Re: [Sysadmins] dhcpd и chroot
Evgeny Sinelnikov писал 03.04.2019 21:20: Я такой ручки не помнил, но глянул в исходники, обнаружил опцию -j Видимо, это ручка выглядит так: DHCPDARGS="-j /" в /etc/sysconfig/dhcpd Спасибо, "ручка" сработала с дополнением в виде "-lf /var/lib/dhcp/dhcpd/state/dhcpd.leases". Итоговый вид /etc/sysconfig/dhcpd: DHCPDARGS="-j / -lf /var/lib/dhcp/dhcpd/state/dhcpd.leases" В будущем вполне можно сделать control по аналогии с bind-chroot - действия требуются практически такие же. Еще раз спасибо! PS Правда, реализовать обновление DNS пока не получилось - см. https://lists.altlinux.org/pipermail/samba/2019-April/004329.html Но это уже не к dhcpd. ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] dhcpd и chroot
Evgeny Sinelnikov писал 03.04.2019 21:37: ср, 3 апр. 2019 г. в 22:20, Evgeny Sinelnikov : Вообще, я тут подумал и припомнил вот такой инструмент: [sin@xpi dhcp]$ net ads dns Invalid command: net ads dns Usage: net ads dns registerAdd host dns entry to AD net ads dns unregister Remove host dns entry from AD net ads dns gethostbyname Look up host Обновлять DNS-записи в домене - это не задача dhcp-сервера. Это задача самого клиента. Клиент обращается со своими учётными данными (точнее компьютер обращается со своими учётными данными в /etc/krb5.keytab) и сам обновляет свои DNS-записи. Так оно задумано и все инструменты для это имеются. Их можно хуками на dhcp-клиенте прописать. Это все очень правильно, но, к сожалению, реализуемо только для клиентов Windows (встроено в DNS-клиент) и UNIX (как Вы написали). В моей сети, помимо компьютеров, есть МФУ, к которым тоже хочется обращаться по имени. Они не являются членами AD и не умеют сами обновлять DNS. Вообще, структура у меня следующая. Сегмент /24, в нем классический NT4 домен. Серверы - linux, клиенты - Windows и Linux, присутствуют принт-серверы и МФУ. Сегмент обслуживается DHCP и DNS-серверами, записи DNS обновляет сервер DHCP. Регистрация DNS-имен на клиентах отключена. Задача - перевести домен NT4 на AD с помощью classicupgrade. Рассматривал 3 варианта. 1. Перенос AD в поддомен основного домена. Прямая DNS-зона для AD будет обслуживаться самбой+BIND_DLZ, клиенты будут динамически в ней регистрироваться штатными средствами. Для обслуживания обратной зоны придется, и отдачи разных доменных имен по DHCP придется городить костыли для dhcpd - машины Windows и Linux в домен AD, остальное в родительский домен. Показалось слишком сложным и непонятным, к тому же возможны проблемы с классификацией клиентов DHCP. 2. Classicupgrade в существующей доменной зоне со штатными средствами для обновления DNS. Требует ручной регистрации в DNS всех МФУ. В дальнейшем потребуется отслеживание актуальности сопоставления имен МФУ адресам, либо фиксация адресов для МФУ в конфигурации dhcpd, либо ручная настройка параметров IP в МФУ. Не понравилась по причине присутствия ручной работы. 3. Classicupgrade в существующей доменной зоне с автоматическим обновлением DNS с сервера DHCP. Требует донастройки dhcpd, но работает гораздо более логично, чем вариант (1) и не имеет возможных проблем с классификацией клиентов по варианту (1). В результате остановился на варианте (3). Возможно, есть более логичные решения, и очень хотелось бы с ними ознакомиться. Пока все происходит в песочнице, и эксперименты приветствуются. :) ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] dhcpd и chroot
