rndc est utilisé pour administrer le daemon named local ou distant.
Son fichier de configuration est /etc/rndc.conf
Pour éviter un accès non autorisé à Bind, une clé secrète est utilisée. Cette clé secrète doit être la même dans /etc/rndc.conf et /etc/named.conf
Sinon on a le message :
rndc: connect: connection refused
Pour exécuter une commande, il faut dans /etc/named.conf :
controls {
inet 127.0.0.1 allow { localhost; } keys { <key-name>; };
};
Cela dit à named d’écouter sur le port 953 de l’adresse de bouclage et d’exécuter les commandes venant de rndc localement.
key-name fait référence, dans /etc/named.conf, à la section :
key "<key-name>" {
algorithm hmac-md5;
secret "<key-value>";
};
Ici, c’est une clé hmac-md5 générée avec :
dnssec-keygen -a hmac-md5 -b <bit-length> -n HOST <key-file-name>
Une clé longue d’au moins 256 bits est correcte
La clé doit être mise dans la section du fichier
Le nom de la clé, dans /etc/named.conf, doit être différent de key
Pour utiliser automatiquement le clé définie dans /etc/named.conf, il faut dans /etc/rndc.conf les sections options, server, key :
options {
default-server localhost;
default-key "<key-name>";
};
server localhost {
key "<key-name>";
};
key "<key-name>" {
algorithm hmac-md5;
secret "<key-value>";
};
key-name et key-value doivent être exactement les mêmes que dans /etc/named.conf
Pour tester, exécuter :
rndc reload
