Bug 36563

Summary: Не работает динамическое обновление DNS - samba+bind - NOTAUTH
Product: Sisyphus Reporter: Alex Moskalenko <mav>
Component: samba-DCAssignee: Evgeny Sinelnikov <sin>
Status: CLOSED WORKSFORME QA Contact: qa-sisyphus
Severity: major    
Priority: P3 CC: cas, iv
Version: unstable   
Hardware: all   
OS: Linux   
Attachments:
Description Flags
Архив с конфигурацией, логами и выводом команд - часть 1
none
Архив с конфигурацией, логами и выводом команд - часть 2
none
Архив с конфигурацией, логами и выводом команд - часть 3 none

Description Alex Moskalenko 2019-04-08 17:38:27 MSK
Created attachment 8088 [details]
Архив с конфигурацией, логами и выводом команд - часть 1

В текущем сизифе не работает динамическое обновление DNS с помощью nsupdate и kerberos.

Для теста был создан чистый домен AD TESTAD.LOCAL с помощью samba-tool domain provision --dns-backend=BIND9_DLZ .... Домен был успешно создан, у bind был отключен chroot, в конфигурацию bind прописаны keytab и include-файл от samba, были запущены службы samba и bind. Службы успешно стартовали. Необходимые для AD записи DNS успешно разрешаются. Через оснастку MMC и samba-tool записи DNS успешно добавляются/удаляются. При попытке обновить записи DNS с помошью samba_dnsupdate --all-names --verbose на каждое обновление записи возникает ошибка NOTAUTH. Во вложении - архив с файлами /etc/{samba,bind,krb5.conf,resolv.conf}, /var/lib/{samba,bind}, var/log/{messages,samba} и вывод команд testparm, ip a l, named-checkconf и samba_dnsupdate --all-names --verbose.
Comment 1 Alex Moskalenko 2019-04-08 17:39:11 MSK
Created attachment 8089 [details]
Архив с конфигурацией, логами и выводом команд - часть 2
Comment 2 Alex Moskalenko 2019-04-08 17:39:46 MSK
Created attachment 8090 [details]
Архив с конфигурацией, логами и выводом команд - часть 3
Comment 3 Alex Moskalenko 2019-04-08 17:41:46 MSK
Могу дать SSH в тестовую машину, с которой были сняты файлы/логи во вложении.
Comment 4 Alex Moskalenko 2019-04-11 13:09:48 MSK
А вот в Ubuntu 19.04 c BIND 9.11.5-P1-1ubuntu2-Ubuntu и samba Version 4.10.0-Ubuntu динамические обновления DNS работают (после соответствующей настройки apparmor):
*****
Apr 11 10:03:51 dc0.testad.local named[1650]: samba_dlz: starting transaction on zone testad.local
Apr 11 10:03:51 dc0.testad.local named[1650]: samba_dlz: allowing update of signer=DC0\$\@TESTAD.LOCAL name=_ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.testad.local tcpaddr=192.168.3.8 type=SRV key=3266306470.sig-dc0.testad.local/160/0
Apr 11 10:03:51 dc0.testad.local named[1650]: client @0x7fa49c4edde0 192.168.3.8#58519/key DC0\$\@TESTAD.LOCAL: updating zone 'testad.local/NONE': adding an RR at '_ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.testad.local' SRV 0 100 389 dc0.testad.local.
Apr 11 10:03:51 dc0.testad.local named[1650]: samba_dlz: committed transaction on zone testad.local
Apr 11 10:03:51 dc0.testad.local named[1650]: samba_dlz: starting transaction on zone testad.local
Apr 11 10:03:51 dc0.testad.local named[1650]: samba_dlz: allowing update of signer=DC0\$\@TESTAD.LOCAL name=ForestDnsZones.testad.local tcpaddr=192.168.3.8 type=A key=586807243.sig-dc0.testad.local/160/0
Apr 11 10:03:51 dc0.testad.local named[1650]: client @0x7fa4940df480 192.168.3.8#42315/key DC0\$\@TESTAD.LOCAL: updating zone 'testad.local/NONE': adding an RR at 'ForestDnsZones.testad.local' A 192.168.3.8
Apr 11 10:03:51 dc0.testad.local named[1650]: samba_dlz: committed transaction on zone testad.local
Apr 11 10:03:51 dc0.testad.local named[1650]: samba_dlz: starting transaction on zone testad.local
Apr 11 10:03:51 dc0.testad.local named[1650]: samba_dlz: allowing update of signer=DC0\$\@TESTAD.LOCAL name=_ldap._tcp.ForestDnsZones.testad.local tcpaddr=192.168.3.8 type=SRV key=2933997068.sig-dc0.testad.local/160/0
Apr 11 10:03:51 dc0.testad.local named[1650]: client @0x7fa49c4edde0 192.168.3.8#40433/key DC0\$\@TESTAD.LOCAL: updating zone 'testad.local/NONE': adding an RR at '_ldap._tcp.ForestDnsZones.testad.local' SRV 0 100 389 dc0.testad.local.
Apr 11 10:03:51 dc0.testad.local named[1650]: samba_dlz: committed transaction on zone testad.local
Apr 11 10:03:51 dc0.testad.local named[1650]: samba_dlz: starting transaction on zone testad.local
Apr 11 10:03:51 dc0.testad.local named[1650]: samba_dlz: allowing update of signer=DC0\$\@TESTAD.LOCAL name=_ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.testad.local tcpaddr=192.168.3.8 type=SRV key=2026436465.sig-dc0.testad.local/160/0
Apr 11 10:03:51 dc0.testad.local named[1650]: client @0x7fa4940df480 192.168.3.8#45717/key DC0\$\@TESTAD.LOCAL: updating zone 'testad.local/NONE': adding an RR at '_ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.testad.local' SRV 0 100 389 dc0.testad.local.
Apr 11 10:03:51 dc0.testad.local named[1650]: samba_dlz: committed transaction on zone testad.local
*****

Проблема похоже именно где-то в ALT, и, возможно, с bind.
Comment 5 Alex Moskalenko 2022-02-09 16:05:20 MSK
На текущий момент в p10 и сизифе обновления работают.