Archive for Snow Leopard

Qu’est-ce qu’un bon mot de passe ?

Un ami m’a raconté l’histoire suivante il y a quelques jours :

Il y a quelques semaines, je me suis connecté sur le réseau d’un hôtel où je résidais pour quelques nuits. Dans la soirée, un détail dans la barre latérale du Finder m’a fait sourciller : un autre portable Apple était connecté sur le même réseau local que moi. Et selon la règle établie par l’assistant de Mac OS X, il s’appelait « Ordinateur de XXX », XXX étant le prénom de son utilisateur. Plus intéressant encore, le compte était accessible en partage de fichiers. Et en tapant « XXX » (le nom de l’utilisateur) comme identifiant et en ne tapant aucun mot de passe… Je pouvais accéder au disque complet de l’utilisateur. Pas de méthode de crack violent : il m’a juste fallu une minute de déduction, et tenter le coup pour réussir à rentrer sur cet ordinateur.

Cette petite histoire montre donc qu’il est indispensable de disposer d’un bon mot de passe sécurisé pour sécuriser son ordinateur et tous les différents services auxquels nous avons besoin d’accéder en ligne.1

Ce qui est étonnant, c’est de voir à quel point il est difficile pour chacun de choisir un bon mot de passe. Or, le couple identifiant/mot de passe est la seule façon de garantir de façon fiable votre identité auprès d’un système informatique (un sujet que j’ai déjà décrit dans Snow Leopard Efficace) et de vous protéger de certains intrusions. Et malheureusement, pour trop d’utilisateurs le mot de passe est vécu comme un calvaire, et donc par défaut trop simple… quand il n’est pas juste complètement supprimé !  Ou pire encore, noté sur  un post-it posé sur l’écran…

Je me suis donc posé la question ces jours-ci : qu’est qu’un bon mot de passe ? D’habitude, quand on demande à un expert, un bon mot de passe doit répondre aux règles suivantes :

  • Au moins 8 caractères ;
  • Mélanger majuscules et minuscules ;
  • Contenir des chiffres et des lettres ;
  • Intégrer au moins un caractère spécial (? ; ! ‘ § & etc.) ;
  • Ne pas être un mot du dictionnaire.
  • Ne pas être évident. Éviter par exemple sa date de naissance, le nom de son épouse, etc.

Je suis plutôt d’accord avec ces règles, même si les mots de passe sont de plus en plus rapides à cracker en mode force brute, la puissance de calcul des ordinateurs aidant. Mais personnellement, je rajouterais deux règles  :

  • Le mot de passe doit être mémorisable. Il existe plein de méthodes pour cela : l’acrostiche est par exemple une méthode couramment utilisée et qui peut être considérée comme efficace. Si votre chanson préférée est « Hélène, je m’appelle Hélène », vous pouvez très bien partir sur « LNJeuMapLLN! ». OK, il manque des chiffres, mais ça peut être amélioré, et côté sécurité, c’est vraiment pas mauvais. Remplacez par exemple le e par un 3, et ça ira encore mieux. Vous pouvez aussi utiliser un peu de leet speak pour améliorer tout ça…
  • Malheureusement, ce mot de passe a un défaut à mon goût. Il est peut-être mémorisable, mais il ne « coule » pas sous les doigts. Je veux dire par là que sa frappe est compliquée, et du coup vous êtes ralenti lorsque vous devez le taper. Il faut que votre mot de passe soit fluide. Il faut que vous puissez le taper sans avoir à regarder le clavier et sans avoir pour autant à vous faire des crampes aux doigts. C’est un des points les plus délicats, mais une fois que vous aurez trouvé ce mot de passe, vous n’aurez plus forcément envie d’en changer. Et vous serez satisfait de bénéficier d’un peu plus de sécurité.

Ce dernier point est bien plus crucial que l’on pourrait le croire. J’ai déjà eu des mots de passe qui répondaient à toutes les règles précédentes, mais dont la frappe me semblait finalement « douloureuse » ou trop compliquée, je perdais trop de temps à les taper. Dans ce cas, c’étaient de mauvais mots de passe. Si il vous faut plus de 3 secondes pour taper votre mot de passe, c’est qu’il est mauvais. Je tape certes assez vite 2, mais vous devriez pouvoir trouver un mot de passe à votre convenance et que vous serez capable de taper rapidement.

