OT DHCP BIND AD
Utilización de dhcp3-server y Bind9 como servidorvidores de IP y nombres
en Dominio de Microsoft.
He creado este documento para que no se me olvide y por si le sirve de
algo a alguien.
Hoy en día que la mayoría de los ordenadores de las empresas son
Windows, no es ninguna tontería instalar Active Directory, pero para los
que no creemos en estar atados a una empresai queremos, en lo posible
usar servicios libres, como en la base de AD están los servicios de DHCP
DNS Kerberos LDAP servicio de ficheros escritorios móviles ..., y todos
estos servicios los pueden dar muchas aplicaciones tanto propietarias
como de SL, es por esto por lo que he empezado a configurar (de prueba
en mi casa) un AD con la mayoría de los servicios fuera de Windows.
Este trabajo puede ser total mente estéril pues los desarrolladores de
SAMBA tienen bastante avanzado el desarrollo de la versión 4 en la que
Linux podrá actuar como DC, pero es útil para aprender.
Como todo el mundo lo primero que he hecho es buscar en Internet, y la
pagina que siempre aparece en primer lugar es:
http://www.microsoft.com/technet/archive/interopmigration/linux/mvc/cfgbind.mspx?mfr=true
Den esta pagina solo podemos sacar en claro que hay que autorizar al DC
a actualizar al servidor de DNS (cosa bastante obvia por otro lado)
Siguiendo buscando encontré esta pagina:
http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=4020&pagina=1
que , aunque esta en portugués y yo no lo hablo, se entiende lo mas
importante y da todas las claves para poder montarlo,
desafortunadamente, debido a la versión de bind usada no funciono.
En esta pagina:
http://www.linux-mag.com/id/744?r=s
(que hay que registrarse para poder leer), encontré el resto de las las
claves para que funcionar.
No pongo los enlaces seguidos para aprender a sincronizar DNS y DHCP por
que, por desgracia, lo hice hace un tiempo y no los recuerdo.
El resultado es:
El servidor de DHCP tiene que tener la subred de la que forma parte AD
en mi caso casa, este es el fichero de configuración mio:
###########################################################################
key "llave" {
algorithm hmac-md5;
secret "xxxxx";
};
ddns-update-style interim;
ddns-domainname "casa.trujo";
ddns-rev-domainname "1.168.192.in-addr.arpa";
use-host-decl-names on;
allow client-updates;
option domain-name "casa.trujo.";
option domain-name-servers 192.168.1.3;
default-lease-time 600;
max-lease-time 7200;
authoritative;
log-facility local7;
zone casa.trujo. {
primary 192.168.1.3;
key llave;
}
zone 1.168.192.in-addr.arpa. {
primary 192.168.1.3;
key llave;
}
# Casa
shared-network Casa {
option netbios-name-servers 192.168.1.3;
option ntp-servers puerta;
option time-servers 192.168.1.3;
option routers 192.168.1.1;
allow unknown-clients;
authoritative;
ddns-updates on;
# casa-cable
subnet 192.168.1.0 netmask 255.255.255.0 {
option routers 192.168.1.1;
authoritative;
option subnet-mask 255.255.255.0;
range 192.168.1.100 192.168.1.200;
update-static-leases on;
# Impresora
host impresora {
hardware ethernet 00:0E:7F:E8:D3:AB;
fixed-address 192.168.1.2;
DDNS-hostname "impresora";
}
# antonio
host portatil {
hardware ethernet 00:0f:b0:c6:3c:31;
fixed-address 192.168.1.4;
DDNS-hostname "portatil";
}
host portatilm {
hardware ethernet 00:14:a5:72:95:d1;
fixed-address 192.168.1.41;
DDNS-hostname "portatil";
}
host abajo {
hardware ethernet 00:07:95:F1:AE:73;
fixed-address 192.168.1.5;
}
host casa-ad {
hardware ethernet 00:0c:29:e8:93:3c;
fixed-address 192.168.1.31;
}
}
}
###########################################################################
La llave la genere con “rndc-confgen” y lo edite, posteriomente, para
ponerle “llave” como nombre.
El fichero named.conf.locales es:
###########################################################################
include "/etc/bind/rndc.key";
view "casa" {
match-clients {
192.168.1.0/24;
127.0.0.1;
};
zone "casa.trujo" in {
type master;
file "/etc/bind/zonas/casa.trujo.hosts";
allow-update { casa_ad; key "llave"; };
};
zone "1.168.192.in-addr.arpa" in {
type master;
file "/etc/bind/zonas/192.168.1.rev";
allow-update { casa_ad; key "llave"; };
};
zone "_msdcs.casa.trujo" {
type master;
file "/etc/bind/zonas/_msdcs.casa.trujo";
allow-update { casa_ad; };
check-names ignore;
};
zone "_sites.casa.trujo" {
type master;
file "/etc/bind/zonas/_sites.casa.trujo";
allow-update { casa_ad; };
};
zone "_tcp.casa.trujo" {
type master;
file "/etc/bind/zonas/_tcp.casa.trujo";
allow-update { casa_ad; };
};
zone "_udp.casa.trujo" {
type master;
file "/etc/bind/zonas/_udp.casa.trujo";
allow-update { casa_ad; };
};
};
view "internet" {
..../...
};
###########################################################################
“casa_ad” esta incluido como un “acl” en el fichero “acl” que esta
incluido en el “named.conf” y su forma es:
“acl "casa_ad" { 192.168.1.31; };”
Hay que crear 4 zonas especificas para que funcione el AD (eso no lo
decía Microsoft) que son:
_msdcs, _sites, _tcp, _udp
En la zona _msdcs hay que añadir la directiva “check-names ignore” que
existia en bind8, fue eliminada en las primeras versiones de bind9 y ha
sido restituida en las ultimas.
Los ficheros de las nuevas zonas hay que crearlos vacíos, al ser un DNS
dinámico los rellenara el solo, su forma es:
###########################################################################
$ORIGIN .
$TTL 86400 ; 1 day
_msdcs.casa.trujo IN SOA puerta.casa.trujo. puerta.trujo.nom.es. (
2008012326 ; serial
10800 ; refresco (3 horas)
900 ; reintento (15 minutos)
604800 ; expira (1 semana)
3600 ; mínimo (1 hora)
)
NS puerta.
###########################################################################
Los mayores problemas que he tenido han sido referentes a los usuarios y
permisos, hay que comprobar que los ficheros y directorios de “bind”
sean propiedad del usuario y grupo “bind” (en otras versiones que no son
Debian pueden ser otros usuarios) y con permiso 660.
El servicio de “netlogon” de windows da una advertencia de que no se
registra, por lo que añadí “casa-ad” de forma manual, a parte de esto
todo parece funcionar correcta mente.
i)La empresa donde trabajo se planteo crear un AD como subdominio de la
matriz, que es mucho mas grande, como en la actualidad solo se puede
comprar w2003 rc2 se instalo un servidor con este sistema, cuando
intentamos promocionar el equipo nos salio un mensaje diciendo que había
que actualizar todos los servidores del dominio que ya estaban
funcionando debido a los requisitos del nuevo sistema o algo así), lo
que equivale a decenas de servidores mas un gran gasto, ¿Alguien
considera lógico verse obligado a cambiar algo que esta funcionando por
que lo mande aquel que te va a cobrar dinero?.
Reply to: