「BIND9 DLZ DNSバックエンド」の版間の差分
| 66行目: | 66行目: | ||
|Samba 4.0以降 | |Samba 4.0以降 | ||
|} | |} | ||
== Kerberosを使用した動的DNS更新のセットアップ == | |||
Sambaは、<code>BIND9_DLZ</code>バックエンドによって管理されるActive Directory(AD)ゾーンを自動的に更新することができます。 | |||
{{imbox | |||
| style = margin: 4px 2%; | |||
| text = 動的DNS更新には最低でもBINDバージョン9.8が必要です。 | |||
}} | |||
Kerberosを使用して動的DNS更新を有効にするには | |||
- BINDの`named.conf`ファイルの`options {}`セクションに次の`include`文を追加します。例えば: | |||
``` | |||
options { | |||
[...] | |||
tkey-gssapi-keytab "/usr/local/samba/private/dns.keytab"; | |||
[...] | |||
}; | |||
``` | |||
- プロビジョニングまたはADフォレストに参加させた場合、または4.4.0より前のSambaバージョンを使用して従来のアップグレードを実行した場合、誤った権限を使用してBIND Kerberosキータブファイルが生成されました。修正するには、BINDユーザーの読み取りアクセスを有効にします。 | |||
``` | |||
#chmod 640 /usr/local/samba/private/dns.keytab | |||
#chown root:named /usr/local/samba/private/dns.keytab | |||
``` | |||
<WRAP info> | |||
パッケージを使用してSambaをインストールする場合は、BINDユーザーがdns.keytabファイルを読み取ることができることを検証します。一部のパッケージインストールでは、上位のフォルダに対する制限付きのアクセス許可が設定されています。 | |||
</WRAP> | |||
- `/etc/krb5.conf` Kerberosクライアント構成ファイルがBINDユーザーによって読み取り可能であることを確認します。例えば: | |||
``` | |||
# ls -l /etc/krb5.conf | |||
-rw-r--r--. 1 root named 99 2. Sep 2014 /etc/krb5.conf | |||
``` | |||
- ドメインコントローラ(DC)にnsupdateユーティリティが存在することを確認します。 | |||
``` | |||
# which nsupdate | |||
/usr/bin/nsupdate | |||
``` | |||
`nsupdate`コマンドは、DNSを更新するために使用されます。ユーティリティが見つからない場合は、配布物のドキュメントを参照して、コマンドを含むパッケージの識別方法とインストール方法を確認してください。 | |||
2018年3月22日 (木) 18:36時点における版
はじめに
SambaはBIND DNSサーバーをSamba Active Directory(AD) domain controller(DC)上でDNSバックエンドとして利用するためのサポートを提供しています。BIND9_DLZバックエンドは、Samba内部DNSサーバーがサポートしていない複雑なDNSを構成するために推奨されています。
{{#invoke:Message box|imbox}}
BIND9_DLZモジュールは、Samba Active Directory(AD)データベースに直接アクセスします。理由は以下の通り:
- BINDはSamba ADドメインコントローラ(DC)として同じマシンにインストールする必要があります。
- BINDはchange root環境で実行してはいけません。
- ゾーンはディレクトリと一緒に保存され、複製されます。
BINDの設定
詳細は、「BIND DNSサーバーの設定」を参照してください。
BIND9_DLZモジュールの設定
ドメインのプロビジョニング、ドメインへの参加、あるいはクラシックアップデートをしている間に、/usr/local/samba/private/named.confファイルが作成されます。
現在使用しているBINDのバージョンでBIND9_DLZモジュールを有効にするには:
- BINDの
named.confファイルに次ののincludeステートメントを追加:
include "/usr/local/samba/private/named.conf";
- BINDのバージョンを確認します。
# named -v BIND 9.9.4
/usr/local/samba/private/named.confファイルを編集し、確認したBINDのバージョンモジュールをコメントを外します。例:
dlz "AD DNS Zone" {
# For BIND 9.8
# database "dlopen /usr/local/samba/lib/bind9/dlz_bind9.so";
# For BIND 9.9
database "dlopen /usr/local/samba/lib/bind9/dlz_bind9_9.so";
# For BIND 9.10
# database "dlopen /usr/local/samba/lib/bind9/dlz_bind9_10.so";
# For BIND 9.11
# database "dlopen /usr/local/samba/lib/bind9/dlz_bind9_11.so";
};
次の表は、サポートされているBINDのバージョンとサポートが開始されたSambaのバージョンを示しています。
| BINDバージョン | サポートされたSambaのバージョン |
|---|---|
| BIND 9.11 | Samba 4.5.2以降 |
| BIND 9.10 | Samba 4.2以降 |
| BIND9.9 | Samba 4.0以降 |
| BIND9.8 | Samba 4.0以降 |
Kerberosを使用した動的DNS更新のセットアップ
Sambaは、BIND9_DLZバックエンドによって管理されるActive Directory(AD)ゾーンを自動的に更新することができます。
{{#invoke:Message box|imbox}}
Kerberosを使用して動的DNS更新を有効にするには
- BINDの`named.conf`ファイルの`options {}`セクションに次の`include`文を追加します。例えば:
``` options {
[...]
tkey-gssapi-keytab "/usr/local/samba/private/dns.keytab";
[...]
}; ```
- プロビジョニングまたはADフォレストに参加させた場合、または4.4.0より前のSambaバージョンを使用して従来のアップグレードを実行した場合、誤った権限を使用してBIND Kerberosキータブファイルが生成されました。修正するには、BINDユーザーの読み取りアクセスを有効にします。
```
- chmod 640 /usr/local/samba/private/dns.keytab
- chown root:named /usr/local/samba/private/dns.keytab
```
<WRAP info> パッケージを使用してSambaをインストールする場合は、BINDユーザーがdns.keytabファイルを読み取ることができることを検証します。一部のパッケージインストールでは、上位のフォルダに対する制限付きのアクセス許可が設定されています。 </WRAP>
- `/etc/krb5.conf` Kerberosクライアント構成ファイルがBINDユーザーによって読み取り可能であることを確認します。例えば:
```
- ls -l /etc/krb5.conf
-rw-r--r--. 1 root named 99 2. Sep 2014 /etc/krb5.conf ```
- ドメインコントローラ(DC)にnsupdateユーティリティが存在することを確認します。
```
- which nsupdate
/usr/bin/nsupdate ```
`nsupdate`コマンドは、DNSを更新するために使用されます。ユーティリティが見つからない場合は、配布物のドキュメントを参照して、コマンドを含むパッケージの識別方法とインストール方法を確認してください。