* [Sysadmins] dhcpd и chroot @ 2019-04-03 13:22 Alex Moskalenko 2019-04-03 18:20 ` Evgeny Sinelnikov 0 siblings, 1 reply; 5+ messages in thread From: Alex Moskalenko @ 2019-04-03 13:22 UTC (permalink / raw) To: Sysadmins Здравствуйте! Подскажите пожалуйста, нельзя ли наш dhcpd "вынуть" из чрута по аналогии с текущим bind (что-то типа control dhcpd-chroot disabled)? Есть у нас такая возможность? Захотелось попробовать реализовать обновление DNS на контроллере AD по мотивам https://wiki.samba.org/index.php/Configure_DHCP_to_update_DNS_records_with_BIND9, но, получается или dhcpd из чрута нужно вынимать, или ему в chroot копировать библиотеки от используемых в скрипте программ (скрипт конечно можно упростить, но от sh/kinit/klist/nsupdate/awk не деться никуда). Может есть какая не очень заметная "ручка" для dhcpd? -- WBR, Alex Moskalenko ^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [Sysadmins] dhcpd и chroot 2019-04-03 13:22 [Sysadmins] dhcpd и chroot Alex Moskalenko @ 2019-04-03 18:20 ` Evgeny Sinelnikov 2019-04-03 18:37 ` Evgeny Sinelnikov 2019-04-04 14:06 ` Alex Moskalenko 0 siblings, 2 replies; 5+ messages in thread From: Evgeny Sinelnikov @ 2019-04-03 18:20 UTC (permalink / raw) To: ALT Linux sysadmins' discussion Cc: Ivan A. Melnikov, Сергей Бубнов Здравствуйте. ср, 3 апр. 2019 г. в 17:22, Alex Moskalenko <mav@elserv.msk.su>: > > Здравствуйте! > > Подскажите пожалуйста, нельзя ли наш dhcpd "вынуть" из чрута по аналогии > с текущим bind (что-то типа control dhcpd-chroot disabled)? Есть у нас > такая возможность? > > Захотелось попробовать реализовать обновление DNS на контроллере AD по > мотивам > https://wiki.samba.org/index.php/Configure_DHCP_to_update_DNS_records_with_BIND9, > но, получается или dhcpd из чрута нужно вынимать, или ему в chroot > копировать библиотеки от используемых в скрипте программ (скрипт конечно > можно упростить, но от sh/kinit/klist/nsupdate/awk не деться никуда). > > Может есть какая не очень заметная "ручка" для dhcpd? Я такой ручки не помнил, но глянул в исходники, обнаружил опцию -j Видимо, это ручка выглядит так: DHCPDARGS="-j /" в /etc/sysconfig/dhcpd Вообще, думаю, эту утилиту, которая дёргает nsupdate, нужно переписать на си, чтобы обновлять записи хоть из системы, хоть из chroot'а. -- Sin (Sinelnikov Evgeny) ^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [Sysadmins] dhcpd и chroot 2019-04-03 18:20 ` Evgeny Sinelnikov @ 2019-04-03 18:37 ` Evgeny Sinelnikov 2019-04-04 6:45 ` Alex Moskalenko 2019-04-04 14:06 ` Alex Moskalenko 1 sibling, 1 reply; 5+ messages in thread From: Evgeny Sinelnikov @ 2019-04-03 18:37 UTC (permalink / raw) To: ALT Linux sysadmins' discussion Cc: Ivan A. Melnikov, Сергей Бубнов ср, 3 апр. 2019 г. в 22:20, Evgeny Sinelnikov <sin@altlinux.org>: > > Здравствуйте. > > ср, 3 апр. 2019 г. в 17:22, Alex Moskalenko <mav@elserv.msk.su>: > > > > Здравствуйте! > > > > Подскажите пожалуйста, нельзя ли наш dhcpd "вынуть" из чрута по аналогии > > с текущим bind (что-то типа control dhcpd-chroot disabled)? Есть у нас > > такая возможность? > > > > Захотелось попробовать реализовать обновление DNS на контроллере AD по > > мотивам > > https://wiki.samba.org/index.php/Configure_DHCP_to_update_DNS_records_with_BIND9, > > но, получается или dhcpd из чрута нужно вынимать, или ему в chroot > > копировать библиотеки от используемых в скрипте программ (скрипт конечно > > можно упростить, но от sh/kinit/klist/nsupdate/awk не деться никуда). > > > > Может есть какая не очень заметная "ручка" для dhcpd? > > Я такой ручки не помнил, но глянул в исходники, обнаружил опцию -j > Видимо, это ручка выглядит так: > DHCPDARGS="-j /" > в /etc/sysconfig/dhcpd > > Вообще, думаю, эту утилиту, которая дёргает nsupdate, нужно переписать > на си, чтобы обновлять записи хоть из системы, хоть из chroot'а. Вообще, я тут подумал и припомнил вот такой инструмент: [sin@xpi dhcp]$ net ads dns Invalid command: net ads dns Usage: net ads dns register Add host dns entry to AD net ads dns unregister Remove host dns entry from AD net ads dns gethostbyname Look up host Обновлять DNS-записи в домене - это не задача dhcp-сервера. Это задача самого клиента. Клиент обращается со своими учётными данными (точнее компьютер обращается со своими учётными данными в /etc/krb5.keytab) и сам обновляет свои DNS-записи. Так оно задумано и все инструменты для это имеются. Их можно хуками на dhcp-клиенте прописать. -- Sin (Sinelnikov Evgeny) ^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [Sysadmins] dhcpd и