Anomalie #10420
esbl_samba_join: la commande " net rpc group addmem administrators administrateurs -U ${SMB_ADM}%${SMB_PASS}" ne fonctionne pas dans tous les cas
Description
- net rpc group addmem administrators administrateurs -U test-pnesr+admin.test-pnesr
Enter test-pnesr+admin.test-pnesr's password:
Could not add administrateurs to administrators: NT_STATUS_ACCESS_DENIED
Révisions associées
esbl_samba_join: relance des services samba après avoir joint le domaine (fixes #10420 @8.0).
esbl_samba_join: relance des services samba après avoir joint le domaine (fixes #10420 @8.0).
Historique
#1 Mis à jour par christophe guerinot il y a environ 9 ans
- Temps estimé changé de 0.00 h à 8.00 h
#2 Mis à jour par christophe guerinot il y a environ 9 ans
- Description mis à jour (diff)
- Restant à faire (heures) changé de 0.0 à 8.0
#3 Mis à jour par Emmanuel IHRY il y a environ 9 ans
- Tâche parente
#10308supprimé
Vu avec Christophe, peut être réalisé dans un prochain SPRINT
#4 Mis à jour par Emmanuel IHRY il y a environ 9 ans
- Tracker changé de Tâche à Bac à idée
- Version cible
sprint 2015 5-7 - Equipe PNE-SRsupprimé
#5 Mis à jour par christophe guerinot il y a environ 9 ans
le cache group_mapping.tdb est généré au lancement de samba, une fois le serveur intégré au domaine et le service winbind relancé
~# tdbdump /var/lib/samba/group_mapping.tdb { key(55) = "MEMBEROF/S-1-5-21-3474514030-1453272919-3736605999-512\00" data(13) = "S-1-5-32-544\00" } { key(55) = "MEMBEROF/S-1-5-21-3474514030-1453272919-3736605999-513\00" data(13) = "S-1-5-32-545\00" } { key(23) = "UNIXGROUP/S-1-5-32-544\00" data(24) = "\90q]\05\04\00\00\00Administrators\00\00" } { key(23) = "UNIXGROUP/S-1-5-32-545\00" data(15) = "\91q]\05\04\00\00\00Users\00\00" } ~#
l'initialisation du cache permet de générer automatiquement 4 enregistrements
la création des deux groupes built-in locaux administrators et users
~# net groupmap list Administrators (S-1-5-32-544) -> BUILTIN+administrators Users (S-1-5-32-545) -> BUILTIN+users
le groupe administrateurs (alias du groupe DomainAdmins groupe des administrateurs du domaine) étant membre du groupe local administrators
~# net rpc group members Administrators -U admin Enter admin's password: MONDOMAINE\administrateurs
le groupe utilisateurs (alias du groupe DomainUsers, groupe des utilisateurs du domaine) étant membre du groupe local users
~# net rpc group members Users -U admin Enter admin's password: MONDOMAINE\utilisateurs
le bug provient du script esbl_samba_join d'intégration du serveur au domaine, lancé lors de la dernière phase de l'instanciation du serveur:
les services smbd et nmbd sont relancés avant l'intégration au domaine
Après la commande d'intégration au domaine, le fait de relancer winbind, créer les groupes built-in via la commande 'net sam createbuiltingroup administrators ...', ne permet apparemment plus de disposer des droits adéquats pour exécuter la commande 'net rpc group addmem administrators administrateurs ...'
la relance des services smbd et nmbd est à déplacer après la commande d'intégration au domaine et relance du service winbind
la condition en fin de script serait sûrement à supprimer, sous réserve de supprimer le cache group_mapping.tdb avant la relance des services samba (après l'intégration au domaine)
if [ "$SMB_TYP" = "amd" ] ; then echo "Rajout du droit d'admin des imprimantes pour le compte Admin du domaine: (3 s d'attente)" echo -n "net rpc rights grant ${SMB_ADM} SePrintOperatorPrivilege -U ${SMB_ADM}%****** : " #rajout du droit admin des imprimantes pour le compte Admin du domaine (bug Samba 3.4.5) #http://ti2appli.appli.i2/mantis/view.php?id=1352 net sam createbuiltingroup administrators -U ${SMB_ADM}%${SMB_PASS} net sam createbuiltingroup users -U ${SMB_ADM}%${SMB_PASS} net rpc group addmem administrators administrateurs -U ${SMB_ADM}%${SMB_PASS} net rpc group members administrators -U ${SMB_ADM}%${SMB_PASS} sleep 3 net rpc rights grant ${SMB_ADM} SePrintOperatorPrivilege -U ${SMB_ADM}%${SMB_PASS} -I $(CreoleGet adresse_ip_eth0) fi
l'utilité de la commande
net rpc rights grant ${SMB_ADM} SePrintOperatorPrivilege -U ${SMB_ADM}%${SMB_PASS} -I $(CreoleGet adresse_ip_eth0)
reste à vérifier
la réinitialisation du cache gencache.tdb peut être effectué avec la commande
~# net cache flush
#6 Mis à jour par christophe guerinot il y a environ 9 ans
- Statut changé de Nouveau à Résolu
- % réalisé changé de 0 à 100
Appliqué par commit conf-esbl:3a8d7504e831f6eaf9689658172d7bb6573a1209.
#7 Mis à jour par christophe guerinot il y a environ 9 ans
Appliqué par commit conf-esbl:0a4a052ae661202a4aa9a5fe21bfe63436b0d21f.
#8 Mis à jour par Emmanuel IHRY il y a plus de 8 ans
- Tracker changé de Bac à idée à Anomalie
- Statut changé de Résolu à Fermé