Archive for Leopard

Qu’est-ce qu’un bon mot de passe ?

Un ami m’a raconté l’histoire suivante il y a quelques jours :

Il y a quelques semaines, je me suis connecté sur le réseau d’un hôtel où je résidais pour quelques nuits. Dans la soirée, un détail dans la barre latérale du Finder m’a fait sourciller : un autre portable Apple était connecté sur le même réseau local que moi. Et selon la règle établie par l’assistant de Mac OS X, il s’appelait « Ordinateur de XXX », XXX étant le prénom de son utilisateur. Plus intéressant encore, le compte était accessible en partage de fichiers. Et en tapant « XXX » (le nom de l’utilisateur) comme identifiant et en ne tapant aucun mot de passe… Je pouvais accéder au disque complet de l’utilisateur. Pas de méthode de crack violent : il m’a juste fallu une minute de déduction, et tenter le coup pour réussir à rentrer sur cet ordinateur.

Cette petite histoire montre donc qu’il est indispensable de disposer d’un bon mot de passe sécurisé pour sécuriser son ordinateur et tous les différents services auxquels nous avons besoin d’accéder en ligne.1

Ce qui est étonnant, c’est de voir à quel point il est difficile pour chacun de choisir un bon mot de passe. Or, le couple identifiant/mot de passe est la seule façon de garantir de façon fiable votre identité auprès d’un système informatique (un sujet que j’ai déjà décrit dans Snow Leopard Efficace) et de vous protéger de certains intrusions. Et malheureusement, pour trop d’utilisateurs le mot de passe est vécu comme un calvaire, et donc par défaut trop simple… quand il n’est pas juste complètement supprimé !  Ou pire encore, noté sur  un post-it posé sur l’écran…

Je me suis donc posé la question ces jours-ci : qu’est qu’un bon mot de passe ? D’habitude, quand on demande à un expert, un bon mot de passe doit répondre aux règles suivantes :

  • Au moins 8 caractères ;
  • Mélanger majuscules et minuscules ;
  • Contenir des chiffres et des lettres ;
  • Intégrer au moins un caractère spécial (? ; ! ‘ § & etc.) ;
  • Ne pas être un mot du dictionnaire.
  • Ne pas être évident. Éviter par exemple sa date de naissance, le nom de son épouse, etc.

Je suis plutôt d’accord avec ces règles, même si les mots de passe sont de plus en plus rapides à cracker en mode force brute, la puissance de calcul des ordinateurs aidant. Mais personnellement, je rajouterais deux règles  :

  • Le mot de passe doit être mémorisable. Il existe plein de méthodes pour cela : l’acrostiche est par exemple une méthode couramment utilisée et qui peut être considérée comme efficace. Si votre chanson préférée est « Hélène, je m’appelle Hélène », vous pouvez très bien partir sur « LNJeuMapLLN! ». OK, il manque des chiffres, mais ça peut être amélioré, et côté sécurité, c’est vraiment pas mauvais. Remplacez par exemple le e par un 3, et ça ira encore mieux. Vous pouvez aussi utiliser un peu de leet speak pour améliorer tout ça…
  • Malheureusement, ce mot de passe a un défaut à mon goût. Il est peut-être mémorisable, mais il ne « coule » pas sous les doigts. Je veux dire par là que sa frappe est compliquée, et du coup vous êtes ralenti lorsque vous devez le taper. Il faut que votre mot de passe soit fluide. Il faut que vous puissez le taper sans avoir à regarder le clavier et sans avoir pour autant à vous faire des crampes aux doigts. C’est un des points les plus délicats, mais une fois que vous aurez trouvé ce mot de passe, vous n’aurez plus forcément envie d’en changer. Et vous serez satisfait de bénéficier d’un peu plus de sécurité.

Ce dernier point est bien plus crucial que l’on pourrait le croire. J’ai déjà eu des mots de passe qui répondaient à toutes les règles précédentes, mais dont la frappe me semblait finalement « douloureuse » ou trop compliquée, je perdais trop de temps à les taper. Dans ce cas, c’étaient de mauvais mots de passe. Si il vous faut plus de 3 secondes pour taper votre mot de passe, c’est qu’il est mauvais. Je tape certes assez vite 2, mais vous devriez pouvoir trouver un mot de passe à votre convenance et que vous serez capable de taper rapidement.

N’hésitez pas non plus à tester vos mots de passe avec l’aide de l’Assistant mot de passe:

  1. Ouvrez la préférence Système Comptes
  2. Cliquez sur Modifier le mot de passe
  3. Cliquez sur la clé en face de Nouveau mot de passe.

L’assistant pourra vous proposer des suggestions ou tester votre mot de passe actuel afin d’en vérifier son niveau de sécurité.

Pensez donc à changer votre mot de passe s’il n’est pas sécurisé.

(Et si le sujet vous passionne, vous pouvez lire l’article de Yoann Gini, qui a eu l’idée d’écrire sur le même sujet et de diffuser son article juste quelques heures avant moi. Argh).

  1. Accessoirement, cette histoire montre également à quel point Bonjour est parfois trop bavard et combien il peut être utile d’utiliser un firewall efficace ou un outil de type Little Snitch…
  2. Environ 55 mots/minute, excusez du peu.

Supprimer les utilisateurs récalcitrants dans un maître Open Directory

Il arrive parfois que l’on n’arrive pas à supprimer certains comptes d’utilisateurs stockés dans un serveur maître OD. Une erreur est alors renvoyée :

Erreur de type eDSRecordNotFound (-14136) sur la ligne 1993 de /SourceCache/WorkgroupManager/WorkgroupManager-361.2.1/Plugins/UserAccounts/UserAdvancedPluginView.mm

J’ai rencontré ce problème plus d’une fois, et j’ai trouvé pour le moment deux solutions  :
– Basculer le mot de passe de type Open Directory vers un mot de passe chiffré, puis supprimer le compte ;
– Si cela ne suffit pas, une astuce donnée par Fabri dans un fil consacré à ce sujet sur le site de discussion d’Apple : à partir d’Admin Serveur, dans les préférences Open Directory, activez SSL, enregistrez puis désactivez immédiatement SSL et enregistrez à nouveau. Cela forcera l’ensemble des services liés à la partie LDAP du serveur à redémarrer. Vous devriez maintenant pouvoir supprimer les utilisateurs récalcitrants sans trop de difficulté.

Mac OS X Server 10.5 : refus des connexions FTP

J’ai rencontré un bug bizarre ces jours-ci : un utilisateur n’arrive plus à se connecter sur le service FTP de Mac OS X Server, d’un coup, sans aucune raison. Les logs renvoient une erreur comme celle-ci :
ftpd[95816]: ACCESS DENIED (not in any class)

Solution :

      Stoppez le service FTP ;

          Ouvrez le dossier /Bibliothèque/FTPServer/Configuration ;
          Remplacez le fichier ftpaccess par une copie propre du même fichier, en provenance d’un serveur clean (vous pouvez aussi tenter de le remplacer par le fichier ftpaccess.default mais ça n’a pas marché pour moi) ;
          Relancez le service.

Si tout va bien, la connexion se fait à nouveau.

Cinquante astuces en stock… Option : le livre bonus !

Il y a quelques années de ça (huit ans si mes souvenirs sont bons), j’avais balancé sur le ton de la rigolade à Alexandre Lenoir (depuis devenu rédac’chef du célèbre et superbe magazine iCreate) : « ah mais tu sais que je pourrais t’écrire un article rien que sur la touche Option ! » Manque de bol (ou coup de chance), lui l’a pris sérieusement, ce qui m’a permis de poser pour la première fois mon nom dans un magazine informatique, plus précisément dans un numéro hors série d’Univers Mac, désormais devenu collector.

Presque dix ans plus tard, j’ai décidé de remettre le couvert, mais tout seul… et c’est mon petit cadeau de début d’année (ou de Noël en retard, comme vous le préférez) : un petit livre bonus qui porte uniquement sur la touche magique du Mac, à savoir… la touche Option ! Dans ce dossier, vous trouverez très exactement cinquante astuces exploitant cette touche, de la plus futile à la plus incroyablement utile. Et je parie que vous ne connaîtrez sûrement pas les cinquante… :-)

Cliquez ici pour télécharger ce document PDF de 6,2 Mo, et n’hésitez pas à laisser vos commentaires sous ce billet ou par e-mail.

Bonne lecture, et bonne découverte des pouvoirs de la touche Option !

DXM Expo, les 8 et 9 octobre, à Cesson-Sévigné… I’ll be there for youuuuuu

DXM, Apple Premium Reseller à Cesson-Sévigné (juste à côté de Rennes) organise sa DXM Expo les 8 et 9 octobre. Au programme, présentation des produits, technologies et logiciels Apple et formations gratuites durant deux jours !

J’aurai donc le plaisir d’assurer la présentation Mac@Work le 8 octobre à 16h, durant laquelle je vous démontrerai la puissance des technologies de Mac OS X et des logiciels iLife et iWork en entreprise, avec une partie sur Mac OS X Server et les outils de virtualisation. J’assurerai aussi des formations sur l’utilisation de Leopard, iLife et iWork les mercredi et jeudi à 11h. Et le reste du temps, je serai dans la boutique si vous avez des questions à poser, ou des exemplaires de Leopard Efficace à faire dédicacer :-)

Amis du Mac et de la Bretagne, soyez donc au rendez-vous la semaine prochaine… Et n’oubliez pas de vous inscrire sur le site de DXM au préalable !

10.5.5 dispo

Ben tout est dans le titre hein.

Les infos sur le client , et sur le serveur ici.

Et oooooooooh, surprise, on peut activer Kerberos pour le protocole PPTP désormais. C’est beau.

Régler les problèmes de permission avec AFP sous Leopard Server

Pour la rentrée, je vous propose un article plus long que la moyenne, et qui aborde les problématiques de gestion des permissions sous AFP. Car sous Mac OS X Server 10.5, j’ai constaté que de nombreux administrateurs (moi y compris, avant de me pencher vraiment sur le sujet il y a quelques mois de cela) ont eu du mal avec le fonctionnement des permissions. Cas classique :

      • Un utilisateur A appartenant à un groupe (appelons-le Travail) crée un fichier Toto.doc.
      • Un administrateur a créé un point de partage « Boulot » sur un serveur AFP sous 10.5. Il lui a attribué les autorisations POSIX suivantes :

    1. Possesseur : lui-même, en lecture/écriture ;
    2. Groupe : Travail, en lecture et écriture ;
    3. Autres : lecture seule
      • L’utilisateur A copie son fichier toto.doc sur le point de partage, via AFP ;
      • L’utilisateur B, appartenant aussi au groupe Travail, essaie de modifier le fichier toto.doc.

Et là… impossible ! Le système lui indique qu’il n’a pas les autorisations suffisantes pour modifier le fichier. Pourtant, en toute logique, le fichier devrait avoir des permissions en lecture/écriture pour les membres du groupe travail… sauf que ce n’est pas le cas, le groupe attribué au fichier ne disposant que de la lecture seule. Comment est-ce possible ? Pourquoi les autorisations sont attribuées de façon incorrecte au fichier ?

On pourrait croire qu’il s’agit d’un bug. Pourtant, le comportement est exactement celui attendu. Le problème est plus insidieux, et la faute en incombe aux… ACLs. Mais l’explication est particulièrement tordue, et pour la comprendre, il faut remonter de quelques années en arrière…

Avant Mac OS X Server 10.2.4

Avant l’arrivée de Jaguar Server dans sa version 10.2.4, le comportement du partage de fichier respectait les autorisations Posix. Cela signifie que les autorisations d’un fichier copié sur un serveur étaient les mêmes que celles du fichier source, c’est à dire que le masque appliqué est identique entre le fichier source et la copie sur le serveur. En pratique, un fichier dont le groupe est en lecture seule sur la machine cliente restera en lecture seule s’il est copié sur le serveur.

Mais cela posait de nombreux problèmes pour les utilisateurs et les administrateurs informatiques, car cela empêchait le transfert des informations entre utilisateurs. Pourquoi ? Parce que le masque appliqué par défaut à tous les fichiers créés sur Mac OS X est 022, ce qui fait qu’un fichier est toujours en lecture/écriture pour son possesseur, mais en lecture seule pour son groupe.

Quand on copie un fichier sur le serveur, c’est ce masque qui est conservé. Si chaque fichier généré sous Mac OS X se voyait attribué un masque en lecture/écriture pour le groupe (002), il n’y aurait aucun souci, le masque étant transféré sur le serveur, et les autorisations seraient alors correctes.

De Mac OS X 10.2.4 à 10.4 : l’héritage des permissions

Comme modifier le comportement de Mac OS X impliquait des soucis de sécurité un peu plus larges, Apple a donc modifié le client et le service AFP en 10.2.4 pour permettre l’héritage des permissions, comme expliqué dans l’article 107623 de la Knowledge Base. Ainsi, un fichier récupère les permissions d’accès du groupe associé au dossier où il est placé. Il suffit de cocher la case Recevoir les autorisations des parents, et hop, on est tranquille.

Autorisations des parents

C’est ce que l’on attend en fait la plupart du temps, et c’était d’ailleurs le comportement de ce bon vieil AppleShare IP ou du partage de fichiers personnel sous Mac OS 9. Et finalement, ça marchait très bien. Sauf qu’une des grosses nouveautés de Mac OS X Server 10.4 allait imposer un nouveau changement, très attendu mais assez pernicieux.

Mac OS X Server 10.4 : bienvenue aux ACL !
Les ACL (Access Control Lists, appelées aussi listes de contrôle d’accès ou LCA) ont apporté une grande souplesse d’utilisation dans la gestion des permissions. Cependant, sous Mac OS X Server 10.4, il faut explicitement activer les ACL pour chaque volume.

Si les ACL ne sont pas actives, les permissions d’un partage peuvent toujours être attribuées façon POSIX ou via l’héritage des permissions. Mais si elles sont actives, l’héritage ne fonctionne plus, d’ailleurs la case ad hoc est désactivée. Et devinez quoi ? Dans ce cas, c’est l’attribution des autorisations façon POSIX qui prend le relais par défaut ! Il faut alors éventuellement rajouter des autorisations via des ACL pour que les différents utilisateurs puissent modifier le fichier.

Mac OS X Server 10.5 : ACL obligatoires

Après toute cette description, vous comprendrez peut-être ce qui se passe sous Mac OS X Server 10.5 : les ACL sont systématiquement actives par défaut et ne peuvent pas être désactivées (il n’y a aucune case qui le permette dans Server Admin ou ailleurs). Ce qui implique que par défaut, c’est toujours le comportement POSIX qui prime. Et du coup, il est relativement simple de corriger le souci et permettre à nos deux utilisateurs de s’échanger leurs fichiers : il suffit de rajouter le groupe en lecture/écriture… sous forme d’entrée dans les ACL. C’est à dire, dans Server Admin, de glisser le groupe Travail dans la ligne LCA, et non pas la ligne Groupe en POSIX, et lui attribuer les autorisations en lecture/écriture.

Autorisations sous 10.5

Mais pourquoi tant de confusion ? D’abord, l’interface de Server Admin a souffert durant quelques versions d’un oubli gênant : jusqu’à Mac OS X Server 10.5.2 inclus, la case d’héritage des permissions du parent était toujours visible dans l’interface graphique, quand bien même elle n’avait aucun effet. Cela a été corrigé en 10.5.3, les options d’héritage ayant disparu :

Depuis Mac OS X Server 10.5.3, l\'option d\'héritage des permissions a disparu
La faute aussi à la documentation de Mac OS X Server, qui manque probablement de clarté quand à la différence entre la gestion POSIX et les ACL, et leur influence sur un modèle de partage de fichiers assez courant. Une grande partie des problèmes vient également du masque par défaut appliqué aux fichiers sous Mac OS X : si chaque groupe avait par défaut l’accès en lecture et écriture sur tout nouveau fichier généré, on aurait beaucoup moins de soucis…

Enfin, une partie de ce comportement vient de la difficulté à concevoir un modèle où la sécurité, les origines UNIX de Mac OS X et les besoins des utilisateurs d’un système graphique puissent coexister paisiblement. Et finalement, quand on comprend le fonctionnement de Mac OS X, on comprend aussi que l’héritage des permissions était un patch qu’il était nécessaire de supprimer, les ACL étant gérées au niveau du noyau de Mac OS X et non pas du seul client AFP.

Vous savez donc désormais comment agir : ne vous occupez plus spécialement des autorisations POSIX, et concentrez-vous sur les ACL. Vous pourrez ainsi gérer vos autorisations du partage de fichiers plus efficacement et de façon bien plus souple. Au passage, lisez la documentation de Mac OS X Server 10.5, en particulier celle-ci (PDF, 1,4 Mo).

N.B. : ceux qui ont installé leur serveur 10.5 en mode standard (et non pas avancé) n’ont même pas souffert de ce problème. Pourquoi ? Parce que dans l’interface des Préférences Serveur, la notion de POSIX n’est pas représentée : en réalité, tout est géré via les ACL…

N.B.2 : une autre solution aurait pu consister à modifier le masque global appliqué aux fichiers, mais il faut le faire aussi sur chaque poste client… Voir ce document pour la méthode.

Time Machine, à l’épreuve du feu

Ce soir, le disque dur du MacBook de mon épouse a décidé de rendre l’âme. Comme ça, sans prévenir, enfin presque : quelques secondes après qu’elle m’ait demandé « c’est quoi ce bruit là », la machine a figé, et au reboot, plus rien de disponible… Argh. Un disque dur qui lâche d’un coup, ce n’est jamais rigolo. Et cela aurait pu être très, très problématique…

Sauf qu’il y a quelques mois, j’avais créé un partage pour Time Machine sur mon serveur multimédia, qui sert aussi pour EyeTV ou comme console de jeu occasionnelle. Il tourne sous Mac OS X Server 10.5, et ce dernier permet de transformer un point de partage comme point de sauvegarde pour Time Machine.

Coup de bol, j’avais aussi un disque dur de secours qui pouvait rentrer dans le Macbook. Après avoir démarré sur un DvD d’installation, j’ai donc utilisé la fonction de restauration d’une sauvegarde Time Machine. Magie d’Apple, le DVD m’a permis d’accéder au serveur à distance, et de restaurer une sauvegarde datant de moins d’une heure avant le crash… Et après environ une heure trente de restauration, le Macbook était fin prêt à fonctionner. Certes, il a fallu encore attendre un peu pour la réindexation des messages dans Mail, mais le Macbook était à nouveau fonctionnel à 100% en moins de trois heures après le crash, changement du disque dur compris…

Conclusion : Time Machine est aussi efficace pour restaurer une machine complète que pour récupérer quelques fichiers dans une sauvegarde. Et ça, c’est quand même plutôt très rassurant ! Et accessoirement, ce billet est surtout là pour vous rappeler que la défaillance, mécanique ou logicielle, peut surgir absolument n’importe quand. Pensez donc à vous préparer dès aujourd’hui à toute panne ! Et accessoirement, avoir un disque de rab’ c’est finalement pas si mal que ça…

Un guide de configuration Mac OS X Server 10.5

Petit communiqué :

Les écoles du Canton de Vaud, en Suisse, ont la chance d’être équipées
en matériel Apple pour l’informatique pédagogique. Cela signifie qu’un
certain nombre de serveurs sous OSX Server est en fonction dans le
canton. La plupart du temps, ces serveurs sont configurés et
administrés par des enseignants passionnés.

Afin de les aider, l’association responsable.info publie un pas-à-pas
de configuration de Mac OSX Server adapté aux besoins pédagogiques.

Accueil – Serveur

Je viens d’aller voir tout ça, c’est très, très bien. À lire !

Astuce : déplier toute la fenêtre d’infos en un clic

Savez-vous comment passer en un seul clic de ça :

à ça :

Et vice-versa ?

Facile : cliquez sur un des triangles de déploiement/repliement et enfoncez la touche Option en même temps.

Et hop, c’est ça l’informagique.