-
Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.
dns mit ldap-zone-lookup unter suse 9.3
- Ersteller dialsc
- Erstellt am
Hallo Dirk,
hier noch eine Ergänzung, wenn sich der bind schon mit Passwort und UID anmelden muss, dann sollten auch die ACL's in der /etc/openldap/slapd.conf wie folgt gesetzt werden:
Aus dem read muss ein write werden, wenn eine dynamische Aktualisierung gewünscht ist.
Jetzt bin ich komplett durch alles andere hat super geklappt.
Stefan
hier noch eine Ergänzung, wenn sich der bind schon mit Passwort und UID anmelden muss, dann sollten auch die ACL's in der /etc/openldap/slapd.conf wie folgt gesetzt werden:
Code:
access to dn.sub="ou=dns,dc=mydomain,dc=local"
by dn="uid=bind9.ldapbindaccount,ou=dns,dc=mydomain,dc=local" readJetzt bin ich komplett durch alles andere hat super geklappt.
Stefan
Du kannst beliebig viele DNS-Server auf verschieden LDAP-Server (Master oder Slave) zugreifen lassen. Das Prinzip von primary und secundary dns-Server entfällt, du hast nur noch Master, ähnlich der AD-integrierten DNS-Server bei Microsoft. Du brauchst keine Seriennummer mehr hochzählen über die sich die secundary DNS-Server sein Änderungen erfährt. Du kannst über die ACL's einen Administrator bestimmen der schreibrechte an dem Zweig des LDAP-Baums hat um neue Hosts einzutragen oder alte Einträge zu löschen. Der Benutzer benötigz keine root-Rechte.
Ich hoffe das reicht an Vorteilen ;-)
Ich hoffe das reicht an Vorteilen ;-)
hmmmm,
aber wie bekomme ich nun noch einen dynamischen DNS ??
Und hier noch eine Frage:
ldap-server:~ # slappasswd -h {md5} -s bind9
{MD5}8u5v+uexyfMkLDfhZNUWHw==
erstellt das pw für bind9
eingebunden in der name.conf
zone "100.168.192.in-addr.arpa" in {
type master;
database "ldap ldap://xxx.xxx.xxx.xxx/ou=100.168.192.in-addr.arpa,ou=reverse,ou=zone.master,ou=dns,dc=mydomain,dc=local????!bindname=uid=bind9.ldapbindaccount%2cou=dns%2cdc=mydomain%2cdc=local,!x-bindpw=bind9 172800";
}
zone "mydomain.local" in {
type master;
database "ldap ldap://xxx.xxx.xxx.xxx/ou=mydomain.local,ou=forward,ou=zone.master,ou=dns,dc=mydomain,dc=local????!bindname=uid=bind9.ldapbindaccount%2cou=dns%2cdc=mydomain%2cdc=local,!x-bindpw=bind9 172800";
}
aber leider im klartext, geht dies auch irgendwie anders ??
aber wie bekomme ich nun noch einen dynamischen DNS ??
Und hier noch eine Frage:
ldap-server:~ # slappasswd -h {md5} -s bind9
{MD5}8u5v+uexyfMkLDfhZNUWHw==
erstellt das pw für bind9
eingebunden in der name.conf
zone "100.168.192.in-addr.arpa" in {
type master;
database "ldap ldap://xxx.xxx.xxx.xxx/ou=100.168.192.in-addr.arpa,ou=reverse,ou=zone.master,ou=dns,dc=mydomain,dc=local????!bindname=uid=bind9.ldapbindaccount%2cou=dns%2cdc=mydomain%2cdc=local,!x-bindpw=bind9 172800";
}
zone "mydomain.local" in {
type master;
database "ldap ldap://xxx.xxx.xxx.xxx/ou=mydomain.local,ou=forward,ou=zone.master,ou=dns,dc=mydomain,dc=local????!bindname=uid=bind9.ldapbindaccount%2cou=dns%2cdc=mydomain%2cdc=local,!x-bindpw=bind9 172800";
}
aber leider im klartext, geht dies auch irgendwie anders ??
