DNS сервер резервного Linux AD-DC — один из этапов на пути к мировому господству (или хотя бы всемирному господству в своей серверной). Сегодня мы приведём его в состояние готовности к началу работы с локальной DNS зоной. Ранее уже была осуществлена установка и преднастройка BIND9 (а после этой статьи ещё будет постнастройка). На основе достигнутых результатов дополнительный контроллер домена был введён в домен. Осталось выполнить эту инструкцию и можно приступать к самому интересному.
DNS сервер резервного Linux AD-DC — Активируем интеграцию DLZ
Когда версии Samba и Bind9 полностью совместимы, конфиг правится автоматически. При вводе резервного контроллера домена в домен, будет раскомментирован DLZ модуль нужной версии.
sudo nano /var/lib/samba/private/named.conf
Если в вашем случае, после ввода дополнительного контроллера домена в домен, все строки так и остались закомментированными, вы можете руками раскомментить версию DLZ наиболее близкую к вашей версии BIND9. Стоит понимать что данные версии вероятнее всего совместимы не полностью. И продолжая дальше вы осознаёте все риски и последствия, к которым может привести данный греховный союз несовместимых версий Samba и Bind9.
Если же ваш конфиг был модифицирован автоматически, радасна продолжаем дальше. Подключаем данный файл конфигурации к главному файлу настроек
sudo nano /etc/bind/named.conf
Добавив в конец путь на наш файл со ссылками на DLZ модули
include "/var/lib/samba/private/named.conf";
Проверяем права на ключевые файлы и папки
Файл dns.keytab в /var/lib/samba/private/
Во-первых проверяем права на файл dns.keytab. Используем команду:
ls -l /var/lib/samba/private/dns.keytab
В результате должен быть следующий ответ:
-rw-r----- 1 root bind 802 Dec 16 07:38 /var/lib/samba/private/dns.keytab
Чтобы исправить несоответствие, можно использовать команду:
sudo chown root:bind /var/lib/samba/private/dns.keytab sudo chmod 640 /var/lib/samba/private/dns.keytab
Папка /private/ в директории /var/lib/samba/
Во-вторых проверяем папку /private/ в директории /samba. Для этого необходима следующая команда:
ls -ld /var/lib/samba/private
Должен получиться следующий результат:
drwxr-xr-x 6 root root 4096 Dec 16 17:18 /var/lib/samba/private
Если результат не соответствует ожидаемому, привести к нужному виду можно командами:
sudo chown root:root /var/lib/samba/private sudo chmod 755 /var/lib/samba/private
Файл /etc/krb5.conf
В-третьих смотрим файл krb5.conf. В данном файле хранится информация о взаимодействии со службой Kerberos. Для просмотра прав на неё, необходимо использовать команду:
ls -l /etc/krb5.conf
Необходимый результат:
-rw-r--r-- 1 root bind 104 Jan 2 07:47 /etc/krb5.conf
В случае несоответствия, приводим к нужным параметрам следующими командами:
sudo chown root:bind /etc/krb5.conf sudo chmod 644 /etc/krb5.conf
Проверяем nsupdate
which nsupdate
Ответ должен быть следующим:
AdminGuide.Ru@ag-dc-1:~$ which nsupdate /usr/bin/nsupdate
Если у вас он не такой, вы где-то оооочень сильно накосячили, вернитесь и пересмотрите всё что вы сделали.
DNS сервер резервного Linux AD-DC — список корневых серверов
В директорию /var/cache/bind/ в файл named.root загружаем список корневых серверов. Задаём необходимые права доступа и владельцев файла.
sudo wget -q -O /var/cache/bind/named.root http://www.internic.net/zones/named.root sudo chown root:bind /var/cache/bind/named.root sudo chmod 640 /var/cache/bind/named.root
DNS сервер резервного Linux AD-DC — Проверяем конфиг
Необходимо запустить следующие команды:
sudo named-checkconf
Команда проверит файл конфигурации. В случае каких-то ошибок, которые она способна распознать, будет выведена соответствующая информация. Если у вас в конфиге ошибок не обнаружено, ничего выведено не будет.
На данный момент у вас ничего ещё не должно заработать, это просто отсечка, тест призванный подтвердить нам что мы идём в верном направлении. Если после выполнения проверки у вас вылазят какие-то фатальные ошибки, помните: Вы воюете не туда! В противном случае всё ОК, продолжаем настройку.
Блокируем запуск bind9
Во избежание всяких эксцессов, до того как наступит час Х, DNS сервер должен оставаться выключенным
sudo systemctl disable bind9 sudo systemctl mask bind9
DNS сервер резервного Linux AD-DC — Создание файлов зон
Создаём папку в которой будут храниться наши файлы зон и задаём ей необходимые права
sudo mkdir /var/cache/bind/master sudo chown bind:bind /var/cache/bind/master
localhost
Открываем на редактирование ещё не существующий файл по пути /var/cache/bind/master/localhost.zone
sudo nano /var/cache/bind/master/localhost.zone
Вставляем в этот файл следующее содержимое:
$TTL 3D $ORIGIN localhost. @ 1D IN SOA @ root ( 2013050101 ; serial 8H ; refresh 2H ; retry 4W ; expiry 1D ; minimum ) @ IN NS @ IN A 127.0.0.1
Сохраняем файл с помощью Ctrl+O, закрываем его с помощью Ctrl+X.
Задаём файлу владельцев и права доступа командами:
sudo chown bind:bind /var/cache/bind/master/localhost.zone sudo chmod 640 /var/cache/bind/master/localhost.zone
0.0.127.in-addr.arpa
Аналогичным образом что и для зоны localhost, необходимо поступить с зоной 0.0.127.in-addr.arpa. Сначала открываем несуществующий на данный момент файл /var/cache/bind/master/0.0.127.zone
sudo nano /var/cache/bind/master/0.0.127.zone
Вставляем в него информацию об этой зоне:
$TTL 3D @ IN SOA localhost. root.localhost. ( 2013050101 ; Serial 8H ; Refresh 2H ; Retry 4W ; Expire 1D ; Minimum TTL ) IN NS localhost. 1 IN PTR localhost.
Сохраняем и закрываем (Ctrl+O потом Ctrl+X)
Передаём владение пользователю bind и задаём права 640
sudo chown bind:bind /var/cache/bind/master/0.0.127.zone sudo chmod 640 /var/cache/bind/master/0.0.127.zone
Переходим к следующей статье!
Ещё больше интересного контента в моём блоге в Zen и на моём канале YouTube. Подписывайтесь на канал, ставьте лайки, делайте репосты, это поможет развитию контента проекта AdminGuide.Ru
2 комментария
Доброго времени) Выполняю host -t A localhost 127.0.0.1 результат Host localhost not found: 2(SERVFAIL). apparmor и отключал и разрешал, не помогает. Думаю дело в создании зон, в Вашем видео вид и кол-во пробелов одно, на сайте вид файла другой. Пробовал и тот и другой, наверное где-то в пробелах ошибся, какой же вид файлика использовать? Спасибо
Содержимое для файлов зон можно найти в текстовике в посте по ссылке (:
https://boosty.to/adminguide/posts/f817b033-34fb-4660-9b99-f6742958c422?share=post_link