09.10.08
Posted in Bugs, Debian, planet-libre.org at 4:01 pm by michauko
En Debian Lenny, wordpress est passé en 2.5.1 (2.5.1-6 précisemment). Il y avait un warning à l’upgrade (l’occasion de rappeler l’existence du paquet “apt-listbugs” qui vous indique les bugs en cours sur un paquet que vous tentez d’installer/upgrader) qui annonçait que tout était pété en 2.5.1 sur “Sid” (unstable).
Etant en “Lenny” (testing), j’y suis allé confiant, résultat, je tombe sur ce bug et un blog inutilisable, en gros.
Manque de bol, j’ai regardé trop vite la version dispo en Sid. Aussi une 2.5.1, mais la -7, j’avais pas vu. Elle corrige le truc. Donc si vous êtes dans le même cas, ajoutez les sources “sid” dans votre “apt” et faites un “aptitude install wordpress”. Supprimez les listes “sid/unstable” ensuite.
Et pour rebondir sur le post précédent de Cedynamix, incitant à passer en 2.6.2 au plus vite pour raison de sécurité, vous êtes marron si vous en restez au packaging Debian, toutes versions confondues.
Permalink
07.18.08
Posted in Debian, Ubuntu, planet-libre.org at 4:51 pm by michauko
P’tite intro
J’utilise Squirrelmail comme client webmail pour les comptes en IMAP. C’est parfaitement fonctionnel, mais aussi très moche.
On peut certes changer le look si on adore le CSS, ou en trouver d’autres sur le web (mais ça se cantonne à changer la palette de couleur), ou enfin, pour 100/150 € on peut en payer un super-jouli avec des fleurs bleues dans les coins, au look de MS-LookOut.
Il y aussi Horde/IMP, très utilisé et complet. Et Roundcube, qui monte : très très joli (en AJAX-qui-tâche) mais pas encore 100% fonctionnel (bal IMAP partagées KO par exemple).
Sinon il y a aussi IlohaMail. C’est moins moche (sans être beau) et aussi simple à installer.
Par contre, le développement semble bien arrêté (depuis 2006). Sur une debian testing, on est en 0.8.6-rc3sid là où la .0.8.6 est officiellement sortie et la 0.9 en beta depuis 2 ans. Pas un message depuis 2 ans sur le blog.
Si vous êtes toujours en train de lire, c’est que cette vieillerie ne vous fait pas peur ; ça tombe bien vu que l’IMAP a pas du évoluer des masses depuis longtemps.
Comme Squirrelmail, les “thèmes” sont en options, voire rares, voire moches, voire payants….
Bon je critique, mais pour le prix, j’en suis content.
Allez, mise en place de la chose (au besoin, la mise en place de squirrelmail est décrite dans ma doc Debian qu’il-faut-que-je-mette-à-jour-un-de-ces-quatre).
Pré-requis
Idéalement, un serveur IMAP pour accéder à vos boîtes aux lettres, le PHP, un Apache2 et optionnellement une base de données (ex: MySQL). Regardez ma doc si vous n’avez rien de tout ça, sauf une grosse envie de monter une Debian.
Installation
Ca commence sur un air connu :
root@linux:~# sudo aptitude install ilohamail
Lecture des listes de paquets… Fait
Construction de l’arbre des dépendances
Lecture des informations d’état… Fait
Lecture de l’information d’état étendu
Initialisation de l’état des paquets… Fait
Lecture des descriptions de tâches… Fait
Les NOUVEAUX paquets suivants vont être installés :
aspell{a} aspell-en{a} dictionaries-common{a} ilohamail libaspell15{a}
0 paquets mis à jour, 5 nouvellement installés, 0 à enlever et 4 non mis à jour.
Il est nécessaire de télécharger 1550ko/1799ko d’archives. Après dépaquetage, 8889ko seront utilisés.
Voulez-vous continuer ? [Y/n/?]
Ensuite, vous aurez 2 questions :
Si votre installation Apache2 n’est pas trop en ruine, alors ça fera ce qu’il faut tout seul.
