jqueiroz
Cyber Highlander
Registrado
104K Mensagens
5.7K Curtidas
Eu sugiro que vc mantenha como "SAMBA_INTERNAL". Sendo o Samba que fornece o DNS, certifique-se de que (1) não haja outro servidor DNS ativo: nem BIND, nem dnsmasq; e (2) ao testar, use o endereço do servidor Samba como fonte.
jgama
Ubbergeek
Registrado
7.1K Mensagens
65 Curtidas
Feliz 2015 jqueiroz.
Bom amigo, antes mesmo de eu partir para Bind eu tinha instalado o samba 4 com a opção de usar SAMBA_INTERNAL achando que daria certo, mas o erro é o mesmo com o Bind.
ou seja com Bind ou sem ele o erro continua
root@srv-01:/home/teste# host -t SRV _ldap._tcp.exemplo.local
Host _ldap._tcp.exemplo.local not found: 3(NXDOMAIN)
O problema que se eu usar o DNS do proprio samba como ficaria os demais servicos que usa o BIND como servidor de cache local?
abraço
jqueiroz
Cyber Highlander
Registrado
104K Mensagens
5.7K Curtidas
Vc vai ter que levar esses serviços pra outra máquina. Sugestão: Máquina virtual.
EDIT: Se o samba oferece serviço de DNS, provavelmente vai oferecer serviço de cache DNS local também.
E se vc pretende usar o samba como PDC, não tem alternativa, tem que fazer as estações usarem o mesmo servidor DNS que ele, pq é lá que ele vai criar esses registros.
Pra fechar... eu tenho quase certeza de que não vai rolar com BIND9. Esses registros com "_" na frente são inválidos pra ele.
jgama
Ubbergeek
Registrado
7.1K Mensagens
65 Curtidas
não estou conseguindo, agora o bind não starta pois diz que não tem permissão em um arquivo do samba
Jan 2 11:42:02 srv-01 named[3607]: loading configuration from '/etc/bind/named.conf'
Jan 2 11:42:02 srv-01 named[3607]: /etc/bind/named.conf:12: open: /usr/local/samba/private/named.conf: permission denied
Jan 2 11:42:02 srv-01 named[3607]: loading configuration: permission denied
Jan 2 11:42:02 srv-01 named[3607]: exiting (due to fatal error)
Jan 2 11:42:02 srv-01 kernel: [ 3340.142939] type=1400 audit(1420206122.235:77): apparmor="DENIED" operation="open" profile="/usr/sbin/named" name="/usr/local/samba/private/named.conf" pid=3615 comm="nam$
Jan 2 11:43:09 srv-01 named[3672]: starting BIND 9.9.6-P1 -u bind
Jan 2 11:43:09 srv-01 named[3672]: built with '--prefix=/usr' '--mandir=/usr/share/man' '--infodir=/usr/share/info' '--sysconfdir=/etc/bind' '--localstatedir=/var' '--enable-threads' '--enable-largefile'$
o arquivio fica em /usr/local/samba/private/named.conf
já alterei a permissão para usuario bind e sem sucesso.
root@srv-01:~# ls -la /usr/local/samba/private/
total 11232
drwxr-xr-x 7 bind bind 4096 Jan 2 11:01 .
drwxr-xr-x 10 root root 4096 Jan 2 00:11 ..
drwxrwx--- 3 root bind 4096 Jan 2 00:11 dns
-rw-r----- 1 root bind 807 Jan 2 00:11 dns.keytab
-rw-rw-rw- 1 root root 0 Jan 2 00:12 dns_update_cache
-rw-r--r-- 1 root root 3183 Jan 2 00:11 dns_update_list
-rw------- 1 root root 1286144 Jan 2 00:11 hklm.ldb
-rw------- 1 root root 1609728 Jan 2 09:16 idmap.ldb
-rw-r--r-- 1 root root 96 Jan 2 00:11 krb5.conf
srwxrwxrwx 1 root root 0 Jan 2 10:56 ldapi
drwxr-x--- 2 root root 4096 Jan 2 10:56 ldap_priv
-rw-rw-r-- 1 root bind 646 Jan 2 00:27 named.conf
-r--r--r-- 1 bind root 234 Jan 2 00:12 named.conf.update
que tipo de permissão tem que da para este arquivo poder se lido pelo bind?
Sem contar que não executa kinit legal.
kinit for SRV-01$@CCBSUMARE.LOCAL failed (Cannot contact any KDC for requested realm)
Abraço
jqueiroz
Cyber Highlander
Registrado
104K Mensagens
5.7K Curtidas
Quem está bloqueando o início do bind/named é o AppArmor. Vc precisa modificar o perfil dele (/etc/apparmor.d/usr.bin.named) pra incluir permissão de leitura para esse arquivo. Não é difícil entender como faz, basta olhar o conteúdo do arquivo e mudar.
