Tâche #17982
Scénario #18373: Traitement express MEN (1-3)
"ACL on GPO directory %s %s does not match expected value" => il faut un "samba-tool ntacl sysvolreset"
Description
(solution placée en haut car la description est un peu longue)
samba-tool ntacl sysvolreset
Corrige les droits sur "sysvol" et règle donc le problème. On peut envisager de placer cette commande dans reconfigure.
================================
Suite à une mise à jour, les droits sur sysvol ont été modifiés :
log/rsyslog/local/zephir/zephir.log:2016-11-22T04:50:03.020580+01:00 dc2.ac-test.lan zephir: MAJ => INIT : Début
log/rsyslog/local/zephir/zephir.log:2016-11-22T04:51:21.668013+01:00 dc2.ac-test.lan zephir: MAJ => FIN : 32 paquets mis à jour
À 04h55 les 22/11/2016 je reçois par mail :
root@dc1:~# samba-tool ntacl sysvolcheck ERROR(<class 'samba.provision.ProvisioningError'>): uncaught exception - ProvisioningError: DB ACL on GPO directory /home/sysvol/ac-test.lan/Policies/{3C682FA0-399B-41F0-AB79-2AA3810ABB34} O:DAG:DAD:PAI(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;EA)(A;OICIIO;0x001f01ff;;;CO)(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;SY)(A;OICI;0x001200a9;;;AU)(A;OICI;0x001200a9;;;ED) does not match expected value O:DAG:DAD:P(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;EA)(A;OICIIO;0x001f01ff;;;CO)(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;SY)(A;OICI;0x001200a9;;;AU)(A;OICI;0x001200a9;;;ED) from GPO object File "/usr/lib/python2.7/dist-packages/samba/netcmd/__init__.py", line 175, in _run return self.run(*args, **kwargs) File "/usr/lib/python2.7/dist-packages/samba/netcmd/ntacl.py", line 249, in run lp) File "/usr/lib/python2.7/dist-packages/samba/provision/__init__.py", line 1733, in checksysvolacl direct_db_access) File "/usr/lib/python2.7/dist-packages/samba/provision/__init__.py", line 1684, in check_gpos_acl domainsid, direct_db_access) File "/usr/lib/python2.7/dist-packages/samba/provision/__init__.py", line 1631, in check_dir_acl raise ProvisioningError('%s ACL on GPO directory %s %s does not match expected value %s from GPO object' % (acl_type(direct_db_access), path, fsacl_sddl, acl))
root@dc2:~# grep 2016-11-22 log/dpkg.log|grep " installed"
2016-11-22 04:50:39 status installed libc-bin:amd64 2.23-0ubuntu4
2016-11-22 04:50:40 status installed libapt-pkg5.0:amd64 1.2.15
2016-11-22 04:50:40 status installed libc-bin:amd64 2.23-0ubuntu4
2016-11-22 04:50:41 status installed libc-bin:amd64 2.23-0ubuntu4
2016-11-22 04:50:42 status installed man-db:amd64 2.7.5-1
2016-11-22 04:50:43 status installed apt:amd64 1.2.15
2016-11-22 04:50:43 status installed libc-bin:amd64 2.23-0ubuntu4
2016-11-22 04:51:07 status installed man-db:amd64 2.7.5-1
2016-11-22 04:51:07 status installed mime-support:all 3.59ubuntu1
2016-11-22 04:51:07 status installed libc-bin:amd64 2.23-0ubuntu4
2016-11-22 04:51:07 status installed ureadahead:amd64 0.100.0-19
2016-11-22 04:51:07 status installed systemd:amd64 229-4ubuntu12
2016-11-22 04:51:08 status installed libapt-inst2.0:amd64 1.2.15
2016-11-22 04:51:08 status installed apt-utils:amd64 1.2.15
2016-11-22 04:51:08 status installed chromium-codecs-ffmpeg-extra:amd64 53.0.2785.143-0ubuntu0.16.04.1.1257
2016-11-22 04:51:08 status installed chromium-browser:amd64 53.0.2785.143-0ubuntu0.16.04.1.1257
2016-11-22 04:51:08 status installed chromium-browser-l10n:all 53.0.2785.143-0ubuntu0.16.04.1.1257
2016-11-22 04:51:08 status installed libprocps4:amd64 2:3.3.10-4ubuntu2.2
2016-11-22 04:51:09 status installed procps:amd64 2:3.3.10-4ubuntu2.2
2016-11-22 04:51:09 status installed eole-resolvconf:all 2.6.0-117
2016-11-22 04:51:10 status installed isc-dhcp-client:amd64 4.3.3-5ubuntu12.4
2016-11-22 04:51:11 status installed isc-dhcp-server:amd64 4.3.3-5ubuntu12.4
2016-11-22 04:51:11 status installed isc-dhcp-common:amd64 4.3.3-5ubuntu12.4
2016-11-22 04:51:11 status installed apt-transport-https:amd64 1.2.15
2016-11-22 04:51:12 status installed python3-distupgrade:all 1:16.04.18
2016-11-22 04:51:12 status installed ubuntu-release-upgrader-core:all 1:16.04.18
2016-11-22 04:51:12 status installed creole-common:all 2.6.0-98
2016-11-22 04:51:14 status installed eole-common-pkg:all 2.6.0-117
