He bah ca alors ! Meme pas un firewall ?
Une fois que le ver est dans le fruit, un fireouelle ne sert a rien.
Il suffit qu'un neuneu ait ramené son portable sur le LAN de l'entreprise infecté pour que le vers se propage par le LAN.
Maintenant il existe des solutions de mises a jour automatisées des fix de sécurités de Microsoft. Et ne pas passer ces fix de sécurité alors qu'on est dans un environnement majoritairement Microsoft est une faute lourde. Surtout quand on est une banque.
Et je connais des banques en france qui ne sont pas mieux logées.
(Ingénieur systeme/reseau/sécurité cherche taff sur région midi-pyrennées. Gros salaire et matos pour maquetter : je me fais chier dans ma boite actuelle. Repondre au journal qui transmettra ^^)
</Mode Mon Boss a de la thune pour du soft proprietaire>
Tiens hier j'ai bricolé un peu avec un IMSS de TrendMicro.
C'est un produit pouvant tourner sur du sun/linux/windows faisant office de passerelle SMTP. ça se met dans la DMZ, entre le firewall et le serveur de messagerie du LAN.
ça nettoie/met en quarantaine/supprime les virus, les spams, les chaines, etc...
ça peut meme faire office de serveur proxy pour du pop3 et filtrer aussi les BAL perso type wanadoo/free lorsque vous êtes au taff.
Un produit payant, certes, mais pouvant tourner sur du linux et apportant des fonctionnalités que j'ai trouvé pas mal.
Une preuve supplémentaire comme quoi logiciels libres et logiciels propriétaires peuvent faire bon ménage.
</Mode Mon Boss a de la thune pour du soft propriétaire>
Non le produit emblematique de Novell n'est plus Netware mais :
- Netmail (uns serveur Smtp/pop3 qui cartonne aux states)
- eDirecory (annuaire/meta-annuaire le plus robuste et fiable du marché)
- Zenworks (Administration/teledistribution d'applications)
Ces trois produits on la particularité d'être multi plateformes. Le travail est deja fait pour eux.
Il ne manque plus que le NOS sous linux : facile il y a plein de bon developpeurs dans l'open source. Et plein deja qui ont porté des services/produits Novell sur Linux. Et en plus ils ont le savoir faire de ximian. Donc...
Novell a deja porté beaucoup sous linux. Cette annonce (deja vieille car l'info nous etait communiquée depuis plusieurs mois) conforte le choix du futur terrain de bataille de Novell : le "tout-linux" contre le "tout-microsoft"
Novell a ainsi :
- les serveurs sous linux
- les applications "backoffice" sous linux
- les postes de travail sous linux avec ximian
La communauté y gagne :
- une image forte qui change du bidouilleur qu'est l'utilisateur linux actuel
- plus d'argent investi dans du R&D qui aura des retombées de toutes façons a un moment donné dans le libre
- le reste, c'est l'avenir qui nous le dira
c'est bien dans le pays où les téléspectateurs envoient de l'argent a des télévangélistes après avoir vu une pub a la télé ("Oui, DIEU a besoin d'une nouvelle cadillac Rose !") que SCO peut grapiller un peu d'argent en les menaçant d'un procès...
Quand on voit que c'est aussi le pays d'ou sont originaires les pillules pour faire fondre la graisse, pour faire repousser les cheveux, pour augmenter la taille du penis, les rapports sur de prétendues armes de destruction massives...
Bref : la devise du dollar ne devrait plus être "In god we trust" mais "In every bobard we trust".
Depuis plusieurs années, on voit les produits Novell s'ouvrir vers Linux.
Il y a eu une version de son annuaire, eDirectory.
Puis l'annonce du portage de tous ses produits/services sous Linux.
Puis il y a eu une annonce et des sondages pour savoir si les professionels Novell (dont je fais partie) seraient intéréssé par des formations linux qui intégreraient les produits novells sous linux.
Puis Novell a annoncé que pour Netware 7 (on en est a la 6.5 qui va sortir la), les clients auront le choix entre :
- un serveur Novell avec Netware comme NOS
- un serveur Novell avec Linux comme NOS
On sait que zenworks utilise un boot linux pour une install d'un poste de travail.
Puis on apprends le rachat de ximian, l'intégration future de ximian (redcarpet?) dans Zenworks, la creation de connecteurs ximian evolution pour groupwise
La stratégie de Novell est claire : reprendre pied dans la bagarre via le poste de travail en offrant une meilleure intégration et de meilleurs services que les postes de travail microsoft.
Novell est une boite qui fait du bizness. Ce ne sont pas des philantropes et c'est aussi ce qui les a mis dans une sale situation lorsqu'ils ont méprisé l'arrivé de NT sur le marché des NOS. Mais c'est aussi une boite qui s'est ouvert sur les standards (CIFS, IP, etc). Et qui ré-injecte de l'argent dans du libre en redonnant un coup de fouet et une crédibilité supplémentaire alors que SCO clame partout qu'"attention, on va vous trainer en justice...". Il ne faut pas oublier que Novell a encore un bon poids en amerique et en europe du nord.
