[Sysadmins] Обновление samba-DC 4.7.12 ->4.9.13

[Sysadmins] Обновление samba-DC 4.7.12 ->4.9.13

[solic]

Коллеги, что можно сделать в такой ситуации:
Обновил контроллеры домена samba-DC до актуальной через
apt-get update && apt-get dist-upgrade.

Обнаружилось, что зоны не обновляются

Появляется вот такое сообщение например от samba_upgradedns
=========
db: unable to dlopen /usr/lib64/ldb/modules/ldb/ldbsamba_extensions.so
: /usr/lib64/samba-dc/libgensec-samba4.so: version `SAMBA_4.7.12' not
found (required by /usr/lib64/ldb/modules/ldb/ldbsamba_extensions.so)
===========
Наверное где-то библиотеки или пути старые остались.
Но как лекчить?
Причём только на компьютере 64 битном. На 32 бином такой ошибки нет.

С уважением
Сергей Соломонов

Re: [Sysadmins] Обновление samba-DC 4.7.12 ->4.9.13

[Alex Moskalenko]

01.10.2019 22:12, solic@shpl.ru пишет:
> Коллеги, что можно сделать в такой ситуации:
> Обновил контроллеры домена samba-DC до актуальной через
> apt-get update && apt-get dist-upgrade.
>
> Обнаружилось, что зоны не обновляются
>
> Появляется вот такое сообщение например от samba_upgradedns
> =========
> db: unable to dlopen /usr/lib64/ldb/modules/ldb/ldbsamba_extensions.so
> : /usr/lib64/samba-dc/libgensec-samba4.so: version `SAMBA_4.7.12' not
> found (required by /usr/lib64/ldb/modules/ldb/ldbsamba_extensions.so)
> ===========

Здравствуйте.

Для начала остановите самбу и выполните ldconfig от рута. Затем можно 
перезагрузить машину для пущей уверенности, что все штатно запустится 
само. Ситуация очень напоминает апгрейд p8->p9, после которого samba 
тоже не стартует с похожими симптомами.

Если не помогло - запустите rpm -Va и просмотрите вывод - не побилось ли 
чего.

PS Коллеги, использующие ALT p8 или p9 с samba в качестве AD DC с 
DNS-бэкэндом BIND9_DLZ, подскажите, работает ли у вас обновление записей 
DNS клиентами Windows и samba_dnsupdate? У меня не работает ни то, ни 
другое, при этом в том же AD с теми же настройками и версией samba на 
Ubuntu все работает прекрасно. Хотел бы везде использовать ALT, но 
динамическое обновление DNS победить не могу.

Re: [Sysadmins] Обновление samba-DC 4.7.12 ->4.9.13

[solic]

Спасибо за совет.
Выполнил
Сообщения остались
ldb: unable to dlopen /usr/lib64/ldb/modules/ldb/ldbsamba_extensions.so 
: /usr/lib64/samba-dc/libgensec-samba4.so: version `SAMBA_4.7.12' not 
found (required by /usr/lib64/ldb/modules/ldb/ldbsamba_extensions.so)
schema_fsmo_init: we are master[yes] updates allowed[no]
но последующие обновления из
samba_upgrdedns
вроде как прошли.После перезапуска машины.
Завтра клиенты набегут, понаблюдаем.

По второму вопросу.
У нас Аль p8.2 и BIND9_DLZ.
Обновления прямой и обратной зоны заработали после длительных плясок с 
бубном.
О цвете и размере бубна сейчас не скажу - не я один был.
Одной из критических вешей было синхронизация времени между станциями и 
контроллером DC

Alex Moskalenko писал 2019-10-01 22:51:
> 01.10.2019 22:12, solic@shpl.ru пишет:
>> Коллеги, что можно сделать в такой ситуации:
>> Обновил контроллеры домена samba-DC до актуальной через
>> apt-get update && apt-get dist-upgrade.
>> 
>> Обнаружилось, что зоны не обновляются
>> 
>> Появляется вот такое сообщение например от samba_upgradedns
>> =========
>> db: unable to dlopen /usr/lib64/ldb/modules/ldb/ldbsamba_extensions.so
>> : /usr/lib64/samba-dc/libgensec-samba4.so: version `SAMBA_4.7.12' not
>> found (required by /usr/lib64/ldb/modules/ldb/ldbsamba_extensions.so)
>> ===========
> 
> Здравствуйте.
> 
> Для начала остановите самбу и выполните ldconfig от рута. Затем можно
> перезагрузить машину для пущей уверенности, что все штатно запустится
> само. Ситуация очень напоминает апгрейд p8->p9, после которого samba
> тоже не стартует с похожими симптомами.
> 
> Если не помогло - запустите rpm -Va и просмотрите вывод - не побилось 
> ли чего.
> 
> PS Коллеги, использующие ALT p8 или p9 с samba в качестве AD DC с
> DNS-бэкэндом BIND9_DLZ, подскажите, работает ли у вас обновление
> записей DNS клиентами Windows и samba_dnsupdate? У меня не работает ни
> то, ни другое, при этом в том же AD с теми же настройками и версией
> samba на Ubuntu все работает прекрасно. Хотел бы везде использовать
> ALT, но динамическое обновление DNS победить не могу.
> 

> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] Обновление samba-DC 4.7.12 ->4.9.13

[Evgeny Sinelnikov]

Здравствуйте,

давайте разбираться. У меня есть аналогичная конфигурация, могу
проверить. Я вижу совершенно разные проблемы:
1) Проблема: "Обновление прямой и обратной зоны на клиенте для сервера
с BIND9_DLZ."
Потенциальная причина: "рассогласование времени"

2) Проблема: "Не отрабатывает samba_upgrdedns"
Потенциальная причина: "необходимо перезагрузка сервиса"
Комментарии:
- ошибка вида "ldb: unable to dlopen
/usr/lib64/ldb/modules/ldb/ldbsamba_extensions.so
: /usr/lib64/samba-dc/libgensec-samba4.so: version `SAMBA_4.7.12' not
found (required by /usr/lib64/ldb/modules/ldb/ldbsamba_extensions.so)"
означает попытку загрузки модуля версии `SAMBA_4.7.12' запущенным
прилолжением, в то время как приложение обновлено.
- непонятно, зачем выполнять samba_upgrdedns после обновления samba.
Это, вроде как требуется, при смене бекенда после развёртывния, а не
при обновлении. Разве нет?

