En gros, ça veut dire la faire tourner sur une infra indépendante de ton infra actuelle (pas une VM sur les mêmes hyperviseurs, peut-être même un serveur dédié - ou chez un prestataire externe - mais attention aux SLA) que tu répliques sur un autre site. Et tout ce qui est nécessaire à l'accès à la doc (authentification, SSO, etc) doitr être géré de la même façon.
J'y ai bien pensé mais c'est trop lourd pour notre petite structure.
Après il faut penser à la doc de remise en service du service de gestion de doc technique :)
C'est le serpent qui se mord la queue…
Mais si les choses sont bien faites, il y aura peu d'informations à partager entre vous (dossier partagé sur un serveur bureautique, ou repo GIT, synchronisé régulièrement vers les postes de travail des collaborateurs ?
L'idée d'un espace de stockage accessible uniquement au service info synchronisé régulièrement est pas mal. Il faut croire que c'était trop simple :)
Loin de moi l'idée d'arrêter l'infra avec le suivi EcoWatt… L'onduleur est là pour ça mais je cherche plutôt à être informé d'une potentiel coupure pour ne pas être pris au dépourvu le jour où elle arrive et à la réflexion cela va plus loin que l'infra, c'est toute l'organisation de la société qui doit être averti.
Par exemple :
- la préparation de commandes qui se passent depuis un terminal wifi, pas de courant, pas de wifi… pas de préparation.
- le service adv qui attend un mail d'un client pour une commande, pas de courant, pas d'internet, pas d'erp… Pas de commandes.
Ce genre de coupure touche toutes les couches d'une société et le savoir à l'avance permet de s'organiser, anticiper et s'adapter pour au moins maintenir une activité minimal.
Avoir l'agent zabbix d'installé ajoute pas mal de possibilités quand même. Si tu as Ansible ou Puppet sous la main, c'est vite fait aussi.
Je déploie pas des serveurs tout les jours mais pour différentes raisons j'ai des OS qui ne sont pas tout jeune et du coup les agents ne sont pas forcément prévu pour et certain sont critique donc pas moyen d'installer et faire de la compil directement dessus.
Récemment, on a ajouté Grafana qui va chercher ses données directement dans l'API Zabbix, quand on regarde des graphs ou pour construire des tableaux de bord, c'est beaucoup plus évolué et souple. Mais je m'en suis passé pendant des années, c'est juste du confort, on peut faire tout ça dans Zabbix.
Ça pourrait être pas mal au lieu d'avoir le mille feuille telegram, prometheus… Zabbix collecte et Graphana n'a qu'une source et à maintenir cela me parait plus simple.
to dn.subtree="cn=krbContainer,ou=kerberos,ou=Services,dc=mon,dc=dom"
by dn.exact="uid=kdc,ou=kerberos,ou=Services,dc=mon,dc=dom" read
by dn.exact="uid=kadmin,ou=kerberos,ou=Services,dc=mon,dc=dom" write
by * none
kadmin.local se connecte avec le uid kadmin. Ldapsearch et ldapmodify marche correctement mais il n'utilise pas le compte kadmin, mais soit le compte root pour un accès local et config ou alors le compte admin défini dans la branche.
C'est une des pistes pour contourner ldap mais avant il faut que je valide que toutes les appli utilisant ldap directement sont capable de communiquer avec un AD ou alors passer par radius.
Pour mes test :
Pour le moment je n'ai même pas paramétré/démarré samba4, j'en suis a avoir un annuaire LDAP correspondant à la structure souhaité et ensuite faire en sorte que kerberos communique correctement avec LDAP.
J'ai bien sûr continué à chercher et mon problème est vraiment une ACL qui empêche kerberos d'écrire dans ldap.
Le problème n'est pas qu'il ne veut pas être joignable. Le problème est qu'il est allergique à tout ces appareils, qu'il n'est pas du tout à l'aise à les nouvelles techno au sens large et qu'il a pas envie d'apprendre à utiliser une smartphone.