Je pense qu'ils ont assimilé leurs erreurs de leur arrogance passée. Et Ransom Love et Ray Noorda sont parti de Novell pour fonder Caldera qui a racheté SCO. Et on voit ou ils en sont. Bon vent !
Dans un environnement 100% Linux/Unix, il convient d'utiliser une authentification Centralisée LDAP ou NIS.
De plus, avec PAM et les TCPwrappers tu peux interdire l'accès a certains services pour root ou tout autre user...
Apres c'est plus un design de la sécurité et la ça passe par une reflexion et la mise en place de stratégies de sécurités drastiques (authentification forte via RSA cards, pas de CDROMS ou de lecteurs de disquette sur les postes, filtrage au niveau des switchs des adresses MAC inconnues, IPSec avec certificats etc...)
Mais bon, c'est comme prendre la navette spatiale pour acheter un paquet de clopes (fumer donne le cancer)...
On m'a offert ce week end un ecran plat Iiyama PLE430S.
Il est très bien (et vaut dans les 530HT prix public je pense).
Bonne image, tres lumineux, tres bien quoi. Made in China. Un vrai régal et un confort incomparable par rapport a un CRT (meme 19")
Je deconseille cependant de brancher le son sur les enceintes intégrées, elles sont un peu faible.
Une résolution de 1024*768 me convient parfaitement personnelement. Je ne sais pas si tu as d'autres besoins (blender, CAO, jeux ou autres...)
Enfin, a toi d'aller dans un magasin voir les écrans en demo et te faire ta propre idée. (avec une knoppix/morphix sur un CD pour tester?) On n'a pas la meme sensibilité et ce qui est top pour pour peut être une immonde merde a tes yeux.
De ce fait, grace aux fonctionnalités auto-évolutives (y compris dans les espaces non-euclidiens) l'autocompilation/installation/clusterisation de l'ensemble du Système se fait en mode auto-maintenance.
C'est ainsi que je n'ai pas a me préoccuper de ces futilités tout justes bonnes pour des boutonneaux pré(post?)-pubaires pour me consacrer a ma Mission : aider Saint Jayce dans son Saint Oeuvre : contrer l'hégémonie venue de redmond, et la plier a Ses Desseins.
un mx c'est un enregistement dans un DNS pour indiquer le serveur Mail eXchanger. Donc as tu une zone a toi quelque part?
Si oui, tu peux declarer un DNS primaire pour MazoneAmoiQueJai.com sur ta machine , avec ton mx a toi dedans et demander a nerim de te faire un ebregistrement d'une zone secondaire chez eux, et a la limite d'un second mx, d'une priorité inférieure histoire que lorsque ton serveur des mail est eteint, les mails continuent a arriver pour ta zone...
Tu fais comme moi ce soir : un petit mail a dns@nerim.net (c'est dans les forums de news internes a nerim, nerim.dns je crois)
"Unbreakable" has a meaning. It means that it can't be broken. It doesn't mean "Unbreakable, except by people who know how to break things." It doesn't mean "Passes five or so questionable security evaluations, but is still vulnerable to buffer overflows." I don't care who Larry Ellison is; he can't rewrite the dictionary
Personnelement, je pense qu'avant de vouloir rendre "Linux unbreakable" (sic) certains feraient mieux de s'occuper de leurs fesses.
Tu as plusieurs possibilités selon la version d'exchange installée ainsi que ses fonctionalités configurées et ton poste client et du matos de libre dans un coin ^^
Il existe une "fonctionnalité sympa", l'outlook web access, aka OWA, qui te permet d'acceder a ta bal ainsi qu'aux dossiers public a partir d'un butineur (marche bien avec le dernier ie quoi, sinon a tester)
Sinon tu as le connecteur exchange de chez ximian pour Evolution (mais il me semble que tu dois quand même etre en mode OWA, a vérifier je n'en suis pas sur)
Sinon, un vmware/plex86/ avec un win9x/outlook installé ou vnc/rdp vers un poste MS dédié sans clavier ecrans souris dans un placard...
MmMMm
1 - verifie ton SP sur ton 2000 : met le sp4 si possible.
2 - vérifie la synchro horaire entre tes machines : elles doivent avoir un delta de 5 min maxi (0 c'est bien ^^ ps synchronize le serveur racine de ta foret 2000 et pas le kdc 2000, car c'est le serveur racine de ta foret qui est source horaire pour ton AD)
Ensuite on peut essayer d'activer le log au niveau de ton KDC afin de voir pourquoi il jette tes clients en suivant la fiche suivante.
