URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID14
Нить номер: 2659
[ Назад ]

Исходное сообщение
"Secure DHCP and DDNS Samba4"

Отправлено siroezka , 08-Ноя-15 12:49 
Добрый день! Настраиваю связку DNS+DHCP+Samba4 по инструкции
http://blog.michael.kuron-germany.de/2011/02/isc-dhcpd-dynam.../
Автоматически не обновляется обратная зона DNS по DHCP при смене IP

На выходе получаю
################
messages begin;
################
Nov  7 11:28:53 domain chronyd[891]: NTP packet received from unauthorised host 192.168.6.248 port 123
Nov  7 11:28:53 domain named[1768]: samba_dlz: starting transaction on zone example.lan
Nov  7 11:28:53 domain named[1768]: client 192.168.6.248#65022: update 'example.lan/IN' denied
Nov  7 11:28:53 domain named[1768]: samba_dlz: cancelling transaction on zone example.lan
Nov  7 11:28:53 domain named[1768]: samba_dlz: starting transaction on zone example.lan
Nov  7 11:28:53 domain named[1768]: samba_dlz: disallowing update of signer=IE11WIN7\$\@example.LAN name=IE11Win7.example.lan type=AAAA error=insufficient access rights
Nov  7 11:28:53 domain named[1768]: client 192.168.6.248#64764/key IE11WIN7\$\@example.LAN: updating zone 'example.lan/NONE': update failed: rejected by secure update (REFUSED)
Nov  7 11:28:53 domain named[1768]: samba_dlz: cancelling transaction on zone example.lan
Nov  7 11:28:53 domain named[1768]: samba_dlz: starting transaction on zone example.lan
Nov  7 11:28:53 domain named[1768]: client 192.168.6.248#52054: update 'example.lan/IN' denied
Nov  7 11:28:53 domain named[1768]: samba_dlz: cancelling transaction on zone example.lan
Nov  7 11:28:53 domain named[1768]: samba_dlz: starting transaction on zone example.lan
Nov  7 11:28:53 domain named[1768]: samba_dlz: disallowing update of signer=IE11WIN7\$\@example.LAN name=IE11Win7.example.lan type=AAAA error=insufficient access rights
Nov  7 11:28:53 domain named[1768]: client 192.168.6.248#52574/key IE11WIN7\$\@example.LAN: updating zone 'example.lan/NONE': update failed: rejected by secure update (REFUSED)
Nov  7 11:28:53 domain named[1768]: samba_dlz: cancelling transaction on zone example.lan
Nov  7 11:28:54 domain named[1768]: samba_dlz: starting transaction on zone example.lan
Nov  7 11:28:54 domain named[1768]: samba_dlz: allowing update of signer=dhcp\@example.LAN name=IE11Win7.example.lan tcpaddr=192.168.6.241 type=A key=1008916717.sig-domain.example.lan/160/0
Nov  7 11:28:54 domain named[1768]: samba_dlz: allowing update of signer=dhcp\@example.LAN name=IE11Win7.example.lan tcpaddr=192.168.6.241 type=A key=1008916717.sig-domain.example.lan/160/0
Nov  7 11:28:54 domain named[1768]: client 192.168.6.241#56940/key dhcp\@example.LAN: updating zone 'example.lan/NONE': deleting rrset at 'IE11Win7.example.lan' A
Nov  7 11:28:54 domain named[1768]: samba_dlz: subtracted rdataset IE11Win7.example.lan 'IE11Win7.example.lan.    3600    IN    A    192.168.6.248'
Nov  7 11:28:54 domain named[1768]: client 192.168.6.241#56940/key dhcp\@example.LAN: updating zone 'example.lan/NONE': adding an RR at 'IE11Win7.example.lan' A
Nov  7 11:28:54 domain named[1768]: samba_dlz: added rdataset IE11Win7.example.lan 'IE11Win7.example.lan.    3600    IN    A    192.168.6.248'
Nov  7 11:28:54 domain named[1768]: samba_dlz: committed transaction on zone example.lan
Nov  7 11:28:54 domain named[1768]: samba_dlz: starting transaction on zone 6.168.192.in-addr.arpa
Nov  7 11:28:54 domain named[1768]: samba_dlz: allowing update of signer=dhcp\@example.LAN name=248.6.168.192.in-addr.arpa tcpaddr=192.168.6.241 type=PTR key=3509049471.sig-domain.example.lan/160/0
