ВНИМАНИЕ:
В инструкции приведены команды для операционных систем:
| RedOS | Astra | Alt | МСВСфера |
Для шагов с отличающимися в зависимости от ОС действиями указаны команды для всех ОС. Необходимо выполнять команды только для используемой вами ОС.
Для использования keytab-файла хоста вместо отдельного keytab-файла для сервиса PowerDNS необходимо на каждом контроллере домена Avanpost DS выполнить шаги:
- Шаг 1. Сделать резервную копию файлов "srv_pdns.keytab" и "srv_pdns.tkt".
- Шаг 2. Добавить контроллер домена в группу "DNS Administrators" в веб-интерфейсе Avanpost DS.
- Шаг 3. Установить права на файл "/etc/krb5.keytab".
- Шаг 4. Изменить конфигурацию PowerDNS.
- Шаг 5. Перезапустить сервис "pdns"
- Шаг 5. Проверить работу PowerDNS
Шаг 1. Сделать резервную копию файлов "srv_pdns.keytab" и "srv_pdns.tkt".
Для этого требуется выполнить команды:
Astra | sudo mv /etc/powerdns/srv_pdns.keytab /etc/powerdns/srv_pdns.keytab_BACKUP sudo mv /var/lib/pdns/srv_pdns.tkt /var/lib/pdns/srv_pdns.tkt_BACKUP |
RedOS | sudo mv /etc/pdns/srv_pdns.keytab /etc/pdns/srv_pdns.keytab_BACKUP sudo mv /var/lib/pdns/srv_pdns.tkt /var/lib/pdns/srv_pdns.tkt_BACKUP |
Alt | |
МСВСфера |
Шаг 2. Добавить контроллер домена в группу "DNS Administrators" в веб-интерфейсе Avanpost DS.
Подробнее о добавлении компьютеров в группы в веб-интерфейсе Avanpost DS см. статью: "6.4. Управление рабочими станциями".
Шаг 3. Установить права на файл "/etc/krb5.keytab".
Файл "/etc/krb5.keytab" должен иметь права 644. Для выставления прав требуется выполнить команду:
sudo chmod 644 /etc/krb5.keytab
Альтернативный вариант установки необходимых прав с помощью ACL разрешений:
sudo setfacl -m u:pdns:--r /etc/krb5.keytab
Шаг 4. Изменить конфигурацию PowerDNS.
Для этого требуется:
4.1. В разделе "DNS" веб-интерфейса администратора нажать 
.
4.2. В открывшемся окне в секции "Настройки авторитативного DNS сервера (pdns.conf)" заменить все содержимое на следующее:
#Avanpost DS auto generate launch=ldap ldap-method=tree ldap-host=ldap://127.0.0.1:389 ldap-basedn=ou=dns,dc=system version-string=anonymous default-ttl=1500 local-address=127.0.0.1 local-port=5300 ldap-bindmethod=gssapi ldap-krb5-ccache=/var/lib/pdns/srv_pdns.tkt primary=yes zone-cache-refresh-interval=0
В случае использования ручного управления конфигурацией PowerDNS требуется отредактировать конфигурационный файл "/etc/pdns/pdns.conf" вручную.
Шаг 5. Перезапустить сервис "pdns"
Для этого требуется выполнить команду:
sudo systemctl restart pdns
Шаг 5. Проверить работу PowerDNS
Для этого необходимо выполнить команды по шаблону, подставив свои значения:
dig @127.0.0.1 -p 5300 srv _ldap._tcp.[Домен2ур].[Домен1ур] dig @127.0.0.1 -p 53 srv _ldap._tcp.[Домен2ур].[Домен1ур]
Заменить [Домен1ур] на свой домен первого уровня.
Заменить [Домен2ур] на свой домен второго уровня.
dig @127.0.0.1 -p 5300 srv _ldap._tcp.domain.com dig @127.0.0.1 -p 53 srv _ldap._tcp.domain.com
В выводе команд обязательно должны быть записи типа "SRV".