https://dev-eole.ac-dijon.fr/https://dev-eole.ac-dijon.fr/favicon.ico2016-09-22T18:43:54ZEnsemble Ouvert Libre ÉvolutifEOLE AD DC - Tâche #17214: JobSynchroSysvol : Il n'est pas nécessaire d'avoir une synchro uid/gid entre les contrôleurshttps://dev-eole.ac-dijon.fr/issues/17214?journal_id=764442016-09-22T18:43:54Zchristophe guerinotchristophe.guerinot@developpement-durable.gouv.fr
<ul><li><strong>Tracker</strong> changé de <i>Proposition Scénario</i> à <i>Tâche</i></li></ul> EOLE AD DC - Tâche #17214: JobSynchroSysvol : Il n'est pas nécessaire d'avoir une synchro uid/gid entre les contrôleurshttps://dev-eole.ac-dijon.fr/issues/17214?journal_id=815222016-12-01T09:33:02ZEmmanuel IHRYemmanuel.ihry@developpement-durable.gouv.fr
<ul><li><strong>Tâche parente</strong> changé de <i>#17183</i> à <i>#18211</i></li></ul> EOLE AD DC - Tâche #17214: JobSynchroSysvol : Il n'est pas nécessaire d'avoir une synchro uid/gid entre les contrôleurshttps://dev-eole.ac-dijon.fr/issues/17214?journal_id=817152016-12-02T15:24:40ZKlaas TJEBBES
<ul></ul><p>"le groupe propriétaire du répertoire sysvol devrait être BUILTIN/administrators" <br />=> l'utilisateur et le groupe propriétaires ainsi que les ACLs sur le répertoire sysvol doivent être définies avec <strong><em>samba-tool ntacl sysvolreset</em></strong> côté serveur SYSVOL de référence (càd sur DC1). Ensuite propriétaires et ACLs sont placés par rsync sur les autres DC :</p>
<pre>
root@dc2:~# chgrp root /home/sysvol/
root@dc2:~# getfacl /home/sysvol/
getfacl : suppression du premier « / » des noms de chemins absolus
# file: home/sysvol/
# owner: root
# group: root
[...]
root@dc2:~# /usr/share/eole/sbin/JobSynchroSysvol
receiving file list ... done
[...]
sent 26 bytes received 7,120 bytes 14,292.00 bytes/sec
total size is 1,262 speedup is 0.18
root@dc2:~# getfacl /home/sysvol/
getfacl : suppression du premier « / » des noms de chemins absolus
# file: home/sysvol/
# owner: root
# group: BUILTIN/administrators
</pre>
<p>On voit que rsync à mis à jour les ACLs sur DC2.</p> EOLE AD DC - Tâche #17214: JobSynchroSysvol : Il n'est pas nécessaire d'avoir une synchro uid/gid entre les contrôleurshttps://dev-eole.ac-dijon.fr/issues/17214?journal_id=836642017-01-03T12:15:22ZEmmanuel IHRYemmanuel.ihry@developpement-durable.gouv.fr
<ul><li><strong>Assigné à</strong> mis à <i>Benjamin Bohard</i></li></ul> EOLE AD DC - Tâche #17214: JobSynchroSysvol : Il n'est pas nécessaire d'avoir une synchro uid/gid entre les contrôleurshttps://dev-eole.ac-dijon.fr/issues/17214?journal_id=837142017-01-03T16:07:26ZBenjamin Bohardbbohard@cadoles.com
<ul><li><strong>Temps estimé</strong> mis à <i>4.00 h</i></li><li><strong>Restant à faire (heures)</strong> mis à <i>4.0</i></li></ul> EOLE AD DC - Tâche #17214: JobSynchroSysvol : Il n'est pas nécessaire d'avoir une synchro uid/gid entre les contrôleurshttps://dev-eole.ac-dijon.fr/issues/17214?journal_id=842472017-01-10T13:37:01ZBenjamin Bohardbbohard@cadoles.com
<ul><li><strong>Restant à faire (heures)</strong> changé de <i>4.0</i> à <i>3.0</i></li></ul> EOLE AD DC - Tâche #17214: JobSynchroSysvol : Il n'est pas nécessaire d'avoir une synchro uid/gid entre les contrôleurshttps://dev-eole.ac-dijon.fr/issues/17214?journal_id=842912017-01-10T18:29:02Zchristophe guerinotchristophe.guerinot@developpement-durable.gouv.fr
<ul><li><strong>Statut</strong> changé de <i>Nouveau</i> à <i>Fermé</i></li><li><strong>Restant à faire (heures)</strong> changé de <i>3.0</i> à <i>0.0</i></li></ul><p>la correction effectuée par Klass répond au problème</p>
<p>si on effectue un petit test en utilisant un groupe qui n'a pas le même gid sur le premier contrôleur (3000024) par rapport au contrôleur additionnel (3000013)</p>
<pre>
root@seth:~# wbinfo -n AD-SAMBA/luke
S-1-5-21-3453373151-1361036012-151174157-1115 SID_DOM_GROUP (2)
root@seth:~# wbinfo -Y S-1-5-21-3453373151-1361036012-151174157-1115
3000024
</pre>
<pre>
root@seth260-dc-ad4:~# wbinfo -n AD-SAMBA/luke
S-1-5-21-3453373151-1361036012-151174157-1115 SID_DOM_GROUP (2)
root@seth260-dc-ad4:~# wbinfo -Y S-1-5-21-3453373151-1361036012-151174157-1115
3000013
</pre>
<p>l'exemple n'a pas de sens, mais si je positionne des acl sur /home/sysvol avec le groupe 'AD-SAMBA/luke' sur le premier contrôleur<br /><pre>
root@seth:~# setfacl -m g:AD-SAMBA/luke:rx /home/sysvol
</pre></p>
<p>les acl seront bien synchronisées sur le contrôleur additionnel par rapport au 'nom' du groupe 'AD-SAMBA/luke' et non pas en fonction du gid (3000024)<br /><pre>
root@seth260-dc-ad4:~# /usr/share/eole/sbin/JobSynchroSysvol
(...)
root@seth260-dc-ad4:~# getfacl /home/sysvol/
getfacl : suppression du premier « / » des noms de chemins absolus
# file: home/sysvol/
# owner: root
# group: BUILTIN/administrators
(...)
group:AD-SAMBA/luke:r-x
(...)
</pre></p>