chroot 2019-04-03 18:37 ` Evgeny Sinelnikov @ 2019-04-04 6:45 ` Alex Moskalenko 0 siblings, 0 replies; 5+ messages in thread From: Alex Moskalenko @ 2019-04-04 6:45 UTC (permalink / raw) To: sysadmins Evgeny Sinelnikov писал 03.04.2019 21:37: > ср, 3 апр. 2019 г. в 22:20, Evgeny Sinelnikov <sin@altlinux.org>: > Вообще, я тут подумал и припомнил вот такой инструмент: > [sin@xpi dhcp]$ net ads dns > Invalid command: net ads dns > Usage: > net ads dns register Add host dns entry to AD > net ads dns unregister Remove host dns entry from AD > net ads dns gethostbyname Look up host > > Обновлять DNS-записи в домене - это не задача dhcp-сервера. Это задача > самого клиента. Клиент обращается со своими учётными данными (точнее > компьютер обращается со своими учётными данными в /etc/krb5.keytab) и > сам обновляет свои DNS-записи. Так оно задумано и все инструменты для > это имеются. Их можно хуками на dhcp-клиенте прописать. Это все очень правильно, но, к сожалению, реализуемо только для клиентов Windows (встроено в DNS-клиент) и UNIX (как Вы написали). В моей сети, помимо компьютеров, есть МФУ, к которым тоже хочется обращаться по имени. Они не являются членами AD и не умеют сами обновлять DNS. Вообще, структура у меня следующая. Сегмент /24, в нем классический NT4 домен. Серверы - linux, клиенты - Windows и Linux, присутствуют принт-серверы и МФУ. Сегмент обслуживается DHCP и DNS-серверами, записи DNS обновляет сервер DHCP. Регистрация DNS-имен на клиентах отключена. Задача - перевести домен NT4 на AD с помощью classicupgrade. Рассматривал 3 варианта. 1. Перенос AD в поддомен основного домена. Прямая DNS-зона для AD будет обслуживаться самбой+BIND_DLZ, клиенты будут динамически в ней регистрироваться штатными средствами. Для обслуживания обратной зоны придется, и отдачи разных доменных имен по DHCP придется городить костыли для dhcpd - машины Windows и Linux в домен AD, остальное в родительский домен. Показалось слишком сложным и непонятным, к тому же возможны проблемы с классификацией клиентов DHCP. 2. Classicupgrade в существующей доменной зоне со штатными средствами для обновления DNS. Требует ручной регистрации в DNS всех МФУ. В дальнейшем потребуется отслеживание актуальности сопоставления имен МФУ адресам, либо фиксация адресов для МФУ в конфигурации dhcpd, либо ручная настройка параметров IP в МФУ. Не понравилась по причине присутствия ручной работы. 3. Classicupgrade в существующей доменной зоне с автоматическим обновлением DNS с сервера DHCP. Требует донастройки dhcpd, но работает гораздо более логично, чем вариант (1) и не имеет возможных проблем с классификацией клиентов по варианту (1). В результате остановился на варианте (3). Возможно, есть более логичные решения, и очень хотелось бы с ними ознакомиться. Пока все происходит в песочнице, и эксперименты приветствуются. :) ^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [Sysadmins] dhcpd и chroot 2019-04-03 18:20 ` Evgeny Sinelnikov 2019-04-03 18:37 ` Evgeny Sinelnikov @ 2019-04-04 14:06 ` Alex Moskalenko 1 sibling, 0 replies; 5+ messages in thread From: Alex Moskalenko @ 2019-04-04 14:06 UTC (permalink / raw) To: sysadmins Evgeny Sinelnikov писал 03.04.2019 21:20: > Я такой ручки не помнил, но глянул в исходники, обнаружил опцию -j > Видимо, это ручка выглядит так: > DHCPDARGS="-j /" > в /etc/sysconfig/dhcpd Спасибо, "ручка" сработала с дополнением в виде "-lf /var/lib/dhcp/dhcpd/state/dhcpd.leases". Итоговый вид /etc/sysconfig/dhcpd: DHCPDARGS="-j / -lf /var/lib/dhcp/dhcpd/state/dhcpd.leases" В будущем вполне можно сделать control по аналогии с bind-chroot - действия требуются практически такие же. Еще раз спасибо! PS Правда, реализовать обновление DNS пока не получилось - см. https://lists.altlinux.org/pipermail/samba/2019-April/004329.html Но это уже не к dhcpd. ^ permalink raw reply [flat|nested] 5+ messages in thread
end of thread, other threads:[~2019-04-04 14:06 UTC | newest] Thread overview: 5+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2019-04-03 13:22 [Sysadmins] dhcpd и chroot Alex Moskalenko 2019-04-03 18:20 ` Evgeny Sinelnikov 2019-04-03 18:37 ` Evgeny Sinelnikov 2019-04-04 6:45 ` Alex Moskalenko 2019-04-04 14:06 ` Alex Moskalenko
ALT Linux sysadmins discussion This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \ sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com public-inbox-index sysadmins Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sysadmins AGPL code for this site: git clone https://public-inbox.org/public-inbox.git