Project

General

Profile

Tâche #17982

Scénario #18373: Traitement express MEN (1-3)

"ACL on GPO directory %s %s does not match expected value" => il faut un "samba-tool ntacl sysvolreset"

Added by Klaas TJEBBES almost 7 years ago. Updated over 6 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Klaas TJEBBES
Target version:
sprint 2017 1-3 Equipe MENSR
Start date:
11/22/2016
Due date:
% Done:

100%

Estimated time:
2.00 h
Spent time:
2.33 h
Remaining (hours):
0.0

Description

(solution placée en haut car la description est un peu longue)

samba-tool ntacl sysvolreset

Corrige les droits sur "sysvol" et règle donc le problème. On peut envisager de placer cette commande dans reconfigure.

================================

Suite à une mise à jour, les droits sur sysvol ont été modifiés :
log/rsyslog/local/zephir/zephir.log:2016-11-22T04:50:03.020580+01:00 dc2.ac-test.lan zephir: MAJ => INIT : Début
log/rsyslog/local/zephir/zephir.log:2016-11-22T04:51:21.668013+01:00 dc2.ac-test.lan zephir: MAJ => FIN : 32 paquets mis à jour

À 04h55 les 22/11/2016 je reçois par mail :

root@dc1:~# samba-tool ntacl sysvolcheck
ERROR(<class 'samba.provision.ProvisioningError'>): uncaught exception - ProvisioningError: DB ACL on GPO directory /home/sysvol/ac-test.lan/Policies/{3C682FA0-399B-41F0-AB79-2AA3810ABB34} O:DAG:DAD:PAI(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;EA)(A;OICIIO;0x001f01ff;;;CO)(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;SY)(A;OICI;0x001200a9;;;AU)(A;OICI;0x001200a9;;;ED) does not match expected value O:DAG:DAD:P(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;EA)(A;OICIIO;0x001f01ff;;;CO)(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;SY)(A;OICI;0x001200a9;;;AU)(A;OICI;0x001200a9;;;ED) from GPO object
  File "/usr/lib/python2.7/dist-packages/samba/netcmd/__init__.py", line 175, in _run
    return self.run(*args, **kwargs)
  File "/usr/lib/python2.7/dist-packages/samba/netcmd/ntacl.py", line 249, in run
    lp)
  File "/usr/lib/python2.7/dist-packages/samba/provision/__init__.py", line 1733, in checksysvolacl
    direct_db_access)
  File "/usr/lib/python2.7/dist-packages/samba/provision/__init__.py", line 1684, in check_gpos_acl
    domainsid, direct_db_access)
  File "/usr/lib/python2.7/dist-packages/samba/provision/__init__.py", line 1631, in check_dir_acl
    raise ProvisioningError('%s ACL on GPO directory %s %s does not match expected value %s from GPO object' % (acl_type(direct_db_access), path, fsacl_sddl, acl))

root@dc2:~# grep 2016-11-22 log/dpkg.log|grep " installed"
2016-11-22 04:50:39 status installed libc-bin:amd64 2.23-0ubuntu4
2016-11-22 04:50:40 status installed libapt-pkg5.0:amd64 1.2.15
2016-11-22 04:50:40 status installed libc-bin:amd64 2.23-0ubuntu4
2016-11-22 04:50:41 status installed libc-bin:amd64 2.23-0ubuntu4
2016-11-22 04:50:42 status installed man-db:amd64 2.7.5-1
2016-11-22 04:50:43 status installed apt:amd64 1.2.15
2016-11-22 04:50:43 status installed libc-bin:amd64 2.23-0ubuntu4
2016-11-22 04:51:07 status installed man-db:amd64 2.7.5-1
2016-11-22 04:51:07 status installed mime-support:all 3.59ubuntu1
2016-11-22 04:51:07 status installed libc-bin:amd64 2.23-0ubuntu4
2016-11-22 04:51:07 status installed ureadahead:amd64 0.100.0-19
2016-11-22 04:51:07 status installed systemd:amd64 229-4ubuntu12
2016-11-22 04:51:08 status installed libapt-inst2.0:amd64 1.2.15
2016-11-22 04:51:08 status installed apt-utils:amd64 1.2.15
2016-11-22 04:51:08 status installed chromium-codecs-ffmpeg-extra:amd64 53.0.2785.143-0ubuntu0.16.04.1.1257
2016-11-22 04:51:08 status installed chromium-browser:amd64 53.0.2785.143-0ubuntu0.16.04.1.1257
2016-11-22 04:51:08 status installed chromium-browser-l10n:all 53.0.2785.143-0ubuntu0.16.04.1.1257
2016-11-22 04:51:08 status installed libprocps4:amd64 2:3.3.10-4ubuntu2.2
2016-11-22 04:51:09 status installed procps:amd64 2:3.3.10-4ubuntu2.2
2016-11-22 04:51:09 status installed eole-resolvconf:all 2.6.0-117
2016-11-22 04:51:10 status installed isc-dhcp-client:amd64 4.3.3-5ubuntu12.4
2016-11-22 04:51:11 status installed isc-dhcp-server:amd64 4.3.3-5ubuntu12.4
2016-11-22 04:51:11 status installed isc-dhcp-common:amd64 4.3.3-5ubuntu12.4
2016-11-22 04:51:11 status installed apt-transport-https:amd64 1.2.15
2016-11-22 04:51:12 status installed python3-distupgrade:all 1:16.04.18
2016-11-22 04:51:12 status installed ubuntu-release-upgrader-core:all 1:16.04.18
2016-11-22 04:51:12 status installed creole-common:all 2.6.0-98
2016-11-22 04:51:14 status installed eole-common-pkg:all 2.6.0-117
2016-11-22 04:51:14 status installed zephir-client:all 2.6.0-49
2016-11-22 04:51:15 status installed zephir-stats:all 2.6.0-49
2016-11-22 04:51:15 status installed eole-ad-dc-pkg:all 2.6.0-68
2016-11-22 04:51:15 status installed linux-firmware:all 1.157.5
2016-11-22 04:51:15 status installed xserver-common:all 2:1.18.4-0ubuntu0.2
2016-11-22 04:51:15 status installed xserver-xorg-core:amd64 2:1.18.4-0ubuntu0.2
2016-11-22 04:51:15 status installed python-creole:all 2.6.0-98
2016-11-22 04:51:15 status installed creole:all 2.6.0-98
2016-11-22 04:51:20 status installed eole-server:all 2.6.0-117
2016-11-22 04:51:20 status installed eole-ad-dc:all 2.6.0-68
2016-11-22 04:51:20 status installed eole-seth:all 2.6.0-68
2016-11-22 04:51:20 status installed eole-seth-module:all 2.6.0-68
2016-11-22 04:51:20 status installed eole-seth-all:all 2.6.0-68
2016-11-22 04:51:20 status installed python-pyeole:all 2.6.0-22
2016-11-22 04:51:20 status installed libc-bin:amd64 2.23-0ubuntu4