Depois de mudar o apparmor, use o comando "service apparmor restart" ou reinicie a máquina pra ativar a configuração.
jgama
Ubbergeek
Registrado
7.1K Mensagens
65 Curtidas
Amigão funcionou só mas agora aparece outro erro, justamente porque o conteúdo do arquivo /usr/local/samba/private/named.conf tem a linha abaixo.
dlz "AD DNS Zone" {
# For BIND 9.8.x
[HASHTAG]#database[/HASHTAG] "dlopen /usr/local/samba/lib/bind9/dlz_bind9.so";
# For BIND 9.9.x
database "dlopen /usr/local/samba/lib/bind9/dlz_bind9_9.so";
# For BIND 9.10.x
# database "dlopen /usr/local/samba/lib/bind9/dlz_bind9_10.so";
};
O erro no log:
Jan 2 19:06:40 srv-01 named[3317]: Loading 'AD DNS Zone' using driver dlopen
Jan 2 19:06:40 srv-01 named[3317]: dlz_dlopen failed to open library '/usr/local/samba/lib/bind9/dlz_bind9_9.so' - /usr/local/samba/lib/bind9/dlz_bind9_9.so: failed to map segment from shared object: Per$
Jan 2 19:06:40 srv-01 named[3317]: dlz_dlopen of 'AD DNS Zone' failed
Jan 2 19:06:40 srv-01 named[3317]: SDLZ driver failed to load.
Jan 2 19:06:40 srv-01 named[3317]: DLZ driver failed to load.
Jan 2 19:06:40 srv-01 named[3317]: loading configuration: failure
Jan 2 19:06:40 srv-01 named[3317]: exiting (due to fatal error)
Jan 2 19:06:40 srv-01 kernel: [ 2372.614343] type=1400 audit(1420232800.106:124): apparmor="DENIED" operation="file_mmap" profile="/usr/sbin/named" name="/usr/local/samba/lib/bind9/dlz_bind9_9.so" pid=33$
Apesar que o meu problema mais grave é com Kerberos resolvendo este o Samba 4 + Bind9 vai funcionar.
teste:
root@srv-01:/home/teste# host -t SRV _ldap._tcp.ccbsumare.local.
_ldap._tcp.ccbsumare.local has SRV record 0 100 389 srv-01.ccbsumare.local.
root@srv-01:/home/teste# host -t A srv-01.ccbsumare.local.
srv-01.ccbsumare.local has address 192.168.0.3
Este é o problema
root@srv-01:/home/teste# host -t SRV _kerberos._udp.ccbsumare.local.
Host _kerberos._udp.ccbsumare.local. not found: 3(NXDOMAIN)
no arquivo do /etc/krb5.conf e arquivo foi o proprio Samba que criou na instalação.
[libdefaults]
default_realm = CCBSUMARE.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = true
Abraço
jqueiroz
Cyber Highlander
Registrado
104K Mensagens
5.7K Curtidas
Ainda acho que vc não precisa do bind... pq não investe no suporte nativo do samba?
jgama
Ubbergeek
Registrado
7.1K Mensagens
65 Curtidas
vc me venceu kkkk
Quando pensei que eu iria finalmente consegui, no ultimo teste não tive sorte.
teste@srv-01:~$ kinit [EMAIL]administrator@CCBSUMARE.LOCAL[/EMAIL]
kinit: Cannot contact any KDC for realm 'CCBSUMARE.LOCAL' while getting initial credentials
teste@srv-01:~$
este arquivo foi o proprio samba criou em /usr/local/samba/private/krb5.conf e criei um link simbólico para /etc/krb5.conf
teste@srv-01:~$ cat /etc/krb5.conf
[libdefaults]
default_realm = CCBSUMARE.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = true
teste@srv-01:~$
EDITADO: Resolvido
Tive que acrescentar mais alguns detalhes no /etc/krb5.conf
[libdefaults]
default_realm = CCBSUMARE.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = true
[realms]
CCBSUMARE.LOCAL = {
kdc = srv-01.ccbsumare.local:88
#admin_server = srv01.ccbsumare.local
default_domain = ccbsumare.local
}
[domain_realm]
.ccbsumare.local = CCBSUMARE.LOCAL
ccbsumare.local = CCBSUMARE.LOCAL
Agora o comando finaliza corretamente.
root@srv-01:/home/teste# kinit [email]administrator@CCBSUMARE.LOCAL[/email]
Password for [email]administrator@CCBSUMARE.LOCAL[/email]:
Warning: Your password will expire in 41 days on Dom 15 Fev 2015 00:22:49 BRST
root@srv-01:/home/teste# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: [email]administrator@CCBSUMARE.LOCAL[/email]
Valid starting Expires Service principal
04-01-2015 03:19:42 04-01-2015 13:19:42 krbtgt/[email]CCBSUMARE.LOCAL@CCBSUMARE.LOCAL[/email]
renew until 05-01-2015 03:19:37
Abraço
Abraço