Nov  7 11:28:54 domain named[1768]: samba_dlz: allowing update of signer=dhcp\@example.LAN name=248.6.168.192.in-addr.arpa tcpaddr=192.168.6.241 type=PTR key=3509049471.sig-domain.example.lan/160/0
Nov  7 11:28:54 domain named[1768]: client 192.168.6.241#32995/key dhcp\@example.LAN: updating zone '6.168.192.in-addr.arpa/NONE': deleting rrset at '248.6.168.192.in-addr.arpa' PTR
Nov  7 11:28:54 domain named[1768]: samba_dlz: subtracted rdataset 248.6.168.192.in-addr.arpa '248.6.168.192.in-addr.arpa.    3600    IN    PTR    IE11Win7.example.lan.'
Nov  7 11:28:54 domain named[1768]: client 192.168.6.241#32995/key dhcp\@example.LAN: updating zone '6.168.192.in-addr.arpa/NONE': adding an RR at '248.6.168.192.in-addr.arpa' PTR
Nov  7 11:28:54 domain named[1768]: samba_dlz: added rdataset 248.6.168.192.in-addr.arpa '248.6.168.192.in-addr.arpa.    3600    IN    PTR    IE11Win7.example.lan.'
Nov  7 11:28:54 domain named[1768]: samba_dlz: committed transaction on zone 6.168.192.in-addr.arpa
Nov  7 11:28:54 domain named[1768]: samba_dlz: starting transaction on zone example.lan
Nov  7 11:28:54 domain named[1768]: client 127.0.0.1#41858/key rndc-key: updating zone 'example.lan/NONE': update unsuccessful: IE11Win7.example.lan: 'name not in use' prerequisite not satisfied (YXDOMAIN)
Nov  7 11:28:54 domain named[1768]: samba_dlz: cancelling transaction on zone example.lan
Nov  7 11:28:54 domain dhcpd: DHCPREQUEST for 192.168.6.248 from 00:0c:29:c8:ac:0a (IE11Win7) via eno16777736
Nov  7 11:28:54 domain dhcpd: DHCPACK on 192.168.6.248 to 00:0c:29:c8:ac:0a (IE11Win7) via eno16777736
Nov  7 11:28:54 domain named[1768]: samba_dlz: starting transaction on zone example.lan
Nov  7 11:28:54 domain named[1768]: client 127.0.0.1#41858/key rndc-key: updating zone 'example.lan/NONE': update unsuccessful: IE11Win7.example.lan/TXT: 'RRset exists (value dependent)' prerequisite not satisfied (NXRRSET)
Nov  7 11:28:54 domain named[1768]: samba_dlz: cancelling transaction on zone example.lan
Nov  7 11:28:54 domain dhcpd: Forward map from IE11Win7.example.lan to 192.168.6.248 FAILED: Has an address record but no DHCID, not mine.
Nov  7 11:28:55 domain named[1768]: samba_dlz: starting transaction on zone example.lan
Nov  7 11:28:55 domain named[1768]: client 192.168.6.248#52919: update 'example.lan/IN' denied
Nov  7 11:28:55 domain named[1768]: samba_dlz: cancelling transaction on zone example.lan
Nov  7 11:28:55 domain named[1768]: samba_dlz: starting transaction on zone example.lan
Nov  7 11:28:55 domain named[1768]: samba_dlz: disallowing update of signer=IE11WIN7\$\@example.LAN name=IE11Win7.example.lan type=AAAA error=insufficient access rights
Nov  7 11:28:55 domain named[1768]: client 192.168.6.248#58025/key IE11WIN7\$\@example.LAN: updating zone 'example.lan/NONE': update failed: rejected by secure update (REFUSED)
Nov  7 11:28:55 domain named[1768]: samba_dlz: cancelling transaction on zone example.lan
Nov  7 11:28:55 domain named[1768]: samba_dlz: starting transaction on zone example.lan
Nov  7 11:28:55 domain named[1768]: client 192.168.6.248#50884: update 'example.lan/IN' denied
Nov  7 11:28:55 domain named[1768]: samba_dlz: cancelling transaction on zone example.lan
Nov  7 11:28:55 domain named[1768]: samba_dlz: starting transaction on zone example.lan
Nov  7 11:28:55 domain named[1768]: samba_dlz: disallowing update of signer=IE11WIN7\$\@example.LAN name=IE11Win7.example.lan type=AAAA error=insufficient access rights
Nov  7 11:28:55 domain named[1768]: client 192.168.6.248#55006/key IE11WIN7\$\@example.LAN: updating zone 'example.lan/NONE': update failed: rejected by secure update (REFUSED)
Nov  7 11:28:55 domain named[1768]: samba_dlz: cancelling transaction on zone example.lan
#######################
messages end;
#######################


