Hallo
Noch eine Frage hast du von SerNet das Paket sernet-samba-ad installiert?
Gruß cflinux
Anmeldungsdatum: Beiträge: 685 |
Hallo Noch eine Frage hast du von SerNet das Paket sernet-samba-ad installiert? Gruß cflinux |
(Themenstarter)
Anmeldungsdatum: Beiträge: Zähle... |
Ja, es laufen: sernet-samba-ad, sernet-samba-nmbd, sernet-samba-smbd und sernet-samba-winbindd Das andere habe ich mir jetzt auch nochmal step by step angesehen: Nach syslog passiert folgendes: Jan 24 16:06:40 KS01 named[10296]: starting BIND 9.9.5-3ubuntu0.1-Ubuntu -u bind Jan 24 16:06:40 KS01 named[10296]: built with '--prefix=/usr' '--mandir=/usr/share/man' '--infodir=/usr/share/info' '--sysconfdir=/etc/bind' '--localstatedir=/var' '--enable-threads' '--enable-largefile' '--with-libtool' '--enable-shared' '--enable-static' '--with-openssl=/usr' '--with-gssapi=/usr' '--with-gnu-ld' '--with-geoip=/usr' '--with-atf=no' '--enable-ipv6' '--enable-rrl' '--enable-filter-aaaa' 'CFLAGS=-fno-strict-aliasing -DDIG_SIGCHASE -O2' Jan 24 16:06:40 KS01 named[10296]: ---------------------------------------------------- Jan 24 16:06:40 KS01 named[10296]: BIND 9 is maintained by Internet Systems Consortium, Jan 24 16:06:40 KS01 named[10296]: Inc. (ISC), a non-profit 501(c)(3) public-benefit Jan 24 16:06:40 KS01 named[10296]: corporation. Support and training for BIND 9 are Jan 24 16:06:40 KS01 named[10296]: available at https://www.isc.org/support Jan 24 16:06:40 KS01 named[10296]: ---------------------------------------------------- Jan 24 16:06:40 KS01 named[10296]: adjusted limit on open files from 4096 to 1048576 Jan 24 16:06:40 KS01 named[10296]: found 4 CPUs, using 4 worker threads Jan 24 16:06:40 KS01 named[10296]: using 4 UDP listeners per interface Jan 24 16:06:40 KS01 named[10296]: using up to 4096 sockets Jan 24 16:06:40 KS01 named[10296]: loading configuration from '/etc/bind/named.conf' Jan 24 16:06:40 KS01 named[10296]: /etc/bind/named.conf:12: open: /var/lib/samba/private/named.conf: permission denied Jan 24 16:06:40 KS01 named[10296]: loading configuration: permission denied Jan 24 16:06:40 KS01 named[10296]: exiting (due to fatal error) Was passiert also nun? „named“ wird mit „starting BIND 9.9.5-3ubuntu0.1-Ubuntu -u bind“ unter dem user „bind“ gestartet. Es knallt, wenn in „/etc/bind/named.conf“ in der Zeile 12 die „/var/lib/samba/private/named.conf“ includiert wird. In „/var/lib/samba/private/named.conf" steht aber eigentlich nur der Verweis „database "dlopen /usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9_9.so“. Mit „database "dlopen /usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9_9.so“ wird dann wohl irgendwie auf die „/var/lib/samba/private/dns/sam.ldb“ zugegriffen. Stimmt das soweit? Ziehe ich mir nun die Berechtigungen der files raus, dann kommt: root@KS01:~# getfacl /etc/bind/named.conf getfacl: Removing leading '/' from absolute path names # file: etc/bind/named.conf # owner: root # group: bind user::rw- group::r-- other::r-- root@KS01:~# getfacl /var/lib/samba/private/named.conf getfacl: Removing leading '/' from absolute path names # file: var/lib/samba/private/named.conf # owner: root # group: bind user::rw- group::r-- other::r-- root@KS01:~# getfacl /usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9_9.so getfacl: Removing leading '/' from absolute path names # file: usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9_9.so # owner: root # group: root user::rw- group::r-- other::r-- root@KS01:~# getfacl /var/lib/samba/private/dns/sam.ldb getfacl: Removing leading '/' from absolute path names # file: var/lib/samba/private/dns/sam.ldb # owner: root # group: bind user::rw- group::rw- other::r-- Das heißt doch im Klartext, daß zumindest alle files gelesen werden können (other::r--) - oder? Wer oder was kann denn dann noch den LESE-Zugriff verweigern (permission denied) oder braucht irgendwer auch einen SCHREIB-Zugriff? An dieser Stelle ist es allerhöchste Zeit für ein persönliches Wort: Gaaaaaaaaaaaaaanz, gaaaaaaaaaaaanz lieben Dank für deine Zeit!!!!! |
Anmeldungsdatum: Beiträge: 685 |
Hallo Denn letzten Beitrag auf der 2 Seite hast du wohl übersehen. Also ich habe jetzt mal Spaßes halber versucht auch die named.conf von Samba zu includen, mit dem selben Erfolg wie du. Aber dabei ist mir Aufgefallen, das ich das Problem anders gelöst habe (Als ich Samba4 aus den Quellen benutzt habe). Indem ich die Einträge direkt im bind Verzeichnis gemacht habe. Was mich wundert ist, das es solche Probleme mit Sernet gibt. Was ich gelesen habe muss man nur das Paket sernet-samba-ad installieren, später benötigt man dann noch sernet-samba-winbindd. Gruß cflinux |
(Themenstarter)
Anmeldungsdatum: Beiträge: 53 |
Uiiiiiiiiiii ... dann passiert es ja nicht nur mir!!!! (Bin ich doch gleich schon wieder etwas beruhigter ...) Den letzten Beitrag auf der 2 Seite habe ich in der Tat irgendwie vepaßt - werde mich aber gleich nachher noch damit beschäftigen! Für den alten samba hatte ich auch mal ein webmin-Modul. Alter samba als auch das webmin-Modul wurden vor Angang mit sernet-samba deinstalliert, der alte samba eben mit apt-get purge, weil hiermit auch alle Konfigurationseinstellungen deinstalliert werden (sollten). Gleich danach dann kam der apt-get autoremove .... und ich glaubte, Ajedoch mit hast du wohl übersehen. Also ich habe jetzt mal Spaßes halber versucht auch die named.conf von Samba zu includen, mit dem selben Erfolg wie du. Kompilieren aus Quellen ist nicht so meine Stärke ... dazu bin ich viel zu wenig in der Materie. Unter anderem hatte ich mich aus diesem Grund auch auf sernet eingeschossen, da sich die Jungs dort ja doch recht intensiv mit samba beschäftigen. Nun ist guter Rat angesagt ... |
Anmeldungsdatum: Beiträge: 685 |
Hallo Soll ich dir die beiden Skripte geben. Ein Skript kümmert sich um die Installation und das andere um die konfiguration. Gruß cflinux |
(Themenstarter)
Anmeldungsdatum: Beiträge: 53 |
Bin gerade deinen link durchgegangen. Gleich zu Beginn steht: If you install Bind from the repositories of your distribution, you can skip the following two steps. If you are using Bind from your distribution, make sure that it was compiled with the '--with-gssapi' and '--with-dlopen' options (see below) before using it as the Samba AD DNS backend. Sehe ich mir nun den syslog von oben an, dann steht dort "--with-gssapi=/usr", was dann wohl der Forderung "--with-gssapi" entspricht. Was ich jedoch nicht sehe ... "--with-dlopen". Kann das der Grund sein????? Läßt sich diese Option noch nachträglich in bind9 "reinkompilieren"? In deine scripts würde ich dennoch gern mal reinsehen. |
Anmeldungsdatum: Beiträge: 685 |
Hallo
Ja, aber dann muss der bind aus den Quellen neu kompiliert werden. Ob man das in der installierten Version nachträglich aktivieren kann, weiß ich nicht. Ich schau morgen, ob ich was finde.