3) "Коллеги, использующие ALT p8 или p9 с samba в качестве AD DC с
DNS-бэкэндом BIND9_DLZ, подскажите, работает ли у вас обновление записей
DNS клиентами Windows и samba_dnsupdate?"

Давайте определимся с критерием проверки.
- Что проверяем? Win7 в домене? или samba-клиент?
- Какие ошибки возникают при попытке обновления записей DNS?

Нужны конкретные команды, и вывод и более подробный лог ошибок. Можно
лично. Когда протестирую, перешлю уже проанализированные подробности.
Но лучше сразу сюда, просто объём может быть большим, поэтому обычно
поэтому обходятся минимальными подробностями.




ср, 2 окт. 2019 г. в 01:04, <solic@shpl.ru>:
>
> Спасибо за совет.
> Выполнил
> Сообщения остались
> ldb: unable to dlopen /usr/lib64/ldb/modules/ldb/ldbsamba_extensions.so
> : /usr/lib64/samba-dc/libgensec-samba4.so: version `SAMBA_4.7.12' not
> found (required by /usr/lib64/ldb/modules/ldb/ldbsamba_extensions.so)
> schema_fsmo_init: we are master[yes] updates allowed[no]
> но последующие обновления из
> samba_upgrdedns
> вроде как прошли.После перезапуска машины.
> Завтра клиенты набегут, понаблюдаем.
>
> По второму вопросу.
> У нас Аль p8.2 и BIND9_DLZ.
> Обновления прямой и обратной зоны заработали после длительных плясок с
> бубном.
> О цвете и размере бубна сейчас не скажу - не я один был.
> Одной из критических вешей было синхронизация времени между станциями и
> контроллером DC
>
> Alex Moskalenko писал 2019-10-01 22:51:
> > 01.10.2019 22:12, solic@shpl.ru пишет:
> >> Коллеги, что можно сделать в такой ситуации:
> >> Обновил контроллеры домена samba-DC до актуальной через
> >> apt-get update && apt-get dist-upgrade.
> >>
> >> Обнаружилось, что зоны не обновляются
> >>
> >> Появляется вот такое сообщение например от samba_upgradedns
> >> =========
> >> db: unable to dlopen /usr/lib64/ldb/modules/ldb/ldbsamba_extensions.so
> >> : /usr/lib64/samba-dc/libgensec-samba4.so: version `SAMBA_4.7.12' not
> >> found (required by /usr/lib64/ldb/modules/ldb/ldbsamba_extensions.so)
> >> ===========
> >
> > Здравствуйте.
> >
> > Для начала остановите самбу и выполните ldconfig от рута. Затем можно
> > перезагрузить машину для пущей уверенности, что все штатно запустится
> > само. Ситуация очень напоминает апгрейд p8->p9, после которого samba
> > тоже не стартует с похожими симптомами.
> >
> > Если не помогло - запустите rpm -Va и просмотрите вывод - не побилось
> > ли чего.
> >
> > PS Коллеги, использующие ALT p8 или p9 с samba в качестве AD DC с
> > DNS-бэкэндом BIND9_DLZ, подскажите, работает ли у вас обновление
> > записей DNS клиентами Windows и samba_dnsupdate? У меня не работает ни
> > то, ни другое, при этом в том же AD с теми же настройками и версией
> > samba на Ubuntu все работает прекрасно. Хотел бы везде использовать
> > ALT, но динамическое обновление DNS победить не могу.
> >
>
> > _______________________________________________
> > Sysadmins mailing list
> > Sysadmins@lists.altlinux.org
> > https://lists.altlinux.org/mailman/listinfo/sysadmins
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins



-- 
Sin (Sinelnikov Evgeny)

Re: [Sysadmins] Обновление samba-DC 4.7.12 ->4.9.13

[Alex Moskalenko]

Evgeny Sinelnikov писал 02.10.2019 17:18:
> 3) "Коллеги, использующие ALT p8 или p9 с samba в качестве AD DC с
> DNS-бэкэндом BIND9_DLZ, подскажите, работает ли у вас обновление 
> записей
> DNS клиентами Windows и samba_dnsupdate?"
> 
> Давайте определимся с критерием проверки.
> - Что проверяем? Win7 в домене? или samba-клиент?
> - Какие ошибки возникают при попытке обновления записей DNS?
> 
> Нужны конкретные команды, и вывод и более подробный лог ошибок. Можно
> лично. Когда протестирую, перешлю уже проанализированные подробности.
> Но лучше сразу сюда, просто объём может быть большим, поэтому обычно
> поэтому обходятся минимальными подробностями.

Мои проблемы описаны еще в апреле в списке рассылки samba - 
https://lists.altlinux.org/pipermail/samba/2019-April/004329.html
И даже баг в багзилле заведен - 
https://bugzilla.altlinux.org/show_bug.cgi?id=36563

Проверяем безопасные обновления DNS, как с клиентов (Win10, 
Win2019Server), так и с самого DC с помощью samba_dnsupdate.
С клиентов - ipconfig /registerdns, с самого DC - samba_dnsupdate. 
Тестировал домен с 3мя DC - ALT, Ubuntu server 18.04 и Debian Buster 10. 
На текущий момент samba везде одинаковая - 4.10.8 (в ALT P9 - штатная, в 
Ubuntu - из ppa School linux, в Debian - из репозитория van-belle.nl.

Везде, кроме ALT, зоны успешно обновляются как клиентами, так и 
samba_dnsupdate. На ALT же имеем в логах записи вида:
2019-04-04T11:21:17.993406+03:00 dc0 named[14068]: client 
@0x7f01141236c0 192.168.0.11#35595/key DC0\$\@AD.LOCAL: update failed: 
not authoritative for update zone (NOTAUTH)
2019-04-04T11:21:18.017841+03:00 dc0 named[14068]: client 
@0x7f0104031eb0 192.168.0.11#48267/key DC0\$\@AD.LOCAL: update failed: 
not authoritative for update zone (NOTAUTH)

