Установка ISC DHCP сервера и настройка обновления DNS записей в Active Directory - 20 Марта 2017 - Блог

Пятница, 26.04.2024, 00:24
Приветствую Вас Гость | RSS

Главная | Блог | Регистрация | Вход

Меню сайта

Категории раздела

test_category [0]

test_category

linux [6]

linux

windows [2]

microsoft windows

Вход на сайт

Поиск

Календарь

Архив записей

Друзья сайта

Статистика

Онлайн всего: 1

Гостей: 1

Пользователей: 0

Мой сайт

Главная » 2017 » Март » 20 » Установка ISC DHCP сервера и настройка обновления DNS записей в Active Directory

06:19

Установка ISC DHCP сервера и настройка обновления DNS записей в Active Directory

Установка ISC DHCP сервера и настройка обновления DNS записей в Active Directory.

Введение.
- Цель: установить ISC DHCP сервер и настроить его (ISC DHCP) так, что он обновлял (создавал, удалял) DNS записи на домен-контроллере.
- Ссылки.
  - http://www.lanlinux.ru/nastrojka-serverov/ustanovka-i-nastrojka-dhcp-servera-v-ubuntu-debian.html - Установка и настройка DHCP сервера в Ubuntu (Debian).
  - https://habrahabr.ru/post/265969/ - Безопасное динамическое обновление записей на MS DNS из Linux.
  - http://unix.stackexchange.com/questions/270097/isc-dhcp-with-active-directory-secure-dynamic-dns-updates - ISC DHCP with Active Directory Secure Dynamic DNS Updates.
  - http://pathtoself.name/extras/2015/06/AD-SLES11.html - Контроллер домена Active Directory на SLES 11.
- Имеются:
  - Виртуальный сервер, с установленным debian 8. Hostname = dhcp-srv1. На него будем устанавливать ISC DHCP. Локальный пользователь = user1 , может sudo.
  - Домен-контроллер - dc1.test-domain.localnet, на котором "крутится" MS DNS сервер. На нем будут обновляться DNS записи. Имя домена = test-domain.localnet. IP = 10.20.20.20
  - В домене (AD) создан пользователь - dns_updater . Под этой учетной записью DHCP сервер будет обновлять DNS записи.
Пошаговая процедура. I этап. Минимальная работоспособность.
- Подключаемся через ssh к dhcp-srv1 .
- Смотрим, что есть.
  
  user1@dhcp-srv1:~$ uname -a Linux dhcp-srv1 3.16.0-4-amd64 #1 SMP Debian 3.16.39-1+deb8u2 (2017-03-07) x86_64 GNU/Linux
  
  user1@dhcp-srv1:~$ cat /etc/os-release | grep PRETTY PRETTY_NAME="Debian GNU/Linux 8 (jessie)"
  
  user1@dhcp-srv1:~$ aptitude search dhcp ...
  
  user1@dhcp-srv1:~$ aptitude show isc-dhcp-server | grep Vers Version: 4.3.1-6+deb8u2
- Устанавливаем пакет.
  
  user1@dhcp-srv1:~$ sudo apt-get install isc-dhcp-server ... user1@dhcp-srv1:~$ sudo systemctl enable isc-dhcp-server ...
- Если на сервере более одного сетевого интерфейса, нужно отредактировать файл - /etc/default/isc-dhcp-server .
  
  ... INTERFACES="eth1" ...
- Начальная настройка DHCP сервера, редактируем конфигурационный файл - /etc/dhcp/dhcpd.conf .
  
  ddns-update-style none; # option definitions common to all supported networks... option domain-name "test-domain.localnet" ; option domain-name-servers 10.20.20.20 ; default-lease-time 600 ; max-lease-time 7200 ; # If this DHCP server is the official DHCP server for the local authoritative; #log-facility local7; subnet 10.10.10.0 netmask 255.255.255.0 { range 10.10.10.10 10.10.10.100 ; option domain-name-servers 10.20.20.20 ; option domain-name "test-domain.localnet" ; #option routers 10.10.10.1; option broadcast-address 10.10.10.255 ; default-lease-time 60 ; # для тестирования max-lease-time 7200; }
- Настройка журналирования. Edit /etc/rsyslog.d/dhcpd.conf .
  
  $FileCreateMode 0640 *.* /var/log/dhcpd/dhcpd.log :programname, isequal, "dhcpd" -/var/log/dhcpd/dhcpd.log :programname, isequal, "dhcpd" stop
- Стартуем демон.
  
  user1@dhcp-srv1:~$ sudo service rsyslog restart user1@dhcp-srv1:~$ sudo service isc-dhcp-server start user1@dhcp-srv1:~$ systemctl status isc-dhcp-server.service
- Тестируем. Запускаем тестовый хост с DHCP клиентом. Смотрим журналы.
  
  user1@dhcp-srv1:~$ tail /var/log/dhcpd/dhcpd.log user1@dhcp-srv1:~$ tail /var/lib/dhcp/dhcpd.leases
Пошаговая процедура. II этап. Тестовое обновление DNS записей .
- Устанавливаем ntp.
  
  user1@dhcp-srv1:~$ sudo apt-get install ntp
- Edit /etc/ntp.conf .
  
