Tâche #36065
Scénario #35653: script de migration28 sur infra scribe2.7 +seth2.8
Créer un test Jenkins (migration 2.7 → 2.8)
100%
Révisions associées
Migration Eole-AD : ajout du test de sauvegarde 2.7.2
Ref: #36065
Migration Eole-AD : le test doit être en 2.7.2 ;)
Ref: #36065
Migration Eole-AD : ajout du test de restauration 2.8
Ref: #36065
Migration Eole-AD : hack certificat car Seth réinstallé !
Ref: #36065
Migration Eole-AD : Création élève 3a.01 et adaptation des tests
Ref: #36065
Migration Eole-AD : $CONFIGURATION était bien utilisé ;)
Ref: #36065
Test Eole-AD : pas de restauration du certificat Seth avant instance
Ref: #36065
Test Eole-AD : pré-création du compte "3a.01" sur Seth
Ref: #36065
Test Eole-AD : fix paswords & tests
Ref: #36065
Test Eole-AD : fix tests
Ref: #36065
logparser : erreur setfacl passée en warning pour test migration
Ref: #36065
Historique
#1 Mis à jour par Joël Cuissinat il y a plus d'un an
- Statut changé de Nouveau à En cours
#2 Mis à jour par Joël Cuissinat il y a plus d'un an
Le test est un peu biaisé puisque le serveur Seth est réinstallé également !
À la réflexion, c'est peut-être pas plus mal car lorsque l'on instancie le nouveau Scribe à blanc, tous les comptes et groupes de l'AD du Seth sont supprimés (hors admin/eleves/professeurs/administratifs puis re-créés par la restauration !
#3 Mis à jour par Joël Cuissinat il y a plus d'un an
La dernière erreur kinit reste à vérifier :
* Vérification authentification AD après migration pour 3a.01
Password for 3a.01@DOMPEDAGO.ETB1.LAN:
kinit: KDC has no support for encryption type while getting initial credentials
Sur un ScribeAD 2.8.1, on obtient :
root@addc:~# ldbsearch -H /var/lib/samba/private/sam.ldb '(objectclass=computer)' msDS-SupportedEncryptionTypes |grep -v 'ref:' |grep -v '^# ' |grep -v '^$' dn: CN=ADDC,OU=Domain Controllers,DC=domscribe,DC=ac-test,DC=fr msDS-SupportedEncryptionTypes: 28 dn: CN=SCRIBE,CN=Computers,DC=domscribe,DC=ac-test,DC=fr msDS-SupportedEncryptionTypes: 28
Idem sur le Seth1 du test :
root@seth1:~# ldbsearch -H /var/lib/samba/private/sam.ldb '(objectclass=computer)' msDS-SupportedEncryptionTypes |grep -v 'ref:' |grep -v '^# ' |grep -v '^$' dn: CN=SCRIBE,CN=Computers,DC=dompedago,DC=etb1,DC=lan msDS-SupportedEncryptionTypes: 28 dn: CN=SETH1,OU=Domain Controllers,DC=dompedago,DC=etb1,DC=lan msDS-SupportedEncryptionTypes: 28
La redirection SASL OpenLDAP est bien en place :
root@scribe:~# ldapsearch -x -D cn=reader,o=gouv,c=fr -w `cat /root/.reader` uid=3a.01 userpassword | grep userPassword | cut -d ' ' -f2 | base64 -d && echo
{SASL}3a.01@dompedago.etb1.lan
#4 Mis à jour par Joël Cuissinat il y a plus d'un an
Au final, l'erreur kinit: KDC has no support for encryption type while getting initial credentials apparaît car l'utilisateur n'a PAS de mot de passe !
root@seth1:~# ldbsearch -H /var/lib/samba/private/sam.ldb cn=3a.01 unicodepwd | grep unicodePwd root@seth1:~# ldbsearch -H /var/lib/samba/private/sam.ldb cn=admin unicodepwd | grep unicodePwd unicodePwd:: ytESYnD8z0Y6z1bM+5apqA==
Pour monter le test de restauration en m'inspirant des autres, j'ai du réinstaller le Seth du coup, LSC peuple bien l'AD mais sans les mots de passe...
Ceci dit, je pense que ça prouve que la procédure actuelle de restauration proposée avec migrationSh est mauvaise pour EoleAD à cause de #36065#note-2 :\
#5 Mis à jour par Joël Cuissinat il y a plus d'un an
La suggestion de Benjamin dans #35689#note-3 est une piste à exploiter :
Le certificat pour LSC n’est pas injecté avant la restauration de l’annuaire local finalement (éviter la synchronisation de l’annuaire vide).
#6 Mis à jour par Joël Cuissinat il y a plus d'un an
- Statut changé de En cours à Fermé
- % réalisé changé de 0 à 100
- Restant à faire (heures) mis à 0.0
Test passant si on ne restaure pas le certificat du Seth avant l'instance du Scribe 2.8 !
#7 Mis à jour par Joël Cuissinat il y a plus d'un an
- Sujet changé de Créer un test Jenkins à Créer un test Jenkins (migration 2.7 → 2.8)
- Temps estimé mis à 0.00 h