DNS, bind
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
- FenX
- ст. прапорщик
- Сообщения: 513
- Зарегистрирован: 2008-04-23 17:46:53
- Откуда: Moscow
- Контактная информация:
Re: DNS, bind
я свои проблемы решил
бинд полетел))
сравнивай интерфейсы которые слушает ldap и к каким коннектится named
бинд полетел))
сравнивай интерфейсы которые слушает ldap и к каким коннектится named
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- Jan
- мл. сержант
- Сообщения: 118
- Зарегистрирован: 2007-11-07 16:44:21
- Откуда: Москва
- Контактная информация:
Re: DNS, bind
Вот как я решил данную проблему:
Перестало вываливаться сообщение о том, что мол директори не записываемая, но всё равно сыпится build with:
Код: Выделить всё
#cat /etc/mtree/BIND.chroot.dist
Код: Выделить всё
/set type=dir uname=bind gname=bind mode=0755
.
dev mode=0555
..
etc
namedb
dynamic uname=bind
..
master uname=bind
..
slave uname=bind
..
..
..
/set type=dir uname=bind gname=bind mode=0755
var uname=bind
dump
..
log
..
run
named
..
..
stats
..
..
..
Код: Выделить всё
Mar 19 18:17:20 gate named[1262]: starting BIND 9.6.0-P1 -u bind -t /var/named -u bind
Mar 19 18:17:20 gate named[1262]: built with '--localstatedir=/var' '--disable-linux-caps' '--with-randomdev=/dev/random' '--with-openssl=/usr' '--with-libxml2=/usr/local' '--without-idn' 'STD_CDEFINES=-DDIG_SIGCHASE=1' '--disable-threads' '--sysconfdir=/etc/namedb' '--prefix=/usr' '--mandir=/usr/share/man' '--infodir=/usr/share/info/' '--build=i386-portbld-freebsd6.4' 'build_alias=i386-portbld-freebsd6.4' 'CC=cc' 'CFLAGS=-O2 -fno-strict-aliasing -pipe' 'LDFLAGS= -rpath=/usr/lib:/usr/local/lib' 'CXX=c++' 'CXXFLAGS=-O2 -fno-strict-aliasing -pipe'
Mar 19 18:17:20 gate named[1262]: command channel listening on 127.0.0.1#953
Mar 19 18:17:20 gate named[1262]: running
-
- проходил мимо
Re: DNS, bind
2qtronix
А что нибудь в /var/log/debug.log пишет slapd?
man slapd.conf искать loglevel
попробовать ldapsearch..
А что нибудь в /var/log/debug.log пишет slapd?
man slapd.conf искать loglevel
попробовать ldapsearch..
-
- рядовой
- Сообщения: 13
- Зарегистрирован: 2008-12-04 10:06:22
Re: DNS, bind
x6e6564
Jan
проблемму с незаписываемой директорией я решил (читай посты выше)
FenX
имхо с портами и интерфейсами све в порядке
Код: Выделить всё
cat /var/log/debug.log | grep slapd
.......
Mar 19 16:43:10 ldapsrvr slapd[549]: @(#) $OpenLDAP: slapd 2.4.15 (Feb 26 2009 13:50:39) $ qtronix@ldapsrvr.artpaintmsk:/usr/ports/net/openldap24-server/work/openldap-2.4.15/servers/slapd
Mar 19 16:43:11 ldapsrvr slapd[550]: slapd starting
Mar 19 16:46:51 ldapsrvr slapd[549]: @(#) $OpenLDAP: slapd 2.4.15 (Feb 26 2009 13:50:39) $ qtronix@ldapsrvr.artpaintmsk:/usr/ports/net/openldap24-server/work/openldap-2.4.15/servers/slapd
Mar 19 16:46:52 ldapsrvr slapd[550]: slapd starting
Mar 19 16:50:13 ldapsrvr slapd[549]: @(#) $OpenLDAP: slapd 2.4.15 (Feb 26 2009 13:50:39) $ qtronix@ldapsrvr.artpaintmsk:/usr/ports/net/openldap24-server/work/openldap-2.4.15/servers/slapd
Mar 19 16:50:14 ldapsrvr slapd[550]: slapd starting
Mar 19 17:06:01 ldapsrvr slapd[549]: @(#) $OpenLDAP: slapd 2.4.15 (Feb 26 2009 13:50:39) $ qtronix@ldapsrvr.artpaintmsk:/usr/ports/net/openldap24-server/work/openldap-2.4.15/servers/slapd
Mar 19 17:06:02 ldapsrvr slapd[550]: slapd starting
.........