  ... server dc1.test-domain.localnet iburst ...
- Проверяем.
  
  user1@dhcp-srv1:~$ sudo service ntp restart user1@dhcp-srv1:~$ ntpq -c peers
- Установка пакета для nsupdate.
  
  user1@dhcp-srv1:~$ sudo apt-get install dnsutils
- Установка Kerberos клиента.
  
  user1@dhcp-srv1:~$ sudo apt-get install krb5-user
- Edit /etc/krb5.conf .
  
  [libdefaults] default_realm = TEST-DOMAIN.LOCALNET #default_ccache_name = FILE:/tmp/dhcpd.krb5cc default_ccache_name = FILE:/tmp/krb5cc-dhcp_%{uid} [realms] TEST-DOMAIN.LOCALNET = { kdc = dc1.test-domain.localnet admin_server = dc1.test-domain.localnet default_domain = TEST-DOMAIN.LOCALNET } [domain_realm] .test-domain.localnet = TEST-DOMAIN.LOCALNET test-domain.localnet = TEST-DOMAIN.LOCALNET
- Создадим папку для временных файлов.
  
  user1@dhcp-srv1:~$ sudo mkdir /var/lib/dhcp/tmp
- Создадим keytab файл. Демон (dhcpd) выполняется под рутом, следовательно работу с билетами выполняем через sudo.
  
  user1@dhcp-srv1:~$ sudo ktutil [sudo] password for user1: ktutil: addent -password -p dns_updater@TEST-DOMAIN.LOCALNET -k 1 -e rc4-hmac Password for dns_updater@TEST-DOMAIN.LOCALNET: ktutil: write_kt /var/lib/dhcp/tmp/krb5.keytab ktutil: list slot KVNO Principal ---- ---- --------------------------------------------------------------------- 1 1 dns_updater@TEST-DOMAIN.LOCALNET ktutil: quit
- Получаем билет kerberos и проверяем.
  
  user1@dhcp-srv1:~$ sudo kinit -k -t /var/lib/dhcp/tmp/krb5.keytab dns_updater user1@dhcp-srv1:~$ sudo klist Ticket cache: FILE:/tmp/krb5cc-dhcp_0 Default principal: dns_updater@TEST-DOMAIN.LOCALNET Valid starting Expires Service principal 03/22/2017 12:57:14 03/22/2017 22:57:14 krbtgt/TEST-DOMAIN.LOCALNET@TEST-DOMAIN.LOCALNET renew until 03/23/2017 12:57:14
- Формируем тестовый "сценарий" обновления DNS записей. Edit /var/lib/dhcp/dns-update-1.txt .
  
  gsstsig server 10.20.20.20 zone test-domain.localnet update add test-host-1.test-domain.localnet 300 A 10.10.10.11 send
- Запускаем тестовое обновление DNS записей.
  
  user1@dhcp-srv1:~$ sudo nsupdate -v /var/lib/dhcp/dns-update-1.txt
- Вариант с отладкой.
  
  user1@dhcp-srv1:~$ sudo nsupdate -d -v /var/lib/dhcp/dns-update-1.txt
- Проверяем.
  
  user1@dhcp-srv1:~$ dig test-host-1.test-domain.localnet @10.20.20.20 +short 10.10.10.11
- Редактируем конфигурационный файл - /etc/dhcp/dhcpd.conf .
  
  ddns-update-style none; option domain-name "test-domain.localnet" ; option domain-name-servers 10.20.20.20 ; default-lease-time 600 ; max-lease-time 7200 ; authoritative; #log-facility local7; subnet 10.10.10.0 netmask 255.255.255.0 { range 10.10.10.10 10.10.10.100 ; option domain-name-servers 10.20.20.20 ; option domain-name "test-domain.localnet" ; #option routers 10.10.10.1; option broadcast-address 10.10.10.255 ; default-lease-time 60 ; # для тестирования max-lease-time 7200; on commit { set noname = concat("dhcp-", binary-to-ascii(10, 8, "-", leased-address)); set ClientIP = binary-to-ascii(10, 8, ".", leased-address); #set ClientMac = binary-to-ascii(16, 8, ":", substring(hardware, 1, 6)); set ClientName = pick-first-value(option host-name, host-decl-name, config-option host-name, noname); log(concat("Commit: IP: ", ClientIP, " Name: ", ClientName)); execute("/var/lib/dhcp/update-msdns-1.sh"); } }
- Редактируем тестовый скрипт обновления - /var/lib/dhcp/update-msdns-1.sh .
  
