Je me trompe peut-être mais j'avais l'impression que LemonLDAP::NG est un fait une solution pour faire du SSO pour des application web. Il utilise ensuite un serveur LDAP qu'il faut lui fournir. Ca ne répond pas à ma problématique de gérer de manière "conviviale" les utilisateurs.
Je ne connaissais pas. Merci pour le tuyau. Par contre, il y a pas mal de truc que je ne pourrais pas faire avec (hosts, sudo, autofs…). La documentation a l'air pas mal en retard sur le code (les backends ne semblent pas documentés) et je n'ai pas compris comment les changement de mot de passe sont gérés (tout semble stocké en dur). Par contre c'est intéressant pour tester ou pour des gérer des services web avec un ou deux utilisateurs.
En fait mon problème vient du fait que je voulais rester sur une solution installée sur une Debian. J'ai testé 389DS et l'interface graphique ne m'a pas semblé très intéressante pour mon usage. J'ai bien compris que les fonctions que je recherche sont intégrées dans FreeIPA mais comme ce n'est pas évident à installer sous Debian, j'ai jeté l'éponge. Au final, je vais sûrement approfondir cette option dans un container docker ou une machine virtuelle CentOS.
Je vais rajouter ma petite pierre à ta description. J'ai aussi un Pinebook Pro depuis décembre. J'ai rapidement installé une debian testing sur une partition chiffrée. Je l'ai utilisée pendant quelques mois sur carte SD puis j'ai basculé sur le disque eMMC. Il y a un script qui permet facilement de préparer un disque pour ceux qui sont fâchés avec debootstrap: https://github.com/daniel-thompson/pinebook-pro-debian-installer
Mon retour est plutôt positif. Je m'en sert comme portable principal (en remplacement d'un Thinkpad T430s plus lourd et à aux batteries mourantes) depuis février. Il convient parfaitement pour mes taches quotidiennes : courriel (mutt), administration système (ssh avec Yubikey, ansible, emacs), développement web (django, docker), glande (firefox, youtube est fluide en 1080p tant qu'on ne prend pas 60 fps). J'ai un PC de bureau bien plus puissant si besoin. J'ai compilé 1 ou 2 fois le noyau dessus et c'est vrai que c'est long malgré les 6 cœurs. Depuis je lance la compilation sur mon PC de bureau.
Par rapport aux paquets debian, j'ai un noyau customisé (voir le script plus haut) et j'ai compilé le paquet mesa depuis la version de développement pour corriger des plantages de X11/Wayland. J'ai installé sway sur Wayland et ça fonctionne très bien.
Les cotés positifs :
Léger
Bon clavier (je tape en qwerty-uk depuis des années)
Bon écran
Très bonne autonomie (je n'ai jamais mesuré précisément mais il tient 2 jours de travail)
Le prix
La variété des architectures (ça ouvre l'esprit)
Les cotés négatifs :
La veille ne fonctionne pas (ça plante régulièrement quand on le réveille en ouvrant l'écran)
Le son est très faible (visiblement je n'arrive pas à activer l'amplification) et il y a des sifflements aigus parfois
U-boot qui nécessite un cable série pour l'utiliser
Je ne suis pas persuadé de la solidité (un coin est fissuré mais il faut dire qu'il a pas mal voyagé dans mon sac à dos)
Pas de support "out-of-the-box" de la plupart des distributions
Au final, je le conseille aux habitués de linux qui veulent un portable d'appoint pas cher, léger et à grande autonomie. Pas mal de gens qui l'ont vu voulait le même mais je ne le conseille pas à ceux qui ne connaissent pas linux.
PS: tu peux mapper la touche on/off vers "delete".
L'export HTML5 fonctionne bien. Je joue sans problème avec Firefox avec une vitesse proche de la version lancée depuis Godot (j'ai lancé Godot en X distant à travers ssh donc je ne sais pas quelle est la vitesse escomptée). Je n'ai pas de son sur ma station, donc je ne peux pas te dire si ça passe ou pas. La seule chose qui ne marchait pas était le jeu en réseau : il n'arrivait pas à joindre le serveur.
J'ai fait des jeux en Godot avec mes enfants pendant le confinement et j'ai trouvé que la manière la plus facile de les partager avec leurs copains c'est l'export HTML5. Il est vrai que nous ne sommes pas très exigeants sur la vitesse et la qualité du rendu…
Pourquoi tu ne proposes pas de jouer en ligne ? Godot propose un export vers HTML5. Pas la peine de télécharger des binaires "douteux", on doit pouvoir jouer dans son navigateur.
Je conseille vivement le Pinebook Pro. C'est mon PC principal depuis un mois. J'y ai installé une Debian (testing) sur une partition LUKS. Ça marche plutôt bien pour mon usage (i3, terminal, emacs, mutt et firefox; développement python et django mais aussi compilation C/C++). Le support n'est pas encore parfait (kernel custom + firmware bluetooth exotique + mesa en version git), il ne faut pas avoir peur de mettre les mains dans le camboui.
Je suis très satisfait de l'écran, du clavier et de la batterie (> 10 heures). Par contre le trackpad n'est pas très précis et les hauts-parleurs faiblards. Les processeurs ne sont pas des flèches mais curieusement je ne le remarque pas trop dans les compilations ou sur firefox. Mutt a un peu de mal sur mes gros dossiers.
Ne pas oublier dans le prix, la TVA et les frais de douane (+25 %). La version avec 128 GB de stockage n'est plus disponible. 64 GB peut être un peu juste selon les usages.
Question bête sur les sondes atlas : comment fait-on pour pouvoir lancer une requête si on n'a pas de sonde soi-même ? Si j'ai bien compris, chaque requête coûte des crédits qui sont gagnés grâce aux sondes hébergées sur son réseau. Le RIPE a toujours refusé de m'envoyer une sonde. Du coup, je ne peux donc pas faire de requêtes.
C'est comme ça que ça marche ou j'ai loupé un épisode ?
Les pass Vigik sont en fait de simple puces NFC Mifare Classic. Pour résumer chaque puce a un numéro de série unique et non-modifiable (en théorie). Ensuite, elles ont plusieurs secteurs qui peuvent être protégés en lecture et/ou écriture par une clé secrète.
Le système Vigik va vérifier que ta puce comporte les bons secteurs protégés par la bonne clé. La bonne nouvelle c'est que le protocole des Mifare Classic est pourri et on peut retrouver les clés sans trop de difficultés (je te laisse renter le mot mfoc dans ton moteur de recherche préféré). Tu pourras ainsi copier le contenu de ton pass valide dans la mémoire de ton ancien pass.
Dans la pratique, j'ai constaté que la centrale vérifie aussi que le numéro de série de ton pass est autorisé à l'aide de son numéro de série. La bonne nouvelle c'est que tu peux acheter des puces NFC (en porte-clé aussi) qui émulent une Mifare Classic avec une petite différence : tu peux changer le numéro de série. Ces pass coutent peu cher, de l'ordre de 10 € pour 5 ou 6 pass. En théorie, tu peux ainsi cloner parfaitement ton pass original. Sauf que (ce serait trop simple), les dernières générations de bornes Vigik vérifient que le pass présenté n'est pas du genre à autoriser les changement de numéro de série (comment c'est vérifié ? je ne le sais pas). Si tu es dans ce cas, tu es coincé.
En fait le plus simple c'est de venir voir le syndic avec ton ancienne clé et de leur demander de l'activer pour ton immeuble. Si ils ne sont pas trop bêtes, ils devraient le faire gratuitement.
Tu peux essayer les deux commandes suivantes : unshare et firejail.
Par exemple, je les utilises pour lire des courriels html depuis mutt en évitant les requêtes sur le net:
- unshare -r -n w3m
- firejail --noprofile --net=none firefox
Il y a plein d'autres options comme par exemple présenter un système de fichier minimal, ne monter qu'une liste définie de répertoires dans ton home, changer les serveurs DNS ou les protocoles réseaux autorisés…
Comme tout le monde j'utilise pass (https://www.passwordstore.org/) qui remplit merveilleusement son rôle sur mes ordinateurs.
Sinon, tu peux utiliser passman (https://github.com/nextcloud/passman) qui est une appli Nextcloud qui a l'air assez sécurisée avec un plugin Firefox et une appli Android.
Un petit retour d'expérience de quelqu'un qui veut aussi quitter Owncloud pour les mêmes raisons que toi : toutes mes mises à jours précédentes ce sont terminées avec les mains dans le cambouis. Et pourtant je n'ai rien d'exotique avec les fichiers en local, une BDD MySQL, 3 utilisateurs avec plusieurs calendriers et carnets d'adresses partagés.
Pour la synchronisation des fichiers j'utilise Seafile. C'est beaucoup plus propre que Owncloud même si ça ne gère que la partie fichiers: synchronisation/partage/publication. Les clients linux et Android marchent mieux. En résumé : moins de fonctionnalités annexes mais plus robuste et professionnel.
Mon problème a été depuis 6 mois de trouver un remplaçant au serveurs Carddav et Caldav d'Owncloud. J'ai testé:
DAVical (que j'utilisais il y a longtemps) : c'est une usine à gaz. Il permet une gestion fine des droits et partage mais j'ai l'impression que c'est tellement complexe que je ne maitrise pas vraiment ce que je fais. Il lui manque en fait les calendriers/carnets en ligne.
Radicale : Plus simple. Le partage entre utilisateurs me semble très rudimentaire. Encore une fois, pas de calendriers/carnets en ligne.
Baikal : Je n'ai pas trouvé le partage. La version 2 a les calendriers/carnets en ligne.
Zarafa : Assez tentant. Un joli groupware avec une webapp qui gère tout (mail, calendriers, carnets, partages…). Il ne semble pas gérer les connexions Carddav (mais il y a un serveur Caldav).
Voilà pour mon retour d'expérience. Ce qui me manque vraiment c'est un serveur Card/Caldav qui gère les partages et avec une interface web. Je sais que je pourrais utiliser InfCloud mais il a du mal à trouver les calendriers partagés avec la plupart des serveurs.
Le seul point qui m'empêche de remplacer owncloud par Cozy Cloud est l'absence de gestion multi-utilisateur. Même dans un contexte familial, il est souvent désirable de séparer les fichiers, agendas et carnets d'adresse. Un système fin de partage entre les utilisateurs serait le top.
Résultat, je pense que je vais remplacer owncloud par un mix seafile+DAViCal.
Sinon, de ce que j'en ai testé c'est joli, fluide et efficace. Mais mono-utilisateur…
Plus sérieusement, il y a une ligne dans le compte-rendu de réunion qui est assez dérangeant :
3. ISP Network Injection solution (I think this one caused an excellent "body language" reaction)
Une couche est remise plus bas :
My guess is that #3, 4, 6, 7 and 9 were of particular interest as they took notes as we spoke.
Cela veut-il dire que notre gouvernement compte injecter des exploits dans les flux au niveau des nos FAI (le retour des boites noires !) ? Mais peut-être suis-je naïf et que c'est déjà le cas…
Un certain Benoit Gentil avec un email en @sagic.fr. J'imagine que l'utilisation de ce nom de domaine est plus discret que defense.gouv.fr. Mais est-ce vraiment si discret ?
Une recherche dans les pages jaunes nous indique que la Sagic est un restaurant d'entreprise au 51 bd de la tour Maubourg à Paris. Soit le siège de l'ANSSI et du SGDSN. Pas très discret comme couverture…
Pour les geek, on peut trouver la même adresse dans le whois de sagic.fr. L'IP du serveur (sagic.fr -> 194.3.103.43) renvoie vers un bloc IP d'Orange délégué à la Sagic avec la même adresse postale (vous connaissez beaucoup de restaurant d'entreprise avec un bloc IP dédié /29 ?).
Donc soit ils ont laissé un stagiaire s'occuper de leur couverture, soit c'est fait exprès : discret en surface mais évident pour qui veut vraiment savoir. Je suis optimiste et je penche pour la deuxième solution.
Les différences sont subtiles : « a declaration » devient « this declaration » ou un « This is » rajouté dans le titre. Par contre le fameux paragraphe manquant a été rajouté :
Neither Silent Circle nor its principals or employees have ever been served
with any warrants, nor have Silent Circle's servers or other assets been
searched or seized by government authorities.
Il semble écrit dans les règles de l'art sans laisser de place à une double interprétation.
Que faut-il en déduire ? Pas grand chose à mon avis, sinon que dans le doute la méfiance s'impose.
Ils ont bien dû répondre à une réquisition gouvernementale. Ce genre de message est écrit de manière méticuleuse. Si on se pose la question c'est fait exprès. Le message devrait ne laisser aucun doute. Comme l'écris un contributeur de HN : dans une mine, si ton canari commence à avoir l'air bizarre, il est temps de fuir sans se poser plus de question.
Je pense qu'on ne saura jamais ce qu'ils ont dû transmettre mais une chose est sûre, ils ont transmis des infos au gouvernement. Ils ne risquerait pas leur business avec une phrase mal tournée.
