Seule difficulté, installer le module SSH pour PHP. Ce que je décris ici.
Ensuite, les bouts de codes exemple sont sur la doc de PHP.

Côté serveur Debian

J’étais parti de l’installation PECL directement, ça plante, il manquait des petits bouts côté Debian. Je montre pour l’exemple :

srv:~# pecl install ssh2 "channel://pecl.php.net/ssh2-0.11.2"
Failed to download pecl/ssh2 within preferred state "stable", latest release is version 0.11.2, stability "beta", use "channel://pecl.php.net/ssh2-0.11.2" to install
downloading ssh2-0.11.2.tgz ...
Starting to download ssh2-0.11.2.tgz (22,740 bytes)
........done: 22,740 bytes
[...]
checking for ssh2 files in default path... not found
configure: error: The required libssh2 library was not found.  You can obtain that package from http://sourceforge.net/projects/libssh2/
ERROR: `/tmp/pear/temp/ssh2/configure --with-ssh2' failed

Donc, il faut d’abord installer tout ça :

srv:~# apt-cache search libssh2
libnet-ssh2-perl - Perl module for the SSH 2 protocol
libssh2-1-dbg - SSH2 client-side library (debug package)
libssh2-1-dev - SSH2 client-side library (development headers)
libssh2-1 - SSH2 client-side library
libssh2-php - PHP Bindings for libssh2
python-libssh2 - Python binding for libssh2 library

srv:~# aptitude install libssh2-1-dev libssh2-php

Installation du module avec PECL

On peut donc enfin installer le module :

srv:~# pecl install ssh2 "channel://pecl.php.net/ssh2-0.11.2"
Failed to download pecl/ssh2 within preferred state "stable", latest release is version 0.11.2, stability "beta", use "channel://pecl.php.net/ssh2-0.11.2" to install
[...]
Build process completed successfully
Installing '/usr/lib/php5/20090626+lfs/ssh2.so'
install ok: channel://pecl.php.net/ssh2-0.11.2
configuration option "php_ini" is not set to php.ini location
You should add "extension=ssh2.so" to php.ini
aladdin:~# grep extension /etc/php5 -r
/etc/php5/conf.d/gd.ini:extension=gd.so
/etc/php5/conf.d/ssh2.ini:extension=ssh2.so
/etc/php5/conf.d/snmp.ini:extension=snmp.so

L’installation se charge toute seule d’activer l’extension ssh2.so dans les fichiers de conf PHP.

Exemple de code d’un transfert

define ("SSH_KEY","/path/to/.ssh/id_dsa");
define ("SSH_FINGERPRINT","BXXXXXXXXXXXXXXXXXXXXXX81"); # à récupérer la première fois
...
$ssh = ssh2_connect(SSH_SERVER,SSH_PORT);
if (ssh2_fingerprint ($ssh,SSH2_FINGERPRINT_MD5) != SSH_FINGERPRINT) { # bien penser à contrôler le fingerprint ; c'est dommage de s'en priver !
  echo "c'est mal";
}
if (!ssh2_auth_pubkey_file($ssh, SSH_LOGIN, SSH_KEY.".pub", SSH_KEY, '')) {
  echo "authentif par clef ratée";
}
...
if (@ssh2_scp_recv ($ssh, $fich_src, $fich_dest)) {
  echo "transfert OK";
}
...

Ce qui suit était valable jusqu’à ESXi 4.0. Je n’ai pas regardé en 4.1 pour l’instant. Vous me direz (ou moi plus tard).
Cet article explique comment activer le serveur SSH sur un hôte VMWare ESXi 4.0 et comment mettre en place un « authorized_keys » durable (car le home du root saute à chaque reboot). Je présente aussi rapidement quelques trucs indispensables pour se promener dans l’hôte.
L’intérêt de la chose est de pouvoir lancer directement certaines commandes depuis un serveur ESXi via une session SSH et aussi, pour l’authentification par clef, de scripter certaines choses. Par exemple l’arrêt / copie des fichiers vmdk / relance de serveurs pour automatiser des full backup offline.

Let’s go!

Activation du SSH

Ce n’est pas supporté par VMWare, mais ça existe quand même. On se demande bien pourquoi
Sur la console de votre hôte, vous appuyez sur ALT-F1 pour passer sur une session console « habituelle » du monde Linux.
Là, en aveugle (pas d’écho à l’écran), vous tapez « unsupported », sans les guillemets bien sûr et validez par la touche « Entrée ».
Vous obtiendrez une demande de mot de passe, le pass de votre compte root.
Ca y est, vous êtes connecté à la console.
Vous pouvez alors aller éditer le fichier /etc/inetd.conf, avec l’éditeur « vi » et décommenter la ligne SSH en IPv4.
Ensuite, soit vous redémarrez le serveur, soit vous redémarrez inetd.
Testez votre connexion SSH depuis un autre ordi, histoire de valider.

Et maintenant ?

Super, je peux faire du SSH sur le serveur, mais pour quoi faire ?
Personnellement, il m’arrive de déplacer des machines virtuelles d’un serveur à l’autre, dont les fichiers vmdk ne sont pas sur un SAN partagé. Plutôt que de super-galérer avec le « vSphere Client » -> « Browse datastore » -> etc, je préfère faire faire quelques « scp » par exemple.
Et surtout, vous pouvez faire tout ce que permet « vSphere Client » mais en mode texte. Bref, parfois, c’est pratique.

vim-cmd

L’outil essentiel est la command « vim-cmd » (rien à voir avec « VIm »), documentez-vous dessus.
Commencez par taper « vim-cmd » tout seul, puis « vim-cmd vmsvc/ » par exemple. Les noms de fonctions sont souvent éloquents.

Vous pourrez par exemple :

• obtenir la liste des VM : vim-cmd vmsvc/getallvms
• obtenir l’état d’une VM : vim-cmd vmsvc/power.getstate <ID>
• en arrêter proprement une (pas « électriquement ») : vim-cmd vmsvc/power.off <ID>
• en rallumer une : vim-cmd vmsvc/power.on <ID>

etc…

Stockage des machines virtuelles

Dans /vmfs/volumes/, vous trouverez les noms de code de vos « datastores » et des liens symboliques pointant vers ces noms pourris, histoire de s’y retrouver. Ces liens sont les noms que vous avez affecté via « vSphere Client ».
De là, vous allez vite retrouver vos fichiers vmdk & co.

authorized_keys

Si vous avez besoin de stocker dans le home du root (qui est « / » et non un habituel « /root ») un fichier « ~/.ssh/authorized_keys », sachez qu’il saute à chaque reboot.
Ce que j’ai fait pour contrer celà, c’est d’ajouter au script « /etc/rc.local » la recopie de ce fichier stocké au préalable dans un « datastore » local.
Ca donne :

~ # tail /etc/rc.local
         if [ -f $filename ] && [ -x $filename ]; then
            log "running $filename"
            $filename
         fi
      done
fi

mkdir /.ssh
cd /vmfs/volumes/DataStoreLocal/pour_reboot/.ssh/
cp authorized_keys /.ssh/

J’avais d’abord créé ce fameux « pour_reboot » + le répertoire « .ssh/ » + le fichier « authorized_keys » dans le datastore qui va bien (ce n’est pas son nom d’origine, c’est plutôt « datastore1″ sur une machine fraîchement installée).

Et voilà, avec un accès SSH, un hôte ESXi ressemble quand même plus à quelque chose, non ?

• Montage d’un serveur complet postfix et outils annexes
• …en y ajoutant des domaines et utilisateurs virtuels
• …et à la limite un répondeur (vacation) sur des utilisateurs virtuels
• …en oubliant la partie roundcubemail (facile à installer, j’ai pas fait d’article, désolé)

Voici maintenant comment « configurer et activer le plugin de changement de mot de passe dans roundcubemail (actuellement v0.4) sur des utilisateurs virtuels (SQL)« . Depuis la 0.4, le plugin est intégré et propre. Pas la peine d’ajouter du code PHP un peu partout.
Notez que le plugin est modulaire et gère des « drivers » pour l’authentification : sql, ldap, poppassd, cyrus/SASL etc.
Allez, let’s go!

Vu que j’avais eu quelques déboires avec les vieilles versions de roundcube, je suis parti sur la dernière release stable du site officiel, pas d’une version packagée Debian.

Toute la doc tient dans un README simpliste, dans vos sources roundcubemail, fichier /plugins/password/README. Mon article applique ceci en expliquant un peu plus…

Je considère que vous partez d’une configuration d’utilisateurs virtuels comme décrite dans mes docs mentionnés en haut de l’article. Sinon il faut adapter et je ne peux pas prédire ce que vous devez écrire .
Dans vos sources roundcube, renommez/copiez le fichier /plugins/password/config.inc.php.dist en /plugins/password/config.inc.php et modifiez uniquement ce qui suit :

$rcmail_config['password_db_dsn'] = 'mysql://admin:son_pass@localhost/ma_base';
$rcmail_config['password_query'] = 'UPDATE ma_base.users SET password=ENCRYPT(%p) WHERE email=%u LIMIT 1';

Dans password_db_dsn, on indique la base de données des utilisateurs virtuels. Puisque l’outil roundcube bosse sur SA base de données, il faudra bien qu’il aille voir autre part. A vous de voir si vous lui donnez l’accès admin à votre base ou un compte sur mesure capable de faire des UPDATE uniquement sur la table des utilisateurs. Ca ou tous les droits, c’est pas foncièrement différent me direz-vous.
Dans password_query, on indique la requête d’UPDATE. Remarques :

• Non, pas la peine d’ajouter un « WHERE… AND password = ENCRYPT(%o) » pour soit disant contrôler que l’ancien pass est le bon. D’une part c’est contrôlé au niveau de la session PHP via une fonction « decrypt » (cherchez dans le code) et d’autre part, ENCRYPT ne produit pas nécessairement le même résultat pour un pass donné, l’histoire du ‘salt’, aléatoire lorsqu’on ne le précise pas (amha).
• On limite à 1 par sécurité et aussi car le plugin gueule s’il n’a pas modifié qu’une ligne. En même temps, il a raison
• Je préfère forcer le nom complet « ma_base.users » pour éviter une erreur, si 2 tables avaient le même nom dans les 2 bases, je pense

J’ai passé sous silence ces 2 paramètres déjà OK de base :

$rcmail_config['password_driver'] = 'sql';
$rcmail_config['password_confirm_current'] = true;

Enfin, on active le plugin dans la conf principale, fichier config/main.inc.php :

$rcmail_config['plugins'] = array('password');

Voilà, c’est tout. Rechargez la page des préférences sur roundcube. Tout ceci étant en PHP, c’est dynamique et vous verrez l’onglet de changement de mot de passe, et il devrait fonctionner

J’ai rangé mon NAS (qui trainait en terme de firmware et ne me permettait pas de lire des photos de + de 12 Mpixels…) au profit d’un vieux PC avec une Debian et PS3 Media Server (PMS) comme interface entre la PS3 et mes « fichiers multimédia ».

Le principe de PMS est simple : utiliser tous les outils standards du monde libre (ffmpeg, mplayer, mencoder, vlc, tsmuxer) qui font déjà bien le boulot et simplement ajouter une surcouche (en Java, why not) pour faire l’interface DLNA / uPNP (je confonds un peu les 2, on s’en tape). Le but est de lire tout ça depuis la PS3.
Encore mieux, il permet de présenter à la PS3 des formats qu’elle ne sait pas lire en assurant derrière, à la volée, le transcodage ou le réencodage qui va bien. Attention : transcoder un mkv 1080p en réencodant la partie audio DTS à la volée ne se fait pas avec votre vieux PC pourri qui fait office de NAS… Là il faudra du multi-coeur qui envoie du gros !
Et fin du fin, vous choisissez depuis la PS3 la méthode de transcodage/réencodage, la langue etc, depuis la PS3 via des menus spécifiques qui apparaissent.

A noter que Twonky Media Server est aussi un bon logiciel, mais payant.
Je décris ici la procédure pour installer correctement l’outil, en partant d’une Debian Lenny absolument vide (ssh seulement, et wget). La « difficulté » est d’utiliser des outils un peu récents en Debian, côté multimedia. On ira voir du côté des dépôts www.debian-multimedia.org.
A noter qu’en Squeeze, ce sera encore plus la fête, car les outils Lenny de « debian multimedia » datent aussi un peu, pour certains.

J’ai installé l’outil sur un compte utilisateur dédié à cela. Afin d’avoir des permissions sur mes fichiers multimédia en cohérence et de ne pas faire tourner ça au nom du root, évidemment.

Ajout du dépôt multimedia

Le site décrit la procédure. Dans notre cas, on importe les clefs de signature des paquets :

$ wget http://www.debian-multimedia.org/pool/main/d/debian-multimedia-keyring/
$ dpkg -i debian-multimedia-keyring_2008.10.16_all.deb

Puis on ajoute le dépôt et on met à jour :

$ cat >> /etc/apt/sources.list
deb http://www.debian-multimedia.org lenny main non-free
<CTRL-D>
$ aptitude update

Installation des outils

On installe à la fois les outils vidéos et ce qu’il faut pour faire tourner le Java + 2/3 trucs annexes.

$ aptitude install screen rar unrar zip unzip bzip2 vlc mplayer mencoder ffmpeg sun-java6-jre

Là j’installe « screen », voir plus bas ; rar/zip pour pouvoir lire directement certaines archives ; les outils vidéos ; le java SUN.
A noter que tsMuxeR est fourni avec PMS.

Installation de PMS

En tant que l’utilisateur « pms » (appelons-le comme ça), j’installe PMS et règle 2/3 trucs.
Récupérez le depuis http://code.google.com/p/ps3mediaserver/downloads/list, actuellement avec un wget http://ps3mediaserver.googlecode.com/files/pms-linux-1.10.5.tgz
Puis :

pms@nas:~$ tar xzvf pms-linux-1.10.5.tgz
pms@nas:~$ ln -sf pms-linux-1.10.5 pms
pms@nas:~$ chmod u+x pms/PMS.sh pms/linux/tsMuxeR

Les permissions d’exécution ne sont pas bonnes et il manquerait notamment tsmuxer dans le panel d’outil.

Voilà, normalement c’est fini. Pas compliqué

Lancement graphique de PMS

La première fois, il faut le lancer graphiquement pour paramétrer 2/3 choses. Ensuite, on va scripter ce qu’il faut pour qu’il démarre au boot, en mode texte, dans un « screen ».
Si vous intervenez à distance, faites un tunnel SSH avec déport X11 pour récupérer l’interface graphique.
Le principe de PMS est le suivant : soit il voit un serveur X qui répond, alors il part en mode graphique, soit il n’en voit pas, alors il part en mode texte.

pms@nas:$ cd pms ; ./PMS.sh

Il faut faire 3 choses :

• Passer dans tous les onglets (s’il ne voit pas votre PS3, sur le premier onglet, pensez à l’allumer… mais ce n’est pas nécessaire pour configurer) et réfléchir 2 minutes. Notez par exemple la génération des vignettes accompagnant les vidéos, vignettes générées en prenant l’image à la X-ième seconde du film grâce à mencoder….
• Aller obligatoirement dans l’onglet « Transcoding settings » pour vérifier que tout est vert, que tous les outils vidéo/audio sont installés. Sinon, lire ce que ça raconte.
• Aller dans « Folders Sharing », ajouter les répertoires qui vous intéressent et activer le partage, sans quoi, il ne va pas se passer grand chose…

D’avance, je précise que l’outil n’a pas besoin de parcourir à l’avance tous les répertoires, il génère à la volée lorsqu’on rentre dans un répertoire depuis la PS3. Enorme. Très dynamique.
Voyez les photos d’écran sur le site officiel s’il faut : http://code.google.com/p/ps3mediaserver/

Lancement en mode texte

Enfin, une fois que tout est paramétré et que ça fonctionne depuis la PS3, on passe à l’industrialisation en mode texte
Je recommande un petit script comme ceci :

pms@nas:~$ cat ~/lance_pms.sh
#!/bin/sh
cd /home/pms/pms
screen -S pms -d -m ./PMS.sh

Avec les permissions qui vont bien chmod u+x ~/lance_pms.sh

Une fois lancé, prenez la main sur votre screen (screen -r pms) et vérifiez que ça ne gueule pas. Ca doit ressembler à :

GUI environment no available
Switching to console mode
[main] TRACE 13:45:19.739 Starting Java PS3 Media Server v1.10.5
[main] TRACE 13:45:19.740 by shagrath / 2008-2009
[main] TRACE 13:45:19.740 http://ps3mediaserver.blogspot.com
[main] TRACE 13:45:19.740 http://code.google.com/p/ps3mediaserver
[main] TRACE 13:45:19.740
[main] TRACE 13:45:19.741 Java 1.6.0_20-Sun Microsystems Inc.
[main] TRACE 13:45:19.741 OS Linux i386 2.6.26-2-686
[main] TRACE 13:45:19.741 Encoding: UTF-8
[main] TRACE 13:45:19.748 Temp folder: /tmp/javaps3media
[main] TRACE 13:45:19.776 Registering transcoding engine FFmpeg Audio
[main] TRACE 13:45:19.789 Registering transcoding engine MEncoder
[main] TRACE 13:45:19.790 Registering transcoding engine MPlayer Audio
[main] TRACE 13:45:19.791 Registering transcoding engine MEncoder Web
[main] TRACE 13:45:19.791 Registering transcoding engine MPlayer Video Dump
[main] TRACE 13:45:19.792 Registering transcoding engine MPlayer Web
[main] TRACE 13:45:19.795 Registering transcoding engine TsMuxer
[main] TRACE 13:45:19.795 Registering transcoding engine Audio High Fidelity
[main] TRACE 13:45:19.796 Registering transcoding engine VideoLan Audio Streaming
[main] TRACE 13:45:19.796 Registering transcoding engine VideoLan Video Streaming
[main] TRACE 13:45:19.797 Registering transcoding engine Raws Thumbnailer
[main] TRACE 13:45:19.912 Scanning network interface eth0 / eth0
[main] TRACE 13:45:19.914 Using address /192.168.x.y found on network interface: name:eth0 (eth0) index: 2 addresses: /192.168.x.y;
[main] TRACE 13:45:19.915 Created socket: /192.168.x.y:5001
[Thread-1] TRACE 13:45:19.924 Starting DLNA Server on host 192.168.x.y and port 5001...
[main] TRACE 13:45:19.933 Using database located at : /home/pms/pms-linux-1.10.5/database
[main] TRACE 13:45:20.448 Sending ALIVE...
[main] TRACE 13:45:20.454 Using following UUID: 00a29-blabla-3e839
[main] TRACE 13:45:25.422 It's ready! You should see the server appears on XMB
[Thread-8] TRACE 13:45:35.420 Sending ALIVE...

On voit qu’il a bien trouvé tous les outils

Divers

« crontab » pour un lancement/relance automatique

Ca vaut ce que ça vaut, mais au moins ça limite mes interventions du type « papaaaaaa, y’a les dessins animés qui marchent plus ». Dans la crontab de l’utilisateur « pms », j’ai ceci :

LANG=fr_FR.utf8
# m h  dom mon dow   command
* * * * * x=`ps u |grep java | grep -v grep` ; if [ "x$x" == "x" ]; then /home/pms/lance_pms.sh; fi

J’insiste sur le « UTF8″, sinon il zappe tout ce qui contient des accents… et ça, on s’en rend compte avec la lancement automatique, pas le lancement depuis le compte utilisateur qui lui, a bien la variable LANG comme il faut dans son environnement utilisateur.

bug

J’avais noté un bug : attention si vous avez lancé l’outil avec un autre utilisateur, le répertoire /tmp/javaps3media reste, avec des permissions restreintes. Donc ça plante lorsque vous voulez le lancer depuis un autre utilisateur.

Il y a 3 méthodes courantes pour commencer à jouer avec les chroot ssh/sftp :

• Héberger un serveur SSH en chroot normal : c’est chiant. Créer un « home », reproduire un minimum d’arborescence standard, d’utilisateurs etc.
• Utiliser rssh comme shell alternatif, c’est un shell qui limite l’utilisateur à du SFTP, SCP, CVS, RSYNC etc. On choisit ce qu’on veut tolérer. Mais, l’utilisateur peut quand même se promener dans le système (tout « / »).
• Enfin, ce que je vais décrire : utiliser la fonctionnalité de « chroot » intégrée aux serveurs SSH (serveur ssh >= 4.8, donc n’importe quel SSH d’une Debian stable de nos jours). On va simplement brider quelques comptes et mettre quelques permissions bien senties.

Adaptation d’un utilisateur

Le mieux est de prévoir large : on risque d’avoir plusieurs clients/fournisseurs qui voudront accéder.
On va donc créer un groupe des utilisateurs SFTP seulement, nommé « sftpusers ».
Je crée un utilisateur pour mon client, nommé xfer1, en changeant son home :

xfer1:x:1011:1012:Transfert client1,,,:/transferts_partenaires/xfer1/:bin/bash

Notez que le groupe 1012 est le groupe « sftpusers » :

$ id xfer1
uid=1011(xfer1) gid=1012(sftpusers) groupes=1012(sftpusers)

Création du répertoire d’échange, permissions

On crée l’arborescence qui va servir de home bidon à tout ces utilisateurs :

$ mkdir --parents /transferts_partenaires/xfer1/
$ chown -R root:sftpusers /transferts_partenaires/
$ chmod -R 750 /transferts_partenaires/

Les permissions ci-dessus sont hyper importantes. Le serveur SFTP refusera la connexion si le home de ces utilisateurs n’est pas en écriture uniquement pour le root ! Donc oui, en l’état, notre utilisateur xfer1:sftpusers ne peut pas écrire dans son home. Il pourra lire, ce qui peut être suffisant si vous lui mettez simplement des fichiers à disposition. Mais pour écrire, il faudra créer un sous-répertoire, genre « upload ».

mkdir /transferts_partenaires/xfer1/upload/
chown xfer1:sftpusers /transferts_partenaires/xfer1/upload/
chmod 700 /transferts_partenaires/xfer1/upload/

Déclaration du compte en SFTP uniquement

Enfin, on paramètre le serveur SSH comme suit. Modifiez votre fichier /etc/ssh/sshd_config :

# param par défaut, on change : Subsystem sftp /usr/lib/openssh/sftp-server
Subsystem     sftp   internal-sftp -f AUTH -l VERBOSE

# plus loin...
Match Group sftpusers
        ChrootDirectory /transferts_partenaires/%u
        ForceCommand internal-sftp
        AllowTcpForwarding no
        GatewayPorts no
        X11Forwarding no

A noter que les AllowUsers/DenyUsers s’appliquent toujours. L’utilisateur xfer1 – ou plutôt les utilisateurs du groupe sftpusers – doivent être autorisés d’une manière ou d’une autre.
A noter aussi la beauté du geste avec le « %u » pour indiquer le nom de l’utilisateur.

