Tâche #29739
Scénario #29810: Mettre à niveau la configuration bind9 pour Seth 2.8.0
Le service bind9 s’appelle maintenant named sur EOLE 2.8 + mise à niveau apparmor
Statut:
Fermé
Priorité:
Normal
Assigné à:
Version cible:
Début:
11/03/2020
Echéance:
% réalisé:
100%
Restant à faire (heures):
0.0
Description
Le service pour le DNS a été renommé.
Bien qu’un alias bind9 soit déclaré pour garder la compatibilité, ce changement pose problème au reconfigure :
Bien qu’un alias bind9 soit déclaré pour garder la compatibilité, ce changement pose problème au reconfigure :
- l’une des étapes consiste à désactiver le service bind9,
- le lien symbolique /etc/systemd/system/bind9.service est supprimé.
- la tentative de réactivation du service bind9 échoue.
Le lien peut être recréé en activant le service named puisque bind9 est déclaré comme alias.
Demandes liées
Révisions associées
service bind9 => named
Ref: #29739
Remove duplicated apparmor permissions for named
Ref #29739
Historique
#1 Mis à jour par Joël Cuissinat il y a environ 4 ans
- Copié depuis Tâche #29738: Le service bind9 s’appelle maintenant named sur EOLE 2.8 ajouté
#2 Mis à jour par Joël Cuissinat il y a environ 4 ans
Il faut en profiter pour vérifier/mettre à niveau/supprimer le contenu du template
dicos/25_smb_ad.xml: <file name='/etc/apparmor.d/local/usr.sbin.named' source='named.apparmor.conf'/>
$ cat tmpl/named.apparmor.conf
# original file superseded by creole
%if %%getVar('ad_internal_dns_backend', 'oui') == 'non'
/run/samba/winbindd/pipe rw,
/var/lib/samba/bind-dns/dns.keytab rk,
/var/lib/samba/bind-dns/named.conf r,
/var/lib/samba/bind-dns/dns/** wrk,
/usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9_11.so m,
/usr/lib/x86_64-linux-gnu/samba/gensec/** m,
/usr/lib/x86_64-linux-gnu/samba/ldb/** m,
/usr/lib/x86_64-linux-gnu/ldb/modules/ldb/** m,
/etc/samba/smb.conf r,
/etc/samba/smb.conf.d/** r,
/var/tmp/** rwmk,
/dev/urandom rw,
%end if
#3 Mis à jour par Joël Cuissinat il y a environ 4 ans
aca.eolebase-2.8.0a0-Daily + bind9
root@eolebase:~# grep -A14 DLZ /etc/apparmor.d/usr.sbin.named
# Samba DLZ
/{usr/,}lib/@{multiarch}/samba/bind9/*.so rm,
/{usr/,}lib/@{multiarch}/samba/gensec/*.so rm,
/{usr/,}lib/@{multiarch}/samba/ldb/*.so rm,
/{usr/,}lib/@{multiarch}/ldb/modules/ldb/*.so rm,
/var/lib/samba/bind-dns/dns.keytab rk,
/var/lib/samba/bind-dns/named.conf r,
/var/lib/samba/bind-dns/dns/** rwk,
/var/lib/samba/private/dns.keytab rk,
/var/lib/samba/private/named.conf r,
/var/lib/samba/private/dns/** rwk,
/etc/samba/smb.conf r,
/dev/urandom rwmk,
owner /var/tmp/krb5_* rwk,
#4 Mis à jour par Joël Cuissinat il y a environ 4 ans
- Tâche parente changé de #29652 à #29749
#5 Mis à jour par Joël Cuissinat il y a environ 4 ans
- Sujet changé de Le service bind9 s’appelle maintenant named sur EOLE 2.8 à Le service bind9 s’appelle maintenant named sur EOLE 2.8 + mise à niveau apparmor
- Assigné à
Joël Cuissinatsupprimé - Tâche parente changé de #29749 à #29810
#6 Mis à jour par Benjamin Bohard il y a plus de 3 ans
La seule différence notable est la permission de type rw sur /run/samba/winbindd/pipe et la permission de type r sur les sous-dossiers de /etc/samba/smb.conf.d.
Pour le premier, la tentative de communication avec winbindd ne semble pas être un élément essentiel du fonctionnement de named (d’ailleurs, mysqld et slapd essuient les mêmes refus).
#7 Mis à jour par Benjamin Bohard il y a plus de 3 ans
- Statut changé de Nouveau à En cours
#8 Mis à jour par Benjamin Bohard il y a plus de 3 ans
Après nettoyage des règles redondantes dans la configuration apparmor, test du fonctionnement avec quelques opérations :
- samba-tool dns add 192.168.0.5 domseth.ac-test.fr dc2 A 192.168.0.6 -U administrator
- samba-tool dns query 192.168.0.5 domseth.ac-test.fr @ ALL -U administrator
- dig @192.168.0.5 dc2.domseth.ac-test.fr
Le dns répond bien.
#9 Mis à jour par Benjamin Bohard il y a plus de 3 ans
- Statut changé de En cours à Résolu
#10 Mis à jour par Joël Cuissinat il y a plus de 3 ans
- Assigné à mis à Benjamin Bohard
- % réalisé changé de 0 à 100
#11 Mis à jour par Joël Cuissinat il y a plus de 3 ans
OK pour le module Seth mais des corrections sont à prévoir ailleurs !
root@dc1:~# rgrep bind9 /usr/share/eole/ --color /usr/share/eole/creole/distrib/named.conf.dlz: database "dlopen /usr/lib/x86_64-linux-gnu/samba/bind9/dlz_bind9_12.so"; /usr/share/eole/creole/distrib/nginx.override:After=bind9.service /usr/share/eole/creole/distrib/nginx.override:Wants=bind9.service /usr/share/eole/creole/distrib/named.conf:// Please read /usr/share/doc/bind9/README.Debian.gz for information on the /usr/share/eole/creole/dicos/25_smb_ad.xml: <file filelist='bind9' name='/etc/bind/named.conf' rm='True'/> /usr/share/eole/creole/dicos/25_smb_ad.xml: <file filelist='bind9' name='/etc/bind/named.conf.options' rm='True'/> /usr/share/eole/creole/dicos/25_smb_ad.xml: <service servicelist='bind9'>named</service> /usr/share/eole/creole/dicos/25_smb_ad.xml: <target type='servicelist'>bind9</target> /usr/share/eole/creole/dicos/25_smb_ad.xml: <target type='filelist'>bind9</target> /usr/share/eole/posttemplate/01-bind-apparmor:# rechargement du profil apparmor pour bind9 /usr/share/eole/posttemplate/00-eole-common: [ -f /etc/init.d/bind9 ] && CreoleService bind9 start > /dev/null /usr/share/eole/posttemplate/00-eole-common: [ -f /lib/systemd/system/bind9.service ] && CreoleService bind9 stop > /dev/null
=> #30680
#12 Mis à jour par Joël Cuissinat il y a plus de 3 ans
- Lié à Tâche #30680: Occurences de bind9 à remplacer sur Amon 2.8 ajouté
#13 Mis à jour par Joël Cuissinat il y a plus de 3 ans
- Statut changé de Résolu à Fermé
- Restant à faire (heures) mis à 0.0