Samba DNS Dynamic Updates Fail ))

[MagSky]

Друзья помогите решить! Я использую Samba DC Version 4.1.0pre1-GIT-229d934 on Debian 6 (по большому счету нуб в nix).

Почти все сервисы работают ,пользователи аутентифицируются PDC, рабочие станции применяют политики, файловый сервак тоже воркает отлично, но DNS dynamic updates все малину портит.

У меня Bind 9.9.2

Код: Выделить всё

named -V
BIND 9.9.2 built with '--prefix=/usr' '--sysconfdir=/etc' '--localstatedir=/var' '--mandir=/usr/share/man' '--enable-threads' '--with-libtool'
using OpenSSL version: OpenSSL 0.9.8o 01 Jun 2010 using libxml2 version: 2.7.8.

named.conf :

Код: Выделить всё

// This is the primary configuration file for the BIND DNS server named.
//
// Please read /usr/share/doc/bind9/README.Debian.gz for information on the
// structure of BIND configuration files in Debian, *BEFORE* you customize
// this configuration file.
//
// If you are just adding zones, please do that in /etc/bind/named.conf.local

key "rndc-key" {
        algorithm hmac-md5;
        secret "gxFSRw6DE1rJZziIPZP71Q==";
 };

 controls {
        inet 127.0.0.1 port 953
                allow { 127.0.0.1; } keys { "rndc-key"; };
 };


include "/etc/bind/named.conf.options";
#include "/etc/bind/named.conf.default-zones";
include "/usr/local/samba/private/named.conf";
#include "/usr/local/samba/private/dns_update_list";
logging {
        };

Код:
options {
        directory "/var/cache/bind";
        tkey-gssapi-keytab "/usr/local/samba/private/dns.keytab";
#      tkey-gssapi-credential "DNS/EM.ORG";
        tkey-domain "EM.ORG";


        // If there is a firewall between you and nameservers you want
        // to talk to, you may need to fix the firewall to allow multiple
        // ports to talk.  See http://www.kb.cert.org/vuls/id/800113

        // If your ISP provided one or more IP addresses for stable
        // nameservers, you probably want to use them as forwarders.
        // Uncomment the following block, and insert the addresses replacing
        // the all-0's placeholder.

         forwarders {
                172.29.78.11;
                172.29.78.4;
         };

        auth-nxdomain no;    # conform to RFC1035
        listen-on-v6 { any; };
};

Если раскомментировать #tkey-gssapi-credential "DNS/EM.ORG";
Bind9 не стартует:

Код: Выделить всё

Jan 31 11:12:05 EM-DC named[3396]: configuring TKEY: failure
Jan 31 11:12:05 EM-DC named[3396]: loading configuration: failure
Jan 31 11:12:05 EM-DC named[3396]: exiting (due to fatal error)

еще печальные отрывки лога

Код: Выделить всё

Jan 31 09:25:27 EM-DC named[1481]: samba_dlz: starting transaction on zone em.org    
Jan 31 09:25:27 EM-DC named[1481]: client 192.168.7.22#64036: update 'em.org/IN' denied
Jan 31 09:25:27 EM-DC named[1481]: samba_dlz: cancelling transaction on zone em.org
Jan 31 09:25:48 EM-DC named[1481]: samba_dlz: starting transaction on zone em.org
Jan 31 09:25:48 EM-DC named[1481]: client 192.168.7.20#61429: update 'em.org/IN' denied
Jan 31 09:25:48 EM-DC named[1481]: samba_dlz: cancelling transaction on zone em.org   
Jan 31 09:25:48 EM-DC named[1481]: client 192.168.7.20#55001: request has invalid signature: TSIG 1136-ms-7.1-52ef.9f4ed036-6b6f-11e2-31a7-8c89a5ffcfe7: t$
Jan 31 09:26:53 EM-DC named[1481]: samba_dlz: starting transaction on zone em.org
Jan 31 09:26:53 EM-DC named[1481]: client 192.168.7.13#60999: update 'em.org/IN' denied
Jan 31 09:26:53 EM-DC named[1481]: samba_dlz: cancelling transaction on zone em.org

переодически рандомно появляется эта проблема:

Код: Выделить всё

Jan 31 09:29:34 EM-DC smbd[2029]: [2013/01/31 09:29:34.640810,  0] ../source4/lib/messaging/messaging.c:633(imessaging_init)
Jan 31 09:29:34 EM-DC smbd[2029]:   Unable to setup messaging listener for '/usr/local/samba/private/smbd.tmp/msg/msg.2029.2':NT_STATUS_ACCESS_DENIED
Jan 31 09:29:34 EM-DC smbd[2029]: [2013/01/31 09:29:34.641125,  0] ../source3/rpc_server/dcesrv_auth_generic.c:40(auth_generic_server_authtype_start)
Jan 31 09:29:34 EM-DC smbd[2029]:   ../source3/rpc_server/dcesrv_auth_generic.c:40: auth_generic_prepare failed: NT_STATUS_INVALID_SERVER_STATE
Jan 31 09:29:34 EM-DC smbd[2029]: [2013/01/31 09:29:34.641266,  0] ../source3/rpc_server/srv_pipe.c:555(pipe_auth_generic_bind)
Jan 31 09:29:34 EM-DC smbd[2029]:   ../source3/rpc_server/srv_pipe.c:555: auth_generic_server_authtype_start failed: NT_STATUS_INVALID_SERVER_STATE

Please help! how can i fix this shit?)))