Ensuite vous recharger le serveur SSH et testez les connexions SFTP et SSH-qui-passent-pas, sans oublier la distinction lecture/écriture.

Les paroles sont stockées dans le mp3 (le tag « lyrics3″ je suppose) et du coup lisible sur un lecteur qui se respecte. En l’occurrence un iphone.

Ca gère évidemment les OGG, les FLAC etc… en plus des MP3.

Dézip, install etc

Pour monter le site, je passe en quelques mots.

• Vous dézippez le .tar.gz (pas de paquet Debian ; et puis c’est généralement en retard de versions pour ce genre d’outils). Par exemple dans /var/www
• Vous avez en amont un serveur MySQL et Apache en état. Et éventuellement créé un schéma de base dotproject, un admin DB dédié et tout le toutim. Exemple :

  create database dotproject;
  create user 'dpadmin'@'localhost' identified by 'mon_passwd_qui_tache';
  grant all on dotproject.* to 'dpadmin'@'localhost';

• Bien sûr, le paquet php5-ldap est installé et LDAP activé dans votre conf PHP :

  votre.serveur:/srv/www/dotproject# grep -r ldap /etc/php5/
  /etc/php5/conf.d/ldap.ini:extension=ldap.so
  /etc/php5/cli/conf.d/ldap.ini:extension=ldap.so
  /etc/php5/apache2/conf.d/ldap.ini:extension=ldap.so
  

• De même pour php5-mysql…
• Vous accédez à http://votre.serveur/dotproject/install/
• L’install se déroule paisiblement. Vérifiez que les modules qui vous intéressent sont bien détectés. Ajoutez les permissions sur /files et créez un fichier /includes/config.php vide, modifiable par www-data.
  Bref, du classique.
• Une fois installé, le mot de passe par défaut du compte admin est passwd. J’ai cherché quelques temps .

A la fin, supprimez le répertoire d’ »install ».

Conf Active Directory

Dans le menu d’admin, vous configurerez la connexion à l’AD comme suit (dans Administration Système -> Configuration système) – si votre LDAP est en clair (port 389) :

Conf dotproject Active Directory

• Méthode d’authentif… : LDAP
• Avant d’oublier : BIEN COCHER LA CASE « LDAP autorise également les connexions standards ». Sinon, si vous ratez votre conf LDAP et déconnectez votre compte admin => Boum (probablement).
• Hôte LDAP : j’ai galéré longtemps en mettant le FQDN, comme préconisé un peu partout. C’est passé lorsque j’ai mis l’IP ! Arg !
• Base DN LDAP : le noeud racine des utilisateurs qui pourront se signer. Par exemple : ou=Users,cn=domaine,cn=fr
• Filtre Utilisateur LDAP. Pour un AD : (sAMAccountName=%USERNAME%). Ca veut dire : on comparera la variable %USERNAME% au champ LDAP sAMAccountName, qui est le login dans un AD.
• Recherche Utilisateur LDAP : le chemin complet pour atteindre l’utilisateur capable de faire la recherche dans l’AD. Exemple : CN=sonlogin,CN=Users,dc=domaine,dc=fr

Mais d’où toute cette syntaxe sort-elle ???? non non, pas DT… Je vous recommande « AD Explorer« . Ca permet de vous promener dans votre AD et de connaître le DN (Distinguished Name) de n’importe quel élément.
Le cas standard est que les utilisateurs sont dans Ou=Users,dc=votredomaine,dc=com. Mais bon, quelques fois, on ose le changement.

Traduction

Vous trouverez le paquet français sur le site officiel. Il faut dézipper dans /locales, ça crée un sous-répertoire « fr ». Reste à mettre le français par défaut aux utilisateurs dans un des menus d’admin.

Et voilà, c’était « j’ai pris aucune note d’installation ni de photo d’écran donc je torche un papier vite fait mais ça peut rendre service ».
A+

Afin de creuser certaines baisses de perfs d’une base Oracle non loin de là, j’ai cherché un outil, si possible libre, pour obtenir facilement des infos du genre top-ten des requêtes les plus lancées, les plus longues, qui brassent le plus de données etc etc. Et de faire un EXPLAIN sur celles-ci pour trouver l’index qu’on a raté, l’algorithme pensé avec les pieds et ce genres de choses.

Comme Oracle est un lointain souvenir, je n’avais pas envie de me plonger dans la liste des tables V_$TRUC qui contiennent tout ceci, mais dont je n’ai aucune envie de me souvenir.

Quelques outils

Bilan, on trouve rapidement :

• l’Enterprise Manager d’Oracle (java, lourd, chiant, façon Oracle tout simplement)
• SpotLight de l’éditeur Quest Software (celui qui pond T.O.A.D). Ca balance du gros, mais c’est commercial, cher etc. Vu que tout est dans des tables et que j’ai simplement besoin d’un outil qui me présente ça lisiblement, c’est presque trop. M’enfin, si vous êtes fortunés, n’hésitez pas.
• Enfin, OracleToolBox sur http://www.oracletoolbox.org/

La configuration de OracleToolbox

Je livre ici 2/3 détails sur l’installation de Oracle Toolbox, après avoir ramé un peu.
C’est rapide, mais ça vaut sûrement le coup d’être résumé :

Couche Oracle

Il faut d’abord avoir une couche cliente Oracle et PHP/OCI8 fonctionnelle. Ca tombe bien je l’ai décrit ici : http://michauko.org/blog/2009/05/07/installer-le-client-oracle-sur-debianlenny-interco-avec-php/

Installation

Facile, il suffit de dézipper, par exemple dans /var/www/oracletoolbox/.

Variables globales

Il faut activer le passage de variables globales. C’est le choix de codage qui est fait avec l’application. Côté PHP, il s’agit d’un paramètre sensible permettant éventuellement quelques failles de sécurité.
Donc 2 options s’offrent à nous :

• la première, crade pour tester, c’est de passer à « On » la variable register_globals dans /etc/php5/apache2/php.ini
• la deuxième sera plutôt d’intégrer cette modification uniquement pour le répertoire /var/www/oracletoolbox/, décrit ci-dessous avec au passage la restriction d’accès à l’outil par htaccess.

htpasswd & register_globals

Pour protéger l’accès à l’outil, je propose une conf spécifique pour ce répertoire (/var/www/oracletoolbox/) qu’on décrira par exemple dans /etc/apache2/conf.d/oracletoolbox :

<Directory /var/www/oracletoolbox>
        AuthName "Acces restreint"
        AuthType Basic
        AuthUserFile /etc/oracle/toolbox.htpass
        <limit GET POST>
                require user toolbox
        </Limit>
        php_value register_globals 1
        <Files *.ini>
                Order allow,deny
                Deny from all
        </Files>

</Directory>

A noter le « php_value », qui évite d’activer « register_globals » sur toute l’installation Apache/PHP. Donc de la restreindre à l’application OracleToolbox.
La restriction sur les fichiers ini évitera qu’un gros malin récupère les mots de passe.

Pour créer un mot de passe associé au compte « toolbox » dans le fichier /etc/oracle/toolbox.htpass (emplacement complètement arbitraire), il faut utiliser l’outil htpasswd, comme d’hab :

srv:/# htpasswd -bc /etc/oracle/toolbox.htpass toolbox mon_pass
Adding password for user toolbox
srv:/# cat /etc/oracle/toolbox.htpass
toolbox:76X12345jNUkI

Déclaration des bases, tnsnames, tout ça

Le fichier « INSTALL » fourni dans le package donne tous les pré-requis logiciels, en incluant les lib GD, PNG etc. Du facile à installer si vous n’avez pas ces modules (php5-gd etc).
Ce fichier donne surtout quelques indices sur le reste de la configuration Oracle.
Il faudra donc jeter en vrac tous les logins/passwd des comptes Oracle qui vous permettront d’accéder à vos bases, dans /var/www/oracletoolbox/pswd.ini. L’outil testera tout ce qu’il trouve, quelle que soit la base à laquelle vous vous connectez, en espérant qu’un marchera.
Au premier lancement de l’outil (http://votre.serveur/oracletoolbox/), il vous demandera aussi où est votre fichier « tnsnames.ora » qui décrit vos bases et lesquelles vous voudrez « installer », c’est-à-dire rendre accessible depuis OracleToolbox. En gros, il se refait une copie locale de celles qui vous intéressent parmi toutes celles de votre tnsnames.ora. Soit. Si vous avez suivi ma doc de mise en place d’Oracle sur Debian, citée plus haut, le fichier est /etc/oracle/tnsnames.ora.
Tout ceci est au final stocké dans /var/www/oracletoolbox/tnsnames. Au besoin ça s’édite à la main, ça va plus vite.

Voilà, normalement-ça-marche ™.

LE bug corrigé & version Windows autonome

Il existe une version autonome (portable ?) pour windows embarquant un apache, php et le code source. Bref tout ce qu’il faut pour lancer l’outil (il manque peut-être le client Oracle et configuration à faire avant). Ca marche bien. Juste que chaque utilisateur doit avoir tout ça en local, faire tourner momentanément un Apache sur son PC etc.

A côté de cette version Windows, il y a le zip des sources dont je parle depuis le début. Ca marcherait sûrement sur un Windows avec un environnement Apache/PHP/Oracle déjà mis en place d’ailleurs.
Dans cette version, il y avait un léger bug dans le packaging (dans le zip), l’auteur m’a confirmé ça ce matin, qui faisait qu’un champ RAW d’Oracle était mal interpreté par PHP. Bref, ça merdait. Normalement, le package est corrigé ce jour et vous n’aurez pas de problème.
Si toutefois vous voyez une réaction comme ci-dessous dans le top-ten des « Disk/Buffer intensive request », vous êtes concerné, prenez le code de l’autre zip (celui pour windows) ou retéléchargez les sources si vous l’avez fait avant la correction :

OracleToolbox avec RAWTOHEX manquant

Allez, bonne analyse de perfs

Ca se passe comme d’habitude pour un plugin bien fait sous WordPress :
- Téléchargez le zip dans /votre/serveur/wp-content/plugins/
- Dézippez la chose, ça crée un sous-répertoire wptouch dans « plugins »
- Rendez-vous dans la page d’administration de WordPress, section plugins, pour l’activer. C’est-tout-ça-marche.

Il y a des options, notamment pour l’intégration de pubs Ad-Sense. Je n’ai pas cherché, les sites sur lesquels je l’ai activé s’en passeront très bien.

Un must !

D’abord, s’assurer que vous avez le paquet ntfs-3g (si besoin d’écriture sur le disque/partition NTFS) et le paquet smbfs (Samba FileSystem) pour les partages CIFS.

Vous pouvez tester facilement avec des commandes genre mount -t cifs ou mount -t ntfs-3g. Dans le cas du CIFS, il y a certaines options à passer, notamment l’utilisateur, le domaine etc. C’est presque plus simple dans /etc/fstab.

