El DNS dinámico de IPA actualiza solo el registro AAAA. ¿Dónde están mis registros A?

Estoy configurando un dominio FreeIPA. En mi laboratorio hay tres máquinas virtuales: el controlador de dominio ipadc1y dos clientes puppety wordpress(creativo, sí, lo sé). Las tres máquinas virtuales ejecutan CentOS 6.4 recién instalado (FreeIPA 3.0.0).

He instalado el servidor IPA, creando un dominio que llamaremos example.usaquí, con el servicio DNS y las actualizaciones automáticas de DNS habilitadas.

He unido con éxito las dos máquinas virtuales al dominio. Pero las actualizaciones dinámicas de DNS solo están poniendo registros AAAA en el DNS. No se insertan nunca registros A.

RR de DNS

La configuración de mi zona DNS para las actualizaciones dinámicas y la política de actualización BIND también parece ser correcta.

Configuraciones de zona DNS

Ambas máquinas virtuales cliente tienen direcciones IPv4; puppettiene una dirección IPv4 estática y wordpressobtiene su dirección IPv4 de DHCP. Esto no parece hacer la diferencia.

# ip a s dev eth0
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 52:54:00:3c:d5:f5 brd ff:ff:ff:ff:ff:ff
    inet 172.25.50.227/24 brd 172.25.50.255 scope global eth0
    inet6 2001:db8:16:bf:5054:ff:fe3c:d5f5/64 scope global dynamic 
       valid_lft 86180sec preferred_lft 14180sec
    inet6 fe80::5054:ff:fe3c:d5f5/64 scope link 
       valid_lft forever preferred_lft forever

El problema en realidad parece ser con sssd, que aprendí es realmente responsable de impulsar las actualizaciones dinámicas de DNS. Arranqué la depuración debug_level = 9y encontré esto en los registros. Parece indicar que sssd ni siquiera se molesta en intentar enviar un registro A, aunque en realidad no me da ninguna indicación de por qué.

