tu as raison : "il suffit" de developper avec des api/langages multiplateformes....
mais après cette étape tu obtiens un logiciel libre que chacun devra intégrer/tester parce que le packaging, les tests fonctionnels, le debug, la maintenance, le support .... tout cela reste a faire sur chaque plateforme supportée.
Le cout de développement d'un logiciel, c'est pas le temps de codage.
en général, les temps de test, intégration, packaging, ... sont BEAUCOUP plus long que d'écrire le code. Et cela reste multi-plateforme.
Donc non les éditeurs ne sont pas pret de faire des versions linux de leurs applications, sinon ils doivent se coltiner tout ces frais. Et si ils livrent la version "raw" de leur application, seuls ceux qui sont capable de faire la suite (packager, integrer ...) pourront l'utiliser sous linux, mais ceux la en général ils sont capable de créer la "glue" qui manque a 3 ou 4 projets GPL pour atteindre la fonctionnalité et du coup ils ne sont pas prets a payer pour la version "raw" du logiciel ... donc l'editeur ne trouve pas a la vendre.
Je prend un exemple dans le monde de la photo. pour faire du developpement numerique la reference c'est DXO (sous windows). Sous linux il existe Bibble (windows/mac/linux) qui est en vente. Je l'ai testé il marche très bien et est très rapide et coute 200 USD. Il est fourni en RPM et DEB et s'installe sans heurts sous debian ou fedora.
La question est: vais-je dépenser cette somme pour ce soft très bien intégré (et supporter un peu son developpement en payant l'editeur) ou vais-je préférer en déduire les paramètres de mes optiques et de mon capteur d'appareil pour configurer DIGIKAM pour mon besoin ?
Un néophite n'a pas le choix, il va payer. Mais souvent il est sous windows ...
De mon coté, entrer dans Digikam pour le configurer et intégrer ce qu'il me faut cela m'amusera surement et me fera économiser les 200USD (et perdre plusieurs soirées). Mais a ce moment la bibble ne se vend pas sous linux et si on fait tous pareil on peut parier qu'a terme ils conclueront que cette architecture n'est pas rentable.
C'est un peu caricatural mais c'est quand même vrai.
Une des missions des employés de la DSI, c'est de monter des dossier en interne pour former le DSI *avant* qu'il ne subisse les argumentaires des commerciaux.
Et quand on rate le coche il est compliqué de reprendre le dessus si le DSI est convaincu par les avant vente ...
Il y a aussi le probleme de la valeur perçue par l'utilisateur.
L'utilisateur sera malheureusement plus près à faire des efforts personnels pour maitriser windows seven (qu'il voit a la tv, il sait que c'est une avancée technologique, il pense se former pour son futur) plutot que de s'adapter a un OS bizarre (linux) qui a été choisi pour faire des économies ( recession budgetaire ...) et dont il pense que la direction informatique va y gagner sur son budget a ses dépends.
c'est triste mais cette dimension "perçue" existe aussi.
Puis pour stocker/grapher tes datas, regarde rrdtool car il n'est pas "compliqué", il est complet, c'est différent.
Si tu gère tes datas toi même, comment va tu les stocker ? et les purger ? après quel délai ? et pour les représenter tu fera quelles courbes ? vas-tu adpater les données ? (les passer en bits / en bytes / ...) ?
rrdtool fait tout cela, et a mon avis cela semble compliqué parce que tu n'as pas écris les specs de ton besoin, sinon une grande partie de ce que fait rrdtool serait dedans :-)
et dans /sys/devices/.... t'as pas un "fichier" qui contiendrait le nom du device en plus de celui qu'il faut modifier ?
Si c'est le cas, il te faut un script au boot qui parse tous les hwmon existants et qui effectue la modif pour celui qui correspond au "bon" device. Cela permet de ne plus dépendre de l'ordre de chargement.
Oups, tu as raison; le buffer cache est en dessous du fs, je me suis trompé de troll :-)
Dans la pratique le "cout" du fs est souvent négligeable (a moins de vraiment fragmenter le fichier).
Comment argumenter cette position ?
Avec l'exemple des bases de données qui ont arreté de demander des devices block dédiés.
Avec l'exemple des fichiers de swap (quoi que le kernel bypass le code du fs dans ce cas)
As-tu mesuré l'impact performance d'utiliser un fichier plutôt qu'un device block ?
Parce que pour l'exploitation (sauvegarde, toussa) les fichiers c'est plus pratique quand même.
>C'est donc logiquement plus lent (une couche logicielle supplémentaire).
ou pas. Par exemple un windows XP virtualisé sur un linux avec beaucoup de ram voit ses performances disques décuplées (car linux fait du cache disque pour lui).
L'affirmation "couches logicielles == plus lent" est dur a affirmer si haut et si fort, pas mal de couche logicielles sont la pour optimiser des lenteurs natives de hardware. Et avec toutes les méthodes "zero copy" utilisées la traversées de ces couches est souvent impossible a mesurer dans un bench de cas concrets/réels. Seules les mesures dédiées à ces couches permettent de les mettre en évidence.
Attention la réplication mysql n'est pas synchrone, et ne respecte donc pas les transactions de la base de donnée. Elle ne garantie pas que sur une panne tu ne puisse pas perdre des informations pourtant commitées sur la db maitre.
MySQL conseille d'ailleurs d'utiliser DRBD pour de la haute dispo.
Ca fait maintenant une dizaine d'année que je me coltine LotusNotes. On est en v7, on ne migrera pas en v8. La migration vers "autre chose" n'est pas compliquée si on prend en compte la partie messagerie ... le problème c'est qu'on a des tonnes de "bases notes" pour gérer tout et n'importe quoi, et que ça c'est chaud à migrer.
Pour tes points:
- si tu entre dans un dossier et que tu selectionne tout (ctrl-a) tu dois pouvoir marquer les messages comme lus.
- les "rules" sur les messages peuvent faire bien plus que tu ne le dis (mais peut être pas quand même marquer comme lu, faut pas exagérer). Après faut apprendre le lotusscript pour faire tout:-(
- pour attacher des pièces jointes, y'a bien un menu avec une entrée "attachment" contrairement a ce que tu dis. mais le drag and drop c'est pratique :-)
- il me semble qu'on peut règler le format des messages qui partent si on ne veut pas de html (et perdre le formatage) mais en "interne" ça reste du format lotus notes avec les sections, les tableaux, les couleurs, ...
- pour les boites de tes colègues sur ton workspace, si la sécurité était gérée correctement, elles seraient chiffrées et accessibles qu'avec leur id notes a eux. Le problème est donc dans la configuration que vous avez mis en place.
- pour le fichier ID, c'est vrai que c'est contraignant, mais en terme de sécurité c'est assez fort. D'ailleurs cela ressemble aux clefs SSH si on regarde bien. Pas si bête que ça.
- Pour le navigateur, cela se regle dans ta "location", au lieu de laisser LotusNOtes (en fait la DLL de IE), tu peux mettre firefox par exemple, c'est ce que je fais perso.
- contrairement a ce que tu dis, l'agenda est très pratique et gère très bien les meeting qui se répètent, que l'on déplace, la réservation de ressources associées (salles, projecteur, ...) c'est un des points fort de LotusNotes. Normalement quand notes est ouvert, sur la gauche tu as un bandeau vertical avec des icones (mail, agenda, desktop, annuaire ..) en fait tu peux même ajouter les icones que tu veux par simple glisser/déposer.
Qu'on se comprenne bien, je déteste LotusNotes, mais j'ai du apprendre, et on a en interne des gens qui connaissent bien le produit (les admins notes). Ils peuvent vraiment faire beaucoup de choses en LotusScript. Par exemple en version 5 on avait déjà un antispam intégré qui se basait sur le score de la passerelle spamassassin de DMZ pour classer les mails.
LotusNotes a un avantage sympa c'est le système de réplication/synchronisation de documents et la notion de cluster notes.
En pratique je pense que ton client LotusNotes est particulièrement mal paramètré, et que tu as l'air bien seul pour te démener avec cette bouse. Il te faut de l'aide, si tu poses tes questions a un admin notes "local" il doit avoir des réponses pour la plupart de tes questions.
Il te reste aussi des points noirs à découvrir, mais je te laisse le suspens :-)
(essaie de recevoir un mail avec une image png par exemple, ...)
Je ne connaissais pas startssl.com, c'est exactement de ce genre de service dont je voulais parler.
Pouvoir obtenir un certificat pour un serveur web, en validant uniquement qu'on est bien au bout de "webmaster@mondomaine.com", ce qui est déjà pas mal comme preuve de propriété. On pourrait aussi utiliser les adresses email du whois du domaine... rien de très compliqué.
Dans ce cas, est-ce que les admins de linuxfr.org pourraient nous expliquer POURQUOI ils ne prennent pas un certificat chez startssl ?? Quel serait l'inconvénient par rapport a un certificat autosigné ?? Parceque coté utilisateur ça simplifierai bien la vie !!
