ALT Linux sysadmins discussion
 help / color / mirror / Atom feed
* [Sysadmins] dhcpd и chroot
@ 2019-04-03 13:22 Alex Moskalenko
  2019-04-03 18:20 ` Evgeny Sinelnikov
  0 siblings, 1 reply; 5+ messages in thread
From: Alex Moskalenko @ 2019-04-03 13:22 UTC (permalink / raw)
  To: Sysadmins

Здравствуйте!

Подскажите пожалуйста, нельзя ли наш dhcpd "вынуть" из чрута по аналогии 
с текущим bind (что-то типа control dhcpd-chroot disabled)? Есть у нас 
такая возможность?

Захотелось попробовать реализовать обновление DNS на контроллере AD по 
мотивам 
https://wiki.samba.org/index.php/Configure_DHCP_to_update_DNS_records_with_BIND9, 
но, получается или dhcpd из чрута нужно вынимать, или ему в chroot 
копировать библиотеки от используемых в скрипте программ (скрипт конечно 
можно упростить, но от sh/kinit/klist/nsupdate/awk не деться никуда).

Может есть какая не очень заметная "ручка" для dhcpd?


-- 
WBR, Alex Moskalenko


^ permalink raw reply	[flat|nested] 5+ messages in thread

* Re: [Sysadmins] dhcpd и chroot
  2019-04-03 13:22 [Sysadmins] dhcpd и chroot Alex Moskalenko
@ 2019-04-03 18:20 ` Evgeny Sinelnikov
  2019-04-03 18:37   ` Evgeny Sinelnikov
  2019-04-04 14:06   ` Alex Moskalenko
  0 siblings, 2 replies; 5+ messages in thread
From: Evgeny Sinelnikov @ 2019-04-03 18:20 UTC (permalink / raw)
  To: ALT Linux sysadmins' discussion
  Cc: Ivan A. Melnikov,
	Сергей
	Бубнов

Здравствуйте.

ср, 3 апр. 2019 г. в 17:22, Alex Moskalenko <mav@elserv.msk.su>:
>
> Здравствуйте!
>
> Подскажите пожалуйста, нельзя ли наш dhcpd "вынуть" из чрута по аналогии
> с текущим bind (что-то типа control dhcpd-chroot disabled)? Есть у нас
> такая возможность?
>
> Захотелось попробовать реализовать обновление DNS на контроллере AD по
> мотивам
> https://wiki.samba.org/index.php/Configure_DHCP_to_update_DNS_records_with_BIND9,
> но, получается или dhcpd из чрута нужно вынимать, или ему в chroot
> копировать библиотеки от используемых в скрипте программ (скрипт конечно
> можно упростить, но от sh/kinit/klist/nsupdate/awk не деться никуда).
>
> Может есть какая не очень заметная "ручка" для dhcpd?

Я такой ручки не помнил, но глянул в исходники, обнаружил опцию -j
Видимо, это ручка выглядит так:
DHCPDARGS="-j /"
в /etc/sysconfig/dhcpd

Вообще, думаю, эту утилиту, которая дёргает nsupdate, нужно переписать
на си, чтобы обновлять записи хоть из системы, хоть из chroot'а.

-- 
Sin (Sinelnikov Evgeny)

^ permalink raw reply	[flat|nested] 5+ messages in thread

* Re: [Sysadmins] dhcpd и chroot
  2019-04-03 18:20 ` Evgeny Sinelnikov
@ 2019-04-03 18:37   ` Evgeny Sinelnikov
  2019-04-04  6:45     ` Alex Moskalenko
  2019-04-04 14:06   ` Alex Moskalenko
  1 sibling, 1 reply; 5+ messages in thread
From: Evgeny Sinelnikov @ 2019-04-03 18:37 UTC (permalink / raw)
  To: ALT Linux sysadmins' discussion
  Cc: Ivan A. Melnikov,
	Сергей
	Бубнов

ср, 3 апр. 2019 г. в 22:20, Evgeny Sinelnikov <sin@altlinux.org>:
>
> Здравствуйте.
>
> ср, 3 апр. 2019 г. в 17:22, Alex Moskalenko <mav@elserv.msk.su>:
> >
> > Здравствуйте!
> >
> > Подскажите пожалуйста, нельзя ли наш dhcpd "вынуть" из чрута по аналогии
> > с текущим bind (что-то типа control dhcpd-chroot disabled)? Есть у нас
> > такая возможность?
> >
> > Захотелось попробовать реализовать обновление DNS на контроллере AD по
> > мотивам
> > https://wiki.samba.org/index.php/Configure_DHCP_to_update_DNS_records_with_BIND9,
> > но, получается или dhcpd из чрута нужно вынимать, или ему в chroot
> > копировать библиотеки от используемых в скрипте программ (скрипт конечно
> > можно упростить, но от sh/kinit/klist/nsupdate/awk не деться никуда).
> >
> > Может есть какая не очень заметная "ручка" для dhcpd?
>
> Я такой ручки не помнил, но глянул в исходники, обнаружил опцию -j
> Видимо, это ручка выглядит так:
> DHCPDARGS="-j /"
> в /etc/sysconfig/dhcpd
>
> Вообще, думаю, эту утилиту, которая дёргает nsupdate, нужно переписать
> на си, чтобы обновлять записи хоть из системы, хоть из chroot'а.

Вообще, я тут подумал и припомнил вот такой инструмент:
[sin@xpi dhcp]$ net ads dns
Invalid command: net ads dns
Usage:
net ads dns register        Add host dns entry to AD
net ads dns unregister      Remove host dns entry from AD
net ads dns gethostbyname   Look up host

Обновлять DNS-записи в домене - это не задача dhcp-сервера. Это задача
самого клиента. Клиент обращается со своими учётными данными (точнее
компьютер обращается со своими учётными данными в /etc/krb5.keytab) и
сам обновляет свои DNS-записи. Так оно задумано и все инструменты для
это имеются. Их можно хуками на dhcp-клиенте прописать.


