LINUX.ORG.RU
решено ФорумAdmin

bind не запускается в связке с samba4 (sernet-samba 4.1, ubuntu 12.04, bind 9.8)

 , , , ,


0

1

Поднимаю DC на samba 4.1, в качестве DNS-backend bind9 по инструкциям с https://wiki.samba.org: HOWTO, OS requirements. Всё работает если использовать встроенный DNS, но нужен bind. Прочитал Dns-backend bind с той же вики. Устанавливаю, привожу /etc/bind/named.conf.options в соответствие с инструкцией, запускаю bind — работает.

Добавляю правила apparmor, прописываю /var/lib/samba/private/named.conf в конфиг bind, перезапускаю демона — не запускается. Ругается, что не хватает прав на чтение конфига.

Понимаю, что что-то где-то пропустил или ошибся в правах, но не могу понять что именно. Погуглил, пробовал выдавать больше прав на /var/lib/samba/private/named.conf и директорию, но ничего не помогло (service apparmor reload делать не забывал).

Помогите найти решение, пожалуйста.

  • $ tail /var/log/syslog
    … named[3049]: starting BIND 9.8.1-P1 -u bind
    … named[3049]: built with '--prefix=/usr' '--mandir=/usr/share/man' '--infodir=/usr/share/info' '--sysconfdir=/etc/bind' '--localstatedir=/var' '--enable-threads' '--enable-largefile' '--with-libtool' '--enable-shared' '--enable-static' '--with-openssl=/usr' '--with-gssapi=/usr' '--with-gnu-ld' '--with-geoip=/usr' '--enable-ipv6' 'CFLAGS=-fno-strict-aliasing -DDIG_SIGCHASE -O2' 'LDFLAGS=-Wl,-Bsymbolic-functions -Wl,-z,relro' 'CPPFLAGS=-D_FORTIFY_SOURCE=2'
    … named[3049]: adjusted limit on open files from 4096 to 1048576
    … named[3049]: found 1 CPU, using 1 worker thread
    … named[3049]: using up to 4096 sockets
    … named[3049]: loading configuration from '/etc/bind/named.conf'
    … named[3049]: /etc/bind/named.conf:12: open: /var/lib/samba/private/named.conf: permission denied
    … named[3049]: loading configuration: permission denied
    … named[3049]: exiting (due to fatal error)
    
  • $ cat /etc/apparmor.d/local/usr.sbin.named
    /var/lib/samba/** rm,
    /var/lib/samba/private/dns.keytab r,
    /var/lib/samba/private/named.conf r,
    /var/lib/samba/private/dns/** rwk,
    
    
  • $ cat /etc/bind/named.conf
    include "/etc/bind/named.conf.options";
    include "/etc/bind/named.conf.local";
    include "/etc/bind/named.conf.default-zones";
    include "/var/lib/samba/private/named.conf";
  • $ sudo ls /var/lib/samba/private/ -la
    total 11236
    drwxr-x---  7 root root    4096 Mar 14 12:43 .
    drwxr-xr-x 10 root root    4096 Mar 14 11:44 ..
    drwxrwx---  3 root bind    4096 Mar 14 11:41 dns
    -rw-r-----  1 root bind     752 Mar 14 11:41 dns.keytab
    -rw-r--r--  1 root root    2270 Mar 14 11:41 dns_update_list
    …
    -rw-r--r--  1 root root     575 Mar 14 11:41 named.conf
    -r--r--r--  1 root root     227 Mar 14 11:44 named.conf.update
    …

...
… named[3049]: /etc/bind/named.conf:12: open: /var/lib/samba/private/named.conf: permission denied
...

Дайте право на чтение файлов для bind.

kostik87 ★★★★★
()
Ответ на: комментарий от kostik87

Попробовал дать права ещё и средствами файловой системы, т.к. в apparmor необходимое уже прописано:

$ ls -la /var/lib/samba | grep private
drwxr-x---   7 root bind      4096 Mar 14 13:12 private

$ sudo ls -la /var/lib/samba/private | grep named
-rw-r--r--  1 root bind     575 Mar 14 11:41 named.conf
-r--r--r--  1 root root     227 Mar 14 11:44 named.conf.update
-rw-r--r--  1 root root    2204 Mar 14 11:41 named.txt

Помогло. Спасибо. Думал разрешающего правила в apparmor достаточно.

Ну и в /etc/apparmor.d/local/usr.sbin.named добавил

  /usr/lib/x86_64-linux-gnu/samba/bind9/** rwlm,
  /usr/lib/x86_64-linux-gnu/samba/** rwlm,
  /usr/lib/x86_64-linux-gnu/ldb/** rwlm,

ocelot
() автор топика

Если по инструкциям, почему бы не поставить самбу 3.6.6, к примеру. И отдельно бинд по-нормальному. Сдалось оно вам? Нахера рушить связку, на которую заточка и была?. Имеется в виду Samba+DNS+DHCP+AD. Поди теперь расковыривай.

conalex ★★★
()
13 марта 2016 г.
Ответ на: комментарий от ocelot

/etc/bind/named.conf:12: open: /var/lib/samba/private/named.conf: permission denied

Должно быть так в конфиге - пути поменяйте на свои # for samba4 #/usr/local/samba/private/** r, /usr/local/samba/** rkm, /usr/local/samba/lib/bind9/** m, /usr/local/samba/lib/ldb/** m, /usr/local/samba/lib/gensec/krb5.so m, /usr/local/samba/private/dns.keytab rwk, /usr/local/samba/private/named.conf r, /usr/local/samba/private/dns/** rwk, /usr/local/samba/private/krb5.conf r, /var/tmp/** rwk, /dev/urandom rwk,

unnforgiven
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.