08.05.08
Posted in Ubuntu, planet-libre.org at 7:17 pm by michauko
Pour donner suite à mon précédent article sur le sujet, voici une mise à jour depuis la sortie de Ubuntu 8.04.1.
L’article précédent donne quelques informations supplémentaires, n’hésitez pas à aller voir.
Cet article donne simplement la procédure à suivre depuis un poste Linux pour créer un XUbuntu “persistant” sur USB. Si le mot “persistant” ne vous dit rien, il s’agit d’avoir un Live OS sur USB qui se souvient des modifications (fichiers créés/modifiés), des applications installées etc. Bref, un OS vivant et… persistant.
Le principe ? une partition qui est l’image du CD Live OS, l’autre qui est un “espace de stockage” des modifications, une sorte de “/” qui va grossir avec le temps (et vos modifications).
Ce qui m’a donné envie d’en remettre une couche est le fait que sur mon PC principal, la Ubuntu 7.10 donnait un affichage pourri sous X et sur quelques portables, X ne se chargeait pas du tout.
Pour mon PC principal, Ubuntu 8 a réglé le problème. Pour les portables, je verrai plus tard.
Enfin, tenter un upgrade de Ubuntu 7 à 8 ne me paraît pas être une bonne idée : en effet, dans le cadre d’un OS persistant, il y a certes la partie variable, mais aussi toute ce qui est immuable, tout ce qui concerne le boot. J’ai pas osé “upgrader” la distrib. Surtout que c’est plus une solution de dépannage, pas vraiment pour embarquer un réel OS peaufiné aux petits soins, sinon bonjour les problèmes de drivers graphiques par exemple…..
Assez parlé, voici la manip, brutale :
1) Prenez une clef USB d’au moins 1 Go, plutôt une rapide
2) Créez 2 partitions, l’une de 600 Mo (suffisant pour un XUbuntu dont l’ISO fait 540 Mo), type FAT16 (code 6 sous fdisk), l’autre du reste de la clef, type Linux (que vous formatterez en “ext2″, n’allez pas me mettre de la journalisation sur une clef USB ! O_o). La deuxième partition doit impérativement s’appeler “casper-rw” - c’est comme ça que la partition persistante sera identifiée.
Ne pas oublier : rendez bootable la première partition !
3) Formattez les comme suit :
mkfs.vfat -F 16 -n ubuntu841 /dev/sdX1
(remplacez X) et :
mkfs.ext2 -b 4096 -L casper-rw /dev/sdX2
(remplacez X aussi).
Si vous n’avez pas l’application “mkfs.vfat”, installez le paquet “dosfstools”.
4) Copier ensuite le contenu de l’ISO de la mouture d’Ubuntu qui vous convient (XUbuntu, Ubuntu etc) à la racine de la première partition. Je recommande XUbuntu afin d’être “léger” sur tout type de PC.
5) Recopier le contenu de /isolinux à la racine de la clef.
6) Recopier /casper/vmlinuz à la racine de la clef.
7) Remplacez /casper/initrd.gz par celui fourni ici.
8 ) Copiez le fichier syslinux.cfg trouvé ici à la racine de votre clef.
9) Utilisez un “syslinux” récent (ici, version 3.71) si celui de votre distrib date un peu (qui a dit Debian Etch ?) pour rendre bootable la clef :
syslinux -sf /dev/sdX1
(remplacez X)
Démontez votre clef bien proprement, évidemment, et tentez votre chance. Ca devrait booter 
Par défaut, vous bootez en mode persistant en tapant “persist”.
Amusez-vous bien.
La doc d’origine, en anglais et qui n’explique absolument rien est là. Certes j’ai été assez rapide aussi, mais mon précédent article devrait vous fournir des explications complémentaires sur le concept de clefs persistantes si vous n’avez rien compris.
Permalink
07.18.08
Posted in Debian, Ubuntu, planet-libre.org at 4:51 pm by michauko
P’tite intro
J’utilise Squirrelmail comme client webmail pour les comptes en IMAP. C’est parfaitement fonctionnel, mais aussi très moche.
