Архив форумов ЦИТФорума

[Dmitry.Karpov http://prof]

Есть FreeBSD, на нем named, isc-dhcpd и Samba с функциями WINS. Хочу сделать так, чтобы машины регестрировались в DNS либо при получении IP-номера, либо при регистрации в WINS. У кого какие соображения/подсказки?

[and3008]

Вот и тебе понадобилось. ))

Рассказываю:
dhcpd.conf
ddns-update-style interim;

key DHCP_UPDATER {
algorithm HMAC-MD5.SIG-ALG.REG.INT;
secret fhjdfhjas06sv4PQ==;
};

zone фирма.ру. {
primary 127.0.0.1;
key DHCP_UPDATER;
}

subnet 10.1.1.0 netmask 255.255.255.0
{
ddns-domainname "фирма.ру";
ddns-rev-domainname "in-addr.arpa";
ddns-update-style interim;
ignore client-updates;
option domain-name "фирма.ру";
#Остальное по вкусу и задачам
}

named.conf

key DHCP_UPDATER {
algorithm HMAC-MD5.SIG-ALG.REG.INT;
secret fhdjfhdjfhsv4PQ==;
};
#Думаю объяснять не надо, что ключ должен совпадать с dhcpd.conf
acl "dhcp-server" {
127.0.0.1;
};

acl "dhcp-clients" {
10.1.1/8;
};
zone "фирма.ру" in {
type master;
file "фирма.ру";
allow-update{ "dhcp-server"; key DHCP_UPDATER;};

Аналогично сделать настройки в dhcpd.conf и named.conf для обратной зоны.

Приведены минимальные настройки.
Ключи генерить прогами, входящими в состав dhcpd и named. Лучше всего пользовать последние версии named и dhcpd.
dhcpd сам будет править зону при выдаче IP и удалении. named не вносит изменения немедленно, а сперва журналирует, думаю про журнал в версии 9 говорить не надо?

[Dmitry.Karpov http://prof]

0) Я бы обошелся без динамического апдейта, но:
а) У нас постоянно перемещают машины вместе с сетевыми карточками.
б) Привязать доступ к юзерам нереально, т.к. большинство людей не способны запомнить пароль. Зачем нужен M$-Domain - непонятно.
в) Squid не умеет проверять NetBIOS-имя машины (т.е. в host.conf нельзя происать в дополнение к файлу /etc/hosts, сиситеме BIND/DNS и NIS/NIS+ еще и NetBIOS, хотя Samba усановлена; а может, я и ошибаюсь...).

1) Зачем писать "ddns-update-style interim;" в нескольких местах dhcpd.conf?

2) С каким именем машины будут регистрироваться в зону "фирма.ру"? Ведь в NetBIOS-именам м.б. подчеркивание и прочие символы, неприемлимые для DNS (хотя Windows спокойно позволяет прописывать их в файле hosts).
2а) Если машина прописана в dhcpd.conf по MAC-адресу с определенным доменным именем, то будет ли это отличаться от динамически конфигурируемой машины с номером из пула?

3) Что дает "ignore client-updates;"?

4) Какими программами генерить ключи?

5) Про журналирование в named я не слышал и не понимаю, зачем оно там. А какие задержки при этом возникают - секунды или часы?

[and3008]

1. Достаточно двух раз. В прямой и обратной зоне. Я написал в нескольких. Зачем? Не помню уже. Были какие-то мысли.

2. Машины будут регистрироваться с теми именами, которые у них указаны в св-вах сети.
2а. Несовместимость имен DNS и NetBIOS пофиксена в named с версии 9.0 Считается хорошим тоном закрепять пару MAC-IP, можешь закрепить и имя (наверно). Когда клиенту будет выдан IP - будет послан запрос в DNS (от dhcpd) на правку зоны.

3. ignore client-updates; означает посылать на фиг Win2000/2003/XP с их желаниями записать чего-то в зону. Х.з. на фига эту опцию вынесли отделать, достаточно наверно allow-update.

