Avant de migrer, il y a 2 questions à se poser (à mon avis) :
- quel intérêt ? nouvelles fonctions ? plus beau ? aimer le changement ?
- y’a-t-il toutes les fonctions / mes plugins ?

Pour la première question, entre le fait que Mozilla sorte ces dernières semaines une version plus vite que certains ne changent de slip et que la version 6 se viande trop souvent quoi que j’y fasse (réinstall, vider tout ce que tu peux, en version portable ou pas, sur différents OS, en supprimant des plugins…) et que la réputation de Chrome, pour la rapidité, semble faite, c’était l’occasion de tester. Restait donc à trouver les plugins « manquants » au logiciel de base, à coup sûr le genre FireGestures, TabMix Plus etc…

Je propose d’ailleurs à Mozilla de sauter tout de suite à la version « 15 pro ». « firefox 15 pro », ça serait tout de suite mieux que tous les autres logiciels, puisque le numéro est plus gros. Et c’est pro.

Bon allez, on abrège :

Premiers pas

Reprise de données

Mes données firefox sont synchronisées par le logiciel Firefox lui-même et j’utilise principalement (je vais pas m’étendre là-dessus) un firefox – 5, donc – portable (et crypté).
Première mission : reprendre tout ça. Chrome reprend tout (mots de passe, historique etc) d’une version *installée* et *sans mot de passe principal*. J’ai donc dû installer un firefox « normalement », écraser le contenu du profil vierge (sous Windows, dans C:\Docs&Settings\moi\Mozilla....\profile....\) en faisant en plus sauter le mot de passe principal.
La reprise fonctionne alors très bien.
Penser à effacer cette copie de profile devenue inutile.

Proxy

Au boulot, il y a le proxy officiel, et mon proxy au bout d’un tunnel SSH. Dans les options de configuration, on s’aperçoit que Chrome ne propose que le proxy paramétré dans le système (IE) ! Sans blague ???? quel choix débile : si c’est sensé faciliter le fonctionnement pour un boulet lambda qui installe Chrome entreprise, bah il faut blâmer les administrateurs de ne pas l’autoriser avec packaging à la clef. Sinon, il faut les blâmer de laisser faire. Et dernier choix, le particulier qui utilise un proxy ??? ça devient rare, ou alors il est au courant. Il reprendra sa conf.
Bref, devant ce merveilleux choix, Google m’expliqua que je devais mettre –proxy-server=mon.proxy:mon_port dans la ligne de commande. Pratique et hautement configurable. Enfin bon, ça me suffit et je suis sûr qu’il y a un plugin pour améliorer ça

Divers, impression, synchro multi-poste

Bon ensuite c’est parti ça marche, je note rapidement 2 choses : on peut « épingler » les sites, comme dans les firefox récents et il y a une fonction pour imprimer sur une imprimante d’un autre PC avec Chrome. Il faudra que j’essaye ça : sortir un papier trouvé chez soi pour le boulot et réciproquement. Pourquoi pas.
Les onglets épinglés reviennent lorsqu’on relance. Pas les autres. On peut faire ctrl-shift-T pour rappeler tous les onglets fermés, mais il va falloir vite trouver TabMix+ ou équivalent. Il faut dire que j’avais un peu ignoré l’option qui justement restaure les onglets après fermeture. Ca fait déjà une bonne partie de ce dont j’ai besoin dans TMP.
Ayant un compte Google et utilisant un bon panel de leurs applications, la synchro de mes paramètres (mdp etc) est tombée sous le sens. Ca marche bien et chose terrible : en installant un chrome « normal » (pas portable) sur un autre PC à moi, la synchro aura même redescendu les plugins ! Pas mal.

Bon bah voilà, reste à affiner avec des plug-ins.
Ah, et les raccourcis clavier sont les mêmes, globalement.

Equivalence des plugins

FireGestures => Mouse Stroke

Pareil, voire mieux (paramétrable par application ?)
Les raccourcis de base sont les mêmes

Adblock+ => inchangé

Ne pas confondre avec la palanquée d’autres outils qui ont presque la même icone.

Fox To Phone => Chrome To Phone

Pareil. Je crois que le plugin vient de Chrome au départ, de toute manière.

Auto-Translate

Pareil en mieux.

Google + + (plus plus) => Publish Sync

Google++ génial sur le papier (publications FB/G+/Twitter depuis l’un des 3, vers les 3) n’a jamais fonctionné pour moi. L’extension Publish Sync, uniquement pour Chrome, était donc une belle occasion. Ben ça marche, nickel.

NZBdStatus => SABConnect++

Ca marche et c’est même mieux que le NZBdStatus que j’utilisais sur Firefox.

ReadItLater => une page web

Avec Chrome, ça propose une page web. Finalement c’est mieux que le bouton que j’avais sur Firefox.

TabMix + => FreshStart / Session Manager ?

Gros sujets bloquant plein de personnes (dont moi).
Je n’utilise que :
- la réouverture de la session, même en cas de crash
- la sauvegarde de quelques ensembles d’onglets pour faciliter l’accès simultané à un paquet donné de sites.
- la protection contre la fermeture / le changement d’url d’un onglet.
Le premier point est disponible de base, sauf en cas de crash. Ca semble apporté par « FreshStart », mais je n’ai pas encore réussi à planter le navigateur. On verra, donc. A ce propos, chaque onglet semble donner naissance à un processus système différent, ça limite peut-être la casse en cas de plantage d’un site.
Le deuxième point vient avec FreshStart – j’avais trouvé Session Manager au départ. Ca ne faisait que ça. A voir si tout ça remonte via la synchro Google sur un autre PC….
Troisième et dernier point : rien trouvé. Je m’en passerai. Quand on ferme un onglet par erreur, on peut facilement le rouvrir.

Je ne dis rien sur les options de navigation : ouverture et placement des onglets car il y a longtemps que j’ai arrêté de bidouiller tout ça. Je m’adapte au logiciel. Avec chrome, ça ouvre un onglet juste à droite de l’onglet courant. Bon, soit.

Easy Youtube Video Downloader => FastestTube

Ca marche, point. Intégration pareil : une liste déroulante sous la vidéo.
Je n’ai pas regardé d’outils multi-site (dailymotion & co)

FireBug => ?

Rien vu vite fait, à part que le bouton droit sur un élément puis « Inspect » sort déjà pas mal de choses. Au pire, vu les rares fois où j’ai besoin de FireBug, je lancerai mon bon vieux « Firefox 27.2 pro limited edition »

Nouveau : Chromium Wheel Smooth Scoller

Tombé dessus par hasard, c’est vrai que le scroll à la souris est bien plus fluide. J’adopte.

Nouveau : Abonnement RSS

Nouveau : FastestChrome

Sensé accélérer le chargement, précharger des pages, faire la cuisine etc. On me l’a recommandé, j’ai installé mais je verrai plus tard

Voilà pour ce tour d’horizon rapide. Yapuka ne pas être déçu maintenant.

Quelques pistes sans succès

Pour ce qui est de faire un .bat contenant des « service stop/start MonService », il faut être admin.
Pour l’option qui consiste à cocher la case « toujours lancer en admin » ? non, pas sur les .bat…
Alors je le le compile en .exe avec n’importe quel « bat2exe » ? bah non, le .exe n’est pas signé par une autorité de certif. reconnue => blablablabla UAC encore
Ok, je génère mes propres « root certif », signe, compile, danse nu un soir de pleine lune et tout ça ??? non là c’est trop (pas la danse, la génération/ajout de mes propres clefs de certifs). Je dégomme pas les mouches au bazooka.
Bon, retour à l’option .bat. Les gens parlent de créer une tâche planifiée contenant l’appel à ce .bat, avec l’option admin puis faire un raccourci vers la tâche. Ca marche, pas de confirmation via l’UAC. Sauf que les tâches sont liées à l’utilisateur. Donc mon utilisateur sans droit ne la voit pas… La planifier en son nom ou l’inverse (dans son compte, planifier avec le compte et mot de passe de l’admin), pas mieux.
J’ai aussi tenté l’utilisation d’un outil tiers, appelé « elevate », pour lancer une commande avec des droits supérieurs. Oui, mais non, pour le non-admin, ça change rien, il faut obtenir ce droit, donc se signer.
Bref, c’est lourd.