La deuxième question - je n’ai pas gardé la photo - vous demande quel alias utiliser pour accéder à l’application, par défaut “/IlohaMail”. Ca se change plus tard.
Utilisation
Normalement, moyennant un rechargement Apache, vous devriez avoir l’application qui fonctionne en allant sur votre http://votre.serveur/IlohaMail/ :
A la première connexion, il y a un paramétrage des préférences. On peut choisir quel est le répertoire d’envoi et de poubelle, ça peut être bien :
Paramétrage un peu plus avancé
Dans /etc/apache2/conf.d/ilohamail, vous pourrez corriger l’alias si mal choisi, exemple :
Alias /mail /usr/share/IlohaMail/source
Options +FollowSymLinks
DirectoryIndex index.php
AllowOverride None
order allow,deny
allow from all
Dans /etc/IlohaMail, il y a plusieurs fichiers sympa. Tous les fichiers sont commentés, pratique pour comprendre les paramètres.
/etc/IlohaMail/conf.php
$backend="DB" au lieu de “FS” si vous voulez stocker les données en base de données plutôt qu’en fichiers. Dans ce cas, il faudra aller dans le fichier db_conf.php pour finir la conf base de données (je ne l’ai pas fait).
Notez ceux là :
$AUTH_MODE["imap"] pour les méthodes d’authentification
$SMTP_SERVER défaut à localhost
$MAX_SESSION_TIME
$DISABLE_CALENDAR
$DISABLE_BOOKMARKS
/etc/IlohaMail/login.php
$default_host = "localhost" par exemple, ça évitera de demander à l’utilisateur un nom de machine
Comprenez aussi par là que IlohaMail, comme beaucoup de “webmail” configurables, peut aller lire vos messages IMAP d’un autre serveur. Si votre webmail IMAP au boulot ne vous plaît pas, par exemple.
Vous pouvez aussi masquer la zone de saisie du serveur et ainsi éviter qu’on puisse utiliser ce webmail pour lire les messages d’un autre serveur.
$hide_host = 1;
$hide_protocol = 1;
$hide_rootdir = 1;
$hide_lang = 0;
$default_lang = "fr/" au lieu de "eng/"
$SSL_ENABLED = true; si vous en avez besoin
/etc/IlohaMail/login_title.inc
Là, vous pourrez changer le message d’accueil du webmail en bidouillant un code HTML ultra-basique.
The End
Et voilà, c’est bon.
Notez que les modifs des fichiers PHP ne nécessitent pas de rechargement d’Apache puisque ces fichiers sont lus à chaque utilisation.
Bon mail
Permalink
07.11.08
Posted in Coup de coeur, Debian, planet-libre.org at 2:32 pm by michauko
Hop,
Oh le beau NAS !
J’ai couplé une PS3 à un NAS QNAP TS-209. Ce NAS tourne sous un Linux minimaliste (architecture ARM) hébergeant plein de services (lisez la fiche ça ira plus vite), notamment TwonkyMedia pour mettre à disposition en DLNA les contenus multimédias de ce NAS. Il y a évidemment un serveur SSH, FTP etc. Bref, tout ce qu’il faut pour bien gérer son contenu à distance et dans n’importe quelle condition.
Mais ça manque de commandes intégrées
Il ne manquait que certains outils qu’on a potentiellement l’habitude d’utiliser sur un Linux (donc depuis le NAS). Me concernant c’était LFTP afin que mon NAS puisse aller chercher tout seul certaines ressources en FTP sur un serveur (bon bref, je vous passe les détails). En effet, quitte à ce qu’il soit tout le temps allumé, autant qu’il sache downloader. Notez que de base, il intègre un wget, un client bittorrent administrable par le web etc….
Heureusement le fabricant est actif
Récemment, il y a eu un update de firmware permettant d’installer QPKG et donnant accès à un dépôt de paquets pour cette architecture, le tout grâce à la commande “ipkg” dont la syntaxe ressemble à du “apt-get”.
On peut donc maintenant installer les commandes screen et ncftp. Par exemple. LFTP ne passe pas pour des problèmes de versions de libc. Plutôt qu’une énorme prise de tête et un NAS potentiellement HS, j’ai opté pour NCFTP au lieu de LFTP. Libre à vous de galérer si vous voulez.
Notez que le paquet QPKG s’installe sur la partition de données principale (exemple chez moi : /share/MD0_DATA/optware/), pas sur les partoches systèmes standard. Donc vous pouvez imaginer installer plein de paquets, il y aura de la place, tant que vous en avez sur votre partition principale.
Installation et utilisation de QPKG
Malheureusement, il ne suffit pas de mettre le nouveau firmware pour obtenir “ipkg”, il faut mettre le nouveau firmware puis installer un paquet “optware” supplémentaire.
Voici donc comment installer QPKG (optware et ipkg) afin de pouvoir taper des commandes magiques comme :
ipkg install screen
ipkg install ncftp
J’ai presque l’impression d’être sous Debian, ouaiiiiiiiis 
Mise à jour du firmware
Rapidement, vu que c’est archi-classique, débrouillez-vous. Le firmware est sur le site officiel.
Installez QPKG
Depuis l’interface d’admin de votre NAS (http://votre.ip:8080/) :
La première fois, vous ne trouverez pas le module QPKG, il faut cliquer sur le bouton “Get QPKG”, vous suivez le lien, vous downloadez le paquet sur votre PC puis le chargez dans l’interface. A la fin, vous l’activez, ça ressemble donc à ça :
Ensuite, balancez la purée avec ipkg
Voici ce que donne l’installation de screen et lftp :
[/share/MD0_DATA/optware/opt/bin] # ./ipkg install screen
Installing screen (4.0.3-2) to root…
Downloading http://ipkg.nslu2-linux.org/feeds/optware/cs05q3armel/cross/stable/screen_4.0.3-2_arm.ipk
Installing termcap (1.3.1-2) to root…
Downloading http://ipkg.nslu2-linux.org/feeds/optware/cs05q3armel/cross/stable/termcap_1.3.1-2_arm.ipk
Configuring screen
chown: unknown group name: root
Configuring termcap
Successfully terminated.
[/share/MD0_DATA/optware/opt/bin] # ./ipkg install lftp
Installing lftp (3.7.3-1) to root…
Downloading http://ipkg.nslu2-linux.org/feeds/optware/cs05q3armel/cross/stable/lftp_3.7.3-1_arm.ipk
Installing ncurses (5.6-3) to root…
Downloading http://ipkg.nslu2-linux.org/feeds/optware/cs05q3armel/cross/stable/ncurses_5.6-3_arm.ipk
Installing expat (2.0.1-1) to root…
Downloading http://ipkg.nslu2-linux.org/feeds/optware/cs05q3armel/cross/stable/expat_2.0.1-1_arm.ipk
Installing libstdc++ (6.0.3-6) to root…
Downloading http://ipkg.nslu2-linux.org/feeds/optware/cs05q3armel/cross/stable/libstdc++_6.0.3-6_arm.ipk
Configuring expat
Configuring lftp
Configuring libstdc++
Configuring ncurses
//opt/lib/ipkg/info/ncurses.postinst: line 2: update-alternatives: command not found
postinst script returned status 127
ERROR: ncurses.postinst returned 127
Successfully terminated.
[/share/MD0_DATA/optware/opt/bin] #
La fin ne sent pas très bon. Ca se passe mieux avec NCFTP. J’ai pas cherché plus loin.
Ah oui, j’oubliais, il me semble que ipkg n’est pas le PATH au début. Comme je devais le rebooter, je l’ai fait. Depuis je peux taper ipkg depuis n’importe où. C’était peut-être simplement mon shell ouvert qui datait d’avant l’installation de QPKG, donc PATH KO. Enfin ref, relogguez-vous ou rebootez, au choix.
Amusez-vous bien.
Le mot de la fin
Si vous hésitiez entre tel ou tel NAS, franchement celui-là, il est cool. Si vous avez des questions sur son fonctionnement, demandez toujours.
A+
Permalink
06.19.08
Posted in Debian, Ubuntu, Windows, planet-libre.org at 1:47 pm by michauko
Bon, suite à mon post précédent, à l’aide de 2/3 personnes et aux cris d’autres, voici un article rapide présentant des équivalences fonctionnelles entre modules que j’avais sur Firefox 2 et qui ne marchent plus nécessairement sur Firefox 3. Je recense aussi ceux que j’avais et qui continuent de fonctionner.
Finalement j’y suis donc passé plus tôt que prévu, en version portable en ce qui concerne mon Windows au boulot.
Je parle bien d’équivalences. Donc les “foxmarks” ou “del.icio.us” pour remplacer “Google Browser Sync”, c’est non.
- Adblock plus => OK en FF3
- All-In-One Gestures => KO, passez à FireGestures (complètement pareil à un raccourci près, parmis ceux que j’utilisais)
- Dictionnaire MySpell 2007 FR => KO, le dico intégré (je crois) est passé à Hunspell 1900. M’en tape un peu à vrai dire
- Download Statusbard => OK
- Compagnon ebay => OK
- Foxmarks bookmark synchronizer => OK, mais en fait, je l’ai viré, lui et “Google Browser Sync”, pour opter pour le futur module officiel de Mozilla, j’ai nommé Weave (créez un compte là). Ca fait ce qu’on demande : synchro historiques, cookies, password, bookmarks etc
- hellafox (pour hellanzb) : KO à priori, mais je ne l’utilise plus en fait
- IE Tab : OK
- Tab Mix Plus : OK en passant sur la version de dév (lisez le début de la page web, c’est expliqué)
- Web Developer : OK, quoique je ne l’utilise pas vraiment.
Permalink
06.18.08
Posted in Coup de gueule, Debian, Ubuntu, Windows, planet-libre.org at 10:55 pm by michauko
Génial le “download day”. Un concept. Non je déconne, en fait, je m’en tape… comme l’euro 2008, rien à foot.
Néanmoins, comme je trainais sur portableapps et que FFox 3 portable est sorti très vite, j’ai tenté ma chance. Donc en sauvegardant mon Firefox 2 avant, bien au chaud, sentant le coup venir.
Bilan des courses, une fois mes modules capitaux invalidés (all-in-one gestures, tabmix plus, google browser sync et celui d’ebay il me semble), voire d’autres, je ne sais plus car tout a été très vite, je suis revenu bien vite vers firefox 2.
Quand je vois des plug-ins inutiles comme Vimperator sont dispos pour ffox 3, j’ai mal de voir les autres non dispos. Bon certes, je gueule mais je ne développe rien. Oui en effet, mais bon j’aime pas trop me sentir pris au piège, on dirait du bigrozoft : migrez les gars, on verra après…
Allez-y, excitez-vous, d’ici 1 mois, je retrouverai mes modules et hop, à moi firefox 3…
Et après on se demande pourquoi je préfère Debian à des distrib un peu trop vivaces. Heureusement, mon Ubuntu est restée en 7.10, je me méfie de la migration en 8.jesaisplusquoi. A tous les coups y’a ffox 3 dedans maintenant et pan dans ta gueule les modules, de force.
Beta-deployez bien, a+
Permalink
06.10.08
Posted in Coup de coeur, Debian, Windows, planet-libre.org at 11:10 am by michauko
OCSInventory-NG est un outil d’inventaire de parc informatique. On l’associe souvent à GLPI (Gestion Libre de Parc Info), mais c’est uniquement car GLPI sait aller chercher les infos de OCS. OCSInventory-NG suffit à lui seul - lorsqu’il s’agit d’inventaire.
L’objectif de cet outil est de remonter automatiquement toutes les informations des ordinateurs (PC Windows, Linux, Mac) connectés à votre réseau ; notamment la liste des logiciels installés.
Pour ceux qui ne sont pas connectés au réseau, il est possible de faire tourner localement l’agent (l’outil qui remonte les infos) puis de récupérer un fichier et l’incorporer. Ce n’est pas très dynamique mais parfois nécessaire.
Dans cet article, je vais montrer comment installer le serveur sous Debian, le paramétrer un minimum et enfin comment déployer l’agent (il existe plusieurs méthodes et la doc n’est pas forcément limpide - pardon aux auteurs, j’ai dû relire plusieurs fois et m’y reprendre à plusieurs fois).
Mon contexte d’utilisation de l’agent est essentiellement du poste Windows où tout le monde n’a pas nécessairement le droit d’admin. Enfin, j’ai un domaine Samba, pratique pour exécuter des choses au login. Si c’est votre cas ou si vous avez un domaine AD de Bigrosoft, ça facilitera le déploiement.
Je ne vous expliquerai pas tout non plus, pour ne pas plagier la doc officielle. Je vous donne des pistes pour aller le plus vite possible en comprenant au mieux les grands principes. Read the rest of this entry »
Permalink
05.15.08
Posted in Debian, Ubuntu, planet-libre.org at 11:09 pm by michauko
L’histoire en quelques mots
Bon, je poste un peu après tout le monde sur le sujet. Mais c’est histoire de faire part de 2/3 remarques. A voir les news postées un peu partout, j’ai l’impression de revivre la naissance de “Blaster” sous Windows : grande ampleur alors que la correction existait et beaucoup découvrent/découvraient ça tardivement sans trop savoir quoi faire.
Bon ici, il ne s’agit que de rectifier avant qu’une faille soit exploitable. Mais c’est extrêmement préoccupant.
Et le pire, c’est que contrairement à beaucoup de failles, le problème réside dans les “clefs de cryptage” que vous utilisez (qui vous sont propres), pas dans l’outil en lui-même. Donc appliquer les patchs constitue seulement 1% de la solution. (dans le cas où vos clefs ont été générées, disons, entre hier et y’a 2 ans… c’est large)
Point de départ de l’information
Si vous découvrez seulement maintenant le sujet et que vous gérez des Debian ou Ubuntu ou dérivés, c’est grave, lisez vite les “security advisory” de openssl et de openssh publié le lendemain. Ce sont les seules sources fiables, comme point de départ.
Si ça vous gonfle car c’est en anglais, parce-que personne n’en voudrait à votre pseudo-serveur etc, alors arrêtez tout de suite de “gérer” un serveur…
Le wiki de Debian résume bien tous les services qui peuvent être impactés et donnent les opérations à faire. A commencer par OpenSSH (tout le monde l’a celui-là)
Donc, pour cette fois, et pour les suivantes, faites ceci :
Pour bien réagir la prochaine fois :
Inscrivez-vous sur la mailing-list de securité Debian
Inscrivez-vous soit par l’interface web, soit en envoyant un mail à debian-security-announce-REQUEST@lists.debian.org avec sujet subscribe et en confirmant une fois le 1er de retour reçu).
Optez pour celle appelée “debian-security-announce”, pas nécessairement “debian-security” qui est plutôt une chat-room non modérée 
=> Ainsi, vous serez au courant au bon moment avec les bonnes infos, plutôt que des “on dit” incomplets sur des forums.
Si vous n’êtes pas en Debian, ça vaut quand même. Il doit y avoir l’équivalent sur Ubuntu et autres dérivés.
Lisez les alertes à tête reposée et faites ce qui est demandé
Par exemple, dans celle d’OpenSSL dit notamment une toute petite phrase : “We recommend that you upgrade your openssl package and subsequently regenerate any cryptographic material, as outlined above.”
=> Cette toute petite phrase veut simplement dire qu’il faut regénérer TOUT ce qui a trait à la crypto. Donc tous vos certificats pour vos protocoles sécurisés, notamment SSH, HTTPS, POP3S, IMAPS, SSMTP etc. Sans parler des known_hosts et authorized_keys. En gros, si vous gérez un paquet de serveurs, ça va juste vous pourrir un bon paquet d’heures. Mais c’est obligatoire.
Le mot de la fin
Voilou, c’était histoire de clarifier la situation vu ce qu’on peut lire comme info incomplète sur cette faille. Le classique "apt-get update ; apt-get upgrade" du matin ne suffit pas !
J’ai eu envie de faire cet article quand je pense aux hébergeurs qui proposent des serveurs à pas cher, avec environ 97% d’admin archi-débutant-pas-sérieux. Je me ferais du souci à leur place. Surtout si un exploit est révélé !
Faites que le mien ne bloque pas le trafic SSH en cas d’exploit révélé (si si, mon hébergeur l’a proposé, arg !)…. ce serait un bordel sans nom.
Permalink
03.20.08
Posted in Debian, planet-libre.org at 4:07 pm by michauko
Si vous utilis[i]ez “RulesDuJour” pour mettre à jour les règles spamassassin de “Rules Emporium“…. quoi ? comment ça qu’est-ce que je raconte ? Lisez le chapitre qui va bien dans ma doc !! Vous n’utilisez pas les règles SARE ? mais vous le triez comment votre spam ?!
Bon, je reprends.
Depuis quelques semaines (mois ?), le programme RulesDuJour végétait. Il n’y a eu aucune communication sur le sujet à part 2/3 infos éparses dans des mailing-lists. J’ai pris le temps de chercher et poser les questions.
Maintenant, je peux affirmer que RulesDuJour n’est plus supporté (mais fonctionne encore à peu près) et un type du projet spamassassin a monté un serveur permettant de mettre à jour les règles SARE depuis l’outil normal de mise à jour de spamassassin, à savoir sa-update.
Le principe pour configurer sa-update afin qu’il aille chercher vos règles SARE est le suivant :
1) Vous supprimez votre “RulesDuJour” quotidien de votre crontab.
2) Gardez quelque part la liste des règles que vous utilisez (noms des fichiers).
3) Supprimez les règles type /etc/spamassassin/7*cf et le répertoire où vous stockiez RulesDuJour.
4) Ensuite, créez un fichier /etc/spamassassin/channels.txt contenant :
updates.spamassassin.org
70_sare_adult.cf.sare.sa-update.dostech.net
70_sare_bayes_poison_nxm.cf.sare.sa-update.dostech.net
70_sare_evilnum0.cf.sare.sa-update.dostech.net
70_sare_evilnum1.cf.sare.sa-update.dostech.net
autre.regle.de.SARE.cf.sare.sa-update.dostech.net
…
et vos autres règles type blabla.cf en suffixant par .sare.sa-update.dostech.net. Vous comprenez le principe ? le serveur dostech s’attend à recevoir des demandes “au format sa-update” et grâce à des noms de machines bidons indiquant en fait le nom du fichier correspondant à la règle que vous cherchez, sa-update trouve son bonheur.
Ne pas oublier la 1ère ligne des updates “normaux” de spamassassin.
Ensuite, vous planifiez une fois par jour le job suivant :
sa-update –allowplugins –channelfile /etc/spamassassin/channels.txt –nogpg /usr/local/bin/sa-compile && /etc/init.d/spamassassin reload
Notez qu’il y a déjà dans votre /etc/cron.daily un update spamassassin. Faut-il le modifier ? bof, c’est de la conf standard, c’est un coup à ce que ça saute au prochain update/upgrade.
La deuxième partie de la commande (&& /etc/init.d/spamassassin reload) n’est utile que si votre spamassassin tourne en tant que “daemon”.
Les nouvelles règles téléchargées iront s’installer dans /var/lib/spamassassin/3.002003.
