Project

General

Profile

Evolution #5499

Monter une maquette eole-ad à Dijon

Added by Joël Cuissinat about 11 years ago. Updated over 10 years ago.

Status:
Fermé
Priority:
Normal
Assigned To:
Target version:
-
Start date:
06/03/2013
Due date:
06/07/2013
% Done:

100%

Estimated time:
8.00 h
Spent time:
Distribution:
EOLE 2.3

lsc.log View (7.93 KB) Joël Cuissinat, 06/06/2013 01:40 PM


Related issues

Related to conf-scribe - Evolution #5652: Modifications eole-fichier pour eole-ad Fermé 06/24/2013 07/05/2013
Related to eole-ad - Evolution #5615: Paquet (optionnel) : eole-ad Fermé 06/24/2013 06/28/2013
Related to controle-vnc - Anomalie #5653: Modifications controle-vnc pour eole-ad Fermé 06/24/2013 07/05/2013
Related to conf-scribe - Anomalie #5703: ACL manquantes pour ESU Fermé 07/01/2013 07/05/2013

History

#1 Updated by Joël Cuissinat about 11 years ago

  • File lsc.log View added
  • Assigned To set to Joël Cuissinat
  • % Done changed from 10 to 60

Maquette bien avancée ...
J'ai sauté l'étape 3.4.1 sur le chiffrement en remplaçant ldaps://srv2k3r2.domaine.lan:636 par ldap://srv2k3r2.domaine.lan mais je bloque sur l'import inital LSC (cf. log joint).

#2 Updated by David Coutadeur about 11 years ago

Je reporte ici les différents échanges par mail qui répondent au problème d'import initial du LSC.

L'erreur "Error in attribute conversion operation" finit par disparaître pour les "users" en commentant simultanément les 3 attributs suivants :
<string>uidNumber</string>
<string>gidNumber</string>
<string>unixHomeDirectory</string>

Et pour les groupes en commentant celui-ci :
<string>gidNumber</string>
Après ces modifications, la synchronisation ne signale plus ce problème...

Les infos POSIX sont juste des informations supplémentaires non utilisées par AD. qui ont été migrées "au cas où" un administrateur AD voudrait en faire quelque chose.
Nous sommes partis du principe qu'on avait un AD "presque vierge", avec seulement quelques services installés : domaine DNS, contrôleur de domaine,...
Si ces attributs ne sont effectivement pas standards sur AD (activation des Services For Unix : SFU ?), il suffit simplement de les désactiver par défaut en les commentant dans les sections fetchedAttributes des noeuds ldapDestinationService, à l'aide des balises <!-- commentaire -->, comme présenté ci-dessus.

#3 Updated by Joël Cuissinat about 11 years ago

OK pour commenter les lignes dans lsc.xml

Pour en revenir au client Scribe :

  1. mettre le nom du domaine AD dans le fichier install.ini => modification possible du template dans controle-vnc
  2. ajout du groupe "domainAdmins" (du domaine Scribe) aux administrateurs de la machine cliente => modification possible du calcul de la "constante" ESU_DOMAIN dans esu.py (controle-vnc)
  3. récupération du SID (AD) de l'utilisateur pour écriture dans la base de registre => possibilité de récupérer le SID AD de l'utilisateur ? dans "self.sid" de gest_sessions.py (controle-vnc)

#4 Updated by Clement OUDOT almost 11 years ago

Joël Cuissinat a écrit :

  1. récupération du SID (AD) de l'utilisateur pour écriture dans la base de registre => possibilité de récupérer le SID AD de l'utilisateur ? dans "self.sid" de gest_sessions.py (controle-vnc)

Il semble possible de récupérer cette information en LDAP dans l'attribut objectSid. L'article suivant explique comment faire ça en PHP : http://l3rady.com/blog/2009/09/15/php-get-users-sid-from-active-directory-via-ldap-objectsid/

#5 Updated by Joël Cuissinat almost 11 years ago

  • Status changed from Nouveau to Résolu
  • % Done changed from 60 to 100

NB : portage en python de la fonction de récupération du SID dans AD dans sid.py

#6 Updated by Joël Cuissinat over 10 years ago

  • Status changed from Résolu to Fermé

Also available in: Atom PDF