Project

General

Profile

Tâche #19973

Scénario #19955: POC : migrer un Scribe (NT) en Seth + Scribe (membre avec sécurité déléguée)

Monter une infra type Seth / scribe

Added by Gilles Grandgérard about 3 years ago. Updated almost 3 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Start date:
03/27/2017
Due date:
% Done:

0%

Estimated time:
4.00 h
Spent time:
Remaining (hours):
0.0

Description

Instancier :
etb1.amon instance defaut
etb1.scribe instance avec conf
etb1.seth daily

Configurer
- etb1.seth avec les comptes Eleves/Profs
- démarrer un poste client + l'intégrer dans l AD
- configurer le scribe en sécurité AD + reconfigure
- le scribe doit être intégreé au domain AD
...


Related issues

Related to Distribution EOLE - Tâche #20481: Infra Scribe / Seth Fermé 05/09/2017

History

#1 Updated by Scrum Master almost 3 years ago

  • Status changed from Nouveau to En cours

#2 Updated by Scrum Master almost 3 years ago

  • Description updated (diff)
  • Assigned To set to Klaas TJEBBES

#3 Updated by Joël Cuissinat almost 3 years ago

  • Status changed from En cours to Fermé
  • Remaining (hours) changed from 4.0 to 0.0

#4 Updated by Klaas TJEBBES almost 3 years ago

Intégration Scribe dans un domaine Seth existant

Sur Scribe :
  • /etc/samba/smb.conf
    [global]
            # configuration du serveur
            netbios name = scribe
            workgroup = etb1
            realm = ETB1.LAN
            security = ads
            winbind use default domain = yes
            winbind cache time = 10
            winbind enum users = yes
            winbind enum groups = yes
            idmap config * : backend = autorid
            idmap config * : range = 1000000-1999999
    
  • /etc/nsswitch.conf
    passwd:         compat winbind
    group:          compat winbind
    
  • /etc/resolv.conf
    nameserver 10.1.3.6
    search etb1.lan
    

Résultat

root@scribe:~# wbinfo --ping-dc
checking the NETLOGON for domain[ETB1] dc connection to "seth1.etb1.lan" succeeded

L'accès aux partages fonctionne, à condition de réadapter les droits : les noms (logins) des utilisateurs sont les mêmes, mais les UID changent. Exemple de droits non-modifiés sur un Scribe après jonction à l'active directory :

root@scribe:~# getfacl /home/a/admin/perso/
getfacl : suppression du premier « / » des noms de chemins absolus
# file: home/a/admin/perso/
# owner: 10004
# group: root
user::rwx
user:10004:rwx
group::---
mask::rwx
other::---
default:user::rwx
default:user:10004:rwx
default:group::---
default:mask::rwx
default:other::---

Par contre, l'accès aux dossiers personnels ne fonctionne plus. Les partages [homes] et [perso] utilisent la valeur de homedir renvoyé par winbind.

root@scribe:~# getent passwd admin
admin:*:1101103:1100513:admin:/home/ETB1/admin:/bin/false

root@scribe:~# tail log/rsyslog/local/smbd/smbd.err.log
2017-05-15T14:42:09.391176+02:00 scribe.etb1.lan smbd[24013]:   canonicalize_connect_path failed for service admin, path /home/ETB1/admin

C'est seulement un problème pour accéder aux anciens partages personnels (Scribe mode NT). Dans l'annuaire active directory l'utilisateur possède déjà un attribut homedir, il peut également avoir un attribut homedrive auquel cas le dossier homedir sera monté automatiquement à l'ouverture de session par la station cliente.

Problème rencontré

root@seth1:~# samba-tool dns add localhost etb1.lan scribe A 10.1.3.5 -k 1
Failed to bind to uuid 50abc2a4-574d-40b3-9d66-ee4fd5fba076 for ncacn_ip_tcp:127.0.0.1[1024,sign,abstract_syntax=50abc2a4-574d-40b3-9d66-ee4fd5fba076/0x00000005,localaddress=127.0.0.1] NT_STATUS_INVALID_PARAMETER
ERROR: Connecting to DNS RPC server 127.0.0.1 failed with (-1073741811, 'Unexpected information received')

root@seth1:~# samba-tool dns add 10.1.3.6 etb1.lan scribe A 10.1.3.5 -k 1
Failed to bind to uuid 50abc2a4-574d-40b3-9d66-ee4fd5fba076 for ncacn_ip_tcp:10.1.3.6[1024,sign,abstract_syntax=50abc2a4-574d-40b3-9d66-ee4fd5fba076/0x00000005,localaddress=10.1.3.6] NT_STATUS_INVALID_PARAMETER
ERROR: Connecting to DNS RPC server 10.1.3.6 failed with (-1073741811, 'Unexpected information received')

Solution
Utiliser <nom_machine> au lieu de localhost ou <IP>

root@seth1:~# samba-tool dns add seth1 etb1.lan scribe A 10.1.3.5 -k 1
Record added successfully

Commandes

net ads join -I 10.1.3.6 -U admin%'PASSWORD'
wbinfo --ping-dc
getent passwd
getent group
id admin
getent passwd admin


Transformation d'un Scribe mode NT en Scribe ActiveDirectory

mv /var/lib/samba /var/lib/samba.PDC
mv /etc/samba/smb.conf /var/lib/samba.PDC/
mkdir /var/lib/samba.PDC/dbdir/
cp -p /var/lib/samba.PDC/private/secrets.tdb /var/lib/samba.PDC/dbdir/
cp -p /var/lib/samba.PDC/private/schannel_store.tdb /var/lib/samba.PDC/dbdir/
cp -p /var/lib/samba.PDC/private/passdb.tdb /var/lib/samba.PDC/dbdir/
cp -p /var/lib/samba.PDC/var/lock/gencache_notrans.tdb /var/lib/samba.PDC/dbdir/
cp -p /var/lib/samba.PDC/var/locks/group_mapping.tdb /var/lib/samba.PDC/dbdir/
cp -p /var/lib/samba.PDC/var/locks/account_policy.tdb /var/lib/samba.PDC/dbdir/
samba-tool domain classicupgrade --dbdir=/var/lib/samba.PDC/dbdir/ --use-xattrs=yes --realm=dompedago.lan --dns-backend=SAMBA_INTERNAL /var/lib/samba.PDC/smb.conf

Accès LDAP distant

smb.conf [global] :

ldap server require strong auth = no

ldapsearch -xLLL -H ldap://localhost:389 -D "cn=Admin,CN=Users,dc=dompedago,dc=lan" -W -b "dc=dompedago,dc=lan" 

#5 Updated by Klaas TJEBBES almost 3 years ago

Also available in: Atom PDF