N’hésitez pas non plus à tester vos mots de passe avec l’aide de l’Assistant mot de passe:

  1. Ouvrez la préférence Système Comptes
  2. Cliquez sur Modifier le mot de passe
  3. Cliquez sur la clé en face de Nouveau mot de passe.

L’assistant pourra vous proposer des suggestions ou tester votre mot de passe actuel afin d’en vérifier son niveau de sécurité.

Pensez donc à changer votre mot de passe s’il n’est pas sécurisé.

(Et si le sujet vous passionne, vous pouvez lire l’article de Yoann Gini, qui a eu l’idée d’écrire sur le même sujet et de diffuser son article juste quelques heures avant moi. Argh).

  1. Accessoirement, cette histoire montre également à quel point Bonjour est parfois trop bavard et combien il peut être utile d’utiliser un firewall efficace ou un outil de type Little Snitch…
  2. Environ 55 mots/minute, excusez du peu.

Mac OS X : comment sélectionner automatiquement le PPD d’un copieur multi-fonction ?

Je déteste les copieurs multi-fonctions. Au moins, vous êtes prévenu : si vous lisez des gros mots, ça ne sera pas ma faute.

Je viens de me battre pendant quelques jours à essayer de faire fonctionner correctement un copieur BizHub 350 de Konica Minolta avec Mac OS X 10.6. Car, voyez-vous, le constructeur n’a pas encore eu l’heurt de proposer un pilote à jour pour ce système sorti depuis maintenant 14 mois… Pas grave, hein, on va se débrouiller, comme d’habitude !

Donc, après avoir trouvé avec le (très gentil) technicien de Konica le bon driver (C-401, parce qu’il y a un Fiery derrière, amusant non ?), puis sélectionné la bonne file d’attente (« print », là c’est facile, mais attention, ça dépend du copieur), il restait à trouver comment sélectionner automatiquement le bon driver. Car Mac OS X dispose d’une petite subtilité pour choisir automatiquement le driver. Il faut, dans l’ordre :

– que le copieur renvoie son nom de modèle (ModelName) à la connexion avec le Mac ;

– Qu’il existe dans un dossier PPDs (principalement dans /Library/Printers/) un PPD compressé au format .gzip et intitulé avec le ModelName du copieur.

Dans l’ensemble, ce mécanisme marche… pas trop mal. Mais que se passe-t-il si le développeur, particulièrement incompétent, fait n’importe quoi ?

Et ben on se prend bien le chou. Car il faut alors trouver le modèle renvoyé par le copieur, ce qui n’est pas totalement évident… Dans mon cas, j’avais un PPD qui s’appelait Fiery X3e 22C-KM PS v2.0 eu. Pratique non ? Le ModelName dans le PPD indiquait quand à lui Fiery X3e 22C-KM PS Color Server v2.0 eu. Problème : quelque soit le nom utilisé, impossible d’avoir le PPD sélectionné automatiquement. Ce qui veut dire que le copieur ne se présente pas comme indiqué dans le PPD.

Et bien, soit ! Analysons un peu le traffic IP entre le Mac et l’imprimante au moment de la connexion. Tapons donc dans le Terminal :

sudo tcpdump -nnnvi en0 host IP_Copieur

Ici, en0 désigne le nom BSD de votre connexion Ethernet. La plupart du temps, c’est en0 si vous êtes en Ethernet ou en1 si vous utilisez Airport. En cas de doute, vérifiez ce nom dans Informations Système > Réseau. Et vous remplacez évidemment IP_Copieur par l’adresse IP ou le nom DNS de votre copieur.

Maintenant, ouvrez la préférence Système Imprimantes et Fax, appuyez sur le bouton +, puis sur le bouton IP pour faire une configuration via IP, et tapez l’adresse du copieur, ici 192.168.1.51.