Bref, voici la chose illustrée par l’exemple :

srv:/etc# cat fstab
###
# blabla habituel
### puis :
//srvwin1/partage1      /mnt/srv1prt1      cifs    uid=root,credentials=/etc/cifs.credentials,domain=MONDOM 0 0
//srvwin1/partage2      /mnt/srv1prt2      cifs    uid=root,credentials=/etc/cifs.credentials,domain=MONDOM 0 0
//srvwin2/blabla1       /mnt/srv2prt1      cifs    uid=root,credentials=/etc/cifs.credentials,domain=MONDOM 0 0
/dev/sdb1               /mnt/usbsdb1       ntfs-3g defaults,locale=fr_FR.utf8 0 0

Dans cet exemple tout simple, on monte 3 partages CIFS, mappé sur l’utilisateur root de la machine linux, en se signant avec les informations contenues dans /etc/cifs.credentials (ci-dessous) sur le domaine NT « MONDOM ».
Et dans /mnt/usbsdb1, on monte un disque USB (ou SCSI ou SATA d’ailleurs), en NTFS lecture/écriture.

Ensuite, de simples « mount /mnt/celui_que_vous_voulez » pour monter.

Le contenu de /etc/cifs.credentials est de la forme :

username=mon_login_windows
password=mon_p4ss

Il peut évidemment être différent pour chaque montage. Pensez à le protéger (chmod 600 /etc/cifs.credentials)

Préparez le serveur

Le paquet qui va bien

Sur le serveur, installez le paquet « ntp ». Faisant office de serveur, il se met à jour (donc il fait office de client, si je ne dis pas connerie). Pas la peine donc d’installer « ntpdate » qui est un autre client possible.
Les options du serveur sont dans /etc/default/ntp.conf, j’en parle un peu plus bas. Lisez le man.
Les paramètres de /etc/ntp.conf sont :

serv:~# egrep -v "^#|^$" /etc/ntp.conf
driftfile /var/lib/ntp/ntp.drift
statistics loopstats peerstats clockstats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable
server 0.debian.pool.ntp.org iburst dynamic
server 1.debian.pool.ntp.org iburst dynamic
server 2.debian.pool.ntp.org iburst dynamic
server 3.debian.pool.ntp.org iburst dynamic
restrict -4 default kod notrap nomodify nopeer noquery
restrict -6 default kod notrap nomodify nopeer noquery
restrict 127.0.0.1
restrict ::1
restrict 10.0.0.0 mask 255.0.0.0 nomodify notrap

J’ai juste ajouté la plage 10.0.0.0 (c’est un exemple) pour autoriser mon LAN à joindre ce serveur.

Firewalling ?

Il faudra ouvrir en sortie le port « ntp » (123), en UDP, depuis le serveur vers les serveurs amonts. Si c’est la liste par défaut de /etc/ntp.conf, à savoir les « *.pool.ntp.org », c’est une longue liste, amenée à évoluer dans le temps je suppose. A vous de voir comment faire. Le plus simple : ouvrir UDP/123 vers le web, point.
Pour que les clients joignent votre serveur, c’est pareil, il faudra ouvrir le LAN vers votre passerelle, port UDP/123.

Testez

Je recommande d’ajouter -l /var/log/ntp.log dans les options du fichier /etc/default/ntp, soit :

NTPD_OPTS='-g -l /var/log/ntp.log'

Puis de redémarrer le service via :

/etc/init.d/ntpd restart

Vous verrez dans /var/log/ntp.log si votre serveur se met à jour, de combien de temps etc. Pensez à enlever ce log ou sinon à mettre en place une rotation de logs qui va avec.
Ca ressemble à ça :

13 Nov 11:19:30 ntpd[18381]: synchronized to 91.121.121.160, stratum 2
13 Nov 11:19:30 ntpd[18381]: time reset -0.169417 s
13 Nov 11:19:30 ntpd[18381]: kernel time sync status change 0001
13 Nov 11:23:57 ntpd[18381]: synchronized to 91.121.121.160, stratum 2
13 Nov 11:31:29 ntpd[18381]: synchronized to 91.121.86.143, stratum 2
13 Nov 11:35:30 ntpd[18381]: time reset +0.189846 s
13 Nov 11:35:50 ntpd[18381]: synchronized to 91.121.121.160, stratum 2
13 Nov 11:40:06 ntpd[18381]: synchronized to 81.19.16.225, stratum 2
13 Nov 11:42:57 ntpd[18381]: synchronized to 91.121.121.160, stratum 2

On est maintenant prêt à dire à notre LAN d’aller taper sur ce serveur pour régler l’heure.

Les postes Windows

Le service W32Time (« Horloge Windows ») est en automatique par défaut depuis Windows XP. Il s’appuie sur le paramètre qu’on trouvera dans la clef de registre HKLM/SOFTWARE/Policies/Microsoft/W32Time/Parameters. La clef est « NtpServer ».
Il faut donc mettre à jour cette clef, d’une manière ou d’une autre.

…via des GPO

Si vous êtes en domaine Windows, le réglage est ici :

En gros, vous indiquez le nom de votre serveur.
Vous pouvez forcer la mise à jour des GPO sur un poste, pour tester, via gpupdate /force.

En pas GPO (domaine Samba-sans-GPO, Workgroup etc)

Il faut modifier la clef mentionnée plus haut, d’une manière ou d’une autre ; et probablement relancer le service « Horloge Windows ».

Sous Windows, comment tester

Le service Windows ne raconte rien et les « event logs » systèmes, c’est chiant.
Je suggère sur le serveur, un joli tcpdump qui vous montrera qui fait quoi :

serv:~# tcpdump -i eth0 dst port ntp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
15:14:49.071538 IP pc315.maboite.fr.ntp > imag.imag.fr.ntp: NTPv3, symmetric active, length 48
15:14:49.172627 IP imag.imag.fr.ntp > pc315.maboite.fr.ntp: NTPv3, symmetric active, length 48
15:15:29.305824 IP pc666.maboite.fr.ntp > serv.maboite.fr.ntp: NTPv3, symmetric active, length 48
15:15:29.306158 IP serv.maboite.fr.ntp > pc666.maboite.fr.ntp: NTPv3, symmetric active, length 48

Là, on voit un « pc315″ qui continue de demander à l’extérieur (le firewall l’autorise pour l’instant) et un pc666 qui a prit le pli.

Les postes Linux

Installez le paquet « ntpdate » et planifiez ntpdate-debian en crontab. Le manuel explique : ntpdate-debian utilise le fichier /etc/default/ntpdate pour la configuration (liste des serveurs de temps etc). Il contient, sans les commentaires :

NTPDATE_USE_NTP_CONF=yes
NTPSERVERS="0.debian.pool.ntp.org 1.debian.pool.ntp.org 2.debian.pool.ntp.org 3.debian.pool.ntp.org"
NTPOPTIONS=""

Mais, dans ce cas, à cause du « yes », il utilise la conf de l’éventuel /etc/ntp.conf installé via le serveur NTP (paquet ntp). Comme on ne l’a pas mis sur les clients (ça sert à rien de faire tourner un serveur NTP), il faut donc soit passer NTPDATE_USE_NTP_CONF à « no », soit ne pas planifier ntpdate-debian, mais ntpdate avec une tartine de paramètres.
Si vous mettez « no », il faudra indiquer dans NTPSERVERS au moins / uniquement votre serveur du LAN. J’ai constaté qu’avec le nom de machine, ça ne passait pas. Mais avec l’IP, c’est OK. A creuser.

Pigé ? moi-même, je me perds régulièrement là-dedans.

Hop,
Dans une infra avec un proxy central et des sites distants reliés par des connexions assez lentes (et pas d’accès web direct), j’ai décidé de mettre en place des proxies « fils » sur les sites distants, pour soulager l’inter-site.
Manque de bol, à distance, uniquement des serveurs Windows sous la main…
Bon, squid existe sous Windows. Et « calamaris » n’est que du PERL. Ca doit pouvoir le faire.
Je fais cet article comme aide-mémoire, comme souvent, et surtout parce-que quand il faut automatiser des choses sous Windows, on voit vite que c’est vraiment la merde… Alors pour ne pas chercher 107 ans la prochaine fois, voici les quelques commandes à enchainer.

Et puis je n’avais pas envie/possibilité d’installer un superbe proxy-by-Microsoft, genre ISA ou je ne sais plus comment il s’appelle. Pas la peine non plus de chercher les ennuis quand on a un squid qui marche très bien

Je parle sur mon blog à différents moments de Squid, ou de proxy. Ca me fait penser que je n’ai rien écrit sur la mise en place d’un squid tout bête. On va considérer que c’est acquis. Sinon, avec le présent article et les autres, vous devriez avoir une certaine aide.

Installation et configuration des squid Windows

Je passe sur le aptitude install téléchargement à la main du gros zip contenant squid pour Windows, qu’on trouve à partir du site officiel (faut chercher un peu. Bon OK, c’est là). J’ai pris la même version que pour Debian Lenny, histoire d’interconnecter des squid de même génération… sait-on jamais. C’est donc la 2.7-STABLE7 (en fait ça doit être 2.7-STABLE5 en Debian, il me semble).
Ensuite, j’ai dézippé comme un cochon dans c:\squid\ et adapté la conf. Ce que je décris ci-dessous.

Configuration minimale

Il faut copier les fichiers c:\squid\etc\*conf.default en c:\squid\etc\*conf et adapter les contenus, notamment dans squid.conf :

• Adapter « acl localnet src » pour votre sous-réseau
• Déclarer le cache à utiliser : cache_dir ufs d:/squid/var/cache 4000 16 256
• Taille limite des objets mis en cache, à voir suivant votre cas : maximum_object_size 81920 KB
• Différents répertoires pour les fichiers de logs : cache_log d:/squid/var/logs/cache.log
• cache_store_log d:/squid/var/logs/store.log
• netdb_filename d:/squid/var/logs/netdb.state

J’ai voulu séparer les logs sur un disque à part. A noter les « / » (et non pas des « \ »).

Service, initialisation du cache

Ensuite, il faut installer le service et créer le cache (j’ai laissé le format de cache par défaut, une arborescence de répertoires avec des fichiers aux noms codés) :

cd c:\squid\sbin
squid -k
squid -i
net start Squid

A noter que le nom du service n’est pas spécifié, ce sera donc par défaut « Squid », c’est important pour la rotation de logs.
Le « net start Squid » ne devrait être fait qu’après configuration du lien avec le proxy « père » central, ce qu’on n’a pas encore fait. Mais bon, je le montre maintenant pour illustrer.

En images, ça donne :

Installation de Squid sous Windows

Déclaration du squid « père »

Dans la conf, il faut simplement caser un :

cache_peer proxycentral.maboite.fr parent 3128 3130 name=pxycentral
acl ftp proto FTP
always_direct allow ftp

J’explique : on déclare que ce proxy a un père (parent), sur le port 3128, machine « proxycentral.maboite.fr ». On attaquera l’interrogation du contenu de son cache via le protocole ICP (UDP/3130) et on le surnomme « pxycentral » dans les logs access.log histoire d’y voir clair.
Evidemment, le proxy central doit être ouvert sur le port TCP/3128 et UDP/3130 depuis les proxies « fils ».

Rotation de logs

Pour la rotation de logs, c’est en général un grand moment de bonheur pur sous Windows lorsqu’on amène un outil « du monde libre, tout ça » dans Windows. Heureusement ce coup-ci, Squid embarque ce qu’il faut :

c:
cd \squid\sbin
squid -k rotate -n Squid

Reste à mettre ça en « tâche planifiée » Windows.

Maintenant que ça tourne (testez), reste à synthétiser les logs, comme on le ferait naturellement sous Linux.

calamaris sous Windows, youpiiiii

Dans mon cas, ramener les logs sur un Linux qui aurait fait tourné calamaris était compliqué à mettre en oeuvre. Dans votre cas aussi, je suppose, car la rotation des logs fait que les fichiers sont renommés. Donc même avec un rsync (ou truc du genre), vous allez vous resynchroniser des Mo de logs (compressés éventuellement) à chaque fois.
Bref, j’ai opté pour un déploiement de PERL sur les serveurs distants et une « tâche planifiée » pour générer les pages statiques de statistiques des « fils » Squid.

Sous Windows, rien n’est fourni, je noterai donc ici la ligne de commande bien longue qu’on n’a pas besoin de chercher sous Linux, car les scripts « cron » sont fournis avec le paquet calamaris. Sous Debian en tout cas.

J’ai donc utilisé ActivePerl et récupéré calamaris en .tar.gz sur le site de l’éditeur. Manque de bol, j’ai retrouvé le même bug que décrit ici, donc j’ai fini par recopier le script perl /usr/bin/calamaris issu de ma Debian, patché pour corriger ledit bug.
Ensuite, plutôt que de ramer avec le fichier de conf, j’appelle calamaris en ligne de commande, via une « tâche planifiée », et ça fait le boulot. C’est pas terrible mais bon, ça marche.
Pire que tout, pour générer les stats « weekly » et « monthly », je recalcule tout en concaténant les différents « access.log.* » issus des rotations de logs, sur X jours.

En résumé, ça donne :

• Installation de ActivePERL
• Création dans C:\PERL\lib d’un répertoire calamaris avec les 3 fichiers .pm (modules PERL) pour la génération de graphiques dans les stats ; je n’ai pas trouvé comment lui spécifier d’utiliser ces modules, sans avoir à les copier dans PERL/lib. Je n’ai pas trop cherché non plus. Ca doit être avec « -I » ou quelque chose comme ça.
• Recopie du script « calamaris » issu de Debian, quelque part sur le Windows
• Mise en place de tâches planifiées appelant des « .bat » dans ce genre là :

  @echo off
  d:
  cd D:\calamaris-2.99.4.0
  type d:\squid\var\logs\access.log.0 | perl calamaris -a -F html,graph -H lookup --output-path d:\calamaris\output\daily

Notez que GD::Graph, nécessaire pour les graphiques, est installé par défaut avec ActivePERL.

Et voilà, mettez tout ça en oeuvre et ça devrait le faire.

Quelques remarques en vrac

Si tous les codes de retours de Squid ne vous parlent pas, lisez cette documentation là.

Comme je parle dans cet article d’un environnement mixte Windows & Linux, on peut parler de WSUS. Ces considérations pour Squid concernant les mises à jour Windows peuvent vous intéresser : http://wiki.squid-cache.org/SquidFaq/WindowsUpdate

MAIS : rien pour valider les inscriptions. Soit on les ferme, soit on demande confirmation de l’expéditeur (il reçoit un mail avec son pass et confirme). Pas d’intermédiaire.

Résultat : des robots un peu partout qui s’inscrivent. Aucun message derrière, ptet juste pour garder un compte pour le jour où telle faille est publiée. Je ne sais pas.
Bon bref, en suivant ce qui est expliqué là, vous ajouterez sans mal une question lors de l’inscription. Question si possible assez balaise pour qu’un robot ne sache pas y répondre.

EDIT : il y avait des balises php, interprétées… :
Modifiez donc le fichier « register.php » comme indiqué dans ce fichier (ou sur le site).

Le fix est décrit ici, il faut remplacer votre libpurple.dll par celle-ci. En attendant un repackaging officiel (de Pidgin je suppose, pas d’OpenFire).

Sur certains sites que j’ai créés sous WordPress, j’utilise certains plugins assez géniaux, comme NextGen-Gallery pour des galeries de photos faciles et jolies et aussi wp-table (et maintenant wp-table-reloaded) pour gérer des tableaux facilement et sans pondre un code bancal (sans compter les fonctions d’import depuis fichiers CSV, tri par colonne etc)

Sur un de mes sites, j’ai hésité à passer en 2.8 suite à une remarque lue par rapport à NextGen-Gallery indiquant qu’on risquait de péter une limite mémoire. Je n’ai donc pas encore testé (manque de temps histoire d’éviter le gros downtime sur le site…)
C’est sur wp-table que j’ai eu un problème, je vous en fais part car la solution est triviale, alors que le problème est de taille.

Lorsqu’on cherche un plug-in pour gérer les tables facilement, sous wordpress, on tombe en premier lieu sur un plug-in nommé wp-table. Si on ne fait pas gaffe, on ne voit pas qu’il est validé pour WordPress 2.3 max… Bon, à part ça, jusqu’à wordpress 2.7 (et même 2.8 bleeding edge), ça tourne bien.
Mais en 2.8 officielle, ça tourne de manière bancale : les tables sont bien intégrées (bonnes balises dans le code) lorsqu’on les voit dans un article. Mais si on les voit en naviguant dans les « catégories » ou « tags » d’article, les balises HTML/CSS ne sont pas positionnées. Résultat, un tableau dégueulasse, du ligne à ligne sans aucune mise en page.

Grosso-modo : le code appelant les vues par catégories et par tags a dû fortement changer et le plug-in n’est pas inséré où il faut en 2.8…

Panique : il faut vite trouver un plug-in correct et exporter/réimporter tout. L’horreur en perspective.
En recherchant cette fois un plug-in potable en 2.8 p our les tables, on tombe sur « wp-table Reloaded » valide en 2.8. Tiens tiens…
C’est carrément extra : après l’installation (wget+unzip+activate, comme d’hab), le menu d’import trouve tout seul les tables crées par le vieux wp-table dont il semble être issu. Vu le nom, remarquez, ça semble presque logique.
Résultat, à part une réindexation des numéros de tables (on recommence à 1) et la balise « table » entre crochets qui change un peu (donc tous les « posts » et « pages » à modifier un peu), le boulot est vite torché.
Reste que le CSS par défaut des tables me semble un peu light.
Le tri par colonne existe toujours, mais il nécessite un plugin JQuery. Je ne l’ai pas encore mis en place, mais ça ne semble pas compliqué.

Si vous connaissez mieux comme plug-ins de galerie photos et de gestion de tables, n’hésitez pas à en faire part. Les notations sur la page de plug-ins de WordPress sont assez légères (en général plusieurs dizaines de votes pour des dizaines de milliers de download), il est donc difficile parfois de voir si un plug-in tient la route ou pas…

Bloggez bien.

    Bonjour à tous,

    Suite à une demande récurrente, et visiblement partagée par un certain nombre d'organisme, nous créons une nouvelle catégorie : "social_networks".

    Elle permettra de filtrer plus spécifiquement les sites de réseaux sociaux, en ne les incluant pas dans des catégories finalement inadaptées.

    Nous essayerons, tant que faire ce peut, de sortir les sites complets des autres catégories (par exemple facebook de la catégorie blog).

    Cordialement 

FIN

Pour faire suite à l’article sur la mise en place de Privoxy pour faire sauter les pubs dans toute votre société (ou chez vous sur votre petit réseau local), voici un complément : le filtre d’URL par catégorie.

J’ai eu l’occasion de jouer avec SquidGuard à travers un serveur IPCOP mis en place par mes soins dans l’école primaire de mon village, avec la bénédiction du Ministère de l’Education. Ca marche pas mal, il faut avouer. N’ayant pas de moyen, une école optera certainement pour des listes de filtrages gratuites. Si une seule était à retenir, ce serait celle de l’Université de Toulouse.

Deux objectifs possibles :

• éviter les abus en entreprises :sites sociaux à la facebook, vidéos à gogos, porno et autres contre-productivités sur le clavier etc…
• filtrer les sites pour vos enfants (lisez ça aussi, ça donnera d’autres pistes)

Mise en place sur Debian

Installation et docs de base

Contrairement à pas mal d’outils sous Debian, l’installation ne fait rien en soit, elle amène simplement de l’outillage et la plus grosse part est après.
Commencez par installer le logiciel, via un classique aptitude install squidguard.
Evidemment, votre squid est déjà en place et fonctionnel.

Pensez à lire le fichier /usr/share/doc/squidguard/README.Debian ; c’est d’ailleurs une règle générale après une installation de paquet Debian, mais surtout pour SquidGuard qui, après l’installation, ne fait rien tout seul.

Principes de fonctionnement

Je décris le principe avant de foncer la tête dans le guidon.

SquidGuard est simplement une sorte d’extension à base de scripts et d’ACL Squid pour filtrer des URL en se basant sur des domaines et des expressions régulières d’URL
Lui même n’apporte aucun niveau de filtrage et il faudra aller chercher une liste à jour de sites. C’est là toute la difficulté.
J’arrête tout de suite ceux qui pensent bloquer facebook.com en écrivant une ACL bidon genre deny blabla facebook.com dans Squid. Entre les sites genre how-to-un-unblock-facebook.com et les « redirectors » genre proxies anonymes, ce sera impossible. D’où l’aide de listes, payantes ou non, robotisées ou non, mises à jour régulièrement ou non.
Soit vous payez une liste type urlblacklist.com, soit vous optez pour une gratuite, mais néanmoins efficace, comme celle de l’Université de Toulouse, cf. plus haut. Sinon, allez voir là – je n’ai pas testé les 2 premiers liens.

La README évoqué ci-dessus parle d’un paquet « chastity-list », apt-cache search chastity n’ayant rien donné, je n’ai pas cherché plus loin.