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Graf]

самба собрана с ключом --with-dnsupdate ?
а что вводил когда запросило:

Код: Выделить всё

DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE)

вдруг пригодится, на русском.
http://wiki.slackware.su/wiki:articles:samba4_ht

[sadchok]

Для Bind 9.9.2 в /usr/local/samba/private/named.conf нужно разкоментировать соответствующую строку.
Типа такого

Код: Выделить всё

#
dlz "AD DNS Zone" {
    # For BIND 9.8.0
    # database "dlopen /usr/lib/x86_64-linux-gnu/samba//bind9/dlz_bind9.so";

    # For BIND 9.9.0
     database "dlopen /usr/lib/x86_64-linux-gnu/samba//bind9/dlz_bind9_9.so";
};

И исправить двойной слэш

/usr/lib/x86_64-linux-gnu/samba//bind9/dlz_bind9_9.so";

http://smb-conf.ru/samba4-addc.html1-11 ... trojka-dns

[MagSky]

Самбу поднимал по оффициальной хаутушке http://wiki.samba.org/index.php/Samba_AD_DC_HOWTO
Note: As of September 11, 2012 (Samba 4.0.0 RC1) the provision command now uses Samba's internal DNS server, if you would like the older behavior, add --dns-backend=BIND9_DLZ to the above provision command.

If using BIND, the next step to get a working DNS setup for Samba is to start with the DNS configuration file that is created by the provision step or if you are using any of the other samba-tool options (classicupgrade for example) you can specify --dns-backend=BIND9_DLZ

вот листинг
/usr/local/samba/private/named.conf
ничего править с двойными слешами не приходится, физически dlz_bind9_9.so присутствует

Код: Выделить всё

# This DNS configuration is for BIND 9.8.0 or later with dlz_dlopen support.
#
# This file should be included in your main BIND configuration file
#
# For example with
# include "/usr/local/samba/private/named.conf";

#
# This configures dynamically loadable zones (DLZ) from AD schema
# Uncomment only single database line, depending on your BIND version
#
dlz "AD DNS Zone" {
    # For BIND 9.8.0
    #database "dlopen /usr/local/samba/lib/bind9/dlz_bind9.so";

    # For BIND 9.9.0
    database "dlopen /usr/local/samba/lib/bind9/dlz_bind9_9.so";
};

я грешу на сбору bind может он собран без поддежки gssapi

[sadchok]

AppArmor (незнаю, есть ли он в Debian) настроен?

[sadchok]

У меня после танцев с AppArmor вроде завелось.

