Archive for mise à jour

High Sierra : comment s’y préparer en entreprise (et pas que)

High Sierra, alias macOS 10.13, approche à grands pas, et à ce titre, Apple a diffusé plusieurs articles techniques en amont, tous résumés dans cet article. Intéressons-nous y donc de plus près…

Abandon des certificats signés SHA-1 utilisés avec le protocole TLS.

Cela peut avoir un impact si vous utilisez d’anciens certificats sur d’anciennes versions de Mac OS X Server, par exemple. Notez cependant cette phrase pas anodine en italique dans le document :

Les certificats CA racine signés SHA-1, les certificats SHA-1 distribués par des entreprises et les certificats SHA-1 installés par les utilisateurs ne sont pas concernés par cette modification.

Cela n’est donc surtout vrai que si, par exemple, vous hébergez un site web sur un serveur, site protégé par TLS avec un certificat considéré désormais comme non fiable. Depuis macOS 10.12.4 et iOS 10, Safari affichait une alerte en cas de certificat non fiable, mais désormais, la connexion est carrément refusée. À vous de mettre à jour votre certificat sur votre site. Ça ne sera pas un mal dans tous les cas…

Et dans tous les cas, même pour vos certificats d’entreprise, ou autres, il vaut mieux basculer vers des certificats signés de façon plus sûre.

Les certificats utilisant des clés RSA d’une taille inférieure à 2048 bits à travers toutes les connexionsMacos aofs maj TLS ne seront plus considérées comme sûres.

Là encore, il s’agit d’une amélioration de la sécurité au vu des évolutions technologiques. Apple pousse la sécurité vers le haut, et préfère abandonner des technologies considérées comme obsolètes côté sécurité. Si vous êtes administrateur informatique, attention donc si vous utilisez par exemple des services comme des VPN utilisant des clés RSA un peu trop faibles.

Un exemple de clé RSA non valide sous macOS High Sierra (chiffrement 1024 bits).

TLS 1.2 par défaut pour les configuration EAP-TLS

Important surtout si vous utilisez une authentification de type entreprise exploitant le protocole EAP-TLS pour vos connexions Wi-Fi ou Ethernet. Vos points d’accès devront désormais utiliser TLS 1.2 et non plus 1.0. Dans le cas où vos points d’accès ne peuvent être mis à jour, vous devrez appliquer un profil de configuration sur vos Mac pour forcer l’utilisation de TLS 1.0.

APFS : tout ce qui va mettre le souk dans vos systèmes informatiques

J’ai déjà longuement abordé APFS, je ne reviendrai pas dessus, même si il va falloir éduquer quelque peu vos utilisateurs (« je comprends pas pourquoi désormais quand je duplique des fichiers de 10 Go, la copie se fait toute seule et la taille du disque ne bouge pas… »). Apple y a carrément dédié un article spécifique, pas encore disponible en VF (mais le lien que j’ai utilisé devrait pointer sur la VF dès qu’elle sera disponible).

Il va cependant falloir noter certains points TRÈS importants lors de la migration vers High Sierra.

  • High Sierra va automatiquement convertir tous vos disques de type flash (internes ?) vers APFS, et à priori, on ne peut pas l’éviter. Or, si vous avez des disques partagés via le protocole AFP, ceux-ci ne pourront plus être partagés en utilisant ce protocole (obsolète). Ça peut être gênant si vous avez des anciens clients sous Mac OS X, ou des logiciels qui supportent mal le SMB (<Tousse> Adobe CC <Tousse tousse>), dans ce cas vous ne pourrez plus vous connecter en forçant AFP plutôt que SMB.En clair, si vous avez des serveurs tournant sous des versions récentes de macOS, évitez le passage sous High Sierra si vous avez encore besoin du protocole AFP.
Macos aofs maj

Si vous voyez cette case sur un disque dur classique, vous ne la verrez pas lors de l’installation de la version finale de macOS High Sierra sur un disque flash.

  • Notez que le passage ne sera automatique que pour les disques intégralement Flash, donc pas de migration si vous utilisez un Fusion Drive ou un disque dur classique.
  • Si vous utilisez Time Machine via AFP, vous devrez basculer la connexion en SMB. Du coup, vos postes clients devront peut-être être reconfigurés pour être à nouveau sauvegardés via Time Machine.
  • Les versions de macOS antérieures à macOS 10.12.6 ne pourront pas lire ou écrire sur un disque APFS. Si vous devez assurer l’échange de fichiers avec des disques externes vers d’anciens systèmes, ne les convertissez pas vers APFS. Utilisez Mac OS Étendu pour l’échange vers des Mac, ou exFAT si vous devez également transférer des fichiers vers des PC (évitez FAT-32 (pas de gestion des gros fichiers) et NTFS (pas géré nativement par macOS en écriture)) (et oui je sais il y a trop de parenthèses dans cette phrase).
  • Boot Camp est supporté si vous mettez à jour votre Mac vers macOS Sierra, SAUF si le volume Boot Camp est d’une taille supérieure à 3 To ET réside sur un disque Fusion Drive. Que se passe-t-il si vous avez un volume Boot Camp de plus de 3 To sur un Fusion Drive ? Ben… on ne sait pas. Mystère total. Est-ce que le volume devient non bootable ? Est-ce qu’il faut recréer la partition Boot Camp intégralement ? Au cas où, vous pouvez quand même réduire le volume avec Camptune X (testé avec succès chez moi).
  • Dans tous les cas, Boot Camp ne gèrera pas APFS, en tout cas pour le moment. Cependant, la phrase d’Apple est ambiguë : Boot Camp doesn’t support Read/Write to APFS-formatted Mac volumes. Est-ce que ça veut dire que Boot Camp supportera au moins la lecture des volumes APFS ? SI vous avez la réponse à cette question, ça m’intéresse :)
  • Et évidemment, il faudra mettre à jour la totalité de vos utilitaires de gestion/réparation de disque avec des versions compatible APFS. Mais ça, vous vous en doutiez, n’est-ce pas.

Du côté des services d’annuaires…

Pas grand chose à signaler de ce côté. Ah si, quand même un truc important :

  • Les postes sous High Sierra ne pourront plus être reliés à un annuaire Active Directory dont le niveau de fonctionnalités est inférieur à 2008. Exit Windows Server 2003. Mais de toute façon, en tant que bon sysadmin, ça fait longtemps que vous avez dégagé vos serveurs 2003, n’est-ce pas (enfin je l’espère pour vous).
  • Y’a un deuxième point à savoir, si vous faites partie des 2 administrateurs à encore utiliser NIS, vous ne pourrez pas intégrer vos postes High Sierra. Je sais, c’est un coup dur.

Extensions de kernel… UAKEL bordel ! 1

Du côté des extensions de noyau, ou kernel pour les intimes, il y a énormément de changements. Tout d’abord, rappelons ce qu’est une extension de noyau. Il s’agit d’un fichier doté d’une extension .kext qui ajoute des fonctionnalités au micro-noyau de macOS. La plupart du temps, les extensions de noyau sont plutôt des pilotes matériels, des protocoles réseau, des systèmes de fichiers… Dans l’absolu, Apple invite fortement les développeurs à se passer des extensions de noyau pour éviter qu’un crash d’une extension provoque la chute du système (et donc un reboot obligatoire). Et il est rare qu’un logiciel ait vraiment besoin de charger des extensions de noyau. Mais cela arrive !

Avant High Sierra, une application pouvait installer une extension de kernel et se lancer tranquillou billou, sans que l’utilisateur en soit averti. Mais désormais, le comportement de macOS va changer. Un nouveau mécanisme appelé User Approved Kernel Extension Loading (UAKEL, c’est moche) va désormais inviter l’utilisateur à valider les applications à utiliser une extension de noyau à se charger.

Alors, j’avoue que quelque part, ça me laisse perplexe. En effet, dans cela fait seize ans que macOS charge des extensions d’applications tierce sans qu’Apple s’en émeuve, et d’un coup, ça devient un méga-problème. C’est très bien qu’Apple veuille que les utilisateurs sachent que des trucs se passent sur leur Mac, mais d’un autre côté, ça implique que l’utilisateur comprenne ce qu’est une extension de noyau, et aille valider dans un dialogue s’il souhaite ou non utiliser une extension sans comprendre vraiment à quoi ça sert. Mouaaaaaaaaaais. D’autant plus que l’utilisateur n’aura pas besoin d’être administrateur pour activer l’extension. Ce qui, à mon goût, tue un peu l’intérêt du truc. Cela me fait furieusement penser au concept de l’UAC sous Windows… Erik Gomez a longuement écrit (en anglais) sur ce qu’il appelle Kextpocalypse. Heureusement, Apple a modifié le comportement de l’UAKEL pour rendre la gestion bien plus simple que prévue :

  • UAKEL ne s’activera que pour les nouvelles extensions installées après ou pendant l’installation de High Sierra. Si vous avez déjà des applications installées qui utilisaient des extensions, elles seront automatiquement validées. Ça devrait déjà éliminer un paquet de problèmes.
  • Si une extension remplace une extension déjà validée, elle ne demandera pas la validation.
  • Surtout, si vos Mac sont enrôlés dans une solution de gestion de mobilité (MDM), telle Jamf Pro, Jamf Now, Airwatch, Filewave, Profile Manager… UAKEL sera automatiquement désactivé. Plus de crainte de centaines d’appels affolés après une migration en masse vers High Sierra !
  • Par ailleurs, Apple précise que vous pourrez désactiver UAKEL à la main sur vos postes à l’aide de la commande spctl en démarrant sur la partition Recovery (processus lourd). Et réinitialiser la NVRAM réactivera automatiquement  l’UAKEL.

Mettre à jour vers macOS High Sierra… ou déployer une image de High Sierra ?

Depuis l’arrivée du programme DEP pour le déploiement des appareils, la question de déployer un système en s’appuyant sur une image-disque avec un outil comme Deploy Studio ou autre se pose de plus en plus. Dans le cas du passage à High Sierra, la question ne se pose même pas :

Vous DEVREZ déployer au moins une fois High Sierra via l’application de mise à jour.

L’explication est simple : lors du déploiement de High Sierra, une mise à jour de firmware sera également automatiquement installée par le logiciel d’installation de macOS, comme l’explique cet article. Impossible également de mettre à jour un système sur un disque externe ou sur un Mac en mode disque cible.

Apple a d’ailleurs ajouté de façon très claire et bien visible dans son article :

Apple doesn’t recommend or support monolithic system imaging when upgrading or updating macOS.

C’est clair non ?
 
CEPENDANT.

Vous pourrez toujours faire une image d’un Mac après qu’il ait été migré en High Sierra une première fois, puis déployer l’image SI CES MACS ONT ÉTÉ DÉJÀ MIS À JOUR UNE PREMIÈRE FOIS VERS HIGH SIERRA.

En clair : si vous avez déjà mis une première fois vos Mac à jour vers High Sierra, rien ne devrait vous empêcher de déployer une image monolithique par la suite, une fois que le firmware a été déployé. Mais ça ne reste pas une solution que je recommande, pour plein de raisons qu’il serait trop long de lister ici.

Par contre, imaginons que vous commandiez un lot d’iMac ces jours-ci auprès d’Apple, et que ces iMac vous soient livrés avec macOS 10.12 Sierra. Là, vous vous dites, « les machines sont neuves, j’attends High Sierra et je les déploie avec un nouveau master tout beau tout propre vers High Sierra avant de les déployer, ni vu ni connu j’t’embrouille ». Ben là, c’est complètement non supporté et vous risquez de rencontrer des problèmes (kernel panics, chute de cheveux, nouvelle émission d’Hanouna, que sais-je). Donc, vous devrez passer par la case mise à jour de logiciels :

  • Par la partition Recovery avec Option + Commande + R (si vous utilisez Cmd + R, vous réinstalleriez la version de l’OS fournie avec votre Mac !) ;
  • En lançant l’installation de macOS depuis le Finder ;
  • Avec un disque d’installation  de macOS créé avec la commande createinstallmedia OU DiskMaker X (Et oui, cela signifie aussi que Diskmaker X sera sûrement d’actualité pour High Sierra ;-) ) ;
  • En créant une image d’installation avec l’utilitaire d’image-système et en la déployant avec la fonction Netinstall de macOS Server.