Il est sûrement possible que dans les prochains jours un démenti sera publié mais le mal est fait. Le doute sera toujours permis : ce démenti est-il une injonction d'un juge ou la conséquence d'une écriture à la légère du canari ?
Je dois être myope mais je n'ai pas vu les options de backup pour OMV (je parle de sauvegarder le contenu du NAS vers un autre serveur extérieur). Ça me semble indispensable pour une solution NAS. C'est disponible en standard ?
C'est rigilo, on a à peu près le même ressenti vis à vis des MAJ de sécurité avec docker. C'est aussi l'une des raisons pour lesquels je reste avec LXC. Un petit coup de Ansible et tout mes conteneurs sont mis à jours via SSH.
L'autre aspect qui m'ennuie, c'est le stockage des images autre part que dans le dépôt officiel. Visiblement on peut créer un dépôt privé mais il faut installer un nouveau logiciel pas super documenté. Cela aurait été plus simple si tout pouvait tenir dans un dépôt git traditionnel.
J'ai testé un VPN IPsec sur un téléphone Android et cela marchait pas trop mal avec un débit correct sur Free, B&Y et divers autres opérateurs étrangers. Les problèmes:
Augmentation sensible du trafic data (donc coût).
Le passage wifi/GSM est parfois un peu buggé (lenteur, connexion VPN dans les choux pendant plusieurs minutes…)
Augmentation importante de la décharge de la batterie.
C'est essentiellement le dernier point qui m'a fait abandonner le VPN sur mobile.
Je fais 1-2 posters scientifiques par an depuis 10 ans. Il y a en général du texte, des figures, des schémas, des équations et des tableaux. J'utilise Scribus car il se débrouille pas trop mal pour tout ça. Le point positif c'est qu'il est conçu pour l'imprimerie et que la sortie est nickel. Si tu as utilisé une figure avec une résolution trop faible, tu as le droit à un joli avertissement lors de l'exportation PDF.
Le truc que j'aime c'est la gestion des styles qui permet de garder facilement une cohérence sur tout le poster.
Les points noirs sont :
les équations. Je les fais en LaTex et les importe comme images vectorielles.
les tableaux. Je les fais avec LibreOffice Calc et les importe en PDF.
Dans les deux cas il y a des modules pour le faire directement depuis Scribus mais ça ne marche pas très bien.
Tu peux essayer Viking (http://viking.sf.net/ ou dans toutes les bonnes distributions). Ça te permettra d'afficher tes traces sur différents fonds de cartes. Pour les annotations, je ne sais pas trop.
Question précision, un GPS lambda te donnera +/- 3-5 m.
[^] # Re: LemonLDAP::NG
Posté par rahan . En réponse au journal Identification et authentification centralisées. Évalué à 3.
Je me trompe peut-être mais j'avais l'impression que LemonLDAP::NG est un fait une solution pour faire du SSO pour des application web. Il utilise ensuite un serveur LDAP qu'il faut lui fournir. Ca ne répond pas à ma problématique de gérer de manière "conviviale" les utilisateurs.
[^] # Re: glauth
Posté par rahan . En réponse au journal Identification et authentification centralisées. Évalué à 3.
Je ne connaissais pas. Merci pour le tuyau. Par contre, il y a pas mal de truc que je ne pourrais pas faire avec (hosts, sudo, autofs…). La documentation a l'air pas mal en retard sur le code (les backends ne semblent pas documentés) et je n'ai pas compris comment les changement de mot de passe sont gérés (tout semble stocké en dur). Par contre c'est intéressant pour tester ou pour des gérer des services web avec un ou deux utilisateurs.
[^] # Re: qq comentaires
Posté par rahan . En réponse au journal Identification et authentification centralisées. Évalué à 2.
En fait mon problème vient du fait que je voulais rester sur une solution installée sur une Debian. J'ai testé 389DS et l'interface graphique ne m'a pas semblé très intéressante pour mon usage. J'ai bien compris que les fonctions que je recherche sont intégrées dans FreeIPA mais comme ce n'est pas évident à installer sous Debian, j'ai jeté l'éponge. Au final, je vais sûrement approfondir cette option dans un container docker ou une machine virtuelle CentOS.
Merci pour le retour.
# Mon retour
Posté par rahan . En réponse au journal 1er retour sur le Pinebook pro. Évalué à 10.