(Mon Jul 22 21:50:01 2013) [sssd[be[example.us]]] [ipa_dyndns_update_send] (0x4000): Performing update
(Mon Jul 22 21:50:01 2013) [sssd[be[example.us]]] [ok_for_dns] (0x0200): Multicast IPv4 address 172.25.50.227
(Mon Jul 22 21:50:01 2013) [sssd[be[example.us]]] [ok_for_dns] (0x0200): Link local IPv6 address fe80::5054:ff:fe3c:d5f5
(Mon Jul 22 21:50:01 2013) [sssd[be[example.us]]] [ipa_dyndns_gss_tsig_update_step] (0x1000): Checking if the update is needed
(Mon Jul 22 21:50:01 2013) [sssd[be[example.us]]] [resolv_get_family_order] (0x1000): Lookup order: ipv6_first
(Mon Jul 22 21:50:01 2013) [sssd[be[example.us]]] [resolv_is_address] (0x4000): [wordpress.example.us] does not look like an IP address
(Mon Jul 22 21:50:01 2013) [sssd[be[example.us]]] [resolv_gethostbyname_step] (0x2000): Querying DNS
(Mon Jul 22 21:50:01 2013) [sssd[be[example.us]]] [resolv_gethostbyname_dns_query] (0x0100): Trying to resolve AAAA record of 'wordpress.example.us' in DNS
(Mon Jul 22 21:50:01 2013) [sssd[be[example.us]]] [schedule_request_timeout] (0x2000): Scheduling a timeout of 5 seconds
(Mon Jul 22 21:50:01 2013) [sssd[be[example.us]]] [schedule_timeout_watcher] (0x2000): Scheduling DNS timeout watcher
(Mon Jul 22 21:50:01 2013) [sssd[be[example.us]]] [unschedule_timeout_watcher] (0x4000): Unscheduling DNS timeout watcher
(Mon Jul 22 21:50:01 2013) [sssd[be[example.us]]] [request_watch_destructor] (0x0400): Deleting request watch
(Mon Jul 22 21:50:01 2013) [sssd[be[example.us]]] [resolv_gethostbyname_step] (0x2000): Querying DNS
(Mon Jul 22 21:50:01 2013) [sssd[be[example.us]]] [resolv_gethostbyname_dns_query] (0x0100): Trying to resolve A record of 'wordpress.example.us' in DNS
(Mon Jul 22 21:50:01 2013) [sssd[be[example.us]]] [schedule_request_timeout] (0x2000): Scheduling a timeout of 5 seconds
(Mon Jul 22 21:50:01 2013) [sssd[be[example.us]]] [schedule_timeout_watcher] (0x2000): Scheduling DNS timeout watcher
(Mon Jul 22 21:50:01 2013) [sssd[be[example.us]]] [unschedule_timeout_watcher] (0x4000): Unscheduling DNS timeout watcher
(Mon Jul 22 21:50:01 2013) [sssd[be[example.us]]] [request_watch_destructor] (0x0400): Deleting request watch
(Mon Jul 22 21:50:01 2013) [sssd[be[example.us]]] [resolv_gethostbyname_next] (0x0200): No more address families to retry
(Mon Jul 22 21:50:01 2013) [sssd[be[example.us]]] [resolv_gethostbyname_next] (0x0100): No more hosts databases to retry
(Mon Jul 22 21:50:01 2013) [sssd[be[example.us]]] [resolv_is_address] (0x4000): [wordpress.example.us] does not look like an IP address
(Mon Jul 22 21:50:01 2013) [sssd[be[example.us]]] [resolv_gethostbyname_step] (0x2000): Querying DNS
(Mon Jul 22 21:50:01 2013) [sssd[be[example.us]]] [resolv_gethostbyname_dns_query] (0x0100): Trying to resolve A record of 'wordpress.example.us' in DNS
(Mon Jul 22 21:50:01 2013) [sssd[be[example.us]]] [schedule_request_timeout] (0x2000): Scheduling a timeout of 5 seconds
(Mon Jul 22 21:50:01 2013) [sssd[be[example.us]]] [schedule_timeout_watcher] (0x2000): Scheduling DNS timeout watcher
(Mon Jul 22 21:50:01 2013) [sssd[be[example.us]]] [unschedule_timeout_watcher] (0x4000): Unscheduling DNS timeout watcher
(Mon Jul 22 21:50:01 2013) [sssd[be[example.us]]] [request_watch_destructor] (0x0400): Deleting request watch
(Mon Jul 22 21:50:01 2013) [sssd[be[example.us]]] [resolv_gethostbyname_next] (0x0200): No more address families to retry
(Mon Jul 22 21:50:01 2013) [sssd[be[example.us]]] [resolv_gethostbyname_next] (0x0100): No more hosts databases to retry
(Mon Jul 22 21:50:01 2013) [sssd[be[example.us]]] [ipa_dyndns_gss_tsig_update_check] (0x1000): Address on localhost only: 2001:db8:16:bf:5054:ff:fe3c:d5f5
(Mon Jul 22 21:50:01 2013) [sssd[be[example.us]]] [ipa_dyndns_gss_tsig_update_check] (0x0400): Detected IP addresses change, will perform an update
(Mon Jul 22 21:50:01 2013) [sssd[be[example.us]]] [create_nsupdate_message] (0x0200): Creating update message for realm [EXAMPLE.US] and zone [example.us].
(Mon Jul 22 21:50:01 2013) [sssd[be[example.us]]] [create_nsupdate_message] (0x0400):  -- Begin nsupdate message --
realm EXAMPLE.US
zone example.us.
update delete wordpress.example.us. in A
send
update delete wordpress.example.us. in AAAA
send
update add wordpress.example.us. 86400 in AAAA 2001:db8:16:bf:5054:ff:fe3c:d5f5
send
(Mon Jul 22 21:50:01 2013) [sssd[be[example.us]]] [create_nsupdate_message] (0x0400):  -- End nsupdate message --
(Mon Jul 22 21:50:01 2013) [sssd[be[example.us]]] [child_handler_setup] (0x2000): Setting up signal handler up for pid [2144]
(Mon Jul 22 21:50:01 2013) [sssd[be[example.us]]] [child_handler_setup] (0x2000): Signal handler set up for pid [2144]
(Mon Jul 22 21:50:01 2013) [sssd[be[example.us]]] [write_pipe_handler] (0x0400): All data has been sent!
(Mon Jul 22 21:50:01 2013) [sssd[be[example.us]]] [ipa_dyndns_stdin_done] (0x4000): Sending nsupdate data complete
(Mon Jul 22 21:50:01 2013) [sssd[be[example.us]]] [child_sig_handler] (0x1000): Waiting for child [2144].
(Mon Jul 22 21:50:01 2013) [sssd[be[example.us]]] [child_sig_handler] (0x0100): child [2144] finished successfully.
(Mon Jul 22 21:50:01 2013) [sssd[be[example.us]]] [sss_child_handler] (0x2000): waitpid failed [10]: No child processes
(Mon Jul 22 21:50:01 2013) [sssd[be[example.us]]] [ipa_dyndns_update_done] (0x0020): DNS update finished