На Ubuntu и на Debian в том же AD все работает штатно:
Oct  2 17:12:42 dc1 named[15268]: samba_dlz: starting transaction on 
zone ad.local
Oct  2 17:12:42 dc1 named[15268]: samba_dlz: allowing update of 
signer=PC-001\$\@AD.LOCAL name=pc-001.ad.local tcpaddr=192.168.0.36 
type=AAAA 
key=1360-ms-7.627-584955d5.1b29d6f6-d7a6-11e9-2986-18602489c1fa/160/0
Oct  2 17:12:42 dc1 named[15268]: samba_dlz: allowing update of 
signer=PC-001\$\@AD.LOCAL name=pc-001.ad.local tcpaddr=192.168.0.36 
type=A 
key=1360-ms-7.627-584955d5.1b29d6f6-d7a6-11e9-2986-18602489c1fa/160/0
Oct  2 17:12:42 dc1 named[15268]: samba_dlz: allowing update of 
signer=PC-001\$\@AD.LOCAL name=pc-001.ad.local tcpaddr=192.168.0.36 
type=A 
key=1360-ms-7.627-584955d5.1b29d6f6-d7a6-11e9-2986-18602489c1fa/160/0
Oct  2 17:12:42 dc1 named[15268]: client @0x7fd0a80d5ab0 
192.168.0.36#64406/key PC-001\$\@AD.LOCAL: updating zone 
'ad.local/NONE': deleting rrset at 'pc-001.ad.local' AAAA
Oct  2 17:12:42 dc1 named[15268]: client @0x7fd0a80d5ab0 
192.168.0.36#64406/key PC-001\$\@AD.LOCAL: updating zone 
'ad.local/NONE': deleting rrset at 'pc-001.ad.local' A
Oct  2 17:12:42 dc1 named[15268]: samba_dlz: subtracted rdataset 
pc-001.ad.local 'pc-001.ad.local.#0111200#011IN#011A#011192.168.0.36'
Oct  2 17:12:42 dc1 named[15268]: client @0x7fd0a80d5ab0 
192.168.0.36#64406/key PC-001\$\@AD.LOCAL: updating zone 
'ad.local/NONE': adding an RR at 'pc-001.ad.local' A 192.168.0.36
Oct  2 17:12:42 dc1 named[15268]: samba_dlz: added rdataset 
pc-001.ad.local 'pc-001.ad.local.#0111200#011IN#011A#011192.168.0.36'
Oct  2 17:12:42 dc1 named[15268]: samba_dlz: committed transaction on 
zone ad.local

При этом на ALT при переключении на SAMBA_INTERNAL обновление зон DNS с 
клиентов также не работает. Хотя в логах на сервере при этом пусто (на 
loglevel по умолчанию), а на клиентах - предупреждения о невозможности 
обновить записи A и AAAA.

Готов предоставить дополнительную информацию или даже тестовый стенд, 
хотя ничего особенного в конфигурации у меня нет. Та же ситуация 
получается при чистой установке с samba-tool domain provision.

Дальнейшее наверное имеет смысл обсуждать в рамках бага в багзилле, чтоб 
не захламлять рассылку логами и т.п., а сюда уже написать резюме.

Re: [Sysadmins] Обновление samba-DC 4.7.12 ->4.9.13

[solic]

Вроде как победили.
Полёт полдня нормальный.
Что возможно было:
при обновлении самбы поменялся backend ( с какой радости - непонятно).
Самба пыталась работать с INTERNAL, но такак в smb.conf стоит
server services = -dns
то backend не запускался. А запускался bind, который не мог связаться с 
самбой.
А не мог связаться по причине того, что хранение зон  файл конфигурации 
named.conf и ключ
переехали из
/var/lib/samba/private
в
/var/lib/samba/bind-dns

ИТОГО
1) создали директорию
/var/lib/samba/bind-dns
2) переключили backend
samba_upgradedns --dns-backend=BIND9_DLZ
  внутри этой директории создались файлы
в том числе
  dns.keytab  named.conf  named.conf.update
3) поставили новые пути к named.conf   dns.keytab в конфигурации bind.
и перезапуск bind.

Обновления зон пошли.
Это сделали как на контроллере с 64бит, так и 32 бит системами.

solic@shpl.ru писал 2019-10-01 22:12:
> Коллеги, что можно сделать в такой ситуации:
> Обновил контроллеры домена samba-DC до актуальной через
> apt-get update && apt-get dist-upgrade.
> 
> Обнаружилось, что зоны не обновляются
> 
> Появляется вот такое сообщение например от samba_upgradedns
> =========
> db: unable to dlopen /usr/lib64/ldb/modules/ldb/ldbsamba_extensions.so
> : /usr/lib64/samba-dc/libgensec-samba4.so: version `SAMBA_4.7.12' not
> found (required by /usr/lib64/ldb/modules/ldb/ldbsamba_extensions.so)
> ===========
> Наверное где-то библиотеки или пути старые остались.
> Но как лекчить?
> Причём только на компьютере 64 битном. На 32 бином такой ошибки нет.
> 
> С уважением
> Сергей Соломонов
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] Обновление samba-DC 4.7.12 ->4.9.13

[Evgeny Sinelnikov]

Отлично,

спасибо, за подробный разбор. Как раз, пытался воспроизвести вашу
проблему и никак не мог.

Тем не менее, нужно определиться откуда пришло такое рассогласование в
путях поиска файлов настройки?

чт, 3 окт. 2019 г. в 00:33, <solic@shpl.ru>:

>
> Вроде как победили.
> Полёт полдня нормальный.
> Что возможно было:
> при обновлении самбы поменялся backend ( с какой радости - непонятно).
> Самба пыталась работать с INTERNAL, но такак в smb.conf стоит
> server services = -dns
> то backend не запускался. А запускался bind, который не мог связаться с
> самбой.
> А не мог связаться по причине того, что хранение зон  файл конфигурации
> named.conf и ключ
> переехали из
> /var/lib/samba/private
> в
> /var/lib/samba/bind-dns
>
> ИТОГО
> 1) создали директорию
> /var/lib/samba/bind-dns
> 2) переключили backend
> samba_upgradedns --dns-backend=BIND9_DLZ
>   внутри этой директории создались файлы
> в том числе
>   dns.keytab  named.conf  named.conf.update
> 3) поставили новые пути к named.conf   dns.keytab в конфигурации bind.
> и перезапуск bind.
>
> Обновления зон пошли.
> Это сделали как на контроллере с 64бит, так и 32 бит системами.
>
> solic@shpl.ru писал 2019-10-01 22:12:
> > Коллеги, что можно сделать в такой ситуации:
> > Обновил контроллеры домена samba-DC до актуальной через
> > apt-get update && apt-get dist-upgrade.
> >
> > Обнаружилось, что зоны не обновляются
> >
> > Появляется вот такое сообщение например от samba_upgradedns
> > =========
> > db: unable to dlopen /usr/lib64/ldb/modules/ldb/ldbsamba_extensions.so
> > : /usr/lib64/samba-dc/libgensec-samba4.so: version `SAMBA_4.7.12' not
> > found (required by /usr/lib64/ldb/modules/ldb/ldbsamba_extensions.so)
> > ===========
> > Наверное где-то библиотеки или пути старые остались.
> > Но как лекчить?
> > Причём только на компьютере 64 битном. На 32 бином такой ошибки нет.
> >
> > С уважением
> > Сергей Соломонов
> > _______________________________________________
> > Sysadmins mailing list
> > Sysadmins@lists.altlinux.org
> > https://lists.altlinux.org/mailman/listinfo/sysadmins
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins



--
Sin (Sinelnikov Evgeny)

Re: [Sysadmins] Обновление samba-DC 4.7.12 ->4.9.13

[solic]

Возможно, виновато обновление c пропуском" minor" версии.
Второй вариант -домен поднимался через classicupgrade с samba в режиме 
domain 2000
Может скрипт не создал директорию bind-dns. Потом настроили bind и не 
знали о ней.
Хотя второй сервер поднимали по инструкции с вики Альта. С чистого 
листа.
А вот почему запустился в режиме INTERNAL -непонятно.
Хотя - увидел private/dns И не увидел bind-dns .Логика?


Evgeny Sinelnikov писал 2019-10-02 23:38:
> Отлично,
> 
> спасибо, за подробный разбор. Как раз, пытался воспроизвести вашу
> проблему и никак не мог.
> 
> Тем не менее, нужно определиться откуда пришло такое рассогласование в
> путях поиска файлов настройки?
> 
> чт, 3 окт. 2019 г. в 00:33, <solic@shpl.ru>:
> 
>> 
>> Вроде как победили.
>> Полёт полдня нормальный.
>> Что возможно было:
>> при обновлении самбы поменялся backend ( с какой радости - непонятно).
>> Самба пыталась работать с INTERNAL, но такак в smb.conf стоит
>> server services = -dns
>> то backend не запускался. А запускался bind, который не мог связаться 
>> с
>> самбой.
>> А не мог связаться по причине того, что хранение зон  файл 
>> конфигурации
>> named.conf и ключ
>> переехали из
>> /var/lib/samba/private
>> в
>> /var/lib/samba/bind-dns
>> 
>> ИТОГО
>> 1) создали директорию
>> /var/lib/samba/bind-dns
>> 2) переключили backend
>> samba_upgradedns --dns-backend=BIND9_DLZ
>>   внутри этой директории создались файлы
>> в том числе
>>   dns.keytab  named.conf  named.conf.update
>> 3) поставили новые пути к named.conf   dns.keytab в конфигурации bind.
>> и перезапуск bind.
>> 
>> Обновления зон пошли.
>> Это сделали как на контроллере с 64бит, так и 32 бит системами.
>> 
>> solic@shpl.ru писал 2019-10-01 22:12:
>> > Коллеги, что можно сделать в такой ситуации:
>> > Обновил контроллеры домена samba-DC до актуальной через
>> > apt-get update && apt-get dist-upgrade.
>> >
>> > Обнаружилось, что зоны не обновляются
>> >
>> > Появляется вот такое сообщение например от samba_upgradedns
>> > =========
>> > db: unable to dlopen /usr/lib64/ldb/modules/ldb/ldbsamba_extensions.so
>> > : /usr/lib64/samba-dc/libgensec-samba4.so: version `SAMBA_4.7.12' not
>> > found (required by /usr/lib64/ldb/modules/ldb/ldbsamba_extensions.so)
>> > ===========
>> > Наверное где-то библиотеки или пути старые остались.
>> > Но как лекчить?
>> > Причём только на компьютере 64 битном. На 32 бином такой ошибки нет.
>> >
>> > С уважением
>> > Сергей Соломонов
>> > _______________________________________________
>> > Sysadmins mailing list
>> > Sysadmins@lists.altlinux.org
>> > https://lists.altlinux.org/mailman/listinfo/sysadmins
>> _______________________________________________
>> Sysadmins mailing list
>> Sysadmins@lists.altlinux.org
>> https://lists.altlinux.org/mailman/listinfo/sysadmins
> 
> 
> 
> --
> Sin (Sinelnikov Evgeny)
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] Обновление samba-DC 4.7.12 ->4.9.13

[solic]

Судя по посту в рассылке, у Вас bind запускается от пользователя named
А Альте нужно запускать от root и вынуть из chroot.


