[Sysadmins] dhcpd и chroot

Alex Moskalenko mav на elserv.msk.su
Чт Апр 4 09:45:30 MSK 2019 

Evgeny Sinelnikov писал 03.04.2019 21:37:
> ср, 3 апр. 2019 г. в 22:20, Evgeny Sinelnikov <sin на altlinux.org>:
> Вообще, я тут подумал и припомнил вот такой инструмент:
> [sin на xpi dhcp]$ net ads dns
> Invalid command: net ads dns
> Usage:
> net ads dns register        Add host dns entry to AD
> net ads dns unregister      Remove host dns entry from AD
> net ads dns gethostbyname   Look up host
> 
> Обновлять DNS-записи в домене - это не задача dhcp-сервера. Это задача
> самого клиента. Клиент обращается со своими учётными данными (точнее
> компьютер обращается со своими учётными данными в /etc/krb5.keytab) и
> сам обновляет свои DNS-записи. Так оно задумано и все инструменты для
> это имеются. Их можно хуками на dhcp-клиенте прописать.

Это все очень правильно, но, к сожалению, реализуемо только для клиентов 
Windows (встроено в DNS-клиент) и UNIX (как Вы написали). В моей сети, 
помимо компьютеров, есть МФУ, к которым тоже хочется обращаться по 
имени. Они не являются членами AD и не умеют сами обновлять DNS.

Вообще, структура у меня следующая. Сегмент /24, в нем классический NT4 
домен. Серверы - linux, клиенты - Windows и Linux, присутствуют 
принт-серверы и МФУ. Сегмент обслуживается DHCP и DNS-серверами, записи 
DNS обновляет сервер DHCP. Регистрация DNS-имен на клиентах отключена.
Задача - перевести домен NT4 на AD с помощью classicupgrade.

Рассматривал 3 варианта.
1. Перенос AD в поддомен основного домена. Прямая DNS-зона для AD будет 
обслуживаться самбой+BIND_DLZ, клиенты будут динамически в ней 
регистрироваться штатными средствами. Для обслуживания обратной зоны 
придется, и отдачи разных доменных имен по DHCP придется городить 
костыли для dhcpd - машины Windows и Linux в домен AD, остальное в 
родительский домен. Показалось слишком сложным и непонятным, к тому же 
возможны проблемы с классификацией клиентов DHCP.
2. Classicupgrade в существующей доменной зоне со штатными средствами 
для обновления DNS. Требует ручной регистрации в DNS всех МФУ. В 
дальнейшем потребуется отслеживание актуальности сопоставления имен МФУ 
адресам, либо фиксация адресов для МФУ в конфигурации dhcpd, либо ручная 
настройка параметров IP в МФУ. Не понравилась по причине присутствия 
ручной работы.
3. Classicupgrade в существующей доменной зоне с автоматическим 
обновлением DNS с сервера DHCP. Требует донастройки dhcpd, но работает 
гораздо более логично, чем вариант (1) и не имеет возможных проблем с 
классификацией клиентов по варианту (1).

В результате остановился на варианте (3). Возможно, есть более логичные 
решения, и очень хотелось бы с ними ознакомиться. Пока все происходит в 
песочнице, и эксперименты приветствуются. :)

Подробная информация о списке рассылки Sysadmins