From: Alex Moskalenko <mav@elserv.msk.su>
To: sysadmins@lists.altlinux.org
Subject: Re: [Sysadmins] dhcpd и chroot
Date: Thu, 04 Apr 2019 09:45:30 +0300
Message-ID: <e58287d44770e0e11bef12ea06db802c@elserv.msk.su> (raw)
In-Reply-To: <CAK42-GqkkDE1sDEFSs0R2ghbAiVevhgubAxCaUx5spDbXjWHew@mail.gmail.com>
Evgeny Sinelnikov писал 03.04.2019 21:37:
> ср, 3 апр. 2019 г. в 22:20, Evgeny Sinelnikov <sin@altlinux.org>:
> Вообще, я тут подумал и припомнил вот такой инструмент:
> [sin@xpi dhcp]$ net ads dns
> Invalid command: net ads dns
> Usage:
> net ads dns register Add host dns entry to AD
> net ads dns unregister Remove host dns entry from AD
> net ads dns gethostbyname Look up host
>
> Обновлять DNS-записи в домене - это не задача dhcp-сервера. Это задача
> самого клиента. Клиент обращается со своими учётными данными (точнее
> компьютер обращается со своими учётными данными в /etc/krb5.keytab) и
> сам обновляет свои DNS-записи. Так оно задумано и все инструменты для
> это имеются. Их можно хуками на dhcp-клиенте прописать.
Это все очень правильно, но, к сожалению, реализуемо только для клиентов
Windows (встроено в DNS-клиент) и UNIX (как Вы написали). В моей сети,
помимо компьютеров, есть МФУ, к которым тоже хочется обращаться по
имени. Они не являются членами AD и не умеют сами обновлять DNS.
Вообще, структура у меня следующая. Сегмент /24, в нем классический NT4
домен. Серверы - linux, клиенты - Windows и Linux, присутствуют
принт-серверы и МФУ. Сегмент обслуживается DHCP и DNS-серверами, записи
DNS обновляет сервер DHCP. Регистрация DNS-имен на клиентах отключена.
Задача - перевести домен NT4 на AD с помощью classicupgrade.
Рассматривал 3 варианта.
1. Перенос AD в поддомен основного домена. Прямая DNS-зона для AD будет
обслуживаться самбой+BIND_DLZ, клиенты будут динамически в ней
регистрироваться штатными средствами. Для обслуживания обратной зоны
придется, и отдачи разных доменных имен по DHCP придется городить
костыли для dhcpd - машины Windows и Linux в домен AD, остальное в
родительский домен. Показалось слишком сложным и непонятным, к тому же
возможны проблемы с классификацией клиентов DHCP.
2. Classicupgrade в существующей доменной зоне со штатными средствами
для обновления DNS. Требует ручной регистрации в DNS всех МФУ. В
дальнейшем потребуется отслеживание актуальности сопоставления имен МФУ
адресам, либо фиксация адресов для МФУ в конфигурации dhcpd, либо ручная
настройка параметров IP в МФУ. Не понравилась по причине присутствия
ручной работы.
3. Classicupgrade в существующей доменной зоне с автоматическим
обновлением DNS с сервера DHCP. Требует донастройки dhcpd, но работает
гораздо более логично, чем вариант (1) и не имеет возможных проблем с
классификацией клиентов по варианту (1).
В результате остановился на варианте (3). Возможно, есть более логичные
решения, и очень хотелось бы с ними ознакомиться. Пока все происходит в
песочнице, и эксперименты приветствуются. :)
next prev parent reply other threads:[~2019-04-04 6:45 UTC|newest]
Thread overview: 5+ messages / expand[flat|nested] mbox.gz Atom feed top
2019-04-03 13:22 Alex Moskalenko
2019-04-03 18:20 ` Evgeny Sinelnikov
2019-04-03 18:37 ` Evgeny Sinelnikov
2019-04-04 6:45 ` Alex Moskalenko [this message]
2019-04-04 14:06 ` Alex Moskalenko
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=e58287d44770e0e11bef12ea06db802c@elserv.msk.su \
--to=mav@elserv.msk.su \
--cc=sysadmins@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git