[Sysadmins] PowerDNS+LDAP

ALT Linux sysadmins discussion
 help / color / mirror / Atom feed

* [Sysadmins] PowerDNS+LDAP
@ 2008-06-25 14:05 Вадим Илларионов
  2008-06-25 14:21 ` Slava Dubrovskiy
  2008-06-28 16:33 ` Eugene Ostapets
  0 siblings, 2 replies; 6+ messages in thread
From: Вадим Илларионов @ 2008-06-25 14:05 UTC (permalink / raw)
  To: sysadmins

Долго бился с этой связкой.
Таки победил - спасибо Михаилу Шигорину за подсказки.

Первым делом никак не получалось затолкать зоны из bind'a в лдап-каталог.

1. Скрипт zone2ldap выдаёт не вполне тот лдиф-файл, какой ожидается.
а) У каждой записи генерится несъедобный для OpenLDAP атрибут
   changetype: add
б) но отсутствует необходимый ему же
   structuralObjectClass: dnsDomain2
Поправил тривиальным субстом.

2. Некоторые записи дублируются
   (вытягивал зоны не из файлов, а посредством dig)
Покоцал дубликаты вручную.

Результирующий zones.ldif мой slapadd скушал аж с причмокиванием.

Вторым делом, когда всё завелось, упёрся в то, что записи прописанных зон
PowerDNS резолвит, а извне - фигу.

Здесь, наверное, уместно процитировать переписку с Михаилом:
====================================
Михаил Шигорин 25 июня 2008 16:58:32
мож он нерекурсивный из коробки? (non-recursive)
свойство резолвить для клиентов адреса из зон, за которые NS не
authoritative -- рекурсивностью называется, по умолчанию должно быть
выключено на любом приличном сервере
см. тж. DNS-HOWTO -- нетолстое, но полезное

Дым 25 июня 2008 17:44:11
Спасибо, помогло!
Рекурсия-то по умолчанию включена, причём отовсюду.
Укоротил её до своих подсетей.
Но вот не было указано рекурсора - аналога форвардера в бинде.
На том и подорвался. :)
====================================
То есть, достаточно в конфиге пауэрдээнэса прописать в качестве рекурсора
какой-либо из корневых серверов - и вуаля!
_________________________________
С уважением,
Вадим Илларионов
системный администратор
ООО "Новые Системы Телеком"
UIN: 7899517
JID: master at usib dot irkps dot ru
Телефоны:
- рабочий    +7 495 6414045+5885
- мобильный  +7 916 3889337

^ permalink raw reply	[flat|nested] 6+ messages in thread

* Re: [Sysadmins] PowerDNS+LDAP
  2008-06-25 14:05 [Sysadmins] PowerDNS+LDAP Вадим Илларионов
@ 2008-06-25 14:21 ` Slava Dubrovskiy
  2008-06-25 14:27   ` Вадим Илларионов
  2008-06-28 16:33 ` Eugene Ostapets
  1 sibling, 1 reply; 6+ messages in thread
From: Slava Dubrovskiy @ 2008-06-25 14:21 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

[-- Attachment #1: Type: text/plain, Size: 1954 bytes --]

Вадим Илларионов пишет:
> Вторым делом, когда всё завелось, упёрся в то, что записи прописанных зон
> PowerDNS резолвит, а извне - фигу.
>
> Здесь, наверное, уместно процитировать переписку с Михаилом:
> ====================================
> Михаил Шигорин 25 июня 2008 16:58:32
> мож он нерекурсивный из коробки? (non-recursive)
> свойство резолвить для клиентов адреса из зон, за которые NS не
> authoritative -- рекурсивностью называется, по умолчанию должно быть
> выключено на любом приличном сервере
> см. тж. DNS-HOWTO -- нетолстое, но полезное
>
> Дым 25 июня 2008 17:44:11
> Спасибо, помогло!
> Рекурсия-то по умолчанию включена, причём отовсюду.
> Укоротил её до своих подсетей.
> Но вот не было указано рекурсора - аналога форвардера в бинде.
> На том и подорвался. :)
> ====================================
> То есть, достаточно в конфиге пауэрдээнэса прописать в качестве рекурсора
> какой-либо из корневых серверов - и вуаля!
>   
Вообще это разные функции. Отдача своих зон и рекурсивный поиск. Мы 
привыкли к bind что в нем эти 2 функции объединены.
Для рекурсора хорошо указывать unbound. Он вешается на localhost, а на 
внешние IP уже PowerDNS или что еще.

-- 
WBR,
Dubrovskiy Vyacheslav


[-- Attachment #2: S/MIME Cryptographic Signature --]
[-- Type: application/x-pkcs7-signature, Size: 3249 bytes --]

^ permalink raw reply	[flat|nested] 6+ messages in thread

* Re: [Sysadmins] PowerDNS+LDAP
  2008-06-25 14:21 ` Slava Dubrovskiy
@ 2008-06-25 14:27   ` Вадим Илларионов
  2008-06-25 23:24     ` Michael Shigorin
  0 siblings, 1 reply; 6+ messages in thread
From: Вадим Илларионов @ 2008-06-25 14:27 UTC (permalink / raw)
  To: sysadmins

Slava Dubrovskiy wrote:

> Вообще это разные функции. Отдача своих зон и рекурсивный поиск. Мы
> привыкли к bind что в нем эти 2 функции объединены.
> Для рекурсора хорошо указывать unbound. Он вешается на localhost, а на
> внешние IP уже PowerDNS или что еще.

