Samba4 BIND9_DLZ erro na zona direta - samba_dlz failed to configure zone already exists [RESOLVIDO]

tecnicodaniell
(usa CentOS)

Enviado em 09/06/2016 - 15:45h

Blz galera!

Estou tentando configurar o Samba4 com BIND9_DLZ para sejam feitas as atualizações dinâmicas nas zonas direta e reversa, só que ainda não consegui.

Meu ambiente:
CentOS 6.5
Samba 4.1.17
BIND-9.9.6-5.el6.x86_64
dhcp-4.1.1-51.P1.el6.centos.x86_64

O problema é que quando vou subir o BIND ele dá o erro abaixo, informando que a zona direta que configurei dentro do bind (named.conf) já existe, e realmente ela já existe, mas quando vou provisionar eu informo que o dns-backend é o "BIND9_DLZ" e mesmo assim ele cria a zona direta.

Jun 7 02:04:44 samba4 dhcpd: DHCPACK on 10.14.112.101 to 00:0c:29:db:64:b4 (INFORMATICA) via eth0
Jun 7 02:04:47 samba4 named[5660]: samba_dlz: starting transaction on zone hjxxiii.fhemig
Jun 7 02:04:47 samba4 named[5660]: client 10.14.112.101#63756: update 'hjxxiii.fhemig/IN' denied
Jun 7 02:04:47 samba4 named[5660]: samba_dlz: cancelling transaction on zone hjxxiii.fhemig
Jun 7 02:04:47 samba4 named[5660]: samba_dlz: starting transaction on zone hjxxiii.fhemig
Jun 7 02:04:47 samba4 named[5660]: client 10.14.112.101#53598: update 'hjxxiii.fhemig/IN' denied
Jun 7 02:04:47 samba4 named[5660]: samba_dlz: cancelling transaction on zone hjxxiii.fhemig

Jun 7 02:15:38 samba4 named[5896]: samba_dlz: starting transaction on zone hjxxiii.fhemig
Jun 7 02:15:38 samba4 named[5896]: samba_dlz: spnego update failed
Jun 7 02:15:38 samba4 named[5896]: client 10.14.112.91#56990/key rndc-key: updating zone 'hjxxiii.fhemig/NONE': update failed: rejected by secure update (REFUSED)
Jun 7 02:15:38 samba4 named[5896]: samba_dlz: cancelling transaction on zone hjxxiii.fhemig

Realmente existe a zona dentro do samba4, mas já dei permissão nos arquivos e o erro continua:
[root@samba4 ~]# ls -lh /usr/local/samba/private/dns/sam.ldb.d/
total 25M
-rwxrwx--- 1 root named 7,0M Jun 6 11:00 CN=CONFIGURATION,DC=HJXXIII,DC=FHEMIG.ldb
-rwxrwx--- 1 root named 8,2M Jun 6 11:00 CN=SCHEMA,CN=CONFIGURATION,DC=HJXXIII,DC=FHEMIG.ldb
-rwxrwx--- 2 root named 4,1M Jun 6 11:00 DC=DOMAINDNSZONES,DC=HJXXIII,DC=FHEMIG.ldb
-rwxrwx--- 2 root named 4,1M Jun 6 11:00 DC=FORESTDNSZONES,DC=HJXXIII,DC=FHEMIG.ldb
-rwxrwx--- 1 root named 1,3M Jun 6 11:00 DC=HJXXIII,DC=FHEMIG.ldb
-rwxrwx--- 2 root named 412K Jun 7 02:21 metadata.tdb

[root@samba4 ~]# ls -lh /usr/local/samba/private/dns/
total 2,9M
-rwxrwx--- 1 root named 2,9M Jun 6 11:00 sam.ldb
drwxrwx--- 2 root named 4,0K Jun 6 11:00 sam.ldb.d