Код: Выделить всё

Feb  6 16:52:42 pdc named[2096]: starting BIND 9.9.2-P1 -u bind
Feb  6 16:52:42 pdc named[2096]: built with '--prefix=/usr' '--mandir=/usr/share/man' '--infodir=/usr/share/info' '--sysconfdir=/etc/bind' '--localstatedir=/var' '--enable-threads' '--enable-largefile' '--with-libtool' '--enable-shared' '--enable-static' '--with-openssl=/usr' '--with-gssapi=/usr' '--with-gnu-ld' '--with-geoip=/usr' '--with-atf=no' '--enable-ipv6' 'CFLAGS=-fno-strict-aliasing -DDIG_SIGCHASE -O2'
Feb  6 16:52:42 pdc named[2096]: ----------------------------------------------------
Feb  6 16:52:42 pdc named[2096]: BIND 9 is maintained by Internet Systems Consortium,
Feb  6 16:52:42 pdc named[2096]: Inc. (ISC), a non-profit 501(c)(3) public-benefit 
Feb  6 16:52:42 pdc named[2096]: corporation.  Support and training for BIND 9 are 
Feb  6 16:52:42 pdc named[2096]: available at https://www.isc.org/support
Feb  6 16:52:42 pdc named[2096]: ----------------------------------------------------
Feb  6 16:52:42 pdc named[2096]: adjusted limit on open files from 4096 to 1048576
Feb  6 16:52:42 pdc named[2096]: found 1 CPU, using 1 worker thread
Feb  6 16:52:42 pdc named[2096]: using 1 UDP listener per interface
Feb  6 16:52:42 pdc named[2096]: using up to 4096 sockets
Feb  6 16:52:42 pdc named[2096]: loading configuration from '/etc/bind/named.conf'
Feb  6 16:52:42 pdc named[2096]: reading built-in trusted keys from file '/etc/bind/bind.keys'
Feb  6 16:52:42 pdc named[2096]: using default UDP/IPv4 port range: [1024, 65535]
Feb  6 16:52:42 pdc named[2096]: using default UDP/IPv6 port range: [1024, 65535]
Feb  6 16:52:42 pdc named[2096]: listening on IPv6 interfaces, port 53
Feb  6 16:52:42 pdc named[2096]: listening on IPv4 interface lo, 127.0.0.1#53
Feb  6 16:52:43 pdc named[2096]: listening on IPv4 interface eth0, 192.168.1.50#53
Feb  6 16:52:43 pdc named[2096]: generating session key for dynamic DNS
Feb  6 16:52:43 pdc named[2096]: sizing zone task pool based on 5 zones
Feb  6 16:52:43 pdc named[2096]: Loading 'AD DNS Zone' using driver dlopen
Feb  6 16:52:44 pdc named[2096]: samba_dlz: started for DN DC=sadchok,DC=local
Feb  6 16:52:44 pdc named[2096]: samba_dlz: starting configure
Feb  6 16:52:44 pdc named[2096]: samba_dlz: configured writeable zone 'sadchok.local'
Feb  6 16:52:44 pdc named[2096]: samba_dlz: configured writeable zone '_msdcs.sadchok.local'
Feb  6 16:52:44 pdc named[2096]: using built-in root key for view _default
Feb  6 16:52:44 pdc named[2096]: set up managed keys zone for view _default, file 'managed-keys.bind'
Feb  6 16:52:44 pdc named[2096]: automatic empty zone: 10.IN-ADDR.ARPA
Feb  6 16:52:44 pdc named[2096]: automatic empty zone: 16.172.IN-ADDR.ARPA
Feb  6 16:52:44 pdc named[2096]: automatic empty zone: 17.172.IN-ADDR.ARPA
Feb  6 16:52:44 pdc named[2096]: automatic empty zone: 18.172.IN-ADDR.ARPA
Feb  6 16:52:44 pdc named[2096]: automatic empty zone: 19.172.IN-ADDR.ARPA
Feb  6 16:52:44 pdc named[2096]: automatic empty zone: 20.172.IN-ADDR.ARPA
Feb  6 16:52:44 pdc named[2096]: automatic empty zone: 21.172.IN-ADDR.ARPA
Feb  6 16:52:44 pdc named[2096]: automatic empty zone: 22.172.IN-ADDR.ARPA
Feb  6 16:52:44 pdc named[2096]: automatic empty zone: 23.172.IN-ADDR.ARPA
Feb  6 16:52:44 pdc named[2096]: automatic empty zone: 24.172.IN-ADDR.ARPA
Feb  6 16:52:44 pdc named[2096]: automatic empty zone: 25.172.IN-ADDR.ARPA
Feb  6 16:52:44 pdc named[2096]: automatic empty zone: 26.172.IN-ADDR.ARPA
Feb  6 16:52:44 pdc named[2096]: automatic empty zone: 27.172.IN-ADDR.ARPA
Feb  6 16:52:44 pdc named[2096]: automatic empty zone: 28.172.IN-ADDR.ARPA
Feb  6 16:52:44 pdc named[2096]: automatic empty zone: 29.172.IN-ADDR.ARPA
Feb  6 16:52:44 pdc named[2096]: automatic empty zone: 30.172.IN-ADDR.ARPA
Feb  6 16:52:44 pdc named[2096]: automatic empty zone: 31.172.IN-ADDR.ARPA
Feb  6 16:52:44 pdc named[2096]: automatic empty zone: 168.192.IN-ADDR.ARPA
Feb  6 16:52:44 pdc named[2096]: automatic empty zone: 254.169.IN-ADDR.ARPA
Feb  6 16:52:44 pdc named[2096]: automatic empty zone: 2.0.192.IN-ADDR.ARPA
Feb  6 16:52:44 pdc named[2096]: automatic empty zone: 100.51.198.IN-ADDR.ARPA
Feb  6 16:52:44 pdc named[2096]: automatic empty zone: 113.0.203.IN-ADDR.ARPA
Feb  6 16:52:44 pdc named[2096]: automatic empty zone: 255.255.255.255.IN-ADDR.ARPA
Feb  6 16:52:44 pdc named[2096]: automatic empty zone: 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA
Feb  6 16:52:44 pdc named[2096]: automatic empty zone: 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.IP6.ARPA
Feb  6 16:52:44 pdc named[2096]: automatic empty zone: D.F.IP6.ARPA
Feb  6 16:52:44 pdc named[2096]: automatic empty zone: 8.E.F.IP6.ARPA
Feb  6 16:52:44 pdc named[2096]: automatic empty zone: 9.E.F.IP6.ARPA
Feb  6 16:52:44 pdc named[2096]: automatic empty zone: A.E.F.IP6.ARPA
Feb  6 16:52:44 pdc named[2096]: automatic empty zone: B.E.F.IP6.ARPA
Feb  6 16:52:44 pdc named[2096]: automatic empty zone: 8.B.D.0.1.0.0.2.IP6.ARPA
Feb  6 16:52:44 pdc named[2096]: command channel listening on 127.0.0.1#953
Feb  6 16:52:44 pdc named[2096]: command channel listening on ::1#953
Feb  6 16:52:44 pdc named[2096]: managed-keys-zone: loaded serial 2
Feb  6 16:52:44 pdc named[2096]: zone 0.in-addr.arpa/IN: loaded serial 1
Feb  6 16:52:44 pdc named[2096]: zone 127.in-addr.arpa/IN: loaded serial 1
Feb  6 16:52:44 pdc named[2096]: zone 255.in-addr.arpa/IN: loaded serial 1
Feb  6 16:52:44 pdc named[2096]: zone localhost/IN: loaded serial 2
Feb  6 16:52:44 pdc named[2096]: all zones loaded
Feb  6 16:52:44 pdc named[2096]: running