Astuce of ze day pour générer sans peine (et sans faute de frappe) le fichier channels.txt. En considérant que vos règles SARE actuelles sont dans /etc/spamassassin et se nomment toutes 7*cf, tapez donc ça :
cat updates.spamassassin.org > /etc/spamassassin/channels.txt
for i in 7*cf
do
echo $i.sare.sa-update.dostech.net >> /etc/spamassassin/channels.txt
done
Voilà. Forcez le premier lancement à la main et contrôlez le contenu du répertoire /var/lib/spamassassin/3.002003 et la présence du daemon spamassassin (si vous l’utilisez en “daemon”).
La “doc” qui fait foi est ici : http://daryl.dostech.ca/sa-update/sare/sare-sa-update-howto.txt
Permalink
03.13.08
Posted in Debian, Windows, planet-libre.org at 10:29 am by michauko
Je passe sur les raisons longuement discutées (pendant environ un an) qui nous ont poussés à installer un Exchange pour son calendrier offline (pour les hommes pressés en déplacement), sur un smartphone/outlook (port de la cravate obligatoire), son outil de CRM (cravate et grosse bagnole sont de mises), etc etc. La partie e-mail reste en Linux et la cohabitation des 2 mondes (exchange+imap linux) dans un Outlook se passera honorablement.
Il y aurait tant à dire sur les solutions de contournement qu’on n’a qu’à troller dans les commentaires si vous le souhaitez.
Avant de capituler, sachez juste que j’ai testé en long en large et en travers les solutions de synchro outlook<-> egroupware type Funambol (ex Sync4j), Funambol server et blablabli et je ne sais quoi d’autres généralement bien moisi. S’il fallait donner un bilan : Funambol, ça marche, mais ça se limite à remonter des créneaux horaires (pas des participants, pas de pièce jointe etc). Les autres solutions, ça vaut pas un cachou. Et du Zimbra etc, c’est finalement à peine moins cher qu’un Exchange, chiffres à l’appui.
Voilà, maintenant qu’on ne peut plus m’accuser d’avoir déserté sans livrer bataille, je vous livre 2/3 remarques sur le fonctionnement d’Outlook 2003 et 2007, vis-à-vis d’Exchange et d’une intégration d’un Exchange dans un environnement Linux, notamment un DNS Linux (BIND9 en l’occurrence).
Petite intro
Ces cons de clients mail fonctionnent différemment et Exchange 2007 conserve les deux modes d’accès (pour compatibilité) à certains types de données, notamment aux données disponibilités de chacun pour planifier des réunions facilement. On trouve de la doc sur le sujet, mais c’est pas simple. Et fidèle à lui-même, Microsoft n’a pas cru bon de rendre ses applications bavardes (ie, générer des logs) et à trop vouloir simplifier l’interface utilisateur (même dans un mode de configuration manuelle), certains mécanismes sont complètement occultés et quand ça merde, l’appli ne dit rien !
(Tiens j’oubliais une note positive : en Outlook 2007, l’IMAP est un peu mieux géré : on peut désigner un répertoire d’envoi sans bidouiller comme un malade…)
Imaginons donc le scénario suivant
- un serveur Exchange 2007 dans un domaine (forêt) autonome qui n’est pas le domaine SAMBA “principal” de notre réseau
(- une double maintenance d’utilisateurs dans l’Active Directory et dans l’OpenLDAP (Linux), moyennement quelques scripts, c’est tout à fait vivable.)
- des clients Outlook 2003 et 2007 avec un compte Exchange pour le calendrier et un compte IMAP pour le mail (IMAP hébergé sur Linux)
Imaginons que ça bug après une installation toute fraîche (facile hein ?)
- lorsque je planifie une réunion, je ne vois pas les infos de dispo des gens alors que je peux consulter l’agenda d’un collègue s’il m’autorise (partage)
La solution, après 12000 recherches et forums
- Pour outlook 2003 :
Disons que le serveur ait un FQDN “test.exchg.societe.com”. Le petit “exchq” dans le nom vient du nom du domaine sur lequel est installé Exchange. Donc tous les applicatifs connaissent cette machine sous ce nom complet, et pas “test.societe.com”, encore moins “test”.
