Debian Buster: Bind9 & Samba-AD-DC Backend

Im aktuellen Entwicklungsstand von Debian Buster startet Bind9 nicht mehr Out-of-thebox, wenn als Backend ein Samba Active Directory Domaincontroller verwendet wird (BIND9_DLZ).

Der Grund ist, das mit Debian Buster „AppArmor“ eingeführt wird und AppArmor Standardmäßig das Einbinden von dynamischen Bibliotheken zur Laufzeit verhindert.

Das Problem lässt sich einfach beheben, in den man in AppArmor entsprechende Ausnahmen konfiguriert. Für Bind9 in Zusammenarbeit mit Samba fügt man einfach in der Config-Datei „/etc/apparmor.d/local/usr.sbin.named“ folgende Zeilen hinzu:

/var/lib/samba/bind-dns/** rwkm,
/var/lib/samba/bind-dns/dns/** rwkm,
/etc/smb.conf rwkm,
/etc/krb5.conf rwkm,
/usr/lib/x86_64-linux-gnu/samba/gensec/** rwkm,
/usr/lib/x86_64-linux-gnu/samba/bind9/** rmwk,
/usr/lib/x86_64-linux-gnu/samba/ldb/** rmwk,
/usr/lib/x86_64-linux-gnu/ldb/modules/ldb/** rmwk,

Danach AppArmor und Bind9 restarten und alles sollte wieder funktionieren:

systemctl restart apparmor
systemctl restart bind9

 

Debian Wheezy, OpenLDAP & sudo

debian-square_400x400Ich wollte eben einen User auf meinem Debian Wheezy Root-Server per „sudo“ volle Root-Rechte vererben. Für gewöhnlich sollte das mit einem simplen „adduser eineuserid sudo“ erledigt sein, doch welche Antwort gibt Debian beim testen der neuen „sudo“-Rechte?

testusr1 ~ $ sudo su
[sudo] password for testusr1:
sudo: PERM_ROOT: setresuid(0, -1): Operation not permitted

Ganzen Beitrag lesen …