Код: Выделить всё

root@pdc:~# host -t SRV _ldap._tcp.sadchok.local
_ldap._tcp.sadchok.local has SRV record 0 100 389 pdc.sadchok.local.
root@pdc:~# host -t SRV _kerberos._udp.sadchok.local
_kerberos._udp.sadchok.local has SRV record 0 100 88 pdc.sadchok.local.
root@pdc:~# host -t A pdc.sadchok.local.
pdc.sadchok.local has address 192.168.1.50

[MagSky]

стесняюсь спросить как проверить есть ли apparmor и есть ли в нем траблы)

меня больше смущает то, что это уже второй листинг где я вижу Bind собранный с

Код: Выделить всё

'--with-gssapi=/usr'

[sadchok]

Я тож мучился с samba4 и bind.
Потом поставил все так.

Код: Выделить всё

apt-get install samba4 samba4-common-bin
apt-get remove  samba4 samba4-common-bin
git clone git://git.samba.org/samba.git samba-master
cd samba-master
 ./configure 
 make
 make install

[sadchok]

В логах похожего нет?

Код: Выделить всё

Feb  6 16:49:30 pdc kernel: [ 2815.496105] type=1400 audit(1360144170.424:38): apparmor="DENIED" operation="open" parent=1901 profile="/usr/sbin/named" name="/usr/local/samba/lib/libsamba-hostconfig.so.0.0.1" pid=1903 comm="named" requested_mask="r" denied_mask="r" fsuid=106 ouid=0

[sadchok]

Подготовка дистрибутива

Далее рассмотрим примеры, в которых будем использовать все описаные выше библиотеки, а также bind, kerberos и утилиты операционных систем. При использовании встроенного DNS сервера вам не понадобится bind, но потребуется бинарный пакет, содержащий утилиту nsupdate. Eng.

2.1 Debian или Ubuntu

# apt-get install build-essential libacl1-dev libattr1-dev \
libblkid-dev libgnutls-dev libreadline-dev python-dev \
python-dnspython gdb pkg-config libpopt-dev libldap2-dev \
dnsutils libbsd-dev attr krb5-user docbook-xsl

Замечание: docbook-xsl, xsltproc и inkscape могут потребоваться для сборки страниц man. Eng.

Замечание: Если требуется поддержка pam winbind, то необходимо установить пакет libpam0g-dev. Eng.

2.1.1 Активация динамически загружаемых зон (DLZ) с Bind в Debian Lenny

В случае использования Динамически Загружаемых Зон (DLZ), добавьте соответствующую опцию (dlopen) в зависимости для сборки вашей версии bind. Для сборки скаченного архива могут понадобиться библиотеки: libkrb5-dev and libssl-dev Eng.

$ apt-get install libkrb5-dev libssl-dev
$ tar -zxvf bind9.x.x.tar.gz
$ cd bind9.x.x

Bind9.8.0

$ ./configure --with-gssapi=/usr/include/gssapi --with-dlz-dlopen=yes

[MagSky]

ну вот bind я сетапил простым make install
можно ли сейчас в работающей версии добавить --with-gssapi=/usr/include/gssapi --with-dlz-dlopen=yes

[sadchok]

Код: Выделить всё

 $ apt-get install libkrb5-dev libssl-dev
 $ tar -zxvf bind9.x.x.tar.gz
 $ cd bind9.x.x
 $ ./configure --with-gssapi=/usr/include/gssapi --with-dlz-dlopen=yes
 $ make
 $ make install

Думаю так и обновлять.