Alex Moskalenko писал 2019-10-02 18:19:
> Evgeny Sinelnikov писал 02.10.2019 17:18:
>> 3) "Коллеги, использующие ALT p8 или p9 с samba в качестве AD DC с
>> DNS-бэкэндом BIND9_DLZ, подскажите, работает ли у вас обновление 
>> записей
>> DNS клиентами Windows и samba_dnsupdate?"
>> 
>> Давайте определимся с критерием проверки.
>> - Что проверяем? Win7 в домене? или samba-клиент?
>> - Какие ошибки возникают при попытке обновления записей DNS?
>> 
>> Нужны конкретные команды, и вывод и более подробный лог ошибок. Можно
>> лично. Когда протестирую, перешлю уже проанализированные подробности.
>> Но лучше сразу сюда, просто объём может быть большим, поэтому обычно
>> поэтому обходятся минимальными подробностями.
> 
> Мои проблемы описаны еще в апреле в списке рассылки samba -
> https://lists.altlinux.org/pipermail/samba/2019-April/004329.html
> И даже баг в багзилле заведен -
> https://bugzilla.altlinux.org/show_bug.cgi?id=36563
> 
> Проверяем безопасные обновления DNS, как с клиентов (Win10,
> Win2019Server), так и с самого DC с помощью samba_dnsupdate.
> С клиентов - ipconfig /registerdns, с самого DC - samba_dnsupdate.
> Тестировал домен с 3мя DC - ALT, Ubuntu server 18.04 и Debian Buster
> 10. На текущий момент samba везде одинаковая - 4.10.8 (в ALT P9 -
> штатная, в Ubuntu - из ppa School linux, в Debian - из репозитория
> van-belle.nl.
> 
> Везде, кроме ALT, зоны успешно обновляются как клиентами, так и
> samba_dnsupdate. На ALT же имеем в логах записи вида:
> 2019-04-04T11:21:17.993406+03:00 dc0 named[14068]: client
> @0x7f01141236c0 192.168.0.11#35595/key DC0\$\@AD.LOCAL: update failed:
> not authoritative for update zone (NOTAUTH)
> 2019-04-04T11:21:18.017841+03:00 dc0 named[14068]: client
> @0x7f0104031eb0 192.168.0.11#48267/key DC0\$\@AD.LOCAL: update failed:
> not authoritative for update zone (NOTAUTH)
> 
> На Ubuntu и на Debian в том же AD все работает штатно:
> Oct  2 17:12:42 dc1 named[15268]: samba_dlz: starting transaction on
> zone ad.local
> Oct  2 17:12:42 dc1 named[15268]: samba_dlz: allowing update of
> signer=PC-001\$\@AD.LOCAL name=pc-001.ad.local tcpaddr=192.168.0.36
> type=AAAA
> key=1360-ms-7.627-584955d5.1b29d6f6-d7a6-11e9-2986-18602489c1fa/160/0
> Oct  2 17:12:42 dc1 named[15268]: samba_dlz: allowing update of
> signer=PC-001\$\@AD.LOCAL name=pc-001.ad.local tcpaddr=192.168.0.36
> type=A
> key=1360-ms-7.627-584955d5.1b29d6f6-d7a6-11e9-2986-18602489c1fa/160/0
> Oct  2 17:12:42 dc1 named[15268]: samba_dlz: allowing update of
> signer=PC-001\$\@AD.LOCAL name=pc-001.ad.local tcpaddr=192.168.0.36
> type=A
> key=1360-ms-7.627-584955d5.1b29d6f6-d7a6-11e9-2986-18602489c1fa/160/0
> Oct  2 17:12:42 dc1 named[15268]: client @0x7fd0a80d5ab0
> 192.168.0.36#64406/key PC-001\$\@AD.LOCAL: updating zone
> 'ad.local/NONE': deleting rrset at 'pc-001.ad.local' AAAA
> Oct  2 17:12:42 dc1 named[15268]: client @0x7fd0a80d5ab0
> 192.168.0.36#64406/key PC-001\$\@AD.LOCAL: updating zone
> 'ad.local/NONE': deleting rrset at 'pc-001.ad.local' A
> Oct  2 17:12:42 dc1 named[15268]: samba_dlz: subtracted rdataset
> pc-001.ad.local 'pc-001.ad.local.#0111200#011IN#011A#011192.168.0.36'
> Oct  2 17:12:42 dc1 named[15268]: client @0x7fd0a80d5ab0
> 192.168.0.36#64406/key PC-001\$\@AD.LOCAL: updating zone
> 'ad.local/NONE': adding an RR at 'pc-001.ad.local' A 192.168.0.36
> Oct  2 17:12:42 dc1 named[15268]: samba_dlz: added rdataset
> pc-001.ad.local 'pc-001.ad.local.#0111200#011IN#011A#011192.168.0.36'
> Oct  2 17:12:42 dc1 named[15268]: samba_dlz: committed transaction on
> zone ad.local
> 
> При этом на ALT при переключении на SAMBA_INTERNAL обновление зон DNS
> с клиентов также не работает. Хотя в логах на сервере при этом пусто
> (на loglevel по умолчанию), а на клиентах - предупреждения о
> невозможности обновить записи A и AAAA.
> 
> Готов предоставить дополнительную информацию или даже тестовый стенд,
> хотя ничего особенного в конфигурации у меня нет. Та же ситуация
> получается при чистой установке с samba-tool domain provision.
> 
> Дальнейшее наверное имеет смысл обсуждать в рамках бага в багзилле,
> чтоб не захламлять рассылку логами и т.п., а сюда уже написать резюме.
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] Обновление samba-DC 4.7.12 ->4.9.13

[Evgeny Sinelnikov]

Да, точно... chroot нужно отключить.

чт, 3 окт. 2019 г. в 00:55, <solic@shpl.ru>:
>
> Судя по посту в рассылке, у Вас bind запускается от пользователя named
> А Альте нужно запускать от root и вынуть из chroot.

Настройка лежит здесь:
# grep CHROOT /etc/sysconfig/bind
CHROOT="-t /"

А "ручка" выглядит так:
# control |grep bind
bind-chroot     disabled        (disabled enabled)
bind-debug      disabled        (enabled disabled)
bind-slave      disabled        (enabled disabled)

# control bind-chroot help
disabled: Disable chrootedness of the ISC BIND server
enabled: Enable chrootedness of the ISC BIND server

