Tag Archive for 10.7

OS X : quand Contrôle parental et HTTPS font mauvais ménage

OS X intègre depuis plusieurs versions un système de contrôle parental permettant de limiter les connexions à Internet. Dans ce cas, OS X pourra n’autoriser que certains sites, en bloquant automatiquement les contenus dits « pour adultes ». Problème : dans ce cas, de nombreux sites utilisant le protocole HTTP sécurisé (ou HTTPS) deviendront inaccessibles . Comme indiqué dans la base technique d’Apple :

Remarque sur le protocole https : pour les sites Web utilisant le cryptage SSL (l’URL commence généralement par https), le filtre de contenu Internet ne peut pas examiner le contenu chiffré de la page. Pour cette raison, les sites Web chiffrés doivent être explicitement autorisés à l’aide de la liste « Toujours autoriser ». Les sites Web chiffrés qui ne figurent pas dans la liste « Toujours autoriser » sont bloqués par le filtre de contenu Internet automatique.

Dans ce cas, il suffit d’ajouter le site demandé dans la liste des sites autorisés, non ?

WROOONG

En effet, ça ne passe pas… Le contrôle parental rejette parfois certains sites, alors que le domaine est bien ajouté. On a eu le cas récemment à la maison avec le site PotterMore.

Potterless

ControleParental https2

Alors, comment faire ? Dégainons d’abord le Terminal, et tapons les commandes suivantes :

$ host www.pottermore.com

La commande host nous renvoie ceci :

www.pottermore.com is an alias for www.pottermore.com.edgekey.net.
www.pottermore.com.edgekey.net is an alias for e3773.b.akamaiedge.net.
e3773.b.akamaiedge.net has address 92.123.95.91

On voit donc que www.pottermore.com est un alias du domaine www.pottermore.com.edgekey.net ainsi que de e3773.b.akamaiedge.net, lequel a pour adresse IP 92.123.95.91.

Et bien, il ne nous reste qu’à ajouter tout ça dans le contrôle parental… et oui, ça inclut l’adresse IP !

ControleParentalOK

Et voilà, plus qu’à recharger la page, accepter le certificat, et… ça passe !

Lion Server 10.7.4 : corriger un refus des connexions AFP

Problème étonnant chez un de mes clients : après le passage de la version 10.7.3 à la 10.7.4, plus possible pour certains postes de se connecter en AFP ! Lors de la tentative de connexion, qu’on utilise le dialogue de connexion (Cmd + K) ou qu’on clique sur la barre latérale puis sur Connexion, une fenêtre s’ouvre quelque secondes, et… c’es tout. Pas de fenêtre d’authentification. Le message suivant apparaît alors dans system.log : 

Jun 5 21:34:41 iMac-1 com.apple.launchd.peruser.503[111] (com.apple.netauth.useragent[256]): Job appears to have crashed: Segmentation fault

Plus étonnant encore : le même poste client arrive à se connecter à un serveur AFP à l’extérieur du réseau sans souci. Et les postes clients hors du réseau se connectent au serveur sans problème également !

Après beaucoup (beaucoup) de recherche et un peu de déduction, j’ai découvert que dans les réglages du service AFP, la ligne kerberosPrincipal affichait via la commande

sudo serveradmin settings afp

affichait parmi tous ces résultats cette ligne :

afp:kerberosPrincipal = "afpserver"

Ah ! Bizarre, car normalement elle devrait indiquer le principal du service AFP au sein de Kerberos. Ce principal devait être de la forme :

 afpserver/server.example.com@SERVER.EXAMPLE.COM

 

Qu’à cela ne tienne ! Stoppons AFP, modifions le principal puis relançons AFP : 

% sudo serveradmin afp stop
% sudo serveradmin settings afp:kerberosPrincipal = afpserver/server.example.com@SERVER.EXAMPLE.COM
% sudo serveradmin afp start

Remplacez évidemment server.example.com par le nom DNS de votre serveur et SERVER.EXAMPLE.COM par le nom du domaine Kerberos de votre domaine maitre Open Directory.

Après modification, le service est de nouveau accessible. Ouf !

