Оглавление |
---|
Введение
Информация |
---|
Статья основана на материалах из wiki.samba.org |
Для того, чтобы создать контроллер домена Samba Active Directory (AD), использующий службу DNS BIND9_DLZ, в первую очередь нужно создать и настроить BIND DNS серверDNS-сервер.
Для использования с ОС Astra Linux рекомендуется DNS-сервер BIND9, входящий в комплект дистрибутивов.
Далее описывается базовая инсталляция BIND, который BIND9, которую, в дальнейшем, можно будет использовать для Samba AD DC.
Для перехода с использования внутренней службы DNS Samba на использование сервера Bind9 также см. Changing_the_DNS_Back_End_of_a_Samba_AD_DC Изменение службы DNS контроллера домена AD Samba.
Установка Bind
СмПроцедуру установки пакета bind cм. DNS-сервер BIND9
Настройка
...
BIND
...
Предупреждение |
---|
Добавлять зоны перенаправления и реверсивные зоны домена AD в файлы named.conf , не нужно, так как эти зоны хранятся динамически в AD. |
...
Информация |
---|
Данный пункт необязателен, и применим только для открытых сетей. |
Загружаем свежий список корневых DNS-серверов в файл /var/bind/named.root:
Информация |
---|
wget -q -O /var/bind/named.root http://www.internic.net/zones/named.root |
Предоставляем доступ к файлу учётной записи bind:
Информация |
---|
chown root:bind /var/bind/named.root |
Дополнительно, можно установить задачу cron для автоматического обновления файла.
Создание файла зоны localhost
В файле /var/bind/master/localhost.zone file cоздадим зону перенаправления для localhost:
...
$TTL 3D
$ORIGIN localhost.
@ 1D IN SOA @ root (
2013050101 ; serial
8H ; refresh
2H ; retry
4W ; expiry
1D ; minimum
)
@ IN NS @
IN A 127.0.0.1
И предоставим учетной записи BIND права на чтение созданного файла:
Информация |
---|
chown bind:bind /var/bind/master/localhost.zone |
...
Создание файла зоны localhost и файла реверсивной зоны 0.0.127.in-addr.arpa
В файле /var/bind/master/0.0.127.zoneCreate создадим файл реверсивной зоны 0Файлы зоны localhost и файла реверсивной зоны 0.0.127.in-addr.arpa :
Информация |
---|
$TTL 3D @ IN SOA localhost. root.localhost. ( IN NS localhost. 1 IN PTR localhost. |
И предоставим учетной записи BIND права на чтение созданного файла:
...
при установке пакета создаются автоматически (файлы /etc/bind/db.local и /etc/bind/db.127 соответственно).
Запуск сервиса
Для запуска/перезапуска сервиса BIND используйте команды
...
Command |
---|
sudo systemctl start bind9 |
Проверка зон
Следующие примеры запрашивают у сервиса DNS информацию о локальной машине (127.0.0.1).
Проверка зоны
...
перенаправления localhost
Команда:
Информацияcommand |
---|
host -t A localhost 127.0.0.1 |
...
Информация |
---|
Using domain server: |
Проверка реверсивной зоны 0.0.127.in-addr.arpa.
Команда:
Информацияcommand |
---|
host -t PTR 127.0.0.1 127.0.0.1 |
...
Информация |
---|
Using domain server: |
Настройка модуля BIND9_DLZ
Информация |
---|
Эту настройку следует выполнять после выполнения назначения Samba на роль контроллера AD, так как нужный конфигурационный файл /var/lib/samba/bind-dns/named.conf появится только после этого назначения. |
Во время назначения Samba на роль контроллера домена AD автоматически создается конфигурационный файл /var/lib/samba/bind-dns/named.conf службы BIND9:
Раскрыть | ||
---|---|---|
| ||
# This DNS configuration is for BIND 9.8.0 or later with dlz_dlopen support. # # This file should be included in your main BIND configuration file # # For example with # include "/var/lib/samba/bind-dns/named.conf"; # # This configures dynamically loadable zones (DLZ) from AD schema # Uncomment only single database line, depending on your BIND version # dlz "AD DNS Zone" { # For BIND 9.8.x # database "dlopen /usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9.so"; # For BIND 9.9.x # database "dlopen /usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9_9.so"; # For BIND 9.10.x # database "dlopen /usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9_10.so"; # For BIND 9.11.x database "dlopen /usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9_11.so"; }; |
Для включения модуля BIND9_DLZ:
Добавить в конфигурационный файл /etc/bind/named.conf команду включения конфигурации samba:
Информация |
---|
include "/var/lib/samba/bind-dns/named.conf"; |
Определить используемую версию bind командой:
Command |
---|
sudo named -v |
С помощью любого текстового редактора убедиться, что в файле /var/lib/samba/bind-dns/named.conf раскомментировна строка, соответствующая используемой версии BIND. При написании этой статьи использовалась версия BIND 9.11.
Разрешить доступ к файлу /var/lib/samba/bind-dns/named.conf:
Command |
---|
sudo chown -R root:bind /var/lib/samba/bind-dns/ |
Проверить правильность конфигурации:
Command |
---|
sudo named-checkconf |
Перезапустить сервис bind9:
Command |
---|
sudo systemctl restart bind9 |
Ошибка /usr/sbin/samba_dnsupdate: ; TSIG error with server: tsig verify failure
Сообщения в системном журнале вида "/usr/sbin/samba_dnsupdate: update failed: REFUSED" и связанные с ними сообщения об ошибках обновления DNS можно игнорировать.
Ошибка "status: FORMERR" при обращении к DNS-серверу Windows AD
Пример:
Информация | ||
---|---|---|
| ||
; <<>> DiG 9.11.3-1ubuntu1.5-Debian <<>> SRV _ldap._tcp.windomain.ru ;; OPT PSEUDOSECTION: ;; Query time: 0 msec |
Ошибка возникает из-за того, что DNS-сервер Windows AD, вопреки действующим стандартам, считает ошибкой низвестные ему опции запроса (стандарты требуют просто игнорировать такие опции).
Вариант обхода - использовать в команде dig опцию +nocookie (или +noends):
Command | ||
---|---|---|
| ||
; <<>> DiG 9.11.3-1ubuntu1.5-Debian <<>> SRV _ldap._tcp.windomain.ru +nocookie ;; OPT PSEUDOSECTION: ;; ANSWER SECTION: ;; ADDITIONAL SECTION: ;; Query time: 0 msec | ||
Предупреждение | ||
You must not add the AD domain forward or reverse zone records to the named.conf files, these zones are stored dynamically in AD. |