On peut certes changer le look si on adore le CSS, ou en trouver d’autres sur le web (mais ça se cantonne à changer la palette de couleur), ou enfin, pour 100/150 € on peut en payer un super-jouli avec des fleurs bleues dans les coins, au look de MS-LookOut.
Il y aussi Horde/IMP, très utilisé et complet. Et Roundcube, qui monte : très très joli (en AJAX-qui-tâche) mais pas encore 100% fonctionnel (bal IMAP partagées KO par exemple).
Sinon il y a aussi IlohaMail. C’est moins moche (sans être beau) et aussi simple à installer.
Par contre, le développement semble bien arrêté (depuis 2006). Sur une debian testing, on est en 0.8.6-rc3sid là où la .0.8.6 est officiellement sortie et la 0.9 en beta depuis 2 ans. Pas un message depuis 2 ans sur le blog.
Si vous êtes toujours en train de lire, c’est que cette vieillerie ne vous fait pas peur ; ça tombe bien vu que l’IMAP a pas du évoluer des masses depuis longtemps.
Comme Squirrelmail, les “thèmes” sont en options, voire rares, voire moches, voire payants….
Bon je critique, mais pour le prix, j’en suis content.
Allez, mise en place de la chose (au besoin, la mise en place de squirrelmail est décrite dans ma doc Debian qu’il-faut-que-je-mette-à-jour-un-de-ces-quatre).
Pré-requis
Idéalement, un serveur IMAP pour accéder à vos boîtes aux lettres, le PHP, un Apache2 et optionnellement une base de données (ex: MySQL). Regardez ma doc si vous n’avez rien de tout ça, sauf une grosse envie de monter une Debian.
Installation
Ca commence sur un air connu :
root@linux:~# sudo aptitude install ilohamail
Lecture des listes de paquets… Fait
Construction de l’arbre des dépendances
Lecture des informations d’état… Fait
Lecture de l’information d’état étendu
Initialisation de l’état des paquets… Fait
Lecture des descriptions de tâches… Fait
Les NOUVEAUX paquets suivants vont être installés :
aspell{a} aspell-en{a} dictionaries-common{a} ilohamail libaspell15{a}
0 paquets mis à jour, 5 nouvellement installés, 0 à enlever et 4 non mis à jour.
Il est nécessaire de télécharger 1550ko/1799ko d’archives. Après dépaquetage, 8889ko seront utilisés.
Voulez-vous continuer ? [Y/n/?]
Ensuite, vous aurez 2 questions :
Si votre installation Apache2 n’est pas trop en ruine, alors ça fera ce qu’il faut tout seul.
La deuxième question - je n’ai pas gardé la photo - vous demande quel alias utiliser pour accéder à l’application, par défaut “/IlohaMail”. Ca se change plus tard.
Utilisation
Normalement, moyennant un rechargement Apache, vous devriez avoir l’application qui fonctionne en allant sur votre http://votre.serveur/IlohaMail/ :
A la première connexion, il y a un paramétrage des préférences. On peut choisir quel est le répertoire d’envoi et de poubelle, ça peut être bien :
Paramétrage un peu plus avancé
Dans /etc/apache2/conf.d/ilohamail, vous pourrez corriger l’alias si mal choisi, exemple :
Alias /mail /usr/share/IlohaMail/source
Options +FollowSymLinks
DirectoryIndex index.php
AllowOverride None
order allow,deny
allow from all
Dans /etc/IlohaMail, il y a plusieurs fichiers sympa. Tous les fichiers sont commentés, pratique pour comprendre les paramètres.
/etc/IlohaMail/conf.php
$backend="DB" au lieu de “FS” si vous voulez stocker les données en base de données plutôt qu’en fichiers. Dans ce cas, il faudra aller dans le fichier db_conf.php pour finir la conf base de données (je ne l’ai pas fait).
