4.3.2.5. Настройка PowerDNS на контроллере домена МСВСфера

Для полноценной работы большинства функций в доменной сети требуется DNS сервер.
Avanpost DS выступает в качестве хранилища записей для DNS сервера PowerDNS и позволяет создавать записи в базе в том числе через веб-интерфейс администратора.

Для настройки DNS-сервера PowerDNS на контроллере домена Avanpost DS необходимо выполнить шаги:

Шаг 1. Установить необходимые пакеты.
Шаг 2. Включить автоматическое управление конфигурационными файлами PowerDNS.
Шаг 3. Настроить автоматическое управление конфигурационными файлами PowerDNS.
Шаг 4. Выдать ACL разрешения на директории PowerDNS.
Шаг 5. Включить и запустить сервисы "pdns", "pdns-recursor".
Шаг 6. Перезапустить сервис "ads".
Шаг 7. Проверить DNS записи зоны прямого просмотра.
Шаг 8. Проверить DNS записи зоны обратного просмотра.

Шаг 1. Установить необходимые пакеты.

Для этого необходимо выполнить команду:

sudo dnf install pdns pdns-backend-ldap pdns-recursor bind-utils

Шаг 2. Включить автоматическое управление конфигурационными файлами PowerDNS.

Внимание:

В случае, если автоматическое управление конфигурационными файлами PowerDNS недопустимо, необходимо настроить эти файлы вручную по инструкции: 4.3.2.7. Настройка конфигурационных файлов PowerDNS вручную, Шаг 2 и 3 текущей инструкции пропустить.

Для этого необходимо:

2.1. Открыть для редактирования файл конфигурации Avanpost DS "/opt/avanpost/ads/config/config.yaml".

sudo nano /opt/avanpost/ads/config/config.yaml

2.2. Добавить строки в файл:

Строки для добавления

service_control:
  dns_control: true

Шаг 3. Настроить автоматическое управление конфигурационными файлами PowerDNS.

Внимание:

В случае, если автоматическое управление конфигурационными файлами PowerDNS недопустимо, необходимо настроить эти файлы вручную по инструкции: 4.3.2.7. Настройка конфигурационных файлов PowerDNS вручную, Шаг 2 и 3 текущей инструкции пропустить.

Для этого необходимо:

3.1. Установить пакеты:

sudo dnf install krb5-workstation acl cyrus-sasl-gssapi

3.2. Конфигурационный файл "/etc/krb5.conf" и файл "/etc/krb5.keytab" должны иметь права 644. Для выставления прав требуется выполнить команды:

sudo chmod 644 /etc/krb5.conf
sudo chmod 644 /etc/krb5.keytab

При загрузке Avanpost DS будет проверять конфигурационные файлы PowerDNS. Если были внесены какие-либо изменения вручную, то конфигурационные файлы будут восстановлены. Поэтому дальнейшие изменения конфигурационных файлов "pdns.conf" и "recursor.conf" следует выполнять из веб-интерфейса Avanpost DS.

Шаг 4. Выдать ACL разрешения на директории PowerDNS.

Для этого необходимо выполнить команды:

sudo setfacl -m u:ads:rwx /etc/pdns /etc/pdns-recursor/
sudo setfacl -m u:ads:rw /etc/pdns/pdns.conf /etc/pdns-recursor/recursor.conf

Шаг 5. Включить и запустить сервисы "pdns", "pdns-recursor".

Для этого необходимо выполнить команды:

sudo systemctl enable --now pdns pdns-recursor

Шаг 6. Перезапустить сервис "ads".

Перезапуск сервиса ads требуется для автоматического создания DNS записи.

Для этого необходимо выполнить команду:

sudo systemctl restart ads.service

Шаг 7. Проверить DNS записи зоны прямого просмотра.

Для этого необходимо выполнить команду по шаблону, подставив свои значения:

Шаблон команды

dig srv _ldap._tcp.[Домен2ур].[Домен1ур]

Заменить [Домен1ур] на свой домен первого уровня.

Заменить [Домен2ур] на свой домен второго уровня.

Пример команды

dig srv _ldap._tcp.avanpost.local

В выводе команд обязательно должны быть записи типа "SRV".

Пример вывода команды

dig srv _ldap._tcp.avanpost.local
;; ANSWER SECTION:
_ldap._tcp.avanpost.local. 1500    IN      SRV     0 0 389 ds01.avanpost.local.
_ldap._tcp.avanpost.local. 1500    IN      SRV     0 0 389 ds02.avanpost.local.

Можно проверить работу сервисов "pdns" и "pdns-recursor" с помощью команд:

dig srv _ldap._tcp.avanpost.local -p 5300   #[pdns]
dig srv _ldap._tcp.avanpost.local -p 53     #[pdns-recursor]

Шаг 8. Проверить DNS записи зоны обратного просмотра.