Project

General

Profile

Tâche #17214

Scénario #18211: Amélioration de la synchronisation des répertoires Sysvol

JobSynchroSysvol : Il n'est pas nécessaire d'avoir une synchro uid/gid entre les contrôleurs

Added by christophe guerinot about 5 years ago. Updated over 4 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Start date:
09/22/2016
Due date:
% Done:

0%

Estimated time:
4.00 h
Spent time:
Remaining (hours):
0.0

Description

par défaut uid et gid sont incrémentés de façon aléatoire entre contrôleurs

par contre la commande rsync , avec l'option '--numeric-ids', va faire correspondre les droits en uid/gid et non pas en nom de comptes/groupes

--numeric-ids
With this option rsync will transfer numeric group and user IDs rather than using user and group names and mapping them at both ends.
    rsync --rsh='ssh' \
               --compress --verbose \
               --acls --xattrs \
               --delete-after --times --owner --group --ignore-times --links  --perms \
               --recursive --size-only --delete --force --numeric-ids \
               --stats root@${AD_DC_SYSVOL_REF}:/var/lib/samba/sysvol /var/lib/samba

le groupe propriétaire du répertoire sysvol devrait être BUILTIN/administrators

Associated revisions

Revision de2ee168 (diff)
Added by Klaas TJEBBES almost 5 years ago

JobSynchroSysvol : suppression du contrôle de ACLs REF #17982 @2h
nettoyage de la commande "rsync" REF #17214

History

#1 Updated by christophe guerinot about 5 years ago

  • Tracker changed from Proposition Scénario to Tâche

#2 Updated by Emmanuel IHRY almost 5 years ago

  • Parent task changed from #17183 to #18211

#3 Updated by Klaas TJEBBES almost 5 years ago

"le groupe propriétaire du répertoire sysvol devrait être BUILTIN/administrators"
=> l'utilisateur et le groupe propriétaires ainsi que les ACLs sur le répertoire sysvol doivent être définies avec samba-tool ntacl sysvolreset côté serveur SYSVOL de référence (càd sur DC1). Ensuite propriétaires et ACLs sont placés par rsync sur les autres DC :

root@dc2:~# chgrp root /home/sysvol/
root@dc2:~# getfacl /home/sysvol/
getfacl : suppression du premier « / » des noms de chemins absolus
# file: home/sysvol/
# owner: root
# group: root
[...]

root@dc2:~# /usr/share/eole/sbin/JobSynchroSysvol
receiving file list ... done
[...]
sent 26 bytes  received 7,120 bytes  14,292.00 bytes/sec
total size is 1,262  speedup is 0.18

root@dc2:~# getfacl /home/sysvol/
getfacl : suppression du premier « / » des noms de chemins absolus
# file: home/sysvol/
# owner: root
# group: BUILTIN/administrators

On voit que rsync à mis à jour les ACLs sur DC2.

#4 Updated by Emmanuel IHRY over 4 years ago

  • Assigned To set to Benjamin Bohard

#5 Updated by Benjamin Bohard over 4 years ago

  • Estimated time set to 4.00 h
  • Remaining (hours) set to 4.0

#6 Updated by Benjamin Bohard over 4 years ago

  • Remaining (hours) changed from 4.0 to 3.0

#7 Updated by christophe guerinot over 4 years ago

  • Status changed from Nouveau to Fermé
  • Remaining (hours) changed from 3.0 to 0.0

la correction effectuée par Klass répond au problème

si on effectue un petit test en utilisant un groupe qui n'a pas le même gid sur le premier contrôleur (3000024) par rapport au contrôleur additionnel (3000013)

root@seth:~# wbinfo -n AD-SAMBA/luke
S-1-5-21-3453373151-1361036012-151174157-1115 SID_DOM_GROUP (2)
root@seth:~# wbinfo -Y S-1-5-21-3453373151-1361036012-151174157-1115
3000024
root@seth260-dc-ad4:~#  wbinfo -n AD-SAMBA/luke
S-1-5-21-3453373151-1361036012-151174157-1115 SID_DOM_GROUP (2)
root@seth260-dc-ad4:~# wbinfo -Y S-1-5-21-3453373151-1361036012-151174157-1115
3000013

l'exemple n'a pas de sens, mais si je positionne des acl sur /home/sysvol avec le groupe 'AD-SAMBA/luke' sur le premier contrôleur

root@seth:~# setfacl -m g:AD-SAMBA/luke:rx /home/sysvol

les acl seront bien synchronisées sur le contrôleur additionnel par rapport au 'nom' du groupe 'AD-SAMBA/luke' et non pas en fonction du gid (3000024)

root@seth260-dc-ad4:~# /usr/share/eole/sbin/JobSynchroSysvol
(...)

root@seth260-dc-ad4:~# getfacl /home/sysvol/
getfacl : suppression du premier « / » des noms de chemins absolus
# file: home/sysvol/
# owner: root
# group: BUILTIN/administrators
(...)
group:AD-SAMBA/luke:r-x
(...)

Also available in: Atom PDF