Код: Выделить всё
[qtronix@ldapsrvr] /root/> cat /usr/local/etc/openldap/slapd.conf | grep log
loglevel 2
проблемму с незаписываемой директорией я решил (читай посты выше)
FenX
имхо с портами и интерфейсами све в порядке
Код: Выделить всё
[qtronix@ldapsrvr] /root/> sockstat | grep 389
qtronix sshd 8768 6 tcp4 127.0.0.1:62864 127.0.0.1:389
root su 6677 4 tcp4 127.0.0.1:53393 127.0.0.1:389
bind named 921 5 tcp4 127.0.0.1:63972 127.0.0.1:389
bind named 921 6 tcp4 192.168.0.5:53126 192.168.0.5:389
bind named 921 10 tcp4 192.168.0.5:58328 192.168.0.5:389
root smbd 838 21 tcp4 127.0.0.1:60879 127.0.0.1:389
root winbindd 727 22 tcp4 127.0.0.1:54090 127.0.0.1:389
root smbd 681 20 tcp4 127.0.0.1:60319 127.0.0.1:389
ldap slapd 550 7 tcp4 192.168.0.5:389 *:*
ldap slapd 550 8 tcp6 ::1:389 *:*
ldap slapd 550 9 tcp4 127.0.0.1:389 *:*
ldap slapd 550 13 tcp4 127.0.0.1:389 127.0.0.1:63972
ldap slapd 550 15 tcp4 192.168.0.5:389 192.168.0.5:53126
ldap slapd 550 17 tcp4 192.168.0.5:389 192.168.0.5:58328
ldap slapd 550 25 tcp4 127.0.0.1:389 127.0.0.1:60319
ldap slapd 550 26 tcp4 127.0.0.1:389 127.0.0.1:54090
ldap slapd 550 27 tcp4 127.0.0.1:389 127.0.0.1:62864
ldap slapd 550 28 tcp4 127.0.0.1:389 127.0.0.1:53393
ldap slapd 550 31 tcp4 127.0.0.1:389 127.0.0.1:60879
-
- проходил мимо
Re: DNS, bind
Мда, думал почитаешь ман и выставишь loglevel 128 или (и) 256..
128 - отвечает за права, может прав не хватает на просмотр ou..
256 - подключения, операции и за коды возврата результата..
в принципе твой конфиг нормальный, на моей тестовой завелось сразу..
исходя из этого может, у тебя анонимный доступ закрыт.. если да, читай доку по bind-sdb..
128 - отвечает за права, может прав не хватает на просмотр ou..
256 - подключения, операции и за коды возврата результата..
в принципе твой конфиг нормальный, на моей тестовой завелось сразу..
исходя из этого может, у тебя анонимный доступ закрыт.. если да, читай доку по bind-sdb..
- FenX
- ст. прапорщик
- Сообщения: 513
- Зарегистрирован: 2008-04-23 17:46:53
- Откуда: Moscow
- Контактная информация:
Re: DNS, bind
не говори гоп...qtronix писал(а):x6e6564FenX
имхо с портами и интерфейсами све в порядке
я в соседнем треде отписывал косяк...
пока в параметрах запуска slapd не поменял 127.0.0.1 на localhost,
bind упорно отказывался коннектиЦо к ldap`у.
так что проверяй.