Für die Skripte übernehme ich natürlich keine Haftung. Mit dem installSamba4.sh Skript installierst du den Samba4. Es werden alle benötigten Teile wie Compiler heruntergeladen und installiert, dann wird die aktuelle Version aus dem Internet heruntergeladen, kompiliert und installiert. Am besten führst du es so aus: installSamba4.sh -dn -vs -dcj Mit dem configSamba4.sh wird der Samba4 konfiguriert. In der Datei samba4.txt stehen alle Informationen für das Skript die musst du natürlich anpassen. Es werden auch auf Wunsch noch andere Programme installiert und konfiguriert (bind,dhcp). configSamba4.sh -d samba4.txt Gruß cflinux |
(Themenstarter)
Anmeldungsdatum: Beiträge: 53 |
WOW - Danke! Da habe ich dann aber erst morgen wieder 'nen Nerv zu - für heute bin ich "feddisch"! Bevor du morgen noch mehr Zeit verbrätst: Habe mir vorhin den "bind-9.10.1-P1.tar.gz" von isc.org gezogen und entpackt. Denke mal, den bind9 von Grund auf neu zu bauen ist besser, als irgendetwas reinzuwurschteln - d'accord? Dannach habe ich versucht, mit ./configure --prefix=/usr --mandir=/usr/share/man --infodir=/usr/share/info --sysconfdir=/etc/bind --localstatedir=/var --enable-threads --enable-largefile --with-libtool --enable-shared --enable-static --with-openssl=/usr --with-gssapi=/usr --with-dlopen=yes --with-gnu-ld --with-geoip=/usr --with-atf=no --enable-ipv6 --enable-rrl --enable-filter-aaaa CFLAGS=-fno-strict-aliasing CFLAGS=-DDIG_SIGCHASE CFLAGS=-O2 den config zu starten - damit macht man ja noch nichts kaputt! Habe hierbei alle Optionen aus dem syslog dazugepackt und um "--with-dlopen=yes" ergänzt. Bei dem "--with-gssapi=/usr" und die letzten drei CFLAGS-Optionen mir total unsicher!!! Nun gut ... das ganze Zeug nudelt nun durch: root@KS01:~/bind-9.10.1-P1# ./configure --prefix=/usr --mandir=/usr/share/man --infodir=/usr/share/info --sysconfdir=/etc/bind --localstatedir=/var --enable-threads --enable-largefile --with-libtool --enable-shared --enable-static --with-openssl=/usr --with-gssapi=/usr --with-dlopen=yes --with-gnu-ld --with-geoip=/usr --with-atf=no --enable-ipv6 --enable-rrl --enable-filter-aaaa CFLAGS=-fno-strict-aliasing CFLAGS=-DDIG_SIGCHASE CFLAGS=-O2 configure: WARNING: unrecognized options: --enable-rrl checking build system type... x86_64-unknown-linux-gnu checking host system type... x86_64-unknown-linux-gnu checking whether make sets $(MAKE)... yes checking how to print strings... printf checking for gcc... gcc checking whether the C compiler works... yes checking for C compiler default output file name... a.out checking for suffix of executables... checking whether we are cross compiling... no checking for suffix of object files... o checking whether we are using the GNU C compiler... yes checking whether gcc accepts -g... yes checking for gcc option to accept ISO C89... none needed checking for a sed that does not truncate output... /bin/sed checking for grep that handles long lines and -e... /bin/grep checking for egrep... /bin/grep -E checking for fgrep... /bin/grep -F checking for ld used by gcc... /usr/bin/ld checking if the linker (/usr/bin/ld) is GNU ld... yes checking for BSD- or MS-compatible name lister (nm)... /usr/bin/nm -B checking the name lister (/usr/bin/nm -B) interface... BSD nm checking whether ln -s works... yes checking the maximum length of command line arguments... 