-=[ silmaril ]=- a écrit 1470 commentaires

>Le souci avec x11 est qu'il faut un serveur X sur la machine d'accès.
>Mon bonheur semble FreeNX (cf plus haut).

FreeNX, de la même façon que NX de NoMachine est un "accélérateur" du protocole X11, il nécessite lui aussi un serveur X11 sur la machine client, mais je ne vois pas comment tu voudrais faire autrement.
C'est comme dire que tu veut faire du Citrix mais pas installer Windows sur le poste client, c'est pas possible.

Des clients leger implementant le protocole X11 il y en a suffisament sur la marché pour pas se prendre la tête avec le "besoin d'avoir un serveur X11" ...

> Cela fonctionne sauf que je ne sais plus utiliser passwd, une idée de la cause ?

Alors la je ne sais pas, ce n'est pas très complexe comme commande "passwd", peut-être un début d'alzheimer eventuellement

si le problème est plutôt de ne plus pouvoir l'utiliser il va falloir que tu active du debug sur pam et analyse les logs

Mouais, enfin sur les tels HTC en tout cas c'est pas du tout ça qui est utilisé.
Le tel se comporte comme une carte réseau usb standard, driver "usbnet", et ne nécessite qu'un simple "dhclient" sur l'interface qui apparait pour fonctionner.

un "export DISPLAY=:0" quelque part ça ne l'aiderai pas par hasard ?

Certes, sauf qu'on parle de tels mobiles la, donc avec un cache très réduit.
Et quelle que soit l'optimisation "multi-vue" que tu va apporter il va rester tout un tas de contenu inutile.
Les mobiles ont aussi une puissance de calcul relativement limitée, la mise en forme d'une page web n'est pas une opération anodine, surtout avec du js/css/xhtml et autres transformations coté clients.

Les 'applications' (enfin les bien foutues) permettent de réduire le besoin de CPU/BP/whatever et donc d'améliorer l'expérience utilisateur. Elles peuvent permettre une meilleure intégration aussi (exemple l'appli google map sur android). D'autres sont relativement peu différente d'un lien et ça c'est naze (l'appli page-jaunes sur android par exemple).

Il y a bien une solution pour eviter le mot de passe en clair (et encore selon les cas),
c'est l'auth Kerberos, via un domaine Active Directory ou un simple realm kerberos.

mais c'est pas le plus evident a mettre en place

pour info il n'y a pas de DRM sur les eBook d'oreilly, on peut les télecharger autant de fois que necessaire directement depuis le compte.

De ce que je vois c'est un système qui permet de gérer la signature de zones DNS afin d'en faire des zones DNSSEC, et ce avant de publier ces zones dans un serveur DNS autoritaire

Peut tout faire ou presque, juste pas tres user-friendly:

Impression livret (pour 16 pages, imprimante recto-verso):
pdfnup --nup 2x1 --paper a4paper --orient landscape input.pdf --outfile output.pdf --pages "16,1,2,15,14,3,4,13,12,5,6,11,10,7,8,9"

donc pour le recto ça doit être: "16,1,14,3,12,5,10,7"
et le verso "2,15,4,13,6,11,8,9"

>L'avantage de mon fichier est l'ajout d'une notion assez puissante : les listes de services. En gros, je créé des listes de services qui contiennent plusieurs services, puis j'utilise ces listes dans la déclaration des "hosts".

Excuse moi, mais je ne vois pas l'avantage par rapport a la configuration "native": nagios te permet de le faire directement, certes dans l'autre sens (déclarer des services pour une liste de hosts) mais le résultat est le même.

C'est juste a un point prêt, l'utilisation des eth0:0 est deprecated,
l'usage recommendé est "ip addr add dev eth0"

>a/ .... hMailServer pourrait très bien nous permettre de ne pas dépendre du smtp d'Oleane, c'est bien cela?

En effet, de ce que je déduit de ton message précédent, votre dépendance à un relai smtp
externe est redondante.

>b/ ... Nous avons un nom de domaine societe.fr géré côté oleane (Gandi) et l'idée est
>d'utiliser côté Altitude un sous nom de domaine type altitude.societe.fr. Ces 2 serveurs de
>mail sont indépendants et doivent fonctionner tous seuls.

>D'après tes explications, on s'orienterait dans un premier temps à la configuration numéro 2, en plus simplifiée a priori.

En effet dans ce cas c'est assez simple.

>Je suis d'accord avec toi, passer par un smtp externe est forcément moins intéressant, mais en l'état de mes connaissances et vu le délais dont je dispose, je devrais malheureusement aller au plus simple dans un premier temps.

Attention a plusieurs choses:
- Un serveur mail ça se configure avec attention, il est très facile d'obtenir un open relai (ideal pour les spammers, moins pour vous) ou un "no relai" qui va refuser tout les mails.

Je déconseille l'utilisation des howto pour ça (il y a de très bon livres chez oreilly pour tout les serveurs mail, mon préféré étant postfix) vous passerez a coté de bcp d'options et surtout de la compréhension de ce qui est fait, très mauvais pour la maintenance.

- Rajouter une configuration de relai smtp à un serveur mail pour un réseau interne est très facile (rajouter les IP dans la liste des réseaux autorisés pour postfix), ne vous arrêtez pas à cette "difficultée".

Cela peut de plus vous permettre d'étendre votre messagerie dans un second temps pour les postes itinérants / pda / ... (via le SMTP AUTH qui permet d'authentifier les utilisateurs avant d'autoriser le relai)

Avant de lire des tutoriels, qui sont ce qu'ils sont, je te suggererai de te renseigner
sur le fonctionnement du mail en général.

En résumé, l'envoi et la réception des messages entre serveurs se fait via le protocole SMTP,
dont tu trouvera une implémentation open source dans: postfix, exim, courier, sendmail et dans une certaine mesure qmail.

Les serveurs SMTP se "découvrent" entre eux via l'usage des entrées DNS de type "MX" (Mail eXchanger), et communiquent ensuite en SMTP. Ils prennent en chargent ensuite le local delivery ou le délèguent à un autre programme.

Déjà je vois plusieurs points étranges dans ta configuration:
* Vous avez un serveur de mail sur le premier site, pourquoi utiliser un relai smtp externe ?
(le serveur SMTP Oleane)
* Vous voulez monter un second site avec un second serveur de mail, quel sera sont usage:
=> MX Primaire ?
=> sur quel domaine ?
=> MX Secondaire ?
=> Relai externe ?
=> si non, pourquoi utiliser celui d'altitude

Plusieurs choses a savoir, mettons que ta societe utilise le domaine societe.fr,
tu peut envisager les configurations suivantes (entre autre):
1/ un serveur principal pour @societe.fr (celui qui permettra la récupération des mails en pop/imap) sur un site, et un mx secondaire sur l'autre (qui recevra les mails depuis l'extérieur et les mettra en attente du retour du primaire)

Tout tes utilisateurs devrons donc récupérer les mails sur un seul serveur, il faut prévoir la connectivité associée.

2/ découpage du domaine en deux sous-domaines site1.societe.fr et site2.societe.fr,
et configuration des serveur pour être MX primaire d'un domaine et secondaire de l'autre.
s'il n'y a pas vraiment de raison d'avoir des email en toto@site1.societe.fr tu peut configurer chaque serveur en MX primaire sur societe.fr et maintenir une liste de correspondance (toto@societe.fr et renvoyé a toto@site1.societe.fr, tata@societe.fr est renvoyé à tata@site2.societe.fr ....)

Dernier point, l'utilisation d'un relai externe (oleane/altitude) te prive de beaucoup de possibilité de diagnostiques sur vos envois de mails, je ne le recommanderai pas.

c'est vrai a un détail prêt: quand tu active du firewalling statefull (ce qui est automatique quand les règles font référence au états de connections) sur un routeur celui-ci doit garder un trace locale de toute les session ouvertes.

Cette table (la table conntrack) n'est pas illimité aussi y a t'il des mechanisme de GC pour la nettoyer. Il faut donc compenser cela par l'activation du mechanisme tcp keepalive afin de générer en cas d'absence de traffic des paquet permettants aux divers pare-feu sur le chemin de savoir que la connection est toujours ouverte

ouaip, ou sinon:

dd if=/dev/zero of=/dev/null bs=4096 count=2000000 ~
2000000+0 enregistrements lus
2000000+0 enregistrements écrits
8192000000 octets (8,2 GB) copiés, 1,03991 s, 7,9 GB/s


:)

Quand au projet c'est le MultiDeskOS du san: http://www.ethernetvirtualstorage.net/

Qu'est-ce que la sécurité des transactions pour toi ?