Notez ceux là :
$AUTH_MODE["imap"] pour les méthodes d’authentification
$SMTP_SERVER défaut à localhost
$MAX_SESSION_TIME
$DISABLE_CALENDAR
$DISABLE_BOOKMARKS
/etc/IlohaMail/login.php
$default_host = "localhost" par exemple, ça évitera de demander à l’utilisateur un nom de machine
Comprenez aussi par là que IlohaMail, comme beaucoup de “webmail” configurables, peut aller lire vos messages IMAP d’un autre serveur. Si votre webmail IMAP au boulot ne vous plaît pas, par exemple.
Vous pouvez aussi masquer la zone de saisie du serveur et ainsi éviter qu’on puisse utiliser ce webmail pour lire les messages d’un autre serveur.
$hide_host = 1;
$hide_protocol = 1;
$hide_rootdir = 1;
$hide_lang = 0;
$default_lang = "fr/" au lieu de "eng/"
$SSL_ENABLED = true; si vous en avez besoin
/etc/IlohaMail/login_title.inc
Là, vous pourrez changer le message d’accueil du webmail en bidouillant un code HTML ultra-basique.
The End
Et voilà, c’est bon.
Notez que les modifs des fichiers PHP ne nécessitent pas de rechargement d’Apache puisque ces fichiers sont lus à chaque utilisation.
Bon mail
Permalink
07.11.08
Posted in Coup de coeur, Debian, planet-libre.org at 2:32 pm by michauko
Hop,
Oh le beau NAS !
J’ai couplé une PS3 à un NAS QNAP TS-209. Ce NAS tourne sous un Linux minimaliste (architecture ARM) hébergeant plein de services (lisez la fiche ça ira plus vite), notamment TwonkyMedia pour mettre à disposition en DLNA les contenus multimédias de ce NAS. Il y a évidemment un serveur SSH, FTP etc. Bref, tout ce qu’il faut pour bien gérer son contenu à distance et dans n’importe quelle condition.
Mais ça manque de commandes intégrées
Il ne manquait que certains outils qu’on a potentiellement l’habitude d’utiliser sur un Linux (donc depuis le NAS). Me concernant c’était LFTP afin que mon NAS puisse aller chercher tout seul certaines ressources en FTP sur un serveur (bon bref, je vous passe les détails). En effet, quitte à ce qu’il soit tout le temps allumé, autant qu’il sache downloader. Notez que de base, il intègre un wget, un client bittorrent administrable par le web etc….
Heureusement le fabricant est actif
Récemment, il y a eu un update de firmware permettant d’installer QPKG et donnant accès à un dépôt de paquets pour cette architecture, le tout grâce à la commande “ipkg” dont la syntaxe ressemble à du “apt-get”.
On peut donc maintenant installer les commandes screen et ncftp. Par exemple. LFTP ne passe pas pour des problèmes de versions de libc. Plutôt qu’une énorme prise de tête et un NAS potentiellement HS, j’ai opté pour NCFTP au lieu de LFTP. Libre à vous de galérer si vous voulez.
Notez que le paquet QPKG s’installe sur la partition de données principale (exemple chez moi : /share/MD0_DATA/optware/), pas sur les partoches systèmes standard. Donc vous pouvez imaginer installer plein de paquets, il y aura de la place, tant que vous en avez sur votre partition principale.
Installation et utilisation de QPKG
Malheureusement, il ne suffit pas de mettre le nouveau firmware pour obtenir “ipkg”, il faut mettre le nouveau firmware puis installer un paquet “optware” supplémentaire.
Voici donc comment installer QPKG (optware et ipkg) afin de pouvoir taper des commandes magiques comme :
ipkg install screen
ipkg install ncftp
J’ai presque l’impression d’être sous Debian, ouaiiiiiiiis
Mise à jour du firmware
Rapidement, vu que c’est archi-classique, débrouillez-vous. Le firmware est sur le site officiel.