Salut,
Je vais rajouter ma petite pierre à ta description. J'ai aussi un Pinebook Pro depuis décembre. J'ai rapidement installé une debian testing sur une partition chiffrée. Je l'ai utilisée pendant quelques mois sur carte SD puis j'ai basculé sur le disque eMMC. Il y a un script qui permet facilement de préparer un disque pour ceux qui sont fâchés avec debootstrap: https://github.com/daniel-thompson/pinebook-pro-debian-installer
Mon retour est plutôt positif. Je m'en sert comme portable principal (en remplacement d'un Thinkpad T430s plus lourd et à aux batteries mourantes) depuis février. Il convient parfaitement pour mes taches quotidiennes : courriel (mutt), administration système (ssh avec Yubikey, ansible, emacs), développement web (django, docker), glande (firefox, youtube est fluide en 1080p tant qu'on ne prend pas 60 fps). J'ai un PC de bureau bien plus puissant si besoin. J'ai compilé 1 ou 2 fois le noyau dessus et c'est vrai que c'est long malgré les 6 cœurs. Depuis je lance la compilation sur mon PC de bureau.
Par rapport aux paquets debian, j'ai un noyau customisé (voir le script plus haut) et j'ai compilé le paquet mesa depuis la version de développement pour corriger des plantages de X11/Wayland. J'ai installé sway sur Wayland et ça fonctionne très bien.
Les cotés positifs :
Les cotés négatifs :
Au final, je le conseille aux habitués de linux qui veulent un portable d'appoint pas cher, léger et à grande autonomie. Pas mal de gens qui l'ont vu voulait le même mais je ne le conseille pas à ceux qui ne connaissent pas linux.
PS: tu peux mapper la touche on/off vers "delete".
[^] # Re: Version HTML5
Posté par rahan . En réponse à la dépêche « Shpactris » sort en v1 et apporte la coopération en ligne. Évalué à 3.
L'export HTML5 fonctionne bien. Je joue sans problème avec Firefox avec une vitesse proche de la version lancée depuis Godot (j'ai lancé Godot en X distant à travers ssh donc je ne sais pas quelle est la vitesse escomptée). Je n'ai pas de son sur ma station, donc je ne peux pas te dire si ça passe ou pas. La seule chose qui ne marchait pas était le jeu en réseau : il n'arrivait pas à joindre le serveur.
J'ai fait des jeux en Godot avec mes enfants pendant le confinement et j'ai trouvé que la manière la plus facile de les partager avec leurs copains c'est l'export HTML5. Il est vrai que nous ne sommes pas très exigeants sur la vitesse et la qualité du rendu…
# Version HTML5
Posté par rahan . En réponse à la dépêche « Shpactris » sort en v1 et apporte la coopération en ligne. Évalué à 3.
Pourquoi tu ne proposes pas de jouer en ligne ? Godot propose un export vers HTML5. Pas la peine de télécharger des binaires "douteux", on doit pouvoir jouer dans son navigateur.
# Pinebook Pro
Posté par rahan . En réponse au journal Open Hardware vs Open Source Friendly Hardware. Évalué à 4.
Je conseille vivement le Pinebook Pro. C'est mon PC principal depuis un mois. J'y ai installé une Debian (testing) sur une partition LUKS. Ça marche plutôt bien pour mon usage (i3, terminal, emacs, mutt et firefox; développement python et django mais aussi compilation C/C++). Le support n'est pas encore parfait (kernel custom + firmware bluetooth exotique + mesa en version git), il ne faut pas avoir peur de mettre les mains dans le camboui.
Je suis très satisfait de l'écran, du clavier et de la batterie (> 10 heures). Par contre le trackpad n'est pas très précis et les hauts-parleurs faiblards. Les processeurs ne sont pas des flèches mais curieusement je ne le remarque pas trop dans les compilations ou sur firefox. Mutt a un peu de mal sur mes gros dossiers.
Ne pas oublier dans le prix, la TVA et les frais de douane (+25 %). La version avec 128 GB de stockage n'est plus disponible. 64 GB peut être un peu juste selon les usages.
[^] # Re: Blocage administratif
Posté par rahan . En réponse au journal Le DNS d'Orange bloque twitch.tv (à la Réunion). Évalué à 2.
Question bête sur les sondes atlas : comment fait-on pour pouvoir lancer une requête si on n'a pas de sonde soi-même ? Si j'ai bien compris, chaque requête coûte des crédits qui sont gagnés grâce aux sondes hébergées sur son réseau. Le RIPE a toujours refusé de m'envoyer une sonde. Du coup, je ne peux donc pas faire de requêtes.
