labiloute a écrit 57 commentaires

sur la même suite bureautique?
Si les suites bureautiques sont différentes, à ma connaissance c'est normal.

Salut,
As-tu essayé de limiter tes options de montage à ça (à ajouter username, password si nécessaire) :
user,rw,auto,nobrl,noperm,iocharset=utf8,domain=DOMAIN

Chez moi pas de souci avec ces options de base et l'accès concurrentiel à des fichiers excel.
Dis-moi ce qu'il en est.
A+

Bon à savoir ça ptit poulet.
L'avantage de ma méthode c'est que l'utilisateur a une belle icône sur le bureau, et qu'il n'y a pas de serveur web ni de package webmin a installer sur le serveur Samba4…

En fait, dans notre cas, ce n'est pas un LDAP mais un serveur Kerberos qui reçoit la demande de modification de mot de passe.

Et effectivement, c'est bien triste, mais je ne connaît aucun outil graphique pour le faire.

En même temps l'utilisation d'une infra client/serveur kerberos pour l'authentification n'était pas aussi rependue que ça avant l'arrivée de Samba4…

Puisqu'on dérive, dérivons encore…

Quand je vois un smartphone non vérrouillé, je modifie le numéro de téléphone du supérieur hiérarchique par le mien, et j'envoie des textos coquins de temps en temps.

J'aurais aimé que ça soit de moi, mais je l'ai trouvé sur un site débile.

Pour avoir fait ce travail 10 ans, en alternant 30 fois dans la journée entre dev, admin système et réseau et support utilisateur, je comprends complètement ce que tu veux dire. Il m'est arrivé d'être au bord du craquage un paquet de fois, et il y a toujours des utilisateurs dont je n'arriverai pas à comprendre le fonctionnement.

Mais je crois que simplement, il ne faut pas oublier ce que c'est de travailler avec de l'humain. Un humain, ça peut avoir des réactions incompréhensibles ou des comportements étranges. Parfois il faut creuser pour comprendre la source du problème. Et comme dans toute relation avec des humains, ça prends du temps. Il faut gagner la confiance d'abord, parce que le statut de sysadmin dans l'entreprise ne donne aucune légitimité vis-a-vis des utilisateurs, tu es juste un geek condescendant qui joue avec des boui-boui et qui a la chance d'être payé à tripoter une sorte de tentaculaire Playstation géante.

Après avoir gagné la confiance, il est de bon ton d'associer l'utilisateur à une part du travail. Le faire un peu participer. Ça peut prendre diverses formes, mais par exemple leur demander de signaler les problèmes de perf, compter les secondes pour afficher telle ou telle page, revoir le contenu d'une table, aider ses collègues. Ça peut aider à leur faire comprendre un chouia mieux ton boulot, et donc gagner en capital sympathie.

Je pense qu'il est important de beaucoup communiquer, éviter une sorte d'obscurantisme technologique, et éviter de faire croire que ce que tu fais est tellement compliqué que de toute façon, il n'ont qu'à lire leur f**** procédure que tu t'es cassé les n*** à faire. Il ne s'agit pas d'être gentil, méchant, de jouer au prof ou quoi que ce soit. mais il faut se rendre compte que ce métier est un mystère pour les gens pour qui tu travaille.

Pour avoir bossé dans des boites avec plus de 400 utilisateurs, je n'ai jamais eu réellement un problème, à moins de vraiment m'y prendre comme un pied, ce qui m'est arrivé des jours ou j'étais un peu juste nerveusement et donc pas vraiment en mesure d'avoir des rapports humains corrects.

A mon avis, il faut simplement avoir des rapports humains ordinaires, écouter un peu la personne avec qui on parle, essayer de la comprendre quitte à lire un peu entre les lignes. Des relations humaines, quoi ! Sans appeler ça faire du "social", c'est simplement être prêt à être au service des gens, quel que soit leur passé, expérience, etc.
L'avantage c'est qu'on gagne beaucoup de temps à responsabiliser les gens. Ils sont plus autonomes et tentent moins de contourner les règles. Parce qu'ils les comprennent et qu'ils ne souhaitent pas te contrarier parce qu'il te tolèrent dans leur environnement.

Comme je l'ai lu plus haut, on travaille à leur service, et pas contre eux… Et on peut même les faire participer, ce qu'ils aiment beaucoup.

SysAdmin, lâchez un peu vos claviers et allez faire un tour dans les services, vous avez un beau métier !