Installez QPKG
Depuis l’interface d’admin de votre NAS (http://votre.ip:8080/) :
La première fois, vous ne trouverez pas le module QPKG, il faut cliquer sur le bouton “Get QPKG”, vous suivez le lien, vous downloadez le paquet sur votre PC puis le chargez dans l’interface. A la fin, vous l’activez, ça ressemble donc à ça :
Ensuite, balancez la purée avec ipkg
Voici ce que donne l’installation de screen et lftp :
[/share/MD0_DATA/optware/opt/bin] # ./ipkg install screen
Installing screen (4.0.3-2) to root…
Downloading http://ipkg.nslu2-linux.org/feeds/optware/cs05q3armel/cross/stable/screen_4.0.3-2_arm.ipk
Installing termcap (1.3.1-2) to root…
Downloading http://ipkg.nslu2-linux.org/feeds/optware/cs05q3armel/cross/stable/termcap_1.3.1-2_arm.ipk
Configuring screen
chown: unknown group name: root
Configuring termcap
Successfully terminated.
[/share/MD0_DATA/optware/opt/bin] # ./ipkg install lftp
Installing lftp (3.7.3-1) to root…
Downloading http://ipkg.nslu2-linux.org/feeds/optware/cs05q3armel/cross/stable/lftp_3.7.3-1_arm.ipk
Installing ncurses (5.6-3) to root…
Downloading http://ipkg.nslu2-linux.org/feeds/optware/cs05q3armel/cross/stable/ncurses_5.6-3_arm.ipk
Installing expat (2.0.1-1) to root…
Downloading http://ipkg.nslu2-linux.org/feeds/optware/cs05q3armel/cross/stable/expat_2.0.1-1_arm.ipk
Installing libstdc++ (6.0.3-6) to root…
Downloading http://ipkg.nslu2-linux.org/feeds/optware/cs05q3armel/cross/stable/libstdc++_6.0.3-6_arm.ipk
Configuring expat
Configuring lftp
Configuring libstdc++
Configuring ncurses
//opt/lib/ipkg/info/ncurses.postinst: line 2: update-alternatives: command not found
postinst script returned status 127
ERROR: ncurses.postinst returned 127
Successfully terminated.
[/share/MD0_DATA/optware/opt/bin] #
La fin ne sent pas très bon. Ca se passe mieux avec NCFTP. J’ai pas cherché plus loin.
Ah oui, j’oubliais, il me semble que ipkg n’est pas le PATH au début. Comme je devais le rebooter, je l’ai fait. Depuis je peux taper ipkg depuis n’importe où. C’était peut-être simplement mon shell ouvert qui datait d’avant l’installation de QPKG, donc PATH KO. Enfin ref, relogguez-vous ou rebootez, au choix.
Amusez-vous bien.
Le mot de la fin
Si vous hésitiez entre tel ou tel NAS, franchement celui-là, il est cool. Si vous avez des questions sur son fonctionnement, demandez toujours.
A+
Permalink
07.10.08
Posted in Coup de gueule, planet-libre.org at 3:50 pm by michauko
Vu sur The Inquirer (fr), Google ouvre le code de cet outil qu’ils ne maintiennent plus, et qui ne marche pas avec Firefox 3 notamment.
Il y a eu plusieurs articles sur planet-libre à ce sujet. Actuellement, on a :
- Weave (de Mozilla) qui merdouille pas mal et marche quand il veut, malgré ces temps-ci plein de nouvelles release (ils doivent toucher au but)
- le Google Brower Sync qui ne marche plus en firefox 3
=> Donc, rien de bien concret pour synchroniser ses mots de passe, historique (et donc contenu de la “awesome bar” de Firefox 3). Je ne parle pas des bookmarks, vous avez Foxmarks si seuls les bookmarks vous intéressent.
Espérons un mieux avec cette ouverture de code.
A suivre
Permalink
06.19.08
Posted in Debian, Ubuntu, Windows, planet-libre.org at 1:47 pm by michauko
Bon, suite à mon post précédent, à l’aide de 2/3 personnes et aux cris d’autres, voici un article rapide présentant des équivalences fonctionnelles entre modules que j’avais sur Firefox 2 et qui ne marchent plus nécessairement sur Firefox 3. Je recense aussi ceux que j’avais et qui continuent de fonctionner.
Finalement j’y suis donc passé plus tôt que prévu, en version portable en ce qui concerne mon Windows au boulot.
Je parle bien d’équivalences. Donc les “foxmarks” ou “del.icio.us” pour remplacer “Google Browser Sync”, c’est non.
- Adblock plus => OK en FF3
- All-In-One Gestures => KO, passez à FireGestures (complètement pareil à un raccourci près, parmis ceux que j’utilisais)
- Dictionnaire MySpell 2007 FR => KO, le dico intégré (je crois) est passé à Hunspell 1900. M’en tape un peu à vrai dire
- Download Statusbard => OK
- Compagnon ebay => OK
- Foxmarks bookmark synchronizer => OK, mais en fait, je l’ai viré, lui et “Google Browser Sync”, pour opter pour le futur module officiel de Mozilla, j’ai nommé Weave (créez un compte là). Ca fait ce qu’on demande : synchro historiques, cookies, password, bookmarks etc
- hellafox (pour hellanzb) : KO à priori, mais je ne l’utilise plus en fait
- IE Tab : OK
- Tab Mix Plus : OK en passant sur la version de dév (lisez le début de la page web, c’est expliqué)
- Web Developer : OK, quoique je ne l’utilise pas vraiment.
Permalink
06.18.08
Posted in Coup de gueule, Debian, Ubuntu, Windows, planet-libre.org at 10:55 pm by michauko
Génial le “download day”. Un concept. Non je déconne, en fait, je m’en tape… comme l’euro 2008, rien à foot.
Néanmoins, comme je trainais sur portableapps et que FFox 3 portable est sorti très vite, j’ai tenté ma chance. Donc en sauvegardant mon Firefox 2 avant, bien au chaud, sentant le coup venir.
Bilan des courses, une fois mes modules capitaux invalidés (all-in-one gestures, tabmix plus, google browser sync et celui d’ebay il me semble), voire d’autres, je ne sais plus car tout a été très vite, je suis revenu bien vite vers firefox 2.
Quand je vois des plug-ins inutiles comme Vimperator sont dispos pour ffox 3, j’ai mal de voir les autres non dispos. Bon certes, je gueule mais je ne développe rien. Oui en effet, mais bon j’aime pas trop me sentir pris au piège, on dirait du bigrozoft : migrez les gars, on verra après…
Allez-y, excitez-vous, d’ici 1 mois, je retrouverai mes modules et hop, à moi firefox 3…
Et après on se demande pourquoi je préfère Debian à des distrib un peu trop vivaces. Heureusement, mon Ubuntu est restée en 7.10, je me méfie de la migration en 8.jesaisplusquoi. A tous les coups y’a ffox 3 dedans maintenant et pan dans ta gueule les modules, de force.
Beta-deployez bien, a+
Permalink
06.10.08
Posted in Coup de coeur, Debian, Windows, planet-libre.org at 11:10 am by michauko
OCSInventory-NG est un outil d’inventaire de parc informatique. On l’associe souvent à GLPI (Gestion Libre de Parc Info), mais c’est uniquement car GLPI sait aller chercher les infos de OCS. OCSInventory-NG suffit à lui seul - lorsqu’il s’agit d’inventaire.
L’objectif de cet outil est de remonter automatiquement toutes les informations des ordinateurs (PC Windows, Linux, Mac) connectés à votre réseau ; notamment la liste des logiciels installés.
Pour ceux qui ne sont pas connectés au réseau, il est possible de faire tourner localement l’agent (l’outil qui remonte les infos) puis de récupérer un fichier et l’incorporer. Ce n’est pas très dynamique mais parfois nécessaire.
Dans cet article, je vais montrer comment installer le serveur sous Debian, le paramétrer un minimum et enfin comment déployer l’agent (il existe plusieurs méthodes et la doc n’est pas forcément limpide - pardon aux auteurs, j’ai dû relire plusieurs fois et m’y reprendre à plusieurs fois).
Mon contexte d’utilisation de l’agent est essentiellement du poste Windows où tout le monde n’a pas nécessairement le droit d’admin. Enfin, j’ai un domaine Samba, pratique pour exécuter des choses au login. Si c’est votre cas ou si vous avez un domaine AD de Bigrosoft, ça facilitera le déploiement.