Ben si on utilise un tier de confiance, pourquoi le site ne se fait pas signer son certificat par ce tier de confiance pour qu'il ne soit plus autosigné ?
Quel est l'intérêt d'un certificat autosigné puisqu'il ne permet pas de valider l'identité du serveur, et qu'il permet de chiffrer la connexion ... mais on ne sait pas avec qui.
A mon sens le problème, c'est plutôt qu'on a pas d'autorité de certification gratuite. Le seul gain de "s'autosigner" c'est les quelques centaines d'euros/ an de certificat.
Or c'est assez simple a faire une autorité de confiance, y' a pas de raison que cela coute cher.
qui se lance ?
hum ... vous utilisez windows sur ces postes ? avec la suite office ?
quelques jetons pour accéder a un active directory ?
Alors si en plus vous avez inclus les autres logiciels (parefeu ? bases de données ? sauvegarde ? antivirus ? un soft de déploiement ? ... sans compter un ERP vu la taille de l'entreprise). Ma théorie est que ce montant ne doit pas être le cout de TOUTES les licences de votre entreprise, ou alors je vous envoie le BSA :-)
Sauf que (au cas ou tu sois sérieux), Linus a dit cela le jour ou son disque dur a laché et qu'il a pu récupérer son boulot ... grace aux serveurs distribuant le kernel.
Il n'avait vraissemblablement pas de sauvegarde et la situation l'a fait marrer, d'ou la citation ironique sur le fait qu'il a eu de la chance ...
Nous utilisons souvent un syslog-ng configuré avec des parser perl pour réagir a des patterns. C'est très pratique ... et surtout DYNAMIQUE (pas executé par un cron de temps en temps, la réactivité est optimale).
Par contre si c'est pour du monitoring, il vaut mieux passer par un produit centralisé (genre Nagios) pour pouvoir acquitter les alertes et avoir une console qui permet de voir tous les problèmes à la fois.
Dans ce cas utiliser syslog-ng avec un parser qui envoi des alertes en "sendnsca" peut-être une solution.
Effectivement la question ne mentionne pas de clustering pour la haute disponibilité, mais si il en fallait cela devrait être implémenté avec vrrp ( ou ucarp ...) coté parefeu et pourquoi pas en remplaçant apache par ha_proxy comme reverse proxy.
Avec Linux, il faudrait mettre une machine "netfilter" pour le filtrage (parefeu), qui dirigerait tout le traffic tcp/80 vers un serveur "apache" configuré en reverse proxy (pourquoi pas sur la même machine, le mode reverse proxy ne pose pas trop de problèmes de sécu). Apache saura interpreter les headers HTTP c'est un peu sa spécialité :-).
En option:
Tu peux ajouter de la redondance au niveau du parefeu, en mettant deux machines 'parefeu+apache' en vrrp (ou en ucarp) par exemple.
En option egalement
Tu peux remplacer le reverse proxy apache par le reverse proxy ha_proxy. C'est peut-etre une bonne idée même sans besoin de redondance ou de load balancing.
ha_proxy est capable d'interpreter les headers http également, et son "role" est normalement de diriger les requettes vers plusieurs serveurs pour répartir la charge. Comme en plus il sait détecter quand un serveur ne répond plus, il n'y envoie plus de requettes et on a gagné l'aspect haute disponibilité ...
Au passage, c'est vrai qu'on a essuyé les platres pendant longtemps avec NetworkManager et PulseAudio. Ces composants ont fini par marcher a peu près correctement dans la dernière Fedora, tu devrais peut-être re-tester :-)
dans ce cas la j'aime bien utiliser "screen", un CTRL-A H pour lancer le dump dans un log au bon moment, CTRL-A H plus tard pour arreter le dump quand besoin ...
et puis tous les atouts de screen en plus (retrouver sa session, ...)
Je pertinente et j'en rajoute.
Si le probleme est avec ton propre domaine, tu n'as qu'a lister les @IP qui ont le droit d'émettre des mails pour ton domaine, ça devrait bloquer ces mails.
Autre chose, les moyens techniques à disposition des entreprises permettent réellement de controler le trafic vers Internet.
Imagine une entreprise avec du NAC (network access control), tu ne peux y connecter que des machines installées par la DSI. Sur ces machines, tu n'es pas admin et pour installer un nouveau logiciel il faut le faire packager par la DSI. Ne pense pas l'executer depuis ta clef USB, l'OS le refusera, il n'execute que les binaires installés par des packages de la société.
Cerise sur le gateau, le réseau interne n'est pas routé vers internet, il faut absolument passer par des proxy en layer7 qui analysent les flux.