Manque de bol, lorsque vous déclarez votre compte Exchange dans Outlook, vous spécifiez le serveur “test” et ce tocard vous dit qu’il a trouvé et remplace votre saisie par “test.exchg.societe.com”, alors même que votre PC (faisant tourner Outlook) ne sait pas résoudre ce nom complet.
De là, tout marche à peu près *sauf* l’accès aux “public folders” du serveur, donc aux infos de dispo des gens…
Il suffit donc de déclarer ce nom test.exchg dans la zone “societe.com” de votre DNS bind.
Et hop, tout se met à marcher.
Bien sûr, si outlook avait dit dès le départ “cannot find test.exchg.societe.com”, j’aurais gagné 2 semaines…
- Pour Outlook 2007 :
Même genre de bordel, sauf que lui, avec un nouveau procédé “autodiscover”, veut tout faire tout seul. Même souci : quand il ne trouve pas le serveur comme il le souhaite, il ne dit rien, mais ça marche mal.
Avec une trace tcpdump sur le DNS (genre : tcpdump -i ethxxx port 53 src host mon-ip-PC-client-outlook), et avec l’aide de quelques personnes sur un forum bien sympa, j’ai vu que ce bouffon de client cherchait deux enregistrements DNS :
- l’un de type A pour chercher autodiscover.masociete.com
- l’autre de type SRV, nommé _autodiscover._tcp.masociete.com
Une remarque, pour être sûr de voir la requête lors du tcpdump, videz votre cache DNS du poste client Windows avant :
C:\Documents and Settings\toto>ipconfig /flushdns
Configuration IP de Windows
Cache de résolution DNS vidé.
Enfin, pour régler le problème, vous créerez donc 2 entrées dans votre DNS, zone masociete.com :
autodiscover A 10.x.y.z ;serveur exchange
_autodiscover._tcp 1D IN SRV 0 1 443 test.exchg ;serveur exchange
Et là, “par magie”, vous voyez les infos de dispo des gens lors d’une réservation de réunion.
C’est pas bioutifoule ça ?
Permalink
03.11.08
Posted in Debian, planet-libre.org at 10:06 pm by michauko
Derrière ce titre qui veut tout et rien dire, un besoin réel.
Récemment, sur un site web avec une audience non négligeable (sans être démentielle : 70 000 hits hebdo), j’ai eu à mettre en place un outil de statistiques vite fait bien fait. J’ai choisi webalizer car je connaissais et car ça se met en place en 3 minutes et que ça sort mine de rien déjà pas mal d’infos (volume de hits, pays d’origine, mots-clefs, référant etc). Et c’est mieux que “pas de stats du tout” dans un premier temps.
Il y avait deux trucs tout bêtes dans l’histoire : j’avais un an de logs non “synthétisés” par webalizer. Il a donc fallu les faire passer dans webalizer pour rattraper l’historique. Et deuxièmement, c’est à ce moment là que j’ai vu que le HostnameLookups était à Off dans la conf /etc/apache2/apache2.conf. Donc les logs ne contenaient que les IP, pas les hostname. Donc pas de statistiques par pays dans Webalizer. Dommage pour une boîte internationale qui veut voir un peu où en est sa notoriété sur la planète…
J’ai donc remédié à tout ça. Cet article présente donc l’installation de la conf rapide de Webalizer (et Apache2 en conséquence) et donne une ligne de commande pour récupérer l’année d’historique (apache2 garde par défaut 52 fichiers de logs en rotation hebdo) et enfin, le plus marrant, mouliner sur les logs pour retrouver les hostnames correspondants aux IP… (en espérant que mon hébergeur ne me flingue pas en voyant le nombre de requête DNS que je crache en ce moment même 
Je lui ai posé la question, ne négligez pas ce point, ce serait bête de se faire des ennemis) Read the rest of this entry »
Permalink
« Previous entries · Next entries »
