Для полноценной работы большинства функций в доменной сети требуется DNS сервер.
Avanpost DS выступает в качестве хранилища записей для DNS сервера PowerDNS и позволяет создавать записи в базе в том числе через веб-интерфейс администратора.
Для настройки DNS-сервера PowerDNS на контроллере домена Avanpost DS необходимо выполнить шаги:
- Шаг 1. Установить необходимые пакеты.
- Шаг 2. Выключить сервисы "pdns" и "pdns-recursor".
- Шаг 3. Включить автоматическое управление конфигурационными файлами PowerDNS.
- Шаг 4. Настроить автоматическое управление конфигурационными файлами PowerDNS.
- Шаг 5. Выдать ACL разрешения на директории PowerDNS.
- Шаг 6. Включить и запустить сервисы "pdns", "pdns-recursor", "ads".
- Шаг 7. Проверить DNS записи зоны прямого просмотра.
- Шаг 8. Проверить DNS записи зоны обратного просмотра.
Шаг 1. Установить необходимые пакеты.
Для этого требуется:
1.1. Создать файл "/etc/apt/sources.list.d/debian.list" и открыть его для редактирования.
sudo nano /etc/apt/sources.list.d/debian.list
1.2. Добавить в файл "/etc/apt/sources.list.d/debian.list" две записи о новых репозиториях.
deb https://mirror.yandex.ru/debian/ bullseye main contrib non-free deb-src https://mirror.yandex.ru/debian/ bullseye main contrib non-free
1.3. Добавить ключи репозиториев.
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 605C66F00D6C9793 sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 6ED0E7B82643E131 sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 0E98404D386FA1D9
1.4. Открыть для редактирования файл "/etc/apt/sources.list".
sudo nano /etc/apt/sources.list
1.5. Закомментировать все репозитории в файле "/etc/apt/sources.list" (как минимум на время установки Avanpost DS).
# Astra Linux repository description https://wiki.astralinux.ru/x/0oLiC #deb cdrom:[OS Astra Linux 1.7.5 1.7_x86-64 DVD ]/ 1.7_x86-64 contrib main non-free #deb https://download.astralinux.ru/astra/stable/1.7_x86-64/repository-main/ 1.7_x86-64 main contrib non-free #deb https://download.astralinux.ru/astra/stable/1.7_x86-64/repository-update/ 1.7_x86-64 main contrib non-free #deb https://download.astralinux.ru/astra/stable/1.7_x86-64/repository-base/ 1.7_x86-64 main contrib non-free #deb https://download.astralinux.ru/astra/stable/1.7_x86-64/repository-extended/ 1.7_x86-64 main contrib non-free #deb https://download.astralinux.ru/astra/stable/1.7_x86-64/uu/last/repository-update/ 1.7_x86-64 main contrib non-free
1.6. Очистить сохраненные списки пакетов, содержащие информацию из ранее использовавшихся репозиториев.
sudo rm -rf /var/lib/apt/lists/*
1.7. Обновить список пакетов.
sudo apt update
1.8. Установить пакеты:
sudo apt install pdns-server pdns-backend-ldap pdns-recursor
Во время установки пакетов в консоли будет запрошена информация. Необходимо отвечать согласно таблице:
| Вопрос | Ответ |
|---|---|
| Restart services during package upgrades without asking? [yes/no] | yes |
| Файл настройки "/etc/locale/alias" изменен с момента установки. Автор пакета предоставил обновленную версию. Что нужно сделать? По умолчанию сохраняется текущая версия файла настройки. *** locale.alias (Y/I/N/O/D/Z) [по умолчанию N] ? | N |
Шаг 2. Выключить сервисы "pdns" и "pdns-recursor".
Для этого необходимо выполнить команды:
sudo systemctl stop pdns sudo systemctl stop pdns-recursor
Шаг 3. Включить автоматическое управление конфигурационными файлами PowerDNS.
