2019年9月18日
  • Just another WordPress site

Samba(Ubuntu18.04等)でのADDCの設定の仕方

Ubuntu18.04版等において、Sambaのソース・コンパイル版からAD DC(フラットファイル版)を作る際に、/usr/local/samba/private/named.conf.updateが動的に生成され、不具合を招く場合がありますので、サイト管理者なりの対策をまとめてみました。

Sambaのソース版をコンパイルして、AD DCを作成する場合、/usr/local/samba/private/named.conf.updateが邪魔するという問題が起こっておりました。named.conf.updateは動的に生成されるものですが、その中で使われているms-serifというトークンが認識されない場合があります。

/* this file is auto-generated - do not edit */
update-policy {
	grant IT-ISHIN.COM ms-self * A AAAA;
	grant Administrator@IT-ISHIN.COM wildcard * A AAAA SRV CNAME;
	grant UBUNTU02$@it-ishin.com wildcard * A AAAA SRV CNAME;
};

この中で、ms-selfというトークンを理解してくれません。いろいろ調べたところセキュリティは低下しますが、次のようにすればBIND9が正常に起動してくれます。

# This file should be included in your main BIND configuration file
#
# For example with
# include "/usr/local/samba/private/named.conf";

zone "it-ishin.com." IN {
	type master;
	file "/usr/local/samba/private/dns/it-ishin.com.zone";
	/*
	 * the list of principals and what they can change is created
	 * dynamically by Samba, based on the membership of the domain controllers
	 * group. The provision just creates this file as an empty file.
	 */

	/* include "/usr/local/samba/private/named.conf.update"; */
     allow-update {any;};

    /* we need to use check-names ignore so _msdcs A records can be created */
	check-names ignore;
};

# The reverse zone configuration is optional.  The following example assumes a
# subnet of 192.168.123.0/24:

/*
zone "123.168.192.in-addr.arpa" in {
	type master;
	file "123.168.192.in-addr.arpa.zone";
	update-policy {
		grant *.COM wildcard *.123.168.192.in-addr.arpa. PTR;
	};
};
*/

# Note that the reverse zone file is not created during the provision process.

# The most recent BIND versions (9.8 or later) support secure GSS-TSIG
# updates.  If you are running an earlier version of BIND, or if you do not wish
# to use secure GSS-TSIG updates, you may remove the update-policy sections in
# both examples above.

allow-update {any;};を挿入するのですが取り敢えず、当座はこれでしのいでおります。

コメントを残す

CAPTCHA