Je veux bien que 'les gens trouveront une solution', mais des solutions y'en existe des deux cotés, et crois moi, si la DSI met en place ce qui existe, les gens auront du mal à trouver.
(après quoi je suis d'accord que c'est pas un monde rêvé, je ne dis pas qu'il faut le faire, je dis juste que ça existe).
Interessant ton point de vue.
Imagine que je pense que "oublier" de passer à la caisse au supermarché c'est plus pratique (excuse: y'avait la queue) tu penses que ce serait une bonne raison de devenir un voleur ?
La seule chose qui l'interdit c'est la loi, le règlement. Et le règlement est fait pour que les interets d'individus ne soient pas satisfait au détriement des intérêt de la société.
Figure toi que c'est la même chose en entreprise. Si tu as un besoin, tu l'exprime, la direction l'analyse et te donne une solution, ou pas si elle décide que tu ne dois pas le faire. Mais t'es pas en entreprise pour faire ce-que-tu-veux.
Le problème, c'est que l'entreprise a des obligations légales avec les états, contractuelles avec ses associés/partenaires/clients, ... et que sur place y'a des gens qui sont responsable de la santé du SI, des fuites d'informations, ...
reste plusieurs cas:
- mauvaise DSI: coupe tout (mais mal), les applis passent par le port 80 sans qu'elle le sache, en cas de problème elle dira qu'elle a fait le necessaire mais que l'employé a contourné le règlement => faute sur l'employé
- bonne DSI : ne coupe rien, les applis passent de partout sans qu'elle le sache, en cas de problème l'utilisateur dira qu'il ne savait pas, qu'il n'a pas fait exprès => faute sur la DSI
si t'es admin, tu préfère quelle solution ?
si quand tu demandes, on te répond juste NON, parce que la DSI ne fait pas son boulot, et bien en entreprise y'a un processus d'escalade hierarchique, qui fait que au final si ton besoin est important pour l'entreprise il sera satisfait, et que la DSI comprendra qu'elle doit mieux faire la prochaine fois. Mais si tu contourne, tu fais le jeu de la DSI aussi, et tu ne fais pas avancer l'entreprise en elle même.... t'avais peut-etre de bonnes raisons, mais au lieu de te comporter en acteur bienveillant pour la société, t'es juste devenu un individu hors la loi. D'un autre coté la DSI avait peut-etre aussi une très bonne raison de dire NON et de hors la loi tu deviens peut-etre carrément dangereux pour ton entreprise.
Mes deux exemples de DSI ne sont pas complets, y'en a une troisieme, celle la aussi elle coupe par defaut, elle ne dit pas oui facilement non plus pour ajouter des flux, mais en plus elle analyse le traffic, et rappelle aux individus "pressés" qu'il ont signé une charte informatique, annexée au règlement intérieur. Dans l'idéal elle a des relais dans chaque organisation pour capter les besoins et passer des messages, elle communique aussi sur la sécurité informatique pour que les employés soient avertis des risques sur leur pc perso. Du coup les utilisateurs l'appellent facilement pour leurs nouveaux besoins. Pour les contrevenants récidiviste elle peut aller jusqu'a emettre des avertissements ... en général le bien de l'entreprise reprend le dessus.
D'un autre coté, les gens ne respectent pas la politique de sécurité de l'entreprise. Si ils ont besoin d'une application particulière pour échanger avec l'extérieur sur autre chose que le port 80, il suffit de le demander à l'admin (ou aux responsables de l'admin).
Mais on préfère plutot faire passer de nouveaux flux sans lui en parler, en les maquillant sur le port 80.
>C'est con de devoir en passer par la, mais comme on peut pas foutre une claque à tous les admins qui bloquent les ports
Bloquer les ports, c'est une précaution saine pour éviter que n'importe quel appli a la con communique vers l'extérieur sans soucis. Ensuite faut analyser les nouveaux besoins et ouvrir les ports necessaires uniquement ... Seulement le vrai problème, c'est pas les admins qui ont bloqués les ports, c'est les utilisateurs qui veulent faire passer des trucs dont il savent que la direction ne veut pas ...
[^] # Re: Raisons du choix de Seven plutôt que Linux sur les postes de travai
Posté par PLuG . En réponse à la dépêche Le Wikileaks bucco-rhodanien revient sur la migration marseillaise vers Windows. Évalué à 3.
mais après cette étape tu obtiens un logiciel libre que chacun devra intégrer/tester parce que le packaging, les tests fonctionnels, le debug, la maintenance, le support .... tout cela reste a faire sur chaque plateforme supportée.
