У меня возникла проблема при попытке включить GSS-TSIG с BIND 9.10.
Прежде чем я начну описывать то, что я сделал, я хотел бы сказать, что я уже сделал это в другом домене без каких-либо проблем. Так что я думаю, что упускаю кое-что очень конкретное. Если кто-то поможет мне отладить эту проблему, я буду очень рад.
Давайте начнем.
Я использую BIND9 9.10.0P2_5 на FreeBSD 10.0, скомпилированный мной с включенной опцией GSSAPI_BASE. Я использовал этот же двоичный пакет для развертывания в другом работающем домене.
Затем я включил GSS-TSIG в своем named.conf файлы:
options {
( … )
tkey-gssapi-keytab "/etc/krb5.keytab”;
( … )
};
zone “local.example.com" {
type master;
file "/usr/local/etc/namedb/dynamic/local.example.com";
notify yes;
check-names ignore;
allow-query { clients; };
allow-transfer { intnameservers; };
# allow-update {
# key "iq-rndc-key";
# domaincontrollers;
# };
update-policy {
grant * subdomain local.iq.ufrj.br. ANY;
};
};
zone "10.in-addr.arpa" {
type master;
file "/usr/local/etc/namedb/dynamic/10.in-addr.arpa";
notify yes;
allow-query { clients; };
allow-transfer { intnameservers; };
# allow-update {
# key "iq-rndc-key";
# domaincontrollers;
# };
update-policy {
grant * subdomain 10.in-addr.arpa. PTR TXT;
};
};
Затем я присоединился к домену AD с помощью Samba4 и Kerberos следующим образом:
Создал файл /etc/krb5.conf со следующим содержанием:
[libdefaults]
default_realm = EXAMPLE.COM
dns_lookup_realm = true
dns_lookup_kdc = true
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = yes
Установил Samba 4.1 и создал файл /usr/local/etc/smb4.conf со следующим содержанием:
[global]
security = ads
realm = EXAMPLE.COM
workgroup = EXAMPLE
kerberos method = secrets and keytab
client signing = yes
client use spnego = yes
log file = /var/log/samba4/%m.log
Запрошен билет администратора Kerberos:
$ kinit Administrator
Затем присоединитесь к домену и создайте keytab
$ net ads join createupn=dns/server-hostname.example.com@EXAMPLE.COM -k
$ net ads keytab create -k
В конце концов, я успешно получил билет, успешно создал учетную запись компьютера и учетную запись субъекта-службы.
Следующим шагом была привязка chown к /etc/krb5.keytab поэтому BIND9 может успешно прочитать keytab.
Ведь ничего не работает… GSS-TSIG даже не выдает ошибок в логах, что расстраивает. Я пытаюсь отладить это с помощью этих параметров в named.conf:
logging {
channel update_log {
file "/var/log/named/bind-ddns-updates.log";
severity debug;
print-category yes;
print-severity yes;
print-time yes;
};
category update {
update_log;
};
category update-security {
update_log;
};
};
Но я не вижу ничего полезного в файле журнала.
Заранее спасибо,