J'ai essayé il y a quelques temps de lui donner un téléphone à touches très simple… Il trône au dessus du frigo totalement déchargé depuis plusieurs mois et quand je lui en parle il me dit : laisse moi tranquille avec ton téléphone… Oui c'est pas un cadeau mon père sur ce sujet ;)
Bien sûr que c'est sa liberté et je ne cherche pas remettre cela en cause.
Je cherche juste un moyen pour savoir où il se trouve quand sa fait deux jours qu'on arrive pas le joindre chez lui et qu'il n'est pas a son appartement.
Le point à ne pas négliger est la contrainte éditeur. Par exemple j'ai à 80% un parc serveurs en Linux, le reste est composés de Windows parce que telle ou telle logiciel fonctionne uniquement sur un environnement Windows et qu'il n'existe pas d'alternative viable dans l'univers de l'OpenSource (paie, pointeuse…).
Tu peux choisir Linux pour la partie système et réseau (DNS, DHCP, authentification… Bref l'invisible pour l'utilisateur) mais pour le reste tu dois composer avec le besoin, ce qui est dispo sur le marché et tes convictions.
SMB n'a pas le même usage que NFS, SSHFS, iSCSI. Il provient du monde de Windows et l'objectif initial était de permettre à tout les ordinateurs d'un même workgroup de ce voir et d'échanger des fichiers. Ensuite sont venu l'authentification, la couche DNS, les GPO…
NFS il faut connaitre à l'avance la machine que tu souhaite atteindre, ensuite connaitre le nom du point de montage. C'est parfait pour de l'échange entre serveurs, mais pas vraiment exploitable au quotidien par un utilisateur.
SSHFS pour moi c'est pour transférer un fichier à un moment précis.
iSCSI, tout comme NFS c'est pour de l'échange entre serveurs à un niveau inférieur en mode block.
Merci pour tes infos, je comprends un peu mieux la logique. A la relecture de ma question il y a un sujet que je n'ai pas abordé : docker, traefik et les certificats Let's. Actuellement traefik est configuré pour faire une demande de création de certificats à Let's sur le domaine example.com et il utilise l'API d'OVH pour faire en sorte de Let's retrouve tout ce qu'il faut pour valider le certificats. Ces containers sont accessible uniquement en interne et ils le resteront. Par exemple pour le container en charge de GLPI j'y accède par glpi.example.com, sur mon bind actuel j'ai cette config pour la zone example.com
$ORIGIN example.com.
$TTL 86400 ; 1 day
@ IN SOA dns11.ovh.net. admin.example.com. (
3667417071 ; serial
21600 ; refresh (6 hours)
3600 ; retry (1 hour)
604800 ; expire (1 week)
86400 ; minimum (1 day)
)
@ IN NS ns11.ovh.net.
@ IN NS dns11.ovh.net.
localhost A 127.0.0.1
@ IN A 213.186.33.2
www A 213.186.33.2
galerie CNAME www
share CNAME www
galerie CNAME www
mail CNAME www
smtp CNAME www
imap CNAME www
pop CNAME www
ftp CNAME www
pim CNAME www
mdm A 192.168.xxx.xxx
; Serveur docker
*.example.com. A 192.168.xxx.xxx
Du coups il me parait logique que je conserve la gestion local du domaine example.com pour les machines locales et si j'ai bien compris je vais avoir trois cas :
- une zone pour *.marue205.example.com : accessible uniquement par mes machines locales, chargé de résoudre les ip locales et non accessible depuis l'extérieur;
- une zone pour *.example.com : accessible uniquement par mes machines locales, chargé de faire la correspondance pour cette zone qui renvoie soit sur une IP locale (docker par exemple) soit sur une IP externe;
- les requêtes pour les autres domaines qui seront redirigés par mon bind vers le DNS de mon opérateur.
Demain si j'ajoute un domaine, monautrerue90, j'ai juste a ajouter une zone monautrerue90.example.com à mon DNS en charge de résoudre les correspondances des ip/machines de cette zone.