Le plus simple sera sûrement de déployer l’application High Sierra (à l’aide d’un logiciel d’installation customisé) en exploitant votre solution de déploiement habituelle, Jamf, Filewave, Munki, etc).

Conclusion

Ne migrez pas tout de suite vers High Sierra dès sa sortie. Si vous le pouvez, bloquez la mise à jour autant que possible, et attendez la version .2 ou .3 pour la déployer, comme d’habitude. N’oubliez pas que vous pouvez simplement désactiver le téléchargement des mises à jour en arrière-plan. Jamf Pro permet aussi de bloquer le lancement des applications

Et surtout, testez, testez et testez. La meilleure solution pour les déploiements de ce type consiste souvent à déterminer deux ou trois utilisateurs avancés/passionnés capables de vous faire des vrais retours d’expérience, capables d’assumer les conséquences d’une migration anticipée vers un nouvel OS, de vous indiquer clairement les soucis rencontrés.

N’hésitez pas à renvoyer à Apple vos rapports de bugs. Oui, ils sont bien lus et ils sont pris en compte, surtout si ils sont nombreux. Mais cela pourrait être l’objet d’un autre article.

Et dans tous les cas, enjoy macOS High Sierra !

  1. Je me rends compte que je n’ai jamais fait de vanne sur Kernel et Lion, alors que les Kernel de Lion, ça aurait pu faire un super gag gastronomique. C’est triste.

Lion DiskMaker 2.0.1 disponible

Une petite mise à jour pour Lion DiskMaker, avec une version 2.0.1 qui corrige surtout un gros bug en fin de création de disque et l’ajout de l’icône Retina ainsi qu’une traduction en portugais brésilien (merci à Paulo Neto !).

Comme d’habitude, ça se télécharge sur la page de Lion DiskMaker.

Il reste encore quelques bugs, en particulier avec la gravure de DVD (TRÈS énervante à gérer) et Spotlight (voir la FAQ pour plus d’infos). Ils seront corrigés dans la prochaine version.

Par ailleurs, certaines traductions sont un peu en retard par rapport à la version courante. Cela sera prochainement corrigé.

Lion DiskMaker 2.0.1 is available

This small update brings the following enhancements :

  • Workaround for « No Matching processes belonging to you were fond »  error.
  • Retina icon.
  • Brazilian Portuguese translation, thanks to Paulo Neto. 

You can grab it here, as usual.

So far, there are some outstanding bugs, especially with disk burning which is VERY annoying to manage, and some issues with Spotlight. These will be corrected soon.

There is also some « lag » regarding translations, leading to some incomplete translations. This will be fixed with the next version.

Lion DiskMaker 1.5 now available !

This is the biggest update of Lion DiskMaker yet. I even thought of calling it v2. Oh boy… You can download it here.

So, what’s new ?

Full localization support ! No more different versions for US or French, now the script will use the proper localization automatically according to your’s system language ! And if you wish to translate it in another language, please get in touch with me, the job will be VERY easy to do (juste a mere file to translate).

Icons in dialog messages. Because, well… I just could.

Full support  for InstallESD.dmg files, in case you used this one instead.

Smarter choice of eligible disk. Lion DiskMaker  will try to detect if you use a small (less than 8,5 GB), removable drive, and will propose to use it automatically. You’ll still be able to change it though.

Utilities folder is now automatically copied at the root of the Install disc, so that you won’t have to search in the subfolders for these tools (especially the Firmware Password Utility…). And yup, its name is automatically localized.

– When you open the disk, it will look beautiful now ! You will find the « Install Mac OS X Lion » application, Utilities folder, properly aligned with the neat background . Now THAT looks cool ! And it has a bonus effect: it appears in the Startup Manager, so you will know you have to choose this one.

– And because we thought we could make it even cooler… A nice custom icon for your disk ! Won’t work for DVDs, sorry !

– I also worked-around an issue with Lion DiskMaker failing when a Mac has two DVD drives or more connected to it. Thus, now the first drive considered will always be the first internal one. If you want to use another, just change the needed parameter in the script by opening it with AppleScript Editor.

– And a few small issues fixed.

Even if you used Lion DiskMaker before, I suggest you give this version a try if you want to make a 4 GB thumb drive. It’s just as cool as getting Apple’s Lion USB drive. And just a lot less expensive :)

As usual, Lion DiskMaker is donationware: feel free to use it, but you’re more than welcome if you wish to make a donation :-)

Lion DiskMaker… now in English !

Due to popular demand, I created an English version of Lion DiskMaker. The new 1.3 version is available here on the new English Lion DiskMaker page here.

People of the world, rejoice ! And maybe it will push me to blog in English too, in the future…

Et pour les francophones : la V1.3 corrige également quelques bugs, elle sera dispo en fin de journée. Ouf !

Nouvel iMac : le SSD qui fait mal [MàJ]

J’attendais avec impatience l’annonce des nouveaux iMac, non pas pour moi, mais pour certains de mes clients qui sont pas loin de renouveller leur parc. Dans l’ensemble, cette génération est bien plus intéressante que l’ancienne, mais je suis un peu déçu par un point : l’option SSD.

En effet, autant sur le MacBook Air, Apple est allé à fond sur le SSD avec le succès qu’on connaît, autant sur l’iMac, elle reste très conservatrice : gros disque dur, et SSD en option, mais pas sur tous les modèles.

Déjà, l’option SSD n’est pas disponible pour le modèle 21,5″ d’entrée de gamme, qui est pourtant exactement le même que le deuxième modèle. Donc, si vous voulez le SSD, c’est 300€ de plus.

Mais pire : la seule option SSD est un modèle 256 Go, facturé la bagatelle de 500€. Même s’il est vrai qu’on est plutôt dans la fourchette basse du prix du SSD (certains modèles haut-de-gamme tapent dans les 1300€), j’aurais apprécié un modèle avec moins de capacité, genre 128 Go, en complément du SSD, tout en gardant l’option du disque 1 To.

Résumons, donc : si vous voulez le SSD en complément du disque 1 To, il vous en coûte donc 600€ (SSD 500€, DD 100€)… qui s’ajoutent aux 300€ du deuxième modèle d’iMac. Soit le SSD additionnel à 900€. OUCH. Évidemment, on pourra penser (certainement à raison) que le but est justement de pousser à l’upgrade, et c’est bien dommage : le tarif va refroidir plus d’un client potentiel, alors qu’Apple pourrait se poser en leader de la révolution du SSD avec un SSD à bas prix.

D’un autre côté… Je me demande si l’idée n’est pas justement d’éviter que le client achète cette option en masse, car elle pose un problème de complexité liée à la taille actuelle des SSD et à leur coût. Explications : un SSD ne permet pas de stocker autant de données qu’un disque dur pour des raisons de coût de production[1]. Or, avec les besoins actuels en stockage de donnée, le SSD pose problème par ses faibles capacités, sauf à y mettre le prix fort. L’ajout d’un deuxième disque dur classique de grosse capacité permet de réduire fortement ce problème, mais au prix d’une complexité plus grande pour l’utilisateur, car si ses données sont stockées sur le SSD, il faut ensuite régulièrement les copier sur le disque dur. Perte de temps, et d’énormes complications.

Il faudrait donc, comme le précise @DanDuGeek du Journal du Lapin, qu’Apple propose une meilleure gestion du couple SSD + disque dur. L’idéal serait que l’Assistant Réglages proposé au démarrage ou l’Assistant de migration propose de migrer automatiquement et de façon transparente les données les plus sensibles et lourdes, à savoir le plus souvent les dossiers Musique, Vidéo et Images du dossier de départ de l’utilisateur. Une option permettrait ainsi de déplacer dès la migration de l’utilisateur toutes ses données « lourdes » et ayant moins besoin du SSD vers le disque dur. On pourrait même imaginer une option encore plus transparent : un système de fichier (un HFS++ ?) qui saurait gérer correctement un JBOD[2] et répartirait intelligemment les données en fonction de leur type. Un seul volume à gérer par l’utilisateur, mais l’avantage des deux disques. Beaucoup plus compliqué à créer et à gérer, évidemment… et peut-être pas si intéressant si l’on considère que nous sommes dans une phase de migration vers le SSD.

[MàJ] Une autre piste très intéressant a été soulevée : l’utilisation d’une nouvelle technologie Smart Response made in Intel qui permettrait d’utiliser le SSD comme super-cache du disque dur. Plus de détails chez MacGe. Et merci à @jmarc ;-) ).

En attendant, si vous souhaitez prendre un iMac avec SSD, il faudra donc sortir le chéquier… Le marketing d’Apple a encore bien joué !

  1. n’attendez pas la parité du coût disque dur / SSD avant 18 mois, dixit les constructeurs.
  2. Just a Bunch of Disk, un lot de disques agrégés, en somme.

Snow Leopard Server : pas cher !

Dixit MacGeneration :
Une Developper Preview de Snow Leopard Server 64-bit pour Mac Intel est distribuée cette semaine aux développeurs, elle sera vendue en même temps que la version cliente, en septembre prochain.

Le prix sera par contre plus élevé… 499$ avec comme toujours un nombre de clients illlimité (Mac, Windows ou Linux). On y trouvera pêle-même : Podcast Producer 2, Wiki Server 2, iCal Server 2, QuickTime HTTP Live Streaming. Pour qui s’équipera de Leopard Server entre le 8 juin et le 26 décembre, Snow Leopard sera offert contre des frais de ports de 9,95$.

Plus élevé que Mac OS X, certes, mais ce tarif est normalement celui de la version 10 postes clients, donc la licence coûte moitié moins cher. Et la mise à jour pour 9,95$, comment dire, c’est… archi-cadeau !

Donc, si vous comptez investir sur Snow Leopard Server, rien ne vous empêche d’ors et déjà de profiter de Leopard Server. Good stuff !

Mac OS X Server 10.5.7 : attention !

Il y a pas mal de remontées de problèmes assez importants sur Mac OS X Server 10.5.7. En particulier, il semble que les postes PowerPC en 10.5.7 client n’arrivent plus à s’authentifier sur un serveur maître Open Directory lui aussi en 10.5.7 là où les Mac Intel ne posent pas de souci. De même, j’ai lu sur les listes d’Apple US que certains étaient confrontés à des problèmes avec le SNMP ou avec Contrôle du serveur.

Dans tous les cas, si vous décidez de faire la mise à jour, pensez à bien sauvegarder au préalable.

Mac OS X 10.5.7 dispo

Quand même :

À propos de la mise à jour Mac OS X 10.5.7

Intéressant : Les comptes d’utilisateur non administrateurs peuvent maintenant être autorisés à ajouter et à supprimer des imprimantes, par l’option « Peut administrer des imprimantes » des contrôles parentaux. Comme c’est un truc qui m’agaçait sévère, il est bien d’avoir à nouveau cette possibilité.

En revanche, toujours pas d’info sur la version serveur (EDIT : ah si, quelques minutes plus tard, elle est là). Et comme d’hab, n’installez pas sur vos machines de production sans une bonne sauvegarde.

Server Admin Tools 10.5.6 v1.1 dispo

Une nouvelle version 10.5.6 v1.1 (rien que ça) des outils d’administration de Mac OS X Server est disponible ici. Les nouveautés ne sont pas très nombreuses (elles sont décrites dans cet article), mais certaines modifications sont assez importantes pour vous inciter à les télécharger, en particulier si vous venez de vous procurer un nouveau XServe.