Ёлы-палы, где ж вы были 7 лет назад, когда я на ту же тему сообщество пытал и в итоге вынужден был поднять дхцп на кентоси... А теперь уже и не актуально. чт, 4 апр. 2019 г. в 02:17, Evgeny Sinelnikov : > Здравствуйте. > > ср, 3 апр. 2019 г. в 17:22, Alex Moskalenko : > > > > Здравствуйте! > > > > Подскажите пожалуйста, нельзя ли наш dhcpd "вынуть" из чрута по аналогии > > с текущим bind (что-то типа control dhcpd-chroot disabled)? Есть у нас > > такая возможность? > > > > Захотелось попробовать реализовать обновление DNS на контроллере AD по > > мотивам > > > https://wiki.samba.org/index.php/Configure_DHCP_to_update_DNS_records_with_BIND9 > , > > но, получается или dhcpd из чрута нужно вынимать, или ему в chroot > > копировать библиотеки от используемых в скрипте программ (скрипт конечно > > можно упростить, но от sh/kinit/klist/nsupdate/awk не деться никуда). > > > > Может есть какая не очень заметная "ручка" для dhcpd? > > Я такой ручки не помнил, но глянул в исходники, обнаружил опцию -j > Видимо, это ручка выглядит так: > DHCPDARGS="-j /" > в /etc/sysconfig/dhcpd > > Вообще, думаю, эту утилиту, которая дёргает nsupdate, нужно переписать > на си, чтобы обновлять записи хоть из системы, хоть из chroot'а. > > -- > Sin (Sinelnikov Evgeny) > ___ > Sysadmins mailing list > Sysadmins@lists.altlinux.org > https://lists.altlinux.org/mailman/listinfo/sysadmins > ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] dhcpd и chroot
ср, 3 апр. 2019 г. в 22:20, Evgeny Sinelnikov : > > Здравствуйте. > > ср, 3 апр. 2019 г. в 17:22, Alex Moskalenko : > > > > Здравствуйте! > > > > Подскажите пожалуйста, нельзя ли наш dhcpd "вынуть" из чрута по аналогии > > с текущим bind (что-то типа control dhcpd-chroot disabled)? Есть у нас > > такая возможность? > > > > Захотелось попробовать реализовать обновление DNS на контроллере AD по > > мотивам > > https://wiki.samba.org/index.php/Configure_DHCP_to_update_DNS_records_with_BIND9, > > но, получается или dhcpd из чрута нужно вынимать, или ему в chroot > > копировать библиотеки от используемых в скрипте программ (скрипт конечно > > можно упростить, но от sh/kinit/klist/nsupdate/awk не деться никуда). > > > > Может есть какая не очень заметная "ручка" для dhcpd? > > Я такой ручки не помнил, но глянул в исходники, обнаружил опцию -j > Видимо, это ручка выглядит так: > DHCPDARGS="-j /" > в /etc/sysconfig/dhcpd > > Вообще, думаю, эту утилиту, которая дёргает nsupdate, нужно переписать > на си, чтобы обновлять записи хоть из системы, хоть из chroot'а. Вообще, я тут подумал и припомнил вот такой инструмент: [sin@xpi dhcp]$ net ads dns Invalid command: net ads dns Usage: net ads dns registerAdd host dns entry to AD net ads dns unregister Remove host dns entry from AD net ads dns gethostbyname Look up host Обновлять DNS-записи в домене - это не задача dhcp-сервера. Это задача самого клиента. Клиент обращается со своими учётными данными (точнее компьютер обращается со своими учётными данными в /etc/krb5.keytab) и сам обновляет свои DNS-записи. Так оно задумано и все инструменты для это имеются. Их можно хуками на dhcp-клиенте прописать. -- Sin (Sinelnikov Evgeny) ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] dhcpd и chroot
Здравствуйте. ср, 3 апр. 2019 г. в 17:22, Alex Moskalenko : > > Здравствуйте! > > Подскажите пожалуйста, нельзя ли наш dhcpd "вынуть" из чрута по аналогии > с текущим bind (что-то типа control dhcpd-chroot disabled)? Есть у нас > такая возможность? > > Захотелось попробовать реализовать обновление DNS на контроллере AD по > мотивам > https://wiki.samba.org/index.php/Configure_DHCP_to_update_DNS_records_with_BIND9, > но, получается или dhcpd из чрута нужно вынимать, или ему в chroot > копировать библиотеки от используемых в скрипте программ (скрипт конечно > можно упростить, но от sh/kinit/klist/nsupdate/awk не деться никуда). > > Может есть какая не очень заметная "ручка" для dhcpd? Я такой ручки не помнил, но глянул в исходники, обнаружил опцию -j Видимо, это ручка выглядит так: DHCPDARGS="-j /" в /etc/sysconfig/dhcpd Вообще, думаю, эту утилиту, которая дёргает nsupdate, нужно переписать на си, чтобы обновлять записи хоть из системы, хоть из chroot'а. -- Sin (Sinelnikov Evgeny) ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins