Projet

Général

Profil

Evolution #5499

Monter une maquette eole-ad à Dijon

Ajouté par Joël Cuissinat il y a presque 11 ans. Mis à jour il y a plus de 10 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Version cible:
-
Début:
03/06/2013
Echéance:
07/06/2013
% réalisé:

100%

Temps estimé:
8.00 h
Temps passé:
Distribution:
EOLE 2.3

lsc.log Voir (7,93 ko) Joël Cuissinat, 06/06/2013 13:40


Demandes liées

Lié à conf-scribe - Evolution #5652: Modifications eole-fichier pour eole-ad Fermé 24/06/2013 05/07/2013
Lié à eole-ad - Evolution #5615: Paquet (optionnel) : eole-ad Fermé 24/06/2013 28/06/2013
Lié à controle-vnc - Anomalie #5653: Modifications controle-vnc pour eole-ad Fermé 24/06/2013 05/07/2013
Lié à conf-scribe - Anomalie #5703: ACL manquantes pour ESU Fermé 01/07/2013 05/07/2013

Historique

#1 Mis à jour par Joël Cuissinat il y a presque 11 ans

  • Fichier lsc.log Voir ajouté
  • Assigné à mis à Joël Cuissinat
  • % réalisé changé de 10 à 60

Maquette bien avancée ...
J'ai sauté l'étape 3.4.1 sur le chiffrement en remplaçant ldaps://srv2k3r2.domaine.lan:636 par ldap://srv2k3r2.domaine.lan mais je bloque sur l'import inital LSC (cf. log joint).

#2 Mis à jour par David Coutadeur il y a presque 11 ans

Je reporte ici les différents échanges par mail qui répondent au problème d'import initial du LSC.

L'erreur "Error in attribute conversion operation" finit par disparaître pour les "users" en commentant simultanément les 3 attributs suivants :
<string>uidNumber</string>
<string>gidNumber</string>
<string>unixHomeDirectory</string>

Et pour les groupes en commentant celui-ci :
<string>gidNumber</string>
Après ces modifications, la synchronisation ne signale plus ce problème...

Les infos POSIX sont juste des informations supplémentaires non utilisées par AD. qui ont été migrées "au cas où" un administrateur AD voudrait en faire quelque chose.
Nous sommes partis du principe qu'on avait un AD "presque vierge", avec seulement quelques services installés : domaine DNS, contrôleur de domaine,...
Si ces attributs ne sont effectivement pas standards sur AD (activation des Services For Unix : SFU ?), il suffit simplement de les désactiver par défaut en les commentant dans les sections fetchedAttributes des noeuds ldapDestinationService, à l'aide des balises <!-- commentaire -->, comme présenté ci-dessus.

#3 Mis à jour par Joël Cuissinat il y a presque 11 ans

OK pour commenter les lignes dans lsc.xml

Pour en revenir au client Scribe :

  1. mettre le nom du domaine AD dans le fichier install.ini => modification possible du template dans controle-vnc
  2. ajout du groupe "domainAdmins" (du domaine Scribe) aux administrateurs de la machine cliente => modification possible du calcul de la "constante" ESU_DOMAIN dans esu.py (controle-vnc)
  3. récupération du SID (AD) de l'utilisateur pour écriture dans la base de registre => possibilité de récupérer le SID AD de l'utilisateur ? dans "self.sid" de gest_sessions.py (controle-vnc)

#4 Mis à jour par Clement OUDOT il y a presque 11 ans

Joël Cuissinat a écrit :

  1. récupération du SID (AD) de l'utilisateur pour écriture dans la base de registre => possibilité de récupérer le SID AD de l'utilisateur ? dans "self.sid" de gest_sessions.py (controle-vnc)

Il semble possible de récupérer cette information en LDAP dans l'attribut objectSid. L'article suivant explique comment faire ça en PHP : http://l3rady.com/blog/2009/09/15/php-get-users-sid-from-active-directory-via-ldap-objectsid/

#5 Mis à jour par Joël Cuissinat il y a plus de 10 ans

  • Statut changé de Nouveau à Résolu
  • % réalisé changé de 60 à 100

NB : portage en python de la fonction de récupération du SID dans AD dans sid.py

#6 Mis à jour par Joël Cuissinat il y a plus de 10 ans

  • Statut changé de Résolu à Fermé

Formats disponibles : Atom PDF