Главная страница » Настраиваем BIND9 для Linux AD-DC на Ubuntu 18.04 – Часть 2

Настраиваем BIND9 для Linux AD-DC на Ubuntu 18.04 – Часть 2

by Belfigor
2353 views
post_logo_ru - Настраиваем BIND9 для Linux AD-DC на Ubuntu 18.04 - Часть 2

Снова настраиваем BIND9 для Linux AD-DC на Ubuntu 18.04. Да, мы уже прошли почти половину пути. В первой статье мы сделали предварительную настройку BIND9. Предварительная настройка позволила нам инициализировать контроллер домена Active Directory. Теперь нам необходимо донастроить bind9 таким образом, чтобы он был готов принять на себя роль полноценного DNS сервера контроллера домена и обслуживать как локальную зону, так и перенаправлять неизвестные ему запросы на DNS форвардер.

Список статей из цикла “Контроллер домена Linux на Ubuntu Server 18.04”, актуализированных в 2020 году:

  1. Настройка BIND9 для Linux AD-DC на Ubuntu 18.04 – Часть 1
  2. Linux AD-DC на Ubuntu 18.04 – Настройка Samba4 – Часть 1
  3. Настраиваем BIND9 для Linux AD-DC на Ubuntu 18.04 – Часть 2
    1. Настраиваем BIND9 для Linux AD-DC – Активируем интеграцию DLZ

      sudo nano /var/lib/samba/private/named.conf

      Если всё было сделано правильно, там автоматом будет раскомменчена строка отвечающая за интеграцию нашей версии самбы с нашей версией bind9.

      Настраиваем BIND9 для Linux AD-DC на Ubuntu 18.04 – Часть 2 - Активация BIND9 DLZ

      Активация BIND9 DLZ

      Этот же файл надо заинклудить в основную конфигурацию named

      sudo nano /etc/bind/named.conf

      Добавляем в конец

      include "/var/lib/samba/private/named.conf";
      Настраиваем BIND9 для Linux AD-DC на Ubuntu 18.04 – Часть 2 - Дополняем named.conf

      Дополняем named.conf

       

    2. Проверяем права на dns.keytab

      ls -l /var/lib/samba/private/dns.keytab
      AdminGuide.Ru@ag-dc-1:~$ ls -l /var/lib/samba/private/dns.keytab
      -rw-r----- 2 root bind 802 Apr  3 19:36 /var/lib/samba/private/dns.keytab
    3. Проверяем права на папку /private/

      ls -ld /var/lib/samba/private
      adminguideru@ag-dc-1:~$ ls -ld /var/lib/samba/private
      drwxr-xr-x 6 root root 4096 авг 25 20:43 /var/lib/samba/private
    4. Смотрим права на /etc/krb5.conf

      ls -l /etc/krb5.conf
      AdminGuide.Ru@ag-dc-1:~$ ls -l /etc/krb5.conf
      -rw-r--r-- 1 root bind 2891 Apr  3 17:51 /etc/krb5.conf

      В случае несоответствия

      sudo chown root:bind /etc/krb5.conf
    5. Проверяем наличие утилиты nsupdate

      which nsupdate
      AdminGuide.Ru@ag-dc-1:~$ which nsupdate
      /usr/bin/nsupdate
    6. Настраиваем BIND9 для Linux AD-DCЗагружаем список корневых днс серверов

      sudo wget -q -O /var/cache/bind/named.root http://www.internic.net/zones/named.root
      sudo chown root:bind /var/cache/bind/named.root
      sudo chmod 640 /var/cache/bind/named.root

       

    7. Настраиваем BIND9 для Linux AD-DC Проверяем конфиг

      sudo named-checkconf
      sudo service bind9 start

      Если ошибок не будет обнаружено, то named-checkconf не выдаст никакой информации, можно пытаться запустить сервис. Если попытка запуска тоже не выдаст никаких критов прямо в терминал – значит хорошо. DNS сервер почти готов к работе

    8. Настраиваем BIND9 для Linux AD-DC – Создаём файлы зон

      sudo mkdir /var/cache/bind/master
      sudo chown bind:bind /var/cache/bind/master

       

      1. localhost

        sudo nano /var/cache/bind/master/localhost.zone

        Копируем туда следующее:

        $TTL 3D
        $ORIGIN localhost.
        @       1D      IN     SOA     @       root (
        2013050101      ; serial
        8H              ; refresh
        2H              ; retry
        4W              ; expiry
        1D              ; minimum
        )
        @       IN      NS      @
        IN      A       127.0.0.1