  #!/bin/sh #date >> /var/log/dhcpd/update-msdns-1.log #echo -------------------------------- >> /var/log/dhcpd/update-msdns-1.log #/usr/bin/nsupdate -d -v /var/lib/dhcp/dns-update-1.txt >> /var/log/dhcpd/update-msdns-1.log /usr/bin/nsupdate -v /var/lib/dhcp/dns-update-1.txt
- Тестируем. Запускаем тестовый хост с DHCP клиентом. Смотрим журналы.
  
  user1@dhcp-srv1:~$ tail /var/log/dhcpd/dhcpd.log user1@dhcp-srv1:~$ dig test-host-1.test-domain.localnet @10.20.20.20 +short 10.10.10.11
Пошаговая процедура. III этап. Реальное обновление DNS записей.
- Редактируем конфигурационный файл - /etc/dhcp/dhcpd.conf .
  
  ddns-update-style none; option domain-name "test-domain.localnet" ; option domain-name-servers 10.20.20.20 ; default-lease-time 600 ; max-lease-time 7200 ; authoritative; #log-facility local7; subnet 10.10.10.0 netmask 255.255.255.0 { range 10.10.10.10 10.10.10.100 ; option domain-name-servers 10.20.20.20 ; option domain-name "test-domain.localnet" ; #option routers 10.10.10.1; option broadcast-address 10.10.10.255 ; default-lease-time 60 ; # для тестирования max-lease-time 7200; on commit { set noname = concat("dhcp-", binary-to-ascii(10, 8, "-", leased-address)); set ClientIP = binary-to-ascii(10, 8, ".", leased-address); #set ClientMac = binary-to-ascii(16, 8, ":", substring(hardware, 1, 6)); set ClientName = pick-first-value(option host-name, host-decl-name, config-option host-name, noname); log(concat("Commit: IP: ", ClientIP, " Name: ", ClientName)); #execute("/var/lib/dhcp/update-msdns-3.sh", "add", ClientIP, ClientName); execute("/var/lib/dhcp/update-msdns-2.sh", "add", ClientIP, ClientName); } on expiry { set ClientIP = binary-to-ascii(10, 8, ".", leased-address); log(concat("Expired: IP: ", ClientIP, "ClientName: ", ClientName)); execute("/var/lib/dhcp/update-msdns-2.sh", "delete", ClientIP, ClientName); } on release { set ClientIP = binary-to-ascii(10, 8, ".", leased-address); log(concat("Release: IP: ", ClientIP," ClientName: ", ClientName )); #execute("/var/lib/dhcp/update-msdns-3.sh", "delete", ClientIP, ClientName); execute("/var/lib/dhcp/update-msdns-2.sh", "delete", ClientIP, ClientName); } }
- Редактируем рабочий скрипт обновления - /var/lib/dhcp/update-msdns-2.sh .
  
  #!/bin/bash action=$1 ip=$2 hostname=$3 dnsserver=10.20.20.20 domain=test-domain.localnet keytab=/var/lib/dhcp/tmp/krb5.keytab user=dns_updater ttl=300 /usr/bin/kinit -k -t $keytab $user case "$action" in add) echo "gsstsig server $dnsserver zone $domain update delete $hostname.$domain A update add $hostname.$domain $ttl A $ip send" | nsupdate ;; delete) echo "gsstsig server $dnsserver zone $domain update delete $hostname.$domain A send" | nsupdate ;; esac
- Другой вариант скрипта обновления - /var/lib/dhcp/update-msdns-3.sh .
  
  # !/bin/sh dnsserver=10.20.20.20 fwdzone=test-domain.localnet ttl=300 op=$1 addr=$2 cn=$3 fqdn=$cn.$fwdzone dir=/var/lib/dhcp/tmp addfile=$dir/add_$addr delfile=$dir/del_$addr keytab_file=/var/lib/dhcp/tmp/krb5.keytab user=dns_updater addRecord() { kinit -k -t $keytab_file $user cat << EOF > $addfile gsstsig server $dnsserver zone $fwdzone update delete $fqdn a update add $fqdn $ttl a $addr send EOF nsupdate -v $addfile rm -f $addfile #rm -f $delfile } delRecord() { kinit -k -t $keytab_file $user cat << EOF > $delfile gsstsig server $dnsserver zone $fwdzone update delete $fqdn a send EOF nsupdate -v $delfile rm -f $delfile } case $op in add|update) addRecord ;; delete) delRecord ;; *) echo "Unable to handle operation $op. Exiting" exit 1 esac
- Тестируем. Запускаем тестовый хост с DHCP клиентом. При этом в DNS должна появиться запись с именем тестового хоста. Смотрим журналы.
  
  user1@dhcp-srv1:~$ tail /var/log/dhcpd/dhcpd.log
Выводы, результаты, замечания. .
- Оба представленных скрипта обновления (update-msdns-2.sh и update-msdns-3.sh) успешно работают.
- Иногда возникают проблемы с удалением старых DNS записей (секции "on expiry" и "on release"). Это связано с тем, что скрипт обновления (update-msdns-2.sh) не получает параметр ClientName .

Просмотров: 2760 | Добавил: wown | Рейтинг: 0.0/0

Всего комментариев: 0

Бесплатный конструктор сайтов - uCoz