装甲のためにSamba4とBind9を一緒に動作させるのに問題がある
だから私はSamba4 HOWTOをフォローしてきましたが、これはかなりうまくいきました。私が抱えている問題は、/etc/bind/named.conf.localにSamba構成が含まれていると、BIND9を再起動できないことです。
include "/var/lib/samba/private/named.conf";
しかし、Sudo /etc/init.d/bind9 restartでBind9を再起動しようとすると、ログにエラーが記録されます。
Oct 18 20:25:00 xxxx kernel: [ 251.397899] type=1400 audit(1350588300.188:16):
apparmor="DENIED" operation="open" parent=1807 profile="/usr/sbin/named"
name="/var/lib/samba/private/named.conf" pid=1810 comm="named" requested_mask="r"
denied_mask="r" fsuid=105 ouid=0
/etc/apparmor.d/usr.sbin.namedに次のルールがあります(少しOTTであると思っていましたが、今は何時間もデバッグしています)
/var/lib/samba/ rw,
/var/lib/samba/* rw,
/var/lib/samba/private/ rw,
/var/lib/samba/private/* rw,
/var/lib/samba/private/dns/ rw,
/var/lib/samba/private/dns/* rw,
完全を期すために、問題のファイルの権限は次のとおりです。
-rw-r--r-- 1 root root 384 Oct 17 11:39 named.conf
Apparmorを苦情モードに切り替えて、名前付きプロファイルを無効にしようとすると、bind9が完全に起動し、Sambaが動作します。しかし、ボックスを再起動するとすぐに再び壊れてしまいます。何が起こっているのかを理解してから、サーバーのセキュリティの一部を取り出して機能させたいと思います。
~ Sudo aa-complain /usr/sbin/named
Setting /usr/sbin/named to complain mode.
~ Sudo /etc/init.d/bind9 restart
* Stopping domain name service... bind9
rndc: connect failed: 127.0.0.1#953: connection refused
...done.
* Starting domain name service... bind9
...done.
任意の助けに感謝します。
これは私がやったことです(試行錯誤の後):
$ cat /etc/apparmor.d/local/usr.sbin.named
# Site-specific additions and overrides for usr.sbin.named.
# For more details, please see /etc/apparmor.d/local/README.
/var/lib/samba/private/named.conf r,
/var/lib/samba/private/dns.keytab kwr,
/usr/lib/samba/** m,
/var/lib/samba/private/dns/** krw,
/var/tmp/** krw,
/dev/urandom rw,
$ service apparmor reload
$ service bind9 start
それで問題なく動作するはずです。