#######################
DHCP.conf begin;
#######################
authoritative;
server-identifier domain.example.lan;
ddns-update-style interim;
ddns-updates on;
ddns-domainname "example.lan";
ddns-rev-domainname "in-addr.arpa";
update-static-leases true;
ignore client-updates;
include "/etc/rndc.key";
zone example.lan. {          # Forward zone to be updated
primary 127.0.0.1;
key rndc-key;
}
zone 6.168.192.in-addr.arpa. { # Backward zone to be updated
primary 127.0.0.1;
}
subnet 192.168.6.0 netmask 255.255.255.0 {
#####################
on commit {
set noname = concat("dhcp-", binary-to-ascii(10, 8, "-", leased-address));
set ClientIP = binary-to-ascii(10, 8, ".", leased-address);
set ClientMac = binary-to-ascii(16, 8, ":", substring(hardware, 1, 6));
set ClientName = pick-first-value(option host-name, host-decl-name, config-option host-name, noname);
log(concat("Commit: IP: ", ClientIP, " Mac: ", ClientMac, " Name: ", ClientName));
execute("/usr/local/sbin/dhcp-dyndns.sh", "add", ClientIP, ClientName, ClientMac);
}
on release {
set ClientIP = binary-to-ascii(10, 8, ".", leased-address);
set ClientMac = binary-to-ascii(16, 8, ":", substring(hardware, 1, 6));
log(concat("Release: IP: ", ClientIP, " Mac: ", ClientMac));
# cannot get a ClientName here, for some reason that always fails
execute("/usr/local/sbin/dhcp-dyndns.sh", "delete", ClientIP, "", ClientMac);
}
on expiry {
set ClientIP = binary-to-ascii(10, 8, ".", leased-address);
# cannot get a ClientMac here, apparently this only works when actually receiving a packet
log(concat("Expired: IP: ", ClientIP));
# cannot get a ClientName here, for some reason that always fails
execute("/usr/local/sbin/dhcp-dyndns.sh", "delete", ClientIP, "", "0");
}
# --- default gateway
#option options-135 "example.lan"
#option domain-list             "example.lan";
option routers                  192.168.6.2;
option subnet-mask              255.255.255.0;
option nis-domain               "example.lan";
option domain-name              "example.lan";
option domain-search            "example.lan";
option domain-name-servers      192.168.6.241;
option time-offset              10800;   # FET
option ntp-servers              192.168.6.241;
option netbios-name-servers     192.168.6.241;
# --- Selects point-to-point node (default is hybrid). Don't change this unless
# -- you understand Netbios very well
option netbios-node-type 2;
range 192.168.6.242 192.168.6.250;
default-lease-time 1728000;
max-lease-time 1728000;
allow booting;
allow bootp;
next-server 192.168.6.241;
filename "/pxelinux.0";
# we want the nameserver to appear at a fixed address
host win.example.lan {
hardware ethernet 00:01:02:03:04:05;
fixed-address 192.168.6.250;
}
}
#######################
DHCP.conf end;
#######################