Le cout de développement d'un logiciel, c'est pas le temps de codage.
en général, les temps de test, intégration, packaging, ... sont BEAUCOUP plus long que d'écrire le code. Et cela reste multi-plateforme.
Donc non les éditeurs ne sont pas pret de faire des versions linux de leurs applications, sinon ils doivent se coltiner tout ces frais. Et si ils livrent la version "raw" de leur application, seuls ceux qui sont capable de faire la suite (packager, integrer ...) pourront l'utiliser sous linux, mais ceux la en général ils sont capable de créer la "glue" qui manque a 3 ou 4 projets GPL pour atteindre la fonctionnalité et du coup ils ne sont pas prets a payer pour la version "raw" du logiciel ... donc l'editeur ne trouve pas a la vendre.
Je prend un exemple dans le monde de la photo. pour faire du developpement numerique la reference c'est DXO (sous windows). Sous linux il existe Bibble (windows/mac/linux) qui est en vente. Je l'ai testé il marche très bien et est très rapide et coute 200 USD. Il est fourni en RPM et DEB et s'installe sans heurts sous debian ou fedora.
La question est: vais-je dépenser cette somme pour ce soft très bien intégré (et supporter un peu son developpement en payant l'editeur) ou vais-je préférer en déduire les paramètres de mes optiques et de mon capteur d'appareil pour configurer DIGIKAM pour mon besoin ?
Un néophite n'a pas le choix, il va payer. Mais souvent il est sous windows ...
De mon coté, entrer dans Digikam pour le configurer et intégrer ce qu'il me faut cela m'amusera surement et me fera économiser les 200USD (et perdre plusieurs soirées). Mais a ce moment la bibble ne se vend pas sous linux et si on fait tous pareil on peut parier qu'a terme ils conclueront que cette architecture n'est pas rentable.
[^] # Re: Incompétence, corruption ou crédulité ?
Posté par PLuG . En réponse à la dépêche Le Wikileaks bucco-rhodanien revient sur la migration marseillaise vers Windows. Évalué à 1.
Une des missions des employés de la DSI, c'est de monter des dossier en interne pour former le DSI *avant* qu'il ne subisse les argumentaires des commerciaux.
Et quand on rate le coche il est compliqué de reprendre le dessus si le DSI est convaincu par les avant vente ...
[^] # Re: Raisons du choix de Seven plutôt que Linux sur les postes de travai
Posté par PLuG . En réponse à la dépêche Le Wikileaks bucco-rhodanien revient sur la migration marseillaise vers Windows. Évalué à 7.
L'utilisateur sera malheureusement plus près à faire des efforts personnels pour maitriser windows seven (qu'il voit a la tv, il sait que c'est une avancée technologique, il pense se former pour son futur) plutot que de s'adapter a un OS bizarre (linux) qui a été choisi pour faire des économies ( recession budgetaire ...) et dont il pense que la direction informatique va y gagner sur son budget a ses dépends.
c'est triste mais cette dimension "perçue" existe aussi.
[^] # Re: rrdtools
Posté par PLuG . En réponse au message Compteur d'impulsions. Évalué à 2.
Si tu gère tes datas toi même, comment va tu les stocker ? et les purger ? après quel délai ? et pour les représenter tu fera quelles courbes ? vas-tu adpater les données ? (les passer en bits / en bytes / ...) ?
rrdtool fait tout cela, et a mon avis cela semble compliqué parce que tu n'as pas écris les specs de ton besoin, sinon une grande partie de ce que fait rrdtool serait dedans :-)
[^] # Re: udev
Posté par PLuG . En réponse au message Ordre de chargement des modules. Évalué à 1.
Si c'est le cas, il te faut un script au boot qui parse tous les hwmon existants et qui effectue la modif pour celui qui correspond au "bon" device. Cela permet de ne plus dépendre de l'ordre de chargement.
[^] # Re: Vous devez entrer un sujet et un commentaire
Posté par PLuG . En réponse à la dépêche VirtualBox disponible en version 3.2.10. Évalué à 2.
Dans la pratique le "cout" du fs est souvent négligeable (a moins de vraiment fragmenter le fichier).
Comment argumenter cette position ?
Avec l'exemple des bases de données qui ont arreté de demander des devices block dédiés.
Avec l'exemple des fichiers de swap (quoi que le kernel bypass le code du fs dans ce cas)
As-tu mesuré l'impact performance d'utiliser un fichier plutôt qu'un device block ?
Parce que pour l'exploitation (sauvegarde, toussa) les fichiers c'est plus pratique quand même.
[^] # Re: Vous devez entrer un sujet et un commentaire
Posté par PLuG . En réponse à la dépêche VirtualBox disponible en version 3.2.10. Évalué à 5.
ou pas. Par exemple un windows XP virtualisé sur un linux avec beaucoup de ram voit ses performances disques décuplées (car linux fait du cache disque pour lui).
L'affirmation "couches logicielles == plus lent" est dur a affirmer si haut et si fort, pas mal de couche logicielles sont la pour optimiser des lenteurs natives de hardware. Et avec toutes les méthodes "zero copy" utilisées la traversées de ces couches est souvent impossible a mesurer dans un bench de cas concrets/réels. Seules les mesures dédiées à ces couches permettent de les mettre en évidence.
mes 2c.
[^] # Re: Replication MySQL
Posté par PLuG . En réponse au message Recherche logiciel pour Synchro Temps reel. Évalué à 1.
MySQL conseille d'ailleurs d'utiliser DRBD pour de la haute dispo.
# Je compatis
Posté par PLuG . En réponse au journal Humeur 3 : Aux chiottes Lotus. Évalué à 3.
Pour tes points:
- si tu entre dans un dossier et que tu selectionne tout (ctrl-a) tu dois pouvoir marquer les messages comme lus.
- les "rules" sur les messages peuvent faire bien plus que tu ne le dis (mais peut être pas quand même marquer comme lu, faut pas exagérer). Après faut apprendre le lotusscript pour faire tout:-(
- pour attacher des pièces jointes, y'a bien un menu avec une entrée "attachment" contrairement a ce que tu dis. mais le drag and drop c'est pratique :-)
- il me semble qu'on peut règler le format des messages qui partent si on ne veut pas de html (et perdre le formatage) mais en "interne" ça reste du format lotus notes avec les sections, les tableaux, les couleurs, ...
- pour les boites de tes colègues sur ton workspace, si la sécurité était gérée correctement, elles seraient chiffrées et accessibles qu'avec leur id notes a eux. Le problème est donc dans la configuration que vous avez mis en place.
- pour le fichier ID, c'est vrai que c'est contraignant, mais en terme de sécurité c'est assez fort. D'ailleurs cela ressemble aux clefs SSH si on regarde bien. Pas si bête que ça.
- Pour le navigateur, cela se regle dans ta "location", au lieu de laisser LotusNOtes (en fait la DLL de IE), tu peux mettre firefox par exemple, c'est ce que je fais perso.
- contrairement a ce que tu dis, l'agenda est très pratique et gère très bien les meeting qui se répètent, que l'on déplace, la réservation de ressources associées (salles, projecteur, ...) c'est un des points fort de LotusNotes. Normalement quand notes est ouvert, sur la gauche tu as un bandeau vertical avec des icones (mail, agenda, desktop, annuaire ..) en fait tu peux même ajouter les icones que tu veux par simple glisser/déposer.
Qu'on se comprenne bien, je déteste LotusNotes, mais j'ai du apprendre, et on a en interne des gens qui connaissent bien le produit (les admins notes). Ils peuvent vraiment faire beaucoup de choses en LotusScript. Par exemple en version 5 on avait déjà un antispam intégré qui se basait sur le score de la passerelle spamassassin de DMZ pour classer les mails.
LotusNotes a un avantage sympa c'est le système de réplication/synchronisation de documents et la notion de cluster notes.
En pratique je pense que ton client LotusNotes est particulièrement mal paramètré, et que tu as l'air bien seul pour te démener avec cette bouse. Il te faut de l'aide, si tu poses tes questions a un admin notes "local" il doit avoir des réponses pour la plupart de tes questions.
Il te reste aussi des points noirs à découvrir, mais je te laisse le suspens :-)
(essaie de recevoir un mail avec une image png par exemple, ...)
bon courage :-)
[^] # Re: Certificat auto-signé
Posté par PLuG . En réponse à la dépêche HSTS arrive dans Firefox 4. Évalué à 1.
Pouvoir obtenir un certificat pour un serveur web, en validant uniquement qu'on est bien au bout de "webmaster@mondomaine.com", ce qui est déjà pas mal comme preuve de propriété. On pourrait aussi utiliser les adresses email du whois du domaine... rien de très compliqué.
Dans ce cas, est-ce que les admins de linuxfr.org pourraient nous expliquer POURQUOI ils ne prennent pas un certificat chez startssl ?? Quel serait l'inconvénient par rapport a un certificat autosigné ?? Parceque coté utilisateur ça simplifierai bien la vie !!
quelqu'un pour répondre ?
