From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on sa.local.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-2.0 required=5.0 tests=BAYES_00,DKIM_SIGNED, DKIM_VALID,DKIM_VALID_AU autolearn=ham autolearn_force=no version=3.4.1 DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=elserv.msk.su; s=elserv; t=1570073425; bh=JGu9e8zUlqMXjcM1+UvThlLuR0u1LYJoNXkWvMa4vtA=; h=From:Subject:To:References:Date:In-Reply-To:From; b=UhSwThiec3hgidM82VgmxUWbve2wtW7fy8HQssh0yY37ruVNTHyNlmi2aAmz/qAXe WtAjQMqex4ziRKbwMH8bYSSa/H45RVhGk0vyBDN1VCoeF3qTDZuE0i703NEzkk6tnt XrD9K2ZGGHMmW1/Dhd61pHsVO4qnDF13Mn8NZF4k= From: Alex Moskalenko To: sysadmins@lists.altlinux.org References: <708f0fc6-f9c5-3372-980a-2a6e3393e1d8@elserv.msk.su> <9cf2f452cd376be9ad2ec2dc571168ef@elserv.ru> <460e2554884d4ac880aa79bab26f9174@shpl.ru> Message-ID: <99e30764-1ff7-6293-d6a2-02bf8b2ccbd6@elserv.msk.su> Date: Thu, 3 Oct 2019 06:30:24 +0300 MIME-Version: 1.0 In-Reply-To: <460e2554884d4ac880aa79bab26f9174@shpl.ru> Content-Type: text/plain; charset=koi8-r; format=flowed Content-Transfer-Encoding: 8bit Content-Language: en-US Subject: Re: [Sysadmins] =?utf-8?b?0J7QsdC90L7QstC70LXQvdC40LUgc2FtYmEtREMg?= =?utf-8?b?NC43LjEyIC0+NC45LjEz?= X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux sysadmins' discussion List-Id: ALT Linux sysadmins' discussion List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Thu, 03 Oct 2019 03:30:28 -0000 Archived-At: List-Archive: 02.10.2019 23:55, solic@shpl.ru пишет: > Судя по посту в рассылке, у Вас bind запускается от пользователя named > А Альте нужно запускать от root и вынуть из chroot. > Из chroot bind вынут. В chroot'е оно вообще работать не должно никак. А вот про запуск от root прошу объяснить подробнее - чего не хватает пользователю bind при соответствующих правах на файлы/каталоги. Более того, в https://lists.altlinux.org/pipermail/samba/2019-April/004331.html я писал, что напускал на bind strace, и в итоге каких-либо ошибок доступа к чему-либо не обнаружил. > > Alex Moskalenko писал 2019-10-02 18:19: >> Evgeny Sinelnikov писал 02.10.2019 17:18: >>> 3) "Коллеги, использующие ALT p8 или p9 с samba в качестве AD DC с >>> DNS-бэкэндом BIND9_DLZ, подскажите, работает ли у вас обновление записей >>> DNS клиентами Windows и samba_dnsupdate?" >>> >>> Давайте определимся с критерием проверки. >>> - Что проверяем? Win7 в домене? или samba-клиент? >>> - Какие ошибки возникают при попытке обновления записей DNS? >>> >>> Нужны конкретные команды, и вывод и более подробный лог ошибок. Можно >>> лично. Когда протестирую, перешлю уже проанализированные подробности. >>> Но лучше сразу сюда, просто объём может быть большим, поэтому обычно >>> поэтому обходятся минимальными подробностями. >> >> Мои проблемы описаны еще в апреле в списке рассылки samba - >> https://lists.altlinux.org/pipermail/samba/2019-April/004329.html >> И даже баг в багзилле заведен - >> https://bugzilla.altlinux.org/show_bug.cgi?id=36563 >> >> Проверяем безопасные обновления DNS, как с клиентов (Win10, >> Win2019Server), так и с самого DC с помощью samba_dnsupdate. >> С клиентов - ipconfig /registerdns, с самого DC - samba_dnsupdate. >> Тестировал домен с 3мя DC - ALT, Ubuntu server 18.04 и Debian Buster >> 10. На текущий момент samba везде одинаковая - 4.10.8 (в ALT P9 - >> штатная, в Ubuntu - из ppa School linux, в Debian - из репозитория >> van-belle.nl. >> >> Везде, кроме ALT, зоны успешно обновляются как клиентами, так и >> samba_dnsupdate. На ALT же имеем в логах записи вида: >> 2019-04-04T11:21:17.993406+03:00 dc0 named[14068]: client >> @0x7f01141236c0 192.168.0.11#35595/key DC0\$\@AD.LOCAL: update failed: >> not authoritative for update zone (NOTAUTH) >> 2019-04-04T11:21:18.017841+03:00 dc0 named[14068]: client >> @0x7f0104031eb0 192.168.0.11#48267/key DC0\$\@AD.LOCAL: update failed: >> not authoritative for update zone (NOTAUTH) >> >> На Ubuntu и на Debian в том же AD все работает штатно: >> Oct  2 17:12:42 dc1 named[15268]: samba_dlz: starting transaction on >> zone ad.local >> Oct  2 17:12:42 dc1 named[15268]: samba_dlz: allowing update of >> signer=PC-001\$\@AD.LOCAL name=pc-001.ad.local tcpaddr=192.168.0.36 >> type=AAAA >> key=1360-ms-7.627-584955d5.1b29d6f6-d7a6-11e9-2986-18602489c1fa/160/0 >> Oct  2 17:12:42 dc1 named[15268]: samba_dlz: allowing update of >> signer=PC-001\$\@AD.LOCAL name=pc-001.ad.local tcpaddr=192.168.0.36 >> type=A >> key=1360-ms-7.627-584955d5.1b29d6f6-d7a6-11e9-2986-18602489c1fa/160/0 >> Oct  2 17:12:42 dc1 named[15268]: samba_dlz: allowing update of >> signer=PC-001\$\@AD.LOCAL name=pc-001.ad.local tcpaddr=192.168.0.36 >> type=A >> key=1360-ms-7.627-584955d5.1b29d6f6-d7a6-11e9-2986-18602489c1fa/160/0 >> Oct  2 17:12:42 dc1 named[15268]: client @0x7fd0a80d5ab0 >> 192.168.0.36#64406/key PC-001\$\@AD.LOCAL: updating zone >> 'ad.local/NONE': deleting rrset at 'pc-001.ad.local' AAAA >> Oct  2 17:12:42 dc1 named[15268]: client @0x7fd0a80d5ab0 >> 192.168.0.36#64406/key PC-001\$\@AD.LOCAL: updating zone >> 'ad.local/NONE': deleting rrset at 'pc-001.ad.local' A >> Oct  2 17:12:42 dc1 named[15268]: samba_dlz: subtracted rdataset >> pc-001.ad.local 'pc-001.ad.local.#0111200#011IN#011A#011192.168.0.36' >> Oct  2 17:12:42 dc1 named[15268]: client @0x7fd0a80d5ab0 >> 192.168.0.36#64406/key PC-001\$\@AD.LOCAL: updating zone >> 'ad.local/NONE': adding an RR at 'pc-001.ad.local' A 192.168.0.36 >> Oct  2 17:12:42 dc1 named[15268]: samba_dlz: added rdataset >> pc-001.ad.local 'pc-001.ad.local.#0111200#011IN#011A#011192.168.0.36' >> Oct  2 17:12:42 dc1 named[15268]: samba_dlz: committed transaction on >> zone ad.local >> >> При этом на ALT при переключении на SAMBA_INTERNAL обновление зон DNS >> с клиентов также не работает. Хотя в логах на сервере при этом пусто >> (на loglevel по умолчанию), а на клиентах - предупреждения о >> невозможности обновить записи A и AAAA. >> >> Готов предоставить дополнительную информацию или даже тестовый стенд, >> хотя ничего особенного в конфигурации у меня нет. Та же ситуация >> получается при чистой установке с samba-tool domain provision. >> >> Дальнейшее наверное имеет смысл обсуждать в рамках бага в багзилле, >> чтоб не захламлять рассылку логами и т.п., а сюда уже написать резюме. >> _______________________________________________ >> Sysadmins mailing list >> Sysadmins@lists.altlinux.org >> https://lists.altlinux.org/mailman/listinfo/sysadmins > _______________________________________________ > Sysadmins mailing list > Sysadmins@lists.altlinux.org > https://lists.altlinux.org/mailman/listinfo/sysadmins