Je ne vous expliquerai pas tout non plus, pour ne pas plagier la doc officielle. Je vous donne des pistes pour aller le plus vite possible en comprenant au mieux les grands principes. Read the rest of this entry »
Permalink
05.15.08
Posted in Debian, Ubuntu, planet-libre.org at 11:09 pm by michauko
L’histoire en quelques mots
Bon, je poste un peu après tout le monde sur le sujet. Mais c’est histoire de faire part de 2/3 remarques. A voir les news postées un peu partout, j’ai l’impression de revivre la naissance de “Blaster” sous Windows : grande ampleur alors que la correction existait et beaucoup découvrent/découvraient ça tardivement sans trop savoir quoi faire.
Bon ici, il ne s’agit que de rectifier avant qu’une faille soit exploitable. Mais c’est extrêmement préoccupant.
Et le pire, c’est que contrairement à beaucoup de failles, le problème réside dans les “clefs de cryptage” que vous utilisez (qui vous sont propres), pas dans l’outil en lui-même. Donc appliquer les patchs constitue seulement 1% de la solution. (dans le cas où vos clefs ont été générées, disons, entre hier et y’a 2 ans… c’est large)
Point de départ de l’information
Si vous découvrez seulement maintenant le sujet et que vous gérez des Debian ou Ubuntu ou dérivés, c’est grave, lisez vite les “security advisory” de openssl et de openssh publié le lendemain. Ce sont les seules sources fiables, comme point de départ.
Si ça vous gonfle car c’est en anglais, parce-que personne n’en voudrait à votre pseudo-serveur etc, alors arrêtez tout de suite de “gérer” un serveur…
Le wiki de Debian résume bien tous les services qui peuvent être impactés et donnent les opérations à faire. A commencer par OpenSSH (tout le monde l’a celui-là)
Donc, pour cette fois, et pour les suivantes, faites ceci :
Pour bien réagir la prochaine fois :
Inscrivez-vous sur la mailing-list de securité Debian
Inscrivez-vous soit par l’interface web, soit en envoyant un mail à debian-security-announce-REQUEST@lists.debian.org avec sujet subscribe et en confirmant une fois le 1er de retour reçu).
Optez pour celle appelée “debian-security-announce”, pas nécessairement “debian-security” qui est plutôt une chat-room non modérée 
=> Ainsi, vous serez au courant au bon moment avec les bonnes infos, plutôt que des “on dit” incomplets sur des forums.
Si vous n’êtes pas en Debian, ça vaut quand même. Il doit y avoir l’équivalent sur Ubuntu et autres dérivés.
Lisez les alertes à tête reposée et faites ce qui est demandé
Par exemple, dans celle d’OpenSSL dit notamment une toute petite phrase : “We recommend that you upgrade your openssl package and subsequently regenerate any cryptographic material, as outlined above.”
=> Cette toute petite phrase veut simplement dire qu’il faut regénérer TOUT ce qui a trait à la crypto. Donc tous vos certificats pour vos protocoles sécurisés, notamment SSH, HTTPS, POP3S, IMAPS, SSMTP etc. Sans parler des known_hosts et authorized_keys. En gros, si vous gérez un paquet de serveurs, ça va juste vous pourrir un bon paquet d’heures. Mais c’est obligatoire.
Le mot de la fin
Voilou, c’était histoire de clarifier la situation vu ce qu’on peut lire comme info incomplète sur cette faille. Le classique "apt-get update ; apt-get upgrade" du matin ne suffit pas !
J’ai eu envie de faire cet article quand je pense aux hébergeurs qui proposent des serveurs à pas cher, avec environ 97% d’admin archi-débutant-pas-sérieux. Je me ferais du souci à leur place. Surtout si un exploit est révélé !
Faites que le mien ne bloque pas le trafic SSH en cas d’exploit révélé (si si, mon hébergeur l’a proposé, arg !)…. ce serait un bordel sans nom.
