A lot of french people have been interested by my documentation about Wide Area Bonjour, and this subject have no really good documentation, even in english. So I’ve decide, with the help of Laurent Pertois, to translate my documentation in english. You can download it at the end of this article.

A special thanks to Laurent for the translation of this doc!

Wide Area Bonjour

Voyons voir maintenant comment faire en sorte que l’écriture sur cette zone soit protégée par un secret partagé.

English version

Vous vous souvenez certainement que dans le deuxième article de cette série nous avions utilisé une ligne de commande pour faire en sorte que la clef bonjourRegistration de notre zone WAB prenne la valeur open. Nous allons maintenant modifier cette valeur pour la mettre à secure.

root@office / 18:17 % serveradmin settings dns:views:_array_id:2247116D-446D-4254-AEB0-8BD7377D4256:primaryZones:_array_id:0AC3AE46-8D87-4679-9EA0-CCEDB87FF11F:bonjourRegistration = "secure"

Cette commande à un effet sur le fichier /etc/dns/publicView.conf.apple qui contient la définition de nos domaines géré. Regarder votre zone WAB, elle devrait ressembler à ceci :

	zone "bonjour.office.inig-services.com." {
		type master;
		file "db.bonjour.office.inig-services.com.";
		allow-transfer {none;};
		allow-update {key com.apple.ServerAdmin.DNS.bonjour.sharedSecret;};
	};

L’intéressant ici se trouve sur la ligne allow-update qui est réglé par Server Admin pour utiliser uniquement la clef com.apple.ServerAdmin.DNS.bonjour.sharedSecret. Il nous reste donc à définir cette clef puis à la transmettre sur nos clients.

Pour définir cette clef, l’outil à utiliser en ligne de commande est rndc-confgen, il va également falloir lui indiquer où stocker la clef, pour ma part j’ai choisi /etc/dns/bonjour.key.

root@office / 18:27 % rndc-confgen -a -c /etc/dns/bonjour.key -k com.apple.ServerAdmin.DNS.bonjour.sharedSecret

Si vous regardez le contenue de ce fichier vous devez avoir quelque chose de ce genre :

key "com.apple.ServerAdmin.DNS.bonjour.sharedSecret" {
	algorithm hmac-md5;
	secret "lasZZ9TN+AILCl+TpNgUiw==";
};

Notez donc le secret entre guillemets, il vous servira sur les machines clients.

Cette clef étant générée, il reste à indiquer à Bind où elle se trouve, pour cela nous allons modifier le fichier /etc/named.conf pour faire en sorte que le début ressemble à cela :

//
// Include keys file
//
include "/etc/rndc.key";
include "/etc/dns/bonjour.key";
 
// ...

Il ne vous reste plus qu’à redémarrer le service DNS :

root@office / 18:33 % serveradmin stop dns && serveradmin start dns

Il nous reste ici à configurer les machines clientes, rendez-vous dans les préférences systèmes, section partage pour aller configurer l’enregistrement WAB de votre client en utilisant com.apple.ServerAdmin.DNS.bonjour.sharedSecret comme nom d’utilisateur et lasZZ9TN+AILCl+TpNgUiw== comme mot de passe.

Vous savez déjà comment vérifier que votre zone fonctionne, Bonjour Browser est votre ami :-)

English version

Pour commencer, une petite explication de ce qu’est l’implémentation de Bonjour en tant que développeur (l’activité de développement d’application Mac/iPhone compte pour un tiers de mon activité, je pense pouvoir vous en parler).

Quand on crée une application Mac et que l’on souhaite utiliser Bonjour pour la découverte du réseau la chose est plutôt simple. Il nous suffit de donner un nom unique pour le service (avec le type de communication utilisée), _http._tcp par exemple puis de demander un enregistrement (ou une recherche) sur un domaine. Ce domaine peut être local pour se limiter au Bonjour local ou, tel que le conseil la documentation, une chaîne de caractères vide. Ce dernier choix, pris par beaucoup de développeur, permet de laisser le système choisir quelle est la meilleur zone d’enregistrement Bonjour.

