Project

General

Profile

Tâche #19973

Scénario #19955: POC : migrer un Scribe (NT) en Seth + Scribe (membre avec sécurité déléguée)

Monter une infra type Seth / scribe

Added by Gilles Grandgérard over 6 years ago. Updated over 6 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Klaas TJEBBES
Target version:
sprint 2017 13-15 Equipe MENSR
Start date:
03/27/2017
Due date:
% Done:

0%

Estimated time:
4.00 h
Spent time:
4.00 h
Remaining (hours):
0.0

Description

Instancier :
etb1.amon instance defaut
etb1.scribe instance avec conf
etb1.seth daily

Configurer
- etb1.seth avec les comptes Eleves/Profs
- démarrer un poste client + l'intégrer dans l AD
- configurer le scribe en sécurité AD + reconfigure
- le scribe doit être intégreé au domain AD
...

Related issues

Related to Distribution EOLE - Tâche #20481: Infra Scribe / Seth Fermé 05/09/2017

History

#1 Updated by Scrum Master over 6 years ago

  • Status changed from Nouveau to En cours

#2 Updated by Scrum Master over 6 years ago

  • Description updated (diff)
  • Assigned To set to Klaas TJEBBES

#3 Updated by Joël Cuissinat over 6 years ago

  • Status changed from En cours to Fermé
  • Remaining (hours) changed from 4.0 to 0.0

#4 Updated by Klaas TJEBBES over 6 years ago

Intégration Scribe dans un domaine Seth existant

Sur Scribe :
  • /etc/samba/smb.conf
    [global]
        # configuration du serveur
        netbios name = scribe
        workgroup = etb1
        realm = ETB1.LAN
        security = ads
        winbind use default domain = yes
        winbind cache time = 10
        winbind enum users = yes
        winbind enum groups = yes
        idmap config * : backend = autorid
        idmap config * : range = 1000000-1999999
  • /etc/nsswitch.conf
    passwd:         compat winbind
group:          compat winbind
  • /etc/resolv.conf
    nameserver 10.1.3.6
search etb1.lan

Résultat

root@scribe:~# wbinfo --ping-dc
checking the NETLOGON for domain[ETB1] dc connection to "seth1.etb1.lan" succeeded

L'accès aux partages fonctionne, à condition de réadapter les droits : les noms (logins) des utilisateurs sont les mêmes, mais les UID changent. Exemple de droits non-modifiés sur un Scribe après jonction à l'active directory :

root@scribe:~# getfacl /home/a/admin/perso/
getfacl : suppression du premier « / » des noms de chemins absolus
# file: home/a/admin/perso/
# owner: 10004
# group: root
user::rwx
user:10004:rwx
group::---
mask::rwx
other::---
default:user::rwx
default:user:10004:rwx
default:group::---
default:mask::rwx
default:other::---

Par contre, l'accès aux dossiers personnels ne fonctionne plus. Les partages [homes] et [perso] utilisent la valeur de homedir renvoyé par winbind.

root@scribe:~# getent passwd admin
admin:*:1101103:1100513:admin:/home/ETB1/admin:/bin/false

root@scribe:~# tail log/rsyslog/local/smbd/smbd.err.log
2017-05-15T14:42:09.391176+02:00 scribe.etb1.lan smbd[24013]:   canonicalize_connect_path failed for service admin, path /home/ETB1/admin

C'est seulement un problème pour accéder aux anciens partages personnels (Scribe mode NT). Dans l'annuaire active directory l'utilisateur possède déjà un attribut homedir, il peut également avoir un attribut homedrive auquel cas le dossier homedir sera monté automatiquement à l'ouverture de session par la station cliente.

Problème rencontré

root@seth1:~# samba-tool dns add localhost etb1.lan scribe A 10.1.3.5 -k 1
Failed to bind to uuid 50abc2a4-574d-40b3-9d66-ee4fd5fba076 for ncacn_ip_tcp:127.0.0.1[1024,sign,abstract_syntax=50abc2a4-574d-40b3-9d66-ee4fd5fba076/0x00000005,localaddress=127.0.0.1] NT_STATUS_INVALID_PARAMETER
ERROR: Connecting to DNS RPC server 127.0.0.1 failed with (-1073741811, 'Unexpected information received')

root@seth1:~# samba-tool dns add 10.1.3.6 etb1.lan scribe A 10.1.3.5 -k 1
Failed to bind to uuid 50abc2a4-574d-40b3-9d66-ee4fd5fba076 for ncacn_ip_tcp:10.1.3.6[1024,sign,abstract_syntax=50abc2a4-574d-40b3-9d66-ee4fd5fba076/0x00000005,localaddress=10.1.3.6] NT_STATUS_INVALID_PARAMETER
ERROR: Connecting to DNS RPC server 10.1.3.6 failed with (-1073741811, 'Unexpected information received')

Solution
Utiliser <nom_machine> au lieu de localhost ou <IP>

root@seth1:~# samba-tool dns add seth1 etb1.lan scribe A 10.1.3.5 -k 1
Record added successfully

Commandes

net ads join -I 10.1.3.6 -U admin%'PASSWORD'
wbinfo --ping-dc
getent passwd
getent group
id admin
getent passwd admin

Transformation d'un Scribe mode NT en Scribe ActiveDirectory

mv /var/lib/samba /var/lib/samba.PDC
mv /etc/samba/smb.conf /var/lib/samba.PDC/
mkdir /var/lib/samba.PDC/dbdir/
cp -p /var/lib/samba.PDC/private/secrets.tdb /var/lib/samba.PDC/dbdir/
cp -p /var/lib/samba.PDC/private/schannel_store.tdb /var/lib/samba.PDC/dbdir/
cp -p /var/lib/samba.PDC/private/passdb.tdb /var/lib/samba.PDC/dbdir/
cp -p /var/lib/samba.PDC/var/lock/gencache_notrans.tdb /var/lib/samba.PDC/dbdir/
cp -p /var/lib/samba.PDC/var/locks/group_mapping.tdb /var/lib/samba.PDC/dbdir/
cp -p /var/lib/samba.PDC/var/locks/account_policy.tdb /var/lib/samba.PDC/dbdir/

samba-tool domain classicupgrade --dbdir=/var/lib/samba.PDC/dbdir/ --use-xattrs=yes --realm=dompedago.lan --dns-backend=SAMBA_INTERNAL /var/lib/samba.PDC/smb.conf

Accès LDAP distant

smb.conf [global] :

ldap server require strong auth = no


ldapsearch -xLLL -H ldap://localhost:389 -D "cn=Admin,CN=Users,dc=dompedago,dc=lan" -W -b "dc=dompedago,dc=lan"

#5 Updated by Klaas TJEBBES over 6 years ago

Also available in: Atom PDF