---|---|
| id | Primary key |
| tld | de extentie van domein |
| leveransier | de leverancier van deze tld |
api
epp sidn
Helaas is de EPP interface best complex en niet al te makkelijk, maar wordt deel eigen scripting gebruikt en deel een php-client van metaregistry op gehaald en up2date gehouden via composser
tansip rest api
We maken gebruiken van de rest interface van Transip
We hebben een PHP class TransIP_AccessToken voor aan makken autorisatie token.
Dit token is 30 min geldig
ripe rest api
Voor ripe gebruiken we de standaard rest interface van ripe.
We update altijd gewoon het record, dit is makkelijker dan uitzoeken of het veranderd is.
godady api
scripting
Alle scripting staat op /disk/scripting/powerdns
Op deze manier wordt ook netje geback-upt
dnsseconderhoud.php
Dit script verricht onderhoud in paar fases:
- Fase 1 kijken of er verlopen actieve ksk's zijn en zo ja wissel KSK met standby KSK en maak nieuwe KSK (elke 3 maanden wisselen)
- Fase 2 controleer of records kloppen bij leveranciers en zo nodig update soms altijd update zie api omschrijving
- Fase 3 verwijder alle verlopen KSK die ouder zijn dan 1 week
- Fase 4 verwijder niet gekoppelde KSK's uit powerdns
functions.php
Deze file bevat alle gebruikte functies
credentials*
Spreekt voor zich
transip/zetnameservergoed.php
Dit script zet nameserver van domein goed bij transip
transip/zetnameservergoed.php domein.tld
vragen
Stoppen met vullen van groeperingen uit ldap (vereenvoudigen)