# control bind-chroot disabled


>
> Alex Moskalenko писал 2019-10-02 18:19:
> > Evgeny Sinelnikov писал 02.10.2019 17:18:
> >> 3) "Коллеги, использующие ALT p8 или p9 с samba в качестве AD DC с
> >> DNS-бэкэндом BIND9_DLZ, подскажите, работает ли у вас обновление
> >> записей
> >> DNS клиентами Windows и samba_dnsupdate?"
> >>
> >> Давайте определимся с критерием проверки.
> >> - Что проверяем? Win7 в домене? или samba-клиент?
> >> - Какие ошибки возникают при попытке обновления записей DNS?
> >>
> >> Нужны конкретные команды, и вывод и более подробный лог ошибок. Можно
> >> лично. Когда протестирую, перешлю уже проанализированные подробности.
> >> Но лучше сразу сюда, просто объём может быть большим, поэтому обычно
> >> поэтому обходятся минимальными подробностями.
> >
> > Мои проблемы описаны еще в апреле в списке рассылки samba -
> > https://lists.altlinux.org/pipermail/samba/2019-April/004329.html
> > И даже баг в багзилле заведен -
> > https://bugzilla.altlinux.org/show_bug.cgi?id=36563
> >
> > Проверяем безопасные обновления DNS, как с клиентов (Win10,
> > Win2019Server), так и с самого DC с помощью samba_dnsupdate.
> > С клиентов - ipconfig /registerdns, с самого DC - samba_dnsupdate.
> > Тестировал домен с 3мя DC - ALT, Ubuntu server 18.04 и Debian Buster
> > 10. На текущий момент samba везде одинаковая - 4.10.8 (в ALT P9 -
> > штатная, в Ubuntu - из ppa School linux, в Debian - из репозитория
> > van-belle.nl.
> >
> > Везде, кроме ALT, зоны успешно обновляются как клиентами, так и
> > samba_dnsupdate. На ALT же имеем в логах записи вида:
> > 2019-04-04T11:21:17.993406+03:00 dc0 named[14068]: client
> > @0x7f01141236c0 192.168.0.11#35595/key DC0\$\@AD.LOCAL: update failed:
> > not authoritative for update zone (NOTAUTH)
> > 2019-04-04T11:21:18.017841+03:00 dc0 named[14068]: client
> > @0x7f0104031eb0 192.168.0.11#48267/key DC0\$\@AD.LOCAL: update failed:
> > not authoritative for update zone (NOTAUTH)
> >
> > На Ubuntu и на Debian в том же AD все работает штатно:
> > Oct  2 17:12:42 dc1 named[15268]: samba_dlz: starting transaction on
> > zone ad.local
> > Oct  2 17:12:42 dc1 named[15268]: samba_dlz: allowing update of
> > signer=PC-001\$\@AD.LOCAL name=pc-001.ad.local tcpaddr=192.168.0.36
> > type=AAAA
> > key=1360-ms-7.627-584955d5.1b29d6f6-d7a6-11e9-2986-18602489c1fa/160/0
> > Oct  2 17:12:42 dc1 named[15268]: samba_dlz: allowing update of
> > signer=PC-001\$\@AD.LOCAL name=pc-001.ad.local tcpaddr=192.168.0.36
> > type=A
> > key=1360-ms-7.627-584955d5.1b29d6f6-d7a6-11e9-2986-18602489c1fa/160/0
> > Oct  2 17:12:42 dc1 named[15268]: samba_dlz: allowing update of
> > signer=PC-001\$\@AD.LOCAL name=pc-001.ad.local tcpaddr=192.168.0.36
> > type=A
> > key=1360-ms-7.627-584955d5.1b29d6f6-d7a6-11e9-2986-18602489c1fa/160/0
> > Oct  2 17:12:42 dc1 named[15268]: client @0x7fd0a80d5ab0
> > 192.168.0.36#64406/key PC-001\$\@AD.LOCAL: updating zone
> > 'ad.local/NONE': deleting rrset at 'pc-001.ad.local' AAAA
> > Oct  2 17:12:42 dc1 named[15268]: client @0x7fd0a80d5ab0
> > 192.168.0.36#64406/key PC-001\$\@AD.LOCAL: updating zone
> > 'ad.local/NONE': deleting rrset at 'pc-001.ad.local' A
> > Oct  2 17:12:42 dc1 named[15268]: samba_dlz: subtracted rdataset
> > pc-001.ad.local 'pc-001.ad.local.#0111200#011IN#011A#011192.168.0.36'
> > Oct  2 17:12:42 dc1 named[15268]: client @0x7fd0a80d5ab0
> > 192.168.0.36#64406/key PC-001\$\@AD.LOCAL: updating zone
> > 'ad.local/NONE': adding an RR at 'pc-001.ad.local' A 192.168.0.36
> > Oct  2 17:12:42 dc1 named[15268]: samba_dlz: added rdataset
> > pc-001.ad.local 'pc-001.ad.local.#0111200#011IN#011A#011192.168.0.36'
> > Oct  2 17:12:42 dc1 named[15268]: samba_dlz: committed transaction on
> > zone ad.local
> >
> > При этом на ALT при переключении на SAMBA_INTERNAL обновление зон DNS
> > с клиентов также не работает. Хотя в логах на сервере при этом пусто
> > (на loglevel по умолчанию), а на клиентах - предупреждения о
> > невозможности обновить записи A и AAAA.
> >
> > Готов предоставить дополнительную информацию или даже тестовый стенд,
> > хотя ничего особенного в конфигурации у меня нет. Та же ситуация
> > получается при чистой установке с samba-tool domain provision.
> >
> > Дальнейшее наверное имеет смысл обсуждать в рамках бага в багзилле,
> > чтоб не захламлять рассылку логами и т.п., а сюда уже написать резюме.
> > _______________________________________________
> > Sysadmins mailing list
> > Sysadmins@lists.altlinux.org
> > https://lists.altlinux.org/mailman/listinfo/sysadmins
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins



-- 
Sin (Sinelnikov Evgeny)

Re: [Sysadmins] Обновление samba-DC 4.7.12 ->4.9.13

[Alex Moskalenko]

02.10.2019 23:55, solic@shpl.ru пишет:
> Судя по посту в рассылке, у Вас bind запускается от пользователя named
> А Альте нужно запускать от root и вынуть из chroot.
>
Из chroot bind вынут. В chroot'е оно вообще работать не должно никак. А 
вот про запуск от root прошу объяснить подробнее - чего не хватает 
пользователю bind при соответствующих правах на файлы/каталоги. Более 
того, в 
https://lists.altlinux.org/pipermail/samba/2019-April/004331.html я 
писал, что напускал на bind strace, и в итоге каких-либо ошибок доступа 
к чему-либо не обнаружил.



