Pull to refresh

Comments 4

А почему бы не создавать openvpn L2 туннели что бы клиенты получали IP от доменного dhcp и им же самим DNS обновлялся? (опция сервера server-bridge, вроде)
Хотя статья интересная, любопытно почему выбран имено этот вариант?
В данном случае клиенты openvpn — это удаленные компьютеры на gprs модемах. В случае server-bridge они смешались бы с офисными компьютерами в одной подсети, что мне совершенно не нужно. Мне нужно было только администрирование по ssh, а регистрация в офисном dns позволяет подключаться командой ssh client12 без каких-либо суффиксов. Еще можно организовать NAT для openvpn-подсети.
Для безопасного обновления DNS можно использовать winbind (при этом пакет samba ставить не обязательно):

> aptitude install winbind

> cat /etc/samba/smb.conf
[global]
        netbios name = MYPC
        workgroup = MYDOMAIN
        realm = MYDOMAIN.NET
        security = ADS
        auth methods = winbind
        passdb backend = tdbsam
        idmap uid = 10000-20000
        idmap gid = 10000-20000

> net ads join -U Administrator

Запись в AD DNS появится автоматически.

Для того, чтобы обновлять запись (обычно AD DNS настроен автоматическое на удаление «протухших» записей), можно закинуть

net ads dns register -P

в learn-address, либо в /etc/network/if-up.d [if-down.d]

Из плюсов подхода — запись в DNS обновляется от имени учетки хоста, как это делают Windows-члены AD, а MD4-хэша пароля пользователя нет в keytab-файле (зато пароль учетки хоста есть в /var/lib/samba/secrets.tdb, но не все об этом знают :) ). Пароль учетки хоста меняется автоматом каждые 30 дней (по дефолту) blogs.technet.com/b/askds/archive/2009/02/15/test2.aspx.
В довесок потом можно прикрутить к winbind авторизацию пользователей и получение kerberos-тикетов, чтобы ходить без явной авторизации в общие папки.

Из минусов — net ads dns не позволяет удалять записи в DNS.
Я пытался выдрать ccache для учетки хоста из базы данных winbind-а (tdb), но, видимо, winbind его там вообще не хранит, что вполне разумно, потому что ccache протухает через 5 минут после получения. А иначе можно было бы скормить его nsupdate и заставить nsupdate обновлять записи в DNS от имени учетки хоста.
Only those users with full accounts are able to leave comments. Log in, please.