Дело в том, что старый шлюз с биндом потихоньку помирает.
Стояла задача перенести днс на второй шлюз, а с биндом возиться не хотелось.
А хотелось чего-то легко конфигурируемого с хранением зон в ЛДАПе.
Первым, на что наткнулся, был как раз ПауэрДНС.
Вот, собсно, потому и так. Может, ещё кому сгодится.
_________________________________
С уважением,
Вадим Илларионов
системный администратор
ООО "Новые Системы Телеком"
UIN: 7899517
JID: master at usib dot irkps dot ru
Телефоны:
- рабочий    +7 495 6414045+5885
- мобильный  +7 916 3889337



^ permalink raw reply	[flat|nested] 6+ messages in thread

* Re: [Sysadmins] PowerDNS+LDAP
  2008-06-25 14:27   ` Вадим Илларионов
@ 2008-06-25 23:24     ` Michael Shigorin
  0 siblings, 0 replies; 6+ messages in thread
From: Michael Shigorin @ 2008-06-25 23:24 UTC (permalink / raw)
  To: sysadmins

On Wed, Jun 25, 2008 at 06:27:09PM +0400, Вадим Илларионов wrote:
> Первым, на что наткнулся, был как раз ПауэрДНС.

Unbound is a validating, recursive, and caching DNS resolver.
                                                ^^^^^^^^^^^^
The C implementation of Unbound is developed and maintained by NLnet
Labs. It is based on ideas and algorithms taken from a java prototype
developed by Verisign labs, Nominet, Kirei and ep.net.

Unbound is designed as a set of modular components, so that also
DNSSEC (secure DNS) validation and stub-resolvers (that do not run
as a server, but are linked into an application) are easily possible.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/


^ permalink raw reply	[flat|nested] 6+ messages in thread

* Re: [Sysadmins] PowerDNS+LDAP
  2008-06-25 14:05 [Sysadmins] PowerDNS+LDAP Вадим Илларионов
  2008-06-25 14:21 ` Slava Dubrovskiy
@ 2008-06-28 16:33 ` Eugene Ostapets
  2008-06-30  7:07   ` Вадим Илларионов
  1 sibling, 1 reply; 6+ messages in thread
From: Eugene Ostapets @ 2008-06-28 16:33 UTC (permalink / raw)
  To: ALT Linux sysadmin discuss

2008/6/25 Вадим Илларионов <master nstel.ru>:
> 1. Скрипт zone2ldap выдаёт не вполне тот лдиф-файл, какой ожидается.
> а) У каждой записи генерится несъедобный для OpenLDAP атрибут
>   changetype: add
> б) но отсутствует необходимый ему же
>   structuralObjectClass: dnsDomain2
Что за ерунда?
> Поправил тривиальным субстом.
>
> 2. Некоторые записи дублируются
>   (вытягивал зоны не из файлов, а посредством dig)
> Покоцал дубликаты вручную.
>
> Результирующий zones.ldif мой slapadd скушал аж с причмокиванием.
Результат работы zone2ldap кушается ldapadd без единого возражения! Вы
уверены в своих действиях?

-- 
С уважением,
Евгений Остапец
uin: 23747217
jid: eugene_ostapets@jabber.ru

^ permalink raw reply	[flat|nested] 6+ messages in thread

* Re: [Sysadmins] PowerDNS+LDAP
  2008-06-28 16:33 ` Eugene Ostapets
@ 2008-06-30  7:07   ` Вадим Илларионов
  0 siblings, 0 replies; 6+ messages in thread
From: Вадим Илларионов @ 2008-06-30  7:07 UTC (permalink / raw)
  To: sysadmins

Eugene Ostapets wrote:

> 2008/6/25 Вадим Илларионов <master nstel.ru>:
>> 1. Скрипт zone2ldap выдаёт не вполне тот лдиф-файл, какой ожидается.
>> а) У каждой записи генерится несъедобный для OpenLDAP атрибут
>>   changetype: add
>> б) но отсутствует необходимый ему же
>>   structuralObjectClass: dnsDomain2
> Что за ерунда?
>> Поправил тривиальным субстом.
>>
>> 2. Некоторые записи дублируются
>>   (вытягивал зоны не из файлов, а посредством dig)
>> Покоцал дубликаты вручную.
>>
>> Результирующий zones.ldif мой slapadd скушал аж с причмокиванием.
> Результат работы zone2ldap кушается ldapadd без единого возражения! Вы
> уверены в своих действиях?

Хм. Я посредством slapadd скармливал. Видимо, зря.

_________________________________
С уважением,
Вадим Илларионов
системный администратор
ООО "Новые Системы Телеком"
UIN: 7899517
JID: master at usib dot irkps dot ru
Телефоны:
- рабочий    +7 495 6414045+5885
- мобильный  +7 916 3889337



^ permalink raw reply	[flat|nested] 6+ messages in thread

end of thread, other threads:[~2008-06-30  7:07 UTC | newest]

Thread overview: 6+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2008-06-25 14:05 [Sysadmins] PowerDNS+LDAP Вадим Илларионов
2008-06-25 14:21 ` Slava Dubrovskiy
2008-06-25 14:27   ` Вадим Илларионов
2008-06-25 23:24     ` Michael Shigorin
2008-06-28 16:33 ` Eugene Ostapets
2008-06-30  7:07   ` Вадим Илларионов

ALT Linux sysadmins discussion

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
		sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
	public-inbox-index sysadmins

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.sysadmins


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git