*********
HOW TO: Enable Kerberos Event Logging (262177)
The information in this article applies to:
* Microsoft Windows 2000 Server
* Microsoft Windows 2000 Advanced Server
* Microsoft Windows 2000 Professional
* Microsoft Windows 2000 Datacenter Server
This article was previously published under Q262177
IN THIS TASK
* SUMMARY
o Enabling Kerberos Event Logging on a Specific Computer
IMPORTANT: This article contains information about modifying the registry. Before you modify the registry, make sure to back it up and make sure that you understand how to restore the registry if a problem occurs. For information about how to back up, restore, and edit the registry, click the following article number to view the article in the Microsoft Knowledge Base:
256986 Description of the Microsoft Windows Registry
SUMMARY
Windows 2000 offers the capability of tracing detailed Kerberos events through the event log mechanism. You can use this information when you troubleshoot Kerberos. This article describes how to enable Kerberos event logging.
WARNING: If you use Registry Editor incorrectly, you may cause serious problems that may require you to reinstall your operating system. Microsoft cannot guarantee that you can solve problems that result from using Registry Editor incorrectly. Use Registry Editor at your own risk.
back to the top
Enabling Kerberos Event Logging on a Specific Computer
1. Start Registry Editor.
2. Add the following registry value:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Registry Value: LogLevel
Value Type: REG_DWORD
Value Data: 0x1
If the Parameters subkey does not exist, create it.
Note Remove this registry value when it is no longer needed so that performance is not degraded on the computer. Also, you can remove this registry value to disable Kerberos event logging on a specific computer.
3. Quit Registry Editor, and then restart the computer.
You can find any Kerberos-related events in the system log.
***************************************************
ensuite on pourra regarder les erreurs avec les codes ci dessous :
***************************************************
Description of Common Kerberos-Related Errors in Windows 2000 (230476)
The information in this article applies to:
* Microsoft Windows 2000 Server
* Microsoft Windows 2000 Advanced Server
* Microsoft Windows 2000 Professional
* Microsoft Windows 2000 Datacenter Server
This article was previously published under Q230476
SUMMARY
Windows 2000 provides support for MIT Kerberos version 5 authentication, as defined in IETF Request For Comment (RFC) 1510. The Kerberos protocol is composed of three sub-protocols. The sub-protocol through which the client pre-sends the ticket for admission to a service is called the Application (AP) Exchange. The sub-protocol through which the KDC distributes a service session key and a ticket for the service is called the Ticket-Granting Service (TGS) Exchange. The sub-protocol through which the client pre-sends the ticket for admission to a service is called the Client/Server (CS) Exchange.
This article describes common Kerberos version 5-related errors, and includes causes that may be associated with the errors. Note that these errors are associated with Kerberos specifically, not network connectivity.
MORE INFORMATION
Common Kerberos version 5-related errors in Hexadecimal:
0x6 (KRB_ERR_C_PRINCIPAL_UNKNOWN) "Client not found in Kerberos database"
The KDC could not translate the client principal name from the KDC request into an account in the Active Directory. Generally, verifying whether the client account exists and has propagated to the domain controller that generated the error. Checking Active Directory replication may provide an indication of why the error occurred. It can also be a problem where the name specified is not a recognized User principal name present on the userPrincipalName attribute of the account.
0x7 (KRB_ERR_S_PRINCIPAL_UNKNOWN) "Server not found in Kerberos database"
The KDC could not translate the server principal name from the KDC request into an account in the Active Directory. Generally, verifying whether the server account exists and has propagated to the domain controller that generated the error. Checking Active Directory replication may provides an indication of why the error occurred. Also if the server is not at least Windows 2000, there will not be any service principal names registered because that server is not capable of authenticating with Kerberos. In this case, this error can be ignored because the client will then switch to NTLM for authentication.
0x9 (KDC_ERR_NULL_KEY) "The client or server has a null key"
Keys should never be null (blank). Even null passwords generate keys because the password is concatenated with other elements to form the key. If a client sees this error, the administrator should reset the password on the account.
0xE (KDC_ERR_ETYPE_NOTSUPP) "KDC has no support for the encryption type"
The client tried to use an encryption type that the KDC does not support, for any of the following reasons:
* The client's account does not have a key of the appropriate encryption type.
* The KDC (cross-realm trust) account does not have a key of the appropriate encryption type.
* The requested server account does not have a key of the appropriate encryption type.
* The type may not be recognized at all, for example, if a new type is introduced. This happens most frequently with MIT compatibility, where an account may not yet have an MIT compatible key. Generally, a password change must occur for the MIT-compatible key to be available.
0x18 (KDC_ERR_PREAUTH_FAILED) "Pre-authentication information was invalid"
This indicates failure to obtain ticket, possibly due to the client providing the wrong password.
0x19 (KDC_ERR_PREAUTH_REQUIRED) "Additional pre-authentication"
The client did not send pre-authorization, or did not send the appropriate type of pre-authorization, to receive a ticket. The client will retry with the appropriate kind of pre-authorization (the KDC returns the pre-authentication type in the error). Many Kerberos implementations will start off without preauthenticated data and only add it in a subsequent request when it sees this error. In this case, this error can safely be ignored.
0x25 (KRB_AP_ERR_SKEW) "Clock skew too great"
There is time discrepancy between client and server or client and KDC.
0x26 (KRB_AP_ERR_BADADDR) ""Incorrect net address"
Session tickets include the addresses from which they are valid. This error can occur if the address of the computer sending the ticket is different from the valid address in the ticket. A possible cause of this could be an Internet Protocol (IP) address change. Another possible cause is when a ticket is passed through a proxy server or NAT. The client is unaware of the address scheme used by the proxy server, so unless the program caused the client to request a proxy server ticket with the proxy server's source address, the ticket could be invalid.
0x29 (KRB_AP_ERR_MODIFIED) "Message stream modified"
This indicates that the server was unable to decrypt the ticket sent by a client meaning that the server does not know the secret key used to encrypt the ticket, or the client got the ticket from a KDC that did not know the server's key. This can be tested by determining if the server can obtain a ticket to itself, or if anybody else can locate the server. The secure channel used by NTLM is also an indicator of the validity of the password on local machine accounts.
0x3C (KRB_ERR_GENERIC) "Generic Error"
A generic error that may be a memory allocation failure. The event logs may be useful if this error occurs.
*******************
Enfin, même si je ne suis pas un spécialiste kerberos, je crois bien que tu dois avoir un royaume kerberos pour tes machines Unix (le MIT) et un autre pour ton domaine 2000 (celui de l'Active Directory) et qu'il te faut établir une relation d'approbation (comme pour des domaines NT si tu veux) entre les deux.
Windows2000 a une implémentation LDAP pas franchement RFC, nottament au niveau de l'InetOrgPerson...qui n'existe pas (c'est une "nouveauté" de l'AD au niveau 2003 server).
As tu fait une relation d'approbation entre tes royaumes kerberos?
SCO me fait gerber.
c'est plus SCO Group, mais FUD inc qu'ils devraient s'appeler...
On a un partenariat avec eux, principalement pour de l'OpenServer/unixware.
Jusqu'a maintenant, je poussais certains clients à aller vers le "SCO Linux, les solution SCO mail server etc..." plutot que continuer dans les solutions Exchange, lotus etc...
Maintenant je pousse ces clients vers TOUT sauf SCO.
Beaucoup font comme moi.
J'espere sincerement que SCO va couler sans se faire racheter et que ses dirigeants vont se prendre procès sur procès par leurs actionnaires.
# Re: Boum! ce soir à 21h ?
Posté par Matho (site web personnel) . En réponse au journal Boum! ce soir à 21h ?. Évalué à 7.
ça fait peur, hein?
[^] # Re: Microsoft se lance-t-il dans les OGM ?
Posté par Matho (site web personnel) . En réponse au journal Microsoft se lance-t-il dans les OGM ?. Évalué à 3.
Une fois que le ver est dans le fruit, un fireouelle ne sert a rien.
Il suffit qu'un neuneu ait ramené son portable sur le LAN de l'entreprise infecté pour que le vers se propage par le LAN.
Maintenant il existe des solutions de mises a jour automatisées des fix de sécurités de Microsoft. Et ne pas passer ces fix de sécurité alors qu'on est dans un environnement majoritairement Microsoft est une faute lourde. Surtout quand on est une banque.
Et je connais des banques en france qui ne sont pas mieux logées.
(Ingénieur systeme/reseau/sécurité cherche taff sur région midi-pyrennées. Gros salaire et matos pour maquetter : je me fais chier dans ma boite actuelle. Repondre au journal qui transmettra ^^)
[^] # Re: La france quel beau pays
Posté par Matho (site web personnel) . En réponse au journal La france quel beau pays. Évalué à 2.
oui vous pouvez chiffrer a condition que la DGSE soit en mesure de déchiffrer vos chiffrements. Simple, non?
Donc il fallait utiliser un chiffrage "faible" (40-56 bits) ou alors déposer son troussau de clefs chez le concièrge.
Mais depuis la loi Jospin (?), le 128 bits en authorisé en france... si c'est passé au journal officiel...
# Re: Slackware-current se réveille
Posté par Matho (site web personnel) . En réponse au journal Slackware-current se réveille. Évalué à 1.
- swaret pour le management des paquetages et des dépendances.
- Dopline gnome en standard.
C'est ce qui en resort des differents forums slacks.
Mais c'est cool =)
# Re: Spam, petits malins !
Posté par Matho (site web personnel) . En réponse au journal Spam, petits malins !. Évalué à 1.
Tiens hier j'ai bricolé un peu avec un IMSS de TrendMicro.
C'est un produit pouvant tourner sur du sun/linux/windows faisant office de passerelle SMTP. ça se met dans la DMZ, entre le firewall et le serveur de messagerie du LAN.
ça nettoie/met en quarantaine/supprime les virus, les spams, les chaines, etc...
ça peut meme faire office de serveur proxy pour du pop3 et filtrer aussi les BAL perso type wanadoo/free lorsque vous êtes au taff.
Un produit payant, certes, mais pouvant tourner sur du linux et apportant des fonctionnalités que j'ai trouvé pas mal.
Une preuve supplémentaire comme quoi logiciels libres et logiciels propriétaires peuvent faire bon ménage.
</Mode Mon Boss a de la thune pour du soft propriétaire>
[^] # Re: Novell va-t-il arrêter Netware ? Personne ne sait, en fait.
Posté par Matho (site web personnel) . En réponse à la dépêche Novell va-t-il arrêter Netware ?. Évalué à 10.
- Netmail (uns serveur Smtp/pop3 qui cartonne aux states)
- eDirecory (annuaire/meta-annuaire le plus robuste et fiable du marché)
- Zenworks (Administration/teledistribution d'applications)
Ces trois produits on la particularité d'être multi plateformes. Le travail est deja fait pour eux.
Il ne manque plus que le NOS sous linux : facile il y a plein de bon developpeurs dans l'open source. Et plein deja qui ont porté des services/produits Novell sur Linux. Et en plus ils ont le savoir faire de ximian. Donc...
Novell a deja porté beaucoup sous linux. Cette annonce (deja vieille car l'info nous etait communiquée depuis plusieurs mois) conforte le choix du futur terrain de bataille de Novell : le "tout-linux" contre le "tout-microsoft"
Novell a ainsi :
- les serveurs sous linux
- les applications "backoffice" sous linux
- les postes de travail sous linux avec ximian
La communauté y gagne :
- une image forte qui change du bidouilleur qu'est l'utilisateur linux actuel
- plus d'argent investi dans du R&D qui aura des retombées de toutes façons a un moment donné dans le libre
- le reste, c'est l'avenir qui nous le dira
M.
# - "Avec frittes et coca?" - "non juste un cerveau"
Posté par Matho (site web personnel) . En réponse au journal Haut les mains ! c'est un Hold Up !. Évalué à 5.
c'est bien dans le pays où les téléspectateurs envoient de l'argent a des télévangélistes après avoir vu une pub a la télé ("Oui, DIEU a besoin d'une nouvelle cadillac Rose !") que SCO peut grapiller un peu d'argent en les menaçant d'un procès...
Quand on voit que c'est aussi le pays d'ou sont originaires les pillules pour faire fondre la graisse, pour faire repousser les cheveux, pour augmenter la taille du penis, les rapports sur de prétendues armes de destruction massives...
Bref : la devise du dollar ne devrait plus être "In god we trust" mais "In every bobard we trust".
[^] # Re: J'ai pas le téléphone ...
Posté par Matho (site web personnel) . En réponse au journal J'ai pas le téléphone .... Évalué à 2.
# ça ne m'etonne pas plus que ça
Posté par Matho (site web personnel) . En réponse à la dépêche Novell rachète Ximian. Évalué à 5.
Il y a eu une version de son annuaire, eDirectory.
Puis l'annonce du portage de tous ses produits/services sous Linux.
Puis il y a eu une annonce et des sondages pour savoir si les professionels Novell (dont je fais partie) seraient intéréssé par des formations linux qui intégreraient les produits novells sous linux.
Puis Novell a annoncé que pour Netware 7 (on en est a la 6.5 qui va sortir la), les clients auront le choix entre :
- un serveur Novell avec Netware comme NOS
- un serveur Novell avec Linux comme NOS
On sait que zenworks utilise un boot linux pour une install d'un poste de travail.
Puis on apprends le rachat de ximian, l'intégration future de ximian (redcarpet?) dans Zenworks, la creation de connecteurs ximian evolution pour groupwise
La stratégie de Novell est claire : reprendre pied dans la bagarre via le poste de travail en offrant une meilleure intégration et de meilleurs services que les postes de travail microsoft.
Novell est une boite qui fait du bizness. Ce ne sont pas des philantropes et c'est aussi ce qui les a mis dans une sale situation lorsqu'ils ont méprisé l'arrivé de NT sur le marché des NOS. Mais c'est aussi une boite qui s'est ouvert sur les standards (CIFS, IP, etc). Et qui ré-injecte de l'argent dans du libre en redonnant un coup de fouet et une crédibilité supplémentaire alors que SCO clame partout qu'"attention, on va vous trainer en justice...". Il ne faut pas oublier que Novell a encore un bon poids en amerique et en europe du nord.
Je pense qu'ils ont assimilé leurs erreurs de leur arrogance passée. Et Ransom Love et Ray Noorda sont parti de Novell pour fonder Caldera qui a racheté SCO. Et on voit ou ils en sont. Bon vent !
M.
[^] # Re: Disques réseau
Posté par Matho (site web personnel) . En réponse au journal Disques réseau. Évalué à 1.
De plus, avec PAM et les TCPwrappers tu peux interdire l'accès a certains services pour root ou tout autre user...
Apres c'est plus un design de la sécurité et la ça passe par une reflexion et la mise en place de stratégies de sécurités drastiques (authentification forte via RSA cards, pas de CDROMS ou de lecteurs de disquette sur les postes, filtrage au niveau des switchs des adresses MAC inconnues, IPSec avec certificats etc...)
Mais bon, c'est comme prendre la navette spatiale pour acheter un paquet de clopes (fumer donne le cancer)...
[^] # Re: Ecran Plat LCD 17
Posté par Matho (site web personnel) . En réponse au journal Ecran Plat LCD 17. Évalué à 1.
Il est très bien (et vaut dans les 530HT prix public je pense).
Bonne image, tres lumineux, tres bien quoi. Made in China. Un vrai régal et un confort incomparable par rapport a un CRT (meme 19")
Je deconseille cependant de brancher le son sur les enceintes intégrées, elles sont un peu faible.
Une résolution de 1024*768 me convient parfaitement personnelement. Je ne sais pas si tu as d'autres besoins (blender, CAO, jeux ou autres...)
Enfin, a toi d'aller dans un magasin voir les écrans en demo et te faire ta propre idée. (avec une knoppix/morphix sur un CD pour tester?) On n'a pas la meme sensibilité et ce qui est top pour pour peut être une immonde merde a tes yeux.
[^] # Re: Sondage : la compilation du noyau / des modules
Posté par Matho (site web personnel) . En réponse au journal Sondage : la compilation du noyau / des modules. Évalué à 0.
De ce fait, grace aux fonctionnalités auto-évolutives (y compris dans les espaces non-euclidiens) l'autocompilation/installation/clusterisation de l'ensemble du Système se fait en mode auto-maintenance.
C'est ainsi que je n'ai pas a me préoccuper de ces futilités tout justes bonnes pour des boutonneaux pré(post?)-pubaires pour me consacrer a ma Mission : aider Saint Jayce dans son Saint Oeuvre : contrer l'hégémonie venue de redmond, et la plier a Ses Desseins.
# Re: Howto qmail (pop3/smtp/imap/spamassassin/webmail/stats)
Posté par Matho (site web personnel) . En réponse au journal Howto qmail (pop3/smtp/imap/spamassassin/webmail/stats). Évalué à 1.
Bon, vu que tu as bien dégrossi le terrain, je vais peut-être installer ce qmail finalement...
^^
M.
# Re: nerim et mx records
Posté par Matho (site web personnel) . En réponse au journal nerim et mx records. Évalué à 2.
Si oui, tu peux declarer un DNS primaire pour MazoneAmoiQueJai.com sur ta machine , avec ton mx a toi dedans et demander a nerim de te faire un ebregistrement d'une zone secondaire chez eux, et a la limite d'un second mx, d'une priorité inférieure histoire que lorsque ton serveur des mail est eteint, les mails continuent a arriver pour ta zone...
Tu fais comme moi ce soir : un petit mail a dns@nerim.net (c'est dans les forums de news internes a nerim, nerim.dns je crois)
[^] # Re: Que faire à Paris jeudi soir
Posté par Matho (site web personnel) . En réponse au journal Que faire à Paris jeudi soir. Évalué à 1.
...
# Re: Ecran LCD de m****e
Posté par Matho (site web personnel) . En réponse au journal Ecran LCD de m****e. Évalué à 10.
S'il y a un defaut de fabrication ou un vice caché, la vente est annulable.
Y'a pas de "bon d'achat "non plus, tu ne les a pas payés en tickets de reduction de lessive Bonux que je saches.
Si ça retombe en panne tu les rappeles.
[^] # Re: Serveur Exchange
Posté par Matho (site web personnel) . En réponse au journal Serveur Exchange. Évalué à 2.
# Re: Oracle recommande Linux
Posté par Matho (site web personnel) . En réponse au journal Oracle recommande Linux. Évalué à 2.
http://www.securityfocus.com/news/309(...)
http://www.theregister.co.uk/content/4/23979.html(...)
http://www.nextgenss.com/papers/hpoas.pdf(...)
http://www.counterpane.com/crypto-gram-0202.html#6(...)
et hop, une citation des liens ci-dessus :
"Unbreakable" has a meaning. It means that it can't be broken. It doesn't mean "Unbreakable, except by people who know how to break things." It doesn't mean "Passes five or so questionable security evaluations, but is still vulnerable to buffer overflows." I don't care who Larry Ellison is; he can't rewrite the dictionary
Personnelement, je pense qu'avant de vouloir rendre "Linux unbreakable" (sic) certains feraient mieux de s'occuper de leurs fesses.
^^
# Re: Serveur Exchange
Posté par Matho (site web personnel) . En réponse au journal Serveur Exchange. Évalué à 3.
Il existe une "fonctionnalité sympa", l'outlook web access, aka OWA, qui te permet d'acceder a ta bal ainsi qu'aux dossiers public a partir d'un butineur (marche bien avec le dernier ie quoi, sinon a tester)
Sinon tu as le connecteur exchange de chez ximian pour Evolution (mais il me semble que tu dois quand même etre en mode OWA, a vérifier je n'en suis pas sur)
Sinon, un vmware/plex86/ avec un win9x/outlook installé ou vnc/rdp vers un poste MS dédié sans clavier ecrans souris dans un placard...