Mi sssd.confes:

[domain/example.us]

cache_credentials = True
krb5_store_password_if_offline = True
ipa_domain = example.us
id_provider = ipa
auth_provider = ipa
access_provider = ipa
ipa_hostname = wordpress.example.us
chpass_provider = ipa
ipa_dyndns_update = True
ipa_server = _srv_, ipadc1.example.us
ldap_tls_cacert = /etc/ipa/ca.crt
[sssd]
services = nss, pam, ssh
config_file_version = 2

domains = example.us
[nss]

[pam]

[sudo]

[autofs]

[ssh]

[pac]

El resultado de ipa dnszone-show example.us --alles:

  dn: idnsname=example.us,cn=dns,dc=example,dc=us
  Zone name: example.us
  Authoritative nameserver: ipadc1.example.us.
  Administrator e-mail address: hostmaster.example.us.
  SOA serial: 1374982142
  SOA refresh: 3600
  SOA retry: 900
  SOA expire: 1209600
  SOA minimum: 3600
  BIND update policy: grant EXAMPLE.US krb5-self * A; grant EXAMPLE.US krb5-self
                      * AAAA; grant EXAMPLE.US krb5-self * SSHFP;
  Active zone: TRUE
  Dynamic update: TRUE
  Allow query: any;
  Allow transfer: none;
  mxrecord: 0 mail.example.us
  nsrecord: ipadc1.example.us.
  objectclass: top, idnsrecord, idnszone
  txtrecord: v=spf1 a mx -all

Si bien esto es realmente un problema menor para mí, ya que podría funcionar sin actualizaciones de IPv4 DNS (es bueno ser 100% de doble pila) sigue siendo molesto no saber qué está pasando aquí. ¿Quizás hay registros que me perdí que arrojarían luz sobre la situación?

(Ah, y sí, lo apagué y volví a encender).

— Michael Hampton
fuente

wow, todo se ve exactamente como yo. Probablemente algún error, tengo una versión inferior, debes preguntarle a Jacob en #freeipa @freenode. También puede intentar desde esa máquina enviar manualmente la actualización, debe tener una pestaña para eso. nsupdate >update add wordpress.example.us 86400 A 172.25.50.227?

— Danila Ladner

@DanilaLadner Sí, si ejecuto manualmente nsupdate, puedo actualizar los registros. El problema parece ser que sssdno le dice nsupdateque actualice el registro A.