1572864 checking whether the shell understands some XSI constructs... yes checking whether the shell understands "+="... yes checking how to convert x86_64-unknown-linux-gnu file names to x86_64-unknown-linux-gnu format... func_convert_file_noop checking how to convert x86_64-unknown-linux-gnu file names to toolchain format... func_convert_file_noop checking for /usr/bin/ld option to reload object files... -r checking for objdump... objdump checking how to recognize dependent libraries... pass_all checking for dlltool... no checking how to associate runtime and link libraries... printf %s\n checking for ar... ar checking for archiver @FILE support... @ checking for strip... strip checking for ranlib... ranlib checking for gawk... gawk checking command to parse /usr/bin/nm -B output from gcc object... ok checking for sysroot... no checking for mt... mt checking if mt is a manifest tool... no checking how to run the C preprocessor... gcc -E checking for ANSI C header files... yes checking for sys/types.h... yes checking for sys/stat.h... yes checking for stdlib.h... yes checking for string.h... yes checking for memory.h... yes checking for strings.h... yes checking for inttypes.h... yes checking for stdint.h... yes checking for unistd.h... yes checking for dlfcn.h... yes checking for objdir... .libs checking if gcc supports -fno-rtti -fno-exceptions... no checking for gcc option to produce PIC... -fPIC -DPIC checking if gcc PIC flag -fPIC -DPIC works... yes checking if gcc static flag -static works... yes checking if gcc supports -c -o file.o... yes checking if gcc supports -c -o file.o... (cached) yes checking whether the gcc linker (/usr/bin/ld -m elf_x86_64) supports shared libraries... yes checking whether -lc should be explicitly linked in... no checking dynamic linker characteristics... GNU/Linux ld.so checking how to hardcode library paths into programs... immediate checking whether stripping libraries is possible... yes checking if libtool supports shared libraries... yes checking whether to build shared libraries... yes checking whether to build static libraries... yes checking for a BSD-compatible install... /usr/bin/install -c checking whether ln -s works... yes checking for ar... /usr/bin/ar checking for etags... no checking for emacs-etags... no checking for perl5... no checking for perl... /usr/bin/perl checking for python... /usr/bin/python checking python module 'argparse'... found, using /usr/bin/python checking for gcc... (cached) gcc checking whether we are using the GNU C compiler... (cached) yes checking whether gcc accepts -g... (cached) yes checking for gcc option to accept ISO C89... (cached) none needed checking for ANSI C header files... (cached) yes checking for fcntl.h... yes checking for regex.h... yes checking for sys/time.h... yes checking for unistd.h... (cached) yes checking for sys/mman.h... yes checking for sys/sockio.h... no checking for sys/select.h... yes checking for sys/param.h... yes checking for sys/sysctl.h... yes checking for net/if6.h... no checking for sys/socket.h... yes checking for net/route.h... yes checking for linux/netlink.h... yes checking for linux/rtnetlink.h... yes checking for an ANSI C-conforming const... yes checking for inline... inline checking for working volatile... yes checking for sysctlbyname... no checking for flexible array members... yes checking for mmap... yes checking for seteuid... yes checking for setresuid... yes checking for setegid... yes checking for setresgid... yes checking for static inline breakage... no checking for size_t... yes checking for ssize_t... yes checking for uintptr_t... yes checking for socklen_t... yes checking whether time.h and sys/time.h may both be included... yes checking for long long... yes checking for GCC noreturn