4. Однако man dhcpd.conf Там 4 параграфа на тему DDNS Прога для генерации ключей dnskeygen

5. В версии 9.Х вводится журналирование. Т.е. изменения принимаются и через некоторое время данные из журнала переносятся в файлы зон. Нужно для того, чтобы не терроризировать файлы зоны по каждому поводу. Как управлять журналом - не знаю. У меня данные из журнала переносятся в файлы зон раз в час.

[Dmitry.Karpov http://prof]

1) При переходе на FreeBSD'4.7 и соотвествующем обновлении версии isc-dhcpd (из packages) я обнвружил, что без "ddns-update-style ...;" isc-dhcpd работать отказывается - требует вписать туда что-нибудь.

3) "ignore client-updates;" пишется в dhcpd.conf, в то время как W'2k/XP регестрируется в DNS (на что named регулярно жаловался).

4) Мог бы назвать имя этой программы, а то искать эти четыре параграфа м.б. проблематично - мануал немаленький. Да и про ddns update там написано про два стиля (собственно, после этого я и решил, что проще спросить).

5) Ну, файлы зон дергать необязательно - достаточно обновлять содержимое зон в памяти. А раз в час - слишком редко, мне нужно не более нескольких минут (пока машина грузится и юзер логинится).

[and3008]

1. Я не знаю, какой версии DHCPD в твоей Фряхе, я собирал последний стабильный с сайта производителя.

ddns-update-style interim появился в последней версии на смену ad-hook, который криво работал.

2. Есть такое дело. Сам с этой опцией не разбирался. Думаю надо в named настроить тихий игнор попыток зарегистрировать в DNS. Надо как-то вычленить ити мессаги и отправлять в /dev/null. Сам пока не сделал.

3. interim - более правильный способ (ИМХО). Суть заключается в простом. В DNS прописывается имя и IP машины и еще текстовая инфа (записи типа TXT) которые потом позволяют удалить или изменить запись о машине.

4. Файлы зон и не дергатся. Все пишется в журнал. А раз в час сбрасывается на диск в файлы зон. Журнал хранится и в ОЗУ и на диске. Там какая-то хитрая система.

Не совсем ясно что тебе еще подсказать? В мануале все подробно написано. В т.ч. в доке NAMED есть раздел про DDNS. На сайте ISC тоже доки видел. Ссылки дать?

[Agp]

Здравствуйте.
Опцию ddns-update-style обязательно нужно указывать если обновление не нужно, то можно поставить 'ddns-update-style none;'
Если же нужно, то надо исп-ть interim, другой метод скоро будет заменен, на что-то ещё круче.
По поводу файлов зон, журналирование нужно чтобы не дергать файлы зон при этом все изменения вносимые в журнал включаются сразу, задержек регистрации нет никаких, просто на диск сливается раз в час.
В девятой bind программа генерации ключей наз. dnssec-keygen.

[FSerg]

в принципе DDNS у меня работает, но есть несколько машин, связка MAC-IP которых прописана вручную.
Так вот IP эти машины получают, но DHCP сервак в DNS их не заносит. Это фича или кривизна моих рук? Подробности о номерах версий и конфиги смогу только завтра, если надо.
Огромное спасибо.

[and3008]

-

[Dmitry.Karpov http://prof]

-

[Agp]

Не пробовал. может и можно, а смысл?

[FSerg]

1. Есть связка DHCP-DDNS. IP выдается, в DNS запись не производится. НЕ ЛОГИЧНО.
2. Через год кто-то полезет поправить что-то, и... Ручная синхронизация - всегда источник проблемм, от этого нужно избавляться. Желающие поспорить есть?

[and3008]

Видимо твои взгляды не разделяют разработчики софта из ISC.
Если врученьки сделал привязку в DHCP, то почему бы не сделать тоже самое в DNS?

Почему в виндузе все работает? Дык там клиенты сами себя в DNS прописывают, что на мой взгляд не есть хорошо.

[Agp]

На вопрос почему бы не сделать то же самое в dns есть ответ - лениво мне.
Могли бы сделать это опционально в dhcpd.conf
Пойду на isc.org почитаю аргументы.

[and3008]

-

[Dmitry.Karpov http://prof]

-