目前日期文章:201204 (3)

瀏覽方式: 標題列表 簡短摘要

今天處理到一個問題,有某個系統要和 LDAP Server 主機做認證,一直認證不過,從 log 裡發現這行訊息

conn=1 op=0 RESULT tag=97 err=2 text=historical protocol version requested, use LDAPv3 instead

因為 OpenLDAP 2.* 預設都是只接受 LDAP V3 協定認證,所以碰到來自 V2 的就不行了

只要在 slapd.conf 加入下面這一行,重新啟動 LDAP Server 就 OK 了!

allow bind_v2

bojack 發表在 痞客邦 PIXNET 留言(0) 人氣()

原則上這篇是接續【FreeBSD】BIND 9 的 View 實作的筆記,我們原本已經有一台 DNS 了,但如果它掛了帶來的衝擊影響其實蠻大的

因此通常在 DNS 的部份我們會放二台 DNS,一台是 Master 主要的,另一台 Slave 就是定時去抄寫 Master 的紀錄

首先我們在 Slave DNS 的部份要設定二個 IP,10.1.1.5 是用來查詢 Master DNS 裡 Intranet 的紀錄,而 10.1.1.6 是用來查詢 Master DNS 裡 Internet 的紀錄

如果 Slave DNS 不綁定二個 IP 的話,就只能查到 Intranet 或 Internet 其中一個 View 的紀錄了

這台是 Master DNS ( 10.1.1.4 ) 的 /etc/named/named.conf

acl "lan" { 10.1.1.0/24; };

view "internal" {
        match-clients { !10.1.1.6; lan; 127.0.0.1; };
        zone "." IN {
                type hint;
                file "/etc/namedb/named.root";
        };
        zone "bojack.net" IN {
                type master;
                file "/etc/namedb/master/bojack.intranet";
                allow-transfer { 10.1.1.5; };
        };
};

view "external" {
        match-clients { any; };
        recursion no;
        zone "." IN {
                type hint;
                file "/etc/namedb/named.root";
        };
        zone "bojack.net" IN {
                type master;
                file "/etc/namedb/master/bojack.internet";
                allow-transfer { 10.1.1.6; };
        };
};

這台是 Slave DNS ( 10.1.1.5 & 10.1.1.6 ) 的 /etc/named/named.conf

acl "lan" { 10.1.1.0/24; };

view "internal" {
        match-clients { lan; 127.0.0.1; };
        zone "." IN {
                type hint;
                file "/etc/namedb/named.root";
        };
        zone "bojack.net" IN {
                type slave;
                file "/etc/namedb/master/bojack.intranet";
                masters { 10.1.1.4; };
                transfer-source 10.1.1.5;
        };
};

view "external" {
        match-clients { any; };
        recursion no;
        zone "." IN {
                type hint;
                file "/etc/namedb/named.root";
        };
        zone "bojack.net" IN {
                type slave;
                file "/etc/namedb/master/bojack.internet";
                masters { 10.1.1.4; };
                transfer-source 10.1.1.6;
        };
};

接下來只要重啟二台 DNS 就可以有 Master & Slave 的備援功能了!

參考資料

[1] Bind9 View 底下的 master/slave 設定方案

bojack 發表在 痞客邦 PIXNET 留言(0) 人氣()

BIND 9 之後提供一個很好用的功能 View,我們可以依據不同的 IP 查詢來回應不同的結果,通常針對 Internet & Intranet 的環境更是適合

以下是我實作的環境,我中間的 DNS Server 目前只綁一個 Private,至於回應外部的 Public IP 則是透過防火牆 NAT mode 轉進來

要實作 View 只要在 named.conf 裡動一點手腳即可,設定如下

acl "lan" { 10.1.1.0/24; };  //首先先定義出內網的 IP 範圍

view "internal" {
        match-clients { lan; 127.0.0.1; };  //當來自於 lan 或 127.0.0.1 的查詢時,BIND 就回應 bojack.intranet 裡的記錄
        zone "." IN {
                type hint;
                file "/etc/namedb/named.root";
        };
        zone "bojack.net" IN {
                type master;
                file "/etc/namedb/master/bojack.intranet";
        };
};

view "external" {
        match-clients { any; };  //除了 lan 或 127.0.0.1 的查詢時,BIND 就回應 bojack.internet 裡的記錄
        recursion no;
        zone "." IN {
                type hint;
                file "/etc/namedb/named.root";
        };
        zone "bojack.net" IN {
                type master;
                file "/etc/namedb/master/bojack.internet";
        };
};

接下來重啟 BIND 就可以啟用 View 的功能了!

參考資料

[1] bind - DNS 設定

bojack 發表在 痞客邦 PIXNET 留言(0) 人氣()