DNS, bind

[FenX]

я свои проблемы решил
бинд полетел))
сравнивай интерфейсы которые слушает ldap и к каким коннектится named

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Jan]

Вот как я решил данную проблему:

Код: Выделить всё

#cat /etc/mtree/BIND.chroot.dist

Код: Выделить всё

/set type=dir uname=bind gname=bind mode=0755
.
    dev             mode=0555
    ..
    etc
        namedb
            dynamic uname=bind
            ..
            master  uname=bind
            ..
            slave   uname=bind
            ..
        ..
    ..
/set type=dir uname=bind gname=bind mode=0755
    var             uname=bind
        dump
        ..
        log
        ..
        run
            named
            ..
        ..
        stats
        ..
    ..
..

Перестало вываливаться сообщение о том, что мол директори не записываемая, но всё равно сыпится build with:

Код: Выделить всё

Mar 19 18:17:20 gate named[1262]: starting BIND 9.6.0-P1 -u bind -t /var/named -u bind
Mar 19 18:17:20 gate named[1262]: built with '--localstatedir=/var' '--disable-linux-caps' '--with-randomdev=/dev/random' '--with-openssl=/usr' '--with-libxml2=/usr/local' '--without-idn' 'STD_CDEFINES=-DDIG_SIGCHASE=1' '--disable-threads' '--sysconfdir=/etc/namedb' '--prefix=/usr' '--mandir=/usr/share/man' '--infodir=/usr/share/info/' '--build=i386-portbld-freebsd6.4' 'build_alias=i386-portbld-freebsd6.4' 'CC=cc' 'CFLAGS=-O2 -fno-strict-aliasing -pipe' 'LDFLAGS= -rpath=/usr/lib:/usr/local/lib' 'CXX=c++' 'CXXFLAGS=-O2 -fno-strict-aliasing -pipe'
Mar 19 18:17:20 gate named[1262]: command channel listening on 127.0.0.1#953
Mar 19 18:17:20 gate named[1262]: running

[x6e6564]

2qtronix
А что нибудь в /var/log/debug.log пишет slapd?
man slapd.conf искать loglevel
попробовать ldapsearch..

[qtronix]

x6e6564

Код: Выделить всё

cat /var/log/debug.log | grep slapd
.......
Mar 19 16:43:10 ldapsrvr slapd[549]: @(#) $OpenLDAP: slapd 2.4.15 (Feb 26 2009 13:50:39) $      qtronix@ldapsrvr.artpaintmsk:/usr/ports/net/openldap24-server/work/openldap-2.4.15/servers/slapd
Mar 19 16:43:11 ldapsrvr slapd[550]: slapd starting
Mar 19 16:46:51 ldapsrvr slapd[549]: @(#) $OpenLDAP: slapd 2.4.15 (Feb 26 2009 13:50:39) $      qtronix@ldapsrvr.artpaintmsk:/usr/ports/net/openldap24-server/work/openldap-2.4.15/servers/slapd
Mar 19 16:46:52 ldapsrvr slapd[550]: slapd starting
Mar 19 16:50:13 ldapsrvr slapd[549]: @(#) $OpenLDAP: slapd 2.4.15 (Feb 26 2009 13:50:39) $      qtronix@ldapsrvr.artpaintmsk:/usr/ports/net/openldap24-server/work/openldap-2.4.15/servers/slapd
Mar 19 16:50:14 ldapsrvr slapd[550]: slapd starting
Mar 19 17:06:01 ldapsrvr slapd[549]: @(#) $OpenLDAP: slapd 2.4.15 (Feb 26 2009 13:50:39) $      qtronix@ldapsrvr.artpaintmsk:/usr/ports/net/openldap24-server/work/openldap-2.4.15/servers/slapd
Mar 19 17:06:02 ldapsrvr slapd[550]: slapd starting
.........

Код: Выделить всё

[qtronix@ldapsrvr] /root/> cat  /usr/local/etc/openldap/slapd.conf | grep log
loglevel        2

Jan
проблемму с незаписываемой директорией я решил (читай посты выше)
FenX
имхо с портами и интерфейсами све в порядке