[root@samba4 ~]# ls -lh /usr/local/samba/private/dns/sam.ldb.d/
total 25M
-rwxrwx--- 1 root named 7,0M Jun 6 11:00 CN=CONFIGURATION,DC=HJXXIII,DC=FHEMIG.ldb
-rwxrwx--- 1 root named 8,2M Jun 6 11:00 CN=SCHEMA,CN=CONFIGURATION,DC=HJXXIII,DC=FHEMIG.ldb
-rwxrwx--- 2 root named 4,1M Jun 6 11:00 DC=DOMAINDNSZONES,DC=HJXXIII,DC=FHEMIG.ldb
-rwxrwx--- 2 root named 4,1M Jun 6 11:00 DC=FORESTDNSZONES,DC=HJXXIII,DC=FHEMIG.ldb
-rwxrwx--- 1 root named 1,3M Jun 6 11:00 DC=HJXXIII,DC=FHEMIG.ldb
-rwxrwx--- 2 root named 412K Jun 7 02:21 metadata.tdb

Vi no site oficial do samba.org (https://wiki.samba.org/index.php/Using_BIND_DLZ_backend_with_secured_/_signed_DNS_updates) que existe um problema nos pacotes do BIND dos repositórios do CentOS e também de outras distro, como RedHat, Debian, Ubuntu e seus clones.

Então fiz o procedimento que foi instalar o pacote BIND recompilado que eles sugerem e está disponível no link (https://github.com/hvenzke/CentOS-Bind-DLZ) que diz corrigir os problemas abaixo, mas mesmo assim quando o BIND recebe a requisição do DHCP e vai atualizar a zona direta "hjxxiii.fhemig" está dando acesso negado.

Creio que tenha alguma opção para para compilar o BIND que esteja faltando, pois como não instalei o bind compilando com o comandos (./configure parâmetros / make / make install) possa estar dando problema. Pois instalei através dos rpms que dizem já estar recompilados e com os problemas resolvidos.

Segue a saída do comando named -V, que mostra como o BIND está instalado:
#named -V

BIND 9.9.6-Remsnet_LTD-9.9.6-5.el6 (Extended Support Version) <id:ea4e9ef8> built by make with '--build=x86_64-redhat-linux-gnu' '--program-prefix=' '--exec-prefix=/usr' '--includedir=/usr/include' '--prefix=/usr' '--bindir=/usr/bin' '--sbindir=/usr/sbin' '--sharedstatedir=/var/lib' '--libexecdir=/usr/libexec' '--localstatedir=/var' '--includedir=/usr/include/bind9' '--libdir=/usr/lib64' '--datadir=/usr/share' '--mandir=/usr/share/man' '--infodir=/usr/share/info' '--docdir=/usr/share/doc' '--sysconfdir=/etc' '--host=x86_64-redhat-linux-gnu' '--target=x86_64-redhat-linux-gnu' '--with-docbook-xsl=/usr/share/sgml/docbook/xsl-stylesheets' '--enable-newstats' '--disable-static' '--enable-exportlib' '--with-export-libdir=/usr/lib64' '--with-export-includedir=/usr/include' '--with-openssl' '--enable-threads' '--disable-openssl-version-check' '--with-libtool' '--with-pic' '--with-python' '--with-dlopen=yes' '--with-dlz-ldap=yes' '--with-dlz-filesystem=yes' '--with-dlz-bdb=yes' '--with-gssapi=yes' '--with-idnlib=-L/usr/lib -R/usr/lib -lidn -lidn2' '--with-libxml2' '--enable-filter-aaaa' '--enable-rrl' '--with-ecdsa' '--enable-fixed-rrset' 'build_alias=x86_64-redhat-linux-gnu' 'host_alias=x86_64-redhat-linux-gnu' 'target_alias=x86_64-redhat-linux-gnu' 'CC=gcc' 'CFLAGS=-O2 -g -DNO_VERSION_DATE -fno-strict-aliasing -fpie ' 'LDFLAGS=-L/usr/lib64 -L/usr/lib64/mysql -pie' 'CPPFLAGS= -DDIG_SIGCHASE'

Segue o meu arquivo de conf do bind:

// named.conf
//
// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS
// server as a caching only nameserver (as a localhost DNS resolver only).
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//

options {
listen-on port 53 { 10.14.112.91; };
#listen-on-v6 port 53 { ::1; };
forwarders {10.14.112.91; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query { localhost; any; };
tkey-gssapi-keytab "/usr/local/samba/private/dns.keytab";
recursion yes;

dnssec-enable yes;
dnssec-validation yes;
dnssec-lookaside auto;

pid-file "/var/run/named/named.pid";

max-journal-size 2M;

/* Path to ISC DLV key */
//bindkeys-file "/etc/named.iscdlv.key";

//managed-keys-directory "/var/named/dynamic";

};

//logging {
// channel default_debug {
// file "data/named.run";
// severity dynamic;
// };
//};

# DNS servers root hints
//zone "." IN {
// type hint;
// file "named.ca";
// };


zone "hjxxiii.fhemig" {
type master;
file "/var/named/dynamic/hjxxiii.fhemig.zone";
allow-update { key rndc-key; };
allow-transfer { key rndc-key; };
};


zone "112.14.10.in-addr.arpa" {
type master;
file "/var/named/dynamic/10.14.112.zone";
allow-update { key rndc-key; };
};

//include "/etc/named.rfc1912.zones";
//include "/etc/named.root.key";
include "/usr/local/samba/private/named.conf";

# That way localhost can get status of the named service
controls {
inet 127.0.0.1 allow { localhost; };
};
include "/etc/rndc.key";

Já dei as permissões corretas de escrita e leitura para o grupo "named" nos arquivos:
/usr/local/samba/private/dns.keytab
/usr/local/samba/private/named.conf

Agradeço muito qualquer ajuda, porque já esgotei minhas possibiliades!

Valeu
Abraço

tecnicodaniell
(usa CentOS)

Enviado em 09/06/2016 - 17:18h

Só mais uma informação:

A zona reversa está atualizando os registros normal:

Jun 7 02:04:43 samba4 dhcpd: DHCPOFFER on 10.14.112.101 to 00:0c:29:db:64:b4 (INFORMATICA) via eth0
Jun 7 02:04:44 samba4 named[5660]: client 10.14.112.91#46832/key rndc-key: signer "rndc-key" approved
Jun 7 02:04:44 samba4 named[5660]: client 10.14.112.91#46832/key rndc-key: updating zone '112.14.10.in-addr.arpa/IN': deleting rrset at '101.112.14.10.112.14.10.in-addr.arpa' PTR
Jun 7 02:04:44 samba4 named[5660]: client 10.14.112.91#46832/key rndc-key: updating zone '112.14.10.in-addr.arpa/IN': adding an RR at '101.112.14.10.112.14.10.in-addr.arpa' PTR
Jun 7 02:04:44 samba4 named[5660]: zone 112.14.10.in-addr.arpa/IN: sending notifies (serial 13)
Jun 7 02:04:44 samba4 dhcpd: added reverse map from 101.112.14.10.112.14.10.in-addr.arpa to INFORMATICA.hjxxiii.fhemig

E está criando o arquivo de "journal" dentro do BIND para a zona reversa:

[root@samba4 ~]# ls -l /var/named/dynamic/
total 12
-rw-r--r-- 1 named named 352 Jun 9 16:04 10.14.112.zone
-rw-r--r-- 1 named named 2062 Jun 9 16:05 10.14.112.zone.jnl
-rwxrwx--- 1 named named 406 Mai 24 16:00 hjxxiii.fhemig.zone