The solution : SubInACL

Chez Microsoft, il y a un bout de Resource Kit, la commande SubInACL.exe. Elle permet de manipuler les permissions de n’importe quel objet : fichiers, imprimantes, services etc. Youpiiii.
La syntaxe est bien moisie, mais ça marche.
Il faut :

• Lancer une fenêtre DOS « en tant qu’administrateur »
• Taper la commande suivante (dans mon cas, lire la doc pour le reste) :
  C:\Program Files\Windows Resource Kits\Tools>subinacl /service "PS3 Media Server" /GRANT=MAMACHINE\monutilisateursansdroit=TO
  la liste des codes est ici : http://www.eventlogblog.com/blog/2007/11/setting-service-permissions-wi.html
• Réaliser que je ne sais quel droit générique de l’admin tombe du coup. Je me suis retrouvé avec tout le monde capable de relancer ce service SAUF l’admin ‘suffit d’appliquer la commande à lui-même

Et voilà

Autre piste : SETACL

Lorsque j’ai essayé avec setacl, ça ne fonctionnait pas. Je n’avais pas compris qu’il fallait lancer la fenêtre DOS en admin, à ce moment là, comme je l’ai fait pour SubInACL. Je pense que le problème venait de là. La syntaxe donnait un truc comme ça :
setacl -on "PS3 Media Server" -ot srv -ace "n:monutilisateursansdroit;p:start_stop,read" -actn ace

Voilà. Evidemment, un petit sudo, ce serait quand même plus simple. Mais avec un OS qui ne sait rien faire de base en ligne de commande… Ah quoi que, peut-être avec du powershell etc… Il aurait bien fallu une 20aine de ligne de baratin pour y arriver à mon avis.
Amusez-vous bien.
Ah oui, à la fin, un .bat tout bête faisant un net stop/start « PS3 Media Server » passe donc tout seul.

Ca doit marcher sous Vista aussi, voire Windows Server 2008.

Préparez le serveur

Le paquet qui va bien

Sur le serveur, installez le paquet « ntp ». Faisant office de serveur, il se met à jour (donc il fait office de client, si je ne dis pas connerie). Pas la peine donc d’installer « ntpdate » qui est un autre client possible.
Les options du serveur sont dans /etc/default/ntp.conf, j’en parle un peu plus bas. Lisez le man.
Les paramètres de /etc/ntp.conf sont :

serv:~# egrep -v "^#|^$" /etc/ntp.conf
driftfile /var/lib/ntp/ntp.drift
statistics loopstats peerstats clockstats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable
server 0.debian.pool.ntp.org iburst dynamic
server 1.debian.pool.ntp.org iburst dynamic
server 2.debian.pool.ntp.org iburst dynamic
server 3.debian.pool.ntp.org iburst dynamic
restrict -4 default kod notrap nomodify nopeer noquery
restrict -6 default kod notrap nomodify nopeer noquery
restrict 127.0.0.1
restrict ::1
restrict 10.0.0.0 mask 255.0.0.0 nomodify notrap

J’ai juste ajouté la plage 10.0.0.0 (c’est un exemple) pour autoriser mon LAN à joindre ce serveur.

Firewalling ?

Il faudra ouvrir en sortie le port « ntp » (123), en UDP, depuis le serveur vers les serveurs amonts. Si c’est la liste par défaut de /etc/ntp.conf, à savoir les « *.pool.ntp.org », c’est une longue liste, amenée à évoluer dans le temps je suppose. A vous de voir comment faire. Le plus simple : ouvrir UDP/123 vers le web, point.
Pour que les clients joignent votre serveur, c’est pareil, il faudra ouvrir le LAN vers votre passerelle, port UDP/123.

Testez

Je recommande d’ajouter -l /var/log/ntp.log dans les options du fichier /etc/default/ntp, soit :

NTPD_OPTS='-g -l /var/log/ntp.log'

Puis de redémarrer le service via :

/etc/init.d/ntpd restart

Vous verrez dans /var/log/ntp.log si votre serveur se met à jour, de combien de temps etc. Pensez à enlever ce log ou sinon à mettre en place une rotation de logs qui va avec.
Ca ressemble à ça :

13 Nov 11:19:30 ntpd[18381]: synchronized to 91.121.121.160, stratum 2
13 Nov 11:19:30 ntpd[18381]: time reset -0.169417 s
13 Nov 11:19:30 ntpd[18381]: kernel time sync status change 0001
13 Nov 11:23:57 ntpd[18381]: synchronized to 91.121.121.160, stratum 2
13 Nov 11:31:29 ntpd[18381]: synchronized to 91.121.86.143, stratum 2
13 Nov 11:35:30 ntpd[18381]: time reset +0.189846 s
13 Nov 11:35:50 ntpd[18381]: synchronized to 91.121.121.160, stratum 2
13 Nov 11:40:06 ntpd[18381]: synchronized to 81.19.16.225, stratum 2
13 Nov 11:42:57 ntpd[18381]: synchronized to 91.121.121.160, stratum 2

On est maintenant prêt à dire à notre LAN d’aller taper sur ce serveur pour régler l’heure.

Les postes Windows

Le service W32Time (« Horloge Windows ») est en automatique par défaut depuis Windows XP. Il s’appuie sur le paramètre qu’on trouvera dans la clef de registre HKLM/SOFTWARE/Policies/Microsoft/W32Time/Parameters. La clef est « NtpServer ».
Il faut donc mettre à jour cette clef, d’une manière ou d’une autre.

…via des GPO

Si vous êtes en domaine Windows, le réglage est ici :

En gros, vous indiquez le nom de votre serveur.
Vous pouvez forcer la mise à jour des GPO sur un poste, pour tester, via gpupdate /force.

En pas GPO (domaine Samba-sans-GPO, Workgroup etc)

Il faut modifier la clef mentionnée plus haut, d’une manière ou d’une autre ; et probablement relancer le service « Horloge Windows ».

Sous Windows, comment tester

Le service Windows ne raconte rien et les « event logs » systèmes, c’est chiant.
Je suggère sur le serveur, un joli tcpdump qui vous montrera qui fait quoi :

serv:~# tcpdump -i eth0 dst port ntp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
15:14:49.071538 IP pc315.maboite.fr.ntp > imag.imag.fr.ntp: NTPv3, symmetric active, length 48
15:14:49.172627 IP imag.imag.fr.ntp > pc315.maboite.fr.ntp: NTPv3, symmetric active, length 48
15:15:29.305824 IP pc666.maboite.fr.ntp > serv.maboite.fr.ntp: NTPv3, symmetric active, length 48
15:15:29.306158 IP serv.maboite.fr.ntp > pc666.maboite.fr.ntp: NTPv3, symmetric active, length 48

Là, on voit un « pc315″ qui continue de demander à l’extérieur (le firewall l’autorise pour l’instant) et un pc666 qui a prit le pli.

Les postes Linux

Installez le paquet « ntpdate » et planifiez ntpdate-debian en crontab. Le manuel explique : ntpdate-debian utilise le fichier /etc/default/ntpdate pour la configuration (liste des serveurs de temps etc). Il contient, sans les commentaires :

NTPDATE_USE_NTP_CONF=yes
NTPSERVERS="0.debian.pool.ntp.org 1.debian.pool.ntp.org 2.debian.pool.ntp.org 3.debian.pool.ntp.org"
NTPOPTIONS=""

Mais, dans ce cas, à cause du « yes », il utilise la conf de l’éventuel /etc/ntp.conf installé via le serveur NTP (paquet ntp). Comme on ne l’a pas mis sur les clients (ça sert à rien de faire tourner un serveur NTP), il faut donc soit passer NTPDATE_USE_NTP_CONF à « no », soit ne pas planifier ntpdate-debian, mais ntpdate avec une tartine de paramètres.
Si vous mettez « no », il faudra indiquer dans NTPSERVERS au moins / uniquement votre serveur du LAN. J’ai constaté qu’avec le nom de machine, ça ne passait pas. Mais avec l’IP, c’est OK. A creuser.

Pigé ? moi-même, je me perds régulièrement là-dedans.

Hop,
Dans une infra avec un proxy central et des sites distants reliés par des connexions assez lentes (et pas d’accès web direct), j’ai décidé de mettre en place des proxies « fils » sur les sites distants, pour soulager l’inter-site.
Manque de bol, à distance, uniquement des serveurs Windows sous la main…
Bon, squid existe sous Windows. Et « calamaris » n’est que du PERL. Ca doit pouvoir le faire.
Je fais cet article comme aide-mémoire, comme souvent, et surtout parce-que quand il faut automatiser des choses sous Windows, on voit vite que c’est vraiment la merde… Alors pour ne pas chercher 107 ans la prochaine fois, voici les quelques commandes à enchainer.

Et puis je n’avais pas envie/possibilité d’installer un superbe proxy-by-Microsoft, genre ISA ou je ne sais plus comment il s’appelle. Pas la peine non plus de chercher les ennuis quand on a un squid qui marche très bien

Je parle sur mon blog à différents moments de Squid, ou de proxy. Ca me fait penser que je n’ai rien écrit sur la mise en place d’un squid tout bête. On va considérer que c’est acquis. Sinon, avec le présent article et les autres, vous devriez avoir une certaine aide.

Installation et configuration des squid Windows

Je passe sur le aptitude install téléchargement à la main du gros zip contenant squid pour Windows, qu’on trouve à partir du site officiel (faut chercher un peu. Bon OK, c’est là). J’ai pris la même version que pour Debian Lenny, histoire d’interconnecter des squid de même génération… sait-on jamais. C’est donc la 2.7-STABLE7 (en fait ça doit être 2.7-STABLE5 en Debian, il me semble).
Ensuite, j’ai dézippé comme un cochon dans c:\squid\ et adapté la conf. Ce que je décris ci-dessous.

Configuration minimale

Il faut copier les fichiers c:\squid\etc\*conf.default en c:\squid\etc\*conf et adapter les contenus, notamment dans squid.conf :

• Adapter « acl localnet src » pour votre sous-réseau
• Déclarer le cache à utiliser : cache_dir ufs d:/squid/var/cache 4000 16 256
• Taille limite des objets mis en cache, à voir suivant votre cas : maximum_object_size 81920 KB
• Différents répertoires pour les fichiers de logs : cache_log d:/squid/var/logs/cache.log
• cache_store_log d:/squid/var/logs/store.log
• netdb_filename d:/squid/var/logs/netdb.state

J’ai voulu séparer les logs sur un disque à part. A noter les « / » (et non pas des « \ »).

Service, initialisation du cache

Ensuite, il faut installer le service et créer le cache (j’ai laissé le format de cache par défaut, une arborescence de répertoires avec des fichiers aux noms codés) :

cd c:\squid\sbin
squid -k
squid -i
net start Squid

A noter que le nom du service n’est pas spécifié, ce sera donc par défaut « Squid », c’est important pour la rotation de logs.
Le « net start Squid » ne devrait être fait qu’après configuration du lien avec le proxy « père » central, ce qu’on n’a pas encore fait. Mais bon, je le montre maintenant pour illustrer.

En images, ça donne :

Installation de Squid sous Windows

Déclaration du squid « père »

Dans la conf, il faut simplement caser un :

cache_peer proxycentral.maboite.fr parent 3128 3130 name=pxycentral
acl ftp proto FTP
always_direct allow ftp

J’explique : on déclare que ce proxy a un père (parent), sur le port 3128, machine « proxycentral.maboite.fr ». On attaquera l’interrogation du contenu de son cache via le protocole ICP (UDP/3130) et on le surnomme « pxycentral » dans les logs access.log histoire d’y voir clair.
Evidemment, le proxy central doit être ouvert sur le port TCP/3128 et UDP/3130 depuis les proxies « fils ».

Rotation de logs

Pour la rotation de logs, c’est en général un grand moment de bonheur pur sous Windows lorsqu’on amène un outil « du monde libre, tout ça » dans Windows. Heureusement ce coup-ci, Squid embarque ce qu’il faut :

c:
cd \squid\sbin
squid -k rotate -n Squid

Reste à mettre ça en « tâche planifiée » Windows.

Maintenant que ça tourne (testez), reste à synthétiser les logs, comme on le ferait naturellement sous Linux.

calamaris sous Windows, youpiiiii

Dans mon cas, ramener les logs sur un Linux qui aurait fait tourné calamaris était compliqué à mettre en oeuvre. Dans votre cas aussi, je suppose, car la rotation des logs fait que les fichiers sont renommés. Donc même avec un rsync (ou truc du genre), vous allez vous resynchroniser des Mo de logs (compressés éventuellement) à chaque fois.
Bref, j’ai opté pour un déploiement de PERL sur les serveurs distants et une « tâche planifiée » pour générer les pages statiques de statistiques des « fils » Squid.

Sous Windows, rien n’est fourni, je noterai donc ici la ligne de commande bien longue qu’on n’a pas besoin de chercher sous Linux, car les scripts « cron » sont fournis avec le paquet calamaris. Sous Debian en tout cas.

J’ai donc utilisé ActivePerl et récupéré calamaris en .tar.gz sur le site de l’éditeur. Manque de bol, j’ai retrouvé le même bug que décrit ici, donc j’ai fini par recopier le script perl /usr/bin/calamaris issu de ma Debian, patché pour corriger ledit bug.
Ensuite, plutôt que de ramer avec le fichier de conf, j’appelle calamaris en ligne de commande, via une « tâche planifiée », et ça fait le boulot. C’est pas terrible mais bon, ça marche.
Pire que tout, pour générer les stats « weekly » et « monthly », je recalcule tout en concaténant les différents « access.log.* » issus des rotations de logs, sur X jours.

En résumé, ça donne :

• Installation de ActivePERL
• Création dans C:\PERL\lib d’un répertoire calamaris avec les 3 fichiers .pm (modules PERL) pour la génération de graphiques dans les stats ; je n’ai pas trouvé comment lui spécifier d’utiliser ces modules, sans avoir à les copier dans PERL/lib. Je n’ai pas trop cherché non plus. Ca doit être avec « -I » ou quelque chose comme ça.
• Recopie du script « calamaris » issu de Debian, quelque part sur le Windows
• Mise en place de tâches planifiées appelant des « .bat » dans ce genre là :

  @echo off
  d:
  cd D:\calamaris-2.99.4.0
  type d:\squid\var\logs\access.log.0 | perl calamaris -a -F html,graph -H lookup --output-path d:\calamaris\output\daily

Notez que GD::Graph, nécessaire pour les graphiques, est installé par défaut avec ActivePERL.

Et voilà, mettez tout ça en oeuvre et ça devrait le faire.

Quelques remarques en vrac

Si tous les codes de retours de Squid ne vous parlent pas, lisez cette documentation là.

Comme je parle dans cet article d’un environnement mixte Windows & Linux, on peut parler de WSUS. Ces considérations pour Squid concernant les mises à jour Windows peuvent vous intéresser : http://wiki.squid-cache.org/SquidFaq/WindowsUpdate

Le fix est décrit ici, il faut remplacer votre libpurple.dll par celle-ci. En attendant un repackaging officiel (de Pidgin je suppose, pas d’OpenFire).

Reste l’autre méthode, qui marche :
- télécharger le xpi (le lien n’est plus à jour)
- le renommer en .zip (XPI = ZIP)
- l’ouvrir, sortir les fichiers flashplayer.xpt et NPSWF32.dll et les coller dans un sous-répertoire plug-ins du Firefox Portable, exemple dans \Firefox\App\Firefox\plugins\
- relancer Firefox Portable, tester

A vous les super sites plein de flash !

Et on se retrouve avec des documents complètement perso, issus de je ne sais quelle société (potentiellement sensible), avec limite le n° de téléphone du type et ses mensurations.
Essayez sur 2/3 docs pris au hasard, vous verrez ça peut être marrant. Parfois, c’est la toute première ligne qu’a contenu le document, qui est prise comme titre, parfois c’est le document original, dont le titre peut être fantaisiste. Mention spéciale à « rapport de merde » qu’on rend au prof.

Sous Word 2003, c’était dans « fichier -> propriétés » (de tête).
Sous Word 2007, c’est tordu voici en image. A noter même : un outil allant voir s’il y a des infos confidentielles dans tous ces champs, ainsi que dans les révisions etc.

Là on retombe sur ce qu’on connait avec Word 2003 :

Rien à voir : on met un « s » à « des copierS-collerS » ?

Il faut donc d’abord télécharger le léger paquet de 250 Mo de .NET 3.5 SP1, disponible ici chez Big Billou. Attention en plus à choisir la langue de votre OS ; à ce prix là, vous ne pensiez quand même pas qu’il y aurait toutes les langues….

