Archive for Administration

ZEVO : ZFS enfin sur Mac OS X

Zevo est une solution commerciale permettant la compatibilité de Mac OS X avec le fameux système de fichiers ZFS, longtemps attendu sur Mac et même annoncé par Apple avec Snow Leopard Server, mais dont l’intégration avait été abandonnée pour d’obscures raisons (sûrement des soucis de licence). Disponible en plusieurs versions dans le futur, car pour le moment seule la version Silver est disponible, les autres versions arrivant plus tard dans l’année. Attention, car cette version n’est pas annoncée comme compatible Mac OS X Server (c’est ballot quand même). De même il est impossible de booter sur un volume ZFS, donc ZEVO devra être utilisé sur un disque externe ou interne secondaire. Pas de support non plus du miroir ou du RAIDZ. Enfin, il y a un petit bug qui rend incompatible le partage des volumes ZFS via AFP sous Mac OS X 10.7.2 (c’est en cours de résolution paraît-il).

D’un autre côté, il va être intéressant de voir ce que cela va apporter en terme de compatibilités avec les logiciels, de fonctionnalités comme la gestion des versions et autres déduplications… Et le logiciel n’est pas très cher. À mettre en perspective de la perte de données que l’on peut rencontrer, et relire l’article de John Siracusa sur les problématiques posées par HFS+. Attention cependant : loin de moi l’idée de critiquer HFS+, qui rend encore beaucoup de services et fonctionne bien malgré son grand âge et a bien mieux suivi les évolutions technologiques que, au hasard, le FAT.

Je testerai Zevo dans les prochains jours, je vous dirai ce qu’il en est réellement :-)

(via MacGeneration)

Mac OS X : comment sélectionner automatiquement le PPD d’un copieur multi-fonction ?

Je déteste les copieurs multi-fonctions. Au moins, vous êtes prévenu : si vous lisez des gros mots, ça ne sera pas ma faute.

Je viens de me battre pendant quelques jours à essayer de faire fonctionner correctement un copieur BizHub 350 de Konica Minolta avec Mac OS X 10.6. Car, voyez-vous, le constructeur n’a pas encore eu l’heurt de proposer un pilote à jour pour ce système sorti depuis maintenant 14 mois… Pas grave, hein, on va se débrouiller, comme d’habitude !

Donc, après avoir trouvé avec le (très gentil) technicien de Konica le bon driver (C-401, parce qu’il y a un Fiery derrière, amusant non ?), puis sélectionné la bonne file d’attente (« print », là c’est facile, mais attention, ça dépend du copieur), il restait à trouver comment sélectionner automatiquement le bon driver. Car Mac OS X dispose d’une petite subtilité pour choisir automatiquement le driver. Il faut, dans l’ordre :

– que le copieur renvoie son nom de modèle (ModelName) à la connexion avec le Mac ;

– Qu’il existe dans un dossier PPDs (principalement dans /Library/Printers/) un PPD compressé au format .gzip et intitulé avec le ModelName du copieur.

Dans l’ensemble, ce mécanisme marche… pas trop mal. Mais que se passe-t-il si le développeur, particulièrement incompétent, fait n’importe quoi ?

Et ben on se prend bien le chou. Car il faut alors trouver le modèle renvoyé par le copieur, ce qui n’est pas totalement évident… Dans mon cas, j’avais un PPD qui s’appelait Fiery X3e 22C-KM PS v2.0 eu. Pratique non ? Le ModelName dans le PPD indiquait quand à lui Fiery X3e 22C-KM PS Color Server v2.0 eu. Problème : quelque soit le nom utilisé, impossible d’avoir le PPD sélectionné automatiquement. Ce qui veut dire que le copieur ne se présente pas comme indiqué dans le PPD.

Et bien, soit ! Analysons un peu le traffic IP entre le Mac et l’imprimante au moment de la connexion. Tapons donc dans le Terminal :

sudo tcpdump -nnnvi en0 host IP_Copieur

Ici, en0 désigne le nom BSD de votre connexion Ethernet. La plupart du temps, c’est en0 si vous êtes en Ethernet ou en1 si vous utilisez Airport. En cas de doute, vérifiez ce nom dans Informations Système > Réseau. Et vous remplacez évidemment IP_Copieur par l’adresse IP ou le nom DNS de votre copieur.

Maintenant, ouvrez la préférence Système Imprimantes et Fax, appuyez sur le bouton +, puis sur le bouton IP pour faire une configuration via IP, et tapez l’adresse du copieur, ici 192.168.1.51.

Aie… « Imprimante PostScript générique » ! Pas vraiment ce qu’on veut… Il est temps maintenant de regarder ce que ça donne du côté de tcpdump Beaucoup de bla-bla, mais une ligne qui m’intéresse :

23:15:06.354258 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 92)    192.168.1.51.161 > 192.168.1.2.59013:  { SNMPv1 { GetResponse(49) R=1536459456  .1.3.6.1.2.1.25.3.2.1.3.1= »C350″ .1.3.6.1.2.1.1.6.0= » » } }
Ne voyez-vous donc pas ? « C350 », qu’elle dit, la dame ! Il faut donc :
– Décompresser le PPD ;
– Remplacer à l’aide d’un éditeur de texte le ModelName dans le PPD par C350 ;
– Renommer ce fichier PPD décompressé en C350 ;
– Recompresser le PPD au format Gzip (avec la commande gzip, par exemple) ;
– Replacer le PPD C350.gzip dans le dossier /Bibliothèque/Printers/PPDs/Contents/Resources/
Saisissons  à nouveau l’adresse du copieur…
Victoire !!! Attention cependant à bien mettre le bon nom de file d’attente avant d’enregistrer : par exemple, pour ce modèle de copieur, c’est « print », mais sur d’autres, ça peut être « lp », ou rien, ou autre chose…
Et au passage, petite info : si vous utilisez les préférences gérées (MCX) pour appliquer des imprimantes par défaut à vos postes, méfiez-vous de ne pas laisser de caractère spécial ou accentué dans le nom de l’imprimante : vous risqueriez alors de rajouter des nouveaux doublons à chaque ouverture de session !

MacSysAdmin 2010 : une conférence pour nous, les sysadmin Mac

MacSysAdmin 2010Du 29 septembre au 1er octobre s’est tenue pour la cinquième année consécutive la conférence européenne MacSysAdmin : 3 jours durant, près de 150 administrateurs informatiques, techniciens et consultants se sont rassemblés pour assister à une quinzaine de conférences axées sur les technologies les plus sophistiquées et les plus complexes de Mac OS X et Mac OS X Server (enfin, surtout Mac OS X, soyons honnête). L’ensemble de la conférence s’est déroulée en Suède, dans la jolie ville de Göteborg. Des conférences en anglais, de nombreux participants essentiellement nordiques, et des personnalités reconnues au sein de la communauté Mac professionnelle, entre autres :
– Charles Edge, auteur de nombreux ouvrages sur le monde Mac et d’un futur guide de l’administrateur iPhone et iOS, consultant de 318 et bloggeur sur Krypted.com :
– Duncan Mc Cracken, CEO et directeur technique de Mondada en Australie ;
– Arek Dreyer, de Arek Dreyer Consulting, auteur entre autres de livres de formation officiels d’Apple ;
– Karl Kuehn, un des principaux développeurs d’InstaDMG, dont je vous parle plus loin ;
– Andrina Kely, une des chantres des technologies de scripting, consultante pour Magpies ;
– Alan Gordon, CTO de HUMAC, un Apple Premium Reselle danois ;
– Enfin, Harald Monihart d’Axel Springer AG (gros groupe de presse allemand) est venu expliquer comment sa société est passée du PC au Mac. Et ce n’était pas une migration ridicule… Pas moins de 10000 postes !

Voici donc un petit résumé de ces trois journées où j’étais présent, ainsi que mon éminent confrère Emmanuel Lauhon de NausicaMedia [1]. Et non, ça ne sera pas un compte-rendu complet (les conférences seront peut-être accessibles à tous en vidéo, mais je ne le sais pas encore), mais vraiment un aperçu pour vous donner l’eau à la bouche pour… Mais non, n’allons pas trop vite :-)

1ère journée

La première journée a commencé par une présentation rapide d’Apoïo, l’organisateur de l’événement, représenté par Tycho Sjögren. Ensuite Joao Rato, bien connu des formateurs Apple, est venu en tant que Program Manager Certification Training EMEIA (Responsable du programme Formation et Certification Europe, Moyen-Orient, Inde et Afrique) pour présenter la stratégie d’Apple pour la formation et les certifications. Le message ici a été clair : Apple veut plus de personnes certifiées, les certifications se révélant de plus en plus indispensables auprès des entreprises pour montrer son niveau de connaissance sur les technologies Apple. Un petit retour également sur l’Apple Consultant Network : ce programme a pour but de créer une communauté active de représentants d’Apple et à les faire connaître. Au passage, Gete.Net Consulting vient de rejoindre le l’ACN… Si vous cherchez un consultant en France, vous pouvez retrouver leur liste sur le site dédié.

Passons maintenant aux choses sérieuses…

The Big Picture

Charles Edge, de 318 et Krypted.com, est un consultant reconnu pour ses divers écrits. Sa conférence ne portait pas tant sur des aspects très techniques, mais plutôt sur le métier de l’administrateur Système Apple aujourd’hui, les stratégies à appliquer pour gérer son informatique plus facilement, et ce qui nous attend dans le futur (spoiler : il va falloir gérer iOS). Charles est décontracté, a beaucoup d’humour, et sa conférence était très accessible. Un bon moment, et pas mal de conseils qu’il est bon parfois de se rappeler…

Duncan Mc Cracken : la gestion des packages

Duncan est un administrateur australien super-qualifié, et blindé sur les technologies liées à la création des fameux packages d’installation, ces fameux fichiers .pkg ou .mpkg que vous trouvez souvent lorsque vous installez des logiciels sur votre Mac. Duncan est revenu sur l’intérêt des paquets, leurs méthodes de déploiement, les logiciels les plus adaptés pour créer un paquet et les pièges à éviter. Un cas pratique a été le déploiement d’Office 2008 sous la forme d’un paquet personnalisable et incluant toutes les mises à jour d’Office… Ce qui mine de rien est déjà un sacré challenge. Je n’ai pas pu m’empêcher de lui demander de montrer la même chose pour Adobe Creative Suite [2]… Et je fus eu, puisqu’évidemment, il s’était déjà penché sur la question et nous a montré l’énorme package d’installation de la CS4. Un paquet qui lui a pris 3 mois à créer. Gloups. Une conférence très vivante, technique et pleine de bonnes petites astuces.

Crashplan

Une démo technologique de Crashplan, une puissante solution de sauvegarde réseau et Internet. Un très bon outil à mettre entre toutes les mains. À noter que Crashplan existe en deux versions : l’une gratuite pour utilisation personnelle et sauvegarde sur un autre ordinateur ou sur disque externe et une option de sauvegarde payante sur Internet, ainsi que Crashplan Pro, solution payante pour la sauvegarde en entreprise de plusieurs postes.

Karl Kuehn : InstaDMG

Karl Kuehn est un des développeurs d’InstaDMG, une solution de création d’image-disque entièrement automatisée. L’idée d’InstaDMG, née sur afp548.com, était de créer une solution entièrement automatique pour créer une image-disque personnalisée et toujours à jour d’un système Mac OS X avec le moins d’étapes possibles. C’est un outil très puissant, qui peut faire gagner énormément de temps lors de la préparation d’un déploiement. La présentation était dynamique, de bonnes démos, pas mal de conseils et astuces, si bien que même si je ne m’étais intéressé à InstaDMG que de loin, je pense qu’il s’agira probablement d’un outil que je vais très vite utiliser dans mes flux de travail. Malheureusement, mauvaise nouvelle, Karl a annoncé qu’il ne pourra plus maintenir InstaDMG en raison d’un nouveau boulot… Espérons qu’une relève arrivera très vite.

Switching to Apple Technologies at Axel Springer AG

Axel Springer AG est une grosse, très grosse entreprise… Et ce sont pas moins de 10000 Mac (oui, dix-mille, je ne me suis pas trompé) qui ont remplacé ces derniers mois le parc vieillissant de PC. Il est évident qu’une migration aussi colossale ne se fait pas sans difficulté, et le retour d’expérience par un des administrateurs d’AS AG était très intéressant. Le point le plus marquant à mon goût était l’envie de proposer aux utilisateurs l’expérience Apple : l’utilisateur reçoit sa machine, prête à l’emploi, mais dans une configuration très proche de celle d’origine. Ensuite, à sa charge par exemple de configurer son compte d’utilisateur lors de la premère connexion au service Active Directory, de rentrer son adresse e-mail, configurer sa sauvegarde avec Time Machine… Comment, pas facile de convaincre de l’utilisateur de faire ses sauvegardes ? Mais si : il lui suffit d’expliquer que la configuration archi-simplifiée de Time Machine lui permet de sauvegarder toute sa bibliothèque iPhoto, et au passage ses données professionnelles… Un accent particulier a été également mis sur le besoin de laisser l’utilisateur se prendre en main au maximum, en donnant accès à un maximum d’informations simplifiées en ligne.

Mais là, je me demande si ce processus ne va pas trop loin. Car loin de moi l’idée de vouloir créer des polémiques ou de choquer mes compatriotes ou même nos camarades germaniques, mais il est assez reconnu que les Allemands sont plus débrouillards que les Français face à un ordinateur [3]. En effet, alors qu’il est reconnu que l’utilisateur germanique tentera de lire toute la documentation et de se renseigner au maximum avant de contacter le support technique, le français aura plutôt tendance à saisir immédiatement son téléphone… Il s’agit là d’une différence culturelle assez importante qui pourrait compliquer la mise en œuvre d’une solution de ce type. Mais peut-être que je me trompe, et que des entreprises françaises ont tenté ce genre de mise en place avec succès ? En tout cas, une conférence riche d’enseignements, quoique peut-être un poil trop longue.

La journée s’est terminée avec un repas dans un cabaret-spectacle très sympa, le Oakley’s. Bon miam, bons chanteurs, discussions très intéressantes, un très bon moment.

Deuxième journée

Integrating with Active Directory – Arek Dreyer

Deuxième jour, et là, pas de chance, je suis arrivé trop en retard pour suivre l’ensemble de la conférence. Juste quelques points importants à rappeler : consulter les logs en cas de problème, et ne pas penser que délier / relier le poste au service Active Directory est une solution définitive en cas de problème. En fait, c’est vrai à peu près en général pour tout problème…

Troubleshooting Directory Service – Arek Dreyer

Arek Dreyer ne s’arrête pas en si bon chemin et fait le tour des méthodes pour gérer les problèmes techniques liés aux services d’annuaire de Mac OS X. Une conférence très technique et très intéressante. Après un retour sur les mécanismes de la fenêtre d’ouverture de session de Mac OS X (loginwindow) expliquant pourquoi celle-ci peut « secouer la tête » [4], Arek est revenu sur certains points essentiels, comme la gestion des logs (essentiels aux diagnostics, on vous dit !), la gestion des préférénces centralisées (les fameux MCX), en proposant quelques sources d’informations pertinentes. Enfin, Arek est revenu sur les méthodes pour changer l’adresse IP ou le nom d’hôte d’un serveur. Et oui, c’est plus compliqué qu’on pourrait le croire.

Filewave (by Filewave)

Filewave produit une solution de déploiement de fichiers appelée Filewave (ahem), sûrement la plus puissante du marché, et multi-plate-formes. Doté d’une interface bien plus chouette que l’ancienne (Hervé, si tu me lis… ;-) ), Filewave permet autant de déployer des paquets logiciels que des fichiers éparpillés sur tout un disque voire de migrer vers un nouveau système. Parmi les forces de Filewave réside dans sa capacité à faire du rollback, c’est à dire, revenir en arrière en cas de problème, ou réinstaller automatiquement des fichiers supprimés par erreur. La possibilité de programmer un déploiement ou de répartir la charge sur plusieurs serveurs (les « boosters ») en font un outil incroyablement puissant, mais un peu cher hélas. Malgré tout, un outil à conseiller pour les déploiements importants et les administrateurs qui n’ont pas envie de trop se fatiguer… Si vous avez besoin de plus d’infos sur ce logiciel, n’hésitez pas à me contacter.

Charles Edge : Securing the Outer Rim

Un tour d’horizon sur les technologies pour améliorer la sécurité de son environnement. Charles est revenu sur des notions comme les mises à jour de sécurité, les vers, les méthodes de chiffrement de données, la signature de paquets, les méthodes de sauvegarde, et certains fichiers essentiels comme /etc/authorization, la commande umask, le sandboxing, les outils de scan et de détection d’intrusion… Deux points importants à noter :
– La sécurité est relative : chacun peut estimer avoir besoin d’un niveau de sécurité différent, et toutes les entreprises n’ont pas forcément besoin du même niveau de sécurité… même si élever le niveau de sécurité peut être assez facilement réalisé sans être trop intrusif pour l’utilisateur ;
– Ne pas penser que Mac OS X est hyper-sécurisé : même si l’histoire de Mac OS X a tendance à prouver que le système reste solide et très peu perméable aux attaques, cela ne signifie pas pour autant qu’il est invincible, la preuve avec la dernière mise à jour de sécurité [5]. Au passage, un petit sondage à main levée tend à prouver que la moitié des utilisateurs de Mac n’utilisent pas d’antivirus. Tirez-en les conclusions que vous souhaitez…

Duncan McCracken – Shared storage

J’avoue : je n’étais pas très intéressé par cette présentation, qui était grosso modo une démonstration des possibilités d’Xsan 2. Les problèmes techniques rencontrés par Duncan n’ont peut-être également pas favorisé ma concentration… Dommage.

Alan Gordon – Monitoring

La présentation a commencé par une vidéo, un sketch axé sur la prononciation suédoise et danoise, grosso-modo intraduisible et auquel j’ai rien pigé, mais vu comment ça rigolait autour de moi, je me dis que ça devait être vraiment marrant. Bref, 5 minutes plus tard, la conférence commence vraiment. Le point de vue d’Alan Gordon sur les techniques de surveillance de réseau : elles sont importantes pour améliorer le temps de réponse en cas de problème (être proactif). Par ailleurs, améliore les connaissances du réseau permet de mieux diagnostiquer les besoins technologiques, les montées en charge… S’en est suivi une démonstration plutôt bien réalisée d’Intermapper, un puissant outil de cartographie réseau.

Et après un passage assez rapide au Beer Bash organisé par Parallels (à boire et à manger dans un hôtel chicos de Göteborg), c’est tout pour le deuxième jour !

Troisième jour

Scripting – Andrina Kely

Andrina est reconnue pour ses qualités d’experte dans tout ce qui touche à l’automatisation, et c’est donc à un petit cours de script qu’elle nous a conviés. Cependant, il s’agissait plus ici d’un tour d’horizon de l’environnement des shells et de commandes utiles plutôt que de la création de vrais scripts, même si elle est revenue sur certains outils comme Automator ou les nouveaux services de Mac OS X 10.6. Dans l’ensemble, j’ai été déçu par le contenu, que je connaissais déjà quasiment par cœur, j’aurais préféré que ça soit un peu plus technique et découvrir beaucoup plus de nouvelles astuces. En fait, si vous avez acheté Snow Leopard Efficace, le chapitre sur le Terminal rassemble quasiment l’intégralité de cette présentation. Et en français en plus, eh eh.

Silly Little Troubleshooting Tools – Arek Dreyer

La dernière conférence d’Arek était axée sur les méthodes de diagnostic de problème. Sont passés en revue des méthodes pour détecter les problèmes liés aux DNS, des outils d’analyse de paquets (Wireshark entre autres), du système de fichiers (lsof, fs_usage et fseventer) ou encore plus globaux comme Instruments (l’outil de diagnostic de performances d’Apple basé sur la technologie dTrace de Sun, euh Oracle…) ou encore spindump pour comprendre d’où peut venir le fameux SBOD. Très technique, et donc très intéressant.

Parallels – Parallels Server Bare Metal

Une présentation de Parallels Server par xxxxxxxxx. Pas grand chose qui ne fut pas connu déjà publiquement, les deux versions de Parallels Server (4.0 et Bare Metal 3.°) étant déjà sur le marché depuis quelques temps, et surtout, pas de démonstration live. Petite déception pour moi.

From the Wizard’s hat – Charles Edge

La dernière conférence officielle donnée par Charles, essayait de donner d’autres trucs et astuces en tous genres. Mais j’ai trouvé que cette conférence partait un peu trop dans tous les sens, et je n’ai pas forcément bien compris où il souhaitait en venir dans sa démonstration. Et on commençait à sentir la fatigue sur le dernier jour… Peut-être la conférence de trop pour Charles ? Malgré tout, quelques bonnes informations à retenir, comme l’existence de solutions comme 318odb et sabackup pour sauvegarder facilement sa base Open Directory.

Conclusion – Tour de table

L’événement s’est conclu par une séance de questions/réponses avec tous les conférenciers et participants, moment de poser des questions plus précises et plus personnelles (par exemple, le sentiment général concernant les dossiers de départ sur une autre partition que le disque de démarrage : « ne le faites pas ». Christophe, si tu me lis…).

Ma conclusion sur MacSysAdmin

À l’exception de quelques conférences qui m’ont moins intéressé, l’ensemble était excellent, et très très bien organisé. Peu de problèmes techniques, des conférenciers bien calés techniquement, des administrateurs système super sympa, une organisation vraiment bien maîtrisée, on en redemande ! Bon, juste pas glop pour Lufthansa qui m’a fait rater ma correspondance à Munich, et donc rester une nuit de plus à l’étranger, grrrrrrr.

La question bonus : à quand la même chose en France ?

C’est bien évidemment une question que je me suis souvent posé durant l’événement, avec surtout la question subsidiaire : mais pourquoi n’y avait-il pas plus de Français présents ?

J’y vois deux raisons :
– La distance (encore que ça ne gêne pas forcément d’aller se dorer la pilule dans le sud lors des Universités d’été Apple hein) ;
– Et surtout : la langue. Car il est évident que ce type de conférences est bien moins accessible quand elle est en anglais…

Pourtant, il y a un embryon de commencement de quelque chose, puisque la première conférence MacSysBrain organisée en juillet dernier, a rencontré de bons échos.

La question qui tue, donc : seriez-vous prêt à investir de votre temps et de votre argent pour participer à un séminaire de 2 ou 3 jours mais de haut niveau technique, avec des conférences vraiment techniques ? Et sur quels sujets ?
N’hésitez pas à laisser vos commentaires, cela nous permettra de jauger la situation et de décider du futur. Si vraiment cette idée suscite de l’intérêt, alors cela motivera probablement l’équipe de MacSysBrain à proposer la même chose en français dans quelques mois…

Et pour une galerie de photos des trois jours, ça se passe par là.

  1. Traducteur officiel des Tips & Tricks de John DeTroye, ça c’est une bonne référence madame !)
  2. Souvenez-vous qu’Adobe fait les pires logiciels d’installation, donc la question n’est pas anodine
  3. Ayant travaillé un an et demi chez Apple Assistance Europe (l’ancêtre d’AppleCare) à côté de techniciens allemands, je peux vous certifier que c’est autant leur avis que le mien.
  4. Ce petit effet très rigolo a souvent un effet fascinant sur les administrateurs Windows
  5. Qui corrige une faille d’AFP où n’importe qui pourrait accéder aux données du serveur, gloups.

VPN et Open Directory : quand ça coince

Il arrive (trop régulièrement) que, pour une raison inconnue (appelons-ça un bug, c’est plus simple), des utilisateurs qui s’authentifient à l’aide d’un compte Open Directory sur un serveur VPN tournant sous Mac OS X Server ne puissent plus se connecter. Il leur est alors répondu que le serveur VPN ne répond pas correctement. Curieusement, les comptes locaux du serveur arrivent toujours à se connecter.

Si cela vous arrive, tentez tout d’abord simplement de redémarrer le service Open Directory. Pour cela, le plus simple est de cocher la case Activer SSL dans Server Admin > Open Directory > Réglages > LDAP. Enregistrez la modification, puis décochez la case et enregistrez à nouveau immédiatement.

Si cela ne suffit pas, il faudra peut-être réinitialiser un compte spécifique du serveur. Pour cela :

– Ouvrez le Gestionnaire de groupe de travail ;
– Dans le menu Présentation, cochez Afficher les fiches système ;
– Dans la liste des utilisateurs Open Directory (branche /LDAPv3/127.0.0.1), cherchez l’utilisateur de UID 57 : son nom est VPN MPPE Key Access User.

– Sélectionnez-le, et… supprimez-le.
– Stoppez le service VPN (avec Server Admin, ou en utilisant la commande sudo serveradmin stop vpn.
– Ouvrez le Terminal, et tapez la commande suivante :
sudo /usr/sbin/vpnaddkeyagentuser /LDAPv3/127.0.0.1
Validez en tapant votre mot de passe d’administrateur.
– Redémarrez le service VPN.

Si tout va bien, cela recréera la fiche VPN MPPE Key Access User et vos utilisateurs Open Directory pourront enfin se connecter en VPN.

Sous les (pa)VPN, la plage (IP)

C’est l’été, période propice aux tests… Alors voici un petit article technique, ça faisait longtemps hein ?

Depuis quelques années, les technologies VPN ont permis de faciliter l’accès à distance aux réseaux des entreprises. Petit rappel rapide de la technologie : en se connectant à l’aide d’un client VPN, un ordinateur situé à l’extérieur du réseau d’une entreprise établit un tunnel sécurisé vers un serveur VPN et ainsi se connecter au réseau de l’entreprise comme s’il s’agissait d’une connexion locale.

Dans l’absolu, cette technologie est géniale. Pour quelqu’un d’assez mobile comme moi, elle permet de me connecter aux ordinateurs des réseaux de mes clients pour corriger rapidement un dysfonctionnement ou mettre en place un service. Dans la pratique, elle est la plupart du temps aussi efficace qu’annoncée en théorie.

Il y a cependant un point parfois gênant. Quand vous configurez un routeur, il est par défaut configuré sur la plage 192.168.0.1/24 ou 192.168.1.1/24. Et on la laisse par défaut sur cette plage, sans se poser de questions. Et on monte donc son réseau sur cette plage, en se disant que ça va bien youpi. Et à mon goût, c’est une erreur.

En effet, lorsqu’un client VPN se connecte sur votre réseau, il va se voir attribué une adresse IP privée de votre plage distante. Mais que se passe-t-il si ce client est déjà connecté côté LAN sur un réseau utilisant la même plage que la plage distante ?

Voyez-vous où se trouve le problème ?

Cas concret : ma machine est sur un réseau en 192.168.1.1/24. Elle a l’adresse IP 192.168.1.2. Maintenant, je me connecte sur un réseau VPN dont la plage privée est également 192.168.1.1/24. Que se passe-t-il si, lors de la connexion distante, vous devez vous connecter vers un serveur en 192.168.1.100 ? Est-ce que votre client va devoir chercher cette adresse sur son réseau LAN, ou sur le réseau VPN ?

C’est là qu’il faut être futé. Car si on ne fait pas attention, boum, on se retrouve avec une connexion qui se fait, mais des postes distants inaccessibles. La meilleure solution est d’utiliser une plage réseau inutilisée d’habitude. Vous avez là l’embarras du choix, moi par exemple j’utilise une plage en 10.0.254.0/24 (et je vous interdis d’utiliser la même, non mais). Le tout est d’avoir une plage qui risque peu d’être utilisée en dehors de votre entreprise, 192.168.192.0, 10.0.77.0, 172.16.25.0… Vous choisissez. Mais PAS les plages par défaut !!!

