Главная страница » DNS сервер резервного Linux AD-DC – Настройка

DNS сервер резервного Linux AD-DC – Настройка

by Belfigor
2648 views
DNS Сервер резервного контроллера домена Linux

DNS сервер резервного Linux AD-DC – один из этапов на пути к мировому господству (или хотя бы всемирному господству в своей серверной). Сегодня мы приведём его в состояние готовности к началу работы с локальной DNS зоной. Ранее уже была осуществлена установка и преднастройка BIND9 (а после этой статьи ещё будет постнастройка). На основе достигнутых результатов дополнительный контроллер домена был введён в домен. Осталось выполнить эту инструкцию и можно приступать к самому интересному.

DNS сервер резервного Linux AD-DC – Активируем интеграцию DLZ

Когда версии Samba и Bind9 полностью совместимы, конфиг правится автоматически. При вводе резервного контроллера домена в домен, будет раскомментирован DLZ модуль нужной версии.

sudo nano /var/lib/samba/private/named.conf

Если в вашем случае, после ввода дополнительного контроллера домена в домен, все строки так и остались закомментированными, вы можете руками раскомментить версию DLZ наиболее близкую к вашей версии BIND9. Стоит понимать что данные версии вероятнее всего совместимы не полностью. И продолжая дальше вы осознаёте все риски и последствия, к которым может привести данный греховный союз несовместимых версий Samba и Bind9.

Если же ваш конфиг был модифицирован автоматически, радасна продолжаем дальше. Подключаем данный файл конфигурации к главному файлу настроек

sudo nano /etc/bind/named.conf

Добавив в конец путь на наш файл со ссылками на DLZ модули

include "/var/lib/samba/private/named.conf";

Проверяем права на ключевые файлы и папки

Файл dns.keytab в /var/lib/samba/private/

Во-первых проверяем права на файл dns.keytab. Используем команду:

ls -l /var/lib/samba/private/dns.keytab

В результате должен быть следующий ответ:

-rw-r----- 1 root bind 802 Dec 16 07:38 /var/lib/samba/private/dns.keytab

Чтобы исправить несоответствие, можно использовать команду:

sudo chown root:bind /var/lib/samba/private/dns.keytab
sudo chmod 640 /var/lib/samba/private/dns.keytab

Папка /private/ в директории /var/lib/samba/

Во-вторых проверяем папку /private/ в директории /samba. Для этого необходима следующая команда:

ls -ld /var/lib/samba/private

Должен получиться следующий результат:

drwxr-xr-x 6 root root 4096 Dec 16 17:18 /var/lib/samba/private

Если результат не соответствует ожидаемому, привести к нужному виду можно командами:

sudo chown root:root /var/lib/samba/private
sudo chmod 755 /var/lib/samba/private

Файл /etc/krb5.conf

В-третьих смотрим файл krb5.conf. В данном файле хранится информация о взаимодействии со службой Kerberos. Для просмотра прав на неё, необходимо использовать команду:

ls -l /etc/krb5.conf

Необходимый результат:

-rw-r--r-- 1 root bind 104 Jan 2 07:47 /etc/krb5.conf

В случае несоответствия, приводим к нужным параметрам следующими командами:

sudo chown root:bind /etc/krb5.conf
sudo chmod 644 /etc/krb5.conf

Проверяем nsupdate

which nsupdate

Ответ должен быть следующим:

AdminGuide.Ru@ag-dc-1:~$ which nsupdate
/usr/bin/nsupdate

Если у вас он не такой, вы где-то оооочень сильно накосячили, вернитесь и пересмотрите всё что вы сделали.

DNS сервер резервного Linux AD-DC – список корневых серверов

В директорию /var/cache/bind/ в файл named.root загружаем список корневых серверов. Задаём необходимые права доступа и владельцев файла.

sudo wget -q -O /var/cache/bind/named.root http://www.internic.net/zones/named.root
sudo chown root:bind /var/cache/bind/named.root
sudo chmod 640 /var/cache/bind/named.root

DNS сервер резервного Linux AD-DC – Проверяем конфиг

Необходимо запустить следующие команды:

sudo named-checkconf

Команда проверит файл конфигурации. В случае каких-то ошибок, которые она способна распознать, будет выведена соответствующая информация. Если у вас в конфиге ошибок не обнаружено, ничего выведено не будет.

На данный момент у вас ничего ещё не должно заработать, это просто отсечка, тест призванный подтвердить нам что мы идём в верном направлении. Если после выполнения проверки у вас вылазят какие-то фатальные ошибки, помните: Вы воюете не туда! В противном случае всё ОК, продолжаем настройку.

Блокируем запуск bind9

Во избежание всяких эксцессов, до того как наступит час Х, DNS сервер должен оставаться выключенным

sudo systemctl disable bind9
sudo systemctl mask bind9

 

DNS сервер резервного Linux AD-DC – Создание файлов зон

Создаём папку в которой будут храниться наши файлы зон и задаём ей необходимые права

sudo mkdir /var/cache/bind/master
sudo chown bind:bind /var/cache/bind/master

localhost

Открываем на редактирование ещё не существующий файл по пути /var/cache/bind/master/localhost.zone

sudo nano /var/cache/bind/master/localhost.zone

Вставляем в этот файл следующее содержимое:

$TTL 3D
$ORIGIN localhost.
@       1D      IN     SOA     @       root (
2013050101      ; serial
8H              ; refresh
2H              ; retry
4W              ; expiry
1D              ; minimum
)
@       IN      NS      @
IN      A       127.0.0.1

Сохраняем файл с помощью Ctrl+O, закрываем его с помощью Ctrl+X.

Задаём файлу владельцев и права доступа командами:

sudo chown bind:bind /var/cache/bind/master/localhost.zone
sudo chmod 640 /var/cache/bind/master/localhost.zone

0.0.127.in-addr.arpa

Аналогичным образом что и для зоны localhost, необходимо поступить с зоной 0.0.127.in-addr.arpa. Сначала открываем несуществующий на данный момент файл /var/cache/bind/master/0.0.127.zone

sudo nano /var/cache/bind/master/0.0.127.zone

Вставляем в него информацию об этой зоне:

$TTL 3D
@       IN      SOA     localhost. root.localhost. (
2013050101      ; Serial
8H              ; Refresh
2H              ; Retry
4W              ; Expire
1D              ; Minimum TTL
)
IN      NS      localhost.
1      IN      PTR     localhost.

Сохраняем и закрываем (Ctrl+O потом Ctrl+X)

Передаём владение пользователю bind и задаём права 640

sudo chown bind:bind /var/cache/bind/master/0.0.127.zone
sudo chmod 640 /var/cache/bind/master/0.0.127.zone

Переходим к следующей статье!

Ещё больше интересного контента в моём блоге в Zen и на моём канале YouTube. Подписывайтесь на канал, ставьте лайки, делайте репосты, это поможет развитию контента проекта AdminGuide.Ru

Text.ru - 100.00%

You may also like

Leave a Comment