attribute... yes checking for struct lifconf... no checking for kqueue... no checking epoll support... yes checking sys/devpoll.h usability... no checking sys/devpoll.h presence... no checking for sys/devpoll.h... no checking devpoll.h usability... no checking devpoll.h presence... no checking for devpoll.h... no checking if unistd.h or sys/types.h defines fd_set... yes checking whether byte ordering is bigendian... no checking GeoIP.h usability... no checking GeoIP.h presence... no checking for GeoIP.h... no configure: error: GeoIP header file not found Was ich nun absolut nicht bewerten kann: - Was muß ich bei den "checking no" Meldungen tun? - Die Fehlermeldung "configure: error: GeoIP header file not found" ganz am Ende ... da fehlt wohl wirklich was - oder? Okay - jetzt erstmal noch einen "ruhigen Restsamstag"!! Danke & Gruß Thomas |
Anmeldungsdatum: Beiträge: 685 |
Hallo Ich hab jetzt einen bind9 aus den Quellen kompiliert. Habe deine configure Anweisung verwendet ./configure --prefix=/usr --mandir=/usr/share/man --infodir=/usr/share/info --sysconfdir=/etc/bind --localstatedir=/var --enable-threads --enable-largefile --with-libtool --enable-shared --enable-static --with-openssl=/usr --with-gssapi=/usr --with-dlopen=yes --with-gnu-ld --with-geoip=/usr --with-atf=no --enable-ipv6 --enable-rrl --enable-filter-aaaa CFLAGS=-fno-strict-aliasing CFLAGS=-DDIG_SIGCHASE CFLAGS=-O2 Die 3 CFLAGS hab ich sofort gestrichen, weil ich gleich einen Fehler bekam Darüber hinaus hab ich noch das Paket libssl-dev benötigt. Dann kam auch bei mir dieser Fehler: configure: error: GeoIP header file not found ich habe folgende Pakete nachinstalliert
danach lief der configure durch. make und make install noch ausgeführt. Bei der Ausgabe von named -V kam BIND9.10.1-P1 ..... Gruß cflinux |
(Themenstarter)
Anmeldungsdatum: Beiträge: 53 |
Oha .... die 3 CFLAGS einfach streichen? Ich weiß zwar nicht, was es ist, aber gundlos stehen die doch nicht da - oder? Die Sache mit den Paketen ist eine andere Baustelle. Ich habe mir fast den Wolf gesucht, aber finde nirgendwo auch nur den Hauch einer Beschreibung, welche Pakete man noch zusätzlich braucht. Wird das denn nicht dokumentiert ... in der README oder bei isc.org oder oder oder ????? An welcher Stelle muß man denn zu suchen beginnen? Aber nun eben noch schnell was Grundsätzliches zu meinem Verständnis: Durch Übernahme der Pfadangaben aus dem sysog (--prefix=/usr, --mandir=/usr/share/man, --infodir=/usr/share/info, --sysconfdir=/etc/bind und --localstatedir=/var) wird doch sichergestellt, daß diese Pfadangaben bei der neu zu bauenden Version weiterhin zutreffend sind. Darum brauche ich mich dann nicht mehr kümmern. Richtig? Die eigentliche Installation erfolgt dann erst mit "make install". Wird dann einfach alles über die bestehende Installation drübergebügelt oder muß ich vorher noch was deinstallieren? Ach ja: Ich suche mir nachher gleich noch meine Konfigurationsfiles zusammen (zonenfiles usw) |
Anmeldungsdatum: Beiträge: 685 |
Hallo
Ich hab sie nicht grundlos gestrichen, mit diesen drei Flags kommt der configure bei mir keine 5 Zeilen weit. Ich hatte auch keine große Lust nach der Ursache zu suchen, da es ohne auch ging.
Ich las den configure laufen und wenn er mit einem Fehler abbricht, sagt er ja was im fehlt configure: error: GeoIP header file not found Also hab ich mich auf die Suche begeben in welchem Paket sich die GeoIP.h enthalten ist. Hab dieses Paket installiert, configure neu gestartet, bis zum nächsten Fehler usw. bis er erfolgreich durchläuft.
Ich nehme es mal an.