        Изменяем владельца и права доступа

        sudo chown bind:bind /var/cache/bind/master/localhost.zone
        sudo chmod 640 /var/cache/bind/master/localhost.zone
      2. 0.0.127.in-addr.arpa

        sudo nano /var/cache/bind/master/0.0.127.zone
        $TTL 3D
        @       IN      SOA     localhost. root.localhost. (
        2013050101      ; Serial
        8H              ; Refresh
        2H              ; Retry
        4W              ; Expire
        1D              ; Minimum TTL
        )
        IN      NS      localhost.
        1      IN      PTR     localhost.
        sudo chown bind:bind /var/cache/bind/master/0.0.127.zone
        sudo chmod 640 /var/cache/bind/master/0.0.127.zone

         

    9. Запускаем\перезапускаем bind9, проверяем созданные зоны

      sudo service bind9 restart
      host -t A localhost 127.0.0.1
      host -t PTR 127.0.0.1 127.0.0.1
      

       

      AdminGuide.Ru@ag-dc-1:~$ sudo service bind9 restart
      AdminGuide.Ru@ag-dc-1:~$ host -t A localhost 127.0.0.1
      Using domain server:
      Name: 127.0.0.1
      Address: 127.0.0.1#53
      Aliases: 
      localhost has address 127.0.0.1
      AdminGuide.Ru@ag-dc-1:~$ host -t PTR 127.0.0.1 127.0.0.1
      Using domain server:
      Name: 127.0.0.1
      Address: 127.0.0.1#53
      Aliases: 
      1.0.0.127.in-addr.arpa domain name pointer localhost.

      Если же на host запросы вы видите следующую ошибку:

      ;; connection timed out; no servers could be reached
      

      Значит вероятнее всего у вас шалит apparmor.
      Смотрим лог с помощью команды:

      tail -n 50 /var/log/syslog

      Если вы видите там строки по типу:

      Aug 25 20:48:53 ag-dc-1 kernel: [ 6806.022442] audit: type=1400 audit(1598377733.390:19): apparmor="DENIED" operation="open" profile="/usr/sbin/named" name="/var/lib/samba/private/named.conf" pid=4028 comm="isc-worker0001" requested_mask="r" denied_mask="r" fsuid=111 ouid=0
      

      Это значит что AppArmor исправно работает и защищает ваш сервер. Т.к. настройки AppArmor не являются предметом данной статьи, то просто отключите его и повторно выполните текущий пункт.

      1. Отключение AppArmor

        С помощью systemctl останавливаем, отключаем и запрещаем автозапуск для AppArmor

        sudo systemctl stop apparmor && sudo systemctl disable apparmor && sudo systemctl mask apparmor

        Перезагружаем сервер

        sudo reboot -h now
    10. Переходим к разделу: “Контроллер домена Ubuntu – Настройка – Часть 2”

В данный момент весь текстовый контент на неделю раньше публикуется в моём Zen блоге . Там же проходят русскоязычные премьеры видеоуроков 🙂

Так же видео публикуются на Youtube канале, но там проходят сперва англоязычные премьеры 🙂

Text.ru - 100.00%

You may also like

4 комментария

Alexandr 26.04.2021 - 17:26

Запутался в статьях по настройке AD DC 18.04 на сайте. Вроде бы уже настроил, всё работает. Но вот новая статья говорящая ставить Bind9, до самбы … и могу ли я поставить его и использовать с AD или всё заново. Материал классный, но могли бы вы смежные темы как то объеденить, какие шаги желательно делать за какими, т.е. не только тэгами, но и последовательно, если возможно.

Reply
Belfigor 27.04.2021 - 20:16

День добрый! Вы бы не смогли инициализировать контроллер домена по статьям без бинда 🙂
Статьи оформленные с порядком выполнения есть в блоге: https://zen.yandex.ru/media/id/5ec1740672423a6de38c60a9/nastroika-bind9-dlia-linux-addc-na-ubuntu-1804–chast-1-5f4530222ec78473e19389c4
Там прям по пунктам выстроены все 9 статей первой серии мануалов 🙂

Reply
AlexandrK 26.04.2021 - 21:12

У меня повторилась ошибка Bind9 и AppArmor, не стал выключать, нашёл решение здесь – может быть добавите в статью.
https://superuser.com/questions/1432627/error-starting-bind9-11-3-with-dlz-bind-for-samba

Reply
Belfigor 27.04.2021 - 20:19

Там надо отключить или лучше дообучить аппармор 🙂

Reply

Leave a Comment