La question est de savoir comment est choisi la meilleure zone. C’est très simple, par défaut c’est la zone locale, sauf si une autre zone est définie comme zone par défaut (dans ce cas l’enregistrement est fait dans les deux, la locale et la supplémentaire).

Pourquoi savoir tout cela ? Si comme moi, vous avez des logiciels (dont je ne citerais pas le nom) qui ne fonctionne qu’avec du Bonjour, où vous n’avez pas la possibilité de rentrer votre serveur à la main (ce qui à mon sens est un logiciel mal développé), vous rencontrerez des problèmes si vous utilisez ces logiciels dans un grand réseau ou avec du VPN.

L’idée sera donc ici de faire en sorte que la majorité des logiciels (ceux laissant le système choisir la zone) utilise notre zone WAB. À vrai dire, seul certains services s’enregistrent sur les zone « secondaire ».

Ré-ouvrez donc votre terminal sur votre serveur pour aller rajouter quelques lignes sur le fichier de configuration statique de votre zone de recherche par défaut, pour ma part c’est /var/named/db.office.inig-services.com.

Nous avions déjà fait des modifications dans ce fichier pour y spécifier la délégation de zone pour le WAB, nous allons y rajouter trois lignes pour arriver à ceci :

;THE FOLLOWING INCLUDE WAS ADDED BY SERVER ADMIN. PLEASE DO NOT REMOVE.
$INCLUDE /var/named/zones/db.office.inig-services.com.zone.apple
 
db._dns-sd._udp IN  PTR bonjour.office.inig-services.com.
r._dns-sd._udp IN  PTR bonjour.office.inig-services.com.
dr._dns-sd._udp IN  PTR bonjour.office.inig-services.com. 
 
bonjour.office.inig-services.com. 86400 IN NS office.inig-services.com.

Examinons cela avec la documentation dns-sd.org :

• db._dns-sd permet de définir notre domaine comme domaine de recherche Bonjour par défaut
• r._dns-sd permet de marquer notre domaine comme domaine d’enregistrement potenitel
• dr._dns-sd quant à lui permet de définir notre domaine comme domaine d’enregistrement par défaut

D’autre part, le fait d’activer la zone WAB dans Server Admin dans le premier article à rajouté deux entrées à tout vos domaines :

• b._dns-sd pour signaler votre domaine comme domaine de recherche potentiel
• lb._dns-sd pour que les clients utilisent votre domaine en complément du local (et ainsi forcer toutes les applications à lire son contenue)

Ceci étant fait, il ne reste plus qu’à redémarrer les services qui utilisent Bonjour.

Et voilà une grosse partie des logiciels que vous utilisez sont accessibles à travers votre VPN !

English version

Les manipulations que nous allons voir ici considère que vous avez déjà mis en place votre zone WAB avec des informations statiques comment vu dans l’article précédent. Nous allons simplement préparer cette zone pour accueillir des mises à jour d’informations de la part des clients sans aucune authentification. Ce sera donc une zone WAB ouvert.

Apple nous facilite grandement le travail aujourd’hui, un peu d’analyse sur les outils d’OS X Server et d’intuition montre comment faire. Regardons sur notre serveur les paramètres du serveur dns via la ligne de commande :