Sagen mir mal so sauberer ist es, wenn man erst die alte Version deinstalliert, weil es aus den Ubuntu-Paketen stammt, wäre es bereits eine Compilierte Version wäre ich Skrupellos, einfach drüber. In diesem Fall war ich aber auch so frei und hab es einfach drübergebügelt. Weil wenn das Projekt abgeschlossen ist Teste ich die Installation, sowieso mit einem frisch installierten System nochmal. Denn make Befehl nicht vergessen (das kann ein Weilchen dauern), erst wenn dieser durch ist make install ausführen.
Gute Idee die Zonenfiles zu sichern. Beim starten hatte er bei mir gemault und brach ab. Problem waren die Zonen Files die er mehrfach einlesen wollte. Jetzt startet er aber. Viel Erfolg Gruß cflinux
|
(Themenstarter)
Anmeldungsdatum: Beiträge: 53 |
Grins ... ich meinte nicht, daß du sie grundlos gestrichen hast, sondern daß sie nicht grundlos dort standen. Ich muß jetzt noch ganz viel lesen und dann fange ich auch mal mit der configure Schleife an, bis ich meine, daß es passen könnte. Mal schauen, wie weit ich komme!!!!! Gruß |
Anmeldungsdatum: Beiträge: 685 |
Hallo
Grins ... Manchmal ist weniger mehr. Versuch die Pakete die ich aufgeschrieben habe nacheinander. Ich meine ein Paket installieren configure ausführen, wenn es nicht geht das nächste Paket usw. Also mit den 3 Paketen ist der configure durchgelaufen. Gruß cflinux |
(Themenstarter)
Anmeldungsdatum: Beiträge: 53 |
Zeit für einen Zwischenbericht! configure gestartet mit: ./configure --prefix=/usr --mandir=/usr/share/man --infodir=/usr/share/info --sysconfdir=/etc/bind --localstatedir=/var --enable-threads --enable-largefile --with-libtool --enable-shared --enable-static --with-openssl=/usr --with-gssapi=/usr/include/gssapi --with-dlopen=yes --with-gnu-ld --with-geoip=/usr --with-atf=no --enable-ipv6 --enable-filter-aaaa CFLAGS=-fno-strict-aliasing CFLAGS=-DDIG_SIGCHASE CFLAGS=-O2 hat zum Ergebnis: ======================================================================== Configuration summary: ------------------------------------------------------------------------ Optional features enabled: Multiprocessing support (--enable-threads) GeoIP access control (--with-geoip) GSS-API (--with-gssapi) GOST algorithm support (encoding: raw) (--with-gost) ECDSA algorithm support (--with-ecdsa) AAAA filtering (--enable-filter-aaaa) Print backtrace on crash (--enable-backtrace) Use symbol table for backtrace, named only (--enable-symtable) Use GNU libtool (--with-libtool) Dynamically loadable zone (DLZ) drivers: None Features disabled or unavailable on this platform: Large-system tuning (--with-tuning) Source Identity Token support (--enable-sit) Allow 'fixed' rrset-order (--enable-fixed-rrset) PKCS#11/Cryptoki support (--with-pkcs11) Native PKCS#11/Cryptoki support (--enable-native-pkcs11) Use libseccomp system call filtering (--enable-seccomp) Automated Testing Framework (--with-atf) XML statistics (--with-libxml2) JSON statistics (--with-libjson) ======================================================================== Das SELBE Ergebnis bekomme ich AUCH, wenn ich den configure OHNE die CFLAGS laufen lasse. Warnings oder errors habe ich keine gesehen. Das anschließende make läuft dann auch nach gefühlten 800 Millionen Zeilen durch. Was sagt nun der Experte dazu???? |
Anmeldungsdatum: Beiträge: 685 |
Hallo Dann wird es Zeit für make install, falls du das noch nicht gemacht hast. Hast du die Pakete nachinstallieren müssen, wenn ja welche, würde mich interessieren? Nachtrag: Hab ich vergessen zu erwähnen. Dev-Pakete sind Quellcode Files, die der Compiler benötigt. Noch eine Frage, woher hast du eigentlich diese configure Zeile. Gruß cflinux |