Invalid TLDs, such as .local or .internal, will soon be unable to get SSL certificates from any of the major certificate providers. The CA/Browser Forum has decided that no certificates should be issued for these invalid domains starting November 1, 2015. In fact, you are now unable to purchase a certificate for these names if they expire after this date. This includes Subject Alternative Names (SAN) used within otherwise valid certificates (this is a very common configuration for Microsoft Exchange). While internal certificate authorities have no such restriction, having this option open to you is always a good thing.
avec la contrainte de ne pas utiliser les TLD publiques, ni le TLD .local
J'imagine bien que la partie suffixe est libre, mais justement tellement libre que tout et n'importe quoi peut être fait, la preuve j'ai fais de la merde lors de la création du domaine en 3.5 ;) Comme j'en suis à la migration et envisage de renommer le domaine, j'aimerais le faire correctement ou en tout cas ne pas me retrouver limiter si par exemple je dois mettre en place un autre sous-domaine pour un autre site.
Effectivement, je ne vois pas l'intérêt que tous les fichiers aient le même propriétaire.
Un utilisateur créant un fichier sur un partage en est le propriétaire donc il peut décider qui a accès ou non à ce fichier (il peut même virer l'admin des droits sur ce fichier). L'objectif d'un partage public est que tout les utilisateurs connectés est le même niveau de droit (lecteur, écriture, exécution) et que les niveaux supérieurs de droits reste au choix de dieu… Pardon l'admin ;)
Par contre, il est déconseillé d'utiliser ton contrôleur de domaine comme serveur de fichiers. Le lien précédent explique notamment qu'il est impossible d'utiliser les ACLs POSIX sur un contrôleur de domaine.
Effectivement, c'est une évolution prévu pour le futur. Pour le moment j'ai que 25 utilisateurs, je pense que je rentre encore dans les petites structurent.
Pour d'autres questions à propos de Samba, je t'invite à utiliser la liste de diffusion samba@lists.samba.org.
Je vais tenter de me faire comprendre avec mon pauvre anglais :(
Pour info ce n'est pas en Allemagne que les églises ont financé et motivé leurs oies à faire des manifs contre le mariage homo, par exemple. Les plus extrémistes sont plus proches de toi que tu ne le penses, tu stigmatises un pays dont tu ne connais pas le fonctionnement pratique (en pratique les églises allemandes sont au service de l’État qui leur fait de la délégation de service public, donc peut les contrôler et couper le financement si problème).
Ok merci pour l'info, mais est-ce que le mot "exemple" te parle ? J'aurais pu citer le pays des nuages.
Tu parles d'un OS soumis au Patriot Act, ça ne changera rien tant que tu ne supprimeras pas cet OS, c'est un faux critère qui ne sert qu'à se donner donner bonne conscience tant qu'il n'est pas appliqué à tous les logiciels.
Sauf que parfois il n'est pas possible d'éradiquer totalement le mal. Pour différentes raison il faut composer avec les contraintes d'entreprise et faire en sorte d'aller au moins pire.
[^] # Re: considérer la base de connaissance technique comme une infra critique ...
Posté par Philippe M (site web personnel) . En réponse au message maintenabilité, sécurité des ip et authentification des serveurs. Évalué à 3.
J'y ai bien pensé mais c'est trop lourd pour notre petite structure.
C'est le serpent qui se mord la queue…
L'idée d'un espace de stockage accessible uniquement au service info synchronisé régulièrement est pas mal. Il faut croire que c'était trop simple :)
Merci de tes suggestions.
Born to Kill EndUser !
# Il en manque un...
Posté par Philippe M (site web personnel) . En réponse au sondage La pire tentative de web dynamique fut.... Évalué à 3.
Et activeX on en parle ?
Un truc infâme spécifique à IE et qui devenait incompatible de version en version… Sans parler du niveau de sécu !
Born to Kill EndUser !
[^] # Re: Enedis
Posté par Philippe M (site web personnel) . En réponse au message Coupure électricité cette hiver. Évalué à 2.
https://data.enedis.fr/pages/accueil/
Mais pour le moment je n'ai pas trouvé comment collecter les coupures temporaires…
Born to Kill EndUser !
[^] # Re: D'après monecowatt.fr
Posté par Philippe M (site web personnel) . En réponse au message Coupure électricité cette hiver. Évalué à 4.
