Главная страница » Настраиваем BIND9 для Linux AD-DC на Ubuntu 18.04 – Часть 2

Настраиваем BIND9 для Linux AD-DC на Ubuntu 18.04 – Часть 2

by Belfigor
283 views
post_logo_ru - Настраиваем BIND9 для Linux AD-DC на Ubuntu 18.04 - Часть 2

Снова настраиваем BIND9 для Linux AD-DC на Ubuntu 18.04. Да, мы уже прошли почти половину пути. В первой статье мы сделали предварительную настройку BIND9. Предварительная настройка позволила нам инициализировать контроллер домена Active Directory. Теперь нам необходимо донастроить bind9 таким образом, чтобы он был готов принять на себя роль полноценного DNS сервера контроллера домена и обслуживать как локальную зону, так и перенаправлять неизвестные ему запросы на DNS форвардер.

Список статей из цикла “Контроллер домена Linux на Ubuntu Server 18.04”, актуализированных в 2020 году:

  1. Настройка BIND9 для Linux AD-DC на Ubuntu 18.04 – Часть 1
  2. Linux AD-DC на Ubuntu 18.04 – Настройка Samba4 – Часть 1
  3. Настраиваем BIND9 для Linux AD-DC на Ubuntu 18.04 – Часть 2
    1. Настраиваем BIND9 для Linux AD-DC – Активируем интеграцию DLZ

      sudo nano /var/lib/samba/private/named.conf

      Если всё было сделано правильно, там автоматом будет раскомменчена строка отвечающая за интеграцию нашей версии самбы с нашей версией bind9.

      Настраиваем BIND9 для Linux AD-DC на Ubuntu 18.04 – Часть 2 - Активация BIND9 DLZ

      Активация BIND9 DLZ

      Этот же файл надо заинклудить в основную конфигурацию named

      sudo nano /etc/bind/named.conf

      Добавляем в конец

      include "/var/lib/samba/private/named.conf";
      Настраиваем BIND9 для Linux AD-DC на Ubuntu 18.04 – Часть 2 - Дополняем named.conf

      Дополняем named.conf

       

    2. Проверяем права на dns.keytab

      ls -l /var/lib/samba/private/dns.keytab
      AdminGuide.Ru@ag-dc-1:~$ ls -l /var/lib/samba/private/dns.keytab
      -rw-r----- 2 root bind 802 Apr  3 19:36 /var/lib/samba/private/dns.keytab
    3. Проверяем права на папку /bind-dns/

      ls -ld /var/lib/samba/private
      adminguideru@ag-dc-1:~$ ls -ld /var/lib/samba/private
      drwxr-xr-x 6 root root 4096 авг 25 20:43 /var/lib/samba/private
    4. Смотрим права на /etc/krb5.conf

      ls -l /etc/krb5.conf
      AdminGuide.Ru@ag-dc-1:~$ ls -l /etc/krb5.conf
      -rw-r--r-- 1 root bind 2891 Apr  3 17:51 /etc/krb5.conf

      В случае несоответствия

      sudo chown root:bind /etc/krb5.conf
    5. Проверяем наличие утилиты nsupdate

      which nsupdate
      AdminGuide.Ru@ag-dc-1:~$ which nsupdate
      /usr/bin/nsupdate
    6. Настраиваем BIND9 для Linux AD-DCЗагружаем список корневых днс серверов

      sudo wget -q -O /var/cache/bind/named.root http://www.internic.net/zones/named.root
      sudo chown root:bind /var/cache/bind/named.root
      sudo chmod 640 /var/cache/bind/named.root

       

    7. Настраиваем BIND9 для Linux AD-DC Проверяем конфиг

      sudo named-checkconf
      sudo service bind9 start

      Если ошибок не будет обнаружено, то named-checkconf не выдаст никакой информации, можно пытаться запустить сервис. Если попытка запуска тоже не выдаст никаких критов прямо в терминал – значит хорошо. DNS сервер почти готов к работе

    8. Настраиваем BIND9 для Linux AD-DC – Создаём файлы зон

      sudo mkdir /var/cache/bind/master
      sudo chown bind:bind /var/cache/bind/master

       

      1. localhost

        sudo nano /var/cache/bind/master/localhost.zone

        Копируем туда следующее:

        $TTL 3D
        
        $ORIGIN localhost.
        