[^] # Re: MS Office et Ooo fourbissent leurs armes
Posté par Matho (site web personnel) . En réponse au journal MS Office et Ooo fourbissent leurs armes. Évalué à 1.
Ma boite a des accords cadre avec M$ et avec IBM :/
Par contre, cela soulève une autre question :
OpenOffice a pas mal évolué. quid de StarOffice?
Quel intéret d'acheter StarOffice par rapport à OpenOffice dernière mouture?
Merci de partager vos reflexions.
=)
[^] # Re: mouarf
Posté par Matho (site web personnel) . En réponse au journal mouarf. Évalué à 3.
Le Famas français et M16 américain tirent du 5.56...mm (calibre dit "OTAN")
En fait, c'etait les soeurs williams qui etaient retanchées et qui tiraient des balles de tennis par les fenetres...non?
# Re: Saleté de virgule ...
Posté par Matho (site web personnel) . En réponse au journal Saleté de virgule .... Évalué à 1.
Aucun probleme a la console, mais ma touche suppr du clavier me donne la virgule et ma touche supérieur et inférieur ne marche pas...Space ça.
Je suis feignant j'ai pas (encore) googleisé
.....
[^] # Re: Kerberos du MIT + windows 2000 ?
Posté par Matho (site web personnel) . En réponse au journal Kerberos du MIT + windows 2000 ?. Évalué à 1.
MmMMm
1 - verifie ton SP sur ton 2000 : met le sp4 si possible.
2 - vérifie la synchro horaire entre tes machines : elles doivent avoir un delta de 5 min maxi (0 c'est bien ^^ ps synchronize le serveur racine de ta foret 2000 et pas le kdc 2000, car c'est le serveur racine de ta foret qui est source horaire pour ton AD)
Ensuite on peut essayer d'activer le log au niveau de ton KDC afin de voir pourquoi il jette tes clients en suivant la fiche suivante.
*********
HOW TO: Enable Kerberos Event Logging (262177)
The information in this article applies to:
* Microsoft Windows 2000 Server
* Microsoft Windows 2000 Advanced Server
* Microsoft Windows 2000 Professional
* Microsoft Windows 2000 Datacenter Server
This article was previously published under Q262177
IN THIS TASK
* SUMMARY
o Enabling Kerberos Event Logging on a Specific Computer
IMPORTANT: This article contains information about modifying the registry. Before you modify the registry, make sure to back it up and make sure that you understand how to restore the registry if a problem occurs. For information about how to back up, restore, and edit the registry, click the following article number to view the article in the Microsoft Knowledge Base:
256986 Description of the Microsoft Windows Registry
SUMMARY
Windows 2000 offers the capability of tracing detailed Kerberos events through the event log mechanism. You can use this information when you troubleshoot Kerberos. This article describes how to enable Kerberos event logging.
WARNING: If you use Registry Editor incorrectly, you may cause serious problems that may require you to reinstall your operating system. Microsoft cannot guarantee that you can solve problems that result from using Registry Editor incorrectly. Use Registry Editor at your own risk.
back to the top
Enabling Kerberos Event Logging on a Specific Computer
1. Start Registry Editor.
2. Add the following registry value:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
Registry Value: LogLevel
Value Type: REG_DWORD
Value Data: 0x1
If the Parameters subkey does not exist, create it.
Note Remove this registry value when it is no longer needed so that performance is not degraded on the computer. Also, you can remove this registry value to disable Kerberos event logging on a specific computer.
3. Quit Registry Editor, and then restart the computer.
You can find any Kerberos-related events in the system log.
***************************************************
ensuite on pourra regarder les erreurs avec les codes ci dessous :
***************************************************
Description of Common Kerberos-Related Errors in Windows 2000 (230476)
The information in this article applies to:
* Microsoft Windows 2000 Server
* Microsoft Windows 2000 Advanced Server
* Microsoft Windows 2000 Professional
* Microsoft Windows 2000 Datacenter Server
This article was previously published under Q230476
SUMMARY
Windows 2000 provides support for MIT Kerberos version 5 authentication, as defined in IETF Request For Comment (RFC) 1510. The Kerberos protocol is composed of three sub-protocols. The sub-protocol through which the client pre-sends the ticket for admission to a service is called the Application (AP) Exchange. The sub-protocol through which the KDC distributes a service session key and a ticket for the service is called the Ticket-Granting Service (TGS) Exchange. The sub-protocol through which the client pre-sends the ticket for admission to a service is called the Client/Server (CS) Exchange.
This article describes common Kerberos version 5-related errors, and includes causes that may be associated with the errors. Note that these errors are associated with Kerberos specifically, not network connectivity.
