Contactez nous

Dépôts CentOS 7 : signature des RPM et RPM créant le dépôt

Venez ici parlez de votre expérience avec Samba4, votre avis et vos envies.
Bonjour,

J’ai quelques remarques constructives ;-) à faire concernant le dépôt Samba pour CentOS 7 :
  • pourquoi ne pas signer les RPM du dépôt ? Vous utilisez Jenkins, un greffon permet de le faire automatiquement ;
  • un RPM permettant de créer le dépôt avec sa clef GPG (une fois le premier point réglé) est une pratique courante et fort pratique, cela permettrait de créer le dépôt avec un simple :

    Code : Tout sélectionner

    rpm -ivh --nosignature http://samba.tranquil.it/centos7/tis-samba-release-1-1.el7.centos.x86_64.rpm
    (voir le RPM source de celui qui permet le création du dépôt elrepo, par exemple) ;
  • le lien stable dans http://samba.tranquil.it/centos7/ pointe sur samba-4.7.6 et non samba-4.8.0.
Librement,

Davy Defaud
Bonjour Davy,
davy a écrit :
15 avril 2018, 19:15
J’ai quelques remarques constructives ;-) à faire concernant le dépôt Samba pour CentOS 7 :
  • pourquoi ne pas signer les RPM du dépôt ? Vous utilisez Jenkins, un greffon permet de le faire automatiquement ;
Plus par manque de temps qu'autre chose. Le wiki est basé sur les dépôts Debian, on les a donc proprement signé pour le bon déroulement des tutos. Les RPM sont une copie de ceux que l'on utilise chez nos clients.
davy a écrit :
15 avril 2018, 19:15
[*] un RPM permettant de créer le dépôt avec sa clef GPG (une fois le premier point réglé) est une pratique courante et fort pratique, cela permettrait de créer le dépôt avec un simple :

Code : Tout sélectionner

rpm -ivh --nosignature http://samba.tranquil.it/centos7/tis-samba-release-1-1.el7.centos.x86_64.rpm
(voir le RPM source de celui qui permet le création du dépôt elrepo, par exemple) ;
[*] le lien stable dans http://samba.tranquil.it/centos7/ pointe sur samba-4.7.6 et non samba-4.8.0.
[/list]
C'est volontaire. Il y a un bug pour les upgrade "in place" avec la 4.8.0 qui va "manger" votre base LDB, cf mon mail https://lists.samba.org/archive/samba/2 ... 14858.html. On a pas envi d'encourager les gens à se tirer une balle dans le pied. On devrait pouvoir changer le lien quand la version 4.8.1 sortira.

Cordialement,

Denis
Salut Denis,

Je m’étonnais de ne pas avoir eu de réponse à mon message. En effet, j’attendais une notification par courriel, mais je viens de m’apercevoir qu’il faut préciser que l’on souhaite en recevoir une… :oops:

Donc, merci de ta réponse. J’ai vu que le dépôt RPM de tranquil.it pour Samba 4.8.0 avait été rebaptisé « DO_NOT_USE_samba-4.8.0 », je me suis douté qu’il y avait poisson sous caillou. La 4.8.2 est sortie, je suppose (en fait, je l’espère ;)) que des paquets RPM seront très vite disponibles. J’ai besoin de mettre en place une relation d’approbation entre un nouveau domaine Samba et un AD existant. En fait, j’aurais préféré créer un sous-domaine Samba enfant du domaine AD, mais l’auteur du code m’a confirmé que ça n’était hélas pas encore pris en charge :
https://lists.samba.org/archive/samba/2 ... 15381.html

En attendant, le Samba 4.8.0 me cause bien du souci, et le problème que tu as relevé n’y est peut-être pas pour rien. Donc, j’ose te demander un « ETA » pour des paquets RPM de la version 4.8.2. Je n’ai aucune crainte quant à sa stabilité, puisque je suis déjà dans une situation instable et que c’est un AD Samba tout neuf que je peux encore bidouiller. Essuyer les plâtres ne me dérange donc pas, en l’occurrence.

Cordialement,

Davy
davy a écrit :
18 mai 2018, 18:06
En fait, j’aurais préféré créer un sous-domaine Samba enfant du domaine AD, mais l’auteur du code m’a confirmé que ça n’était hélas pas encore pris en charge :
https://lists.samba.org/archive/samba/2 ... 15381.html
Et Davy, le support RODC comme Andrew le décrit a été financé par tes impôts, avec de l'argent du Ministère de la Culture qui ont 170 sites et 8000 agents en Samba-AD, c'est un usage super cool de l'argent collectif, et le plus fun, c'est que ça marche.

