Wurschtel
(Themenstarter)
Anmeldungsdatum: 21. Januar 2015
Beiträge: 53
|
Hallo ... ich habe gestern Abend noch einen interessanten Beitrag gefunden: http://2stech.ca/index.php/linux/linuxtutotials/tutorials/234-samba-active-directory-with-bind-dns-backend-on-ubuntu-1404 Gleich zu Beginn schreibt der Verfasser: Important
The domain must NOT be the same as an existing domain within bind. It may be a subdomain of an existing domain (addc.example.com), but if bind has an existing zone file, the dlz_bind driver WILL fail. I would suggest a ADDC sub-domain (addc.example.com), which is what I use, but .local (example.local) will work just as well. Was meint er damit? Welche "domain" darf auf keinen Fall gleich der "bind-domaine" sein? In meinem konkreten Fall ABCDNET ←> abcdnet.abcd.de?? Heute bin ich den ganzen Tag außer Haus. Gruß
|
cflinux
Anmeldungsdatum: 14. Januar 2013
Beiträge: 685
|
Hallo Füge mal diese Zeile in Appamor ein
/var/lib/samba/private/** r, Starte apparmor danach neu oder mach einen reboot wenn das auch noch nicht hilft dann gib dieser Zeile mal der Gruppe rw und ändere die Gruppe auf bind.
-rw------- 1 root root 4247552 Jan 22 09:33 sam.ldb Wenn das auch nichts Hilft, dann sollten wir darüber nachdenken, das wir uns von dem Problem lösen. Gruß cflinux
|
cflinux
Anmeldungsdatum: 14. Januar 2013
Beiträge: 685
|
Hallo Ich hab heute noch mal etwas geforscht und meinen Samba etwas umkonfiguriert. Ich komme aber etwas weiter als du. Bei mir wird die samba_dlz noch geladen. Was steht bei dir im Verzeichnis
/var/lib/samba/private/dns/sam.ldb.d/ Gruß cflinux
|
Wurschtel
(Themenstarter)
Anmeldungsdatum: 21. Januar 2015
Beiträge: 53
|
Hallo .... war etwas "krank"! /var/lib/samba/private/** r, und -rw--rw-– 1 root bind bei sam.ldb habe ich gemacht - brachte aber nicht den gewünschten Erfog.
|
Wurschtel
(Themenstarter)
Anmeldungsdatum: 21. Januar 2015
Beiträge: 53
|
Im Verzeichnis /var/lib/samba/private/dns/sam.ldb.d/ steht: drwxrwx--- 2 root bind 4096 Jan 22 09:33 .
drwxrwx--- 3 root bind 4096 Jan 22 09:33 ..
-rw-rw---- 1 root bind 8323072 Jan 22 09:33 CN=CONFIGURATION,DC=ABCDNET,DC=ABCD,DC=DE.ldb
-rw-rw---- 1 root bind 9203712 Jan 22 09:33 CN=SCHEMA,CN=CONFIGURATION,DC=ABCDNET,DC=ABCD,DC=DE.ldb
-rw-rw---- 2 root bind 4247552 Jan 22 09:33 DC=DOMAINDNSZONES,DC=ABCDNET,DC=ABCD,DC=DE.ldb
-rw-rw---- 2 root bind 4247552 Jan 22 09:33 DC=FORESTDNSZONES,DC=ABCDNET,DC=ABCD,DC=DE.ldb
-rw-rw---- 1 root bind 1286144 Jan 22 09:33 DC=ABCDNET,DC=ABCD,DC=DE.ldb
-rw-rw---- 2 root bind 421888 Jan 22 16:59 metadata.tdb
|
cflinux
Anmeldungsdatum: 14. Januar 2013
Beiträge: 685
|
Hallo Schiebe doch mal die die Datei /etc/apparmor.d/usr.sbin.named nach /etc/apparmor.d/disable/usr.sbin.named das schaltet apparmor für named aus. Dann wissen wir ob es an apparmor liegt. apparmor oder Rechner neu starten nicht vergessen. syslog Auszug wäre nicht schlecht nachdem apparmor lahmgelegt wurde. Was für Dateien sind in diesem Verzeichnis /var/lib/samba/private/dns/sam.ldb.d/ ? Gruß cflinux
|
Wurschtel
(Themenstarter)
Anmeldungsdatum: 21. Januar 2015
Beiträge: 53
|
Datei /etc/apparmor.d/usr.sbin.named ist nach /etc/apparmor.d/disable/usr.sbin.named verschoben root@KS01:~# ls -la /etc/apparmor.d
total 144
drwxr-xr-x 11 root root 4096 Feb 2 21:48 .