Внимание:
В случае, если автоматическое управление конфигурационными файлами PowerDNS недопустимо, необходимо настроить эти файлы вручную по инструкции: 4.3.2.7. Настройка конфигурационных файлов PowerDNS вручную, Шаг 3 и 4 текущей инструкции пропустить.
Для этого необходимо:
3.1. Открыть для редактирования файл конфигурации Avanpost DS "/opt/avanpost/ads/config/config.yaml".
sudo nano /opt/avanpost/ads/config/config.yaml
3.2. Добавить строки в файл:
service_control: dns_control: true
Шаг 4. Настроить автоматическое управление конфигурационными файлами PowerDNS.
Внимание:
В случае, если автоматическое управление конфигурационными файлами PowerDNS недопустимо, необходимо настроить эти файлы вручную по инструкции: 4.3.2.7. Настройка конфигурационных файлов PowerDNS вручную, Шаг 3 и 4 текущей инструкции пропустить.
Конфигурационный файл "/etc/krb5.conf" и файл "/etc/krb5.keytab" должны иметь права 644. Для выставления прав требуется выполнить команды:
sudo chmod 644 /etc/krb5.conf sudo chmod 644 /etc/krb5.keytab
При загрузке Avanpost DS будет проверять конфигурационные файлы PowerDNS. Если были внесены какие-либо изменения вручную, то конфигурационные файлы будут восстановлены. Поэтому дальнейшие изменения конфигурационных файлов "pdns.conf" и "recursor.conf" следует выполнять из веб-интерфейса Avanpost DS.
Шаг 5. Выдать ACL разрешения на директории PowerDNS.
Для этого необходимо выполнить команды:
sudo setfacl -m u:ads:rwx /etc/powerdns sudo setfacl -m u:ads:rw /etc/powerdns/pdns.conf /etc/powerdns/recursor.conf sudo mkdir -p /var/lib/pdns sudo chown pdns:pdns /var/lib/pdns
Шаг 6. Включить и запустить сервисы "pdns", "pdns-recursor", "ads".
Для этого необходимо выполнить команды:
sudo systemctl enable --now pdns pdns-recursor sudo systemctl restart ads.service
Шаг 7. Проверить DNS записи зоны прямого просмотра.
Для этого необходимо выполнить команду по шаблону, подставив свои значения:
dig srv _ldap._tcp.[Домен2ур].[Домен1ур]
Заменить [Домен1ур] на свой домен первого уровня.
Заменить [Домен2ур] на свой домен второго уровня.
dig srv _ldap._tcp.avanpost.local
В выводе команд обязательно должны быть записи типа "SRV".
dig srv _ldap._tcp.avanpost.local ;; ANSWER SECTION: _ldap._tcp.avanpost.local. 1500 IN SRV 0 0 389 ds01.avanpost.local. _ldap._tcp.avanpost.local. 1500 IN SRV 0 0 389 ds02.avanpost.local.
Можно проверить работу сервисов "pdns" и "pdns-recursor" с помощью команд:
dig srv _ldap._tcp.avanpost.local -p 5300 #[pdns] dig srv _ldap._tcp.avanpost.local -p 53 #[pdns-recursor]
Шаг 8. Проверить DNS записи зоны обратного просмотра.
Для этого необходимо выполнить команду по шаблону, подставив свои значения:
dig -x [IP PDNS сервера]
Заменить [IP PDNS сервера] на IP адрес контроллера домена.
dig -x 192.168.1.11
Можно проверить работу сервисов "pdns" и "pdns-recursor" с помощью команд:
dig -x 192.168.1.11 -p 5300 #[pdns] dig -x 192.168.1.11 -p 53 #[pdns-recursor]
После выполнения всех шагов развертывание Avanpost DS на контроллере завершено.
Можно переходить к разворачиванию Avanpost DS на следующем контроллере или к Этапу 2 "Интеграция Avanpost DS с прикладными системами".