D'ailleurs, une grosse partie des améliorations en 4.8 et 4.9 est sponsorisée par le Ministère de l'Environnement et le Ministère des Finances, en complément d'autres sponsors que nous connaissons mais que nous ne pouvons pas dévoiler.

Les relations d'approbation arrivent, et comme Andrew le précise, même quand elles existeront c'est mieux de faire un seul domaine dans tous les cas, plus sûr et plus facile à gérer.

Cordialement.
Vincent CARDON a écrit :
22 mai 2018, 21:47
Et Davy, le support RODC comme Andrew le décrit a été financé par tes impôts, avec de l'argent du Ministère de la Culture qui ont 170 sites et 8000 agents en Samba-AD, c'est un usage super cool de l'argent collectif, et le plus fun, c'est que ça marche.

D'ailleurs, une grosse partie des améliorations en 4.8 et 4.9 est sponsorisée par le Ministère de l'Environnement et le Ministère des Finances, en complément d'autres sponsors que nous connaissons mais que nous ne pouvons pas dévoiler.
Salut Vincent,

Je suis ravi que nos impôts soient utilisés pour le développement de Samba, au bénéfice de tous. J’aurais aimé que l’action gouvernementale soit plus coordonnée, car les ministères la Défense et de l’Éducation nationale sont bien moins vertueux, hélas ! Et ce sont pourtant les plus stratégiques, l’un concernant notre sécurité et notre indépendance, l’autre les premiers apprentissages qui engendreront les mauvais réflexes…

Les relations d'approbation arrivent, et comme Andrew le précise, même quand elles existeront c'est mieux de faire un seul domaine dans tous les cas, plus sûr et plus facile à gérer.
Je dois avouer que je préfère l’idée d’avoir des domaines enfants avec leurs propres GPO et autres paramètres liés aux sites géographiques, tout en ayant une authentification centralisée des utilisateurs sur l’AD central. Mais, bon, en l’état actuel des choses, j’ai peur de n’avoir guère le choix.

Concernant le dépôt RPM de Tranquil IT, Denis n’avait pas l’air d’être « hostile » à mes suggestions (signature des RPM et création d’un RPM permettant de créer automatiquement le dépôt). Comptez-vous le faire ou bien considérez-vous que ça n’en vaut pas la peine ? Enfin, dernière question, comme un dépôt 4.8.0 avait été créé très tôt, je m’attendais à voir arriver un 4.8.2 tout aussi tôt. Est-ce en cours ou pas pour toute suite ?

Cordialement,

Davy
Hello,

I saw you were talking about Samba 4.8 and I wondered if it was ok if I made a request about your RPM packages. (And I hope this is ok that it is in English.)

One of the great new features of Samba 4.8 is that it allows Samba to act as a Time Machine Backup server for Apple devices via the new samba "fruity" extensions. However, these extensions are not currently enabled in your RPM packages (at least not in the 4.8 DO_NOT_USE versions you posted). Would you be willing to make a slight modification to the Samba .spec file you use in order to enable these extensions? Around line 827, add these lines:

--enable-spotlight \
--enable-avahi \

Thank you for your consideration.

...Bruce
davy a écrit :
23 mai 2018, 01:19
J’aurais aimé que l’action gouvernementale soit plus coordonnée, car les ministères la Défense et de l’Éducation nationale sont bien moins vertueux, hélas ! Et ce sont pourtant les plus stratégiques, l’un concernant notre sécurité et notre indépendance, l’autre les premiers apprentissages qui engendreront les mauvais réflexes…
Avec WAPT qui a passé la certification de sécurité, on comprend certaines choses mieux. La Défense est plus ou moins obligée de prendre des produits qui sont certifiés Critères Communs, et actuellement c'est Windows pour l'AD. Cependant, des personnes s'interrogent et elles commencent à s'intéresser à Samba-AD, notamment parmi des équipementiers militaires.

Samba est en train de subir actuellement une Certification de Sécurité de Premier Niveau avec l'ANSSI, une première étape vers les CC.

Enfin, ne t'inquiète pas plus que nécessaire, le rôle de l'Education Nationale est uniquement de fournir des enseignants. Ce sont les Conseils Régionaux qui équipent les Lycées, les Conseils Départementaux qui équipent les collèges et les mairies qui équipes les écoles primaires. Eux, ils savent souvent que des véritables opportunités existent avec le libre. Le lobbying de MS reste très fort et très performant. Parfois même notre meilleure proposition de service ne gagnera pas face à une remise de 97% sur le prix des licences.

Cordialement.

Vincent