Project

General

Profile

Tâche #35632

Distribution EOLE - Scénario #35571: Traitement express MEN fermés 31/10/2023

Seth 2.9.0 échec instanciation en RODC

Added by Kevin KERFYSER 6 months ago. Updated 4 months ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Start date:
10/26/2023
Due date:
% Done:

100%

Remaining (hours):
0.0

Description

Bonjour,

Nous rencontrons une erreur lors de l'instanciation d'un module Seth 2.9.0 additionnel en RODC, l'utilisateur gpo du serveur ne se créé pas ce qui a pour effet d'annuler la population de l'AD.

Test avec un Seth 2.9.0 en additionnel non RODC et aucun problème.

Merci

erreur_ad.PNG View (30.4 KB) Kevin KERFYSER, 10/26/2023 06:19 PM


Related issues

Related to Distribution EOLE - Scénario #30168: Gérer les comptes de service samba et leurs mots de passe Automatiquement Terminé (Sprint) 05/25/2020 06/12/2020

Associated revisions

Revision 0ee2f7aa (diff)
Added by Joël Cuissinat 6 months ago

fix instance/reconfigure in RODC mode

Ref: #35632

History

#1 Updated by Joël Cuissinat 6 months ago

  • Description updated (diff)

À ma connaissance la fonctionnalité Seth RODC n'a jamais été validée en production.

On reproduit assez facilement une erreur semblable sur nos maquettes :
  • aca.dc1-2.9.0-instance-default
  • aca.dc2-2.9.0-Daily + configeol + CreoleSet ad_ro_dc oui + instance
run-parts: executing /usr/share/eole/postservice/25-manage-samba instance
Initialisation DC Secondaire
Generation de la clef SSH pour les echanges entre DC
Generating public/private ed25519 key pair.
Your identification has been saved in /root/.ssh/eole
Your public key has been saved in /root/.ssh/eole.pub

[ ... ]

Samba started
Execute Synchro Sysvol
==========================================================================================================
2023-10-27 13:31:10
doSynchro ==> 1
==========================================================================================================
Install SysVol Replication Workaround 
ERROR(ldb): Failed to add user 'gpo-dc2':  - Invalid LDB reply type 1
ERROR: Failed to add members ['gpo-dc2'] to group "GpoAdmins" - Unable to find "gpo-dc2". Operation cancelled.
Restart Systemd service samba-ad-dc                                                                                                                                                                        [  OK  ]
run-parts: executing /usr/share/eole/postservice/26-actions instance
Dans le cas d'un RODC, il ne faut clairement pas exécuter les instructions suivantes présentes dans /usr/lib/eole/samba4.sh :
  • update_system_account "gpo-${AD_HOST_NAME}"
  • samba-tool group addmembers "GpoAdmins" "gpo-${AD_HOST_NAME}"

Il y a également la fonction create_gpo_account qui est appelée au reconfigure !

=> tester avec la condition if [[ -z "${AD_SERVER_MODE}" ]];

#2 Updated by Joël Cuissinat 6 months ago

Ces lignes ont été ajoutées en 2.7.2 (cf. #30168) à une époque où nos collègues du MTE avaient déjà abandonné leurs expérimentations RODC.

#3 Updated by Joël Cuissinat 6 months ago

  • Related to Scénario #30168: Gérer les comptes de service samba et leurs mots de passe Automatiquement added

#4 Updated by Kevin KERFYSER 6 months ago

Bonjour,

Merci de la prise en compte rapide.

L'idée autour de se serveur est de l'exposer sur notre DMZ pour permettre la connexion à distance des sites en passant par un sphynx mais également d'utiliser la fonction LDAPS pour les applications que nous utilisons en réduisant les chances de compromissions externes de notre AD.

#5 Updated by Joël Cuissinat 6 months ago

  • Tracker changed from Demande to Tâche
  • Status changed from Nouveau to En cours
  • Assigned To set to Joël Cuissinat
  • Parent task set to #34668

#6 Updated by Joël Cuissinat 6 months ago

Paquets candidats :
  • eole-ad-dc 2.8.0-84
  • eole-ad-dc 2.8.1-144
  • eole-ad-dc 2.9.0-34

#7 Updated by Joël Cuissinat 6 months ago

  • Status changed from En cours to Résolu
  • % Done changed from 0 to 100

#8 Updated by Joël Cuissinat 4 months ago

  • Status changed from Résolu to Fermé
  • Parent task changed from #34668 to #35571
  • Remaining (hours) set to 0.0

Also available in: Atom PDF