Код: Выделить всё

[qtronix@ldapsrvr] /root/> sockstat | grep 389
qtronix  sshd       8768  6  tcp4   127.0.0.1:62864       127.0.0.1:389
root     su         6677  4  tcp4   127.0.0.1:53393       127.0.0.1:389
bind     named      921   5  tcp4   127.0.0.1:63972       127.0.0.1:389
bind     named      921   6  tcp4   192.168.0.5:53126     192.168.0.5:389
bind     named      921   10 tcp4   192.168.0.5:58328     192.168.0.5:389
root     smbd       838   21 tcp4   127.0.0.1:60879       127.0.0.1:389
root     winbindd   727   22 tcp4   127.0.0.1:54090       127.0.0.1:389
root     smbd       681   20 tcp4   127.0.0.1:60319       127.0.0.1:389
ldap     slapd      550   7  tcp4   192.168.0.5:389       *:*
ldap     slapd      550   8  tcp6   ::1:389               *:*
ldap     slapd      550   9  tcp4   127.0.0.1:389         *:*
ldap     slapd      550   13 tcp4   127.0.0.1:389         127.0.0.1:63972
ldap     slapd      550   15 tcp4   192.168.0.5:389       192.168.0.5:53126
ldap     slapd      550   17 tcp4   192.168.0.5:389       192.168.0.5:58328
ldap     slapd      550   25 tcp4   127.0.0.1:389         127.0.0.1:60319
ldap     slapd      550   26 tcp4   127.0.0.1:389         127.0.0.1:54090
ldap     slapd      550   27 tcp4   127.0.0.1:389         127.0.0.1:62864
ldap     slapd      550   28 tcp4   127.0.0.1:389         127.0.0.1:53393
ldap     slapd      550   31 tcp4   127.0.0.1:389         127.0.0.1:60879

[x6e6564]

Мда, думал почитаешь ман и выставишь loglevel 128 или (и) 256..
128 - отвечает за права, может прав не хватает на просмотр ou..
256 - подключения, операции и за коды возврата результата..
в принципе твой конфиг нормальный, на моей тестовой завелось сразу..
исходя из этого может, у тебя анонимный доступ закрыт.. если да, читай доку по bind-sdb..

[FenX]

x6e6564FenX
имхо с портами и интерфейсами све в порядке

не говори гоп...
я в соседнем треде отписывал косяк...
пока в параметрах запуска slapd не поменял 127.0.0.1 на localhost,
bind упорно отказывался коннектиЦо к ldap`у.

так что проверяй.

[qtronix]

я в соседнем треде отписывал косяк...
пока в параметрах запуска slapd не поменял 127.0.0.1 на localhost,
bind упорно отказывался коннектиЦо к ldap`у.

так что проверяй.

Да я видел читал
пробовал менял
не помогло

в лдапе поставил логлевел 128 и рестартнул
появилась такая запись

Код: Выделить всё

Mar 23 10:08:00 ldapsrvr slapd[31835]: config_back_db_open: line 0: warning: cannot assess the validity of the ACL scope within backend naming context

логлевел 256 и рестарт бинда дают следующие логи

Код: Выделить всё

...........................................
Mar 23 10:19:24 ldapsrvr slapd[31895]: conn=33 fd=20 ACCEPT from IP=127.0.0.1:57155 (IP=127.0.0.1:389)
Mar 23 10:19:24 ldapsrvr slapd[31895]: conn=33 op=0 BIND dn="" method=128
Mar 23 10:19:24 ldapsrvr slapd[31895]: conn=33 op=0 RESULT tag=97 err=0 text=
Mar 23 10:19:24 ldapsrvr slapd[31895]: conn=33 op=1 SRCH base="ou=groups,dc=artpaintmsk,dc=ru" scope=1 deref=0 filter="(&(objectClass=posixGroup))"
Mar 23 10:19:24 ldapsrvr slapd[31895]: conn=33 op=1 SRCH attr=cn userPassword memberUid uniqueMember gidNumber
Mar 23 10:19:24 ldapsrvr slapd[31895]: conn=33 op=1 SEARCH RESULT tag=101 err=0 nentries=3 text=
Mar 23 10:19:24 ldapsrvr slapd[31895]: conn=34 fd=21 ACCEPT from IP=192.168.0.5:51520 (IP=192.168.0.5:389)
Mar 23 10:19:24 ldapsrvr slapd[31895]: conn=34 op=0 BIND dn="" method=128
Mar 23 10:19:24 ldapsrvr slapd[31895]: conn=34 op=0 RESULT tag=97 err=0 text=
Mar 23 10:19:24 ldapsrvr slapd[31895]: conn=34 op=1 SRCH base="zoneName=0.0.127.in-addr.arpa,ou=dns,dc=artpaintmsk,dc=ru" scope=2 deref=0 filter="(&(zoneName=0.0.127.in-addr.arpa)(relativeDomainName=@))"
Mar 23 10:19:24 ldapsrvr slapd[31895]: conn=34 op=1 SEARCH RESULT tag=101 err=0 nentries=0 text=
Mar 23 10:19:24 ldapsrvr slapd[31895]: conn=34 op=2 SRCH base="zoneName=0.168.192.in-addr.arpa,ou=dns,dc=artpaintmsk,dc=ru" scope=2 deref=0 filter="(&(zoneName=0.168.192.in-addr.arpa)(relativeDomainName=@))"
Mar 23 10:19:24 ldapsrvr slapd[31895]: conn=34 op=2 SEARCH RESULT tag=101 err=0 nentries=0 text=
Mar 23 10:19:24 ldapsrvr slapd[31895]: conn=35 fd=23 ACCEPT from IP=192.168.0.5:63311 (IP=192.168.0.5:389)
Mar 23 10:19:24 ldapsrvr slapd[31895]: conn=35 op=0 BIND dn="" method=128
Mar 23 10:19:24 ldapsrvr slapd[31895]: conn=35 op=0 RESULT tag=97 err=0 text=
Mar 23 10:19:24 ldapsrvr slapd[31895]: conn=35 op=1 SRCH base="zoneName=artpaintmsk,ou=dns,dc=artpaintmsk,dc=ru" scope=2 deref=0 filter="(&(zoneName=artpaintmsk)(relativeDomainName=@))"
Mar 23 10:19:24 ldapsrvr slapd[31895]: conn=35 op=1 SEARCH RESULT tag=101 err=0 nentries=0 text=
...............................................................