Corriger les lenteurs du Mac App Store (MàJ)

Je me plains depuis assez longtemps sur Twitter des lenteurs exaspérantes du Mac App Store à mon endroit. En particulier, cliquer sur l’onglet Purchased (toujours pas traduit depuis des mois, HÉ OH APPLE !!!) me donner droit au SBOD. Ce qui est TRÈS agaçant, surtout quand l’envie vous vient de flâner à la chasse aux applis.

En réalité, ce problème est connu, et peut se corriger assez facilement :

  1. Ouvrez le trousseau d’accès (dans /Applications/Utilitaires).
  2. Cliquez sur le menu Trousseau d’accès > Préférences.
  3. Cliquez sur l’onglet Certificats.
  4. Configurez les réglages comme sur la copie d’écran ci-dessous.

D’un coup, le Mac App Store reprend de la vitesse, et les clics deviennent quasi-instantanés. Yeah !

Cependant, se pose alors la question de la désactivation de la liste de révocation de certificats. Est-ce que c’est très grave ? Honnêtement, je ne pense pas : le protocole OCSP a été développé pour éviter certaines limitations du CRL, et cela n’empêche pas l’utilisation du protocole SSL pour chiffrer les communications. Cela oblige éventuellement juste à être un poil plus vigilant aux sites sur lesquels on se balade… Mais vous faites déjà attention, n’est-ce pas ?

Màj : dans les commentaires, David fait remarquer que désactiver le CRL peut être quand même un peu dangereux. Je vais voir si il existe une autre méthode pour éviter ces lenteurs quand même. Dans l’attente, il vaut mieux réactiver le CRL et vivre avec les ralentissements…

Lion DiskMaker 1.2 est disponible

La version 1.2 de Lion DiskMaker est disponible en téléchargement ici (384 Ko environ). Si vous avez rencontré des problèmes avec la version précédente, je vous invite à télécharger la nouvelle version. N’oubliez pas de consulter la FAQ au préalable.

La liste des nouveautés :

  • Je vous rappelle au passage que si vous n’avez pas l’application Installation Mac OS X Lion copiée dans le dossier /Applications, Lion DiskMaker ne pourra pas fonctionner. Et ben si AH AH AH ÇA MARCHE MAINTENANT !!! Si Installation Mac OS X Lion n’est pas dans /Applications, une copie sera recherchée par Spotlight. Il est cependant possible de choisir une copie située à un autre endroit.
  • L’application respecte le choix du navigateur par défaut lorsqu’une page web est ouverte plutôt que d’imposer Safari.
  • Plus de feedback lors de la création d’un disque de démarrage. Le dossier du disque est affiché et un texte apparaît « Copie en cours… » durant la copie. C’est moins beau qu’une jauge de progression, mais ça annonce un peu plu la couleur.
  • Changement du terme « Clé USB » pour « disque », plus générique, et réfléchissant mieux le fait qu’on peut utiliser différents types de disques et pas que des clés USB…
  • Un peu plus de commentaires pour les courageux qui veulent regarder le code…

Dans le prochain épisode :

  • Localisation US
  • Structure adaptée à une version multilingue.

Et un peu plus tard…

  • Choix du volume si on souhaite garder les autres partitions intactes (pour les gros disques).

Lion DiskMaker 1.2 est DonationWare, donc si vous voulez faire un don, ne vous gênez pas :)

The day the Xserve died

Ce vendredi, la nouvelle est tombée sur les téléscripteurs, non pas par un communiqué de presse, mais par une petite bande jaune en haut de la page des Xserve.

Apple a donc décidé d’arrêter le Xserve, son serveur 1U à destination des professionnels. Immédiatement, le web et Twitter se sont enflammés, étant donné l’aspect critique que Xserve avait dans certains cœurs de métier. Et on m’a du coup demandé mon avis, et ça tombe bien puisque j’avais l’intention de toute façon de le donner (d’autant plus que la veille, lors de la fermeture de l’Apple Store, j’avais évoqué l’arrivée d’un nouvel Xserve. Boule de Cristal #FAIL !).

