AltServer9-Samba-DDNS, tsig verify failure

[sv-smith]

Случайно обратил внимание на отсутствие Name у записи SOA:

Код: [Выделить]

# samba-tool dns query ip_server DOMAIN @ ALL -U administrator
Password for [domain\administrator]:
  Name=, Records=3, Children=0
    SOA: serial=1, refresh=900, retry=600, expire=86400, minttl=3600, ns=dc.tsoh.sc., email=hostmaster.tsoh.sc. (flags=600000f0, serial=1, ttl=3600)
    NS: dc.tsoh.sc. (flags=600000f0, serial=1, ttl=900)
    A: 10.15.0.5 (flags=600000f0, serial=1, ttl=900)
  Name=_msdcs, Records=0, Children=0
  Name=_sites, Records=0, Children=1
  Name=_tcp, Records=0, Children=4
  Name=_udp, Records=0, Children=2
  Name=dc, Records=1, Children=0
    A: 10.15.0.5 (flags=f0, serial=1, ttl=900)
  Name=DomainDnsZones, Records=0, Children=2
  Name=ForestDnsZones, Records=0, Children=2
  Name=test1, Records=1, Children=0
    A: 10.15.0.132 (flags=f0, serial=110, ttl=3600)
Это так и должно быть? если нет, то что необходимо указать: имя Realm или полное имя сервера: server.realm?

[Skull]

Погуглите. Вряд ли dhcp-server заточен на внутренниий DNS Samba.

Судя по веб-админке связка имеется. По видимому разработчика Базальта что-то и как-то это осуществили, нужно понять где эта связка конфигурится. В dhcpd.conf и ddns.conf используется один ddns.key
в инете нашел пока только это
На сколько статья применима к АльтСервер остается только догадываться. боюсь нагородить огород.

Модуль DNS-сервер настраивает только bind, но не samba.

[sv-smith]

Модуль DNS-сервер настраивает только bind, но не samba.

Возможно это и так, но модуль DNS поднимается после (или во время) создания домена Samba, и если Samba убить (удалить smb.conf, к примеру) то модуль DNS выдает чехорду. Из чего и сделал вывод, что модуль DNS при создании домена Samba выводит информацию настроек внутреннего DNS Samba (что вполне логично). При этом в модуле DNS имееся "галочка" выбора интерфейса, где указано: управляется DHCP-сервером. Причем эту галочку снять или установить у вас не получится (опять таки при условии домена Samba, за другие ситуации сказать ни чего не могу), из чего делаю вывод, что модуль DNS отображает текущие настройки DNS Samba, и соответственно имеет связи с DHCP. Интересно знать какие.

[sv-smith]

Все бодрого дня! дабы не плодить темы и не повторяться с настройками сервера/сети, продолжу здесь. Решил попытаться ввести в домен ALT/Samba рабочую станцию WIN7/10 (далее АРМ). указал первым DNS Samba в сетевых настройках АРМ, ввожу имя домена заглавными буквами (иначе не находит домен), но после ввода логин/пароля администратора домена выдает:
"При присоединении к домену произошла следующая ошибка: Вход в систему не произведен: имя пользователя или пароль не опознаны"
Думаю ошибка тривиальна для многих админов, но не для меня, укажите где копать, плз.
Ошибка как на win7, так и на Win10pro. На Win7 добавил в реестре параметры, как указано в инструкции, но не помогло.

[Skull]

Все бодрого дня! дабы не плодить темы и не повторяться с настройками сервера/сети, продолжу здесь. Решил попытаться ввести в домен ALT/Samba рабочую станцию WIN7/10 (далее АРМ). указал первым DNS Samba в сетевых настройках АРМ, ввожу имя домена заглавными буквами (иначе не находит домен), но после ввода логин/пароля администратора домена выдает:
"При присоединении к домену произошла следующая ошибка: Вход в систему не произведен: имя пользователя или пароль не опознаны"
Думаю ошибка тривиальна для многих админов, но не для меня, укажите где копать, плз.
Ошибка как на win7, так и на Win10pro. На Win7 добавил в реестре параметры, как указано в инструкции, но не помогло.

На самом контроллере домена проверьте пароль администратора через kinit.

[sv-smith]

На самом контроллере домена проверьте пароль администратора через kinit.

Проверял, запрос

Код: [Выделить]

samba-tool dns query 10.15.0.5 Домен @ ALL -U administrator отрабатывает с этим паролем, выводит информацию...

[Skull]

Думаю, проблема с отказом от старых шифров (которые хотят в Windows 7) в новой samba.

[sv-smith]

Думаю, проблема с отказом от старых шифров (которые хотят в Windows 7) в новой samba.

так Win10 выдает туже ошибку...