— Michael Hampton

Después de haber agregado

ipa_dyndns_iface = eth0

en ese pastebin veo sssd reconoce tu ip como multicast:

"(Tue Jul 9 10:00:01 2013) [sssd[be[example.us]]] [ok_for_dns] (0x0200): Multicast IPv4 address 172.25.50.227"

en el fragmento de código que Jacob escribió donde probaría las direcciones de bucle invertido, las direcciones de multidifusión, etc., para no informar a dns, encontrará su error:

if (IN_MULTICAST(ntohl(addr->s_addr))) {
        DEBUG(SSSDBG_FUNC_DATA, ("Multicast IPv4 address %s\n", straddr));
        return false;
    } else if (inet_netof(*addr) == IN_LOOPBACKNET) {
        DEBUG(SSSDBG_FUNC_DATA, ("Loopback IPv4 address %s\n", straddr));
        return false;
    } else if ((addr->s_addr & 0xffff0000) == 0xa9fe0000) {
        /* 169.254.0.0/16 */
        DEBUG(SSSDBG_FUNC_DATA, ("Link-local IPv4 address %s\n", straddr));
        return false;
    } else if (addr->s_addr == htonl(INADDR_BROADCAST)) {
        DEBUG(SSSDBG_FUNC_DATA, ("Broadcast IPv4 address %s\n", straddr));
        return false;
    }
} else {
    DEBUG(SSSDBG_CRIT_FAILURE, ("Unknown address family\n"));
    return false;
}

return true;

Ahora la pregunta es por qué se reconoce como "dirección multidifusión", no tengo idea. Como IN_MULTICAST en in.hpuedes ver:

   "IN_MULTICAST(a)" - tests whether a is a multicast address. and it is in "inet.h/in.h":
   #define  IN_CLASSD(i)        (((long)(i) & 0xf0000000) == 0xe0000000)
   #define  IN_MULTICAST(i)     IN_CLASSD(i)

Entonces, cómo se evaluó esa dirección IP en multidifusión, trataría de ordenarla y mirar. También podrías preguntarle a Jacob Hrozek, él escribió ese fragmento de código sssd. Por lo general, siempre está disponible en #sssd en freenode, sería genial si compartieras con qué terminas en esto. Espero que ayude un poco.

EDITAR

Sí, hay un error en tu versión 1.9.2. Tienes:

  if (IN_MULTICAST(addr->s_addr))) {

Debería ser:

  if (IN_MULTICAST(ntohl(addr->s_addr))) {

— Danila Ladner
fuente

Es una dirección RFC 1918 estándar falsa, y ciertamente no es multidifusión IPv4. Así que creo que tienes razón en que esto es algún tipo de error. ¿En qué archivo fuente estaba esto?

— Michael Hampton

Sí, es muy raro.

— Danila Ladner

dyndns.c git.fedorahosted.org/cgit/sssd.git/tree/src/providers/ipa/…

— Danila Ladner

¿Qué versión de tu sssd rpm?

— Danila Ladner

Ojalá pudiera votar esto mucho más de una vez. Qué respuesta tan completa y precisa; ¡aplausos!

— MadHatter

Desde la página del sssd-ipa(5)manual:

   ipa_dyndns_iface (string)
       Optional. Applicable only when ipa_dyndns_update is true. Choose the interface whose IP address should be used for dynamic DNS updates.

       Default: Use the IP address of the IPA LDAP connection

Debe establecer ipa_dyndns_ifaceen /etc/sssd/sssd.confhacer coincidir la interfaz del servidor de IPA, como el valor predeterminado es utilizar sólo la dirección del zócalo hacia el servidor de IPA:

ipa_dyndns_iface = eth0

Eso debería permitir actualizaciones dinámicas para IPv4 e IPv6.

— Dawud
fuente

Buen intento, pero no pareció ayudar. Los resultados de agregar esto están aquí en pastebin .

— Michael Hampton

También intente configurar el lookup_family_order en un valor no predeterminado como ipv6_first como un caso de prueba e infórmenos si intenta ipv4 en absoluto.

— FIV
fuente

Esto tampoco tuvo efecto .

— Michael Hampton