drwxr-xr-x 128 root root 12288 Feb 2 21:57 ..
drwxr-xr-x 4 root root 4096 Nov 21 06:38 abstractions
drwxr-xr-x 2 root root 4096 Nov 21 06:38 apache2.d
-rw-r--r-- 1 root root 795 Apr 4 2014 bin.ping
drwxr-xr-x 2 root root 4096 Feb 2 21:49 cache
drwxr-xr-x 2 root root 4096 Apr 7 2014 dhcpd.d
drwxr-xr-x 2 root root 4096 Feb 2 21:48 disable
drwxr-xr-x 2 root root 4096 Apr 4 2014 force-complain
drwxr-xr-x 2 root root 4096 Dez 10 06:34 local
drwxr-xr-x 2 root root 4096 Nov 21 06:38 program-chunks
-rw-r--r-- 1 root root 971 Apr 4 2014 sbin.klogd
-rw-r--r-- 1 root root 1217 Apr 4 2014 sbin.syslogd
-rw-r--r-- 1 root root 1570 Apr 4 2014 sbin.syslog-ng
drwxr-xr-x 5 root root 4096 Dez 23 06:48 tunables
-rw-r--r-- 1 root root 7597 Apr 4 2014 usr.bin.chromium-browser
-rw-r--r-- 1 root root 1133 Apr 4 2014 usr.lib.dovecot.deliver
-rw-r--r-- 1 root root 1036 Apr 4 2014 usr.lib.dovecot.dovecot-auth
-rw-r--r-- 1 root root 880 Apr 4 2014 usr.lib.dovecot.imap
-rw-r--r-- 1 root root 956 Apr 4 2014 usr.lib.dovecot.imap-login
-rw-r--r-- 1 root root 1022 Apr 4 2014 usr.lib.dovecot.managesieve-login
-rw-r--r-- 1 root root 880 Apr 4 2014 usr.lib.dovecot.pop3
-rw-r--r-- 1 root root 947 Apr 4 2014 usr.lib.dovecot.pop3-login
-rw-r--r-- 1 root root 858 Apr 4 2014 usr.sbin.avahi-daemon
-rw-r--r-- 1 root root 1741 Apr 3 2014 usr.sbin.dhcpd
-rw-r--r-- 1 root root 2014 Apr 4 2014 usr.sbin.dnsmasq
-rw-r--r-- 1 root root 1939 Apr 4 2014 usr.sbin.dovecot
-rw-r--r-- 1 root root 946 Apr 4 2014 usr.sbin.identd
-rw-r--r-- 1 root root 938 Apr 4 2014 usr.sbin.mdnsd
-rw-r--r-- 1 root root 761 Apr 4 2014 usr.sbin.nmbd
-rw-r--r-- 1 root root 1244 Apr 4 2014 usr.sbin.nscd
-rw-r--r-- 1 root root 1440 Apr 4 2014 usr.sbin.smbd
-rw-r--r-- 1 root root 842 Apr 4 2014 usr.sbin.traceroute und Kiste neu gebootet. ER MAG MICH IMMER NOCH NICHT - heuuuuuuuuuuuul Feb 2 22:07:09 KS01 named[3784]: starting BIND 9.10.1-P1 -u bind
Feb 2 22:07:09 KS01 named[3784]: built with '--prefix=/usr' '--mandir=/usr/share/man' '--infodir=/usr/share/info' '--sysconfdir=/etc/bind' '--localstatedir=/var' '--enable-threads' '--enable-largefile' '--with-libtool' '--enable-shared' '--enable-static' '--with-openssl=/usr' '--with-gssapi=/usr/include/gssapi' '--with-dlopen=yes' '--with-gnu-ld' '--with-geoip=/usr/share/GeoIP' '--with-atf=no' '--enable-ipv6' '--enable-filter-aaaa' 'CFLAGS=-fno-strict-aliasing' 'CFLAGS=-DDIG_SIGCHASE' 'CFLAGS=-O2'
Feb 2 22:07:09 KS01 named[3784]: ----------------------------------------------------