[FenX]

а крнфиг и версия openldap ?

[qtronix]

Код: Выделить всё

[qtronix@ldapsrvr] /usr/local/etc/openldap/> cat slapd.conf

include         /usr/local/etc/openldap/schema/core.schema
include         /usr/local/etc/openldap/schema/cosine.schema
include         /usr/local/etc/openldap/schema/inetorgperson.schema
include         /usr/local/etc/openldap/schema/misc.schema
include         /usr/local/etc/openldap/schema/nis.schema
include         /usr/local/etc/openldap/schema/openldap.schema
#
include         /usr/local/etc/openldap/schema/samba.schema
include         /usr/local/etc/openldap/schema/dnszone.schema
include         /usr/local/etc/openldap/schema/dhcp.schema
#include                /usr/local/etc/openldap/schema/dbmail.schema
#
#include                /usr/local/etc/openldap/schema/joomla.schema
#include                /usr/local/etc/openldap/schema/mail.schema
#include                /usr/local/etc/openldap/schema/postfix.schema
#
# схемы dhcp позже скопируем. пока строчки закоментарим
#

pidfile         /var/run/openldap/slapd.pid
argsfile        /var/run/openldap/slapd.args

# Load dynamic backend modules:

modulepath      /usr/local/libexec/openldap
#moduleload     back_ldbm
moduleload      back_bdb

access to attrs=userPassword
        by self write
        by anonymous auth
        by * none

access to *
        by self write
        by anonymous read
        by * none


#TLSCertificateFile /etc/ssl/certs/ldap.cert
#TLSCertificateKeyFile /etc/ssl/private/ldap.key

#######################################################################
# BDB database definitions
#######################################################################

#database       ldbm
database        bdb
suffix          "dc=artpaintmsk,dc=ru"
rootdn          "cn=root,dc=artpaintmsk,dc=ru"
#
# пароль на рута можно сгенерировать с помощью slappasswd
#
rootpw          {SSHA}K680szZ7n06+7spBrXxbTBivO+3obVaa

directory       /var/db/openldap-data
loglevel        2

# Indices to maintain
index   objectClass             eq
index   cn                      eq
index   sn                      eq
index   displayName             eq,subinitial
index   uidNumber               eq
index   gidNumber               eq
index   uid                     eq
index   sambaSID                eq
index   zoneName                eq
index   sambaDomainName         eq
index   sambaSIDList            eq
index   relativeDomainName      eq
index   sambaGroupType          eq
#index  mail                    eq,subinitial
##index mailAlternateAddress    eq
##index accountStatus           eq
index   dhcpHWAddress           eq
##

Код: Выделить всё

[qtronix@ldapsrvr] /usr/local/etc/openldap/> ls /var/db/pkg | grep ldap
bind9-sdb-ldap-9.4.3.1
ldapscripts-1.8.0_1
nss_ldap-1.264_1
openldap-client-2.4.15
openldap-server-2.4.15

[FenX]

Код: Выделить всё

$ pkg_info | grep ldap
bind9-sdb-ldap-9.4.3.1 The well known Bind9, patched for use of an LDAP based back
ldapscripts-1.8.0_1 Scripts to manage posix accounts in an OpenLDAP directory
nss_ldap-1.264_1    RFC 2307 NSS module
openldap-client-2.3.43 Open source LDAP client implementation
openldap-server-2.3.43 Open source LDAP server implementation

Попробуй поставить ldap v 2.3
где-то на форуме пролетал пост о том, что с 2.4 какие-то косяки...