Aie… « Imprimante PostScript générique » ! Pas vraiment ce qu’on veut… Il est temps maintenant de regarder ce que ça donne du côté de tcpdump Beaucoup de bla-bla, mais une ligne qui m’intéresse :

23:15:06.354258 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 92)    192.168.1.51.161 > 192.168.1.2.59013:  { SNMPv1 { GetResponse(49) R=1536459456  .1.3.6.1.2.1.25.3.2.1.3.1= »C350″ .1.3.6.1.2.1.1.6.0= » » } }
Ne voyez-vous donc pas ? « C350 », qu’elle dit, la dame ! Il faut donc :
– Décompresser le PPD ;
– Remplacer à l’aide d’un éditeur de texte le ModelName dans le PPD par C350 ;
– Renommer ce fichier PPD décompressé en C350 ;
– Recompresser le PPD au format Gzip (avec la commande gzip, par exemple) ;
– Replacer le PPD C350.gzip dans le dossier /Bibliothèque/Printers/PPDs/Contents/Resources/
Saisissons  à nouveau l’adresse du copieur…
Victoire !!! Attention cependant à bien mettre le bon nom de file d’attente avant d’enregistrer : par exemple, pour ce modèle de copieur, c’est « print », mais sur d’autres, ça peut être « lp », ou rien, ou autre chose…
Et au passage, petite info : si vous utilisez les préférences gérées (MCX) pour appliquer des imprimantes par défaut à vos postes, méfiez-vous de ne pas laisser de caractère spécial ou accentué dans le nom de l’imprimante : vous risqueriez alors de rajouter des nouveaux doublons à chaque ouverture de session !

MacSysBrain #2 à Lyon !

C’est officiel : la conférence MacSysBrain numéro 2 aura lieu à Lyon entre le 16 et 22 octobre au sein de l’université Lumière Lyon 2 (ma fac… Snif !). Plus de détails sur le site.

Et je vous rappelle que le premier épisode (avec ma maaaaagnifique conf sur les ACL) se trouve ici !

Boot Camp et Mac OS X Server : mais si, ça marche !

MacGeneration se fait l’écho d’un article d’Apple qui explique que Boot Camp n’est pas officiellement supporté avec Mac OS X Server.

Alors attention : non supporté, chez un constructeur, ça veut dire « on n’apporte pas de support en cas de problème technique ». En réalité, ce qui se passe est que l’assistant Boot Camp n’est pas installé quand on installe Mac OS X Server et (et c’est le point le plus sensible) les pilotes Boot Camp que l’on installe sous Windows ne sont pas livrés avec le DVD de Mac OS X Server.

Donc, a priori, Apple a raison : on ne peut pas installer Windows sur son Mac s’il est pré-équipé de Mac OS X Server… et si c’est un XServe. Mais sur un Mac Pro ou un Mac mini Server, on peut très bien :
– créer une partition DOS sur votre disque dur à la main avec Utilitaire de disque ;
– démarrer sur un DVD Windows pour lancer l’installation ;
– et installer les pilotes Boot Camp en utilisant un DVD de Mac OS X version client. Ce qui ne pose donc pas de souci pour le Mac Pro ou pour le Mac mini : si vous connaissez quelqu’un qui dispose du DVD d’installation de Mac OS X d’une de ces machines, il vous faut juste vous le procurer pour pouvoir ensuite installer Windows. En revanche, pas de solution pour les Xserve : le seul DVD qu’ils acceptent, c’est celui de Mac OS X Server (normal).

L’article d’Apple pourrait donc faire croire que l’installation de Windows n’est pas possible si votre Mac est pré-équipé de Mac OS X Server… C’est faux (heureusement). Facile, pas forcément, mais faux, du moins pour les Mac Pro et les Mac mini Server.

Et pour ceux qui se demandent qui peut donc bien vouloir utiliser Windows sur une machine qui aurait déjà Mac OS X Server installé… ben y’a moi, et c’est suffisant, nan mais !

Conférence : Voyage au pays des ACL

J’ai eu le plaisir d’être invité il y a quelques semaines à la première conférence MacSysBrain des administrateurs Mac francophones. J’y ai présenté une conférence de 20 mn environ, que vous pouvez désormais télécharger par ici. Elle est consacrée aux fameuses Listes de Contrôles d’Accès (les ACLs) et leur intégration dans Mac OS X Server. Vous pourrez également découvrir avant ma conf une présentation de Yoann Gini sur la fameuse technologie Wide Area Bonjour, alors que Franck Lefèbre s’est attaqué à SSH.

Bon visionnage !

Tour de France Mac OS X Server à Lyon

En plus des dates que j’ai rajoutées ces jours-ci dans l’article précédent, je serai chez Ephesus dans la capitale des Gaules le 13 juillet pour une session unique le matin (10h – 13h).

Il y aura sûrement un formulaire à remplir sur le site pour s’inscrire, je vous tiens au courant.

Et pour ceux qui aimeraient voir plus de mises à jour du blog en ce moment, ben je suis juste un peu débordé, mais ça va reviendre sous peu, promis ! Vous pouvez toujours me suivre sur Twitter si vous avez du temps à perdre :)

Tour de France Mac OS X Server : c’est parti ! (MàJ)

Hop, c’est bientôt l’été, et on va faire chauffer les processeurs des serveurs. Si vous avez envie d’en savoir plus sur Mac OS X Server, je présenterai les solutions autour de Mac OS X Server et du Mac mini serveur durant les prochaines semaines, dans le cadre des séminaires Apple pour l’entreprise. Au programme, tout ce que vous voulez savoir sur Snow Leopard Server et le Mac mini Serveur, un produit dont j’ai déjà dit tout le bien que je pensais ici.

Marquez donc dans votre calepin, tout ça va se passer :

– Chez DXM Brest, le 8 juin à 10h et 14h ;
– Chez DWM Rennes, le 9 juin à 10h et 14h ;
– Chez DXM Nantes, le 11 juin à 10h et 14h ;
Attention, inscription obligatoire par ici !

Je serai également :
– Chez O2i Paris, le 17 juin, à 10h et 14h (lien d’inscription disponible sous peu) ;
– Au Salon des Entrepreneurs de Lyon Rhône-Alpes, toute la journée, les 23 et 24 juin, sur le stand Apple Premium Reseller ;
– Chez iCLG Paris, le29 juin (lien d’inscription bientôt disponible).

Il y aura également (mais là ce sera sans moi) 2 présentations chez O2i Lille le 22 juin (9h et 14h) et O2i Dunkerque le 23 juin (10h et 14h).

Et on m’informe aussi qu’il y aura aussi deux dates en Alsace : le 17 juin à Mulhouse et le 24 juin à Strasbourg avec Bemac.

Et pis si tout va bien, le 1er juillet à Amiens chez iSmith, et le 30/06 à Rennes chez Symbiose.

Et on ajoute :
– Le 18 juin chez iConcept à Anglet ;
– le 23 juin chez Argos à Tours ;
– Le 29 juin à Marseille chez iCLG Pro ;
– Et le 1er juillet à Montpellier chez iTribu .

Venez nombreux ! Et si vous avez envie de vous faire dédicacer votre exemplaire de Snow Leopard Efficace ou Leopard Efficace, n’hésitez pas à venir avec :-)

MàJ : je n’ai peut-être pas été assez clair: pour le moment, les dates affichées sont celles que je CONNAIS. Dès que je connais les dates pour d’autres villes, je vous les transmets. Donc ne vous offusquez pas si votre graaaaaaaaande ville n’est pas référencée : c’est pas parce qu’on ne vous aime pas, juste que je ne connais pas la date ! Voili Voilou :-)

Créer plusieurs volumes RAID avec deux disques

L’une des possibilités peu mises en avant avec Snow Leopard est de pouvoir créer plusieurs volumes RAID à partir de seulement deux disques. Enfin à vrai dire on pouvait le faire avant, mais ça buggait tellement qu’il valait mieux l’éviter…

Auparavant, lorsqu’on avait deux disques, on pouvait créer un seul volume RAID 0 ou RAID 1. C’était assez peu pratique pour les serveurs : on ne pouvait pas avoir deux disques dans le serveur et séparer logiquement l’ensemble RAID pour mettre sur un volume le système et sur l’autre les données. Deux disques de 500 Go en RAID 1 donnaient un seul volume de 500 Go, point.