Une fois la liste choisie, vous obtiendrez généralement des fichiers textes, classés par catégories. Il faut les transformer en base de données type Berkeley-machin (fichiers .db) pour qu’ils soient efficaces en mémoire.
Ce sera évidemment à scripter automatiquement toutes les nuits (nouvelles listes => nouveaux .db => rechargement de Squid).
A noter que les fichiers .db seront générés par SquidGuard uniquement lorsqu’il verra que vous utilisez telle ou telle catégorie dans /etc/squid/squidGuard.conf. SquidGuard n’ira pas compiler les bases inutilisées (ce qui prend du temps sur des grosses listes, genre « adult » (=porno))

Enfin, vous ajouterez les catégories qui vous intéressent en ayant pris soin de créer une belle page qui indique à l’utilisateur pourquoi tel site est bloqué (je suis sympa, je vous fournis un tel script minimaliste ; en gros une correction de celui fourni dans le package SquidGuard qui est passablement foireux)

Je ne parle pas des aspects communication en entreprise : filtrer les sites aura sûrement un impact important sur le moral des troupes, fonction du gain de bande passante, fonction de la productivité

Mise en place pratique

J’illustre la suite par le blocage de la catégorie « hacking », où l’on pourra tester par exemple www.warez.com, à partir des listes de l’Université de Toulouse

Récupération de la liste de l’Université de Toulouse

La base : récupérez soit une catégorie, soit la totalité (je pars sur cette option). Voyez l’explication de chaque catégorie ici.

mkdir /root/squidguard
cd /root/squidguard
wget ftp://ftp.univ-tlse1.fr/blacklist/blacklists.tar.gz
tar xzvf blacklists.tar.gz
mv blacklists/* /var/lib/squidguard/db/
chown -R  proxy:proxy /var/lib/squidguard/db/

Choix d’une catégorie

Dans /etc/squid/squidGuard.conf, on va toucher le minimum. Ajoutez n’importe où :

dest hacking {
   domainlist hacking/domains
   urllist hacking/
   log guard_hacking.log
}

Pour savoir si une catégorie contient des « domaines », des « URL » ou des « expressions », allez voir dans /var/lib/squidguard/db/la_categorie/. En effet, seules quelques catégories ont des « expressions », il s’agit avant tout des catégories de pubs. Je considère que privoxy est là pour ça. Donc je n’ajoute pas expression hacking/expressions (même pas sûr de la syntaxe). Pour m’assurer que les « expressions » sont utilisées uniquement pour la pub, j’ai fait ça et vu des fichiers de taille 0 ou non-existant pour la plupart des catégories :

srv:/var/lib/squidguard/db# ls -l */expres*
-rwxr-xr-x 1 proxy proxy  57 2006-05-10 07:47 ads/expressions
-rw-r--r-- 1 proxy proxy   0 2005-10-18 16:51 adult/expressions
-rw-r----- 1 proxy proxy   0 2002-11-06 14:08 aggressive/expressions
-rw-r----- 1 proxy proxy   0 2002-11-06 14:08 agressif/expressions
-rw-r--r-- 1 proxy proxy   0 1999-03-04 08:07 forums/expressions
-rw-r--r-- 1 proxy proxy   0 1999-03-04 08:07 mail/expressions
-rw-r--r-- 1 proxy proxy  42 2009-03-19 10:42 malware/expression
-rw-r--r-- 1 proxy proxy  47 2009-03-20 13:30 malware/expressions
-rw-r--r-- 1 proxy proxy   0 2005-10-18 16:51 porn/expressions
-rw-r--r-- 1 proxy proxy   0 1999-10-06 17:37 proxy/expressions
-rwxr-xr-x 1 proxy proxy  57 2006-05-10 07:47 publicite/expressions
-rw-r--r-- 1 proxy proxy   0 1999-10-06 17:37 redirector/expressions
-rw-r--r-- 1 proxy proxy 123 2005-06-14 21:33 strict_redirector/expressions
-rw-r--r-- 1 proxy proxy 505 2006-05-23 22:05 strong_redirector/expressions
-rw-r----- 1 proxy proxy   0 2002-11-06 14:08 violence/expressions
-rw-r--r-- 1 proxy proxy   0 1999-04-19 14:04 warez/expressions

Ensuite, on indique à SquidGuard (donc à Squid) comment réagir pour cette catégorie. Modifier la section acl {} du fichier /etc/squid/squidGuard.conf pour qu’il y ait ça (gardez ou non la palanquée de lignes de commentaires) :

acl {
   default {
      pass !hacking all
      redirect http://srv/cgi-bin/squidGuard-simple.cgi?clientaddr=%a&srcclass=%s&targetclass=%t&url=%u
   }
}

Si vous voulez bloquer plusieurs catégories, ce sera à base de pass !hacking !adult !blabla all.
Notez dans la section acl {} l’adresse de redirection utilisée : une page spéciale hébergée sur le serveur, nommée squidGuard-simple.cgi. Il faut maintenant la mettre en place.
A noter aussi, il me semble que de base, la ligne « redirect » contient des « + » à la place des « & » pour passer les arguments. J’ai pas bien pigé, j’ai toujours vu des « & » et avec les « + », ça ne marchait pas.

Redirection vers une page spéciale

• Attention, j’ai ouï dire que si le script n’était pas là, ça passait silencieusement et la requête aboutissait malgré la demande de blocage. Je n’ai pas testé, j’ai surtout testé une URL de chaque catégorie que je suis censé bloqué.
• Je considère que votre site web est configuré pour que /cgi-bin/ soit en un « Alias » de « /usr/lib/cgi-bin/ », c’est en général défini dans la configuration par défaut d’Apache2 et vous pouvez vous en assurer rapidement avec cette commande grep cgi-bin /etc/apache2/sites-enabled/* pour voir si ça répond – en gros.
• La liste des variables que l’on peut passer au script de redirection est donnée dans la doc HTML, /usr/share/doc/squidguard/CONFIGURATION.html

Deux scripts sont fournis par le mainteneur du paquet Debian pour nous donner une trame pour l’écriture du script de redirection – le script qui dira « accès bloqué blabla, si vous pensez que c’est une erreur, contactez l’administrateur blabla ». Ils sont là :

srv:/var/lib/squidguard/db# dpkg -S squidGuard*.cgi
squidguard: /usr/share/doc/squidguard/examples/squidGuard.cgi.gz
squidguard: /usr/share/doc/squidguard/examples/squidGuard-simple.cgi.gz

Le premier est apparement plus complet, prévu pour du multi-langues etc, mais récupère comme un pied les variables qu’on lui passe. J’ai opté pour l’autre car rapidement, j’ai pu mettre en place une page qui indiquait clairement et simplement le site bloqué, la catégorie, l’IP du demandeur et donnait le mail de contact de l’administrateur.
Donc soit vous optez pour ces scripts, soit pour le mien fourni ici, basé sur le 2è script, traduit en français et épuré de certains trucs inutiles. Voyez :

On est fin prêt pour un test grandeur nature.

Relance de Squid via la compilation des listes de blocage

Lancez la commande /usr/sbin/update-squidguard pour contrôler les droits sur les fichiers de /var/lib/squidguard/db/ et générer les .db.
Attention, sur la liste « adult » (environ 1 million de domaines), ça peut prendre quelques minutes.
Ce script recharge Squid.
Testez un site de la catégorie « hacking », exemple www.warez.com

Script de mise à jour automatiques des listes

Voici un script que j’ai mis en crontab pour automatiser la récupération de la liste de l’Université de Toulouse (si mise à jour), la mise à jour qui va bien, création de .db et relance de Squid.

srv:~# cat /root/squidguard/update_toulouse.sh
#!/bin/sh
cd /root/squidguard
wget -N ftp://ftp.univ-tlse1.fr/blacklist/blacklists.tar.gz
rm -rf blacklists
rm -rf /var/lib/squidguard/db/*
tar -xzvf blacklists.tar.gz
# proprio et perm fixées de toute manière par update-squidguard
chown -R proxy:proxy blacklists
mv blacklists/* /var/lib/squidguard/db/
/usr/sbin/update-squidguard
# A priori, si le site est down ou connx internet HS, on reutilisera le .tar.gz actuel
# donc pas de risque de se retrouver avec une base vide

Mettez les droits d’exécution via chmod u+x /root/squidguard/update_toulouse.sh et collez ça dans la crontab :

0 3 * * 1-5     root    /root/squidguard/update_toulouse.sh

Ca devrait rouler !

Divers

Log des accès interdits

J’ai passé sous silence la ligne « log guard_hacking.log ». Elle est optionnelle et permet de garder ou non une trace des accès interdit, par catégorie. A voir, vie privée des gens, tout ça. J’ai choisi de la nommer quelque_chose.log car ce fichier ira directement dans /var/log/squid/ et sera donc « logrotaté » naturellement comme tous les logs Squid, via ce qu’on trouve en standard dans le logrotate de Squid, /etc/logrotate.d/squid, à savoir : /var/log/squid/*.log
Vu ?

Plages horaires

Vous noterez que la conf simpliste ici peut être étoffée, dans le fichier /etc/squid
/squidGuard.conf, vous avez tous les commentaires nécessaires, notamment pour faire du [dé]blocage par plages horaires.

D’autres compléments pour Squid ?

Après Privoxy, il faudrait un 3è article maintenant sur HAVP. Je vais y penser éventuellement.

Générer la conf pour toutes les catégories

Ne réutilisez pas le résultat brutalement, vous bloqueriez même Google, car il est listé dans ce qui ressemble plus à une whiteliste propre à l’Université de Toulouse, la catégorie « liste_bu ».
Afin d’obtenir la liste complète des déclarations de catégories pour squidGuard.conf, vous pouvez utiliser celà :

srv:/var/lib/squidguard/db# for i in `find . -maxdepth 1 -type d|awk -F'/' '{print $2}' | sort`
do
	echo -e dest $i {
	echo -e \\t"domainlist $i/domains"
	echo -e \\t"urllist $i/urls"
	echo -e \\t"log guard_$i.log"
	echo }
done

Allez zou, mise en place de la chose sur un serveur avec Squid, pour en faire profiter tout le monde.

Quelques remarques par rapport à Debian

Je ne connais pas trop le rythme d’update des règles de privoxy. Ce que j’en ai compris, c’est qu’elles sont intégrées au package privoxy. A mon sens, ça devrait être dissocié, par exemple dans le dépôt « volatile ».
Ca ne l’est pas. Et comme les pubs évoluent, j’ai un peu hésité.

EDIT : j’ai changé d’avis sur ce qui suit : j’ai pris la version officielle Debian. Cf. les commentaires

Finalement, j’ai opté pour la version packagée Debian sur le site de privoxy plutôt que la version officielle dans la « stable ». Moins pratique pour mettre à jour, mais je n’aimerais pas qu’un nouveau genre de pubs ne soit pas filtré ou à l’inverse, trop de coups de haches sur certains sites.
En « stable », on est en 3.0.9 si je ne dis pas de bêtise, contre 3.0.12 en .deb sur le site.

J’ai aussi essayé de trouver une méthode facile pour convertir les expressions régulières d’Adblock Plus pour privoxy. J’ai lâché l’affaire. Si quelqu’un sait faire, ça peut être intéressant.

Quelques chiffres après 2 semaines d’utilisation

Histoire de mettre l’eau à la bouche. 100 personnes surfant raisonnablement ont vus (façon de parler) 10% de leurs requêtes bloquées par privoxy. C’est toujours ça d’économisé, mais c’est surtout le gain sur la pollution visuelle qui vaut le coup.
Je n’ai pas vu de différences sur quelques sites où j’avais l’habitude d’aller via « Firefox+AdBlockPlus » par rapport à « n’importe quel navigateur+privoxy sans adblock plus évidemment ».

Mise en place sur Debian

Installation

Installez donc le package Debian , précédemment téléchargé, avec la commande suivante :

dpkg -i privoxy_3.0.12-1_i386.deb

Paramétrage et tests de base

Tout se passe dans /etc/privoxy/config. Vous n’avez qu’une chose à modifier pour tester votre privoxy en direct :

listen-address  localhost:8118

Si le service est sur un serveur (et pas votre PC), changez « localhost » en « * » ou l’IP de la machine sur le LAN et relancez via /etc/init.d/privoxy restart
Bien sûr, il faut indiquer à votre navigateur d’utiliser le proxy sur cette machine, port 8118.
A la fin : faites bien attention à la valeur choisie (ou à vos règles de firewall si elles filtrent l’accès au serveur squid/privoxy), il ne faudrait pas qu’un utilisateur puisse adresser en direct privoxy en court-circuitant squid…

Interco avec Squid

La doc officielle de privoxy dit de chaîner dans l’ordre : PC -> squid -> privoxy
Il doit y avoir une raison, peut-être pour ne pas court-circuiter les éventuelles ACL de Squid, qui permettraient par exemple un certain traitement suivant l’IP source de la requête.
Bon bref, c’est donc au niveau de Squid qu’il faut paramétrer. Cherchez le mot « squid » dans la doc http://www.privoxy.org/user-manual/config.html. En résumé, ajoutez où il faut dans /etc/squid/squid.conf :

cache_peer 127.0.0.1 parent 8118 7 no-query
acl ftp proto FTP
always_direct allow ftp
never_direct allow all

Dans l’exemple, 127.0.0.1 indique que privoxy est sur la même machine que squid, sinon mettez l’IP de privoxy, et son port, par défaut 8118.
A noter que squid fait proxy FTP dans mon exemple, sinon adaptez.
Relancez squid, un /etc/init.d/squid reload doit suffire.

