[Sysadmins] Обновление samba-DC 4.7.12 ->4.9.13
Alex Moskalenko
mav на elserv.msk.su
Чт Окт 3 06:30:24 MSK 2019
02.10.2019 23:55, solic на shpl.ru пишет:
> Судя по посту в рассылке, у Вас bind запускается от пользователя named
> А Альте нужно запускать от root и вынуть из chroot.
>
Из chroot bind вынут. В chroot'е оно вообще работать не должно никак. А
вот про запуск от root прошу объяснить подробнее - чего не хватает
пользователю bind при соответствующих правах на файлы/каталоги. Более
того, в
https://lists.altlinux.org/pipermail/samba/2019-April/004331.html я
писал, что напускал на bind strace, и в итоге каких-либо ошибок доступа
к чему-либо не обнаружил.
>
> Alex Moskalenko писал 2019-10-02 18:19:
>> Evgeny Sinelnikov писал 02.10.2019 17:18:
>>> 3) "Коллеги, использующие ALT p8 или p9 с samba в качестве AD DC с
>>> DNS-бэкэндом BIND9_DLZ, подскажите, работает ли у вас обновление записей
>>> DNS клиентами Windows и samba_dnsupdate?"
>>>
>>> Давайте определимся с критерием проверки.
>>> - Что проверяем? Win7 в домене? или samba-клиент?
>>> - Какие ошибки возникают при попытке обновления записей DNS?
>>>
>>> Нужны конкретные команды, и вывод и более подробный лог ошибок. Можно
>>> лично. Когда протестирую, перешлю уже проанализированные подробности.
>>> Но лучше сразу сюда, просто объём может быть большим, поэтому обычно
>>> поэтому обходятся минимальными подробностями.
>>
>> Мои проблемы описаны еще в апреле в списке рассылки samba -
>> https://lists.altlinux.org/pipermail/samba/2019-April/004329.html
>> И даже баг в багзилле заведен -
>> https://bugzilla.altlinux.org/show_bug.cgi?id=36563
>>
>> Проверяем безопасные обновления DNS, как с клиентов (Win10,
>> Win2019Server), так и с самого DC с помощью samba_dnsupdate.
>> С клиентов - ipconfig /registerdns, с самого DC - samba_dnsupdate.
>> Тестировал домен с 3мя DC - ALT, Ubuntu server 18.04 и Debian Buster
>> 10. На текущий момент samba везде одинаковая - 4.10.8 (в ALT P9 -
>> штатная, в Ubuntu - из ppa School linux, в Debian - из репозитория
>> van-belle.nl.
>>
>> Везде, кроме ALT, зоны успешно обновляются как клиентами, так и
>> samba_dnsupdate. На ALT же имеем в логах записи вида:
>> 2019-04-04T11:21:17.993406+03:00 dc0 named[14068]: client
>> @0x7f01141236c0 192.168.0.11#35595/key DC0\$\@AD.LOCAL: update failed:
>> not authoritative for update zone (NOTAUTH)
>> 2019-04-04T11:21:18.017841+03:00 dc0 named[14068]: client
>> @0x7f0104031eb0 192.168.0.11#48267/key DC0\$\@AD.LOCAL: update failed:
>> not authoritative for update zone (NOTAUTH)
>>
>> На Ubuntu и на Debian в том же AD все работает штатно:
>> Oct 2 17:12:42 dc1 named[15268]: samba_dlz: starting transaction on
>> zone ad.local
>> Oct 2 17:12:42 dc1 named[15268]: samba_dlz: allowing update of
>> signer=PC-001\$\@AD.LOCAL name=pc-001.ad.local tcpaddr=192.168.0.36
>> type=AAAA
>> key=1360-ms-7.627-584955d5.1b29d6f6-d7a6-11e9-2986-18602489c1fa/160/0
>> Oct 2 17:12:42 dc1 named[15268]: samba_dlz: allowing update of
>> signer=PC-001\$\@AD.LOCAL name=pc-001.ad.local tcpaddr=192.168.0.36
>> type=A
>> key=1360-ms-7.627-584955d5.1b29d6f6-d7a6-11e9-2986-18602489c1fa/160/0
>> Oct 2 17:12:42 dc1 named[15268]: samba_dlz: allowing update of
>> signer=PC-001\$\@AD.LOCAL name=pc-001.ad.local tcpaddr=192.168.0.36
>> type=A
>> key=1360-ms-7.627-584955d5.1b29d6f6-d7a6-11e9-2986-18602489c1fa/160/0
>> Oct 2 17:12:42 dc1 named[15268]: client @0x7fd0a80d5ab0
>> 192.168.0.36#64406/key PC-001\$\@AD.LOCAL: updating zone
>> 'ad.local/NONE': deleting rrset at 'pc-001.ad.local' AAAA
>> Oct 2 17:12:42 dc1 named[15268]: client @0x7fd0a80d5ab0
>> 192.168.0.36#64406/key PC-001\$\@AD.LOCAL: updating zone
>> 'ad.local/NONE': deleting rrset at 'pc-001.ad.local' A
>> Oct 2 17:12:42 dc1 named[15268]: samba_dlz: subtracted rdataset
>> pc-001.ad.local 'pc-001.ad.local.#0111200#011IN#011A#011192.168.0.36'
>> Oct 2 17:12:42 dc1 named[15268]: client @0x7fd0a80d5ab0
>> 192.168.0.36#64406/key PC-001\$\@AD.LOCAL: updating zone
>> 'ad.local/NONE': adding an RR at 'pc-001.ad.local' A 192.168.0.36
>> Oct 2 17:12:42 dc1 named[15268]: samba_dlz: added rdataset
>> pc-001.ad.local 'pc-001.ad.local.#0111200#011IN#011A#011192.168.0.36'
>> Oct 2 17:12:42 dc1 named[15268]: samba_dlz: committed transaction on
>> zone ad.local
>>
>> При этом на ALT при переключении на SAMBA_INTERNAL обновление зон DNS
>> с клиентов также не работает. Хотя в логах на сервере при этом пусто
>> (на loglevel по умолчанию), а на клиентах - предупреждения о
>> невозможности обновить записи A и AAAA.
>>
>> Готов предоставить дополнительную информацию или даже тестовый стенд,
>> хотя ничего особенного в конфигурации у меня нет. Та же ситуация
>> получается при чистой установке с samba-tool domain provision.
>>
>> Дальнейшее наверное имеет смысл обсуждать в рамках бага в багзилле,
>> чтоб не захламлять рассылку логами и т.п., а сюда уже написать резюме.
>> _______________________________________________
>> Sysadmins mailing list
>> Sysadmins на lists.altlinux.org
>> https://lists.altlinux.org/mailman/listinfo/sysadmins
> _______________________________________________
> Sysadmins mailing list
> Sysadmins на lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
Подробная информация о списке рассылки Sysadmins