        @       1D      IN     SOA     @       root (
                               2013050101      ; serial
                               8H              ; refresh
                               2H              ; retry
                               4W              ; expiry
                               1D              ; minimum
                               )
        
        @       IN      NS      @
                IN      A       127.0.0.1

        Изменяем владельца и права доступа

        sudo chown bind:bind /var/cache/bind/master/localhost.zone
        sudo chmod 640 /var/cache/bind/master/localhost.zone
      2. 0.0.127.in-addr.arpa

        sudo nano /var/cache/bind/master/0.0.127.zone
        $TTL 3D
        
        @       IN      SOA     localhost. root.localhost. (
                                2013050101      ; Serial
                                8H              ; Refresh
                                2H              ; Retry
                                4W              ; Expire
                                1D              ; Minimum TTL
                                )
        
               IN      NS      localhost.
        
        1      IN      PTR     localhost.
        sudo chown bind:bind /var/cache/bind/master/0.0.127.zone
        sudo chmod 640 /var/cache/bind/master/0.0.127.zone

         

    9. Запускаем\перезапускаем bind9, проверяем созданные зоны

      sudo service bind9 restart
      host -t A localhost 127.0.0.1
      host -t PTR 127.0.0.1 127.0.0.1
      

       

      AdminGuide.Ru@ag-dc-1:~$ sudo service bind9 restart
      AdminGuide.Ru@ag-dc-1:~$ host -t A localhost 127.0.0.1
      Using domain server:
      Name: 127.0.0.1
      Address: 127.0.0.1#53
      Aliases: 
      
      localhost has address 127.0.0.1
      AdminGuide.Ru@ag-dc-1:~$ host -t PTR 127.0.0.1 127.0.0.1
      Using domain server:
      Name: 127.0.0.1
      Address: 127.0.0.1#53
      Aliases: 
      
      1.0.0.127.in-addr.arpa domain name pointer localhost.

      Если же на host запросы вы видите следующую ошибку:

      ;; connection timed out; no servers could be reached
      

      Значит вероятнее всего у вас шалит apparmor.
      Смотрим лог с помощью команды:

      tail -n 50 /var/log/syslog

      Если вы видите там строки по типу:

      Aug 25 20:48:53 ag-dc-1 kernel: [ 6806.022442] audit: type=1400 audit(1598377733.390:19): apparmor="DENIED" operation="open" profile="/usr/sbin/named" name="/var/lib/samba/private/named.conf" pid=4028 comm="isc-worker0001" requested_mask="r" denied_mask="r" fsuid=111 ouid=0
      

      Это значит что AppArmor исправно работает и защищает ваш сервер. Т.к. настройки AppArmor не являются предметом данной статьи, то просто отключите его и повторно выполните текущий пункт.

      1. Отключение AppArmor

        С помощью systemctl останавливаем, отключаем и запрещаем автозапуск для AppArmor

        sudo systemctl stop apparmor && sudo systemctl disable apparmor && sudo systemctl mask apparmor

        Перезагружаем сервер

        sudo reboot -h now
    10. Переходим к разделу: “Контроллер домена Ubuntu – Настройка – Часть 2”

В данный момент весь текстовый контент на неделю раньше публикуется в моём Zen блоге . Там же проходят русскоязычные премьеры видеоуроков 🙂

Так же видео публикуются на Youtube канале, но там проходят сперва англоязычные премьеры 🙂

Text.ru - 100.00%

You may also like

Leave a Comment