Pour voir les stats vite fait

http://p.p/
Ca peut servir pour configurer l’outil aussi, si vous avez activé ce qu’il faut
Evidemment, vous serez gentils de whitelister michauko.org. Je me suis pas tapé la mise en place de Google AdSense pour rien ouais bon, ça va… c’est pour financer un jour quelques mois de mon serveur…

A suivre

L’article SquidGuard, l’ami de Squid quand l’accès Internet est un peu trop surchargé par 99% d’inutile.

Contexte

Un serveur Oracle sous Windows, quelque part. Une machine Linux sur laquelle je veux pouvoir faire tourner des scripts PHP (en ligne de commande et via apache) attaquant cette base, et faire du sqlplus « nativement » depuis cette machine.

Repos Debian VS .zip VS .rpm

Oracle propose un repo à l’adresse suivante : deb http://oss.oracle.com/debian unstable main non-free. Je n’ai pas ressenti le besoin de l’utiliser. Il m’a l’air d’être là pour l’installation d’Oracle XE, la version serveur gratuite, l’équivalent d’un MSQL Server Express chez Microsoft.
Ensuite, entre le ZIP et le RPM, j’ai opté pour les RPM. J’explique ci-dessous.

Au passage, si vous voulez voir le repository, ajoutez la signature suivante :

cd /tmp
wget http://oss.oracle.com/el4/RPM-GPG-KEY-oracle
apt-key add RPM-GPG-KEY-oracle

Installation des paquets

Dans mon cas, j’ai été cherché les paquets suivants – tous disponibles ici :

• oracle-instantclient11.1-basic : la lib de connexion Oracle
• oracle-instantclient11.1-devel : Le SDK, pour la suite, notamment construire le module php oci8
• oracle-instantclient11.1-sqlplus : l’outil sqlplus

J’ai opté pour les versions RPM que j’ai converti via alien en .deb
Le seul intérêt est d’éviter de se demander où on doit mettre les fichiers qui sont livrés (en version ZIP) tous dans le même répertoire, (les lib, exe, etc). Pour autant, ça ne génère pas de script de pre/post-configuration qui auraient permis de positionner les variables habituelles Oracle (TNS_ADMIN par exemple), ce genre de manips.
Donc, après avoir installé les 3 .deb, il faut faire :

echo /usr/lib/oracle/11.1/client/lib >> /etc/ld.so.conf.d/oracle.conf
ldconfig -v # indique ces lib au linker ld.so
echo TNS_ADMIN=/etc/oracle >> /etc/environment
mkdir /etc/oracle # vous y stockerez le tnsnames.ora
aptitude install libaio1 # necessaire pour la comm. Oracle

Si vous n’installez pas « libaio1″, vous planterez car sqlplus en a besoin, voyez :

serveur:/# ldd `which sqlplus`
        linux-gate.so.1 =>  (0xb7fa3000)
        libsqlplus.so => /usr/lib/oracle/11.1/client/lib/libsqlplus.so (0xb7ef6000)
        libclntsh.so.11.1 => /usr/lib/oracle/11.1/client/lib/libclntsh.so.11.1 (0xb63aa000)
        libnnz11.so => /usr/lib/oracle/11.1/client/lib/libnnz11.so (0xb61fd000)
        libdl.so.2 => /lib/i686/cmov/libdl.so.2 (0xb61f9000)
        libm.so.6 => /lib/i686/cmov/libm.so.6 (0xb61d3000)
        libpthread.so.0 => /lib/i686/cmov/libpthread.so.0 (0xb61ba000)
        libnsl.so.1 => /lib/i686/cmov/libnsl.so.1 (0xb61a1000)
        libc.so.6 => /lib/i686/cmov/libc.so.6 (0xb6046000)
        libaio.so.1 => /lib/libaio.so.1 (0xb6043000)
        /lib/ld-linux.so.2 (0xb7fa4000)

Enfin, il faut renseigner votre fichier tnsnames.ora de description de vos bases, exemple :

serveur:/# cat /etc/oracle/tnsnames.ora
# Generated by ma main
MaBase =
  (DESCRIPTION =
    (ADDRESS_LIST =
      (ADDRESS = (PROTOCOL = TCP)(HOST = 192.168.x.y)(PORT = 1522))
    )
    (CONNECT_DATA =
      (SID = MON_SID)
    )
  )

A ce niveau là, sqlplus devrait fonctionner, testez via :

sqlplus login/pass@MaBase

Bien sûr, vous vous êtes reloggué pour bénéfichier de la variable d’environnement TNS_ADMIN

Partie PHP pure

Il faut installer 2/3 compléments à PHP si ce n’est déjà fait, à savoir les paquets php5-dev, php-pear et enfin ajouter « l’extension oci8″ pour prendre en charge les connexions Oracle.
Faites-vous un script appelant phpinfo() pour voir qu’il manque l’extension « oci8″.
Pour l’installer, on utilise « pecl » (cet outil permet d’aller chercher des extensions PHP que votre distribution n’aurait pas pré-packagé, un peu comme les modules PERL qu’on trouve chez cpan.org et qu’on installe en ligne de commande via « cpan » (si je me souviens bien ) et les compile sur votre système, automagiquement.
On tape donc :

pecl install oci8

Ca mouline, et si ça n’insulte pas, alors on est bon :

serveur:~/pecl# pecl install oci8
downloading oci8-1.3.5.tgz ...
Starting to download oci8-1.3.5.tgz (137,987 bytes)
........................done: 137,987 bytes
10 source files, building
running: phpize
Configuring for:
PHP Api Version:         20041225
Zend Module Api No:      20060613
Zend Extension Api No:   220060519
 1. Please provide the path to the ORACLE_HOME directory. Use 'instantclient,/path/to/instant/client/lib' if you're compiling with Oracle Instant Client : autodetect

1-1, 'all', 'abort', or Enter to continue:
building in /var/tmp/pear-build-root/oci8-1.3.5
running: /tmp/pear/temp/oci8/configure --with-oci8
checking for grep that handles long lines and -e... /bin/grep
[...]
configure: WARNING: You will need re2c 0.12.0 or later if you want to regenerate PHP parsers.
[...]
configure: WARNING: OCI8 extension: ORACLE_HOME is not set, looking for default Oracle Instant Client instead
[...]
checking whether to build static libraries... no
configure: creating libtool
appending configuration tag "CXX" to libtool
appending configuration tag "F77" to libtool
configure: creating ./config.status
config.status: creating config.h
running: make
/bin/sh /var/tmp/pear-build-root/oci8-1.3.5/libtool --mode=compile gcc  -I. -I/tmp/pear/temp/oci8 -DPHP_ATOM_INC -I/var/tmp/pear-build-root/oci8-1.3.5/include -I/var/tmp/pear-build-root/oci8-1.3.5/main -I/tmp/pear/temp/oci8 -I/usr/include/php5 -I/usr/include/php5/main -I/usr/include/php5/TSRM -I/usr/include/php5/Zend -I/usr/include/php5/ext -I/usr/include/php5/ext/date/lib -D_LARGEFILE_SOURCE -D_FILE_OFFSET_BITS=64 -I/usr/include/oracle/11.1/client  -DHAVE_CONFIG_H  -g -O2   -c /tmp/pear/temp/oci8/oci8.c -o oci8.lo
mkdir .libs
gcc -I. -I/tmp/pear/temp/oci8 -DPHP_ATOM_INC [...]
[...]
gcc -shared  .libs/oci8.o .libs/oci8_lob.o .libs/oci8_statement.o .libs/oci8_collection.o .libs/oci8_interface.o  -L/usr/lib/oracle/11.1/client/lib -lclntsh  -Wl,-rpath -Wl,/usr/lib/oracle/11.1/client/lib -Wl,-soname -Wl,oci8.so -o .libs/oci8.so
creating oci8.la
(cd .libs && rm -f oci8.la && ln -s ../oci8.la oci8.la)
/bin/sh /var/tmp/pear-build-root/oci8-1.3.5/libtool --mode=install cp ./oci8.la /var/tmp/pear-build-root/oci8-1.3.5/modules
cp ./.libs/oci8.so /var/tmp/pear-build-root/oci8-1.3.5/modules/oci8.so
cp ./.libs/oci8.lai /var/tmp/pear-build-root/oci8-1.3.5/modules/oci8.la
PATH="$PATH:/sbin" ldconfig -n /var/tmp/pear-build-root/oci8-1.3.5/modules
----------------------------------------------------------------------
Libraries have been installed in:
   /var/tmp/pear-build-root/oci8-1.3.5/modules

If you ever happen to want to link against installed libraries
in a given directory, LIBDIR, you must either use libtool, and
specify the full pathname of the library, or use the `-LLIBDIR'
flag during linking and do at least one of the following:
   - add LIBDIR to the `LD_LIBRARY_PATH' environment variable
     during execution
   - add LIBDIR to the `LD_RUN_PATH' environment variable
     during linking
   - use the `-Wl,--rpath -Wl,LIBDIR' linker flag
   - have your system administrator add LIBDIR to `/etc/ld.so.conf'

See any operating system documentation about shared libraries for
more information, such as the ld(1) and ld.so(8) manual pages.
----------------------------------------------------------------------

Build complete.
Don't forget to run 'make test'.

running: make INSTALL_ROOT="/var/tmp/pear-build-root/install-oci8-1.3.5" install
Installing shared extensions:     /var/tmp/pear-build-root/install-oci8-1.3.5/usr/lib/php5/20060613+lfs/
running: find "/var/tmp/pear-build-root/install-oci8-1.3.5" -ls
 65412    4 drwxr-xr-x   3 root     root         4096 May  7 10:08 /var/tmp/pear-build-root/install-oci8-1.3.5
 65441    4 drwxr-xr-x   3 root     root         4096 May  7 10:08 /var/tmp/pear-build-root/install-oci8-1.3.5/usr
 65442    4 drwxr-xr-x   3 root     root         4096 May  7 10:08 /var/tmp/pear-build-root/install-oci8-1.3.5/usr/lib
 65443    4 drwxr-xr-x   3 root     root         4096 May  7 10:08 /var/tmp/pear-build-root/install-oci8-1.3.5/usr/lib/php5
 65444    4 drwxr-xr-x   2 root     root         4096 May  7 10:08 /var/tmp/pear-build-root/install-oci8-1.3.5/usr/lib/php5/20060613+lfs
 65440  408 -rwxr-xr-x   1 root     root       411611 May  7 10:08 /var/tmp/pear-build-root/install-oci8-1.3.5/usr/lib/php5/20060613+lfs/oci8.so

Build process completed successfully
Installing '/usr/lib/php5/20060613+lfs/oci8.so'
install ok: channel://pecl.php.net/oci8-1.3.5
configuration option "php_ini" is not set to php.ini location
You should add "extension=oci8.so" to php.ini

On peut donc ajouter l’extension oci8 à PHP, via un fichier habituellement placé ici :

serveur:/# cat /etc/php5/conf.d/oracle.ini
extension=oci8.so

Normalement, votre script phpinfo() devrait vous indiquer votre extension oci8. Cool.

