Distribution EOLE

même logique que #21024, si on fait quelque chose c'est en 2.5.2 uniquement (et 2.6.1 et 2.6.2 bien sur).

Sur le fond : je ne comprends pas à quoi sert d'être membre d'admin services-defaut-srvadm (et non pas ouadm) sur un eSBL ?

Est-ce pour accéder depuis un PC administration AD à des partages sur un eSBl avec son compte p.nom-smb ? Ne faut il pas tester le partage avec un compte classique ? Est-ce la pratique des services de tester les partages avec un compte administrateur de domaine NT ?

D'autre part, pour un domaine AD, il peut y avoir N groupes srvadm avec une logique de droits d'accès aux serveurs propre à chaque service. On ne peut donc pas automatiser ce process car on ne sait pas quel groupe srvadm pourrait avoir les droits sur 'diffusion', 'imprimantes', dossiers ...

Peut être la seule chose à faire lors de l'intégration à un domaine AD est la suppression des droits d'administration dans smb.conf du groupe administrateur qui n'existe plus ?

Il faut ajouter un groupe '<nom du domaine>-Defaut-SRVADM'

besoin:
enlever l'attribut caché pour la variable " smb_admin_users" (70_esbl.xml)

l'idée serait de faire un petit utilitaire sous /usr/share/eole/sbin/

remettre des acls pour un groupe d'administrateurs 'local'
pour éviter d'avoir à réinstancier le serveur, ou effectuer la tâche lors du 'reconfigure'

pour seth membre il est nécessaire de définir les besoins avec l'E.N. et adapter le projet seth

voir aussi ce pb en lien avec la demande redmine d'assistance #58548

L'option 'home dirs' est activé dans la conf zephir
il semble que lors de la création automatique des homesdir du fait que le groupe principal est 'Utilisa_ du domaine' les permissions ne soit pas correcte.

sbin/esbl_remet_perm_individu: chgrp -R "$DOM_NOM+utilisateurs" "/bureautique/individuel/$DOM_NOM" >> $LOG 2>&1

--> Il faudrait voir si patch à faire en remplaçant $DOM_NOM+utilisateurs" par le groupe AD

ce dernier point est indépendant et réglé voir https://dev-eole.ac-dijon.fr/issues/21842

L'dée de la demande c'est entre autres de permettre d'administrer localement la partie gestion d'impression, pour simplifier, en plus de rendre la variable 'smb_admin_users' visible , il faut éviter qu'elle soit de type 'Multi'

Il ne restera à gérer par le service que l'adaptation des acl pour le groupe d'admins locaux.
Plutôt que de proposer un script pour cela je propose plutôt de rédiger une FAQ sur le sujet "eSbl dans un domaine AD: gestion des acl pour le groupe des admins locaux" et en profiter pour y caser une petite fenêtre sur la saisie de la variable 'smb_admin_users' pour la conf du serveur sur zephir.

Actuellement il n'y a aucune acl positionnée automatiquement sous l'arborescence 'bureautique/dossiers/'