ВНИМАНИЕ:
В инструкции приведены команды для трех операционных систем: REDOSASTRAALT
Для шагов с отличающимися в зависимости от ОС действиями указаны команды для всех трех ОС. Необходимо выполнять команды только для используемой вами ОС.
Для полноценной работы большинства функций в доменной сети требуется DNS сервер.
Avanpost DS выступает в качестве хранилища записей для DNS сервера PowerDNS и позволяет создавать записи в базе в том числе через веб-интерфейс администратора. Для интеграции PowerDNS необходимо на контроллере выполнить шаги:
Шаг 1. Установить необходимые пакеты: PowerDNS сервер и утилиты для отладки.
Для этого необходимо выполнить команды:
| RedOS | sudo dnf install pdns pdns-backend-ldap pdns-recursor bind-utils | |
|---|---|---|
Astra | sudo apt install pdns-server pdns-backend-ldap pdns-recursor dnsutils | |
Alt | sudo apt-get install pdns pdns-backend-ldap pdns-recursor bind-utils | |
Шаг 2. Заполнить конфигурационный файл "pdns.conf".
Для этого необходимо:
2.1. Переименовать созданный по умолчанию конфигурационный файл "pdns.conf" и создать новый файл "pdns.conf".
Примечание:
На ОС Astra конфигурационный файл "pdns.conf" находится в директории "/etc/powerdns/pdns.conf".
На ОС RedOS и Alt конфигурационный файл "pdns.conf" находится в директории "/etc/pdns/pdns.conf".
| RedOS | sudo mv /etc/pdns/pdns.conf /etc/pdns/pdns.conf.bak sudo nano /etc/pdns/pdns.conf | |
|---|---|---|
Astra | sudo mv /etc/powerdns/pdns.conf /etc/powerdns/pdns.conf.bak sudo nano /etc/powerdns/pdns.conf | |
Alt | sudo mv /etc/pdns/pdns.conf /etc/pdns/pdns.conf.bak sudo nano /etc/pdns/pdns.conf | |
2.2. Заполнить новый конфигурационный файл "pdns.conf" по шаблону:
| RedOS | Шаблон /etc/pdns/pdns.conf launch=ldap ldap-method=tree ldap-host=ldap://localhost:389/ ldap-bindmethod=simple ldap-binddn=cn=[ЛОГИН],ou=users,dc=[Домен2ур],dc=[Домен1ур] ldap-secret=[ПАРОЛЬ] ldap-basedn=ou=dns,dc=system master=yes version-string=anonymous default-ttl=1500 zone-cache-refresh-interval=0 loglevel=7 local-address=127.0.0.1 local-port=5300 | |
|---|---|---|
Astra | Шаблон /etc/powerdns/pdns.conf launch=ldap ldap-method=tree ldap-host=ldap://localhost:389/ ldap-bindmethod=simple ldap-binddn=cn=[ЛОГИН],ou=users,dc=[Домен2ур],dc=[Домен1ур] ldap-secret=[ПАРОЛЬ] ldap-basedn=ou=dns,dc=system master=yes version-string=anonymous default-ttl=1500 loglevel=7 local-address=127.0.0.1 local-port=5300 | |
Alt | Шаблон /etc/pdns/pdns.conf launch=ldap ldap-method=tree ldap-host=ldap://localhost:389/ ldap-bindmethod=simple ldap-binddn=cn=[ЛОГИН],ou=users,dc=[Домен2ур],dc=[Домен1ур] ldap-secret=[ПАРОЛЬ] ldap-basedn=ou=dns,dc=system master=yes version-string=anonymous default-ttl=1500 zone-cache-refresh-interval=0 loglevel=7 local-address=127.0.0.1 local-port=5300 | |
Важные параметры для сервиса PowerDNS:
- ldap-host - Адрес и порт Avanpost DS Ldap
- ldap-binddn - Пользователь для получения записей DNS (По умолчанию
- ldap-secret - Пароль пользователя для получения записей DNS
- ldap-basedn - BaseDN где находятся записи DNS
- local-port - Указываем любой порт кроме 53 для работы сервиса PowerDNS, мы открыли для этого порт 5300 на шаге 3.3
master=yes или primary=yes в зависимости от версии PowerDNS
В строке 5 заменить [Домен1ур] на свой домен первого уровня, а [Домен2ур] — на свой домен второго уровня
В строках 5 и 6 заменить [ЛОГИН] и [ПАРОЛЬ] на логин и пароль администратора
Пользователь по умолчанию: "Administrator".