root@office / 18:30 % serveradmin settings dns
dns:loggingLevel = "info"
dns:forwarders:_array_index:0 = "8.8.4.4"
dns:forwarders:_array_index:1 = "8.8.8.8"
dns:acls:_array_index:0:addressMatchList:_array_index:0 = "localnets"
dns:acls:_array_index:0:name = "com.apple.ServerAdmin.DNS.public"
dns:isBonjourClientBrowsingEnabled = yes
...
dns:views:_array_id:2247116D-446D-4254-AEB0-8BD7377D4256:primaryZones:_array_id:0AC3AE46-8D87-4679-9EA0-CCEDB87FF11F:serial = "2010011704"
dns:views:_array_id:2247116D-446D-4254-AEB0-8BD7377D4256:primaryZones:_array_id:0AC3AE46-8D87-4679-9EA0-CCEDB87FF11F:expire = 3600
dns:views:_array_id:2247116D-446D-4254-AEB0-8BD7377D4256:primaryZones:_array_id:0AC3AE46-8D87-4679-9EA0-CCEDB87FF11F:refresh = 3600
dns:views:_array_id:2247116D-446D-4254-AEB0-8BD7377D4256:primaryZones:_array_id:0AC3AE46-8D87-4679-9EA0-CCEDB87FF11F:nameservers:_array_index:0:name = "bonjour.office.inig-services.com."
dns:views:_array_id:2247116D-446D-4254-AEB0-8BD7377D4256:primaryZones:_array_id:0AC3AE46-8D87-4679-9EA0-CCEDB87FF11F:nameservers:_array_index:0:value = "office.inig-services.com."
dns:views:_array_id:2247116D-446D-4254-AEB0-8BD7377D4256:primaryZones:_array_id:0AC3AE46-8D87-4679-9EA0-CCEDB87FF11F:negativeTimeToLive = 345600
dns:views:_array_id:2247116D-446D-4254-AEB0-8BD7377D4256:primaryZones:_array_id:0AC3AE46-8D87-4679-9EA0-CCEDB87FF11F:adminEmail = "admin@bonjour.office.inig-services.com."
dns:views:_array_id:2247116D-446D-4254-AEB0-8BD7377D4256:primaryZones:_array_id:0AC3AE46-8D87-4679-9EA0-CCEDB87FF11F:allowZoneTransfer = no
dns:views:_array_id:2247116D-446D-4254-AEB0-8BD7377D4256:primaryZones:_array_id:0AC3AE46-8D87-4679-9EA0-CCEDB87FF11F:selfResolvingHostname = "0"
dns:views:_array_id:2247116D-446D-4254-AEB0-8BD7377D4256:primaryZones:_array_id:0AC3AE46-8D87-4679-9EA0-CCEDB87FF11F:name = "bonjour.office.inig-services.com."
dns:views:_array_id:2247116D-446D-4254-AEB0-8BD7377D4256:primaryZones:_array_id:0AC3AE46-8D87-4679-9EA0-CCEDB87FF11F:reverseMappings:_array_index:0:value = "Office._http._tcp.bonjour.office.inig-services.com."
dns:views:_array_id:2247116D-446D-4254-AEB0-8BD7377D4256:primaryZones:_array_id:0AC3AE46-8D87-4679-9EA0-CCEDB87FF11F:reverseMappings:_array_index:0:ipAddress = "_http._tcp"
dns:views:_array_id:2247116D-446D-4254-AEB0-8BD7377D4256:primaryZones:_array_id:0AC3AE46-8D87-4679-9EA0-CCEDB87FF11F:serviceRecords:_array_index:0:weight = 0
dns:views:_array_id:2247116D-446D-4254-AEB0-8BD7377D4256:primaryZones:_array_id:0AC3AE46-8D87-4679-9EA0-CCEDB87FF11F:serviceRecords:_array_index:0:port = 80
dns:views:_array_id:2247116D-446D-4254-AEB0-8BD7377D4256:primaryZones:_array_id:0AC3AE46-8D87-4679-9EA0-CCEDB87FF11F:serviceRecords:_array_index:0:serviceType = "_http._tcp"
dns:views:_array_id:2247116D-446D-4254-AEB0-8BD7377D4256:primaryZones:_array_id:0AC3AE46-8D87-4679-9EA0-CCEDB87FF11F:serviceRecords:_array_index:0:instanceName = "Office"
dns:views:_array_id:2247116D-446D-4254-AEB0-8BD7377D4256:primaryZones:_array_id:0AC3AE46-8D87-4679-9EA0-CCEDB87FF11F:serviceRecords:_array_index:0:host = "office.inig-services.com."
dns:views:_array_id:2247116D-446D-4254-AEB0-8BD7377D4256:primaryZones:_array_id:0AC3AE46-8D87-4679-9EA0-CCEDB87FF11F:serviceRecords:_array_index:0:priority = 0
dns:views:_array_id:2247116D-446D-4254-AEB0-8BD7377D4256:primaryZones:_array_id:0AC3AE46-8D87-4679-9EA0-CCEDB87FF11F:serviceRecords:_array_index:0:txt = "path=/"
dns:views:_array_id:2247116D-446D-4254-AEB0-8BD7377D4256:primaryZones:_array_id:0AC3AE46-8D87-4679-9EA0-CCEDB87FF11F:timeToLive = 3600
dns:views:_array_id:2247116D-446D-4254-AEB0-8BD7377D4256:primaryZones:_array_id:0AC3AE46-8D87-4679-9EA0-CCEDB87FF11F:retry = 3600
dns:views:_array_id:2247116D-446D-4254-AEB0-8BD7377D4256:primaryZones:_array_id:0AC3AE46-8D87-4679-9EA0-CCEDB87FF11F:bonjourRegistration = "off"
dns:views:_array_id:2247116D-446D-4254-AEB0-8BD7377D4256:primaryZones:_array_id:0AC3AE46-8D87-4679-9EA0-CCEDB87FF11F:allow-update = "none;"
...

