Project

General

Profile

Anomalie #10420

esbl_samba_join: la commande " net rpc group addmem administrators administrateurs -U ${SMB_ADM}%${SMB_PASS}" ne fonctionne pas dans tous les cas

Added by christophe guerinot almost 8 years ago. Updated over 7 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
-
Category:
-
Target version:
-
Start date:
09/01/2014
Due date:
% Done:

100%

Estimated time:
8.00 h
Spent time:
Distribution:
EOLE 2.4

Description

  1. net rpc group addmem administrators administrateurs -U test-pnesr+admin.test-pnesr
    Enter test-pnesr+admin.test-pnesr's password:
    Could not add administrateurs to administrators: NT_STATUS_ACCESS_DENIED

Associated revisions

Revision 3a8d7504 (diff)
Added by christophe guerinot over 7 years ago

esbl_samba_join: relance des services samba après avoir joint le domaine (fixes #10420 @8.0).

Revision 0a4a052a (diff)
Added by christophe guerinot over 7 years ago

esbl_samba_join: relance des services samba après avoir joint le domaine (fixes #10420 @8.0).

History

#1 Updated by christophe guerinot almost 8 years ago

  • Estimated time changed from 0.00 h to 8.00 h

#2 Updated by christophe guerinot almost 8 years ago

  • Description updated (diff)
  • Remaining (hours) changed from 0.0 to 8.0

#3 Updated by Emmanuel IHRY almost 8 years ago

  • Parent task deleted (#10308)

Vu avec Christophe, peut être réalisé dans un prochain SPRINT

#4 Updated by Emmanuel IHRY almost 8 years ago

  • Tracker changed from Tâche to Bac à idée
  • Target version deleted (sprint 2015 5-7 - Equipe PNE-SR)

#5 Updated by christophe guerinot over 7 years ago

le cache group_mapping.tdb est généré au lancement de samba, une fois le serveur intégré au domaine et le service winbind relancé

~# tdbdump /var/lib/samba/group_mapping.tdb 
{
key(55) = "MEMBEROF/S-1-5-21-3474514030-1453272919-3736605999-512\00" 
data(13) = "S-1-5-32-544\00" 
}
{
key(55) = "MEMBEROF/S-1-5-21-3474514030-1453272919-3736605999-513\00" 
data(13) = "S-1-5-32-545\00" 
}
{
key(23) = "UNIXGROUP/S-1-5-32-544\00" 
data(24) = "\90q]\05\04\00\00\00Administrators\00\00" 
}
{
key(23) = "UNIXGROUP/S-1-5-32-545\00" 
data(15) = "\91q]\05\04\00\00\00Users\00\00" 
}
~#

l'initialisation du cache permet de générer automatiquement 4 enregistrements

la création des deux groupes built-in locaux administrators et users

~# net groupmap list
Administrators (S-1-5-32-544) -> BUILTIN+administrators
Users (S-1-5-32-545) -> BUILTIN+users

le groupe administrateurs (alias du groupe DomainAdmins groupe des administrateurs du domaine) étant membre du groupe local administrators

~# net rpc group members Administrators -U admin
Enter admin's password:
MONDOMAINE\administrateurs

le groupe utilisateurs (alias du groupe DomainUsers, groupe des utilisateurs du domaine) étant membre du groupe local users

~# net rpc group members Users -U admin
Enter admin's password:
MONDOMAINE\utilisateurs


le bug provient du script esbl_samba_join d'intégration du serveur au domaine, lancé lors de la dernière phase de l'instanciation du serveur:
les services smbd et nmbd sont relancés avant l'intégration au domaine
Après la commande d'intégration au domaine, le fait de relancer winbind, créer les groupes built-in via la commande 'net sam createbuiltingroup administrators ...', ne permet apparemment plus de disposer des droits adéquats pour exécuter la commande 'net rpc group addmem administrators administrateurs ...'

la relance des services smbd et nmbd est à déplacer après la commande d'intégration au domaine et relance du service winbind

la condition en fin de script serait sûrement à supprimer, sous réserve de supprimer le cache group_mapping.tdb avant la relance des services samba (après l'intégration au domaine)

if [ "$SMB_TYP" = "amd" ] ; then
  echo "Rajout du droit d'admin des imprimantes pour le compte Admin du domaine: (3 s d'attente)" 
  echo -n "net rpc rights grant ${SMB_ADM} SePrintOperatorPrivilege -U ${SMB_ADM}%****** : " 
  #rajout du droit admin des imprimantes pour le compte Admin du domaine (bug Samba 3.4.5)
  #http://ti2appli.appli.i2/mantis/view.php?id=1352
  net sam createbuiltingroup administrators -U  ${SMB_ADM}%${SMB_PASS}
  net sam createbuiltingroup users  -U  ${SMB_ADM}%${SMB_PASS}
  net rpc group addmem administrators administrateurs -U  ${SMB_ADM}%${SMB_PASS}
  net rpc group members administrators -U  ${SMB_ADM}%${SMB_PASS}
  sleep 3
  net rpc rights grant ${SMB_ADM} SePrintOperatorPrivilege -U ${SMB_ADM}%${SMB_PASS}  -I $(CreoleGet adresse_ip_eth0)
fi

l'utilité de la commande
net rpc rights grant ${SMB_ADM} SePrintOperatorPrivilege -U ${SMB_ADM}%${SMB_PASS} -I $(CreoleGet adresse_ip_eth0)
reste à vérifier

la réinitialisation du cache gencache.tdb peut être effectué avec la commande

~# net cache flush

#6 Updated by christophe guerinot over 7 years ago

  • Status changed from Nouveau to Résolu
  • % Done changed from 0 to 100

#8 Updated by Emmanuel IHRY over 7 years ago

  • Tracker changed from Bac à idée to Anomalie
  • Status changed from Résolu to Fermé

Also available in: Atom PDF