-=[ silmaril ]=- a écrit 1463 commentaires

Hum chez moi thunderbird utilise les fonctions imap pour tagger les mails.

Je peut même pre-tagger sur le serveur via des règles sieve

perso j'ai toujours la barre de menu "historique" dans mon firefox ^{^} et pareil chrome me soule vite

Tu as deux options:

• Allow,Deny

On commence par ouvrir au maximum, et ensuite on referme un peu, cas d'usage typique: blacklister une ou plusieurs ip/network

Dans ton exemple il faudrait donc faire un truc comme ça:

Order Allow,Deny
Allow from all

Exclure toutes les IP de 149.202.0.0/16 "autour" de 149.202.99.99

Deny from 149.202.0.0/18
Deny from 149.202.64.0/19
Deny from 149.202.96.0/23
Deny from 149.202.98.0/24
Deny from 149.202.99.0/26
Deny from 149.202.99.64/27
Deny from 149.202.99.96
Deny from 149.202.99.97
Deny from 149.202.99.100/30
Deny from 149.202.99.104/29
Deny from 149.202.99.112/28
Deny from 149.202.100.0/22
Deny from 149.202.104.0/21
Deny from 149.202.112.0/20
Deny from 149.202.128.0/17

• Deny,Allow

La on part en général d'une porte fermée pour laquelle on veut entre-ouvrir quelques adresses.

Dans ton exemple:

Order Deny,Allow
Deny from 149.202.0.0/16
Allow from 149.202.99.99

c'est un peu plus simple :D

Le order allow,deny n'est pas le problème ici, c'est la compréhension du fonctionnement.

Order Deny, Allow
deny from demi-range OVH #avant l'IP que tu veux autoriser
deny from demi-range OVH # apres l'IP que tu veux autoriser
allow from all # autoriser le reste du monde

Cette solution ne marchera pas mieux:

Toutes les directives Deny sont évaluées en premier ; si l'une au moins convient, le requête est rejetée, sauf si une directive Allow convient aussi. Enfin, toute requête à laquelle ne convient aucune directive Allow ou Deny aura l'autorisation d'accès par défaut.

Donc en gros le deny,allow avec un "allow all" est l'équivalent d'une porte grande ouverte.

Order Allow,Deny
Allow from IP-specifique qui doit y acceder
Deny from all

Meme motif, punition inverse:

Toutes les directives Allow sont évaluées en premier ; l'une d'elles au moins doit convenir, faute de quoi la requête sera rejetée. Vient ensuite le tour des directives Deny. Si l'une au moins convient, le requête est rejetée.

=> du coup la c'est une porte fermée pour tout le monde

est-tu sûr de ne pas intervertir sftp et ftps quelque part ?

sftp c'est un protocole au dessus de ssh, tu peut tester le client "de base" sftp peut-être

il faudrait activer les logs et regarder en détail pour pouvoir t'aider

Je sais bien que ce n'est pas le sujet mais entre les fautes d'orthographes et les constructions de phrases il est très difficile de te lire et de comprendre ton message …

Il manque beaucoup d'information dans ton message, notamment les détails sur ta distribution linux et les versions des logiciels en question.

NB: "keyring" n'est pas un logiciel dans ce contexte, c'est un terme générique signifiant "trousseau de clef", normalement en effet gnome-keyring est le demon en charge de la fourniture d'un trousseau sécurisé sous gnome.

Il y a plusieurs pistes ici, il semble probable que ton trousseau ne se déverouille pas/plus a la connection, empechant l'enregistrement des mots de passes

https://bugs.launchpad.net/ubuntu/+source/evolution/+bug/1299604

Que ce passe t'il exactement quand tu tente d'envoyer un email a une adresse "inconnue" ?

pour la configuration, firefox et thunderbird utilisent une configuration en texte brute, sous forme d'un fichier javascript, "locate prefs.js" devrait te donner l'emplacement du fichier de configuration sur ta machine, attention c'est le meme nom pour firefox.

Sinon l'editeur est dans Edition > Préférences > Avancé > Général

y a un module de compatibilité qui permet de garder l'ancienne syntaxe

mais qui marche très très mal
Et encore moins bien si tu mixe les syntaxes nouvelles/anciennes

Mais ce que j'arrive pas comprendre c'est pourquoi postfix ne traite pas le fichier header_checks (alors qu'en testant avec
postman c'est pile poil ce dont j'ai besoin).

postmap ne fait que tester une map, il ne permet pas de determiner si postfix comprendra son resultat au moment ou cette map sera utilisée.

Il y a quelques warnings sur (smtp_)header_checks et REDIRECT qui parlent de l'impossibilité d'utiliser REDIRECT lors des checks smtp:

This feature is not supported with smtp header/body checks.

mais dans le même temps de nombreux exemples existent de REDIRECT basé sur des sujets, from,…

J'avais vu le lien que tu as mis, mais ca me semble être plutôt pour marcher dans l'autre sens, en réception.

c'est possible dans l'exemple, mais pour postfix la reception ou l'emission c'est peut ou prou la même chose à ce niveau.

Je suis sidéré de ne rien trouver sur le net, ça m'avait semblé plutôt trivial comme besoin au départ …

Hum trivial faut pas exagerer non plus ;)
Et il y a max d'exemple sur le net d'ailleurs de header_checks+REDIRECT

D'ailleurs, n'aurait tu pas un "receive_override_options=no_header_body_checks" qui trainerait quelque part dans ta configuration (main/master) ? Il est dangereux de ne fournir qu'un extrait de config, surtout avec postfix

En théorie ta solution devrait marcher d'ailleurs,

Il existe une autre methode moins bourine que la mienne avec les restrictions classes, et autre trouvable ici:

https://serverfault.com/questions/284702/redirect-specific-e-mail-address-sent-to-a-user-to-another-user

A priori je verrais ça comme ça:

• mise en place d'un process smtp supplementaire avec une recipient_canonical_map qui re-ecrit les destinataires vers redirect@mondomaine.fr

• dans le main, ajout d'un sender_dependent_relayhost_maps qui gère l'exception du projets@mondomaine.fr

Quelque chose dans ce gout la:

master.cf

127.0.0.1:10025 inet n       -       -       -       -       smtpd
  -o recipient_canonical_map=regexp:/etc/postfix/recipient_canonical_map
  -o recipient_canonical_classes=envelope_recipient

main.cf

relayhost=<normal-relay-conf>
sender_dependent_relayhost_maps=hash:/etc/postfix/sender_dependent_relayhost_maps

/etc/postfix/sender_dependent_relayhost_maps

projects@mondomaine.fr DUNNO
@mondomaine.fr smtp:127.0.0.1:10025

/etc/postfix/recipient_canonical_map

!/mondomaine/ redirect@mondomaine.fr

Effectivement pas trop le choix dans ce cas.

Vu l'usage le reverse d'apache suffira effectivement, après tu peut aussi vu le cas d'usage utiliser/monter un service de vpn pour le serveur mais aussi pour les clients configuré pour former un vrai reseau virtuel entre tout ce monde et pas un fonctionnement en isolation.

ça t'éviterai le proxy, rajoute une sécurité pour l'accès au service (vu qu'il y a une notion d'embarqué c'est rarement un truc qu'on laisse ouvert a tout les vent) et peut-être même te permet
trait d'utiliser un service VPN générique, bien que pour ça je ne fasse que suposer.

Hum, si tu as moyen d'avoir un serveur dédié 'en relais', pk ne pas mettre le site web en question diretement sur le dédié ?
(je sais que ça ne répond pas à la question, mais les avantages en terme de débit, stabilité et latence sont quand même non négligeable…)

Sinon oui, il va te falloir un vpn, initié par le serveur derrière le modem 4G, et un haproxy ou équivalent (apache, nginx) sur le dédié pour proxifier les flux.

Tu peut aussi jouer avec du nat mais vu l'interco je passerais plus par un proxy.

http://lmgtfy.com/?q=xmpp+clients+features

Tu voudrais pas 100 balles et un mars aussi par hasard ?

.
.
.

Sur notre ancien SAN/NAS a 56 HDD (Fiber Channel, 15k) on changeait 3 a 4 disques par ans, sur le nouveau avec ses 20 SSD (800Go) aucune erreur détecté pour le moment après 1 an de service donc tout les experiences existent.

Je ne sais pas combien de serveurs tu as mais pour avis un avis "fiable" il va falloir des études sur des grands nombres (dizaines de milliers de disques) sur les deux types medias je pense. Un truc que google, amazon ou autre nous sortira un de ces quatres.

bref j'ai l'impression qu'un bon vieux disque dur était soit en panne soit en fonctionnement mais pas entre les deux

Euh, d'experience le HDD en partiellement vrac avec secteurs defectueux ça réagissait pas mieux que ce que tu raconte. C'est un problème qui à toujours existé, avec tout les stockages.

J'ai des mauvais souvenirs des disques "raptors" qui une fois utilisés ne supportent pas un arrêt de trop longue durée (6 mois dans une armoire, sans bouger => secteurs illisibles aleatoires sur tout le disque)

C'est comme tout, tout est histoire d'habitude.

Si tu fait de la BDD relationnelle depuis 20 ans devoir te plonger dans le fonctionnement d'un ldap va te sembler très "chiant" et difficile. Mais la gestion d'un Mysql/Oracle/whatever est pas particulièrement simple non plus, surtout quand tu cherche à atteindre les performances en lecture et la souplesse d'un annuaire LDAP.

Personnellement je ne pleure pas en regardant Microsoft avec AD, ce n'est qu'une implementation d'un annuaire LDAP + d'un domaine Kerberos et j'ai ça en place depuis 10 ans avec openldap et des KDC MIT ici, on a meme réussi a faire parler les deux mondes ensembles lors de la migration AD du domaine quelques années après.

Je n'ai pas compris. Les logiciels de serveur LDAP stockent leur données dans des bases de données type Mysql/MariaDB/PostGreSQL non?

Non, pas du tout, MySQL/MariaDB/PostgreSQL sont des moteurs de bases de données relationnelles, trop complexe et inadapté au besoin de stockage d'un annuaire LDAP. OpenLDAP à utilisé BerkeleyDB (BDB) comme stockage pour ses datas, puis des moteurs similaires mais plus adaptés type HDB, voir des versions spéciallement conçues pour (MDB/LMDB).

Mon désire est juste de pouvoir tout migrer vers le Cluster quand il sera fonctionnel, et pouvoir backup régulièrement le LDAP en attendant.

Je ne sais pas a quoi tu fait référence en parlant de "le Cluster", mais les annuaires LDAP gèrent la réplication en natif, pas besoin d'un Mysql pour ça.

En tout cas je souhaite vraiment une page profil où les utilisateurs peuvent changer les infos de bases (ça me semble être la base d'un mécanisme de session : ne pas déranger l'admin pour un rien)
changer son login/identifiant fait rarement parti des "infos de base", c'est souvent une clef d'identification critique, je ne connais pas des masses de systèmes qui laissent tout un chacun changer cela. Même sur une infrastructure Microsoft la seule information qu'un utilisateur AD peut modifier c'est son mot de passe.

ça se fait assez simplement avec https://github.com/roehling/postsrsd par exemple.

la config est un peu plus complexe pour exim que pour postfix mais tout est donnée
https://github.com/roehling/postsrsd/blob/master/README.exim.md

Effectivement, my bad…

Pour ma défense la normalisation de la chose laisse a désirer:

The specification of functionality is described by an RFC draft draft-behera-ldap-password-policy-09.txt which appears to have remained in that state since since 2005.

• Le LDAPS sur port dédié est deprecated, il est recomamndé d'activer le STARTTLS sur le port 389

• Un serveur LDAP est un annuaire, ce n'est pas lui va gérer la compléxité/rotation/historique de mots de passe d'ailleurs

..aucune éruption de boutons ni réflexe vomitif à la vue de l'interface libreoffice et ca marche très bien pour ce que je lui demande.

Wps office est un projet qui peut être intéressant, pas libre de ce que je vois mais pourquoi pas

En gros avec le premier code tu va générer 4 processus (un processus parent et 3 fils), alors que dans le le second tu va avoir 8 processus:

Le premier fork va doubler les processus, le second fork va s'executer sur les deux processus donc => on double encore, le troisième fork va s'executer sur les quatres processus => 8 processus.