2016-11-22 04:51:14 status installed zephir-client:all 2.6.0-49
2016-11-22 04:51:15 status installed zephir-stats:all 2.6.0-49
2016-11-22 04:51:15 status installed eole-ad-dc-pkg:all 2.6.0-68
2016-11-22 04:51:15 status installed linux-firmware:all 1.157.5
2016-11-22 04:51:15 status installed xserver-common:all 2:1.18.4-0ubuntu0.2
2016-11-22 04:51:15 status installed xserver-xorg-core:amd64 2:1.18.4-0ubuntu0.2
2016-11-22 04:51:15 status installed python-creole:all 2.6.0-98
2016-11-22 04:51:15 status installed creole:all 2.6.0-98
2016-11-22 04:51:20 status installed eole-server:all 2.6.0-117
2016-11-22 04:51:20 status installed eole-ad-dc:all 2.6.0-68
2016-11-22 04:51:20 status installed eole-seth:all 2.6.0-68
2016-11-22 04:51:20 status installed eole-seth-module:all 2.6.0-68
2016-11-22 04:51:20 status installed eole-seth-all:all 2.6.0-68
2016-11-22 04:51:20 status installed python-pyeole:all 2.6.0-22
2016-11-22 04:51:20 status installed libc-bin:amd64 2.23-0ubuntu4
Demandes liées
Révisions associées
Historique
#1 Mis à jour par Klaas TJEBBES il y a plus de 7 ans
- Description mis à jour (diff)
#2 Mis à jour par Klaas TJEBBES il y a plus de 7 ans
- Description mis à jour (diff)
#3 Mis à jour par Klaas TJEBBES il y a plus de 7 ans
- Tracker changé de Demande à Tâche
- Temps estimé mis à 2.00 h
- Tâche parente mis à #17993
- Restant à faire (heures) mis à 2.0
#4 Mis à jour par Scrum Master il y a plus de 7 ans
- Projet changé de EOLE AD DC à Distribution EOLE
- Statut changé de Nouveau à En cours
#5 Mis à jour par Scrum Master il y a plus de 7 ans
- Description mis à jour (diff)
- Assigné à mis à Klaas TJEBBES
#6 Mis à jour par Klaas TJEBBES il y a plus de 7 ans
- Fichier Capture d’écran_2016-12-02_15-48-49.png Voir ajouté
Les différences d'ACL avant et après samba-tool ntacl sysvolreset sont minimes, elles concernent le déplacement d'ACLs en droits POSIX en changeant le propriétaire.
Voir capture d'écran ci-jointe.
#7 Mis à jour par Scrum Master il y a plus de 7 ans
- Statut changé de En cours à Résolu
#8 Mis à jour par Daniel Dehennin il y a plus de 7 ans
- % réalisé changé de 0 à 100
#9 Mis à jour par Benjamin Bohard il y a plus de 7 ans
- Statut changé de Résolu à En cours
- Tâche parente changé de #17993 à #18373
La solution proposée n’est pas mise en œuvre dans le patch (samba-tool ntacl sysvolreset est toujours commenté).
Deux tâches indépendantes résolues dans un commit ?
À revoir, déplacé dans le sprint de la rentrée.
#10 Mis à jour par Klaas TJEBBES il y a plus de 7 ans
- le partage sysvol contient les GPO et autres données AD configurées depuis la console MMC
- la commande samba-tool ntacl sysvolcheck est supposée vérifier si les ACLs du partage sysvol sont correctes
- dès qu'on modifie les GPO depuis un poste Windows, les ACLs du dossier sysvol sur DC1 deviennent incorrects selon samba-tool ntacl sysvolcheck
- on peut les corriger avec la commande samba-tool ntacl sysvolreset
La capture d'écran jointe à la description de cette demande montre les différences d'ACLs entre ce que samba-tool ntacl sysvolcheck trouve correct et ce que la console MMC a paramétré.
JobSynchroSysvol réplique le partage avec les ACLs et donc la commande samba-tool ntacl sysvolcheck à la fin de ce script renvoie une erreur (que l'on reçoit par mail).
La solution actuelle au problème est de ne pas vérifier les ACLs à la fin de JobSynchroSysvol (commenter l'appelle à samba-tool ntacl sysvolcheck).
=======================================================================================================
La question en suspend est : qui de "samba-tool ntacl sysvolcheck" ou de la console MMC a raison ?
Pour l'instant je n'ai constaté aucun dysfonctionnement en utilisant les ACLs MMC/Microsoft au lieu des ACLs préconisées par Samba.
#11 Mis à jour par Klaas TJEBBES il y a plus de 7 ans
- Lié à Bac à idée #18189: Seth : la création de GPO depuis "mmc" dérègle les ACLs sysvol ajouté
#12 Mis à jour par Scrum Master il y a plus de 7 ans
- Statut changé de En cours à Résolu
#13 Mis à jour par Scrum Master il y a plus de 7 ans
- Statut changé de Résolu à Fermé
- Restant à faire (heures) changé de 2.0 à 0.0