Для настройки DNS-сервера BIND 9 на контроллере домена Avanpost DS необходимо выполнить шаги:
- Шаг 1. Установить пакеты.
- Шаг 2. Настроить Avanpost DS на режим управления сервисом "bind-dyndb".
- Шаг 3. Перезапустить сервис Avanpost DS.
- Шаг 4. Подготовить keytab-файл для сервиса "named".
- Шаг 5. Создать конфигурацию BIND.
- Шаг 6. Заполнить конфигурационный файл: "/etc/named.conf".
- Шаг 7. Проверить конфигурацию BIND.
- Шаг 8. Запустить сервис "named" и добавить его в автозапуск.
Шаг 1. Установить пакеты.
Для этого требуется выполнить команду:
sudo dnf install -y bind bind-dyndb-ldap bind-utils openldap-clients krb5-workstation cyrus-sasl-gssapi
Шаг 2. Настроить Avanpost DS на режим управления сервисом "bind-dyndb".
Для этого требуется:
2.1. Открыть для редактирования конфигурационный файл "/opt/avanpost/ads/config/config.yaml":
sudo nano /opt/avanpost/ads/config/config.yaml
2.2. Изменить значение параметра "dns_service" на "bind-dyndb":
service_control: dns_service: bind-dyndb dns_control: true
2.3. Выдать ACL разрешения на директории Bind.
sudo setfacl -m u:ads:rw /etc/named.conf
Шаг 3. Перезапустить сервис Avanpost DS.
Для этого требуется выполнить команду:
sudo systemctl restart ads && sudo systemctl status ads
Шаг 4. Подготовить keytab-файл для сервиса "named".
Для этого требуется выполнить команду:
sudo setfacl -m g:named:r /etc/krb5.keytab
Шаг 5. Создать конфигурацию BIND.
Для этого требуется выполнить команды:
sudo mkdir -p /var/named/dyndb-ldap/avanpost_local_ldap /var/named/data /run/named sudo chown -R named:named /var/named/dyndb-ldap /var/named/data /run/named
Шаг 6. Заполнить конфигурационный файл: "/etc/named.conf".
Для этого требуется:
6.1. Открыть для редактирования конфигурационный файл "/etc/named.conf":
sudo nano /etc/named.conf
6.2. Заполнить файл по шаблону:
options {
directory "/var/named";
listen-on port 53 { 127.0.0.1; [IP КД]; };
listen-on-v6 { none; };
allow-query { any; };
recursion yes;
allow-recursion { any; };
forward only;
forwarders { 77.88.8.8; };
dnssec-validation no;
pid-file "/run/named/named.pid";
session-keyfile "/run/named/session.key";
};
controls { };
dyndb "avanpost_local_ldap" "/usr/lib64/bind/ldap.so" {
uri "ldap://[IP КД]:389";
base "ou=dyndb,ou=dns,dc=system";
auth_method "sasl";
sasl_mech "GSSAPI";
krb5_keytab "FILE:/etc/krb5.keytab";
krb5_principal "host/[fqdn КД]@[ДОМЕН]";
ldap_hostname "[fqdn КД]";
dyn_update no;
sync_ptr no;
connections 2;
timeout 20;
reconnect_interval 5;
verbose_checks yes;
directory "dyndb-ldap/avanpost_local_ldap";
};
Заменить [IP КД] на IP-адрес первичного контроллера домена Avanpost DS.
Заменить [fqdn КД] на полное доменное имя первичного контроллера домена Avanpost DS.
Заменить [ДОМЕН] на имя домена Avanpost DS заглавными буквами.
options {
directory "/var/named";
listen-on port 53 { 127.0.0.1; 10.10.10.3; };
listen-on-v6 { none; };
allow-query { any; };
recursion yes;
allow-recursion { any; };
forward only;
forwarders { 77.88.8.8; };
dnssec-validation no;
pid-file "/run/named/named.pid";
session-keyfile "/run/named/session.key";
};
controls { };
dyndb "avanpost_local_ldap" "/usr/lib64/bind/ldap.so" {
uri "ldap://192.168.1.11:389";
base "ou=dyndb,ou=dns,dc=system";
auth_method "sasl";
sasl_mech "GSSAPI";
krb5_keytab "FILE:/etc/krb5.keytab";
krb5_principal "host/ds01.avanpost.local@AVANPOST.LOCAL";
ldap_hostname "ds01.avanpost.local";
dyn_update no;
sync_ptr no;
connections 2;
timeout 20;
reconnect_interval 5;
verbose_checks yes;
directory "dyndb-ldap/avanpost_local_ldap";
};
Шаг 7. Проверить конфигурацию BIND.
Для этого требуется выполнить команду:
sudo named-checkconf -z /etc/named.conf
Шаг 8. Запустить сервис "named" и добавить его в автозапуск.
Для этого требуется выполнить команды:
sudo systemctl enable named sudo systemctl restart named