[^] # Re: Certificat auto-signé
Posté par PLuG . En réponse à la dépêche HSTS arrive dans Firefox 4. Évalué à 2.
Quel est l'intérêt d'un certificat autosigné puisqu'il ne permet pas de valider l'identité du serveur, et qu'il permet de chiffrer la connexion ... mais on ne sait pas avec qui.
A mon sens le problème, c'est plutôt qu'on a pas d'autorité de certification gratuite. Le seul gain de "s'autosigner" c'est les quelques centaines d'euros/ an de certificat.
Or c'est assez simple a faire une autorité de confiance, y' a pas de raison que cela coute cher.
qui se lance ?
[^] # Re: comprends pas
Posté par PLuG . En réponse au journal Le BSA et IDC savent comment résoudre la crise. Évalué à 2.
quelques jetons pour accéder a un active directory ?
Alors si en plus vous avez inclus les autres logiciels (parefeu ? bases de données ? sauvegarde ? antivirus ? un soft de déploiement ? ... sans compter un ERP vu la taille de l'entreprise). Ma théorie est que ce montant ne doit pas être le cout de TOUTES les licences de votre entreprise, ou alors je vous envoie le BSA :-)
[^] # Re: Déja vu et complètement bidon
Posté par PLuG . En réponse au message Linux Torvalds Quote. Évalué à 2.
Il n'avait vraissemblablement pas de sauvegarde et la situation l'a fait marrer, d'ou la citation ironique sur le fait qu'il a eu de la chance ...
# mail ... toussa
Posté par PLuG . En réponse au message Détection de pattern dans les logs + notification mail. Évalué à 1.
Par contre si c'est pour du monitoring, il vaut mieux passer par un produit centralisé (genre Nagios) pour pouvoir acquitter les alertes et avoir une console qui permet de voir tous les problèmes à la fois.
Dans ce cas utiliser syslog-ng avec un parser qui envoi des alertes en "sendnsca" peut-être une solution.
[^] # Re: proxy http + firewall
Posté par PLuG . En réponse au message Problématique changement Firewall. Évalué à 1.
Avec Linux, il faudrait mettre une machine "netfilter" pour le filtrage (parefeu), qui dirigerait tout le traffic tcp/80 vers un serveur "apache" configuré en reverse proxy (pourquoi pas sur la même machine, le mode reverse proxy ne pose pas trop de problèmes de sécu). Apache saura interpreter les headers HTTP c'est un peu sa spécialité :-).
En option:
Tu peux ajouter de la redondance au niveau du parefeu, en mettant deux machines 'parefeu+apache' en vrrp (ou en ucarp) par exemple.
En option egalement
Tu peux remplacer le reverse proxy apache par le reverse proxy ha_proxy. C'est peut-etre une bonne idée même sans besoin de redondance ou de load balancing.
ha_proxy est capable d'interpreter les headers http également, et son "role" est normalement de diriger les requettes vers plusieurs serveurs pour répartir la charge. Comme en plus il sait détecter quand un serveur ne répond plus, il n'y envoie plus de requettes et on a gagné l'aspect haute disponibilité ...
[^] # Re: Schizophrénie
Posté par PLuG . En réponse au journal RPM est mourrant, UBUNTU le grand gagnant. Évalué à 1.
[^] # Re: Risques minimes?!
Posté par PLuG . En réponse au journal Empreinte du squelette. Évalué à 7.
[^] # Re: Schizophrénie
Posté par PLuG . En réponse au journal RPM est mourrant, UBUNTU le grand gagnant. Évalué à 3.
[^] # Re: A la louche !
Posté par PLuG . En réponse au message Script perl dans /etc/init.d. Évalué à 1.
[^] # Re: tee
Posté par PLuG . En réponse au message sauvegarde commandes console. Évalué à 1.
et puis tous les atouts de screen en plus (retrouver sa session, ...)
[^] # Re: Il y a du choix
Posté par PLuG . En réponse au message Equivalent MS Projects + PWA. Évalué à 1.
[^] # Re: Pratique courante
Posté par PLuG . En réponse au message Améliorer la configuration SPF. Évalué à 1.
Si le probleme est avec ton propre domaine, tu n'as qu'a lister les @IP qui ont le droit d'émettre des mails pour ton domaine, ça devrait bloquer ces mails.
[^] # Re: Je suis vieux ?
Posté par PLuG . En réponse à la dépêche Mozilla continue d'avancer !. Évalué à 2.