Loin de moi l'idée d'arrêter l'infra avec le suivi EcoWatt… L'onduleur est là pour ça mais je cherche plutôt à être informé d'une potentiel coupure pour ne pas être pris au dépourvu le jour où elle arrive et à la réflexion cela va plus loin que l'infra, c'est toute l'organisation de la société qui doit être averti.
Par exemple :
- la préparation de commandes qui se passent depuis un terminal wifi, pas de courant, pas de wifi… pas de préparation.
- le service adv qui attend un mail d'un client pour une commande, pas de courant, pas d'internet, pas d'erp… Pas de commandes.
Ce genre de coupure touche toutes les couches d'une société et le savoir à l'avance permet de s'organiser, anticiper et s'adapter pour au moins maintenir une activité minimal.
Born to Kill EndUser !
[^] # Re: Zabbix + grafana
Posté par Philippe M (site web personnel) . En réponse au message Métrologie et gestion d'alerte. Évalué à 2.
Ah ouai effectivement, c'est assez proche du musée.
En tout cas c'est parfait, je vais peut être envisager de déployer l'agent.
Merci.
Born to Kill EndUser !
[^] # Re: Zabbix + grafana
Posté par Philippe M (site web personnel) . En réponse au message Métrologie et gestion d'alerte. Évalué à 2.
Je déploie pas des serveurs tout les jours mais pour différentes raisons j'ai des OS qui ne sont pas tout jeune et du coup les agents ne sont pas forcément prévu pour et certain sont critique donc pas moyen d'installer et faire de la compil directement dessus.
Ça pourrait être pas mal au lieu d'avoir le mille feuille telegram, prometheus… Zabbix collecte et Graphana n'a qu'une source et à maintenir cela me parait plus simple.
Born to Kill EndUser !
[^] # Re: Peut-être une idée
Posté par Philippe M (site web personnel) . En réponse au message Configuration Kerberos backend ldap. Évalué à 2.
L'ACL est à lire comme cela
kadmin.local se connecte avec le uid kadmin. Ldapsearch et ldapmodify marche correctement mais il n'utilise pas le compte kadmin, mais soit le compte root pour un accès local et config ou alors le compte admin défini dans la branche.
Born to Kill EndUser !
[^] # Re: supprimer LDAP de l'equation
Posté par Philippe M (site web personnel) . En réponse au message Configuration Kerberos backend ldap. Évalué à 2.
C'est une des pistes pour contourner ldap mais avant il faut que je valide que toutes les appli utilisant ldap directement sont capable de communiquer avec un AD ou alors passer par radius.
Pour mes test :
Pour le moment je n'ai même pas paramétré/démarré samba4, j'en suis a avoir un annuaire LDAP correspondant à la structure souhaité et ensuite faire en sorte que kerberos communique correctement avec LDAP.
J'ai bien sûr continué à chercher et mon problème est vraiment une ACL qui empêche kerberos d'écrire dans ldap.
Born to Kill EndUser !
[^] # Re: Tranquil.it
Posté par Philippe M (site web personnel) . En réponse au message Configuration Kerberos backend ldap. Évalué à 2.
Merci pour le lien, j'avais déjà regardé et la partie Kerberos est survoler. Peut être qu'il n'est pas nécessaire d'en dire plus ?
Born to Kill EndUser !
[^] # Re: retour sur TK905
Posté par Philippe M (site web personnel) . En réponse au message Tracker GPS senior. Évalué à 2.
Tu peux le faire avec les appli de tracking genre Prey.
Born to Kill EndUser !
[^] # Re: question con mais...
Posté par Philippe M (site web personnel) . En réponse au message Tracker GPS senior. Évalué à 3.
Le problème n'est pas qu'il ne veut pas être joignable. Le problème est qu'il est allergique à tout ces appareils, qu'il n'est pas du tout à l'aise à les nouvelles techno au sens large et qu'il a pas envie d'apprendre à utiliser une smartphone.
J'ai essayé il y a quelques temps de lui donner un téléphone à touches très simple… Il trône au dessus du frigo totalement déchargé depuis plusieurs mois et quand je lui en parle il me dit : laisse moi tranquille avec ton téléphone… Oui c'est pas un cadeau mon père sur ce sujet ;)
Born to Kill EndUser !