Avec Mac OS X Server comme serveur VPN, il y a quelques astuces qui permettent cependant de limiter la casse sans changer tout le réseau. La première est d’ajouter dans les réglages du service VPN (avec Server Admin) la définition de votre réseau local. Ça permet au poste distant de mieux retrouver ses petits.

Ma plage est en 10.0.254.0, je l'ai donc définie comme plage privée dans mon VPN.

Une autre idée : dans les réglages du VPN côté client, vous pouvez forcer à envoyer tout le trafic réseau sur la connexion VPN distante. Attention : cela signifie que vos périphériques locaux ne fonctionneront plus…

En envoyant tout le trafic sur la connexion distante, vous augmentez les chances d'accéder à vos périphériques distants.

Voilà, vous savez tout. Mais vraiment, vraiment, si vous souhaitez limiter la casse, je vous invite à changer votre plage réseau si ce n’est pas déjà fait. Certes, cela demande une certaine planification pour les parcs importants, mais cela vous simplifiera certainement la vie dans le futur…

Comprendre et mettre en place Wide Area Bonjour

Yoann Gini a mis en ligne sur son blog quatre exceeeeeellents articles pour implémenter la technologie Wide Area Bonjour avec Mac OS X Server :

Wide Area Bonjour – Introduction et données statiques
Wide Area Bonjour – Une zone modifiable par tous
Wide Area Bonjour – Un peu plus loin dans l’enregistrement
Wide Area Bonjour – Authentification des clients par secret partagé

Et à quoi sert Wide Area Bonjour ? Principalement trois choses :
– Permettre de voir un périphérique sur le réseau dans une zone prédéfinie ;
– Rendre visible des services sur le réseau à l’aide du DNS, y compris à travers Internet ;
– Permettre à des périphériques du réseau d’ajouter leurs propres informations dans le service DNS Bonjour, fort utile là encore pour retrouver des périphériques à distance.

Une technologie magique, que Yoann a décortiqué avec talent, et vu le peu de docs, c’était pas gagné… Bravo à lui !

Supprimer les utilisateurs récalcitrants dans un maître Open Directory

Il arrive parfois que l’on n’arrive pas à supprimer certains comptes d’utilisateurs stockés dans un serveur maître OD. Une erreur est alors renvoyée :

Erreur de type eDSRecordNotFound (-14136) sur la ligne 1993 de /SourceCache/WorkgroupManager/WorkgroupManager-361.2.1/Plugins/UserAccounts/UserAdvancedPluginView.mm

J’ai rencontré ce problème plus d’une fois, et j’ai trouvé pour le moment deux solutions  :
– Basculer le mot de passe de type Open Directory vers un mot de passe chiffré, puis supprimer le compte ;
– Si cela ne suffit pas, une astuce donnée par Fabri dans un fil consacré à ce sujet sur le site de discussion d’Apple : à partir d’Admin Serveur, dans les préférences Open Directory, activez SSL, enregistrez puis désactivez immédiatement SSL et enregistrez à nouveau. Cela forcera l’ensemble des services liés à la partie LDAP du serveur à redémarrer. Vous devriez maintenant pouvoir supprimer les utilisateurs récalcitrants sans trop de difficulté.

Mac OS X Server le livre… ou pas ?

Depuis la sortie de Leopard Efficace, la question à laquelle j’ai le plus souvent eu à repondre est : « à quand un livre sur Mac OS X Server ? » Et je suis en intense réflexion sur la possibilité de rédiger un ouvrage sur ce sujet.

Mais la réponse est moins évidente que je le pensais il y a encore quelques semaines.

La première difficulté pour rédiger ce livre concerne la durée de rédaction : sachant qu’il m’a fallu presque 6 mois pour rédiger Snow Leopard Efficace, il est évident qu’un ouvrage beaucoup plus technique et complexe demandera au moins autant de temps. Et quand j’attaquerai le livre, vous attendrez au moins ce délai pour lire l’ensemble des chapitres. Pas forcément intéressant quand on sait qu’une nouvelle version de mosxs sort tous les 24 mois environ…

Deuxième point : convaincre mon éditeur de l’intérêt de la chose. Les ventes de Leopard Efficace ont été en dessous de nos attentes, et Mac OS X Server a un public plus restreint que la version client. Donc moins de ventes possibles pour beaucoup plus de travail.

Parlons aussi du tarif. Un livre de 500 pages coûte cher et le bénéfice pour l’auteur est limité. Certes la pub autour du livre et son côté carte de visite sont interessants. Mais j’aimerais être un peu plus sûr que le jeu en vaut la chandelle.

Par ailleurs mon lectorat attendra un livre technique et exhaustif. Or il n’est pas sur que certains chapitres d’un livre sur Mac OS X Server seraient indispensables au point de retarder la sortie de ce livre. En clair : je risque de perdre du temps sur des sujets finalement éloignés des attentes de mon public.