On retrouve ici les informations de notre zone bonjour.office.inig-services.com stocké d’une manière un peu spéciale : dns:views:_array_id:2:primaryZones:_array_id::

Peut importe ce que ça représente, faites attention à utiliser les bonnes valeurs.

Vous avez peut-être remarqué qu’il y a une valeur dont le nom est bonjourRegistration et qui est à off pour le moment, nous allons tout simplement passer cette valeur à open pour que Server Admin configure pour nous les différents outils permettant la mise à jour de la zone par tous les clients.

root@office / 18:38 % serveradmin settings dns:views:_array_id:2247116D-446D-4254-AEB0-8BD7377D4256:primaryZones:_array_id:0AC3AE46-8D87-4679-9EA0-CCEDB87FF11F:bonjourRegistration = "open"

À la fin de cette commande vous devriez avoir un nouveau fichier dans /etc/dns qui se nomme dnsextd.conf

root@office / 18:40 % ls -l /etc/dns
total 32
-rw-r--r--@ 1 root  wheel   204B Jan 17 18:38 dnsextd.conf.apple
-rw-r--r--@ 1 root  wheel   130B Jan 17 18:38 loggingOptions.conf.apple
-rw-r--r--@ 1 root  wheel   324B Jan 17 18:38 options.conf.apple
-rw-r--r--@ 1 root  wheel   1.3K Jan 17 18:38 publicView.conf.apple

dnsextd est un démon se chargeant de la communication entre les clients et le serveur DNS.

On voit également que les autres fichiers ont été modifiés, Server Admin y a en effet rajouté toutes les informations nécessaires au bon fonctionnement du WAB.

Notre serveur est maintenant prêt à accueillir les informations de nos clients, il ne reste plus qu’à dire à nos machines qu’elles peuvent s’enregistrer et sous quel nom.

Pour cela nous allons dans les Préférences Système de notre Mac OS X Client puis dans la section Partage. Dans le panneau de gestion de services de partage vous trouverez en haut le champ permettant de modifier le nom de votre machine ainsi qu’un bouton modifier sur lequel vous allez cliquer, il permet de modifier les informations Bonjour.

Un panel apparait, cochez la case « Utiliser un nom d’hôte dynamique global », rentrez le nom d’hôte de la machine, pas d’identifiant puis cocher la case « Annoncer les services de ce domaine via Bonjour ».