Il faut dire que des Xserve, j’en ai installé, géré et dépanné quelques-uns, puisque c’est une des plate-formes proposées par Apple pour faire fonctionner Mac OS X Server. Le Xserve, si vous ne connaissiez pas, c’est le serveur rackable qui tient dans un 1U, ce qui permet d’en mettre beaucoup dans une seule armoire informatique. Sa taille, ainsi que le fait qu’une partie de ses composants sont redondants (comme l’alim) en ont fait une solution de choix pour de nombreux administrateurs informatiques. Alors, évidemment, l’annonce de son abandon apparaît comme une demi-surprise.

Comment ça, demi-surprise ?

L’annonce d’Apple ne pouvait en fait que surprendre ceux qui suivent l’actu serveur d’Apple de loin. Cela fait longtemps que le Xserve n’a pas été mis à jour, et ses mises à jour depuis le passage à Intel ont été plutôt modérées. De plus, une rumeur circulait depuis pas mal de temps selon quoi l’équipe du Xserve avait été démantelée. Il n’en faudrait pas plus pour penser que l’abandon du Xserve est la preuve qu’Apple se retire du marché de l’entreprise.

Sauf qu’en fait, la situation est un peu plus compliquée que ça.

« We are not an Enterprise company. » ©Steve Jobs

Tout d’abord, une petite vidéo qui circule depuis vendredi et qui expliquerait pourquoi Apple arrête le Xserve :

Donc, Apple serait une compagnie de périphériques mobiles, et Steve Jobs n’aime pas le marché des entreprises, ce qui ferait donc deux bonnes raisons pour arrêter le Xserve. Certes, mais à mon avis, il faut chercher une explication ailleurs :

Car le Mac mini Server semble bien être le succès que j’avais prédit il y a quelques mois de cela. La demande semble très forte, et parmi mes clients, nombreux sont ceux qui préfèrent le Mac mini Server au Xserve, souvent sur-dimensionné pour eux. Et il s’agit d’un ordinateur souvent très largement suffisant par rapport aux besoins des PME/PMI :tout le monde n’a pas besoin d’avoir un monstre de puissance faisant un boucan d’enfer dans son bureau.

Malheureusement, Apple pense que le Xserve marche sur les pieds du Mac Pro, puisque son principal argument pour l’abandon du Xserve est que le Mac pro peut parfaitement remplacer le Xserve, et propose même à ce titre une version serveur du Mac Pro. C’est malheureusement faux, puisqu’outre la place qu’ils occupent, les Mac Pro ne bénéficient pas de certains avantages d’un Xserve, comme la double alimentation redondante, le contrôle du serveur via IPMI, une consommation électrique réduite [1]. Le Mac Pro représente une solution qui pourrait satisfaire certains clients… Mais certainement pas tous, hélas. Et à ce titre, la documentation de migration proposée par Apple fait curieusement l’impasse sur certains de ces points.

XsanCar il existe de nombreux marchés qui ont besoin de serveurs 1U, pour des raisons pratiques et techniques. En particulier, on penser au marché de la vidéo où Apple fait la promotion depuis quelques années de ses solutions Final Cut Server et Xsan. Quand on pense que de nombreuses écoles ou universités se sont par exemple équipées de solutions à base de Podcast Producer, logiciel qui permet de créer des contenus et les mettre à disposition sur différents médias dont, entre autres, iTunes U, la décision d’Apple a de quoi laisser perplexe, et là, je pense qu’Apple va avoir beaucoup de mal à se justifier de cet abandon[2].

Mais plus encore que l’abandon du Xserve, il y a une autre question sous-jacente qui inquiète…

Du futur de Mac OS X Server

Le Xserve était équipé de Mac OS X Server, et comme mon estimable confrère Yoann Gini l’a expliqué, il était à ce titre le fer de lance de l’équipe de Mac OS X Server. Et du coup, la disparition du Xserve peut fortement faire douter du futur de Mac OS X Server.

Pourtant, là dessus, je suis plus optimiste que Yoann. Même si un petit message d’Eric Zelenka (responsable chez Apple des produit serveurs, entre autres) a ce sujet a disparu du forum d’Xsanity, le fait qu’Apple pousse Mac OS X Server sur le Mac mini Server semble indiquer que le système aura un futur, sinon à quoi bon continuer de vendre du Mac mini Server ? Ce n’est pas toute la gamme qui a été arrêtée vendredi, mais un modèle de la gamme serveur. Et comme l’a fait remarquer un membre du forum d’Xsanity, si Apple avait voulu tuer Mac OS X Server, elle l’aurait fait en même temps.