Feb 2 22:07:09 KS01 named[3784]: BIND 9 is maintained by Internet Systems Consortium,
Feb 2 22:07:09 KS01 named[3784]: Inc. (ISC), a non-profit 501(c)(3) public-benefit
Feb 2 22:07:09 KS01 named[3784]: corporation. Support and training for BIND 9 are
Feb 2 22:07:09 KS01 named[3784]: available at https://www.isc.org/support
Feb 2 22:07:09 KS01 named[3784]: ----------------------------------------------------
Feb 2 22:07:09 KS01 named[3784]: adjusted limit on open files from 4096 to 1048576
Feb 2 22:07:09 KS01 named[3784]: found 4 CPUs, using 4 worker threads
Feb 2 22:07:09 KS01 named[3784]: using 2 UDP listeners per interface
Feb 2 22:07:09 KS01 named[3784]: using up to 4096 sockets
Feb 2 22:07:09 KS01 named[3784]: loading configuration from '/etc/bind/named.conf'
Feb 2 22:07:09 KS01 named[3784]: /etc/bind/named.conf:10: open: /var/lib/samba/private/named.conf: permission denied
Feb 2 22:07:09 KS01 named[3784]: loading configuration: permission denied
Feb 2 22:07:09 KS01 named[3784]: exiting (due to fatal error)
|
Wurschtel
(Themenstarter)
Anmeldungsdatum: 21. Januar 2015
Beiträge: 53
|
Hier nochmal etwas detaillierter: Feb 2 22:14:01 KS01 named[4120]: starting BIND 9.10.1-P1 -u bind
Feb 2 22:14:01 KS01 named[4120]: built with '--prefix=/usr' '--mandir=/usr/share/man' '--infodir=/usr/share/info' '--sysconfdir=/etc/bind' '--localstatedir=/var' '--enable-threads' '--enable-largefile' '--with-libtool' '--enable-shared' '--enable-static' '--with-openssl=/usr' '--with-gssapi=/usr/include/gssapi' '--with-dlopen=yes' '--with-gnu-ld' '--with-geoip=/usr/share/GeoIP' '--with-atf=no' '--enable-ipv6' '--enable-filter-aaaa' 'CFLAGS=-fno-strict-aliasing' 'CFLAGS=-DDIG_SIGCHASE' 'CFLAGS=-O2'
Feb 2 22:14:01 KS01 named[4120]: ----------------------------------------------------
Feb 2 22:14:01 KS01 named[4120]: BIND 9 is maintained by Internet Systems Consortium,
Feb 2 22:14:01 KS01 named[4120]: Inc. (ISC), a non-profit 501(c)(3) public-benefit
Feb 2 22:14:01 KS01 named[4120]: corporation. Support and training for BIND 9 are
Feb 2 22:14:01 KS01 named[4120]: available at https://www.isc.org/support
Feb 2 22:14:01 KS01 named[4120]: ----------------------------------------------------
Feb 2 22:14:01 KS01 named[4120]: adjusted limit on open files from 4096 to 1048576
Feb 2 22:14:01 KS01 named[4120]: found 4 CPUs, using 4 worker threads
Feb 2 22:14:01 KS01 named[4120]: using 2 UDP listeners per interface