Imagine une entreprise avec du NAC (network access control), tu ne peux y connecter que des machines installées par la DSI. Sur ces machines, tu n'es pas admin et pour installer un nouveau logiciel il faut le faire packager par la DSI. Ne pense pas l'executer depuis ta clef USB, l'OS le refusera, il n'execute que les binaires installés par des packages de la société.
Cerise sur le gateau, le réseau interne n'est pas routé vers internet, il faut absolument passer par des proxy en layer7 qui analysent les flux.
Je veux bien que 'les gens trouveront une solution', mais des solutions y'en existe des deux cotés, et crois moi, si la DSI met en place ce qui existe, les gens auront du mal à trouver.
(après quoi je suis d'accord que c'est pas un monde rêvé, je ne dis pas qu'il faut le faire, je dis juste que ça existe).
[^] # Re: Je suis vieux ?
Posté par PLuG . En réponse à la dépêche Mozilla continue d'avancer !. Évalué à 2.
Imagine que je pense que "oublier" de passer à la caisse au supermarché c'est plus pratique (excuse: y'avait la queue) tu penses que ce serait une bonne raison de devenir un voleur ?
La seule chose qui l'interdit c'est la loi, le règlement. Et le règlement est fait pour que les interets d'individus ne soient pas satisfait au détriement des intérêt de la société.
Figure toi que c'est la même chose en entreprise. Si tu as un besoin, tu l'exprime, la direction l'analyse et te donne une solution, ou pas si elle décide que tu ne dois pas le faire. Mais t'es pas en entreprise pour faire ce-que-tu-veux.
Le problème, c'est que l'entreprise a des obligations légales avec les états, contractuelles avec ses associés/partenaires/clients, ... et que sur place y'a des gens qui sont responsable de la santé du SI, des fuites d'informations, ...
reste plusieurs cas:
- mauvaise DSI: coupe tout (mais mal), les applis passent par le port 80 sans qu'elle le sache, en cas de problème elle dira qu'elle a fait le necessaire mais que l'employé a contourné le règlement => faute sur l'employé
- bonne DSI : ne coupe rien, les applis passent de partout sans qu'elle le sache, en cas de problème l'utilisateur dira qu'il ne savait pas, qu'il n'a pas fait exprès => faute sur la DSI
si t'es admin, tu préfère quelle solution ?
si quand tu demandes, on te répond juste NON, parce que la DSI ne fait pas son boulot, et bien en entreprise y'a un processus d'escalade hierarchique, qui fait que au final si ton besoin est important pour l'entreprise il sera satisfait, et que la DSI comprendra qu'elle doit mieux faire la prochaine fois. Mais si tu contourne, tu fais le jeu de la DSI aussi, et tu ne fais pas avancer l'entreprise en elle même.... t'avais peut-etre de bonnes raisons, mais au lieu de te comporter en acteur bienveillant pour la société, t'es juste devenu un individu hors la loi. D'un autre coté la DSI avait peut-etre aussi une très bonne raison de dire NON et de hors la loi tu deviens peut-etre carrément dangereux pour ton entreprise.
Mes deux exemples de DSI ne sont pas complets, y'en a une troisieme, celle la aussi elle coupe par defaut, elle ne dit pas oui facilement non plus pour ajouter des flux, mais en plus elle analyse le traffic, et rappelle aux individus "pressés" qu'il ont signé une charte informatique, annexée au règlement intérieur. Dans l'idéal elle a des relais dans chaque organisation pour capter les besoins et passer des messages, elle communique aussi sur la sécurité informatique pour que les employés soient avertis des risques sur leur pc perso. Du coup les utilisateurs l'appellent facilement pour leurs nouveaux besoins. Pour les contrevenants récidiviste elle peut aller jusqu'a emettre des avertissements ... en général le bien de l'entreprise reprend le dessus.
[^] # Re: Je suis vieux ?
Posté par PLuG . En réponse à la dépêche Mozilla continue d'avancer !. Évalué à 4.
Mais on préfère plutot faire passer de nouveaux flux sans lui en parler, en les maquillant sur le port 80.
>C'est con de devoir en passer par la, mais comme on peut pas foutre une claque à tous les admins qui bloquent les ports
Bloquer les ports, c'est une précaution saine pour éviter que n'importe quel appli a la con communique vers l'extérieur sans soucis. Ensuite faut analyser les nouveaux besoins et ouvrir les ports necessaires uniquement ... Seulement le vrai problème, c'est pas les admins qui ont bloqués les ports, c'est les utilisateurs qui veulent faire passer des trucs dont il savent que la direction ne veut pas ...