Comments 4
А почему бы не создавать openvpn L2 туннели что бы клиенты получали IP от доменного dhcp и им же самим DNS обновлялся? (опция сервера server-bridge, вроде)
Хотя статья интересная, любопытно почему выбран имено этот вариант?
Хотя статья интересная, любопытно почему выбран имено этот вариант?
0
В данном случае клиенты openvpn — это удаленные компьютеры на gprs модемах. В случае server-bridge они смешались бы с офисными компьютерами в одной подсети, что мне совершенно не нужно. Мне нужно было только администрирование по ssh, а регистрация в офисном dns позволяет подключаться командой ssh client12 без каких-либо суффиксов. Еще можно организовать NAT для openvpn-подсети.
0
Для безопасного обновления DNS можно использовать winbind (при этом пакет samba ставить не обязательно):
Запись в AD DNS появится автоматически.
Для того, чтобы обновлять запись (обычно AD DNS настроен автоматическое на удаление «протухших» записей), можно закинуть
в learn-address, либо в /etc/network/if-up.d [if-down.d]
Из плюсов подхода — запись в DNS обновляется от имени учетки хоста, как это делают Windows-члены AD, а MD4-хэша пароля пользователя нет в keytab-файле (зато пароль учетки хоста есть в /var/lib/samba/secrets.tdb, но не все об этом знают :) ). Пароль учетки хоста меняется автоматом каждые 30 дней (по дефолту) blogs.technet.com/b/askds/archive/2009/02/15/test2.aspx.
В довесок потом можно прикрутить к winbind авторизацию пользователей и получение kerberos-тикетов, чтобы ходить без явной авторизации в общие папки.
Из минусов — net ads dns не позволяет удалять записи в DNS.
> aptitude install winbind
> cat /etc/samba/smb.conf
[global]
netbios name = MYPC
workgroup = MYDOMAIN
realm = MYDOMAIN.NET
security = ADS
auth methods = winbind
passdb backend = tdbsam
idmap uid = 10000-20000
idmap gid = 10000-20000
> net ads join -U Administrator
Запись в AD DNS появится автоматически.
Для того, чтобы обновлять запись (обычно AD DNS настроен автоматическое на удаление «протухших» записей), можно закинуть
net ads dns register -P
в learn-address, либо в /etc/network/if-up.d [if-down.d]
Из плюсов подхода — запись в DNS обновляется от имени учетки хоста, как это делают Windows-члены AD, а MD4-хэша пароля пользователя нет в keytab-файле (зато пароль учетки хоста есть в /var/lib/samba/secrets.tdb, но не все об этом знают :) ). Пароль учетки хоста меняется автоматом каждые 30 дней (по дефолту) blogs.technet.com/b/askds/archive/2009/02/15/test2.aspx.
В довесок потом можно прикрутить к winbind авторизацию пользователей и получение kerberos-тикетов, чтобы ходить без явной авторизации в общие папки.
Из минусов — net ads dns не позволяет удалять записи в DNS.
0
Я пытался выдрать ccache для учетки хоста из базы данных winbind-а (tdb), но, видимо, winbind его там вообще не хранит, что вполне разумно, потому что ccache протухает через 5 минут после получения. А иначе можно было бы скормить его nsupdate и заставить nsupdate обновлять записи в DNS от имени учетки хоста.
0
Sign up to leave a comment.
Безопасное динамическое обновление DNS записей в Windows домене из Linux (GSS-TSIG)