[samba] samba AD DC + bind + DDNS = NOTAUTH

Alex Moskalenko mav на elserv.msk.su
Пт Апр 5 14:48:54 MSK 2019 

Alex Moskalenko писал 04.04.2019 12:27:
> Здравствуйте.
> 
> Пытаюсь настроить обновления DNS с помощью nsupdate на контроллере AD.
> Видимо, я что-то делаю неправильно/невнимательно, но не проходят у
> меня динамические обновления с ошибкой NOTAUTH. Все варианты с
> wiki.samba.org по настройке уже перепробовал - ситуация не меняется. В
> системе ошибок тоже не вижу...

От безысходности напустил strace на выполняющийся bind на предмет ошибок 
доступа к файлам. Обнаружил, что он пытается создавать файлы в каталоге 
/tmp/.private/root/, что, естественно не получается под пользователем 
named. Установил TMPDIR=/tmp - ошибки пропали. Но обновление так и не 
заработало.

Кусок лога TMPDIR=/tmp strace -f -e trace=\%file /usr/sbin/named -t / -f 
-g при попытке обновления записи
[pid 21009] access("/etc/krb5.conf", R_OK) = 0
[pid 21009] stat("/etc/krb5.conf", {st_mode=S_IFREG|0644, st_size=649, 
...}) = 0
[pid 21009] access("/etc/krb5.conf", R_OK) = 0
[pid 21009] stat("/etc/krb5.conf", {st_mode=S_IFREG|0644, st_size=649, 
...}) = 0
[pid 21009] openat(AT_FDCWD, 
"/var/lib/kerberos/krb5/user/25/client.keytab", O_RDONLY) = -1 ENOENT 
(Нет такого файла или каталога)
[pid 21009] stat("/tmp/krb5cc_25", 0x7f3e7bc1c8d0) = -1 ENOENT (Нет 
такого файла или каталога)
[pid 21009] access("/etc/krb5.conf", R_OK) = 0
[pid 21009] stat("/etc/krb5.conf", {st_mode=S_IFREG|0644, st_size=649, 
...}) = 0
[pid 21009] access("/etc/krb5.conf", R_OK) = 0
[pid 21009] stat("/etc/krb5.conf", {st_mode=S_IFREG|0644, st_size=649, 
...}) = 0
[pid 21009] openat(AT_FDCWD, "/var/lib/samba/bind-dns/dns.keytab", 
O_RDONLY) = 81
[pid 21009] openat(AT_FDCWD, "/var/lib/samba/bind-dns/dns.keytab", 
O_RDONLY) = 81
[pid 21009] lstat("/tmp/DNS_25", {st_mode=S_IFREG|0600, st_size=16365, 
...}) = 0
[pid 21009] openat(AT_FDCWD, "/tmp/DNS_25", O_RDWR) = 81
[pid 21009] openat(AT_FDCWD, "/usr/lib64/krb5/plugins/authdata", 
O_RDONLY|O_NONBLOCK|O_CLOEXEC|O_DIRECTORY) = -1 ENOENT (Нет такого файла 
или каталога)
[pid 21009] openat(AT_FDCWD, "/usr/lib64/krb5/plugins/authdata", 
O_RDONLY|O_NONBLOCK|O_CLOEXEC|O_DIRECTORY) = -1 ENOENT (Нет такого файла 
или каталога)
[pid 21009] access("/etc/krb5.conf", R_OK) = 0
[pid 21009] stat("/etc/krb5.conf", {st_mode=S_IFREG|0644, st_size=649, 
...}) = 0
[pid 21009] access("/etc/krb5.conf", R_OK) = 0
[pid 21009] stat("/etc/krb5.conf", {st_mode=S_IFREG|0644, st_size=649, 
...}) = 0
[pid 21009] access("/etc/krb5.conf", R_OK) = 0
[pid 21009] stat("/etc/krb5.conf", {st_mode=S_IFREG|0644, st_size=649, 
...}) = 0
[pid 21009] access("/etc/krb5.conf", R_OK) = 0
[pid 21009] stat("/etc/krb5.conf", {st_mode=S_IFREG|0644, st_size=649, 
...}) = 0
05-Apr-2019 13:31:21.425 client @0x7f3e75290ec0 192.168.93.11#60605/key 
DC0\$\@AD.LOCAL: update failed: not authoritative for update zone 
(NOTAUTH)

И так на каждую обновляемую запись.

Есть ли кто-нибудь, у кого работает динамическое обновление DNS с 
помощью nsupdate в связке samba+bind?

Подробная информация о списке рассылки Samba