MORE INFORMATION
Common Kerberos version 5-related errors in Hexadecimal:
0x6 (KRB_ERR_C_PRINCIPAL_UNKNOWN) "Client not found in Kerberos database"
The KDC could not translate the client principal name from the KDC request into an account in the Active Directory. Generally, verifying whether the client account exists and has propagated to the domain controller that generated the error. Checking Active Directory replication may provide an indication of why the error occurred. It can also be a problem where the name specified is not a recognized User principal name present on the userPrincipalName attribute of the account.
0x7 (KRB_ERR_S_PRINCIPAL_UNKNOWN) "Server not found in Kerberos database"
The KDC could not translate the server principal name from the KDC request into an account in the Active Directory. Generally, verifying whether the server account exists and has propagated to the domain controller that generated the error. Checking Active Directory replication may provides an indication of why the error occurred. Also if the server is not at least Windows 2000, there will not be any service principal names registered because that server is not capable of authenticating with Kerberos. In this case, this error can be ignored because the client will then switch to NTLM for authentication.
0x9 (KDC_ERR_NULL_KEY) "The client or server has a null key"
Keys should never be null (blank). Even null passwords generate keys because the password is concatenated with other elements to form the key. If a client sees this error, the administrator should reset the password on the account.
0xE (KDC_ERR_ETYPE_NOTSUPP) "KDC has no support for the encryption type"
The client tried to use an encryption type that the KDC does not support, for any of the following reasons:
* The client's account does not have a key of the appropriate encryption type.
* The KDC (cross-realm trust) account does not have a key of the appropriate encryption type.
* The requested server account does not have a key of the appropriate encryption type.
* The type may not be recognized at all, for example, if a new type is introduced. This happens most frequently with MIT compatibility, where an account may not yet have an MIT compatible key. Generally, a password change must occur for the MIT-compatible key to be available.
0x18 (KDC_ERR_PREAUTH_FAILED) "Pre-authentication information was invalid"
This indicates failure to obtain ticket, possibly due to the client providing the wrong password.
0x19 (KDC_ERR_PREAUTH_REQUIRED) "Additional pre-authentication"
The client did not send pre-authorization, or did not send the appropriate type of pre-authorization, to receive a ticket. The client will retry with the appropriate kind of pre-authorization (the KDC returns the pre-authentication type in the error). Many Kerberos implementations will start off without preauthenticated data and only add it in a subsequent request when it sees this error. In this case, this error can safely be ignored.
0x25 (KRB_AP_ERR_SKEW) "Clock skew too great"
There is time discrepancy between client and server or client and KDC.
0x26 (KRB_AP_ERR_BADADDR) ""Incorrect net address"
Session tickets include the addresses from which they are valid. This error can occur if the address of the computer sending the ticket is different from the valid address in the ticket. A possible cause of this could be an Internet Protocol (IP) address change. Another possible cause is when a ticket is passed through a proxy server or NAT. The client is unaware of the address scheme used by the proxy server, so unless the program caused the client to request a proxy server ticket with the proxy server's source address, the ticket could be invalid.
0x29 (KRB_AP_ERR_MODIFIED) "Message stream modified"
This indicates that the server was unable to decrypt the ticket sent by a client meaning that the server does not know the secret key used to encrypt the ticket, or the client got the ticket from a KDC that did not know the server's key. This can be tested by determining if the server can obtain a ticket to itself, or if anybody else can locate the server. The secure channel used by NTLM is also an indicator of the validity of the password on local machine accounts.
0x3C (KRB_ERR_GENERIC) "Generic Error"
A generic error that may be a memory allocation failure. The event logs may be useful if this error occurs.
*******************
Enfin, même si je ne suis pas un spécialiste kerberos, je crois bien que tu dois avoir un royaume kerberos pour tes machines Unix (le MIT) et un autre pour ton domaine 2000 (celui de l'Active Directory) et qu'il te faut établir une relation d'approbation (comme pour des domaines NT si tu veux) entre les deux.
Voila mes 2 sous.
Donne moi des news ^^
# Re: Kerberos du MIT + windows 2000 ?
Posté par Matho (site web personnel) . En réponse au journal Kerberos du MIT + windows 2000 ?. Évalué à 1.
As tu fait une relation d'approbation entre tes royaumes kerberos?
Qu'est ce qui ne marche pas?
# Re: SCO s'apprete a lancer un nouveau programme de licence pour les utilisateurs de Linux.
Posté par Matho (site web personnel) . En réponse à la dépêche SCO s'apprête à lancer un nouveau programme de licence pour les utilisateurs de Linux. Évalué à 3.
c'est plus SCO Group, mais FUD inc qu'ils devraient s'appeler...
On a un partenariat avec eux, principalement pour de l'OpenServer/unixware.
Jusqu'a maintenant, je poussais certains clients à aller vers le "SCO Linux, les solution SCO mail server etc..." plutot que continuer dans les solutions Exchange, lotus etc...
Maintenant je pousse ces clients vers TOUT sauf SCO.
Beaucoup font comme moi.
J'espere sincerement que SCO va couler sans se faire racheter et que ses dirigeants vont se prendre procès sur procès par leurs actionnaires.
C'est con. Mais qui joue au con prends des gnons.