Salut à tous,

Dans le même esprit qu'Axone, j'ai écrit un script rsync dont le principe est le suivant :

• Un ou plusieurs répertoires sources, et du coup, un ou plusieurs répertoires de destination possibles.
• La sauvegarde est incrémentale, chaque fichier modifié depuis la dernière sauvegarde est suffixé par la date de la sauvegarde (monfichier.txt et monfichier.txt_201404_03_09 sont dans le même répertoire)
• Possibilité de faire un "rsync --delete" ponctuel du répertoire de destination, par exemple tous les lundis après externalisation, ou pas.
• Possibilité d'avoir une source et/ou une destination SSH, l'échange des clés doit être fait au préalable bien sur.
• Écriture dans un fichier de log et rotation du fichier de log
• Utilisation du fichier de filtre rsync

La contrainte est d'avoir un répertoire de destination non vide la première backup. j'ai du faire cette vérification pour éviter qu'un éventuel répertoire CIFS mal monté déclenche une sauvegarde en local, ce qui pourrait rapidement saturé un disque local s'il n'est pas prévu pour. Créer un fichier bidon lors de la première sauvegarde suffit.

En le relisant je vois pas mal d'améliorations possible, mais jusqu'à présent ça m'a déjà pas mal rendu service.

Enjoy !

    #!/bin/bash
    #jour de la semaine ou est remise a zero la sauvegarde (1-7 - 0 pour ne jamais executer de rsync --delete)
    day_to_delete=0
    # Nombre de jours avant nettoyage par le find
    day_to_conserve=60
    #le chemin de source et de destination doivent exister et etre non vide - (sauf si ssh)
    srcpath=( "/first/source/path" "/second/source/path" )
    destpath=( "/first/dest/path" "/second/dest/path" )
    #Fichier de filtre (unique pour X synchros)
    filter_file="/rsync/filter/file/path.txt"

    #SSH SOURCE PARAM
    sshsourcebackup=0
    sshsourcelogin=user
    sshsourcehost=host
    #SSH DEST PARAM
    sshdestbackup=0
    sshdestlogin=user
    sshdesthost=host
    #Log file
    log_file="/path/to/log/file.txt"
    maxlines=1000
    #
    # Script
    #
    todayinweek=`date +%u`
    today=`date +%F`
    ######
    #FONCTION ecriture dans fichier de log et rotation des logs (update du 26/10/2011)
    function writelogandrotate
    {
            #refresh date of log writing
            date_log=$( date +%d-%m-%Y )' '$( date +%H:%M:%S )
            #write log in the log file (given in parameter)
            echo $date_log' '$1 >> $log_file
            #show whats written to the stdout
            echo $date_log' '$1
            #purge log file
            nblines=`cat $log_file | wc -l`
            #while the logline var is  less than the number of line in the log file
            while [ "$maxlines" -lt "$nblines" ]
            do
                    sed -i '1d' $log_file
                    nblines=`cat $log_file | wc -l`
            done
    }
    ####################SCRIPT
    if [ "$sshsourcebackup" = "1" ] ; then
        sshcmd="-e ssh"
        sshsourcecred="${sshsourcelogin}@${sshsourcehost}:"
    fi
    if [ "$sshdestbackup" = "1" ] ; then
            sshcmd="-e ssh"
            sshdestcred="${sshdestlogin}@${sshdesthost}:"
    fi

    #test de l existance des repertoires sources et destination (sauf si ssh activé)
    for (( i = 0 ; i < ${#srcpath[@]} ; i++ ))
        do
        if [ ! "$(ls -1A ${srcpath[$i]})" ] && [ "$sshsourcebackup" = "0" ] ; then
            ( writelogandrotate "Source ${srcpath[$i]} vide et ssh non activé. Abort." )
            exit 1
        fi
        if [ ! "$(ls -1A ${destpath[$i]})" ] && [ "$sshdestbackup" = "0" ] ; then
            ( writelogandrotate "Destination ${destpath[$i]} vide et ssh non activé. Abort." )
            exit 1
        fi
    done
    #
    if [ $day_to_delete -eq $todayinweek ] ; then
        ( writelogandrotate "Nous sommes le jour $day_to_delete de la semaine, execution de rsync --delete : " )
        for (( i = 0 ; i < ${#srcpath[@]} ; i++ ))
            do
            ( writelogandrotate "Démarrage du script de sauvegarde incrémentielle de ${srcpath[$i]} vers ${destpath[$i]}" )
            rsyncexec=`rsync $sshcmd -a --stats --filter="merge $filter_file"  --delete-after --force "$sshsourcecred""${srcpath[$i]}" "${sshdestcred[$i]}""${destpath[$i]}"`
          nbfiles_synced=`echo $rsyncexec | grep transferred | cut -d " " -f9`
            total_files_synced=$(( nbfiles_synced + total_files_synced ))
            done
       ( writelogandrotate $total_files_synced" fichiers transférés" )
        msg=$total_files_synced
    else
        ( writelogandrotate "Execution de la sauvegarde incrementielle" )
        for (( i = 0 ; i < ${#srcpath[@]} ; i++ ))
            do
            ( writelogandrotate "Démarrage du script de sauvegarde incrémentielle de ${srcpath[$i]} vers ${destpath[$i]}" )
            rsyncexec=`rsync $sshcmd -a --stats --filter="merge $filter_file" --backup --suffix=_"$today" "$sshsourcecred""${srcpath[$i]}" "$sshdestcred""${destpath[$i]}"`
            nbfiles_synced=`echo $rsyncexec | grep transferred | cut -d " " -f9`
            total_files_synced=$(( nbfiles_synced + total_files_synced ))
            done
        ( writelogandrotate $total_files_synced" fichiers transférés" )
        msg=$total_files_synced
        #clean day_to_conserve+1 days backup - if backup destination is not SSH
       if [ "$sshdestbackup" = "0" ] ; then
          ( writelogandrotate "Nettoyage des fichiers datés de  $day_to_conserve +1 jours - Uniquement si destination non SSH !" )
          find $destpath -name *_`date --date=$day_to_conserve' days ago' +%F` -exec rm -rf {} \;
       fi
    fi