-- 
Sin (Sinelnikov Evgeny)

^ permalink raw reply	[flat|nested] 5+ messages in thread

* Re: [Sysadmins] dhcpd и chroot
  2019-04-03 18:37   ` Evgeny Sinelnikov
@ 2019-04-04  6:45     ` Alex Moskalenko
  0 siblings, 0 replies; 5+ messages in thread
From: Alex Moskalenko @ 2019-04-04  6:45 UTC (permalink / raw)
  To: sysadmins

Evgeny Sinelnikov писал 03.04.2019 21:37:
> ср, 3 апр. 2019 г. в 22:20, Evgeny Sinelnikov <sin@altlinux.org>:
> Вообще, я тут подумал и припомнил вот такой инструмент:
> [sin@xpi dhcp]$ net ads dns
> Invalid command: net ads dns
> Usage:
> net ads dns register        Add host dns entry to AD
> net ads dns unregister      Remove host dns entry from AD
> net ads dns gethostbyname   Look up host
> 
> Обновлять DNS-записи в домене - это не задача dhcp-сервера. Это задача
> самого клиента. Клиент обращается со своими учётными данными (точнее
> компьютер обращается со своими учётными данными в /etc/krb5.keytab) и
> сам обновляет свои DNS-записи. Так оно задумано и все инструменты для
> это имеются. Их можно хуками на dhcp-клиенте прописать.

Это все очень правильно, но, к сожалению, реализуемо только для клиентов 
Windows (встроено в DNS-клиент) и UNIX (как Вы написали). В моей сети, 
помимо компьютеров, есть МФУ, к которым тоже хочется обращаться по 
имени. Они не являются членами AD и не умеют сами обновлять DNS.

Вообще, структура у меня следующая. Сегмент /24, в нем классический NT4 
домен. Серверы - linux, клиенты - Windows и Linux, присутствуют 
принт-серверы и МФУ. Сегмент обслуживается DHCP и DNS-серверами, записи 
DNS обновляет сервер DHCP. Регистрация DNS-имен на клиентах отключена.
Задача - перевести домен NT4 на AD с помощью classicupgrade.

Рассматривал 3 варианта.
1. Перенос AD в поддомен основного домена. Прямая DNS-зона для AD будет 
обслуживаться самбой+BIND_DLZ, клиенты будут динамически в ней 
регистрироваться штатными средствами. Для обслуживания обратной зоны 
придется, и отдачи разных доменных имен по DHCP придется городить 
костыли для dhcpd - машины Windows и Linux в домен AD, остальное в 
родительский домен. Показалось слишком сложным и непонятным, к тому же 
возможны проблемы с классификацией клиентов DHCP.
2. Classicupgrade в существующей доменной зоне со штатными средствами 
для обновления DNS. Требует ручной регистрации в DNS всех МФУ. В 
дальнейшем потребуется отслеживание актуальности сопоставления имен МФУ 
адресам, либо фиксация адресов для МФУ в конфигурации dhcpd, либо ручная 
настройка параметров IP в МФУ. Не понравилась по причине присутствия 
ручной работы.
3. Classicupgrade в существующей доменной зоне с автоматическим 
обновлением DNS с сервера DHCP. Требует донастройки dhcpd, но работает 
гораздо более логично, чем вариант (1) и не имеет возможных проблем с 
классификацией клиентов по варианту (1).

В результате остановился на варианте (3). Возможно, есть более логичные 
решения, и очень хотелось бы с ними ознакомиться. Пока все происходит в 
песочнице, и эксперименты приветствуются. :)


^ permalink raw reply	[flat|nested] 5+ messages in thread

* Re: [Sysadmins] dhcpd и chroot
  2019-04-03 18:20 ` Evgeny Sinelnikov
  2019-04-03 18:37   ` Evgeny Sinelnikov
@ 2019-04-04 14:06   ` Alex Moskalenko
  1 sibling, 0 replies; 5+ messages in thread
From: Alex Moskalenko @ 2019-04-04 14:06 UTC (permalink / raw)
  To: sysadmins

Evgeny Sinelnikov писал 03.04.2019 21:20:
> Я такой ручки не помнил, но глянул в исходники, обнаружил опцию -j
> Видимо, это ручка выглядит так:
> DHCPDARGS="-j /"
> в /etc/sysconfig/dhcpd
Спасибо, "ручка" сработала с дополнением в виде "-lf 
/var/lib/dhcp/dhcpd/state/dhcpd.leases".

Итоговый вид /etc/sysconfig/dhcpd:
DHCPDARGS="-j / -lf /var/lib/dhcp/dhcpd/state/dhcpd.leases"

В будущем вполне можно сделать control по аналогии с bind-chroot - 
действия требуются практически такие же.

Еще раз спасибо!

PS Правда, реализовать обновление DNS пока не получилось - см. 
https://lists.altlinux.org/pipermail/samba/2019-April/004329.html Но это 
уже не к dhcpd.


^ permalink raw reply	[flat|nested] 5+ messages in thread

end of thread, other threads:[~2019-04-04 14:06 UTC | newest]

Thread overview: 5+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2019-04-03 13:22 [Sysadmins] dhcpd и chroot Alex Moskalenko
2019-04-03 18:20 ` Evgeny Sinelnikov
2019-04-03 18:37   ` Evgeny Sinelnikov
2019-04-04  6:45     ` Alex Moskalenko
2019-04-04 14:06   ` Alex Moskalenko

ALT Linux sysadmins discussion

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
		sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
	public-inbox-index sysadmins

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.sysadmins


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git