C'est comme ça que ça marche ou j'ai loupé un épisode ?
# Mifare Classic
Posté par rahan . En réponse au message Cloner pass Vigik ?. Évalué à 4.
Les pass Vigik sont en fait de simple puces NFC Mifare Classic. Pour résumer chaque puce a un numéro de série unique et non-modifiable (en théorie). Ensuite, elles ont plusieurs secteurs qui peuvent être protégés en lecture et/ou écriture par une clé secrète.
Le système Vigik va vérifier que ta puce comporte les bons secteurs protégés par la bonne clé. La bonne nouvelle c'est que le protocole des Mifare Classic est pourri et on peut retrouver les clés sans trop de difficultés (je te laisse renter le mot
mfocdans ton moteur de recherche préféré). Tu pourras ainsi copier le contenu de ton pass valide dans la mémoire de ton ancien pass.Dans la pratique, j'ai constaté que la centrale vérifie aussi que le numéro de série de ton pass est autorisé à l'aide de son numéro de série. La bonne nouvelle c'est que tu peux acheter des puces NFC (en porte-clé aussi) qui émulent une Mifare Classic avec une petite différence : tu peux changer le numéro de série. Ces pass coutent peu cher, de l'ordre de 10 € pour 5 ou 6 pass. En théorie, tu peux ainsi cloner parfaitement ton pass original. Sauf que (ce serait trop simple), les dernières générations de bornes Vigik vérifient que le pass présenté n'est pas du genre à autoriser les changement de numéro de série (comment c'est vérifié ? je ne le sais pas). Si tu es dans ce cas, tu es coincé.
En fait le plus simple c'est de venir voir le syndic avec ton ancienne clé et de leur demander de l'activer pour ton immeuble. Si ils ne sont pas trop bêtes, ils devraient le faire gratuitement.
Bon courage.
# Deux autres pistes
Posté par rahan . En réponse au journal Lancer un programme sans accès au réseau, merci les espaces de noms réseaux. Évalué à 10.
Tu peux essayer les deux commandes suivantes :
unshareetfirejail.Par exemple, je les utilises pour lire des courriels html depuis mutt en évitant les requêtes sur le net:
-
unshare -r -n w3m-
firejail --noprofile --net=none firefoxIl y a plein d'autres options comme par exemple présenter un système de fichier minimal, ne monter qu'une liste définie de répertoires dans ton home, changer les serveurs DNS ou les protocoles réseaux autorisés…
# Spotify
Posté par rahan . En réponse au journal Le DRM Widevine L3 cracké. Évalué à 4.
Pas besoin de se prendre la tête. La solution open-source (en Rust) existe déjà : https://github.com/librespot-org/librespot
# Classique
Posté par rahan . En réponse au journal Coffre numérique.. Évalué à 4.
Comme tout le monde j'utilise pass (https://www.passwordstore.org/) qui remplit merveilleusement son rôle sur mes ordinateurs.
Sinon, tu peux utiliser passman (https://github.com/nextcloud/passman) qui est une appli Nextcloud qui a l'air assez sécurisée avec un plugin Firefox et une appli Android.
# Retour d'expérience abandon de owncloud
Posté par rahan . En réponse au journal Partage: de ownCloud (décentralisé) à Syncthing (distribué). Évalué à 4.
Un petit retour d'expérience de quelqu'un qui veut aussi quitter Owncloud pour les mêmes raisons que toi : toutes mes mises à jours précédentes ce sont terminées avec les mains dans le cambouis. Et pourtant je n'ai rien d'exotique avec les fichiers en local, une BDD MySQL, 3 utilisateurs avec plusieurs calendriers et carnets d'adresses partagés.
Pour la synchronisation des fichiers j'utilise Seafile. C'est beaucoup plus propre que Owncloud même si ça ne gère que la partie fichiers: synchronisation/partage/publication. Les clients linux et Android marchent mieux. En résumé : moins de fonctionnalités annexes mais plus robuste et professionnel.
Mon problème a été depuis 6 mois de trouver un remplaçant au serveurs Carddav et Caldav d'Owncloud. J'ai testé:
DAVical (que j'utilisais il y a longtemps) : c'est une usine à gaz. Il permet une gestion fine des droits et partage mais j'ai l'impression que c'est tellement complexe que je ne maitrise pas vraiment ce que je fais. Il lui manque en fait les calendriers/carnets en ligne.