Feb 2 22:14:01 KS01 named[4120]: using up to 4096 sockets
Feb 2 22:14:01 KS01 named[4120]: loading configuration from '/etc/bind/named.conf'
Feb 2 22:14:01 KS01 named[4120]: reading built-in trusted keys from file '/etc/bind/bind.keys'
Feb 2 22:14:01 KS01 named[4120]: initializing GeoIP Country (IPv4) (type 1) DB
Feb 2 22:14:01 KS01 named[4120]: GEO-106FREE 20150106 Build 1 Copyright (c) 2015 MaxMind Inc All Rights Reserved
Feb 2 22:14:01 KS01 named[4120]: initializing GeoIP Country (IPv6) (type 12) DB
Feb 2 22:14:01 KS01 named[4120]: GEO-106FREE 20150106 Build 1 Copyright (c) 2015 MaxMind Inc All Rights Reserved
Feb 2 22:14:01 KS01 named[4120]: initializing GeoIP City (IPv4) (type 2) DB
Feb 2 22:14:01 KS01 named[4120]: GEO-533LITE 20150106 Build 1 Copyright (c) 2015 MaxMind Inc All Rights Reserved
Feb 2 22:14:01 KS01 named[4120]: GeoIP City (IPv6) (type 30) DB not available
Feb 2 22:14:01 KS01 named[4120]: GeoIP City (IPv6) (type 31) DB not available
Feb 2 22:14:01 KS01 named[4120]: GeoIP Region (type 3) DB not available
Feb 2 22:14:01 KS01 named[4120]: GeoIP Region (type 7) DB not available
Feb 2 22:14:01 KS01 named[4120]: GeoIP ISP (type 4) DB not available
Feb 2 22:14:01 KS01 named[4120]: GeoIP Org (type 5) DB not available
Feb 2 22:14:01 KS01 named[4120]: initializing GeoIP AS (type 9) DB
Feb 2 22:14:01 KS01 named[4120]: GEO-117 20150126 Build 1 Copyright (c) 2015 MaxMind Inc All Rights Reserved
Feb 2 22:14:01 KS01 named[4120]: GeoIP Domain (type 11) DB not available
Feb 2 22:14:01 KS01 named[4120]: GeoIP NetSpeed (type 10) DB not available
Feb 2 22:14:01 KS01 named[4120]: using default UDP/IPv4 port range: [1024, 65535]
Feb 2 22:14:01 KS01 named[4120]: using default UDP/IPv6 port range: [1024, 65535]
Feb 2 22:14:01 KS01 named[4120]: listening on IPv6 interfaces, port 53
Feb 2 22:14:01 KS01 named[4120]: listening on IPv4 interface lo, 127.0.0.1#53
Feb 2 22:14:01 KS01 named[4120]: listening on IPv4 interface eth0, 10.1.2.120#53
Feb 2 22:14:01 KS01 named[4120]: generating session key for dynamic DNS
Feb 2 22:14:01 KS01 named[4120]: sizing zone task pool based on 7 zones
Feb 2 22:14:01 KS01 named[4120]: Loading 'AD DNS Zone' using driver dlopen
Feb 2 22:14:01 KS01 named[4120]: samba_dlz: Failed to connect to /var/lib/samba/private/dns/sam.ldb
Feb 2 22:14:01 KS01 named[4120]: dlz_dlopen of 'AD DNS Zone' failed
Feb 2 22:14:01 KS01 named[4120]: SDLZ driver failed to load.
Feb 2 22:14:01 KS01 named[4120]: DLZ driver failed to load.
