Ubuntu18.04版等において、Sambaのソース・コンパイル版からAD DC(フラットファイル版)を作る際に、/usr/local/samba/private/named.conf.updateが動的に生成され、不具合を招く場合がありますので、サイト管理者なりの対策をまとめてみました。
Sambaのソース版をコンパイルして、AD DCを作成する場合、/usr/local/samba/private/named.conf.updateが邪魔するという問題が起こっておりました。named.conf.updateは動的に生成されるものですが、その中で使われているms-serifというトークンが認識されない場合があります。
/* this file is auto-generated - do not edit */ update-policy { grant IT-ISHIN.COM ms-self * A AAAA; grant Administrator@IT-ISHIN.COM wildcard * A AAAA SRV CNAME; grant UBUNTU02$@it-ishin.com wildcard * A AAAA SRV CNAME; };
この中で、ms-selfというトークンを理解してくれません。いろいろ調べたところセキュリティは低下しますが、次のようにすればBIND9が正常に起動してくれます。
# This file should be included in your main BIND configuration file # # For example with # include "/usr/local/samba/private/named.conf"; zone "it-ishin.com." IN { type master; file "/usr/local/samba/private/dns/it-ishin.com.zone"; /* * the list of principals and what they can change is created * dynamically by Samba, based on the membership of the domain controllers * group. The provision just creates this file as an empty file. */ /* include "/usr/local/samba/private/named.conf.update"; */ allow-update {any;}; /* we need to use check-names ignore so _msdcs A records can be created */ check-names ignore; }; # The reverse zone configuration is optional. The following example assumes a # subnet of 192.168.123.0/24: /* zone "123.168.192.in-addr.arpa" in { type master; file "123.168.192.in-addr.arpa.zone"; update-policy { grant *.COM wildcard *.123.168.192.in-addr.arpa. PTR; }; }; */ # Note that the reverse zone file is not created during the provision process. # The most recent BIND versions (9.8 or later) support secure GSS-TSIG # updates. If you are running an earlier version of BIND, or if you do not wish # to use secure GSS-TSIG updates, you may remove the update-policy sections in # both examples above.
allow-update {any;};を挿入するのですが取り敢えず、当座はこれでしのいでおります。