Après reboot, le patch KB951847 passera enfin.
Et avec lui sûrement aussi le patch KB928416 nommé « Microsoft .NET Framework 3.0 : Module linguistique x86 (KB928416) ».

Ne me demandez pas pourquoi un patch du .NET 3.0 est bloqué par le fait que le .NET 3.5 ne soit pas installé…

Je vous décris la manip en tenant compte du bug Microsoft qui va avec (ou de la feature de sécurité, appelez ça comme vous voulez).
Le bug est le suivant : impossible d’accéder à un partage (fichier ou imprimante) en utilisant un alias (CNAME) d’une machine sur Windows serveur (au moins 2000 et 2003).

Voici comment faire.

Sur votre DNS, créez le CNAME qui pointe de mon_serveur_d_impression et rechargez-le.
Testez, ça ne marche pas : net view vraisrv1 affiche les partages et net view mon_serveur_d_impression n’affiche rien et crie au scandale avec un message complètement inapproprié :

C:\>net view mon_serveur_d_impression
L'erreur système 52 s'est produite.

Vous n'étiez pas connecté car il y avait un nom en double sur le réseau. Allez dans Système dans le Panneau de configuration et modifiez le nom de l'ordinateur et essayez à nouveau.

Appliquez donc la correction décrite ici : http://support.microsoft.com/?kbid=281308, à savoir, ajoutez une clef « DisableStrictNameChecking » à valeur 1 dans la base de registre, à l’emplacement « HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters ». A faire sur le serveur « vraisrv1″, celui pour lequel on veut créer un alias.
Redémarrez le service « Serveur » (correspondant à LanmanServer) – ça, c’est pas dit dans la doc Microsoft – ou, plus simplement redémarrez le serveur. Car le service « Serveur » est central et il y a pas mal de dépendances.

Ensuite, le net view mon_serveur_d_impression fonctionnera, ou, plus simplement, le « Démarrer -> Exécuter -> \\mon_serveur_d_impression »

Avec un nom comme « DisableStrictNameChecking », on pourrait presque croire que c’est un paramètre de sécurité…. ils sont forts au marketting Windows. Je vois d’ici le transparent Powerpoint lors d’une grand-messe : « nous avons permis un paramètre laxiste pour permettre de ne plus contrôler le nom réel du serveur ». Traduction : « on a corrigé un bug bien moisi qu’on trouvé des admins sachant gérer un DNS et ayant compris à quoi ça sert ».

Même si IE fonctionnait ensuite, la page par défaut n’était pas automatique et bref, ça faisait pas propre.
La solution dans regedit, créer 2 clefs en DWORD dans le menu « HKCU\Software\Microsoft\Internet Explorer\Main » :

• RunOnceHasShown => DWORD => 1
• RunOnceComplete => DWORD => 1

Pas sûr de l’utilité du 2è. Pas compliqué de tester non plus.

A noter, pour IE 8, ça semble différent, je vois sur mon PC, 4 clefs :

• IE8RunOnceLastShown, DWORD à 1
• IE8RunOnceLastShown_TIMESTAMP, un timestmap en hexa, à mon avis peu importe la valeur, sinon recopier d’un PC qui marche
• IE8TourShown, DWORD à 1
• IE8TourShownTime, un timestamp en hexa

(et bravo Microsoft pour l’uniformisation des noms)

C’est aussi l’endroit où on trouve tout un tas de paramètres sympa pour IE.

Contexte

• Sur un Windows Server 2003 64 bits – ça doit être pareil sur un XP 64
• ODBC Oracle (version je sais pas quoi ; il semblerait que des versions plus récentes corrigent le bug ; pas sûr et pas facile dans mon cas de faire l’upgrade du client Oracle)
• Office 2007 pour faire du « reporting façon tableau croisé dynamique depuis Excel en tapant directement dans la base ». Oui c’est une méthode assez discutable, mais pratique pour l’utilisateur lambda, habitué d’Excel,

Le bug qui tue

Si Office (ou n’importe quelle application) est installée dans C:\Program Files (x86) qui est le répertoire par défaut pour les applications 32 bits sur un OS Windows 64 bits, l’appel du client Oracle via ODBC échoue à cause du fait que : le-programme-appelant-est-installé-dans-un-répertoire-contenant-une-parenthèse ™. C’est pas beau ça ?

