Tâche #17214
Scénario #18211: Amélioration de la synchronisation des répertoires Sysvol
JobSynchroSysvol : Il n'est pas nécessaire d'avoir une synchro uid/gid entre les contrôleurs
Description
par défaut uid et gid sont incrémentés de façon aléatoire entre contrôleurs
par contre la commande rsync , avec l'option '--numeric-ids', va faire correspondre les droits en uid/gid et non pas en nom de comptes/groupes
--numeric-ids
With this option rsync will transfer numeric group and user IDs rather than using user and group names and mapping them at both ends.
rsync --rsh='ssh' \ --compress --verbose \ --acls --xattrs \ --delete-after --times --owner --group --ignore-times --links --perms \ --recursive --size-only --delete --force --numeric-ids \ --stats root@${AD_DC_SYSVOL_REF}:/var/lib/samba/sysvol /var/lib/samba
le groupe propriétaire du répertoire sysvol devrait être BUILTIN/administrators
Révisions associées
Historique
#1 Mis à jour par christophe guerinot il y a plus de 7 ans
- Tracker changé de Proposition Scénario à Tâche
#2 Mis à jour par Emmanuel IHRY il y a plus de 7 ans
- Tâche parente changé de #17183 à #18211
#3 Mis à jour par Klaas TJEBBES il y a plus de 7 ans
"le groupe propriétaire du répertoire sysvol devrait être BUILTIN/administrators"
=> l'utilisateur et le groupe propriétaires ainsi que les ACLs sur le répertoire sysvol doivent être définies avec samba-tool ntacl sysvolreset côté serveur SYSVOL de référence (càd sur DC1). Ensuite propriétaires et ACLs sont placés par rsync sur les autres DC :
root@dc2:~# chgrp root /home/sysvol/ root@dc2:~# getfacl /home/sysvol/ getfacl : suppression du premier « / » des noms de chemins absolus # file: home/sysvol/ # owner: root # group: root [...] root@dc2:~# /usr/share/eole/sbin/JobSynchroSysvol receiving file list ... done [...] sent 26 bytes received 7,120 bytes 14,292.00 bytes/sec total size is 1,262 speedup is 0.18 root@dc2:~# getfacl /home/sysvol/ getfacl : suppression du premier « / » des noms de chemins absolus # file: home/sysvol/ # owner: root # group: BUILTIN/administrators
On voit que rsync à mis à jour les ACLs sur DC2.
#4 Mis à jour par Emmanuel IHRY il y a plus de 7 ans
- Assigné à mis à Benjamin Bohard
#5 Mis à jour par Benjamin Bohard il y a plus de 7 ans
- Temps estimé mis à 4.00 h
- Restant à faire (heures) mis à 4.0
#6 Mis à jour par Benjamin Bohard il y a plus de 7 ans
- Restant à faire (heures) changé de 4.0 à 3.0
#7 Mis à jour par christophe guerinot il y a plus de 7 ans
- Statut changé de Nouveau à Fermé
- Restant à faire (heures) changé de 3.0 à 0.0
la correction effectuée par Klass répond au problème
si on effectue un petit test en utilisant un groupe qui n'a pas le même gid sur le premier contrôleur (3000024) par rapport au contrôleur additionnel (3000013)
root@seth:~# wbinfo -n AD-SAMBA/luke S-1-5-21-3453373151-1361036012-151174157-1115 SID_DOM_GROUP (2) root@seth:~# wbinfo -Y S-1-5-21-3453373151-1361036012-151174157-1115 3000024
root@seth260-dc-ad4:~# wbinfo -n AD-SAMBA/luke S-1-5-21-3453373151-1361036012-151174157-1115 SID_DOM_GROUP (2) root@seth260-dc-ad4:~# wbinfo -Y S-1-5-21-3453373151-1361036012-151174157-1115 3000013
l'exemple n'a pas de sens, mais si je positionne des acl sur /home/sysvol avec le groupe 'AD-SAMBA/luke' sur le premier contrôleur
root@seth:~# setfacl -m g:AD-SAMBA/luke:rx /home/sysvol
les acl seront bien synchronisées sur le contrôleur additionnel par rapport au 'nom' du groupe 'AD-SAMBA/luke' et non pas en fonction du gid (3000024)
root@seth260-dc-ad4:~# /usr/share/eole/sbin/JobSynchroSysvol (...) root@seth260-dc-ad4:~# getfacl /home/sysvol/ getfacl : suppression du premier « / » des noms de chemins absolus # file: home/sysvol/ # owner: root # group: BUILTIN/administrators (...) group:AD-SAMBA/luke:r-x (...)