-
- рядовой
- Сообщения: 13
- Зарегистрирован: 2008-12-04 10:06:22
Re: DNS, bind
Да я видел читалFenX писал(а): я в соседнем треде отписывал косяк...
пока в параметрах запуска slapd не поменял 127.0.0.1 на localhost,
bind упорно отказывался коннектиЦо к ldap`у.
так что проверяй.
пробовал менял
не помогло
в лдапе поставил логлевел 128 и рестартнул
появилась такая запись
Код: Выделить всё
Mar 23 10:08:00 ldapsrvr slapd[31835]: config_back_db_open: line 0: warning: cannot assess the validity of the ACL scope within backend naming context
Код: Выделить всё
...........................................
Mar 23 10:19:24 ldapsrvr slapd[31895]: conn=33 fd=20 ACCEPT from IP=127.0.0.1:57155 (IP=127.0.0.1:389)
Mar 23 10:19:24 ldapsrvr slapd[31895]: conn=33 op=0 BIND dn="" method=128
Mar 23 10:19:24 ldapsrvr slapd[31895]: conn=33 op=0 RESULT tag=97 err=0 text=
Mar 23 10:19:24 ldapsrvr slapd[31895]: conn=33 op=1 SRCH base="ou=groups,dc=artpaintmsk,dc=ru" scope=1 deref=0 filter="(&(objectClass=posixGroup))"
Mar 23 10:19:24 ldapsrvr slapd[31895]: conn=33 op=1 SRCH attr=cn userPassword memberUid uniqueMember gidNumber
Mar 23 10:19:24 ldapsrvr slapd[31895]: conn=33 op=1 SEARCH RESULT tag=101 err=0 nentries=3 text=
Mar 23 10:19:24 ldapsrvr slapd[31895]: conn=34 fd=21 ACCEPT from IP=192.168.0.5:51520 (IP=192.168.0.5:389)
Mar 23 10:19:24 ldapsrvr slapd[31895]: conn=34 op=0 BIND dn="" method=128
Mar 23 10:19:24 ldapsrvr slapd[31895]: conn=34 op=0 RESULT tag=97 err=0 text=
Mar 23 10:19:24 ldapsrvr slapd[31895]: conn=34 op=1 SRCH base="zoneName=0.0.127.in-addr.arpa,ou=dns,dc=artpaintmsk,dc=ru" scope=2 deref=0 filter="(&(zoneName=0.0.127.in-addr.arpa)(relativeDomainName=@))"
Mar 23 10:19:24 ldapsrvr slapd[31895]: conn=34 op=1 SEARCH RESULT tag=101 err=0 nentries=0 text=
Mar 23 10:19:24 ldapsrvr slapd[31895]: conn=34 op=2 SRCH base="zoneName=0.168.192.in-addr.arpa,ou=dns,dc=artpaintmsk,dc=ru" scope=2 deref=0 filter="(&(zoneName=0.168.192.in-addr.arpa)(relativeDomainName=@))"
Mar 23 10:19:24 ldapsrvr slapd[31895]: conn=34 op=2 SEARCH RESULT tag=101 err=0 nentries=0 text=
Mar 23 10:19:24 ldapsrvr slapd[31895]: conn=35 fd=23 ACCEPT from IP=192.168.0.5:63311 (IP=192.168.0.5:389)
Mar 23 10:19:24 ldapsrvr slapd[31895]: conn=35 op=0 BIND dn="" method=128
Mar 23 10:19:24 ldapsrvr slapd[31895]: conn=35 op=0 RESULT tag=97 err=0 text=
Mar 23 10:19:24 ldapsrvr slapd[31895]: conn=35 op=1 SRCH base="zoneName=artpaintmsk,ou=dns,dc=artpaintmsk,dc=ru" scope=2 deref=0 filter="(&(zoneName=artpaintmsk)(relativeDomainName=@))"
Mar 23 10:19:24 ldapsrvr slapd[31895]: conn=35 op=1 SEARCH RESULT tag=101 err=0 nentries=0 text=
...............................................................