#######################
named.conf begin;
#######################
options {
listen-on port 53 {192.168.6.241; 127.0.0.1; };
#       listen-on-v6 port 53 { ::1; };
directory       "/var/named";
dump-file       "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
#       allow-query     { localhost; };
########MY SETTINGS########
forwarders {8.8.8.8; };
notify no;
allow-query     { 192.168.6.0/24; 127.0.0.0/8; };
allow-recursion { 192.168.6.0/24; 127.0.0.0/8; };
allow-update    { 192.168.6.0/24; 127.0.0.0/8; };
version none;
hostname none;
server-id none;
tkey-gssapi-keytab "/usr/local/samba/private/dns.keytab"; #
tkey-domain "example.lan";
########MY SETTINGS########
#       recursion yes;
dnssec-enable no;
dnssec-validation no;
dnssec-lookaside auto;
/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";
managed-keys-directory "/var/named/dynamic";
pid-file "/run/named/named.pid";
session-keyfile "/run/named/session.key";
};
logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};
zone "." IN {
type hint;
file "named.ca";
};
controls {
inet 127.0.0.1 port 953
allow { 127.0.0.1; } keys { "rndc-key"; };
};
key "rndc-key" {
algorithm hmac-md5;
secret "MC0/UsgrLQF1RdZTiUBwAA==";
};
include "/etc/named.root.key";
#include "/etc/named.rfc1912.zones";
include "/usr/local/samba/private/named.conf";
######################
named.conf end;
######################


#######################
dhcp-dyndns.conf begin;
#######################
#!/bin/sh
action=$1
ip=$2
host=$(echo $3 | awk -F '.' '{print $1}')
mac=$4
. /usr/local/etc/dhcp-dyndns.conf
ptr=$(echo $ip | awk -F '.' '{print $4"."$3"."$2"."$1".in-addr.arpa"}')
/usr/bin/kinit -k -t $keytab $kname@$realm
case "$action" in
add)
echo "server $server
update delete $host.$domain $time A
update add $host.$domain $time A $ip
send"|nsupdate -g
echo "server $server
update delete $ptr $time PTR
update add $ptr $time PTR $host.$domain
send"|nsupdate -g
;;
delete)
echo "server $server
update delete $host.$domain $time A
send"|nsupdate -g
echo "server $server
update delete $ptr $time PTR
send"|nsupdate -g
;;
esac
########################
dhcp-dyndns.conf end;
########################

В чем может быть проблема


Содержание

Сообщения в этом обсуждении
"Secure DHCP and DDNS Samba4"
Отправлено Almi , 08-Ноя-15 13:01 
А  в самом /usr/local/samba/etc/smb.conf, есть строчка:
nsupdate command =  /usr/bin/nsupdate -g -d
или
nsupdate command =  /usr/local/samba/sbin/samba_dnsupdate -d 3

?


"Secure DHCP and DDNS Samba4"
Отправлено Almi , 08-Ноя-15 13:05 
И обратную зону, надо самому ручками создавать.
Обновление зоны происходит в течении 12 минут.
IPv6 лучше отключить, это вызывает проблемы с Самбой.
Время на клиенте и на сервере одинаковое?
Также проверь часовой пояс.

"Secure DHCP and DDNS Samba4"
Отправлено siroezka , 08-Ноя-15 13:15 
> И обратную зону, надо самому ручками создавать.
> Обновление зоны происходит в течении 12 минут.
> IPv6 лучше отключить, это вызывает проблемы с Самбой.
> Время на клиенте и на сервере одинаковое?
> Также проверь часовой пояс.

Время и дата точные. Часовой пояс Москва на обоих компах.


"Secure DHCP and DDNS Samba4"
Отправлено Almi , 08-Ноя-15 13:39 
Не понятно, обратную зону точно создавал?


/usr/local/samba/bin/samba-tool dns zonecreate domain.example.lan 6.168.192.in-addr.arpa


domain.example.lan - это имя хоста доменного контроллера?


"Secure DHCP and DDNS Samba4"
Отправлено siroezka , 08-Ноя-15 13:50 
> Не понятно, обратную зону точно создавал?
> /usr/local/samba/bin/samba-tool dns zonecreate domain.example.lan 6.168.192.in-addr.arpa
> domain.example.lan - это имя хоста доменного контроллера?

