MAJ DNS par DHCP refusée

clem_alain · Février 20, 2016, 3:22pm

Bonsoir,
J’ai installé sur le même serveur (Debian sarge 3.1R2) le service DHCP et le service DNS, j’ai paramétré le tout pour que DHCP mettre à jour le fichier de zone. Je récupère bien l’adresse et le nom de domaine, mais le fichier de zone n’est pas mis à jour.
Dans /var/log/syslog j’ai les messages suivant :
monserveur named[1244] client 192.168.1.1#1030: update ‘momdomaine.net/IN’ denied
monserveur dhcpd: Unable to add forward map from mastation.mondomaine.net to 192.168.1.20: timed out
Je suppose qu’il s’agit d’un problème de droits, mais lesquels et sur quoi ?
Merci pour votre aide,
Alain

stonfi · Février 20, 2016, 3:22pm

hello,

Que donne un “ls -al /etc/bind*” un “ps faux | grep name*” un “ps faux | grep dhcp*”

mattotop · Février 20, 2016, 3:22pm

as tu spécifié une “update-policy” et un “allow-update”, dans ta déclaration de zone ?
isc.org/sw/bind/arm93/Bv9ARM … mic_update
bind9.net/manual/bind/9.3.2/Bv9ARM.ch07.html

clem_alain · Février 20, 2016, 3:22pm

Bonjour,
Tout d’abord merci pour vos réponses, voici les informations demandées :

Les différentes requêtes donnent ceci :
ls -al /etc/bind*
drwxrwsr-x 2 root bind 1024 2006-12-06 13:03 .
drwxr-xr-x 58 root root 3072 2006-12-06 12:56 …
-rw-r–r-- 1 root root 237 2004-09-23 17:25 db.0
-rw-r–r-- 1 root root 271 2004-09-23 17:25 db.127
-rw-r–r-- 1 root root 237 2004-09-23 17:25 db.255
-rwxrwxrwx 1 bind bind 243 2006-12-05 15:24 db.mondom.net
-rw-r–r-- 1 root root 243 2006-12-05 15:24 db.mondom.net.old
-rwxrwxrwx 1 bind bind 227 2006-12-05 15:24 db.mondom.net.rev
-rw-r–r-- 1 root root 227 2006-12-05 15:24 db.mondom.net.rev.old
-rw-r–r-- 1 root root 353 2004-09-23 17:25 db.empty
-rw-r–r-- 1 root root 256 2004-09-23 17:25 db.local
-rw-r–r-- 1 root root 1507 2004-09-23 17:25 db.root
-rw-r–r-- 1 root bind 278 2006-12-05 14:44 named.conf
-rw-r–r-- 1 root bind 165 2004-09-23 17:25 named.conf.local
-rw-r–r-- 1 root bind 1611 2004-09-23 17:25 named.conf.old
-rw-r–r-- 1 root bind 183 2006-11-07 11:24 named.conf.options
-rw-r–r-- 1 root bind 672 2004-09-23 17:25 named.conf.options.old
-rw-r–r-- 1 root bind 257 2006-11-07 11:35 named.conf.v2
-rw-r–r-- 1 root bind 0 2006-12-06 13:03 psd
-rw-r----- 1 bind bind 77 2006-11-06 17:32 rndc.key
-rw-r–r-- 1 root root 1317 2004-09-23 17:25 zones.rfc1918

Remarque : les droits ne doivent pas être très orthotoxes car j’ai fait différentes tentatives.

ps faux | grep name*
named.conf.old:// If you are just adding zones, please do that in /etc/bind/named.conf.local
named.conf.old:include “/etc/bind/named.conf.options”;
named.conf.old:include “/etc/bind/named.conf.local”;
named.conf.v2:include “/etc/bind/named.conf.options”;

ps faux | grep dhcp*
root 906 0.0 1.2 3260 1572 ? Ss 12:55 0:00 /usr/sbin/dhcpd3 -q eth0

