From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <dima@sakhalin.ru>
Message-ID: <472BDA28.2000107@sakhalin.ru>
Date: Sat, 03 Nov 2007 12:17:12 +1000
From: Dmitry Lebkov <dima@sakhalin.ru>
User-Agent: Thunderbird 2.0.0.6 (X11/20070804)
MIME-Version: 1.0
To: shigorin@gmail.com, 
	ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
References: <200710180924.47768.ksynolog@ukr.net>	<200710242020.20390.glebus@asd.iao.ru>	<20071028141039.GA11091@basalt.office.altlinux.org>	<200710290020.18535.glebus@asd.iao.ru>	<20071028200705.GD16304@basalt.office.altlinux.org>	<20071029145725.GQ24532@osdn.org.ua>
	<472678F6.8080707@sakhalin.ru> <20071031192223.GI24532@osdn.org.ua>
In-Reply-To: <20071031192223.GI24532@osdn.org.ua>
Content-Type: text/plain; charset=KOI8-R; format=flowed
Content-Transfer-Encoding: 8bit
X-Virus-Scanned: amavisd-new at sakhalin.ru
Subject: Re: [Sysadmins] =?koi8-r?b?7cHMxc7Yy8nKIGRucw==?=
X-BeenThere: sysadmins@lists.altlinux.org
X-Mailman-Version: 2.1.9
Precedence: list
Reply-To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
List-Id: ALT Linux sysadmin discuss <sysadmins.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sysadmins>
List-Post: <mailto:sysadmins@lists.altlinux.org>
List-Help: <mailto:sysadmins-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Sat, 03 Nov 2007 02:17:24 -0000
Archived-At: <http://lore.altlinux.org/sysadmins/472BDA28.2000107@sakhalin.ru/>
List-Archive: <http://lore.altlinux.org/sysadmins/>

Michael Shigorin пишет:
> On Tue, Oct 30, 2007 at 10:21:10AM +1000, Dmitry Lebkov wrote:
>>> С bind9 и dhcpd3 всё далеко не радужно выходит
>> Миш, позволь с тобой не согласиться. ;) Все вполне себе
>> радужно.  Триплеты в живут одном месте - в конфиге
>> dhcp-сервера. Прямые/обратные зоны обновляает опять же dhcp.
>> Всё работает в таком виде уже достаточно давно. %)
> 
> Ну опиши, а то у меня в последний раз от ddns осталось очень
> неприятное послевкусие.  Возможно, вызванное dhcpd, пропатченным
> ходить в openldap, что приводило к феерическим эффектам...
> (добрый eostapets@ в своё время прикручивал, а мне потом довелось
> откручивать взад)

А чего тут описывать? %) Ниже выжимка из работающего конфига:

--- dhcpd.conf ---

ddns-update-style interim;
deny client-updates;
update-static-leases true;
authoritative;

shared-network VLAN0002 {
   deny bootp;
   deny duplicates;
   subnet 192.168.2.0 netmask 255.255.255.0 {
     option domain-name "lan";
     option domain-name-servers 192.168.254.254, 192.168.253.254;
     option routers 192.168.2.254;
     option broadcast-address 192.168.2.255;
     default-lease-time 36000;
     max-lease-time 72000;

     # dynamic updates
     ddns-updates on;
     ddns-domainname "dpt.lan";
     ddns-rev-domainname "in-addr.arpa";
     deny client-updates;

     key ns1.lan { algorithm hmac-md5; secret "<GENERATED-SECRET-KEY>"; };
     zone dpt.lan. { primary 192.168.254.254; key ns1.lan; }
     zone 2.168.192.in-addr.arpa. { primary 192.168.254.254; key ns1.lan; }

     host dpt-002-001 {
      fixed-address 192.168.2.1;
      hardware ethernet 00:60:B0:70:2D:8A;
      ddns-hostname "dpt-host1";
     }

     pool {
       range 192.168.2.100 192.168.2.200;
       allow unknown clients;
       allow known clients;
     }
   }
}
--- dhcpd.conf ---

В конфиге bind9 описаны зоны:

zone "dpt.lan" {
         type master;
         file "dpt.lan";
         allow-query { LAN; };
         allow-transfer { SLAVES_INT; };
         allow-update { key ns1.lan; };
};
zone "2.168.192.in-addr.arpa" {
         type master;
         file "192.168/002";
         allow-query { LAN; };
         allow-transfer { SLAVES_INT; };
         allow-update { key ns1.lan; };
};

ну и присутствует тот же key ns1.lan.

И всё. Для хостов, прописанных в dhcpd.conf, в зоны dpt.lan и
2.168.192.in-addr.arpa dhcpd посылает bind'у апдэйты, содержащие
ddns-hostname. Для win-хостов, получивших адреса из пула, в зоны
заносятся имена, которые сообщает клиент.

>>> а если в качестве попытки решения добавить в эту кашу
>>> OpenLDAP, то можно смело отправляться подыскивать себе верёвку
>>> и мыло. Ну зачем так кардинально-то? ;) Достаточно прикрутить OpenLDAP
>> только к DHCP. :)
> 
> Во-во-во-во-во, и можно отправляться ;)  По крайней мере во
> времена, когда hdb не было, с bdb мы взрывались, а на ldbm --
> не бэкапились толком.

Да ладно тебе... ;) Тогда задача бэкапа ldbm вполне штатно решалась
через использование репликации.

> Буду очень рад узнать, что это всё уже прошло именно по причине
> улучшившейся стабильности openldap.

hdb вполне стабильно себя ведет. По крайней мере, у меня с моим
"зоопарком", пользующим OpenLDAP, никаких проблем не возникало уже
ооочень давно. %)

>> Я даже такое обкатывал на одном нашем подразделении. Вполне
>> прилично работало. Не пошло "в бой" только из-за отсутствия
>> нормального "руля" для данных DHCP в LDAP (некому написать
>> веб-морду %).
> 
> Чем-то универсальным рулили, а вообще sauron.jyu.fi всё думал
> посмотреть.

Универсальным (gq) было очень неудобно. Но к схеме с конфигами
DHCP в LDAP я всерано когда-нить вернусь... %)

-- 
WBR, Dmitry Lebkov