Да все верно domain.example.com
Прямая зона
/usr/local/samba/bin/samba-tool dns zonecreate domain 6.168.192.in-addr.arpa

Обратная зона
/usr/local/samba/bin/samba-tool dns add domain 6.168.192.in-addr.arpa 241 PTR domain.example.com

nslookup
> 192.168.6.241

Server:        127.0.0.1
Address:    127.0.0.1#53

241.6.168.192.in-addr.arpa    name = domain.example.lan.
> domain.example.lan

Server:        127.0.0.1
Address:    127.0.0.1#53

Name:    domain.example.lan
Address: 192.168.6.241


"Secure DHCP and DDNS Samba4"
Отправлено Almi , 08-Ноя-15 14:20 
Nov  7 11:28:55 domain named[1768]: samba_dlz: disallowing update of signer=IE11WIN7\$\@example.LAN name=IE11Win7.example.lan type=AAAA error=insufficient access rights
Nov  7 11:28:55 domain named[1768]: client 192.168.6.248#55006/key IE11WIN7\$\@example.LAN: updating zone 'example.lan/NONE': update failed: rejected by secure update (REFUSED)

Точно не могу сказать, но проблема с rndc или кейтабом.
Пишет что не хватает прав и доступ запрещен.

Что-то там намудрил :)


И кстати, у тебя ошибка:
Этот файл /usr/local/etc/dhcp-dyndns.conf должен быть таким:
-------------
server=domain
realm=EXAMPLE.LAN
domain=example.lan
keytab=/var/lib/dhcp/dhcp.keytab
time=3600
kname=dhcp
-------------

А этот уже таким /usr/local/sbin/dhcp-dyndns.sh
-------------
#!/bin/sh
action=$1
ip=$2
host=$(echo $3 | awk -F '.' '{print $1}')
mac=$4
. /usr/local/etc/dhcp-dyndns.conf
ptr=$(echo $ip | awk -F '.' '{print $4"."$3"."$2"."$1".in-addr.arpa"}')
/usr/bin/kinit -k -t $keytab $kname@$realm
case "$action" in
add)
echo "server $server
update delete $host.$domain $time A
update add $host.$domain $time A $ip
send"|nsupdate -g
echo "server $server
update delete $ptr $time PTR
update add $ptr $time PTR $host.$domain
send"|nsupdate -g
;;
delete)
echo "server $server
update delete $host.$domain $time A
send"|nsupdate -g
echo "server $server
update delete $ptr $time PTR
send"|nsupdate -g
;;
esac
-------------


"Secure DHCP and DDNS Samba4"
Отправлено Almi , 08-Ноя-15 14:35 
Может у тебя проблема в ключе rndc key.
Ты точно правильно скопировал его из файла /etc/rndc.key в named.conf  ?


key "rndc-key" {
algorithm hmac-md5;
secret "MC0/UsgrLQF1RdZTiUBwAA=="; <- Это
};


named.conf сюда


key "rndc-key" {
algorithm hmac-md5;
secret "xxxxxxxxxxxxxxx==";
};

Может все таки есть ошибка.


"Secure DHCP and DDNS Samba4"
Отправлено siroezka , 08-Ноя-15 14:45 
>[оверквотинг удален]
> key "rndc-key" {
> algorithm hmac-md5;
> secret "MC0/UsgrLQF1RdZTiUBwAA=="; <- Это
> };
> named.conf сюда
> key "rndc-key" {
> algorithm hmac-md5;
> secret "xxxxxxxxxxxxxxx==";
> };
> Может все таки есть ошибка.

rndc.key верный. Проверил

А вот содержимое моего dhcp-dyndns.conf
server=domain
realm=EXAMPLE.LAN
domain=example.lan
keytab=/var/lib/dhcp/dhcp.keytab
time=3600
kname=dhcp


"Secure DHCP and DDNS Samba4"
Отправлено siroezka , 08-Ноя-15 13:07 
> А  в самом /usr/local/samba/etc/smb.conf, есть строчка:
> nsupdate command =  /usr/bin/nsupdate -g -d
> или
> nsupdate command =  /usr/local/samba/sbin/samba_dnsupdate -d 3
> ?