>
> Alex Moskalenko писал 2019-10-02 18:19:
>> Evgeny Sinelnikov писал 02.10.2019 17:18:
>>> 3) "Коллеги, использующие ALT p8 или p9 с samba в качестве AD DC с
>>> DNS-бэкэндом BIND9_DLZ, подскажите, работает ли у вас обновление 
>>> записей
>>> DNS клиентами Windows и samba_dnsupdate?"
>>>
>>> Давайте определимся с критерием проверки.
>>> - Что проверяем? Win7 в домене? или samba-клиент?
>>> - Какие ошибки возникают при попытке обновления записей DNS?
>>>
>>> Нужны конкретные команды, и вывод и более подробный лог ошибок. Можно
>>> лично. Когда протестирую, перешлю уже проанализированные подробности.
>>> Но лучше сразу сюда, просто объём может быть большим, поэтому обычно
>>> поэтому обходятся минимальными подробностями.
>>
>> Мои проблемы описаны еще в апреле в списке рассылки samba -
>> https://lists.altlinux.org/pipermail/samba/2019-April/004329.html
>> И даже баг в багзилле заведен -
>> https://bugzilla.altlinux.org/show_bug.cgi?id=36563
>>
>> Проверяем безопасные обновления DNS, как с клиентов (Win10,
>> Win2019Server), так и с самого DC с помощью samba_dnsupdate.
>> С клиентов - ipconfig /registerdns, с самого DC - samba_dnsupdate.
>> Тестировал домен с 3мя DC - ALT, Ubuntu server 18.04 и Debian Buster
>> 10. На текущий момент samba везде одинаковая - 4.10.8 (в ALT P9 -
>> штатная, в Ubuntu - из ppa School linux, в Debian - из репозитория
>> van-belle.nl.
>>
>> Везде, кроме ALT, зоны успешно обновляются как клиентами, так и
>> samba_dnsupdate. На ALT же имеем в логах записи вида:
>> 2019-04-04T11:21:17.993406+03:00 dc0 named[14068]: client
>> @0x7f01141236c0 192.168.0.11#35595/key DC0\$\@AD.LOCAL: update failed:
>> not authoritative for update zone (NOTAUTH)
>> 2019-04-04T11:21:18.017841+03:00 dc0 named[14068]: client
>> @0x7f0104031eb0 192.168.0.11#48267/key DC0\$\@AD.LOCAL: update failed:
>> not authoritative for update zone (NOTAUTH)
>>
>> На Ubuntu и на Debian в том же AD все работает штатно:
>> Oct  2 17:12:42 dc1 named[15268]: samba_dlz: starting transaction on
>> zone ad.local
>> Oct  2 17:12:42 dc1 named[15268]: samba_dlz: allowing update of
>> signer=PC-001\$\@AD.LOCAL name=pc-001.ad.local tcpaddr=192.168.0.36
>> type=AAAA
>> key=1360-ms-7.627-584955d5.1b29d6f6-d7a6-11e9-2986-18602489c1fa/160/0
>> Oct  2 17:12:42 dc1 named[15268]: samba_dlz: allowing update of
>> signer=PC-001\$\@AD.LOCAL name=pc-001.ad.local tcpaddr=192.168.0.36
>> type=A
>> key=1360-ms-7.627-584955d5.1b29d6f6-d7a6-11e9-2986-18602489c1fa/160/0
>> Oct  2 17:12:42 dc1 named[15268]: samba_dlz: allowing update of
>> signer=PC-001\$\@AD.LOCAL name=pc-001.ad.local tcpaddr=192.168.0.36
>> type=A
>> key=1360-ms-7.627-584955d5.1b29d6f6-d7a6-11e9-2986-18602489c1fa/160/0
>> Oct  2 17:12:42 dc1 named[15268]: client @0x7fd0a80d5ab0
>> 192.168.0.36#64406/key PC-001\$\@AD.LOCAL: updating zone
>> 'ad.local/NONE': deleting rrset at 'pc-001.ad.local' AAAA
>> Oct  2 17:12:42 dc1 named[15268]: client @0x7fd0a80d5ab0
>> 192.168.0.36#64406/key PC-001\$\@AD.LOCAL: updating zone
>> 'ad.local/NONE': deleting rrset at 'pc-001.ad.local' A
>> Oct  2 17:12:42 dc1 named[15268]: samba_dlz: subtracted rdataset
>> pc-001.ad.local 'pc-001.ad.local.#0111200#011IN#011A#011192.168.0.36'
>> Oct  2 17:12:42 dc1 named[15268]: client @0x7fd0a80d5ab0
>> 192.168.0.36#64406/key PC-001\$\@AD.LOCAL: updating zone
>> 'ad.local/NONE': adding an RR at 'pc-001.ad.local' A 192.168.0.36
>> Oct  2 17:12:42 dc1 named[15268]: samba_dlz: added rdataset
>> pc-001.ad.local 'pc-001.ad.local.#0111200#011IN#011A#011192.168.0.36'
>> Oct  2 17:12:42 dc1 named[15268]: samba_dlz: committed transaction on
>> zone ad.local
>>
>> При этом на ALT при переключении на SAMBA_INTERNAL обновление зон DNS
>> с клиентов также не работает. Хотя в логах на сервере при этом пусто
>> (на loglevel по умолчанию), а на клиентах - предупреждения о
>> невозможности обновить записи A и AAAA.
>>
>> Готов предоставить дополнительную информацию или даже тестовый стенд,
>> хотя ничего особенного в конфигурации у меня нет. Та же ситуация
>> получается при чистой установке с samba-tool domain provision.
>>
>> Дальнейшее наверное имеет смысл обсуждать в рамках бага в багзилле,
>> чтоб не захламлять рассылку логами и т.п., а сюда уже написать резюме.
>> _______________________________________________
>> Sysadmins mailing list
>> Sysadmins@lists.altlinux.org
>> https://lists.altlinux.org/mailman/listinfo/sysadmins
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] Обновление samba-DC 4.7.12 ->4.9.13

[Alex Moskalenko]

02.10.2019 23:55, solic@shpl.ru пишет:
> Судя по посту в рассылке, у Вас bind запускается от пользователя named
> А Альте нужно запускать от root и вынуть из chroot.
>
Из chroot bind вынут. В chroot'е оно вообще работать не должно никак. А 
вот про запуск от root прошу объяснить подробнее - чего не хватает 
пользователю bind при соответствующих правах на файлы/каталоги. Более 
того, в 
https://lists.altlinux.org/pipermail/samba/2019-April/004331.html я 
писал, что напускал на bind strace, и в итоге каких-либо ошибок доступа 
к чему-либо не обнаружил.