[sv-smith]

Нашел такую инструкцию по подключению DHCP к Samba. Всё сделал как указано с одной лишь разницей, что в AltServer папка не dhcpd, а dhcp. Но получаю следующий результат:

Код: [Выделить]

июн 01 08:51:31 dc.tsoh.sc dhcpd[110206]: execute_statement argv[0] = /etc/dhcp/update.sh
июн 01 08:51:31 dc.tsoh.sc dhcpd[110206]: execute_statement argv[1] = add
июн 01 08:51:31 dc.tsoh.sc dhcpd[110206]: execute_statement argv[2] = 10.15.0.187
июн 01 08:51:31 dc.tsoh.sc dhcpd[110206]: execute_statement argv[3] = stud13
июн 01 08:51:31 dc.tsoh.sc dhcpd[137171]: Unable to execute /etc/dhcp/update.sh: No such file or directory
июн 01 08:51:31 dc.tsoh.sc dhcpd[110206]: execute: /etc/dhcp/update.sh exit status 32512
июн 01 08:51:31 dc.tsoh.sc dhcpd[110206]: DHCPREQUEST for 10.15.0.187 from fc:aa:14:51:5a:34 via enp2s0
июн 01 08:51:31 dc.tsoh.sc dhcpd[110206]: DHCPACK on 10.15.0.187 to fc:aa:14:51:5a:34 (stud13) via enp2s0
июн 01 08:51:31 dc.tsoh.sc dhcpd[110206]: Unable to add forward map from stud13.tsoh.sc to 10.15.0.187: tsig verify failure
На папку /etc/dhcp, файлы внутри, на update.sh права одинаковы: root:root 755.
Вопросы:
1. под каким пользователем работает сервис DHCPD? и какие права нужно прописать файлу /etc/dhcp/update.sh,? Пробовал устанавливать права dhcpd:dhcp, результат тот же.
2. почему сервис DHCP не видит файл /etc/dhcp/update.sh, какие могут быть причины кроме прав на файл? может необходимо файл переместить в другую папку?
Помогите разобраться в ситуации, плз.
 

[Skull]

Бездумное чтение левых инструкций ни к чему не приведёт. Сетевые службы в Альте запускаются в чрутах.

[sv-smith]

чтение левых инструкций ни к чему не приведёт

Других не нашел, приходится читать "левые", дайте ссылку на "правые", если не трудно. тема уже 2 страницы набрала, а что-то никто не дал ссылки или рекомендации как устранить ошибку....
С чрутами еще не работал, сорри...

[sv-smith]

Перевел Samba на Bind9_DLZ, вернее убил домен и развернул заново по инструкции. Но Bind не поднимается, выдает ошибку:

Код: [Выделить]

named[12502]: Loading 'AD DNS Zone' using driver dlopen
 named[12502]: dlz_dlopen failed to open library '/usr/lib64/samba/bind9/dlz_bind9_11.so' - /usr/lib64/samba/bind9/dlz_bind9_11.so: cannot open shared object >
 named[12502]: dlz_dlopen of 'AD DNS Zone' failed
 named[12502]: SDLZ driver failed to load.
 named[12502]: DLZ driver failed to load.
 named[12502]: loading configuration: failure
 named[12502]: exiting (due to fatal error)хотя файлы там в наличии, думаю Selinux ограничивает.
Вопрос: активирован ли по умолчанию Selinux? если да, то где посмотреть как им управлять или как разрешить доступ Bind'у к этим библиотекам?
и еще: в /usr/lib64 есть папка Samba и Samba-DC, в обоих есть bind9 с файлами библиотек. Вот только в Samba-dc библиотек больше. С какой папкой правильнее работать?

[Skull]

Необходимое было сказано ранее. Внешний bind не рекомендуется.

[sv-smith]

Внешний bind не рекомендуется.

Интересная ситуация: внешний bind не рекомендуется, а внутренний DNS Samba работает на половину, "левые" инструкции по настройке внутреннего DNS тоже не рекомендуется использовать, а правильных инструкций не существует...
Вывод напрашивается сам собой: рано переходить на "отечественный" софт, придётся по старинке - Win.
И вообще мне не понятно с какой целью организовали при инсталляции АльтСервера отдельное меню "Сервер DC Samba", если после инсталляции в этом режиме ни чего не работает, более того нужно все "обработать напильником" (как в старом добром советском анекдоте), причем интуитивно ни чего не понятно, по умолчанию логи отключены, а чтоб разобраться как их включить, нужно перелопатить кучу трафика интернет.
Жесть а не "российский" софт... моё мнение...
Когда в 1998 году первый раз разворачивал WinNT3.51 вопросов было много, но они касались логики работы основных сетевых служб, а службы между собой взаимодействовали без дополнительных "танцев с бубном". Тут же чтоб подружить между собой службы, написанных под одну ОС, нужно "танцевать" месяцами, причем это еще и завит от версий того или иного софта. Жесть.
А ведь мне нужно то было организовать элементарную регистрацию компов в домене и авторизацию пользователей (30+ человек) по паролю, чтоб не бегать по классам и не менять там локальные пароли. и это всё что нужно в школе по большому счету. В итоге я пол года (ну не каждый день конечно :) ) раскапывал как правильно настроить Samba. Не, он поднимается "в лёт", вот только не работает должным образом..

[Skull]

Так как я смотрю форум с телефона, то кратко скажу, что Вы не правы. Я знаю работающие инфраструктуры на Samba и на 2000 пользователей и на 15000. У них работают и они не ноют.