Feb 2 22:14:01 KS01 named[4120]: loading configuration: failure
Feb 2 22:14:01 KS01 named[4120]: exiting (due to fatal error) Den Stinker haut's wohl an der Stelle Feb 2 22:14:01 KS01 named[4120]: samba_dlz: Failed to connect to /var/lib/samba/private/dns/sam.ldb raus. Mache ich nun den root@KS01:/etc/bind# ls -la /var/lib/samba/private/dns/sam.ldb
-rw-rw-r-- 1 root bind 3014656 Jan 22 09:33 /var/lib/samba/private/dns/sam.ldb oder den root@KS01:/etc/bind# getfacl /var/lib/samba/private/dns/sam.ldb
getfacl: Removing leading '/' from absolute path names
# file: var/lib/samba/private/dns/sam.ldb
# owner: root
# group: bind
user::rw-
group::rw-
other::r-- dann kapiere ich um's Verrecken nicht die "permission denied".
|
cflinux
Anmeldungsdatum: 14. Januar 2013
Beiträge: 685
|
Hallo Suche mal auf deinem System nach dieser Datei dlz_bind9_10.so , diese Datei wird in /var/lib/samba/private/named.conf geladen.
# For BIND 9.10.x
database "dlopen /usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9_10.so";
vergleiche die beiden Pfade und ersetze den Pfad zur Datei, wenn nötig (Ich hoffe es jedenfalls, das sie nicht gleich sind)
und Starte den bind neu. Syslog wäre dann wieder interessant, wenn der bind wieder nicht startet. Ansonsten wieder fit? Gruß cflinux
|
Wurschtel
(Themenstarter)
Anmeldungsdatum: 21. Januar 2015
Beiträge: 53
|
Hallo Ein "find / -name dlz_bind9_10.so" hat zum Ergebnis: /usr/lib/debug/usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9_10.so
/usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9_10.so War das mit find richtig und was soll ich jetzt machen? Klar - immer fit ... nur manchmal nicht!!!!
|
cflinux
Anmeldungsdatum: 14. Januar 2013
Beiträge: 685
|
Hallo Findest du das lustig, meine ganzen Vermutungen kaputt zumachen. Das hatte ich so nicht erwartet. Du kannst mal Versuchen den Pfad
/usr/lib/debug/usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9_10.so
für diesen verwenden
/usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9_10.so
in der /var/lib/samba/private/named.conf, wobei ich nicht glaube das, das was ändert. Gruß cflinux
|
Wurschtel
(Themenstarter)
Anmeldungsdatum: 21. Januar 2015
Beiträge: 53
|
Dein Glaube betrog dich nicht .... heul Same proccedure as last try - es ändert sich nichts.
|
Wurschtel
(Themenstarter)
Anmeldungsdatum: 21. Januar 2015
Beiträge: 53
|
Aber nun mal Hand auf's Herz .... WER ÄRGERT (UNS) DENN DA??? Es muß sich doch irgendwie herausfinden lassen, wer hier wem keine Zugriffsrechte gewährt.
Oder denke ich da in die falsche Richtung? Apparmor ist für den named übrigens immer noch im Quarantäne-directory
|
cflinux
Anmeldungsdatum: 14. Januar 2013
Beiträge: 685
|
Hallo Ich habe gerade noch mal meine Samba4 Installation mit dem selbst compilierten bind durchforstet und mir schwant Böses. Ich glaube nicht mehr, das es an der sam.ldb liegt. Ich kann mich erinnern, das im Verzeichnis /var/lib/samba/private/ eine von Samba erstellte forwarder Datei war. Diese ist jetzt weg und ist in die beiden Dateien dns_update_cache und dns_update_list eingearbeitet worden. Die beiden Dateien liegen in /var/lib/samba/private/ bei dir ist die dns_update_cache leer ist. Ich glaube die wird beim ersten erfolgreichen Start gefüllt. Meine forwarder Datei sah so aus (glaub ich) und hieß db.CFXXX.DOM $ORIGIN CFXXX.DOM.
