El 10/08/2015 a las 11:06, Administrador de Red ETTVCL escribió:
Colegas, aún la unión de bind9 y samba4.2.3 me están dando problemas en
debian8 . El LOG que me está dando lo pongo debajo, la parte buena es que
están funcionando bien, solo no permiten a los clientes actualizar o crear
un registro. Según la doc del samba:
Known issues and ways to fix/workaround
New added DNS entries are not resolvable
If you have problems with resolving new added DNS entries using the BIND9
DLZ interface, you maybe want to check the following:
Files in 'samba/private/dns/sam.ldb.d/' are hardlinks to
'samba/private/sam.ldb.d/'. Maybe you've copied/moved it across filesystems
and the hardlinking got lost and you're now running with two different
copies of the databases at the moment (You can test this by adding a new
DNSentry, e. g. by 'samba-tool'. If you can't resolve it, check if the
inodes differ).
If you 'ls -i' on the two folders, you should see, that the following files
have the same inodes (what indicates, that they are hard-linked):
# cd /usr/local/samba/private/
# ls -lai sam.ldb.d/
32404 -rw-rw---- 2 root bind 4251648 Mar 5 11:39
DC=DOMAINDNSZONES,DC=UGENT2,DC=BE.ldb
32405 -rw-rw---- 2 root bind 4251648 Mar 5 11:39
DC=FORESTDNSZONES,DC=UGENT2,DC=BE.ldb
32397 -rw-rw---- 2 root bind 421888 Mar 6 00:11 metadata.tdb
# ls -lai dns/sam.ldb.d/
32404 -rw-rw---- 2 root bind 4251648 Mar 5 11:39
DC=DOMAINDNSZONES,DC=UGENT2,DC=BE.ldb
32405 -rw-rw---- 2 root bind 4251648 Mar 5 11:39
DC=FORESTDNSZONES,DC=UGENT2,DC=BE.ldb
32397 -rw-rw---- 2 root bind 421888 Mar 6 00:11 metadata.tdb
If the files in the two folders have different inode numbers, then they
aren't hard-links. To fix this, run:
# samba_upgradedns --dns-backend=BIND9_DLZ
Al comparar mis archivos aprecio que no son iguales, y ejecuto el commando
pero sin resultados. Por primera vez trabajo con el bind, es necesario crear
alguna zona en fichero? Apuntar las zonas definidas en la configuración por
defecto del bind hacia los tdb del samba? Supongo que todo esto esté en
alguna medida contemplado en los comandos para crear la zona(manual
publicado bind+samba en gutl) y en el funcionamiento del BIND_DLZ pero a lo
mejor me falta algo. Si pueden ayudame con alguna idea, se que algunos no
trabajan todavía con esta combinación debian8+bind+samba pero ya se me
agotaron las opciones.
LOG
Aug 8 04:50:41 olimpo named[5565]: samba_dlz: starting transaction on zone
dominio.cu
Aug 8 04:50:41 olimpo named[5565]: client 10.10.10.216#1818: update
'dominio.cu/IN' denied
Aug 8 04:50:41 olimpo named[5565]: samba_dlz: cancelling transaction on
zone dominio.cu
Ing. Jorge Remberto Rodríguez Rodríguez
Administrador de Red ETTVCL
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL:
<http://listas.jovenclub.cu/pipermail/gutl-l/attachments/20150810/5a023d18/attachment.html>
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
socio ya te lo he explicado varias veces, debes desactivarle esa
funcionalidad a los windows, que tienes en el dominios, a través de una
GPO (fijate en mi manual), lo que pasa es que la integración de bind9 y
samba4, que usan dlz, solo se permite de forma segura y dinámica a
través de la autenticación con kerberos. por tanto esa zona que se crea
con dlz en tu bind9, solo la puede actualizar dinamicamente el propio
servidor samba4 que esta en el propio servidor localhost, no
permitiendole esto a los clientes windows directamente de forma insegura
en tu dominio actualizar dicha zona, todavía no tengo claro si dichas
clientes ya se autentican directamente con el kerberos del samba4 que es
el PDC, y habría que agregar alguna regla al bind9 para que permita
también a los clientes windows directamente actualizar la zona, este es
un comportamiento por defecto de windows, y quizás esta funcionalidad no
este del todo bien o 100% terminada en samba4, ya una vez que unes las
pc al dominio, automáticamente samba crea ese record en tu dns, eso
funciona bien, lo que bind9 no se lo permite directamente a los windows,
por esos esos errores que vez en los logs del bind9, de acceso denegado.
En un dominio las pc unidad, son tratadas como cuentas también,
quedaría por probar si una vez unidad, hacer que estas cuentas
pertenezcan al grupo DnsUpdateProxy, El cual tiene la siguiente
descripción (DNS clients who are permitted to perform dynamic updates on
behalf of some other clients (such as DHCP servers).) y ver si con eso
se resuelve. Salu2.
--
Ing. Arian Molina Aguilera
Administrador de Redes y Servicios Telemáticos
Nodo Central ARTex S.A. La Habana. Cuba.
Telfs: +53(7)2047874, +53(7)204-2710 ext 123
jabber: ar...@artex.sa
Linux Usuario Registrado #392892
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l