Partie PHP depuis apache

J’ai un peu tourné en rond pour cette partie. La difficulté est de faire bouffer le fichier tnsnames.ora à Apache pour les scripts PHP. Car tout le boulot a été fait aux étapes d’avant.
J’ai testé des SetEnv TNS_ADMIN dans /etc/apache2/httpd.conf, mais rien, il s’en fout.
Apparement, il faut que l’environnement où s’exécute Apache (en tant que www-data) contiennent TNS_ADMIN. Donc, il a fallu l’ajouter dans /etc/apache2/envvars, après la partie standard qu’il contenait :

serveur:/# cat /etc/apache2/envvars
# envvars - default environment variables for apache2ctl

# Since there is no sane way to get the parsed apache2 config in scripts, some
# settings are defined via environment variables and then used in apache2ctl,
# /etc/init.d/apache2, /etc/logrotate.d/apache2, etc.
export APACHE_RUN_USER=www-data
export APACHE_RUN_GROUP=www-data
export APACHE_PID_FILE=/var/run/apache2.pid

export TNS_ADMIN=/etc/oracle

Un restart (reload ?) d’Apache et hop, un script PHP qui passait en ligne de commande, mais pas depuis Apache (erreur ORA-12154), fonctionne maintenant

Ca roule.
Vu que j’ai beaucoup tourné en rond, j’espère avoir bien enlevé les manips inutiles et pas oublié de manip indispensable

Contenu du coffret

La release actuelle de Mantis est 1.1.7, une 1.2 est en préparation et Debian propose la 1.1.6 de stable à « SID ». Les langues sont packagées de base avec Debian.
Quelques spécificités viennent du fait que, comme d’hab, des liens symboliques de certains fichiers de conf (des include PHP) sont en alias vers /etc/mantis/ depuis l’arborescence du logiciel (/usr/share/mantis/www/).
A noter que pour une fois, on n’a pas un fichier de conf standard dans /etc qu’on adapte, mais un fichier de conf standard dans /usr/share/mantis/www/ qui inclut un fichier « local » en alias vers /etc/mantis/. Il s’agit donc d’écraser des valeurs. Bon, admettons. Le but est de ne pas toucher les fichiers de l’arborescence du produit, pour prévoir l’upgrade plus facilement :

#ls -l /usr/share/mantis/www/conf*
lrwx[...] /usr/share/mantis/www/config_db.php -> /etc/mantis/config_db.php
-rw-[...] /usr/share/mantis/www/config_defaults_inc.php
lrwx[...] /usr/share/mantis/www/config_inc.php -> /etc/mantis/config_inc.php
lrwx[...] /usr/share/mantis/www/config_local.php -> /etc/mantis/config_local.php

Ca veut surtout dire de lire d’un côté l’intégralité du fichier /usr/share/mantis/www/config_defaults_inc.php et de reprendre les paramètres qu’on veut écraser dans /etc/mantis/config_local.php. Exemple après conf minimaliste :

$g_signup_use_captcha           = OFF;
$g_administrator_email          = 'admin@blabla.fr';
$g_webmaster_email              = $g_administrator_email;
# a voir avec les utilisateurs : $g_email_receive_own = ON ?
$g_limit_email_domain           = 'blabla.fr';
$g_smtp_host                    = 'mon.smtp.blabla.net';
# pas compris, a voir : $g_email_set_category
$g_default_language             = 'french';
$g_show_footer_menu             = ON;
# LDAP : completement moisi sur mantis, surtout pour un AD

En gros, je n’y règle que la partie essentielle permettant d’envoyer des mails dans le workflow de vie du bug et je supprime les « CAPTCHA » car usage interne uniquement.

Le LDAP

Il y a quelques paramètres à positionner pour passer en authentification par le LDAP. Génial. Seul hic, de taille, les utilisateurs ne remontent pas – de ce que j’en ai lu – dans l’outil, ça implique une synchro à la main (login/mail/nom/prénom). Pourquoi ? pour pouvoir affecter les rôles (access levels) aux utilisateurs : rapporteurs, développeurs etc.
Enfin, côté Active Directory, la page du manuel ne dit qu’un mot : « TODO » et le fichier de conf indique juste de mettre « samAccountName » au lieu de « uid ».
Je me demande pourquoi j’ai pas eu confiance dans la qualité de l’intégration du LDAP…

Import/export de bug – tableau CSV (XML en fait)

Fonction essentielle si vous ne démarrez pas de rien. Dans mon cas, un fabullissimeux tableau excel de suivi de bug…
De base il n’y a rien pour importer.
Avec google, vous tomberez sur plusieurs trucs plus ou moins foireux.
Je vous la fais courte, le résultat qui marche est le suivant :

Installez le « plug-in manager »

Disponible ici : en version 0.4.0 compatible Mantis 1.1.6
Je résume la doc d’installation et explique 2/3 spécificités liées au packaging Debian – faites un backup complet d’abord (base, fichiers de conf) :

chown www-data /usr/share/mantis/www/
cp -a core.php core.php.orig
chown www-data /usr/share/mantis/www/core.php # il y aura 5/6 lignes de code en plus à la fin
chown www-data /etc/mantis/custom_strings*
ln -sf /usr/share/mantis/www/plugins/ /etc/mantis/plugins # meme s'il n'existe pas pour l'instant

Si l’installation du plugin_manager se passe mal, DROPpez les 3 tables mantis_plugins_* afin que l’installation de l’outil ne détecte plus qu’il est déjà [mal] installé.
Le checkup d’installation de l’outil peut raconter n’importe quoi, exemple si vous oubliez le droit www-data sur /etc/mantis/custom_string.php, l’installation se déroule « bien », vous n’avez juste aucun libellé dans les menus…
Après l’installation, il manquait encore un dernier chown -R www-data /usr/share/mantis/www/plugins/
Vous devriez avoir un nouveau menu disponible, nommé « plugin_manager »

Installez le plug-in « import/export »

Celui-ci disponible sur le même site n’est pas compatible (!) avec Mantis 1.1.6, allez chercher celui-là (2ème message), en version 0.1.0a9, compatible. L’installation cette fois se passe toute seule par le « plugin manager ».
Ensuite, pour balancer la purée, point de fichier CSV, mais du XML ; c’est pas plus mal. Un exemple de syntaxe de ce fichier XML est donné là.

D’autres BTS ?

Si quelqu’un a un retour d’expérience sur Bugzilla, gForge etc, n’hésitez pas.
Mantis sait apparement être relié (dans quelle mesure ?) à un CVS. Pas de mention à SVN.

Présentation du contexte

Le but de cet article de montrer à des noob’ de l’Active Directory (comme moi) comment connecter un outil sous Linux à un AD, sans trop connaître la structure d’un AD. Ca peut s’avérer pratique dans bien des cas d’outils très performants sous Linux mais pour lesquels on a besoin de « la base des utilisateurs Windows pour éviter la double déclaration des comptes et les mots de passes différents pour chaque appli ». Vous voyez le principe ?
L’autre but est de montrer un outil qui permet de s’y retrouver facilement dans un AD.

J’ai choisi OpenFire car mes dernières expériences avec ejabberd ne m’ont pas convaincues. OpenFire (anciennement WildFire) est super propre d’interface et est distribué par une entreprise, « Jive Software »
Connectable sans peine à des LDAP, dont AD (et OpenLDAP, Novell etc), c’est un bon cas d’école.
Pour les psychos, ça reste une application publiée sous licence GPL tout de même.

Sur le site de l’éditeur, ils proposent le serveur OpenFire packagé pour Redhat, Debian, Windows, Mac etc.
Je passe sur l’installation, (sous Debian dpkg -i openfire*deb)
Ensuite tout se passe par le web, à l’adresse http://votre.serveur:9090/

La conf AD, LE outil merveilleux pour ne pas s’y perdre

Quelques remarques :

• Les étapes de configuration sont relativement simples, je zoome uniquement sur la partie AD
• J’ai opté pour une base de données embarquées, « volatile »
• A noter d’ailleurs que pour sauvegarder la conf de votre serveur OpenFire, vous n’aurez besoin – si je ne dis pas d’ânerie – que de /etc/openfire/ et de /var/lib/openfire/embedded-db/openfire.script qui est le script de création de base à la volée (au lancement du service). Attention, il contient des mots de passe sensibles en clair, comme l’admin AD…. de base, le package Debian est propre et prive les accès à openfire:openfire, chmod à base de 770/660

Bon, une fois l’installation un peu déroulée, arrivent les premières étapes de configuration de l’AD. Et là, je ne saurais trop vous recommander l’excellent outil de l’excellent sysinternals.com Microsoft nommé « Active Directory explorer« , qui, pour chaque noeud que vous visitez dans l’AD, vous donne sa syntaxe complète et pour chaque élement, les noms des attributs, pas leur libellé. Du bonheur en barre. Exemple, je localise mes utilisateurs :

J’injecte ça dans la conf OpenFire :

Ensuite, sur l’écran suivant qui consiste à indiquer quel sous-ensemble des utilisateurs pourra s’authentifier, j’utilise encore l’ »AD Explorer », je repère quel champ caractérise mes utilisateurs réels des comptes systèmes et autres comptes qui ne sont pas des gens de la vraie vie :

L’idée était ensuite dans mon cas de restreindre l’accès au service à un certain groupe d’utilisateurs, à savoir les « Correspondants Informatiques », j’ai modifié la valeur standard de filtre utilisateur pour refléter mes choix :

Pour celà, vous repérerez que le champ « memberOf » indique tous les groupes d’appartenance des utilisateurs, bref, vous modifiez le filtre pour y ajouter un (memberOf=CN=blabla,blabla,DC=blabla,DC=com).
Ainsi, seuls les utilisateurs de ce groupe seront pris en compte lors de l’authentification par AD.
Enfin, le bas du tableau permet de « mapper » les champs de l’utilisateur aux infos personnelles visibles via Jabber. Faites votre marché, utilisez le bouton « test » en bas pour voir si ça récupère ce qu’il faut comme il faut.

Ensuite, dans mon cas, le tri des utilisateurs en groupe était le bon par défaut :

Et, dernière étape, déclarer des comptes admin parmi les comptes AD existant. Mettez votre compte car la modif à la main est moins simple (éditer le champ admin.authorizedJIDs dans les fichiers de conf de la base embarquée)

Voilà…
Une fois connecté à la console d’admin, allez voir la liste d’utilisateurs, vous devriez trouver uniquement le sous-ensemble sélectionné, « Correspondants Informatiques » dans mon cas.

Les clients

Vous pourrez utiliser pidgin ou le client de l’éditeur d’OpenFire, Spark – ou même sa version web pour éviter de déployer la moindre application. Ou tout autre client XMPP.
Ou faites votre choix là : http://en.wikipedia.org/wiki/List_of_XMPP_client_software