1/ le fait que la session soit cryptée pendant l'échange des informations ?
2/ le fait que tes données bancaires soient traitées de manière sécurisée *après* que
tu les aient fournies au site ?
3/ le fait que tu soit sûr de "causer" aux galleries lafayettes ?

Dans ton cas le 1 est toujours assuré, mais le 3 ne l'est "pas". Problème: les politiques
d'attributions des certificats font que l'AC va vérifier que le certificat est bien émis aux
propriétaires du domaine, pas que le domaine "lafayettelistes" appartient bien aux "galleries lafayette".

Le gros soucis dans tout ces sites n'utilisant pas les offres de TPEV des banques est le point 2, et ça quelque soit la validitée du certificat, certes il y a des audits mais comment dire ...

oui c'est possible:

tu met un bind en local (ou ailleurs remarque), avec un fichier de configuration du genre:

zone "domaine2.dom" { type forward; forwarders { 192.168.28.1;}; };
zone "domaine1.dom" { type forward; forwarders { 192.168.1.1;}; };

puis "nameserver 127.0.0.1" dans ton resolv.conf

Alors voila oui, tu peut utiliser un truc super lourd avec plein d'acronymes tout "Entreprise Ready" mais qui vont bouffer 500Mo de ram sur ta machine, ou te la jouer simple is beautiful:

tu ecrit en local dans un/des fichiers + un cron qui test la presence de la cible (ping -c 1 par exemple) et qui envoi les données (scp).

ou tu fournit un service uucp et ta cible fetch les données a intervalle régulier via uucp par exemple (cf uucpssh le service de mail "asynchronisé") ou toujours via scp

Ci dessous un extrait de config pour ISC DHCP 3 utilisable avec le dhcp-snooping de switchs ciscos:

if exists agent.circuit-id
{
log ( info, concat( "Lease for ", binary-to-ascii (10, 8, ".", leased-address), " is connected to interface ",
binary-to-ascii (10, 8, "/", suffix ( option agent.circuit-id, 2)), " VLAN ",
binary-to-ascii (10, 16, "", substring( option agent.circuit-id, 2, 2)), " on switch ",
binary-to-ascii(16, 8, ":", substring( option agent.remote-id, 2, 6))));

log ( info, concat( "Lease for ", binary-to-ascii (10, 8, ".", leased-address),
" raw option-82 info is CID: ", binary-to-ascii (10, 8, ".", option agent.circuit-id), " AID: ",
binary-to-ascii(16, 8, ".", option agent.remote-id)));
}

Exemple de sortie
dhcpd: Lease for aaxx.yy.200 is connected to interface 1/6 VLAN 40 on switch 0:23:5d:68:ec:0
dhcpd: Lease for aa.xx.yy.200 raw option-82 info is CID: 0.4.0.40.1.6 AID: 0.6.0.23.5d.68.ec.0

>Le seul truc c'est d'ouvrir tous les ports de la freebox vers la patte "wan" du routeur.

SInon tu peut aussi désactiver le mode routeur de la freebox, ça evite du double NAT et toute ces redirections.

Et la TV marche tjrs ainsi que le tel wifi

Ce que dit le site c'est que tu ne peut pas utiliser le 'namevirtualhost' en https pour identifier le site demandé et fournir un certificat adapté car c'est le chat qui se mort la queue: pour obtenir le host demandé par l'internaute il faut decrypter la communication et pour ça il faut un certif+clef privé.

Par contre tu peut faire des virtualhost basés sur le nom, le seul soucis est que pour que
les navigateurs ne ralent pas trop il faut que le certificat matche, pour ça effectivement un certificat wildcard si les domaines sont de même forme, ou un certificat avec une liste de domaine sinon permettent un bon fonctionnement.

Pour la configuration oui je l'ai déjà faite, c'est une config vhost standard, il faut juste specifier les infos ssl adhoc et mettre le certificat dans tout les vhost

2° Ethernet bonding en faillover donc mode actif/passif.
du bonding en mode=1 quoi, alors pas de soucis tu peut te mettre sur deux switchs distincts.