Radicale : Plus simple. Le partage entre utilisateurs me semble très rudimentaire. Encore une fois, pas de calendriers/carnets en ligne.
Baikal : Je n'ai pas trouvé le partage. La version 2 a les calendriers/carnets en ligne.
Zarafa : Assez tentant. Un joli groupware avec une webapp qui gère tout (mail, calendriers, carnets, partages…). Il ne semble pas gérer les connexions Carddav (mais il y a un serveur Caldav).
Voilà pour mon retour d'expérience. Ce qui me manque vraiment c'est un serveur Card/Caldav qui gère les partages et avec une interface web. Je sais que je pourrais utiliser InfCloud mais il a du mal à trouver les calendriers partagés avec la plupart des serveurs.
# LA fonctionnalité manquante
Posté par rahan . En réponse à la dépêche Nouvelle application contacts pour Cozy Cloud. Évalué à 10.
Le seul point qui m'empêche de remplacer owncloud par Cozy Cloud est l'absence de gestion multi-utilisateur. Même dans un contexte familial, il est souvent désirable de séparer les fichiers, agendas et carnets d'adresse. Un système fin de partage entre les utilisateurs serait le top.
Résultat, je pense que je vais remplacer owncloud par un mix seafile+DAViCal.
Sinon, de ce que j'en ai testé c'est joli, fluide et efficace. Mais mono-utilisateur…
[^] # Re: Intermédiaires
Posté par rahan . En réponse au journal [HackingTeam] Oui, il est possible de se rendre davantage ridicule qu'avec le nom de sa société .... Évalué à 4.
Effectivement, c'est ce que j'écrivais dans ce commentaire : https://linuxfr.org/nodes/106246/comments/1612471
Tu as l'ANSSI à cette adresse aussi…
[^] # Re: On a retrouvé OSS117
Posté par rahan . En réponse au journal hacked Team : qui vit par l’épée périra par l’épée. Évalué à 10.
Plus sérieusement, il y a une ligne dans le compte-rendu de réunion qui est assez dérangeant :
3. ISP Network Injection solution (I think this one caused an excellent "body language" reaction)
Une couche est remise plus bas :
My guess is that #3, 4, 6, 7 and 9 were of particular interest as they took notes as we spoke.
Cela veut-il dire que notre gouvernement compte injecter des exploits dans les flux au niveau des nos FAI (le retour des boites noires !) ? Mais peut-être suis-je naïf et que c'est déjà le cas…
# On a retrouvé OSS117
Posté par rahan . En réponse au journal hacked Team : qui vit par l’épée périra par l’épée. Évalué à 10.
Visiblement dans les emails de Hacking Team, on retrouve des contacts gouvernementaux français : https://medium.com/@beyourownreason/revealed-the-true-extent-of-hacking-team-contacts-across-europe-dc04e5bdde2
Un certain Benoit Gentil avec un email en @sagic.fr. J'imagine que l'utilisation de ce nom de domaine est plus discret que defense.gouv.fr. Mais est-ce vraiment si discret ?
Une recherche dans les pages jaunes nous indique que la Sagic est un restaurant d'entreprise au 51 bd de la tour Maubourg à Paris. Soit le siège de l'ANSSI et du SGDSN. Pas très discret comme couverture…
Pour les geek, on peut trouver la même adresse dans le whois de sagic.fr. L'IP du serveur (sagic.fr -> 194.3.103.43) renvoie vers un bloc IP d'Orange délégué à la Sagic avec la même adresse postale (vous connaissez beaucoup de restaurant d'entreprise avec un bloc IP dédié /29 ?).
Donc soit ils ont laissé un stagiaire s'occuper de leur couverture, soit c'est fait exprès : discret en surface mais évident pour qui veut vraiment savoir. Je suis optimiste et je penche pour la deuxième solution.
# Mise à jour du canari
Posté par rahan . En réponse au journal Les produits de Silent Circle sont-ils compromis ?. Évalué à 5.
Il fallait s'y attendre, le canari de Silent Circle a été mis à jour : https://canary.silentcircle.com/ ou la copie pour mémoire : http://pastebin.com/kwvhmH7J.
Les différences sont subtiles : « a declaration » devient « this declaration » ou un « This is » rajouté dans le titre. Par contre le fameux paragraphe manquant a été rajouté :
Il semble écrit dans les règles de l'art sans laisser de place à une double interprétation.