Mais Snow Leopard permet enfin de créer des volumes distincts avec Utilitaire de disque. Il faut :
1) Pour chaque disque, créer au minimum deux partitions (Onglet Partitionner). Choisissez des tailles identiques pour chaque disque : si le disque 1 a été partitionné avec deux volumes de 100 et 400 Go, le disque 2 doit avoir la même configuration de partitions.
2) Cliquez sur l’onglet RAID.
3) Cliquez sur le bouton + en bas à gauche.
4) Glissez deux partitions identiques en taille sur l’icône de l’ensemble RAID.
5) Cliquez sur Créer.

Pour le deuxième volume RAID, recommencez les étapes 3 à 5 en choisissant les volumes restants. Attention : j’ai parfois rencontré des cas où le deuxième volume RAID ne pouvait pas être créé. Quittez et relancez Utilitaire de disque si cela se produit. Vous devriez alors pouvoir créer le deuxième volume.

Supprimer les utilisateurs récalcitrants dans un maître Open Directory

Il arrive parfois que l’on n’arrive pas à supprimer certains comptes d’utilisateurs stockés dans un serveur maître OD. Une erreur est alors renvoyée :

Erreur de type eDSRecordNotFound (-14136) sur la ligne 1993 de /SourceCache/WorkgroupManager/WorkgroupManager-361.2.1/Plugins/UserAccounts/UserAdvancedPluginView.mm

J’ai rencontré ce problème plus d’une fois, et j’ai trouvé pour le moment deux solutions  :
– Basculer le mot de passe de type Open Directory vers un mot de passe chiffré, puis supprimer le compte ;
– Si cela ne suffit pas, une astuce donnée par Fabri dans un fil consacré à ce sujet sur le site de discussion d’Apple : à partir d’Admin Serveur, dans les préférences Open Directory, activez SSL, enregistrez puis désactivez immédiatement SSL et enregistrez à nouveau. Cela forcera l’ensemble des services liés à la partie LDAP du serveur à redémarrer. Vous devriez maintenant pouvoir supprimer les utilisateurs récalcitrants sans trop de difficulté.

Mac mini Server : le meilleur serveur ?

(Attention, billet un poil long)

Mini_serveurJe suis tombé comme bien d’autres ce soir sur cet article (dans l’ensemble très bon) sur MacGe à propos du Mac mini Server. Et comme j’ai eu quelques (bon, au moins un) commentaire me demandant mon avis sur cette bécane, je vais non seulement vous donner celui-ci, mais je vais en plus compléter (voire corriger) certains points de l’article susnommé. Car oui, je suis un éternel insatisfait et parfois un véritable enfileur de lépidoptères.

Oh, Mac mini Server, I’ve been waiting for you for so long !

Déjà, mon opinion : le Mac mini Server est exactement la machine que j’attendais d’Apple depuis trop longtemps. Il répond à tout ce qu’on attend d’un produit serveur pour le marché PME/PMI (le SMB – Small and Medium Business – comme on dit dans not’ jargon) :
– Un serveur à tarif accessible, moins de 1000€ TTC ;
– Un produit simple d’emploi, livré sans superflu ;
– Un produit fiable, et là, l’expérience autant que les retours de revendeurs montrent que le Mac mini est un produit dont la fiabilité est parmi les meilleures de tous les produits Apple ;
– Un Mac compact et silencieux, là où les Xserve sont très puissants, très gros et très bruyants ;
– Un serveur capable de gérer l’ensemble des tâches qui lui sont confiées avec un processeur qui tient la route ;
– Deux disques durs, idéal pour améliorer la disponibilité avec du RAID 1 ou les performances avec du RAID 0 (je reviens plus tard sur la sauvegarde) ;
– Pas de lecteur DVD, pas forcément utile sur ce type de configuration (en tout cas bien moins qu’un deuxième disque dur) ;
– Extensible : cinq ports USB 2 et un port FW 800 sont largement suffisants pour la plupart des besoins PME/PMI.

Et encore, j’oublie sûrement quelques-uns des attraits du nouveau Mac mini. Comme serveur de test, c’est une machine idéale, qui supportera même un peu de virtualisation light. Et c’est un serveur qu’on peut emporter partout avec soi ! Envie d’une solution de déploiement qui tient dans un sac à dos ? La voici !