La configuration est la suivante :
dhcp.conf:
ddns-update-style interim;
authoritative;
option domain-name “mondom.net”;
option domain-name-servers 192.168.1.1;
ddns-updates on;
ddns-domainname “mondom.net”;
ignore client-updates;
zone mondom.net {
primary 192.168.1.1;
}
zone 1.168.192.in-addr.arpa {
primary 192.168.1.1;
}
default-lease-time 86400;
max-lease-time 604800;
option subnet-mask 255.255.255.0;
subnet 192.168.1.0 netmask 255.255.255.0 {
option routers 192.168.1.254;
option broadcast-address 192.168.1.255;
range 192.168.1.10 192.168.1.20;
}

named.conf :
include “/etc/bind/named.conf.options”;
;
zone “mondom.net” {
type master;
file “/etc/bind/db.mondom.net”;
allow-update {
127.0.0.1;
};
};

zone “1.168.192.in-addr.arpa” {
type master;
file “/etc/bind/db.mondom.net.rev”;
allow-update {
127.0.0.1;
};
};

db.mondom.net :
$TTL 2d
@ IN SOA srvlinux.mondom.net. root.srvlinux.mondom.net. (
2006120501; Serial
24h; Refresh
2h; Retry
4w; Expire
1d; Negative Cache TTL
)
@ IN NS srvlinux.mondom.net.
srvlinux IN A 192.168.1.1
rl1 IN A 192.168.1.254

db.mondom.net.rev :
$TTL 2d
@ IN SOA srvlinux.mondom.net. root.srvlinux.mondom.net. (
2006120501; Serial
24h; Refresh
2h; Retry
4w; Expire
1d; minimum
)
@ IN NS srvlinux.mondom.net.
1 IN PTR srvlinux.mondom.net.
254 IN PTR rl1.mondom.net.

stonfi · Février 20, 2016, 3:22pm

hello,

Redonne le "ps faux | grep name* " parce que je ne vois pas le nom d’utilisateur.

clem_alain · Février 20, 2016, 3:22pm

Bonjour,
merci de m’aider.
le ps faux | grep name* ne donne rien, par contre un ps faux | grep named donne la liste suivante :
bind 1203 0.0 2.0 11208 2628 ? Ss 15:17 0:00 /usr/sbin/named -u bind
bind 1204 0.0 2.0 11208 2628 ? S 15:17 0:00 _ /usr/sbin/named -u bind
bind 1205 0.0 2.0 11208 2628 ? S 15:17 0:00 _ /usr/sbin/named -u bind
bind 1206 0.0 2.0 11208 2628 ? S 15:17 0:00 _ /usr/sbin/named -u bind
bind 1207 0.0 2.0 11208 2628 ? S 15:17 0:00 _ /usr/sbin/named -u bind

stonfi · Février 20, 2016, 3:22pm

hello,

Donc je pense que c’est normal, là, c’est l’utilisateur “bind” qui lançe le processus, et tu essais d’inserer des données de dhcp lançé par le user root…donc c’est normal qu’il te refoule, bind gere tres bien la sécu.

clem_alain · Février 20, 2016, 3:22pm

Bonsoir,
Merci docteur pour le diagnostic, auriez-vous un remède pour mon mal ?
Si j’ai bien compris il faut que je donne les droits d’écriture à l’utilisateur dhcpd sur le dossier /etc/bind !
En suivant (un peu bêtement je l’avoue) une doc récupérée sur internet j’ai effectué les commandes suivantes :
chmod 2775 /etc/bind/
qui si j’ai bien compris place le dossier /etc/bind en lecture/ecriture
chown root:bind /etc/bind/
qui devrait signifier que l’utilisateur root du groupe bind devient le propriétaire du dossier /etc/bind/
ce qui pensais-je lui donnait les droits d’écriture, mais il semble que je me sois trompé

Donc une p’tite solution m’sieurs dames pour un pauvre gars dans le besoin
Merci d’avance.

mattotop · Février 20, 2016, 3:22pm

ne va pas jouer avec les droits, je ne pense pas que ça soit ça (mais j’ai pas épluché).
essayes plutot d’autoriser l’adresse externe de ta machine dans le allow update, au lieu de lo.

clem_alain · Février 20, 2016, 3:22pm

Bonsoir,

essayes plutot d’autoriser l’adresse externe
C’était déjà le cas dans une version précédente et j’ai mis lo au cas où, mais apparemment sans succès

mattotop · Février 20, 2016, 3:22pm

Bon, ce coup ci, j’ai relu, et je crois que stonfi a raison, mais tu n’as pas fait tes changements de droits récursivement. Juste sur /etc/bind, mais pas son contenu:chmod -R 755 /etc/bind/ chown -R root.bind /etc/bind/

clem_alain · Février 20, 2016, 3:22pm

Bonjour,
Que dalle, bernique, fiasco complet, bref ça ne marche pas, j’ai même effectué une déinstallation complète, rebooté (vieille manie d’un habitué de Windows !) réinstallé bind9, reconfiguré, mis les droits …
Bon si quelqu’un a une idée, je suis preneur
Merci,