Que faut-il en déduire ? Pas grand chose à mon avis, sinon que dans le doute la méfiance s'impose.
# Mon avis
Posté par rahan . En réponse au journal Les produits de Silent Circle sont-ils compromis ?. Évalué à 10.
Après l'exposé des faits, voici mon avis.
Ils ont bien dû répondre à une réquisition gouvernementale. Ce genre de message est écrit de manière méticuleuse. Si on se pose la question c'est fait exprès. Le message devrait ne laisser aucun doute. Comme l'écris un contributeur de HN : dans une mine, si ton canari commence à avoir l'air bizarre, il est temps de fuir sans se poser plus de question.
Je pense qu'on ne saura jamais ce qu'ils ont dû transmettre mais une chose est sûre, ils ont transmis des infos au gouvernement. Ils ne risquerait pas leur business avec une phrase mal tournée.
Il est sûrement possible que dans les prochains jours un démenti sera publié mais le mal est fait. Le doute sera toujours permis : ce démenti est-il une injonction d'un juge ou la conséquence d'une écriture à la légère du canari ?
[^] # Re: OMV que du bonheur
Posté par rahan . En réponse au journal Actualités NAS. Évalué à 1.
Je dois être myope mais je n'ai pas vu les options de backup pour OMV (je parle de sauvegarder le contenu du NAS vers un autre serveur extérieur). Ça me semble indispensable pour une solution NAS. C'est disponible en standard ?
[^] # Re: Docker vs LXC
Posté par rahan . En réponse à la dépêche La folie Docker. Évalué à 2.
C'est rigilo, on a à peu près le même ressenti vis à vis des MAJ de sécurité avec docker. C'est aussi l'une des raisons pour lesquels je reste avec LXC. Un petit coup de Ansible et tout mes conteneurs sont mis à jours via SSH.
L'autre aspect qui m'ennuie, c'est le stockage des images autre part que dans le dépôt officiel. Visiblement on peut créer un dépôt privé mais il faut installer un nouveau logiciel pas super documenté. Cela aurait été plus simple si tout pouvait tenir dans un dépôt git traditionnel.
# Retour d'expérience
Posté par rahan . En réponse au message Connexion VPN à travers les fournisseurs de réseau mobiles. Évalué à 2.
J'ai testé un VPN IPsec sur un téléphone Android et cela marchait pas trop mal avec un débit correct sur Free, B&Y et divers autres opérateurs étrangers. Les problèmes:
C'est essentiellement le dernier point qui m'a fait abandonner le VPN sur mobile.
# Celui que j'utilise depuis presque 10 ans
Posté par rahan . En réponse au journal Faire un poster . Évalué à 8.
Je fais 1-2 posters scientifiques par an depuis 10 ans. Il y a en général du texte, des figures, des schémas, des équations et des tableaux. J'utilise Scribus car il se débrouille pas trop mal pour tout ça. Le point positif c'est qu'il est conçu pour l'imprimerie et que la sortie est nickel. Si tu as utilisé une figure avec une résolution trop faible, tu as le droit à un joli avertissement lors de l'exportation PDF.
Le truc que j'aime c'est la gestion des styles qui permet de garder facilement une cohérence sur tout le poster.
Les points noirs sont :
Dans les deux cas il y a des modules pour le faire directement depuis Scribus mais ça ne marche pas très bien.
[^] # Re: Viking
Posté par rahan . En réponse au message Fond de carte + tracé GPS + annotations graphiques/textes. Évalué à 3.
Un bon GPS sur terrain dégagé te donnera +/- 2 m.
Plus exactement, les USA t'annoncent : "au pire des cas, 95 % de tes points auront une erreur de moins de 7,8 m" (http://www.gps.gov/systems/gps/performance/accuracy/). Dans la réalité, c'est "95 % de tes points auront moins de 2,2 m d'erreur" (http://www.gps.gov/systems/gps/performance/accuracy/histogram.png).
[2 minutes de recherche Google]
# Viking
Posté par rahan . En réponse au message Fond de carte + tracé GPS + annotations graphiques/textes. Évalué à 3.
Tu peux essayer Viking (http://viking.sf.net/ ou dans toutes les bonnes distributions). Ça te permettra d'afficher tes traces sur différents fonds de cartes. Pour les annotations, je ne sais pas trop.
Question précision, un GPS lambda te donnera +/- 3-5 m.