Смоленск 1.6 ALD и CNAME записи в DNS....

[azm9s]

доброго времени.
подскажите.
есть сервер ald.
есть пара серверов на которых сделано штук по 5-8 CNAME в записях зоны DNS как прямой так и обратной.

сервера добавлялись в ald по hostname. вернее просто ald-client join ald-server
но эпизодически нельзя зайти под доменной учеткой.
в логах кербероса пишет, что не найден билет кербероса на как раз на CNAME запись...
на серверах в hosts только имя fqdn и hostname, cname не прописывал - надо ли их прописывать в hosts?

и как запись вести тогда?
IP hostname.fqdn hostname cname.fqdn cname и так перечислять все?
или вначале все fqdn а потом все краткие имена?

или если не надо в hosts.
как добавить в ald сервера по cname записи? получается надо добавить запись типа HOST/cname.domain.lan

 

[oko]

to azm9s
В /etc/hosts можно друг за другом объявлять как удобно - обычно fqdn-имя, затем сокращенное имя, потом fqdn2, затем сокращенное2 и т.д. Но вообще это не имеет смысла обычно - разве что для повышения скорости (условной)...
Вы лучше в /etc/nsswitch.conf пропишите вначале "dns", а затем уже "files" - тогда первичным будет опрос dns-сервера, а не /etc/hosts...
А так мы с вами примерно год назад определились, что для каждой CNAME-записи в ALD нужно создавать kerberos-принципала - иначе работать не будет. В тот раз проделывал такой трюк - даже работало. Но как это было сделано, не помню...
Возможно, вам нужны SPN-записи для конкретных сервисов, а не куча CNAME для одного сервера, заданного и зарегистрированного в ALD по A-записи?

 

[azm9s]

так мы с вами примерно год назад определились, что для каждой CNAME-записи в ALD нужно создавать kerberos-принципала - иначе работать не будет.

в прошлый раз я просто отказался от cname записей в dns.
а сейчас вот опять вернулся, нужда заставила)))
и история повторилась снова.
на сервер, на который есть куча cname записей иногда не удается зайти по доменному логину.
пока что никаких сервисов не создавал. просто прописал в dns cname записи. и уже глюки пошли))
я понимаю что на сервере надо добавить записи типа:
aldd/cname.domain.local
просто где весь список его достать, этих сервисов и надо ли на сервере где прописаны cname записи под ald-client какие либо манипуляции проводить

 

[oko]

to azm9s
А в логах ругань идет именно по принципу "cannot find kerberos ticket for CNAME"?
В п. 6.4 Руководства администратора имеется пример по регистрации сервисного принципала в Kerberos базе в ALD. Но именно сервисного...
Думается мне, нужно через ald-admin поиграть с ключами и создать принципала для CNAME-записи оконечной машины в БД ALD. Возможно также и в ald-client...
А можно поступить по-тупому, зарегистрировать в /etc/hosts оконечной машины, заданной через ряд CNAME, все fqdn-имена и уже после этого ввести ее в ALD через ald-client...
К сожалению, проверить не могу, потому что временно не имею доступа к ALD-стенду...

 

[azm9s]

кстати,
не знаю из-за этого или нет...
но проблема пропала)
я приготовил вначале DNS, внес /etc/nsswitch.conf hosts вообще не трогал, кроме IP hostname.domain hostname
пересоздал ald.
и все пошло.

p.s. заметил что при инициализации проскакивает ошибка:
sh: ald_mac_* (помоему label) - нет такого файла.
это на 1.6 upd6
сильно критично?

 

[oko]

to azm9s
Выходит, идея с "вначале все A-записи и CNAME-записи", а потом уже конфигурация ALD живет. Когда-то натыкался на багу похожего типа. И тогда еще отмечал, что, если это действительно так, а не мои кривые руки, то что делать в случае расширения списка DNS-серверов или вообще инфраструктуры ALD - не понятно...
ald_mac_label, если у вас почта только по 0 уровню ходит, не критично. А так это какой-то кусок МКЦ, судя по названию. Вне контекста модуль экстрасенсорики ничего не подсказывает. Так что надо посмотреть в дальнейшей эксплуатации...

 

[azm9s]

нет, на данных серверах ни почты, ни какого другого документального обмена нет от слова совсем.
все не выше 0. остальное запрещено.