Distribution EOLE

Suite de la tâche #36118 :

Sur l’infrastructure de test etb1 en 2.9.0, un client windows ne semble pas récupérer l’heure du contrôleur de domaine non plus (serveur temporel : local CMOS clock).

Il y a un dernier problème, un problème de routage. Dans le conteneur addc du scribe (contrairement à l'AmonEcole), la route par défaut est celle qui passe par l'IP publique de l'AD. Les requêtes NTP partent donc avec l'IP de l'adresse publique de l'AD. Aucune règle de routage coté scribe ou amon ne vient faire de NAT ensuite. Résultat : on sort sur internet avec une ip qui est interne et donc on ne reçoit jamais de réponse. Alors qu'en sortant avec l'ip du scribe, pas de soucis, l'Amon est configuré pour laisser sortir le scribe (et faire du NAT au passage).

CreoleSet ad_local_default_bridge_via_internal_ip oui
reconfigure

résout bien le problème (les clients prennent l'heure de l'AD).
Une autre solution, peut-être, serait de faire du SNAT sur ce qui sort sur l'iface du scribe avec l'IP de l'AD et le port 123 en destination. Mais un essai avec

iptables -t nat -A POSTROUTING --out enp2s0 -s 10.1.3.11/32 -p udp --dport 123 -j SNAT --to-source 10.1.3.5

n'a pas fonctionné, sur l'amon les paquets arrivent encore avec l'ip de l'AD. Peut-être parce que l'interface eth0 du conteneur est un bridge sur enp2s0.

En revanche, sur l'Amon, faire du SNAT avec toutes les requêtes sortantes sur le port 123, ça fonctionne.

iptables -A POSTROUTING -t nat --out enp2s0 -p udp --dport 123 -j SNAT --to-source 192.168.0.31

Doit-on ajouter une règle similaire dans tous les Amon ?

À faire¶

- vérifier ce qu'il en est en 2.9.0
- ajouter la règle iptables dans le conteneur de façon en s'assurant qu'elle ne saute pas (cas ad_local_default_bridge_via_internal_ip=non uniquement)
- faire le point sur les éventuels tests existants (jenkins/squash) et les adapter/en ajouter si nécessaire