Hello Mac mini, je te présente PME, ta nouvelle amie. Vous allez bien vous entendre tous les deux.

Revenons sur les besoins de l’entreprise. Pour beaucoup de structures, il n’y a pas besoin d’avoir un monstre de puissance comme serveur. J’ai des clients qui utilisent des Mac mini 24h/24 et 7j/7 comme serveurs de mail, de fichiers, de base de données et bien d’autres sans problème majeur. Certes, un argument revient souvent : « le disque dur du Mac mini en 2,5″ est pénalisant en termes de performances ». Pas entièrement faux, mais c’est surtout dû à la vitesse même de ces disques, pas au format (saviez-vous que HP et bien d’autres vendent des solutions de stockage basées sur des disques 2,5″ ?). Et dans bien des cas, les performances du disque seront largement suffisantes par rapport aux besoins : honnêtement, vous pensez que transférer un fichier Word de 100 Ko, ça va fondamentalement plus vite sur un disque 7200 tr/mn par rapport à un 5400 ?

Sur le sujet des performances, il faut bien voir que beaucoup d’entreprises ont des serveurs totalement surdimensionnés par rapport à leurs besoins. Toutes les entreprises n’ont pas un site web à 10000 hits/seconde, ne reçoivent pas 300 e-mails à la minute ou ont besoin de diffuser des vidéos en streaming. Parfois mes clients me demandent s’il ne faut pas changer le serveur car il n’est pas assez puissant, mais ouvrir Server Admin et regarder les courbes d’utilisation mémoire ou CPU confirme en un clin d’œil que la machine est très loin de souffrir.

Il faut voir que pour bien des serveurs, le simple service de partage de fichiers suffit à combler d’aise le client… Mais le package Mac OS X Server + Mac mini est complet, simple à mettre en œuvre, et propose des services qui font parfois bien plaisir : calendriers partagés, wikis, distribution de mises à jour, DHCP, FTP, ou encore VPN (miam) font partie de ces services qu’on peut facilement mettre en place aujourd’hui avec Mac OS X Server. Et le Mac mini, c’est le serveur qu’on pose dans un coin et qu’on peut oublier. Il tourne juste tout seul, sans poser de questions… N’oubliez juste pas de le mettre à jour !

De la bonne utilisation du DNS

Maintenant, revenons sur l’article de MacGe, et en particulier sa deuxième partie. S’il précise à très juste titre que les services Open Directory et DNS sont fondamentaux au bon fonctionnement du serveur (je vous l’ai déjà expliqué ici et là dans une belle fiche pratique), il y a un point sur lequel je vais sensiblement différer : il s’agit du choix du nom de domaine du serveur, et là, attention, je vais causer technique (âmes sensibles s’abstenir).

Selon MacGe : « Nous entrerons, pour l’exemple, serveur.macgeneration.lan. Pourquoi « .lan » ? Pour être certain que la différence est bien visible, votre serveur DNS ne fonctionnera qu’en interne, c’est à dire sur le LAN (Local Area Network) de l’entreprise ou de la maison. Libre à vous d’utiliser l’extension que vous voulez, tant que la structure est bonne. Par exemple, serveur.steve.jobs pourrait tout à fait convenir aussi. »

Là, pas d’accord : il est préférable dès le départ de mettre un nom de domaine correspondant à un Top Level Domain (TLD), même si vous ne l’avez pas acheté. Non, en fait, achetez-le au préalable. Investissez dans un domaine réservé, par exemple en .org ou en .eu (environ 15€ TTC/an), et configurez votre serveur DNS interne avec ce nom . Pourquoi ? Imaginez la situation : vous utilisez votre ordinateur portable, vous êtes connecté à l’intérieur de votre réseau, et quand vous vous connectez à votre wiki, vous devez aller sur serveur.macgeneration.lan. OK. Maintenant, vous sortez de votre réseau, rentrez chez vous et tapez serveur.macgeneration.lan pour continuer à travailler sur votre zouli wiki.

Et là, c’est le drame (©M6) : impossible d’accéder à votre wiki. Et oui, les serveurs DNS externes pointent sur… rien. .lan, ça n’existe pour personne d’autre que les ordinateurs sur votre réseau interne. Dommage, non ?