$TTL 1W
@ IN SOA CFXXX.DOM. root.CFXXX.DOM. (
01 ; serial
2D ; refresh
4H ; retry
6W ; expiry
1W ) ; minimum
IN NS SAMBA4-14-04
SAMBA4-14-04 IN A 192.168.244.40
gc._msdcs IN CNAME SAMBA4-14-04
27f515e4-f5af-4396-bc93-130013076ab7._msdcs IN CNAME SAMBA4-14-04
_gc._tcp IN SRV 0 100 3268 SAMBA4-14-04
_gc._tcp.Default-First-Site-Name._sites IN SRV 0 100 3268 SAMBA4-14-04
_ldap._tcp.gc._msdcs IN SRV 0 100 389 SAMBA4-14-04
_ldap._tcp.Default-First-Site-Name._sites.gc._msdcs IN SRV 0 100 389 SAMBA4-14-04
_ldap._tcp IN SRV 0 100 389 SAMBA4-14-04
_ldap._tcp.dc._msdcs IN SRV 0 100 389 SAMBA4-14-04
_ldap._tcp.pdc._msdcs IN SRV 0 100 389 SAMBA4-14-04
_ldap._tcp.b168ccf1-d862-4146-8cea-0021f3c88feb IN SRV 0 100 389 SAMBA4-14-04
_ldap._tcp.b168ccf1-d862-4146-8cea-0021f3c88feb.domains._msdcs IN SRV 0 100 389 SAMBA4-14-04
_ldap._tcp.Default-First-Site-Name._sites IN SRV 0 100 389 SAMBA4-14-04
_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs IN SRV 0 100 389 SAMBA4-14-04
_kerberos._tcp IN SRV 0 100 88 SAMBA4-14-04
_kerberos._tcp.dc._msdcs IN SRV 0 100 88 SAMBA4-14-04
_kerberos._tcp.Default-First-Site-Name._sites IN SRV 0 100 88 SAMBA4-14-04
_kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs IN SRV 0 100 88 SAMBA4-14-04
_kerberos._udp IN SRV 0 100 88 SAMBA4-14-04
_kerberos-master._tcp IN SRV 0 100 88 CFXXX.DOM
Mit dem unteren Teil sollten auf alle Fälle die Tests mit host funktionieren. (ab hier: gc._msdcs IN CNAME SAMBA4-14-04) Ob die forwarder Datei wirklich so aussah kann ich nicht mehr sagen. /var/lib/samba/private/ ist dein Verzeichnis bei mir heißt das Verzeichnis anders, ich hab es mal übersetzt auf deine Pfade. Da ich ja den selbst compilierten Samba4 verwendet habe. Man kann jetzt versuchen diese Datei zu nehmen (angepasst natürlich) und in das Verzeichnis schieben und schauen was abbrennt. Wobei ich schon sagen muss ich hätte bei dieser Operation Magenschmerzen, bei einem Produktivsystem. Ich weiß nämlich nicht, was uns da alles um die Ohren fliegt, entscheiden musst du, ob du das Risiko eingehen willst. Viel Erfolg wenn du dich traust. Gruß cflinux
|
Wurschtel
(Themenstarter)
Anmeldungsdatum: 21. Januar 2015
Beiträge: 53
|
Uiiiii ... so sah meine forwarder noch nie aus. Das kann ich dir amtlich geben!!! Von Hand etwas da reinzubasteln, was eigentlich eine Routine machen sollte ... macht mir auch etwas Bauchweh. Ich grübele ja auch schon eine ganze Weile an der Sache. Mit nur oberflächlichem Halbwissen steige ich auch gar nicht so arg tief ein. Wie wäre es denn, wenn ich erstmal wieder alles sambamäßige deinstalliere, so daß die Kiste wieder von der Seite absolut clean ist (ob purge da reicht?)? Danach den bind ohne dieses doofe GeoIP compilieren und wieder drauf damit. Und nach einem ausgiebigen dns / dyndhcp usw test wieder frisch mit dem samba ad dc starten. Was meinst'e?
|