[^] # Re: retour sur TK905
Posté par Philippe M (site web personnel) . En réponse au message Tracker GPS senior. Évalué à 3.
Le problème d'un smartphone est l'autonomie dépassant difficilement deux jours.
Born to Kill EndUser !
[^] # Re: retour sur TK905
Posté par Philippe M (site web personnel) . En réponse au message Tracker GPS senior. Évalué à 2.
Ca pourrait être une piste.
Merci.
Born to Kill EndUser !
[^] # Re: ybtracking?
Posté par Philippe M (site web personnel) . En réponse au message Tracker GPS senior. Évalué à 2. Dernière modification le 29 août 2022 à 18:03.
J'aime bien vos deux solutions. Je vais creuser un peu plus.
Merci
Born to Kill EndUser !
[^] # Re: NextCloud
Posté par Philippe M (site web personnel) . En réponse au message Tracker GPS senior. Évalué à 3.
Bien sûr que c'est sa liberté et je ne cherche pas remettre cela en cause.
Je cherche juste un moyen pour savoir où il se trouve quand sa fait deux jours qu'on arrive pas le joindre chez lui et qu'il n'est pas a son appartement.
Born to Kill EndUser !
[^] # Re: Partir à neuf..
Posté par Philippe M (site web personnel) . En réponse à la dépêche Sortie de Samba 4.16.x. Évalué à 3.
Le point à ne pas négliger est la contrainte éditeur. Par exemple j'ai à 80% un parc serveurs en Linux, le reste est composés de Windows parce que telle ou telle logiciel fonctionne uniquement sur un environnement Windows et qu'il n'existe pas d'alternative viable dans l'univers de l'OpenSource (paie, pointeuse…).
Tu peux choisir Linux pour la partie système et réseau (DNS, DHCP, authentification… Bref l'invisible pour l'utilisateur) mais pour le reste tu dois composer avec le besoin, ce qui est dispo sur le marché et tes convictions.
Born to Kill EndUser !
[^] # Re: Toujours le souci des débits...
Posté par Philippe M (site web personnel) . En réponse à la dépêche Sortie de Samba 4.16.x. Évalué à 4.
SMB n'a pas le même usage que NFS, SSHFS, iSCSI. Il provient du monde de Windows et l'objectif initial était de permettre à tout les ordinateurs d'un même workgroup de ce voir et d'échanger des fichiers. Ensuite sont venu l'authentification, la couche DNS, les GPO…
NFS il faut connaitre à l'avance la machine que tu souhaite atteindre, ensuite connaitre le nom du point de montage. C'est parfait pour de l'échange entre serveurs, mais pas vraiment exploitable au quotidien par un utilisateur.
SSHFS pour moi c'est pour transférer un fichier à un moment précis.
iSCSI, tout comme NFS c'est pour de l'échange entre serveurs à un niveau inférieur en mode block.
Born to Kill EndUser !
[^] # Re: interne, externe, vues
Posté par Philippe M (site web personnel) . En réponse au message DNS et sous-domaine. Évalué à 2.
Salut, désolé de répondre si tardivement.
Merci pour tes infos, je comprends un peu mieux la logique. A la relecture de ma question il y a un sujet que je n'ai pas abordé : docker, traefik et les certificats Let's. Actuellement traefik est configuré pour faire une demande de création de certificats à Let's sur le domaine example.com et il utilise l'API d'OVH pour faire en sorte de Let's retrouve tout ce qu'il faut pour valider le certificats. Ces containers sont accessible uniquement en interne et ils le resteront. Par exemple pour le container en charge de GLPI j'y accède par glpi.example.com, sur mon bind actuel j'ai cette config pour la zone example.com
Du coups il me parait logique que je conserve la gestion local du domaine example.com pour les machines locales et si j'ai bien compris je vais avoir trois cas :
- une zone pour *.marue205.example.com : accessible uniquement par mes machines locales, chargé de résoudre les ip locales et non accessible depuis l'extérieur;
- une zone pour *.example.com : accessible uniquement par mes machines locales, chargé de faire la correspondance pour cette zone qui renvoie soit sur une IP locale (docker par exemple) soit sur une IP externe;
- les requêtes pour les autres domaines qui seront redirigés par mon bind vers le DNS de mon opérateur.
