Project

General

Profile

Tâche #20986

Scénario #21487: Traitement express PNESR (43-45)

eSbl intégré dans un domaine AD: Ajout d'un groupe 'administrateurs' local au service dans smb.conf

Added by christophe guerinot about 2 years ago. Updated almost 2 years ago.

Status:
Fermé
Priority:
Normal
Start date:
01/23/2017
Due date:
% Done:

100%

Estimated time:
12.00 h
Spent time:
Remaining (hours):
0.0

Description

Quand les eSbl seront migrés dans un domaine AD, les administrateurs du service ne feront plus parti du groupe 'administrateurs' du domaine
Il faut ajouter un groupe ''<nom du domaine>+services-defaut-ouadm' (?) ayant des droits d'administration dans smb.conf
Il sera nécessaire également d'affecter des acl pour ce groupe pour les arborescences 'diffusion', 'imprimantes', dossiers ...

Associated revisions

Revision 74aee4b2 (diff)
Added by christophe guerinot almost 2 years ago

eSbl intégré dans un domaine AD: Ajout d'un groupe 'administrateurs' local au service ( fixes #20986 @12h )

History

#1 Updated by Emmanuel IHRY about 2 years ago

  • Parent task changed from #20896 to #20916

#2 Updated by Emmanuel IHRY about 2 years ago

  • Parent task changed from #20916 to #21104

#3 Updated by christophe guerinot about 2 years ago

  • Status changed from Nouveau to En cours

#4 Updated by Emmanuel IHRY about 2 years ago

même logique que #21024, si on fait quelque chose c'est en 2.5.2 uniquement (et 2.6.1 et 2.6.2 bien sur).

Sur le fond : je ne comprends pas à quoi sert d'être membre d'admin services-defaut-srvadm (et non pas ouadm) sur un eSBL ?

Est-ce pour accéder depuis un PC administration AD à des partages sur un eSBl avec son compte p.nom-smb ? Ne faut il pas tester le partage avec un compte classique ? Est-ce la pratique des services de tester les partages avec un compte administrateur de domaine NT ?

D'autre part, pour un domaine AD, il peut y avoir N groupes srvadm avec une logique de droits d'accès aux serveurs propre à chaque service. On ne peut donc pas automatiser ce process car on ne sait pas quel groupe srvadm pourrait avoir les droits sur 'diffusion', 'imprimantes', dossiers ...

Peut être la seule chose à faire lors de l'intégration à un domaine AD est la suppression des droits d'administration dans smb.conf du groupe administrateur qui n'existe plus ?

#5 Updated by christophe guerinot about 2 years ago

  • Status changed from En cours to Nouveau

#6 Updated by Emmanuel IHRY about 2 years ago

  • Parent task changed from #21104 to #21183

Reporté au sprint suivant car à décider en réunion début de sprint le 11/09

#7 Updated by christophe guerinot about 2 years ago

Il faut ajouter un groupe '<nom du domaine>-Defaut-SRVADM'

#8 Updated by christophe guerinot about 2 years ago

besoin:
enlever l'attribut caché pour la variable " smb_admin_users" (70_esbl.xml)

#9 Updated by christophe guerinot about 2 years ago

  • Status changed from Nouveau to En cours

#10 Updated by christophe guerinot about 2 years ago

l'idée serait de faire un petit utilitaire sous /usr/share/eole/sbin/

remettre des acls pour un groupe d'administrateurs 'local'
pour éviter d'avoir à réinstancier le serveur, ou effectuer la tâche lors du 'reconfigure'

pour seth membre il est nécessaire de définir les besoins avec l'E.N. et adapter le projet seth

#11 Updated by Emmanuel IHRY almost 2 years ago

  • Parent task changed from #21183 to #21252

#12 Updated by Emmanuel IHRY almost 2 years ago

  • Parent task changed from #21252 to #21487

#13 Updated by Emmanuel IHRY almost 2 years ago

voir aussi ce pb en lien avec la demande redmine d'assistance #58548

L'option 'home dirs' est activé dans la conf zephir
il semble que lors de la création automatique des homesdir du fait que le groupe principal est 'Utilisa_ du domaine' les permissions ne soit pas correcte.

sbin/esbl_remet_perm_individu: chgrp -R "$DOM_NOM+utilisateurs" "/bureautique/individuel/$DOM_NOM" >> $LOG 2>&1

--> Il faudrait voir si patch à faire en remplaçant $DOM_NOM+utilisateurs" par le groupe AD

#14 Updated by christophe guerinot almost 2 years ago

ce dernier point est indépendant et réglé voir https://dev-eole.ac-dijon.fr/issues/21842

#15 Updated by christophe guerinot almost 2 years ago

L'dée de la demande c'est entre autres de permettre d'administrer localement la partie gestion d'impression, pour simplifier, en plus de rendre la variable 'smb_admin_users' visible , il faut éviter qu'elle soit de type 'Multi'

Il ne restera à gérer par le service que l'adaptation des acl pour le groupe d'admins locaux.
Plutôt que de proposer un script pour cela je propose plutôt de rédiger une FAQ sur le sujet "eSbl dans un domaine AD: gestion des acl pour le groupe des admins locaux" et en profiter pour y caser une petite fenêtre sur la saisie de la variable 'smb_admin_users' pour la conf du serveur sur zephir.

Actuellement il n'y a aucune acl positionnée automatiquement sous l'arborescence 'bureautique/dossiers/'

#16 Updated by christophe guerinot almost 2 years ago

  • Status changed from En cours to Résolu
  • % Done changed from 0 to 100

#17 Updated by Emmanuel IHRY almost 2 years ago

  • Status changed from Résolu to Fermé
  • Estimated time set to 12.00 h
  • Remaining (hours) set to 0.0

Also available in: Atom PDF