>
> Alex Moskalenko писал 2019-10-02 18:19:
>> Evgeny Sinelnikov писал 02.10.2019 17:18:
>>> 3) "Коллеги, использующие ALT p8 или p9 с samba в качестве AD DC с
>>> DNS-бэкэндом BIND9_DLZ, подскажите, работает ли у вас обновление записей
>>> DNS клиентами Windows и samba_dnsupdate?"
>>>
>>> Давайте определимся с критерием проверки.
>>> - Что проверяем? Win7 в домене? или samba-клиент?
>>> - Какие ошибки возникают при попытке обновления записей DNS?
>>>
>>> Нужны конкретные команды, и вывод и более подробный лог ошибок. Можно
>>> лично. Когда протестирую, перешлю уже проанализированные подробности.
>>> Но лучше сразу сюда, просто объём может быть большим, поэтому обычно
>>> поэтому обходятся минимальными подробностями.
>>
>> Мои проблемы описаны еще в апреле в списке рассылки samba -
>> https://lists.altlinux.org/pipermail/samba/2019-April/004329.html
>> И даже баг в багзилле заведен -
>> https://bugzilla.altlinux.org/show_bug.cgi?id=36563
>>
>> Проверяем безопасные обновления DNS, как с клиентов (Win10,
>> Win2019Server), так и с самого DC с помощью samba_dnsupdate.
>> С клиентов - ipconfig /registerdns, с самого DC - samba_dnsupdate.
>> Тестировал домен с 3мя DC - ALT, Ubuntu server 18.04 и Debian Buster
>> 10. На текущий момент samba везде одинаковая - 4.10.8 (в ALT P9 -
>> штатная, в Ubuntu - из ppa School linux, в Debian - из репозитория
>> van-belle.nl.
>>
>> Везде, кроме ALT, зоны успешно обновляются как клиентами, так и
>> samba_dnsupdate. На ALT же имеем в логах записи вида:
>> 2019-04-04T11:21:17.993406+03:00 dc0 named[14068]: client
>> @0x7f01141236c0 192.168.0.11#35595/key DC0\$\@AD.LOCAL: update failed:
>> not authoritative for update zone (NOTAUTH)
>> 2019-04-04T11:21:18.017841+03:00 dc0 named[14068]: client
>> @0x7f0104031eb0 192.168.0.11#48267/key DC0\$\@AD.LOCAL: update failed:
>> not authoritative for update zone (NOTAUTH)
>>
>> На Ubuntu и на Debian в том же AD все работает штатно:
>> Oct  2 17:12:42 dc1 named[15268]: samba_dlz: starting transaction on
>> zone ad.local
>> Oct  2 17:12:42 dc1 named[15268]: samba_dlz: allowing update of
>> signer=PC-001\$\@AD.LOCAL name=pc-001.ad.local tcpaddr=192.168.0.36
>> type=AAAA
>> key=1360-ms-7.627-584955d5.1b29d6f6-d7a6-11e9-2986-18602489c1fa/160/0
>> Oct  2 17:12:42 dc1 named[15268]: samba_dlz: allowing update of
>> signer=PC-001\$\@AD.LOCAL name=pc-001.ad.local tcpaddr=192.168.0.36
>> type=A
>> key=1360-ms-7.627-584955d5.1b29d6f6-d7a6-11e9-2986-18602489c1fa/160/0
>> Oct  2 17:12:42 dc1 named[15268]: samba_dlz: allowing update of
>> signer=PC-001\$\@AD.LOCAL name=pc-001.ad.local tcpaddr=192.168.0.36
>> type=A
>> key=1360-ms-7.627-584955d5.1b29d6f6-d7a6-11e9-2986-18602489c1fa/160/0
>> Oct  2 17:12:42 dc1 named[15268]: client @0x7fd0a80d5ab0
>> 192.168.0.36#64406/key PC-001\$\@AD.LOCAL: updating zone
>> 'ad.local/NONE': deleting rrset at 'pc-001.ad.local' AAAA
>> Oct  2 17:12:42 dc1 named[15268]: client @0x7fd0a80d5ab0
>> 192.168.0.36#64406/key PC-001\$\@AD.LOCAL: updating zone
>> 'ad.local/NONE': deleting rrset at 'pc-001.ad.local' A
>> Oct  2 17:12:42 dc1 named[15268]: samba_dlz: subtracted rdataset
>> pc-001.ad.local 'pc-001.ad.local.#0111200#011IN#011A#011192.168.0.36'
>> Oct  2 17:12:42 dc1 named[15268]: client @0x7fd0a80d5ab0
>> 192.168.0.36#64406/key PC-001\$\@AD.LOCAL: updating zone
>> 'ad.local/NONE': adding an RR at 'pc-001.ad.local' A 192.168.0.36
>> Oct  2 17:12:42 dc1 named[15268]: samba_dlz: added rdataset
>> pc-001.ad.local 'pc-001.ad.local.#0111200#011IN#011A#011192.168.0.36'
>> Oct  2 17:12:42 dc1 named[15268]: samba_dlz: committed transaction on
>> zone ad.local
>>
>> При этом на ALT при переключении на SAMBA_INTERNAL обновление зон DNS
>> с клиентов также не работает. Хотя в логах на сервере при этом пусто
>> (на loglevel по умолчанию), а на клиентах - предупреждения о
>> невозможности обновить записи A и AAAA.
>>
>> Готов предоставить дополнительную информацию или даже тестовый стенд,
>> хотя ничего особенного в конфигурации у меня нет. Та же ситуация
>> получается при чистой установке с samba-tool domain provision.
>>
>> Дальнейшее наверное имеет смысл обсуждать в рамках бага в багзилле,
>> чтоб не захламлять рассылку логами и т.п., а сюда уже написать резюме.
>> _______________________________________________
>> Sysadmins mailing list
>> Sysadmins@lists.altlinux.org
>> https://lists.altlinux.org/mailman/listinfo/sysadmins
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] Обновление samba-DC 4.7.12 ->4.9.13

[Alex Moskalenko]

Хм, а жизнь-то похоже налаживается...

В текущем P9 (samba-4.10.8-alt2.x86_64, bind-9.11.6.P1-alt1.x86_64) 
выполнил samba_upgradedns --dns-backend=SAMBA_INTERNAL; samba_upgradedns 
--dns-backend=BIND9_DLZ. Перезапустил bind и samba - и регистрации 
записей DNS с Windows-клиентов заработали! Осталась проблема с 
samba_dnsupdate, описанная в 
https://bugzilla.samba.org/show_bug.cgi?id=13066 и
http://samba.2283325.n4.nabble.com/Samba-4-7-2-bind-on-Fedora-27-samba-dlz-spnego-update-failed-td4727145.html. 
После добавления в /etc/sysconfig/bind KRB5RCACHETYPE="none" и 
samba_dnsupdate стал выполняться без ошибок.

Похоже, все вылечилось само каким-то волшебным образом. Если в течение 
недели не будет проблем с обновлением записей DNS - багу закрою.

PS bind из чрута вынут (control bind_chroot disabled) и выполняется от 
пользователя named, как и должен.

---
WBR, Alex Moskalenko

Alex Moskalenko писал 03.10.2019 06:30:
> 02.10.2019 23:55, solic@shpl.ru пишет:
>> Судя по посту в рассылке, у Вас bind запускается от пользователя named
>> А Альте нужно запускать от root и вынуть из chroot.
>> 
> Из chroot bind вынут. В chroot'е оно вообще работать не должно никак.
> А вот про запуск от root прошу объяснить подробнее - чего не хватает
> пользователю bind при соответствующих правах на файлы/каталоги. Более
> того, в
> https://lists.altlinux.org/pipermail/samba/2019-April/004331.html я
> писал, что напускал на bind strace, и в итоге каких-либо ошибок
> доступа к чему-либо не обнаружил.