Permalink
05.05.08
Posted in Windows, planet-libre.org at 4:32 pm by michauko
J’utilise TortoiseCVS pour accéder à un dépôt un peu sensible. Afin de le protéger sur mon ordi portable (en cas de vol), j’ai préféré le stocker sur une clef USB utilisant un container Truecrypt utilisant un bon cryptage et mot de passe long comme le bras.
Manque de bol, TortoiseCVS ne voulait pas me faire de checkout sur une clef USB ou sur un “container Truecrypt”, vu aussi comme une clef USB, un “périphérique amovible”.
Pour régler ce problème, il faut penser à décocher la case “Mount volumes as removable media” dans les options de Truecrypt. C’est tout con, mais j’ai perdu une heure…
La contrepartie est expliquée dans les FAQ de Truecrypt. Rien de violent à vrai dire :
Q: What will change when I enable the option ‘Mount volumes as removable media’?
A: You can enable this option, for example, to prevent Windows from automatically creating the ‘Recycled’ and/or the ‘System Volume Information’ folders on TrueCrypt volumes (in Windows, these folders are used by the Recycle Bin and System Restore facilities). However, there are some disadvantages. For example, when you enable this option, the ‘Computer’ (or ‘My Computer’) list will not show free space on the volume (note that this is a Windows limitation, not a bug in TrueCrypt).
Ce qui est pénible, c’est que c’est probablement une nouvelle version de TortoiseCVS qui m’a apporté ce problème (je ne trouve pas que ce soit une “feature” que de rejeter les clefs USB comme ça sans rien dire, c’est plutôt un bug…). Je vais éplucher un peu les releases notes et forums à ce sujet.
Permalink
04.03.08
Posted in Windows, planet-libre.org at 3:45 pm by michauko
Si vous avez besoin de donner un accès OpenVPN sur des PC Windows à des personnes n’étant pas admin de leur poste (ce qui est largement raisonnable), il y a 2/3 pièges. Je vous fais part de mes recherches sur le sujet. Au final, c’est possible. Ouf !
Les pièges sont :
- pouvoir accéder à l’interface virtuelle en tant que non-admin
- pouvoir ajouter des routes en tant que non-admin
- pouvoir utiliser proprement le OpenVPN GUI en tant que non-admin.
Accéder à l’interface réseau virtuelle
OpenVPN 2.0 ne permet pas d’exploiter la carte virtuelle si vous n’êtes pas admin, d’après ce que j’en comprends vu la remarque sur la version 2.1 sur le site :
TAP-Win32 adapter can now be opened from non-administrator mode
En fait sur ce sujet, avec OpenVPN 2.0, je ne sais plus si j’avais simplement un problème pour accéder à l’interface virtuelle ou pour créer des “routes” ou les 2. J’ai opté pour la 2.1 RC7 (et tant pis si ce n’est pas la finale).
Pour résoudre à coup sûr ce problème, utilisez la version 2.1.
Ajouter des “routes”
Une fois que l’utilisateur sans droit est capable de lancer l’openvpn, vous vous chopez des erreurs sur vos routes ajoutées dans la conf de votre VPN histoire que tout ce petit monde communique avec le reste de votre infra. En effet, sous Windows, le “add route” est réservé à l’admin… ou plus simplement aux personnes du groupe “Opérateurs de configuration réseau”.
Donc ajoutez vos utilisateurs sans droits là-dedans. Ils ne seront pas admin complet mais pourront déjà abîmer leur configuration réseau…
Impossible d’écrire des logs par le GUI
Si vous avez cette erreur, pensez à donner les droits d’écriture sur tout le répertoire C:\Program Files\OpenVPN\log, pour tout le monde, ou, moins bourrin, pour votre utilisateur.
Notez : le GUI OpenVPN est intégré à OpenVPN 2.1 maintenant. Ce n’est pas le cas avec le package 2.0
Cette fois, c’est bon, votre utilisateur presque-sans-droit peut faire du VPN et massacrer involontairement votre LAN depuis chez lui… :/
Permalink
« Previous entries · Next entries »