Demain si j'ajoute un domaine, monautrerue90, j'ai juste a ajouter une zone monautrerue90.example.com à mon DNS en charge de résoudre les correspondances des ip/machines de cette zone.
J'ai bon ? ;)
Born to Kill EndUser !
[^] # Re: lire la documentation
Posté par Philippe M (site web personnel) . En réponse au message Choix d'un nom de domaine pour Samba et Kerberos. Évalué à 3.
A priori l'utilisation d'un TLD invalide peut empêcher l'obtention d'un certificat : https://wiki.samba.org/index.php/Active_Directory_Naming_FAQ#Using_an_Invalid_TLD
Pour le .local je suis d'accord mais d'après la doc rien ne s'oppose à l'utilisation d'un TLD public : https://wiki.samba.org/index.php/Active_Directory_Naming_FAQ#Using_Your_external_Domain_Name
J'imagine bien que la partie suffixe est libre, mais justement tellement libre que tout et n'importe quoi peut être fait, la preuve j'ai fais de la merde lors de la création du domaine en 3.5 ;) Comme j'en suis à la migration et envisage de renommer le domaine, j'aimerais le faire correctement ou en tout cas ne pas me retrouver limiter si par exemple je dois mettre en place un autre sous-domaine pour un autre site.
Born to Kill EndUser !
[^] # Re: Quel intérêt ?
Posté par Philippe M (site web personnel) . En réponse au message Samba, partage public et acl. Évalué à 2.
Un utilisateur créant un fichier sur un partage en est le propriétaire donc il peut décider qui a accès ou non à ce fichier (il peut même virer l'admin des droits sur ce fichier). L'objectif d'un partage public est que tout les utilisateurs connectés est le même niveau de droit (lecteur, écriture, exécution) et que les niveaux supérieurs de droits reste au choix de
dieu… Pardon l'admin ;)Effectivement, c'est une évolution prévu pour le futur. Pour le moment j'ai que 25 utilisateurs, je pense que je rentre encore dans les petites structurent.
Je vais tenter de me faire comprendre avec mon pauvre anglais :(
Merci tout de même
Born to Kill EndUser !
[^] # Re: Pour info
Posté par Philippe M (site web personnel) . En réponse au message Logiciel et conflit Russie/Ukraine. Évalué à 0.
Ok merci pour l'info, mais est-ce que le mot "exemple" te parle ? J'aurais pu citer le pays des nuages.
Sauf que parfois il n'est pas possible d'éradiquer totalement le mal. Pour différentes raison il faut composer avec les contraintes d'entreprise et faire en sorte d'aller au moins pire.
Born to Kill EndUser !
[^] # Re: ANSSI
Posté par Philippe M (site web personnel) . En réponse au message Logiciel et conflit Russie/Ukraine. Évalué à 6. Dernière modification le 08 mars 2022 à 10:02.
Parfait, au moins une source factuel.
Merci.
Born to Kill EndUser !
[^] # Re: hou la ça remonte a loin ;)
Posté par Philippe M (site web personnel) . En réponse au message Mais à qui appartient cette partition ?. Évalué à 4.
Merci pour tout ces infos. J'y vois plus clair maintenant.
En attendant d'avoir le courage de me lancer, j'ai contourner le problème en modifiant la variable TMPFILE avant de lancer le build
Born to Kill EndUser !
[^] # Re: hou la ça remonte a loin ;)
Posté par Philippe M (site web personnel) . En réponse au message Mais à qui appartient cette partition ?. Évalué à 2.
Donc c'est sda2 que je dois agrandir pour pouvoir ensuite agrandir sda5 et le pv ?
Born to Kill EndUser !
[^] # Re: hou la ça remonte a loin ;)
Posté par Philippe M (site web personnel) . En réponse au message Mais à qui appartient cette partition ?. Évalué à 3.
Le sujet du partitionnement a toujours été flou pour moi :(
Je vois un peu prêt la théorie mais j'ai comme l'impression que ma sortie fdisk ne correspond pas
O_o
Born to Kill EndUser !