- FenX
- ст. прапорщик
- Сообщения: 513
- Зарегистрирован: 2008-04-23 17:46:53
- Откуда: Moscow
- Контактная информация:
Re: DNS, bind
а крнфиг и версия openldap ?
-
- рядовой
- Сообщения: 13
- Зарегистрирован: 2008-12-04 10:06:22
Re: DNS, bind
Код: Выделить всё
[qtronix@ldapsrvr] /usr/local/etc/openldap/> cat slapd.conf
include /usr/local/etc/openldap/schema/core.schema
include /usr/local/etc/openldap/schema/cosine.schema
include /usr/local/etc/openldap/schema/inetorgperson.schema
include /usr/local/etc/openldap/schema/misc.schema
include /usr/local/etc/openldap/schema/nis.schema
include /usr/local/etc/openldap/schema/openldap.schema
#
include /usr/local/etc/openldap/schema/samba.schema
include /usr/local/etc/openldap/schema/dnszone.schema
include /usr/local/etc/openldap/schema/dhcp.schema
#include /usr/local/etc/openldap/schema/dbmail.schema
#
#include /usr/local/etc/openldap/schema/joomla.schema
#include /usr/local/etc/openldap/schema/mail.schema
#include /usr/local/etc/openldap/schema/postfix.schema
#
# схемы dhcp позже скопируем. пока строчки закоментарим
#
pidfile /var/run/openldap/slapd.pid
argsfile /var/run/openldap/slapd.args
# Load dynamic backend modules:
modulepath /usr/local/libexec/openldap
#moduleload back_ldbm
moduleload back_bdb
access to attrs=userPassword
by self write
by anonymous auth
by * none
access to *
by self write
by anonymous read
by * none
#TLSCertificateFile /etc/ssl/certs/ldap.cert
#TLSCertificateKeyFile /etc/ssl/private/ldap.key
#######################################################################
# BDB database definitions
#######################################################################
#database ldbm
database bdb
suffix "dc=artpaintmsk,dc=ru"
rootdn "cn=root,dc=artpaintmsk,dc=ru"
#
# пароль на рута можно сгенерировать с помощью slappasswd
#
rootpw {SSHA}K680szZ7n06+7spBrXxbTBivO+3obVaa
directory /var/db/openldap-data
loglevel 2
# Indices to maintain
index objectClass eq
index cn eq
index sn eq
index displayName eq,subinitial
index uidNumber eq
index gidNumber eq
index uid eq
index sambaSID eq
index zoneName eq
index sambaDomainName eq
index sambaSIDList eq
index relativeDomainName eq
index sambaGroupType eq
#index mail eq,subinitial
##index mailAlternateAddress eq
##index accountStatus eq
index dhcpHWAddress eq
##
Код: Выделить всё
[qtronix@ldapsrvr] /usr/local/etc/openldap/> ls /var/db/pkg | grep ldap
bind9-sdb-ldap-9.4.3.1
ldapscripts-1.8.0_1
nss_ldap-1.264_1
openldap-client-2.4.15
openldap-server-2.4.15
- FenX
- ст. прапорщик
- Сообщения: 513
- Зарегистрирован: 2008-04-23 17:46:53
- Откуда: Moscow
- Контактная информация:
Re: DNS, bind
Код: Выделить всё
$ pkg_info | grep ldap
bind9-sdb-ldap-9.4.3.1 The well known Bind9, patched for use of an LDAP based back
ldapscripts-1.8.0_1 Scripts to manage posix accounts in an OpenLDAP directory
nss_ldap-1.264_1 RFC 2307 NSS module
openldap-client-2.3.43 Open source LDAP client implementation
openldap-server-2.3.43 Open source LDAP server implementation
где-то на форуме пролетал пост о том, что с 2.4 какие-то косяки...