Outra questão interessante é o erro do "spnego" conforme abaixo:

n 9 16:30:10 samba4 named[22023]: client 10.14.112.101#59101/key informatica\$\@HJXXIII.FHEMIG: updating zone 'hjxxiii.fhemig/NONE': update failed: rejected by secure update (REFUSED)
Jun 9 16:30:10 samba4 named[22023]: samba_dlz: cancelling transaction on zone hjxxiii.fhemig
Jun 9 16:30:10 samba4 named[22023]: samba_dlz: starting transaction on zone hjxxiii.fhemig
Jun 9 16:30:10 samba4 named[22023]: client 10.14.112.101#49213: update 'hjxxiii.fhemig/IN' denied
Jun 9 16:30:10 samba4 named[22023]: samba_dlz: cancelling transaction on zone hjxxiii.fhemig
Jun 9 16:30:10 samba4 named[22023]: samba_dlz: starting transaction on zone hjxxiii.fhemig
Jun 9 16:30:10 samba4 named[22023]: samba_dlz: spnego update failed
Jun 9 16:30:10 samba4 named[22023]: client 10.14.112.101#51416/key informatica\$\@HJXXIII.FHEMIG: updating zone 'hjxxiii.fhemig/NONE': update failed: rejected by secure update (REFUSED)
Jun 9 16:30:10 samba4 named[22023]: samba_dlz: cancelling transaction on zone hjxxiii.fhemig

Onde pelo que pesquisei também é um dos causadores de não atualizar a zona direta, devido aos pacotes que estão no repositório das distro que vem com problema, mas que dizem estar corrigido com a recompilação do BIND que instalei, onde quem recompilou informa que habilitou o "spnego" no arquivo .SPEC e recompilando-o utilizando este arquivo .spec que é descomapctado em /root/rpmbuild/SPEC quando instalamos o rpm source do BIND.

F.junio
(usa CentOS)

Enviado em 10/10/2016 - 17:50h

Conseguiu resolver ?

tecnicodaniell
(usa CentOS)

Enviado em 16/05/2017 - 15:51h

Consegui sim!!

O problema todo era a zona direta do DNS do arquivo named.conf, ela esta conflitando com a zona direta do samba_internal.

Gerando o erro "samba_dlz failed to configure zone already exists", ou seja, zona já existente!!

Então percebi que mesmo implementando o BIND a zona direta não deve ser inclusa no arquivo named.conf, pois ela será administrada ainda pelo samba_internal.

Esta parte deve ser comentada ou removida no named.conf:

zone "hjxxiii.fhemig" {
type master;
file "/var/named/dynamic/hjxxiii.fhemig.zone";
allow-update { key rndc-key; };
allow-transfer { key rndc-key; };
};

Obs: se estiver utilizando CentOS (que foi o que fiz os testes e implementei) sempre recompile o pacote do BIND, pois o pacote baixado para o CentOS direto do site do centos.org e do isc.org, apresentam problemas nos parâmetros "--with-gssapi=yes" e "--disable-isc-spnego"

Para recompilar o pacote, siga os passos:
1- Instalação do rpm-build:
#yum install rpm-build -y

2 - Bibliotecas para que o rpm-build faça a compilação:
#yum install openssl-devel libtool autoconf libcap-devel openldap-devel postgresql-devel mysql-devel docbook-dtd-xml -y
#rpm -ivh docbook-style-xsl-1.75.2-6.el6.noarch.rpm

3 - Instale o pacote fonte "src.rpm" do Bind.
#rpm -ivh bind-9.8.2-0.37.rc1.el6_7.7.src.rpm

4 - Editando o pacote:
#vim /root/rpmbuild/SPECS/bind.spec

4.1- %if %{GSSTSIG}
--with-gssapi=yes \ <<<< Altere a linha --with-gssapi=yes para: --with-gssapi=/usr/include/gssapi
--disable-isc-spnego \ <<< Delete esta linha

Outra forma de editar o bind.spec segundo o site: https://lists.samba.org/archive/samba/2013-June/173733.html

4.2 - Verifique se existe o parâmetro: --with-dlopen=yes

5 - Compilando o pacote rpm:
#rpmbuild -bb /root/rpmbuild/SPECS/bind.spec

6 - Instale o pacote compilado:
rpm -ivh /root/rpmbuild/RPMS/x86_64/nome_pacote.rpm

1 - bind-libs
2 - bind-debuginfo
3 - bind-devel
4 - bind-sdb
5 - bind-utils
6 - bind-9.8.2