Capture d’écran_2016-12-02_15-48-49.png View (165 KB) Klaas TJEBBES, 12/02/2016 03:50 PM

Related issues

Related to EOLE AD DC - Bac à idée #18189: Seth : la création de GPO depuis "mmc" dérègle les ACLs sysvol Fermé

Associated revisions

Revision de2ee168 (diff)
Added by Klaas TJEBBES almost 7 years ago

JobSynchroSysvol : suppression du contrôle de ACLs REF #17982 @2h
nettoyage de la commande "rsync" REF #17214

History

#1 Updated by Klaas TJEBBES almost 7 years ago

  • Description updated (diff)

#2 Updated by Klaas TJEBBES almost 7 years ago

  • Description updated (diff)

#3 Updated by Klaas TJEBBES almost 7 years ago

  • Tracker changed from Demande to Tâche
  • Estimated time set to 2.00 h
  • Parent task set to #17993
  • Remaining (hours) set to 2.0

#4 Updated by Scrum Master almost 7 years ago

  • Project changed from EOLE AD DC to Distribution EOLE
  • Status changed from Nouveau to En cours

#5 Updated by Scrum Master almost 7 years ago

  • Description updated (diff)
  • Assigned To set to Klaas TJEBBES

#6 Updated by Klaas TJEBBES almost 7 years ago

Les différences d'ACL avant et après samba-tool ntacl sysvolreset sont minimes, elles concernent le déplacement d'ACLs en droits POSIX en changeant le propriétaire.
Voir capture d'écran ci-jointe.

#7 Updated by Scrum Master almost 7 years ago

  • Status changed from En cours to Résolu

#8 Updated by Daniel Dehennin almost 7 years ago

  • % Done changed from 0 to 100

#9 Updated by Benjamin Bohard almost 7 years ago

  • Status changed from Résolu to En cours
  • Parent task changed from #17993 to #18373

La solution proposée n’est pas mise en œuvre dans le patch (samba-tool ntacl sysvolreset est toujours commenté).

Deux tâches indépendantes résolues dans un commit ?

À revoir, déplacé dans le sprint de la rentrée.

#10 Updated by Klaas TJEBBES almost 7 years ago

Pour résumer :
  • le partage sysvol contient les GPO et autres données AD configurées depuis la console MMC
  • la commande samba-tool ntacl sysvolcheck est supposée vérifier si les ACLs du partage sysvol sont correctes
  • dès qu'on modifie les GPO depuis un poste Windows, les ACLs du dossier sysvol sur DC1 deviennent incorrects selon samba-tool ntacl sysvolcheck
  • on peut les corriger avec la commande samba-tool ntacl sysvolreset

La capture d'écran jointe à la description de cette demande montre les différences d'ACLs entre ce que samba-tool ntacl sysvolcheck trouve correct et ce que la console MMC a paramétré.

JobSynchroSysvol réplique le partage avec les ACLs et donc la commande samba-tool ntacl sysvolcheck à la fin de ce script renvoie une erreur (que l'on reçoit par mail).

La solution actuelle au problème est de ne pas vérifier les ACLs à la fin de JobSynchroSysvol (commenter l'appelle à samba-tool ntacl sysvolcheck).

=======================================================================================================

La question en suspend est : qui de "samba-tool ntacl sysvolcheck" ou de la console MMC a raison ?

Pour l'instant je n'ai constaté aucun dysfonctionnement en utilisant les ACLs MMC/Microsoft au lieu des ACLs préconisées par Samba.

#11 Updated by Klaas TJEBBES over 6 years ago

  • Related to Bac à idée #18189: Seth : la création de GPO depuis "mmc" dérègle les ACLs sysvol added

#12 Updated by Scrum Master over 6 years ago

  • Status changed from En cours to Résolu

#13 Updated by Scrum Master over 6 years ago

  • Status changed from Résolu to Fermé
  • Remaining (hours) changed from 2.0 to 0.0

Also available in: Atom PDF