- FenX
- ст. прапорщик
- Сообщения: 513
- Зарегистрирован: 2008-04-23 17:46:53
- Откуда: Moscow
- Контактная информация:
Re: DNS, bind
в общем, сегодня методом научного тыка нашёл причину твоих бед...
убери из конфигов ldap`а индексы:как только я их поставил, бинд тут же отказался читать зоны из базы
убери из конфигов ldap`а индексы:
Код: Выделить всё
index zoneName eq
index relativeDomainName eq
-
- рядовой
- Сообщения: 13
- Зарегистрирован: 2008-12-04 10:06:22
Re: DNS, bind
Вах! спасибо тебе музчина !!!!FenX писал(а):в общем, сегодня методом научного тыка нашёл причину твоих бед...
убери из конфигов ldap`а индексы:как только я их поставил, бинд тут же отказался читать зоны из базыКод: Выделить всё
index zoneName eq index relativeDomainName eq
все пропало из логов !!
- FenX
- ст. прапорщик
- Сообщения: 513
- Зарегистрирован: 2008-04-23 17:46:53
- Откуда: Moscow
- Контактная информация:
Re: DNS, bind
ага)) зато теперь лдап кричит что хорошобы индексы поставить xD
-
- проходил мимо
Re: DNS, bind
пасиб мужики )
/etc/mtree/BIND................
смотрите внимательней на то чтоб и у namedb и у master (и у остального, где надо) стоял uname=bind
/etc/mtree/BIND................
смотрите внимательней на то чтоб и у namedb и у master (и у остального, где надо) стоял uname=bind
-
- проходил мимо
Re: DNS, bind
Господа, хотел поинтересоваться у вас, не встречался ли кто с реализацией такой идеи....
При авторизации пользователя через pppoe ему выдается серый ip адрес, в качестве ДНС указан некий сервер с IP адресом 10.10.10.10 на котором установлен named
пользователь при авторизации получает адрес вида 10.10.10.* /24
Цель всей идеи состоит в том, чтобы пользователь набирая что-нибудь наподобие http://www.somename.com или еще какой-либо адрес получал 10.10.10.10
nslookup yandex.ru 10.10.10.10
Server: 10.10.10.10
Address: 10.10.10.10#53
Non-authoritative answer:
Name: yandex.ru
Address: 10.10.10.10
Я могу создать у себя зону яндекс ру и прописать там, но весь интернет прописать нереально
Т.е. необходимо переадресовывать пользователя на 10.10.10.10 чтобы он не набирал.
Покопавшись по документации ничего похожего не нашел
Поделитесь, если есть какие-либо мысли, может быть такая реализация есть в других продуктах.
Заранее спасибо
При авторизации пользователя через pppoe ему выдается серый ip адрес, в качестве ДНС указан некий сервер с IP адресом 10.10.10.10 на котором установлен named
пользователь при авторизации получает адрес вида 10.10.10.* /24
Цель всей идеи состоит в том, чтобы пользователь набирая что-нибудь наподобие http://www.somename.com или еще какой-либо адрес получал 10.10.10.10
nslookup yandex.ru 10.10.10.10
Server: 10.10.10.10
Address: 10.10.10.10#53
Non-authoritative answer:
Name: yandex.ru
Address: 10.10.10.10
Я могу создать у себя зону яндекс ру и прописать там, но весь интернет прописать нереально
Т.е. необходимо переадресовывать пользователя на 10.10.10.10 чтобы он не набирал.
Покопавшись по документации ничего похожего не нашел
Поделитесь, если есть какие-либо мысли, может быть такая реализация есть в других продуктах.
Заранее спасибо
- FenX
- ст. прапорщик
- Сообщения: 513
- Зарегистрирован: 2008-04-23 17:46:53
- Откуда: Moscow
- Контактная информация:
Re: DNS, bind
ну тут могу попробовать посоветовать заюзать ipfw, а не бинд.
в работе такой схемы сомневаюсь, но можно попробовать:
где rl0 - твой внешний интерфейс.
