Bernez a écrit 1089 commentaires

Ton certificat SSL TLS

Certificat TLS X.509 !

Le mot « index » n'est pas utilisable comme nom de variable car c'est déjà un nom de fonction interne à awk. Remplace-le par « indice » et ça devrait fonctionner. Je ne sais pas comment Nicolas Casanova a fait pour le faire tourner tel quel.

je rappelle l'obligation d'un compte gmail pour un device Android (saut si on utilise une ROM of course)

Tu peux préciser ? J'ai un Android (avec la ROM native) depuis quelques mois et je n'ai pas eu besoin de créer un compte google. Cela ne semble nécessaire que si on veut utiliser les services google. Comme sur PC donc.

GnuTLS est utilisé par OpenLDAP également.

En effet. Tu devrais ajouter un commentaire pour leur signaler le problème de certificat. /o\

Ne vouloir que des applis gratuites, sans pub… et pourquoi pas une turlute de la part du développeur aussi ?

C'est pourtant ce qu'on a sur nos ordinateurs.

et ca change quoi par rapport à telnet ? :p

Netcat gère l'UDP, et peut faire serveur.

Quand tu veux comprendre un outil, il faut des fois rechercher des messages d'erreur sur le web. Et si ton message est localisé, t'as du mal à trouver.

Il m'arrive d'avoir des logiciels que j'utilise en français en temps normal, et que je passe en anglais juste quand j'ai une erreur et que je veux faire une recherche dessus sur le web. Pour moi il n'y a pas d'incompatibilité entre les deux approches.

On peut avoir une seule IP qui héberge plusieurs sites web en SSL avec des noms de domaines différents et des clés SSL différentes?

Oui, grâce à l'extension Server Name Indication du protocole TLS (SSL). Mais toutes les implémentations ne le supportent pas, en particulier les anciennes.

J'ai plusieurs adresses, pro et persos, et je veux pouvoir basculer facilement de l'une à l'autre.

Une simple recherche sur « mutt multiple accounts » dans un moteur de recherche apporte plein de solutions (comme celle-ci, celle-là, et bien d'autres).

Et surtout définir des règles automatiques : telle adresse pour telle mailing-list ou tel destinataire, etc.

C'est précisément à ça que servent les send-hook. Ça fonctionne très bien.

Pouvoir consulter un mail ou plusieurs en même temps qu'on en rédige un nouveau.

Il n'y a pas de solution élégante à ce problème, mais en général les utilisateurs de Mutt aiment bien le mode texte et utilisent donc un logiciel comme screen, qu'on peut exploiter pour lancer une autre instance de mutt facilement accessible en parallèle. C'est ce que je fais personnellement.

Et pouvoir ouvrir une pièce jointe en tâche de fond.

Le script mutt_bgrun permet de faire ça.

Accessoirement, ne plus passer par le sendmail local a aussi été un soulagement : j'avais eu des problèmes en envoyant tout à mon FAI, mais configurer dans Exim4 les différents SMTP (et leurs authentifications) à utiliser en fonction des identités était difficile et fragile.

Mutt supporte le SMTP depuis longtemps (variable $smtp_url, etc). À utiliser avec des hooks si nécessaire, comme d'habitude.

Pourquoi ne pas faire un système comme avec les clés GPG ?

Il existe une extension TLS permettant d'utiliser des certificats OpenPGP au lieu des habituels certificats X.509. Bon, en termes d'implémentations existantes, c'est encore assez restreint malheureusement.

J'ai beau faire pleins de tests différents, je n'arrive pas à faire marcher les touches quand le numlock n'est pas activé.

Tu as l'impression que le clavier n'envoie rien au système dans ce cas là ? Tu peux vérifier ce qui se passe avec le programme "xev".

Mais que ça soit udev ou xkb, je dois lancer le tout manuellement (l'option XkbDir n'a pas marché, il me dit que ça n'existe pas).

Personnellement je n'ai jamais testé XkbDir. Je l'ai découvert dans le man de xorg.conf. Tu l'as bien mis dans la section "Files" ?

J'utilise une commande xkbcomp dans mon ~/.xsession, mais ça ne marche pas toujours bien. Parfois je dois la relancer à la main.

Changer les attributions de touches de clavier est moins trivial que ne le sous-entend NeoX, mais c'est possible. On peut même faire des choses très fines, au prix de configurations un peu complexes.

Pour se familiariser avec la syntaxe du truc et faire des tests rapides, tu peux faire comme suit :
1. mkdir ~/xkb ; cd ~/xkb
2. xkbcomp :0 -xkb
3. éditer la section "xkb_symbols" du fichier server-0.xkb (cf. /usr/include/X11/keysymdef.h pour les noms de caractères)
4. xkbcomp ~/xkb/server-0.xkb :0
5. observer le résultat, et recommencer les étapes 3 et 4

Ensuite pour faire prendre en compte automatiquement par Xorg et pour le bon clavier, il faut adapter xorg.conf comme conseillé par chimrod, en y ajoutant :
XkbDir "/home/dafp/xkb"

Dans ~/xkb il faudra probablement créer un sous-répertoire "symbols" et y mettre un fichier ressemblant à ce que tu trouves dans /usr/share/X11/xkb/symbols, en suivant des docs comme http://www.charvolant.org/~doug/xkb/html/, http://michal.kosmulski.org/computing/articles/custom-keyboard-layouts-xkb.html ou http://madduck.net/docs/extending-xkb/.