Maintenant, imaginons que vous ayez commencé par .lan, puis vous souhaitez créer plusieurs sites web distincts par leur nom et accessibles de l’extérieur, par exemple un site public, un intranet, un extranet… Il faudrait alors idéalement acheter votre nom de domaine puis configurer à nouveau le serveur pour qu’il utilise le nouveau domaine… Malheureusement le changement de nom DNS doit être fait de façon correcte (en particulier en préparant le serveur avec la commande changeip), ce que personne ou presque ne fait.

Certes tout cela peut sembler trivial, ou très compliqué selon les points de vue, mais ce n’est pas à négliger : une très grosse partie des problèmes sur Mac OS X Server viennent d’un DNS mal configuré. Le choix du nom de domaine n’a donc rien de trivial.

Accès mobile : « I’m not your fracking VPN ! »

Concernant l’accès mobile, il ne s’agit pas vraiment d’un VPN SSL. En effet, selon les principes du VPN SSL, il faudrait au préalable s’authentifier sur une page web pour chiffrer tout le trafic vers le serveur interne. Ici, le but est plutôt de rediriger certains flux bien précis vers un serveur interne en utilisant le serveur d’accès mobile comme routeur pour certains services bien précis (iCal, Carnet d’adresses, mail et web). Et c’est indiqué page 183 de la doc des services réseau : il faut utiliser une configuration en split DNS pour que cela fonctionne. Encore une bonne raison de ne pas utiliser de domaine en .lan ;-) Enfin le service d’accès mobile nécessite effectivement un serveur qui effectuera le routage, et par conséquent un serveur différent de celui hébergeant tous les services. Le service d’accès mobile peut être plus avantageux que le VPN car il donne accès aux services essentiels du serveur interne de façon sécurisée, et transparente pour l’utilisateur, sans pour autant donner accès à tout le réseau.

Quand à dire que le protocole Bonjour ne peut pas passer à travers le VPN… ce n’est pas totalement vrai, puisqu’on peut aussi enregistrer des services Bonjour à travers le serveur DNS. Mais il est vrai que c’est quasiment un miracle quand on arrive à faire tomber cette fonction en marche… Enfin, il reste un point à ne pas négliger : qu’il s’agisse du VPN ou du service d’accès mobile, il faudra procéder à des redirections de ports dans les réglages du routeur, opération pas forcément anodine (ou plutôt, pas forcément évidente si on ne connaît pas les rouages de base d’un réseau TCP/IP).

Le DVD, c’est tellement XXè siècle

Concernant le point de l’installation, il est vrai qu’il faut normalement passer par l’outil d’installation de système à distance pour restaurer l’OS en cas de panne. Mais on peut aussi être prévoyant, et simplement réserver une partition de système d’un disque externe en y clonant le DVD d’installation. Avantage : on boote et on réinstalle le système bien plus vite… C’est la solution que j’utilise, et elle marche fichtrement bien. Sinon, on installe l’outil d’installation à distance sur un Mac ou PC du réseau, et zou !

En revanche, un point important signalé par MacGe à très, très juste titre : le RAID 1 (miroir) n’est pas une sauvegarde. C’est juste un système pour s’assurer que votre système continue de tourner en cas de perte d’un disque, mais il ne pourra jamais permettre de récupérer un fichier effacé par erreur ! Donc, sauvegardez vos données, quelque soit l’outil que vous utilisez.

Sorry, Mac mini, but your server is in another castle ! (1)

Pour conclure, je serai encore plus enthousiaste que MacGe sur le marché du Mac mini Server : c’est un produit archi-sexy, simple à administrer (j’ai scié récemment un consultant Linux en lui montrant comment on gère le serveur), silencieux, efficace et très certainement suffisant pour 90% des utilisateurs du marché PME/PMI. Et des échos que j’ai eus, les ventes seraient déjà à la hauteur des attentes sur cette machine.

Go, Mac mini, go get them !

(1) En fait le sous-titre compte pour du beurre, c’est juste que je voulais faire un clin d’œil à la sortie de New Super Mario Bros Wiiiiiiiiiiiiiiiiiiiiiiii.