Авторские статьи

Скрипт создания зон обратного просмотра in-addr.arpa в ALD Pro.


Администратор, работающий с DNS, знает про зоны прямого (FQDN→IP) и обратного (IP→FQDN) просмотров. При первоначальном развёртывании ALD Pro, отталкиваясь от IP адреса вашего первого контроллера домена (допустим 192.168.10.22) вам подготовят зону прямого просмотра (допустим company.com) и зону обратного просмотра 10.168.192.in-addr.arpa, так как это зона самого контроллера домена. На этом всё! Но в крупных конторах обычно множество подсетей и настоятельно желательно создать для них тоже зоны обратного просмотра.

Почему всё-таки настоятельно желательно?

Если зоны обратного просмотра вами будут созданы, то введённые в домен компьютеры будут создавать PTR записи в соответствующей зоне, связывающие их IP адрес с FQDN. Ваши различные службы на ваших серверах, могут традиционно делать преобразование (resolve) и вместо IP адреса фиксировать FQDN. Если имя компьютера имеет смысл в вашей организации, то легко и просто сразу читать различные журналы и отчёты по мелькающим FQDN вместо IP.

Делать или не делать дополнительные зоны обратного просмотра, решать вам, но я настоятельно рекомендую. Если подсетей много, то руками делать это лениво и утомительно, а скриптом быстро и весело.

Прежде всего проанализируйте уже созданную вам зону обратного просмотра - kinit admin; ipa dnszone-show 10.168.192.in-addr.arpa. --raw --all

Заполните файл subnet.txt числами ваших подсетей (1 строка = 1 число) и вызывайте скрипт в sudo -i консоли тестового стенда для обкатки.

Подправьте bash скрипт под свои нужды, где предполагается что у вас подсе́ти в сети́ 192.168.0.0/24 и вам нужно создавать зоны обратного просмотра типа 3.168.192.in-addr.arpa. Контроллер домена у вас dc-1.company.com. Домен логично что company.com, но для Kerberos именно так COMPANY.COM.

#!/bin/bash
kinit admin
while read -r N
do
    echo "======== Create ${N}.168.192.in-addr.arpa. Zone =========== "
    ipa dnszone-add ${N}.168.192.in-addr.arpa. --name-server="dc-1.company.com." --allow-sync-ptr=TRUE --dynamic-update=TRUE \
    --admin-email="hostmaster.${N}.168.192.in-addr.arpa." --update-policy="grant COMPANY.COM krb5-subdomain ${N}.168.192.in-addr.arpa. PTR;" \
    --allow-transfer="none" --allow-query="any";
done < subnet.txt

Дополнительные материалы:

Дата последней правки: 2024-07-05 15:31:03

RSS vasilisc.com   


Разделы

Главная
Новости
Ворох бумаг
Видео Linux
Игры в Linux
Безопасность
Статьи об Astra Linux
Статьи о FreeBSD
Статьи об Ubuntu
Статьи о Snappy
Статьи об Ubuntu Phone
Статьи о Kubuntu
Статьи о Xubuntu
Статьи о Lubuntu
Статьи об Open Source
Карта сайта