Конфиг самба

# Global parameters
[global]
    workgroup = EXAMPLE
    realm = example.lan
    netbios name = DOMAIN
    server role = active directory domain controller
    server services = rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate, smb
    dcerpc endpoint servers = epmapper, wkssvc, rpcecho, samr, netlogon, lsarpc, spoolss, drsuapi, dssetup, unixinfo, browser, eventlog6, backupkey, dnsserver, winreg, srvsvc
    idmap_ldb:use rfc2307 = yes
    kerberos method = system keytab
    client ldap sasl wrapping = sign
    allow dns updates = nonsecure and secure
    #nsupdate command =  /usr/bin/nsupdate -g -d
    nsupdate command =  /usr/local/samba/sbin/samba_dnsupdate -d 3

[netlogon]
    path = /usr/local/samba/var/locks/sysvol/example.lan/scripts
    read only = No

[sysvol]
    path = /usr/local/samba/var/locks/sysvol
    read only = No


"Secure DHCP and DDNS Samba4"
Отправлено Almi , 08-Ноя-15 16:46 
Вот выдрал конфиги тестовой машины - http://ifolder.su/44422626
Может тебе это поможет, а может и нет  :)

"Secure DHCP and DDNS Samba4"
Отправлено siroezka , 08-Ноя-15 18:04 
> Вот выдрал конфиги тестовой машины - http://ifolder.su/44422626
> Может тебе это поможет, а может и нет  :)

Спасибо! Попробую, хотя у меня всё в копейку))))


"Secure DHCP and DDNS Samba4"
Отправлено Almi , 08-Ноя-15 18:39 
>> Вот выдрал конфиги тестовой машины - http://ifolder.su/44422626
>> Может тебе это поможет, а может и нет  :)
> Спасибо! Попробую, хотя у меня всё в копейку))))

Раз в копейку, могу еще и образ вбокса выслать!



"Secure DHCP and DDNS Samba4"
Отправлено siroezka , 08-Ноя-15 18:43 
>>> Вот выдрал конфиги тестовой машины - http://ifolder.su/44422626
>>> Может тебе это поможет, а может и нет  :)
>> Спасибо! Попробую, хотя у меня всё в копейку))))
> Раз в копейку, могу еще и образ вбокса выслать!

Было бы хорошо.


"Secure DHCP and DDNS Samba4"
Отправлено siroezka , 08-Ноя-15 20:00 
>>>> Вот выдрал конфиги тестовой машины - http://ifolder.su/44422626
>>>> Может тебе это поможет, а может и нет  :)
>>> Спасибо! Попробую, хотя у меня всё в копейку))))
>> Раз в копейку, могу еще и образ вбокса выслать!
> Было бы хорошо.

siroezka.grib@gmail.com


"Secure DHCP and DDNS Samba4"
Отправлено Almi , 08-Ноя-15 22:59 
>>>>> Вот выдрал конфиги тестовой машины - http://ifolder.su/44422626
>>>>> Может тебе это поможет, а может и нет  :)
>>>> Спасибо! Попробую, хотя у меня всё в копейку))))
>>> Раз в копейку, могу еще и образ вбокса выслать!
>> Было бы хорошо.
> siroezka.grib@gmail.com

Вот ссылка на образ:
http://rusfolder.com/44423541

Пароль от root - MyPassword123


"Secure DHCP and DDNS Samba4"
Отправлено siroezka , 09-Ноя-15 12:59 
>>>>>> Вот выдрал конфиги тестовой машины - http://ifolder.su/44422626
>>>>>> Может тебе это поможет, а может и нет  :)
>>>>> Спасибо! Попробую, хотя у меня всё в копейку))))
>>>> Раз в копейку, могу еще и образ вбокса выслать!
>>> Было бы хорошо.
>> siroezka.grib@gmail.com
> Вот ссылка на образ:
> http://rusfolder.com/44423541
> Пароль от root - MyPassword123

Спасибо!