Project

General

Profile

Scénario #25880

HosusAD/ScribeAD 2.7.0 : Le groupe DomainAdmins doit avoir tous les droits (ACL) sur les partages

Added by Fabrice Barconnière over 2 years ago. Updated over 2 years ago.

Status:
Terminé (Sprint)
Priority:
Normal
Assigned To:
-
Category:
-
Start date:
11/16/2018
Due date:
12/07/2018
% Done:

0%

Spent time:
Story points:
5.0
Velocity based estimate:
Release:
Release relationship:
Auto

Description

Demande initiale

Correction SCRIBE-T02-001 - Importation des éleves et des responsables légaux - ETB1 (2.7.0-rc1)

https://dev-eole.ac-dijon.fr/squash/executions/8219

  • Pas N°11

Impossible de monter le partage profs-c32

root@scribe:~# mount -t cifs //$(CreoleGet container_ip_fichier)/profs-c32 /tmp/smb -o username=admin,password=eole
mount error(5): Input/output error
Refer to the mount.cifs(8) manual page (e.g. man mount.cifs)

À faire

  • Traquer tous les scripts des création de partage pour positionner ces ACLs :
    group:DomainAdmins:rwx
    default:group:DomainAdmins:rwx
    
  • Prévoir l'ajout de ces ACLs à la migration 2.6 vers 2.7

Critères d'acceptation

  • Tous les partages doivent avoir les ACL :
    group:DomainAdmins:rwx
    default:group:DomainAdmins:rwx
    

Related issues

Related to Distribution EOLE - Tâche #26223: Horus/scribe AD : le maître, serveur Samba membre du conteneur AD, fait des appels aux commandes smbldap-XXX pour la création/modification/suppression d'utilisateur/groupes/... Fermé 03/04/2019 03/22/2019

Associated revisions

Revision fa8033b3 (diff)
Added by Fabrice Barconnière over 2 years ago

Including SMB/NT parameter was a bad thing. Passwords were base on LDAP

ref #25877
ref #25880

History

#1 Updated by Scrum Master over 2 years ago

à re-passer pour voir

#2 Updated by Laurent Flori over 2 years ago

Effectivement, on ne peut pas monter le répertoire.
L'erreur

mount error(5): Input/output error

vient de ce qu'il manque l'option vers=1.0 à la commande mount.cifs.
Mais l'ajouter ne suffit pas car l'utilisateur prof.c32 ne fait pas partie du groupe profs-c32.
On ne peut pas ajouter le prof.c32 au groupe profs-c32.

#3 Updated by Laurent Flori over 2 years ago

  • Status changed from Nouveau to En cours

#4 Updated by Laurent Flori over 2 years ago

  • Assigned To set to Laurent Flori

#5 Updated by Laurent Flori over 2 years ago

Si on utilise l'utilisateur prof.6a on peut l'ajouter au groupe profs-6a et monter le répertoire profs-6a et on obtient bien la sortie attendue:

mount -t cifs //$(CreoleGet container_ip_fichier)/profs-6a /tmp/smb -o username=prof.6a,password=Eole12345! -o vers=1.0
root@scribe:~# ls /tmp/smb/
classe  eleves

Ca ne fonctionne pas avec l'utilisateur prof.c32 parce qu'il n'existe pas dans l'annuaire
Pour l'utilisateur admin, si on l'ajoute au groupe profs-c32 on peut monter le répertoire:
 smbldap-groupmod -m admin profs-c32

#6 Updated by Scrum Master over 2 years ago

  • Status changed from En cours to Résolu

#7 Updated by Gérald Schwartzmann over 2 years ago

https://dev-eole.ac-dijon.fr/squash/executions/8567

Les droits ne sont pas placés pour le groupe professeurs

/etc/samba/conf.d/eole.conf

[profs-c32]
        inherit permissions = yes
        inherit acls = yes
        read only = no
        preserve case = yes
        create mask = 644
        directory mask = 755
        Write list = @profs-c32
        Valid Users = @profs-c32 @DomainAdmins
        path = /home/workgroups/profs-c32
        comment = profs-c32
        Volume = profs-c32
getfacl /home/workgroups/profs-c32

getfacl : suppression du premier « / » des noms de chemins absolus
# file: home/workgroups/profs-c31
# owner: root
# group: root
user::rwx
group::---
group:profs-c31:rwx
mask::rwx
other::---
default:user::rwx
default:group::---
default:group:profs-c31:rwx
default:mask::rwx
default:other::---
setfacl -m g:professeurs:r-x /home/workgroups/profs-c32/
getfacl /home/workgroups/profs-c32

getfacl : suppression du premier « / » des noms de chemins absolus
# file: home/workgroups/profs-c32
# owner: root
# group: root
user::rwx
group::---
group:professeurs:r-x
group:profs-c32:rwx
mask::rwx
other::---
default:user::rwx
default:group::---
default:group:profs-c32:rwx
default:mask::rwx
default:other::---

#8 Updated by Gérald Schwartzmann over 2 years ago

  • Status changed from Résolu to En cours

#9 Updated by Fabrice Barconnière over 2 years ago

La fin de l'histoire est qu'il faut positionner des ACLs sur tous les partages avec tous les droits pour le groupe DomainAdmins

#10 Updated by Fabrice Barconnière over 2 years ago

  • Description updated (diff)
  • Assigned To deleted (Laurent Flori)
  • Parent task deleted (#25665)

#11 Updated by Fabrice Barconnière over 2 years ago

  • Tracker changed from Tâche to Scénario
  • Due date set to 12/07/2018
  • Release set to EOLE 2.7.0

#12 Updated by Fabrice Barconnière over 2 years ago

  • Subject changed from Correction SCRIBE-T02-001 - Importation des éleves et des responsables légaux - ETB1 (2.7.0-rc1) to HosusAD/ScribeAD/Seth 2.7.0 : Le groupe DomainAdmins doit avoir tous les droits (ACL) sur les partages
  • Description updated (diff)

#13 Updated by Fabrice Barconnière over 2 years ago

  • Subject changed from HosusAD/ScribeAD/Seth 2.7.0 : Le groupe DomainAdmins doit avoir tous les droits (ACL) sur les partages to HosusAD/ScribeAD 2.7.0 : Le groupe DomainAdmins doit avoir tous les droits (ACL) sur les partages
  • Description updated (diff)

#14 Updated by Fabrice Barconnière over 2 years ago

  • Status changed from En cours to Nouveau
  • Story points set to 5.0

#15 Updated by Fabrice Barconnière over 2 years ago

  • Status changed from Nouveau to Terminé (Sprint)

Mauvais diagnostic. En fait, le Samba membre utilisait toujours l'annuaire ldap comme base de mot de passe.
Ce problème sera résolu par #25877

#16 Updated by Fabrice Barconnière about 2 years ago

  • Related to Tâche #26223: Horus/scribe AD : le maître, serveur Samba membre du conteneur AD, fait des appels aux commandes smbldap-XXX pour la création/modification/suppression d'utilisateur/groupes/... added

#17 Updated by Joël Cuissinat 5 months ago

  • Related to Scénario #30843: Droits utilisateur admin apres passage scribe-ad 2.6 added

#18 Updated by Joël Cuissinat 3 months ago

  • Related to deleted (Scénario #30843: Droits utilisateur admin apres passage scribe-ad 2.6)

Also available in: Atom PDF