[FenX]

в общем, сегодня методом научного тыка нашёл причину твоих бед...
убери из конфигов ldap`а индексы:

Код: Выделить всё

index   zoneName                eq
index   relativeDomainName      eq

как только я их поставил, бинд тут же отказался читать зоны из базы

[qtronix]

в общем, сегодня методом научного тыка нашёл причину твоих бед...
убери из конфигов ldap`а индексы:

Код: Выделить всё

index   zoneName                eq
index   relativeDomainName      eq

как только я их поставил, бинд тут же отказался читать зоны из базы

Вах! спасибо тебе музчина !!!!
все пропало из логов !!

[FenX]

ага)) зато теперь лдап кричит что хорошобы индексы поставить xD

[stereo]

пасиб мужики )
/etc/mtree/BIND................
смотрите внимательней на то чтоб и у namedb и у master (и у остального, где надо) стоял uname=bind

[dimple]

Господа, хотел поинтересоваться у вас, не встречался ли кто с реализацией такой идеи....
При авторизации пользователя через pppoe ему выдается серый ip адрес, в качестве ДНС указан некий сервер с IP адресом 10.10.10.10 на котором установлен named
пользователь при авторизации получает адрес вида 10.10.10.* /24

Цель всей идеи состоит в том, чтобы пользователь набирая что-нибудь наподобие http://www.somename.com или еще какой-либо адрес получал 10.10.10.10

nslookup yandex.ru 10.10.10.10
Server: 10.10.10.10
Address: 10.10.10.10#53

Non-authoritative answer:
Name: yandex.ru
Address: 10.10.10.10

Я могу создать у себя зону яндекс ру и прописать там, но весь интернет прописать нереально

Т.е. необходимо переадресовывать пользователя на 10.10.10.10 чтобы он не набирал.

Покопавшись по документации ничего похожего не нашел
Поделитесь, если есть какие-либо мысли, может быть такая реализация есть в других продуктах.

Заранее спасибо

[FenX]

ну тут могу попробовать посоветовать заюзать ipfw, а не бинд.
в работе такой схемы сомневаюсь, но можно попробовать:

Код: Выделить всё

ipfw add fwd 10.10.10.10 from 10.10.10.0/24 to any via rl0

где rl0 - твой внешний интерфейс.

[karpekin]

При загрузке было сообщение: the working directory is not writable
Помогло:
1)Привел файл /etc/mtree/BIND.chroot.dist к такому виду -->

Код: Выделить всё

# $FreeBSD: src/etc/mtree/BIND.chroot.dist,v 1.6.20.1 2009/04/15 03:14:26 kensmith Exp $
#
# Please see the file src/etc/mtree/README before making changes to this file.
#

/set type=dir uname=root gname=wheel mode=0755
.
    dev             mode=0555
    ..
    etc
            namedb  uname=bind
            dynamic uname=bind
            ..
            master  uname=bind
            ..
            slave   uname=bind
            ..
        ..
    ..
/set type=dir uname=bind gname=wheel mode=0755
    var             uname=bind
        dump
        ..
        log
        ..
        run
            named
            ..
        ..
        stats
        ..
    ..
..

2)Сделал
chown -R bind:wheel /etc/namedb/master/* (там у меня располагаются прямая и обратные зоны а также зоны localhost) Если у вас зоны в /etc/namedb то chown -R bind:wheel /etc/namedb/*
3)cd /var/named/etc
chown -R bind:wheel namedb
Это решение нашел здесь http://serverx.ru/page/freebsd-named-th ... t-writable и здесь http://forum.lissyara.su/viewtopic.php?f=3&t=15449

[pim]

Установил FreeBSD + DirectAdmin, с которым автоматом был установлен и named. Через некоторое время обнаружил ошибку:

Код: Выделить всё

named[xxx] the working directory is not writable

Нашел статью http://www.lissyara.su/articles/freebsd ... med_9.7.0/, где автор советует сменить права директории named (в моем случае /var/named/etc/named - симлинк /etc/named):

Код: Выделить всё

chown -R bind:bind /etc/namedb/

После смены владельцев - сообщение об ошибке пропало.
Вопрос такой: может быть достаточно сменить права только на саму директорию, а не на все файлы в ней? Ведь даже не смотря на то, что ранее директория принадлежала root:wheel файлы с записью об отдельных доменах, добавленных через панель DirectAdmin создавались с bind:bind.

[pim]

P.S. Вернул файлы root`у - полет нормальный:
-rw-r--r-- 1 root wheel 23926 Sep 19 17:17 named.conf
-rw-r--r-- 1 root wheel 3139 Apr 9 23:59 named.root
-rw------- 1 root wheel 77 Jul 3 23:52 rndc.key