в работе такой схемы сомневаюсь, но можно попробовать:
Код: Выделить всё
ipfw add fwd 10.10.10.10 from 10.10.10.0/24 to any via rl0
-
- рядовой
- Сообщения: 19
- Зарегистрирован: 2009-07-12 20:00:21
Re: DNS, bind
При загрузке было сообщение: the working directory is not writable
Помогло:
1)Привел файл /etc/mtree/BIND.chroot.dist к такому виду -->
2)Сделал
chown -R bind:wheel /etc/namedb/master/* (там у меня располагаются прямая и обратные зоны а также зоны localhost) Если у вас зоны в /etc/namedb то chown -R bind:wheel /etc/namedb/*
3)cd /var/named/etc
chown -R bind:wheel namedb
Это решение нашел здесь http://serverx.ru/page/freebsd-named-th ... t-writable и здесь http://forum.lissyara.su/viewtopic.php?f=3&t=15449
Помогло:
1)Привел файл /etc/mtree/BIND.chroot.dist к такому виду -->
Код: Выделить всё
# $FreeBSD: src/etc/mtree/BIND.chroot.dist,v 1.6.20.1 2009/04/15 03:14:26 kensmith Exp $
#
# Please see the file src/etc/mtree/README before making changes to this file.
#
/set type=dir uname=root gname=wheel mode=0755
.
dev mode=0555
..
etc
namedb uname=bind
dynamic uname=bind
..
master uname=bind
..
slave uname=bind
..
..
..
/set type=dir uname=bind gname=wheel mode=0755
var uname=bind
dump
..
log
..
run
named
..
..
stats
..
..
..
chown -R bind:wheel /etc/namedb/master/* (там у меня располагаются прямая и обратные зоны а также зоны localhost) Если у вас зоны в /etc/namedb то chown -R bind:wheel /etc/namedb/*
3)cd /var/named/etc
chown -R bind:wheel namedb
Это решение нашел здесь http://serverx.ru/page/freebsd-named-th ... t-writable и здесь http://forum.lissyara.su/viewtopic.php?f=3&t=15449
-
- проходил мимо
- Сообщения: 3
- Зарегистрирован: 2012-07-08 20:33:03
Re: DNS, bind
Установил FreeBSD + DirectAdmin, с которым автоматом был установлен и named. Через некоторое время обнаружил ошибку:
Нашел статью http://www.lissyara.su/articles/freebsd ... med_9.7.0/, где автор советует сменить права директории named (в моем случае /var/named/etc/named - симлинк /etc/named):
После смены владельцев - сообщение об ошибке пропало.
Вопрос такой: может быть достаточно сменить права только на саму директорию, а не на все файлы в ней? Ведь даже не смотря на то, что ранее директория принадлежала root:wheel файлы с записью об отдельных доменах, добавленных через панель DirectAdmin создавались с bind:bind.
Код: Выделить всё
named[xxx] the working directory is not writable
Код: Выделить всё
chown -R bind:bind /etc/namedb/
Вопрос такой: может быть достаточно сменить права только на саму директорию, а не на все файлы в ней? Ведь даже не смотря на то, что ранее директория принадлежала root:wheel файлы с записью об отдельных доменах, добавленных через панель DirectAdmin создавались с bind:bind.
-
- проходил мимо
- Сообщения: 3
- Зарегистрирован: 2012-07-08 20:33:03
Re: DNS, bind
P.S. Вернул файлы root`у - полет нормальный:
-rw-r--r-- 1 root wheel 23926 Sep 19 17:17 named.conf
-rw-r--r-- 1 root wheel 3139 Apr 9 23:59 named.root
-rw------- 1 root wheel 77 Jul 3 23:52 rndc.key
-rw-r--r-- 1 root wheel 23926 Sep 19 17:17 named.conf
-rw-r--r-- 1 root wheel 3139 Apr 9 23:59 named.root
-rw------- 1 root wheel 77 Jul 3 23:52 rndc.key