    ( writelogandrotate "Fin du script" )
    #end

Effectivement il est dans la même catégorie d'outils mais ne réponds pas au cahier des charges.

Notamment les machines doivent être UP.

A l'origine (2009), je n'ai pas trouvé l'outil à ma convenance, tout simplement.

Mes critères étaient :
- une interface web simple et concise
- exécuter des scripts sur des machines hétérogènes n'ayant rien de plus qu'un serveur SSH et un shell plus ou moins standard
- implicite mais important : sans agent sur la machine
- être sûr que le script sera exécuté même si la machine n'est pas actuellement allumée, pour gérer des postes utilisateurs, c'est plus facile
- connaître le code de retour des scripts en un coup d'oeil, sur une machine ou tout un groupe
- consigner en base de données les retours du shell

De plus, alors que mon travail c'est l'administration système, j'ai trouvé ça sympa d'apprendre les rudiments de développement en créant moi-même l'outil sur mesure.

Je ne prétends pas me substituer à Puppet (ou même un autre), loin de là. bien que je ne connaisse pas bien cet outil, ce que j'en sait, c'est que par rapports à mes besoins, c'est sortir le bazooka pour tuer une mouche.

J'ai vu depuis qu'il y avait pléthore d'outils se rapprochant de près ou de loin de mes besoins, mais j'ai préféré continuer à travailler avec le mien.

J’espère que je réponds à la question !

Ici mon post de 2011 concernant la version 1 ou nous avions évoqué nombre d'alternatives.

Oui c'est vrai, du moins pour les formulaires des pages post-authentification.
Il me reste des choses à corriger niveau sécurité, mais la page d'authentification passe néanmoins le test Wapiti

Utilise le démon winbind !
Winbind te permet de joindre une machine linux à un domaine de type Active Directory. Nous l'utilisons sur notre domaine Samba4.

Sur debian/ubuntu, il faut :
- installer les paquets nécessaires (libpam-mount smbclient cifs-utils winbind krb5-user ntp)
- écrire un smb.conf avec quelques options de base
- modifier le fichier /etc/nsswitch.conf
- modifier les paramètres d'authentification (PAM) pour y intégrer winbind

Il y a éventuellement quelques bricoles à faire en plus, mais le coeur est là. Nous avons un script qui fait ça très bien pour debian6-7 et ubuntu 10.04/12.04. Je peut bien sur te le fournir. Il est même possible de monter automatiquement les partage des utilisateurs grâce à pam_mount !

Pour rdesktop (client TSE) et les claviers, je te conseille l'utilisation du dernier paquet "rdesktop" disponible pour la debian, à la place du paquet ubuntu qui nous a posé des problèmes. De même, nous n'avons pas de problème de mappage de clavier, pourtant nous l'utilisons dans des secrétariats. Nous n'avons pas non plus ce problème de délai pour la première connexion. Pour bien diagnostiquer, je te conseille l'utilisation de rdesktop en ligne de commande.

Bon courage.

Le logiciel Mediboard est un logiciel de prise en charge médicale du patient (prescription / consultations / planning / etc), et qui n'a donc pas vocation à être homologué. Pour l'instant, nous utilisons une application de lecture de carte non libre qui fait l'intermédiaire entre le lecteur de carte et l'application. Leur coeur de métier de "Mediboard" n'est pas vraiment l'administratif, plutôt le médical.