Enfin, un phénomène intéressant s’est produit avec Leopard Efficace : j’ai eu beaucoup de demandes de lecteurs qui auraient voulu télécharger le livre après l’avoir acheté. Or c’est impossible, et le tarif des livres étant très réglementé il est aussi impossible pour Eyrolles et les autres de proposer un bundle livre papier + version électronique.

Les faits étant exposés, venons aux conclusions.

Je ne ferai pas de livre complet sur Mac OS X Server. Je ne dis pas « jamais », mais pas pour Snow Leopard en tout cas.

Ce que je vais plutôt vous proposer est un ensemble de livres électroniques à télécharger sur Mac OS X Server. Ce seront des documents PDF, non protègés numériquement. J’insiste sur ce point : les fichiers ne contiendront aucun DRM. Vous pourrez les imprimer si vous le souhaitez, mais je mettrai probablement des conditions sur certaines utilisations (par exemple pour l’utilisation comme support de cours).

Je rédigerai ces chapitres et les rendrai accessibles l’un après l’autre, au fur et à mesure de leur complétion. Ainsi vous n’aurez pas à attendre un an pour avoir tous les chapitres : les plus intéressants seront mis à disposition rapidement, ceux qui demandent plus de réflexion mettront peut-être plus de temps, etc. Dans tous les cas, la rédaction ne commencera pas avant novembre, car j’ai un gros déménagement entre temps et beaucoup (trop) de travail en ce moment !

Par ailleurs, cette documentation essaiera de pallier ce qui me semble être la principale faiblesse de la documentation d’Apple : cette dernière n’est pas procédurale dans le sens où la partie réglage du poste client n’est jamais abordée de façon très concrète. Je tenterai donc de proposer les solutions aux problèmes rencontrés sur le terrain y compris cote clien.

C’est super tour ça… mais combien ça va couter ?

Comme je lai déjà dit, tout ceci va prendre du temps que je vais monnayer. Deux possibilités :
– je mets en place un système d’abonnement avec un coût minimum. Dans ce cas vous achetez un nombre défini de chapitres, disons 6 chapitres par an et pour un coup de xx euros, xx étant une somme à définir au préalable, évidemment ;

– Vous faites un paiement à l’acte. Dans ce cas vous pourrez acheter chaque chapitre pour un coût minimal défini par mes soins.

Dans les deux cas je me reserve le droit de mettre à disposition certains chapitres gratuitement, ne serait-ce que pour faire un peu de pub. Mais dans ce cas ces chapitres seront gratuits pour tous, abo ou pas. Il sera cependant probable que les chapitres les plus long seront payants et les plus courts gratuits.

Certains penseront qu’il vaudrait mieux mettre tout gratuit et proposer de faire un don. Je ne le ferai pas : le modèle du don est non rémunérateur car le public ne paye que très peu par don les contenus sur le net (j’en ai eu confirmation plus d’une fois). Ce n’est pas une question de malhonnêteté, c’est juste que… l’on n’y pense pas. Si je remplace un livre physique par un livre dématérialisé, il faut quand même que je m’assure que l’investissement en vaut la chandelle… En revanche, le modèle de l’App Store a prouvé que le micro-paiement pouvait être une solution, à condition d’être simple d’emploi.

Et maintenant, chers lecteurs de tous bords, à vous de jouer, de me donner vos opinions diverses et variées sur ce projet, de m’indiquer ce que vous aimeriez voir dans ce livre virtuel, ce qui vous inciterait à payer ou serait rédhibitoire, les conditions d’utilisation que vous aimeriez, etc. Je lirai tout attentivement, et j’en tirerai peut-être encore d’autres conclusions. En clair : lâchez vos com’s !

Universal Type Server passe la deuxième

Le logiciel de gestion de polices pour groupes de travail Universal Type Server
vient de passer en version 2. Et moi, il y a des mots qui me font briller les yeux :
– Support d’Open Directory et Active Directory ;
– Support de Kerberos.

Rien que pour ça, les administrateurs informatiques qui ont du mal à gérer leurs polices n’auront plus d’excuses à faire le grand saut.

(NB : ce billet n’est pas sponsorisé, même si Jean-Michel d’Extensis est adorable et formidablement compétent dans son domaine et qu’il aime beaucoup ce que je fais).

Des didacticiels IT pour Mac OS X Server

Apple diffuse sur son site Education (curieux choix) des didacticiels en vidéo pour appréhender certaines fonctions avancées de Mac OS X Server, comme les comptes externes, la connexion à de multiples annuaires… En anglais, mais fort sympathique, car ce sont des sujets rarement traités de façon « accessible ».