Tâche #35632
Distribution EOLE - Scénario #35571: Traitement express MEN fermés 31/10/2023
Seth 2.9.0 échec instanciation en RODC
100%
Description
Bonjour,
Nous rencontrons une erreur lors de l'instanciation d'un module Seth 2.9.0 additionnel en RODC, l'utilisateur gpo du serveur ne se créé pas ce qui a pour effet d'annuler la population de l'AD.
Test avec un Seth 2.9.0 en additionnel non RODC et aucun problème.
Merci
Demandes liées
Révisions associées
fix instance/reconfigure in RODC mode
Ref: #35632
Historique
#1 Mis à jour par Joël Cuissinat il y a 7 mois
- Description mis à jour (diff)
À ma connaissance la fonctionnalité Seth RODC n'a jamais été validée en production.
On reproduit assez facilement une erreur semblable sur nos maquettes :- aca.dc1-2.9.0-instance-default
- aca.dc2-2.9.0-Daily + configeol +
CreoleSet ad_ro_dc oui+ instance
run-parts: executing /usr/share/eole/postservice/25-manage-samba instance Initialisation DC Secondaire Generation de la clef SSH pour les echanges entre DC Generating public/private ed25519 key pair. Your identification has been saved in /root/.ssh/eole Your public key has been saved in /root/.ssh/eole.pub [ ... ] Samba started Execute Synchro Sysvol ========================================================================================================== 2023-10-27 13:31:10 doSynchro ==> 1 ========================================================================================================== Install SysVol Replication Workaround ERROR(ldb): Failed to add user 'gpo-dc2': - Invalid LDB reply type 1 ERROR: Failed to add members ['gpo-dc2'] to group "GpoAdmins" - Unable to find "gpo-dc2". Operation cancelled. Restart Systemd service samba-ad-dc [ OK ] run-parts: executing /usr/share/eole/postservice/26-actions instanceDans le cas d'un RODC, il ne faut clairement pas exécuter les instructions suivantes présentes dans /usr/lib/eole/samba4.sh :
update_system_account "gpo-${AD_HOST_NAME}"samba-tool group addmembers "GpoAdmins" "gpo-${AD_HOST_NAME}"
Il y a également la fonction create_gpo_account qui est appelée au reconfigure !
=> tester avec la condition if [[ -z "${AD_SERVER_MODE}" ]];
#2 Mis à jour par Joël Cuissinat il y a 7 mois
Ces lignes ont été ajoutées en 2.7.2 (cf. #30168) à une époque où nos collègues du MTE avaient déjà abandonné leurs expérimentations RODC.
#3 Mis à jour par Joël Cuissinat il y a 7 mois
- Lié à Scénario #30168: Gérer les comptes de service samba et leurs mots de passe Automatiquement ajouté
#4 Mis à jour par Kevin KERFYSER il y a 7 mois
Bonjour,
Merci de la prise en compte rapide.
L'idée autour de se serveur est de l'exposer sur notre DMZ pour permettre la connexion à distance des sites en passant par un sphynx mais également d'utiliser la fonction LDAPS pour les applications que nous utilisons en réduisant les chances de compromissions externes de notre AD.
#5 Mis à jour par Joël Cuissinat il y a 7 mois
- Tracker changé de Demande à Tâche
- Statut changé de Nouveau à En cours
- Assigné à mis à Joël Cuissinat
- Tâche parente mis à #34668
#6 Mis à jour par Joël Cuissinat il y a 7 mois
- eole-ad-dc 2.8.0-84
- eole-ad-dc 2.8.1-144
- eole-ad-dc 2.9.0-34
#7 Mis à jour par Joël Cuissinat il y a 7 mois
- Statut changé de En cours à Résolu
- % réalisé changé de 0 à 100
#8 Mis à jour par Joël Cuissinat il y a 6 mois
- Statut changé de Résolu à Fermé
- Tâche parente changé de #34668 à #35571
- Restant à faire (heures) mis à 0.0