Si ton serveur peut accéder en SSH à ton poste client, utilise un tunnel SSH. Depuis ton serveur, lance :
ssh -R 2222:localhost:22 login_client@adresse_de_ton_client
Tu peux lancer cette commande depuis screen pour pouvoir le détacher du terminal.
Ensuite, depuis ton client tu te connectes avec :
ssh -p 2222 login_serveur@localhost

Tu peux utiliser n'importe quel port à la place de 2222, du moment qu'il est libre sur ton client.

Ceux qui n'ont pas besoin de laisser les courriels sur le serveur ?

On peut en faire autant avec IMAP (je le fais). Pour autant que je sache, POP ne propose rien d'infaisable avec IMAP. Le contraire n'étant pas vrai, et se traîner deux protocoles étant lourd, je ne vois aucune raison d'utiliser POP.

Je ne suis pas calé en windowseries, mais il me semble que, dans un serveur SMB, les id de tes utilisateurs doivent être cohérent avec le sid du serveur (ils l'incluent). La commande "smbpasswd -W" fait une entrée de serveur dans ton annuaire LDAP, en improvisant un SID. Comme tes utilisateurs ont été créés sur ton premier serveur, ils ont des id qui fonctionnent avec le premier serveur, et pas avec le deuxième. La bonne solution à ton problème dépend de la réponse à la question « pourquoi faire un deuxième serveur avec la même base d'utilisateurs ? ». Si tu veux faire de la répartition de charge ou du secours, tu ferais certainement bien de lire de la documentation spécialisée sur le sujet, et de bien comprendre les arcanes du truc.

On dirait que tu as oublié de lancer la commande "smbpasswd -W" (en root) sur le second serveur.

Les grands voleurs, ceux qui ne se font pas attraper, son**t** habillés en costume-cravate, c'est pour qu'on les "respecte". Ici, c'est pareil, mis à part que le costume-cravate est remplacé par l'orthographe.

Je ne suis pas exempt de fautes, loin**s** de moi cette pensée, mais j'essaye qu'elles ne soient pas trop visible**s**.

Pas sûr que ce soit réussi niveau invisibilité des fautes.

Y a t il un moyen de vérifier que le serveur tourne correctement ? (coté client + coté serveur) ?

ldapsearch -ZZ …

Et selon la façon dont tu as généré ton certificat, tu pourrais avoir à mettre "TLS_REQCERT try" dans ton ldap.conf (ou .ldaprc).

Pour réinitialiser la configuration d'un serveur OpenLDAP, un "aptitude purge slapd" éventuellement suvi de "rm -rf /etc/ldap /var/lib/ldap" doit suffir. Ce n'est pas normal d'avoir à effacer /usr/lib/ldap. Quant à effacer slapd à la main, c'est du n'importe quoi. Si tu as cochoné ton système à ce point, il vaut mieux le réinstaller complètement.

j'ai décidé de me passer de TLS, pour déjà mettre en place LDAP SANS protection (oui,je sais, c'est mal)

Tu es conscient que, non seulement tes clients ne vont pas authentifier le serveur, mais qu'en plus les mots de passe utilisateurs vont circuler en clair sur le réseau ? La question de la configuration de TLS avec OpenLDAP a été posée récemment sur ces forums et j'y avais répondu en expliquant la marche à suivre.

il me manquait 2 paquets (il me manquait 2 fichiers dans schema) : libnss-ldap libnss-ldapd

Ces deux paquets sont incompatibles. Ils font le même travail et on ne peut normalement pas les installer en même temps sous Debian.

ne souhaite pas que son travail soit dénaturé (ND). Est-ce réellement choquant ?

Qu'est-ce qui est le plus probable ? Que quelqu'un produise volontairement une version dégradée de la police et la diffuse autant que possible dans l'unique but de nuire à la réputation de l'auteur original, ou bien que quelqu'un essaye de l'améliorer, par exemple en ajoutant des caractères ou en perfectionnant ou débuggant les propriétés OpenType ? Une simple ouverture dans Fontforge dévoile des défauts dans les propriétés OpenType. Je pourrais être tenté de les corriger, mais je n'ai pas le droit !

Je pense qu'il s'agit plus des habituelles peurs irrationnelles du type de celle qui donnent tant de succès au NC. On n'a pas fini de faire de la pédagogie pour dédiaboliser le libre…

Actuellement X.org (et xmodmap) reconnaissent une certaine liste de keysyms. Cette liste est certes longue mais très lacunaire par rapport aux standards modernes (unicode). Est-ce que Wayland offre la compatibilité des caractères de x.org, ou bien est-ce qu'il permet d'assigner n'importe quel caractère unicode à une touche du clavier ?

Avec xkb sous Xorg on peut déjà assigner n'importe quel caractère unicode à une touche de clavier. Voici un extrait de la configuration xkb de mon clavier :
key {
[ U0924, U0925, U091F, U0920 ]
};

UXXXX représente bien entendu le caractère unicode U+XXXX.

172.18.0.0 se trouve 172.16.0.0/12.

Il y a quelque mois, j'ai transféré un disque dur, sur lequel était installé un Linux tenu à jour, d'un vieil ordinateur fixe à un ordinateur portable récent. Tout le matériel a marché dès le premier démarrage. Je n'ai du touché à rien. Ce n'est bien qu'une question de qualité du système d'exploitation.

Ce n'est pas compliqué: Le projet de loi est clair : ordinateur

Non. L'amendement parle uniquement de « matériel informatique ».

Un ordiphone/tablette ne sont pas des ordinateurs.

Qui a dit ça ?