3° Ok, quelqu'un a une idée ?
fait plutot du miimon, exemple:
options bonding mode=1 miimon=200 downdelay=200 updelay=200

les options de bonding sont la pour détecter si l'interface marche ou pas, les arp_* sont
une solution de backup si tu ne peut pas utiliser l'état physique de l'interface, auquel cas
tu utilise une adresse mac proche (le switch de preference).

4° Dans ce cas, autant en VRRP qu'en ethernet bonding, comment est-ce que cela marche pour que les switches comprennent que l'adresse mac virtuelle n'est plus sur le port X mais sur un port Y ?

Basiquement la table ARP est nettoyée lorsque les interfaces associés passent down (celle d'un switch down ou celle d'un serveur), de la deux possibilité: si ton serveur est le plus "rapide" a parler sur la nouvelle interface: l table arp du switch est mise a jour, sinon si c'est un paquet a destination de ton serveur qui arrive en premier le paquet est broadcasté et la reponse de ton serveur est utilisée pour mettre a jour la table ARP

C'est la base du problème de sécu réseau chez ovh d'il y a qques temps ( http://www.linuxfr.org/forums/12/27292.html )

5° Si le firewall actif change, le kernel du nouveau firewall enverra un gratuitous ARP sur demande de vrrpd, correcte ?

cf source de vrrpd, a priori oui.
toutefois en théorie en VRRP l'adresse IP est associée a une MAC virtuelle qui n'est pas sensée changer, donc pas besoin de gratuitous arp

Il y aura 5 serveurs derrières les firewall, chaqu'un utilisant 2 interfaces pour le réseau de production, une pour le management et une interface pour une carte DRAC.

Pourquoi une interface physique a part pour le management si c'est pour le brancher sur le même switch au final ?
Fait plutôt des vlans sur ton bonding

Un de ces 5 serveurs ne sera pas connecté au réseau de production. J'aurai donc besoin de 25 interfaces pour connecter tout ce monde

Ah ?
4*4 + 1*2 => 18 chez moi

on ne peut pas faire de virtual host HTTPS dans apache.

si on peut !

ce que l'on ne peut pas c'est avoir plusieurs certificats différents pour une même adresse IP ce qui n'est pas pareil :)

Tu peut (il est possible de le faire, après est-ce qu'une PKI publique le permet ça ...) avoir un certificat avec une liste de plusieurs domaines et utiliser celui-ci pour plusieurs vhost https

1° Le choix des switchs vous semble-t'il bon ?

difficile à dire sans connaitre ton trafic ni plus d'info sur ton archi.
je dispose des deux modèles, ils sont globalement très bien, la gamme 3560 est plus taillée pour faire du routage tandis que les 2960 sont des switchs niveau 2 basiques.
après j'ai des soucis a faire de l'iSCSI sur des 2960 (paquets droppés par le switchs) mais les 3560 n'ont pas de buffers bcp plus gros et ont va devoir passer sur du 3750

2° Est-ce que je peut faire de l'ethernet bonding (côté serveur) sur deux switchs différents ?

ça dépend de ce que tu appelle "ethernet bonding", nous on fait du bonding actif/passif "de base" et ça marche très bien, ça change de port et repart très vite.

si tu veut faire du lacp sur deux switchs distinct c'est possible mais pas avec les modèles que tu a selectionner. il faut en face des switchs stackable (gamme 3750 par exemple).

3° Si il y a un problème sur le lien entre un serveur et le firewall actif, en partant du principe que j'utilise les options arp_ip_target et arp_interval_options du module de bonding, est-ce que le serveur va utiliser son autre interface pour joindre le firewall ?

don't know

4° Si une interface de serveur tombe, il utilisera l'autre. A ce moment là, le kernel devrait envoyer un gratuitous ARP pour notifier les autres machines dans le broadcast domain du changement d'adresse MAC. Les autres machines vont-elle écouter ce ARP update et mettre à jour leurs caches ARP ?

euh normalement non, quand tu va monter le bonding tu n'aura plus qu'une adresse mac

5° Si le firewall actif change, le kernel du nouveau firewall enverra un gratuitous ARP sur demande de vrrpd, correcte ?

c'est quoi ton firewall ?
mais normalement le VRRP c'est a base d'adresse MAC virtuelles pareil, donc non. c'est juste la table de MAC du/des switchs qui va être mise a jour.