Debian Buster: Bind9 & Samba-AD-DC Backend

Im aktuellen Entwicklungsstand von Debian Buster startet Bind9 nicht mehr Out-of-thebox, wenn als Backend ein Samba Active Directory Domaincontroller verwendet wird (BIND9_DLZ).

Der Grund ist, das mit Debian Buster „AppArmor“ eingeführt wird und AppArmor Standardmäßig das Einbinden von dynamischen Bibliotheken zur Laufzeit verhindert.

Das Problem lässt sich einfach beheben, in den man in AppArmor entsprechende Ausnahmen konfiguriert. Für Bind9 in Zusammenarbeit mit Samba fügt man einfach in der Config-Datei „/etc/apparmor.d/local/usr.sbin.named“ folgende Zeilen hinzu:

/var/lib/samba/bind-dns/** rwkm,
/var/lib/samba/bind-dns/dns/** rwkm,
/etc/smb.conf rwkm,
/etc/krb5.conf rwkm,
/usr/lib/x86_64-linux-gnu/samba/gensec/** rwkm,
/usr/lib/x86_64-linux-gnu/samba/bind9/** rmwk,
/usr/lib/x86_64-linux-gnu/samba/ldb/** rmwk,
/usr/lib/x86_64-linux-gnu/ldb/modules/ldb/** rmwk,

Danach AppArmor und Bind9 restarten und alles sollte wieder funktionieren:

systemctl restart apparmor
systemctl restart bind9