hallo neuland, hallo alle anderen,
nu melde ich mich halt auch mal wieder zu wort ;-)
ich hatte vor einiger zeit damit begonnen, ein ordnetliches howto zu diesem tema zu schreiben, welches auch schon ein wenig gestalt angenommen hat. ich werde versuchen, nach dessen fertigstellung auch auf solche fragen einzugehen. leider wird das wohl noch ein wenig dauern, bis es fertig ist, da ich gerade mitten in der diplomarbeit stecke und diese mich voll und ganz ein nimt. ehrlich, ich komme zu nichts mehr... ;-)
auf anhieb hin wuerde ich jedoch sagen, dass es nicht machbar ist, etwas anderes hier einzutragen. dies sollte jedoch nicht wirlich ein problem darstellen. du solltest einfach die zugriffsBerechtigungen dahingehend fuer die config setzen, als dass lediglich root und der account unter welchem bind laeuft, die datei lesen duerfen. somit sollten primaer einmal weitere sicherheitstechnische bedenken bezueglich dieser configDatei verworfen werden koennen.
sollte ich mich da taeuschen, dann erzaehlt es mir bitte...
greez
dialsc
nu melde ich mich halt auch mal wieder zu wort ;-)
ich hatte vor einiger zeit damit begonnen, ein ordnetliches howto zu diesem tema zu schreiben, welches auch schon ein wenig gestalt angenommen hat. ich werde versuchen, nach dessen fertigstellung auch auf solche fragen einzugehen. leider wird das wohl noch ein wenig dauern, bis es fertig ist, da ich gerade mitten in der diplomarbeit stecke und diese mich voll und ganz ein nimt. ehrlich, ich komme zu nichts mehr... ;-)
auf anhieb hin wuerde ich jedoch sagen, dass es nicht machbar ist, etwas anderes hier einzutragen. dies sollte jedoch nicht wirlich ein problem darstellen. du solltest einfach die zugriffsBerechtigungen dahingehend fuer die config setzen, als dass lediglich root und der account unter welchem bind laeuft, die datei lesen duerfen. somit sollten primaer einmal weitere sicherheitstechnische bedenken bezueglich dieser configDatei verworfen werden koennen.
sollte ich mich da taeuschen, dann erzaehlt es mir bitte...
greez
dialsc
@stka
Hallo Stefan,
ich habe einen LDAP-Server nach Deinem neuesten Workshop aufgesetzt, und bin bis zu dem Problem gekommen, das Du wohl auch schon mal hattest (allerdings schon im Jahr 2005). Du hast als Lösung das richtige Setzen von Zugriffsrechten im LDAP-Baum gefunden; meintest Du hiermit die acl's im slad.conf? Dein Workshop gibt hierzu leider keine genaueren Angaben . . .
Dein Workshop ist übrigens sehr gut gelungen, auch wenn die Beispieldateien einige kleinere Fehler beinhalten, die der aufmerksame Anwender aber finden sollte
Gruß
Georg
Hallo Stefan,
ich habe einen LDAP-Server nach Deinem neuesten Workshop aufgesetzt, und bin bis zu dem Problem gekommen, das Du wohl auch schon mal hattest (allerdings schon im Jahr 2005). Du hast als Lösung das richtige Setzen von Zugriffsrechten im LDAP-Baum gefunden; meintest Du hiermit die acl's im slad.conf? Dein Workshop gibt hierzu leider keine genaueren Angaben . . .
Dein Workshop ist übrigens sehr gut gelungen, auch wenn die Beispieldateien einige kleinere Fehler beinhalten, die der aufmerksame Anwender aber finden sollte
Gruß
Georg
Hallo Stefan,
hast Recht, meine Frage war nicht eindeutig definiert; es ging um fehlende NS bzw. SOA Records (die vom named nicht gefunden wurden). Aber nach Setzen der Rechte (Reihenfolge in slapd.conf, wie dumm von mir!) in den acl's hat es dann doch geklappt. DNS und dynDHCP über LDAP funktionieren jetzt einwandfrei - nochmals Danke und großes Lob für Deinen Workshop!
hast Recht, meine Frage war nicht eindeutig definiert; es ging um fehlende NS bzw. SOA Records (die vom named nicht gefunden wurden). Aber nach Setzen der Rechte (Reihenfolge in slapd.conf, wie dumm von mir!) in den acl's hat es dann doch geklappt. DNS und dynDHCP über LDAP funktionieren jetzt einwandfrei - nochmals Danke und großes Lob für Deinen Workshop!