La solution proposée dans ce journal concerne surtout le CDR, site de consultation des droits en ligne. Pour la lecture de la carte vitale, et son intégration dans les autres progiciels nous n'avons, comme tu vois, pas encore résolu tous nos problèmes. A ma connaissance il n'existe pas encore de logiciel de lecture de carte vitale libre et fonctionnel. Il existe de plus la contrainte de suivre les évolution réglementaires.

Nous sommes à mon sens en sous effectifs, plus exactement 2 admins système/réseau/hot-liners et un responsable informatique pour 300 appareils en réseau.

Nous poussons l'utilisation de libre, du standard et de l'ouvert autant que possible. Nous comptons déjà 30% de postes clients libres, mais nous nous sommes surtout concentrés ces dernières années sur les applications et les serveurs. Nous avons migré avec succès 400 utilisateurs sur OpenOffice/Libreoffice (publipostage itou), venons de migrer nos contrôleurs de domaine sur Samba4 que nous avons suivi depuis les versions alpha. Nous utilisons de nombreuses applis libres dans des domaines variés. Mais il reste encore beaucoup de travail, et tant que je travaillerais ici…

Pour Mediboard, nous avons un contrat de maintenance avec OpenXtrem. Nous faisons plutôt de la gestion de projet, ce qui nous occupe déjà pas mal.

Nous avons opté pour un logiciel métier utilisant des technologies "web", et surtout… open source.
C'est un SIH (Système d'Information Hospitalier) complet et libre (Mediboard.org) développé par la société OpenXtrem, société qui assure aussi le support. Mediboard couvre l'ensemble de notre périmètre fonctionnel avec assez de succès (Urgences / Hospitalisations / Soins de suite / Consultations / Chirurgie) et l'équipe de dev est très respectueuse des standards et normes du secteur ce qui leur assure une bonne inter-opérabilité avec les autres progiciels.

Pour les récalcitrants, nous utilisons du serveur TSE Microsoft. Ça nous permet de mettre des linux sur les ordinateurs des utilisateurs. Nous privilégions toujours les logiciels avec des clients fonctionnant (aussi) sous linux ou des technos web.

Pour les lecteurs de carte, nous avons testé avec succès les lecteurs compatibles PCSC comme mentionné ci-dessus, et les lecteurs sur port série (plus lents), mais je suis presque sûr qu'il y en a d'autres.

Je sent que le sujet te tient à coeur, en bon libriste ;).
Je te rassure, à moi aussi, et même si ne je maîtrise pas tous les tenants et aboutissants, je suis complètement d'accord avec toi.
Merci de tes précisions sur les statuts.

Très juste !
A utiliser en connaissance de cause !

Avec des terminologies qui changent tous les 3 ans, pas facile de suivre.
Je n'ai pas apporté plus de soin à cette formulation car ce n'était pas le sujet.
Pour préciser, nous sommes donc un hôpital privé d'intérêt collectif, ou encore une fondation à but non lucratif.

Oui effectivement le lien n'est pas tout neuf. Désolé de la référence un peu moisie.
Ceci dit le fond est bien celui que tu détaille : la réplication, au moins du SYSVOL et donc des GPO, n'est pas encore prise en charge.

Tout à fait !

Pour clore ce sujet, nous avons opté pour un QNAP TS-EC1279U-RP rackable 2U, avec 4 disques de 3To pour commencer.

Nous avons testé :
Le raid 5
L'intégration à un domaine Active Directory (Samba 4)
Les ACL étendues
Les répertoires utilisateurs en montage automatique (homes du smb.conf)
Scripter l'ajout de partages au smb.conf, la gestion des acls, etc.
L'ajout de capacité à chaud (coupe les connections le temps de quelques secondes, puis compter 48h de reconstruction du raid)

Il nous reste pas mal de choses à faire avec, mais un mois après la mise en place, nous en sommes satisfaits, on ne se sent pas perdus avec la distro embarquée.

Merci de vos contributions.

On utilise déjà un SAN Hp en fiber chanel pour nos machines virtuelles. Actuellement nous avons besoin d'un pur stockage bête et méchant mais conséquent, rackable et avec un minimum de sécurité matérielle.

Merci pour cet exemple en tout cas

Merci, je vais étudier la possibilité de monter moi-même le système.

Merci je vais étudier ça aussi.

Merci effectivement Synology et Thecus ont l'air bien aussi
En fait y'en a plein.

Merci,
Effectivement QNAP à l'air de revenir souvent et propose des gammes qui semblent très correctes.