De même, le fait qu’Apple n’ait pas présenté les fonctions de Mac OS X Server dans sa présentation de Lion n’est pas une preuve de l’inexistence de Mac OS X Server. J’ai considéré cette présentation comme un « teaser », pas comme un « trailer » de toutes les fonctions du futur Mac OS X, dont beaucoup de choses restent à montrer.

Par ailleurs, il y a une autre piste qu’Apple pourrait explorer, et cela a d’ailleurs déjà été fait : la virtualisation. Là, Apple pourrait avoir une carte à jouer, puisque Parallels et VMWare proposent des solutions pour virtualiser Mac OS X Server (avec un net avantage pour Parallels, qui dispose de pas une mais deux versions de son logiciel Parallels Server).  Pourquoi ne pas imaginer qu’Apple propose Mac OS X Server en virtualisation, par exemple sur des serveurs HP certifiés ? Complètement idiot ? Mais pourquoi pas ? Après tout, il y a bien eu des iPod HP ! Bon OK, ça n’a pas donné grand chose, mais cela pourrait être une piste : après tout, le Xserve n’avait rien de très différent au niveau matériel d’un serveur prévu pour faire tourner Windows Server 2008. Et il suffirait essentiellement qu’Apple libère un peu plus sa licence d’exploitation de Mac OS X Server pour ne pas la restreindre uniquement aux Mac pour se lancer sur ce créneau [3]. Mais dans ce cas, il serait dommage qu’Apple n’évoque pas dès aujourd’hui cette piste…

Ce qui nous emmène directement au dernier point.

L’échec de la communication vers l’entreprise

Apple ne sait pas bien communiquer avec le monde de l’Entreprise avec un grand E. Là où les entreprises souhaiteraient de la transparence et des roadmaps [4], Apple garde toujours son éternel couplet : « Nous ne communiquons pas sur les produits à venir ». Le risque est grand que l’abandon du Xserve soit une vraie douche froide pour l’entreprise et ralentisse l’intégration du Mac sur ces marchés. Malheureusement, dans un monde où iOS est désormais responsable de la majorité des bénéfices d’Apple, il n’est pas évident que cette dernière ait envie de faire des efforts particuliers à ce niveau, et c’est vraiment dommage.

La route du futur

Que conclure de cet abandon ? Difficile à dire, mais comme d’habitude, je dirais de ne pas trop s’exciter trop vite. Certes, il y a des zones d’ombres désagréables, mais avant d’aller hurler l’abandon de Mac OS X Server, j’inviterai chacun qui doit gérer ce système d’attendre le 31 janvier, au cas où Apple changerait certains de ses plans (par exemple avec la virtualisation). Ensuite, attendons les annonces officielles concernant Mac OS X Server 10.7. D’ici l’été prochain, nous aurons une vision un peu plus claire du futur qu’Apple prévoit pour sa plate-forme serveur, et nous pourrons décider s’il est alors temps ou non de changer de plate-forme (voire de métier).

Dans tous les cas, le Xserve aura été une belle aventure pour Apple. Espérons donc que la situation rebondisse d’ici quelques mois.

PS : à titre personnel, l’abandon du Xserve m’impacte peu, car je vends très peu de matériel, et ma clientèle reste orientée PME/PMI avec un net attrait pour le Mac mini Server. Mais si vous êtes administrateur dans un environnement majoritairement équipé en Xserve : courage, je suis avec vous !

  1. Même si la consommation du Xserve restait supérieure à celle de la plupart des serveurs du marché…
  2. Si elle estime d’ailleurs le besoin de se justifier, mais j’ai comme un doute, là.
  3. Voire que Larry Ellison et Steve discutent un peu pour proposer des solutions à base de serveur Sun Oracle, comme évoqué sur Xsanity…
  4. Encore que les roadmaps ne font jamais figure de vérité absolue, cf Windows depuis 1995… Mais elles ont le mérite de rassurer les DSI et les directeurs financiers.