Пароль по умолчанию: "Avanp0st".
| RedOS | Пример заполненного /etc/pdns/pdns.conf launch=ldap ldap-method=tree ldap-host=ldap://localhost:389/ ldap-bindmethod=simple ldap-binddn=cn=Administrator,ou=users,dc=avanpost,dc=local ldap-secret=Avanp0st ldap-basedn=ou=dns,dc=system master=yes version-string=anonymous default-ttl=1500 zone-cache-refresh-interval=0 loglevel=7 local-address=127.0.0.1 local-port=5300 | |
|---|---|---|
Astra | Пример заполненного /etc/powerdns/pdns.conf launch=ldap ldap-method=tree ldap-host=ldap://localhost:389/ ldap-bindmethod=simple ldap-binddn=cn=Administrator,ou=users,dc=avanpost,dc=local ldap-secret=Avanp0st ldap-basedn=ou=dns,dc=system master=yes version-string=anonymous default-ttl=1500 loglevel=7 local-address=127.0.0.1 local-port=5300 | |
Alt | Пример заполненного /etc/pdns/pdns.conf launch=ldap ldap-method=tree ldap-host=ldap://localhost:389/ ldap-bindmethod=simple ldap-binddn=cn=Administrator,ou=users,dc=avanpost,dc=local ldap-secret=Avanp0st ldap-basedn=ou=dns,dc=system master=yes version-string=anonymous default-ttl=1500 zone-cache-refresh-interval=0 loglevel=7 local-address=127.0.0.1 local-port=5300 | |
Шаг 3. Заполнить конфигурационный файл "recursor.conf".
Для этого необходимо:
3.1. Переименовать конфигурационный файл, созданный по умолчанию "recursor.conf". Затем создать новый конфигурационный файл "recursor.conf".
| RedOS | sudo mv /etc/pdns-recursor/recursor.conf /etc/pdns-recursor/recursor.conf.bak sudo nano /etc/pdns-recursor/recursor.conf | |
|---|---|---|
Astra | sudo mv /etc/powerdns/recursor.conf /etc/powerdns/recursor.conf.bak sudo nano /etc/powerdns/recursor.conf | |
Alt | sudo mv /etc/pdns-recursor/recursor.conf /etc/pdns-recursor/recursor.conf.bak sudo nano /etc/pdns-recursor/recursor.conf | |
3.2. Заполнить новый конфигурационный файл "recursor.conf" по шаблону:
forward-zones=[Домен2ур].[Домен1ур]=127.0.0.1:5300,in-addr.arpa=127.0.0.1:5300 local-address=0.0.0.0:53 dnssec=off # No RRSIG, current state is Bogus
Важные параметры для сервиса PowerDNS recursor:
- forward-zones - В параметре указывается домен и адрес сервера. Можно указывать много доменов с помощью +=Пример
forward-zones+=example.local=127.0.0.1:5300
- local-address - указывается адрес, на котором будет отвечать рекурсор
В строке 1 заменить [Домен1ур] на свой домен первого уровня, а [Домен2ур] — на свой домен второго уровня.
forward-zones=avanpost.local=127.0.0.1:5300,in-addr.arpa=127.0.0.1:5300 local-address=0.0.0.0:53 dnssec=off # No RRSIG, current state is Bogus
Шаг 4. Включить и запустить сервисы "pdns", "pdns-recursor".
Для этого необходимо выполнить команды:
sudo systemctl enable --now pdns sudo systemctl enable --now pdns-recursor
Шаг 5. Перезапустить сервис "ads".
Примечание:
Перезапуск сервиса ads требуется для автоматического создания DNS записи.
Для этого необходимо выполнить команду:
sudo systemctl restart ads.service
Шаг 6. Проверить, что DNS зона создана.
Для этого необходимо в разделе "DNS" веб-интерфейса администратора Avanpost DS проверить наличие зоны.
Шаг 7. Проверить DNS записи.
Для этого необходимо выполнить команду по шаблону, подставив свои значения:
dig srv _ldap._tcp.[Домен2ур].[Домен1ур]
Заменить [Домен1ур] на свой домен первого уровня.
Заменить [Домен2ур] на свой домен второго уровня.
dig srv _ldap._tcp.avanpost.local
В выводе команд обязательно должны быть записи типа "SRV".
dig srv _ldap._tcp.avanpost.local ;; ANSWER SECTION: _ldap._tcp.avanpost.local. 1500 IN SRV 0 0 389 ds01.avanpost.local. _ldap._tcp.avanpost.local. 1500 IN SRV 0 0 389 ds02.avanpost.local.
После выполнения всех шагов развертывание Avanpost DS на контроллере завершено.
Можно переходить к разворачиванию Avanpost DS на следующем контроллере или к Этапу 2 "Интеграция Avanpost DS с прикладными системами".