Une fois validé, votre client a dû s’enregistrer auprès de votre serveur (sous condition qu’il utilise le bon serveur DNS).
Voici comment vérifier que tout s’est bien déroulé, depuis un Mac OS X Client, ouvrez un terminal et tapez les commandes suivantes et comparez vos résultats :

yoann@Yoanns-Laptop ~ 19:00 % dns-sd -E
Looking for recommended registration domains:
Timestamp     Recommended Registration domain
19:00:26.729  Added     (More)               local
19:00:26.730  Added     (More)               mac.com
                                                                 - >; members
                                                                 - - >; yoann
19:00:26.730  Added                          inig-services.com
                                                                 - >; office
                                                                 - - >; bonjour

Cette commande m’indique la liste des domaines Bonjour recommandé pour l’enregistrement, j’y retrouve mon domaine .local (celui utilisé normalement), le domaine de MobileMe (et oui, MobileMe se sert de WAB pour vous fournir les services de Back to my Mac) et notre domaine, tout va bien donc !

Autre commande (qui nécessite que votre client enregistré ai le partage AFP d’actif) :

yoann@Yoanns-Laptop ~ 19:00 % dns-sd -B _afpovertcp._tcp bonjour.office.inig-services.com.
Browsing for _afpovertcp._tcp.bonjour.office.inig-services.com.
Timestamp     A/R Flags if Domain                    Service Type              Instance Name
19:03:30.913  Add     2  0 bonjour.office.inig-services.com. _afpovertcp._tcp.         Yoann's Laptop

Je liste ici tous les enregistrements pour les services de type _afpovertcp._tcp sur ma zone bonjour.office.inig-services.com.

Si je veux maintenant obtenir les informations pour un service sur une machine, voici ce que j’ai à faire :

yoann@Yoanns-Laptop ~ 19:05 % dns-sd -L "Yoann's Laptop" _afpovertcp._tcp bonjour.office.inig-services.com.
Lookup Yoann's Laptop._afpovertcp._tcp.bonjour.office.inig-services.com.
19:05:26.225  Yoann's\032Laptop._afpovertcp._tcp.bonjour.office.inig-services.com. can be reached at yoann-laptop.office.inig-services.com.:548 (interface 0)

Un autre moyen de voir facilement les informations publiées sur les domaines Bonjour est d’utiliser l’excellent Bonjour Browser ici lancé depuis une autre machine :

Et voilà, votre zone WAB open est fonctionnelle. Ne seront enregistrés sur cette zone que les clients ayant les options adéquats de coché dans leurs préférences système. Pour les autres, ils verront ce qui est publié par les machines configuré sous condition d’avoir le bon serveur DNS et la bonne zone de recherche de configuré.

Voici par exemple la vue réseau d’un client connecté en VPN sur mon serveur :

Et pour Safari :

Si vous avez des questions ou des commentaires, n’hésitez pas.

N’oubliez pas que vous pouvez me retrouver comme formateur pour les centres de formation suivant :

• Terkane (Fréjus/St Raphaël)
• Apaxxdesigns (Paris)

English version

Si vous êtes depuis longtemps dans le monde OS X Server vous devez savoir que Wide Area Bonjour (WAB) fait partie des technologies les plus génial, mais aussi des plus incompréhensibles à mettre à œuvre au premier abord.

Pour ma part j’essaye de faire marcher cette techno depuis Tiger, mais il faut dire que les documentations sont pauvres à ce sujet, j’en veux pour preuve le site officiel dns-sd.org qui ne contient que quatre pages…

Cela dit, à force de discussion avec d’autres administrateurs j’ai réussi à collecter toutes les informations utiles pour un fonctionnement « out of the box ». J’en profie pour remercier Guillaume Gete pour m’avoir transféré les documentations qu’il avait lui-même collecté, elles se sont montrée bien utiles.

Avant d’attaquer cet article je tiens à dire que j’ai réussi à faire marcher tout ceci un samedi soir vers 1h du matin. Autant dire que je n’ai pas encore poussé les expérimentations dessus. La série d’article que je vais écrire à ce propos s’adresse donc à des administrateurs avertis souhaitant s’intéresser à cette technologie. À vous de tester ses possibilités avant de le mettre en production.

J’ai choisi d’écrire plusieurs petits articles pour ce sujet plutôt qu’un seul gros, certaines choses sont plus fiables que d’autre et que WAB peut être utilisé de plusieurs manière.