Le symptome est que toute la connectivité fonctionne (NET assistant, SQLPlus), mais qu’Office (Excel) ou une autre application installée dans c:\blabla(x86) génère une erreur ORA-06413
Ne pas confondre avec l’erreur ORA-12154 qui elle indique plutôt que votre tnsnames.ora est foireux.

C’est vaguement expliqué dans un forum Oracle parlant de TOAD.
A noter que dans le sqlnet.log, vous verrez vaguement un message indiquant que C:\Program Files (x86)\bla\excel.exe a généré une erreur ORA-06413, mais c’est tout.

Contournement

Version facile pour tester

Lancez excel depuis une fenêtre DOS (ou modifiez son chemin de lancement), depuis le répertoire C:\PROGRA~2\Office\Office12\EXCEL.EXE
Le fait d’utiliser le « nom court » PROGRA~2 (PROGRA~1 est le c:\Program Files « normal », pas le x86) suffit à faire fonctionner la chose. C’est pas énorme ça ????

Version moyenne

Installer Office dans C:\bugdemerde\Office

Version durable

Upgradez le client Oracle.
Je n’ai aucune idée de la version éradiquant le bug, si tant est qu’elle existe. Je suis preneur d’infos

A+

Présentation du contexte

Le but de cet article de montrer à des noob’ de l’Active Directory (comme moi) comment connecter un outil sous Linux à un AD, sans trop connaître la structure d’un AD. Ca peut s’avérer pratique dans bien des cas d’outils très performants sous Linux mais pour lesquels on a besoin de « la base des utilisateurs Windows pour éviter la double déclaration des comptes et les mots de passes différents pour chaque appli ». Vous voyez le principe ?
L’autre but est de montrer un outil qui permet de s’y retrouver facilement dans un AD.

J’ai choisi OpenFire car mes dernières expériences avec ejabberd ne m’ont pas convaincues. OpenFire (anciennement WildFire) est super propre d’interface et est distribué par une entreprise, « Jive Software »
Connectable sans peine à des LDAP, dont AD (et OpenLDAP, Novell etc), c’est un bon cas d’école.
Pour les psychos, ça reste une application publiée sous licence GPL tout de même.

Sur le site de l’éditeur, ils proposent le serveur OpenFire packagé pour Redhat, Debian, Windows, Mac etc.
Je passe sur l’installation, (sous Debian dpkg -i openfire*deb)
Ensuite tout se passe par le web, à l’adresse http://votre.serveur:9090/

La conf AD, LE outil merveilleux pour ne pas s’y perdre

Quelques remarques :

• Les étapes de configuration sont relativement simples, je zoome uniquement sur la partie AD
• J’ai opté pour une base de données embarquées, « volatile »
• A noter d’ailleurs que pour sauvegarder la conf de votre serveur OpenFire, vous n’aurez besoin – si je ne dis pas d’ânerie – que de /etc/openfire/ et de /var/lib/openfire/embedded-db/openfire.script qui est le script de création de base à la volée (au lancement du service). Attention, il contient des mots de passe sensibles en clair, comme l’admin AD…. de base, le package Debian est propre et prive les accès à openfire:openfire, chmod à base de 770/660

Bon, une fois l’installation un peu déroulée, arrivent les premières étapes de configuration de l’AD. Et là, je ne saurais trop vous recommander l’excellent outil de l’excellent sysinternals.com Microsoft nommé « Active Directory explorer« , qui, pour chaque noeud que vous visitez dans l’AD, vous donne sa syntaxe complète et pour chaque élement, les noms des attributs, pas leur libellé. Du bonheur en barre. Exemple, je localise mes utilisateurs :

J’injecte ça dans la conf OpenFire :

Ensuite, sur l’écran suivant qui consiste à indiquer quel sous-ensemble des utilisateurs pourra s’authentifier, j’utilise encore l’ »AD Explorer », je repère quel champ caractérise mes utilisateurs réels des comptes systèmes et autres comptes qui ne sont pas des gens de la vraie vie :

L’idée était ensuite dans mon cas de restreindre l’accès au service à un certain groupe d’utilisateurs, à savoir les « Correspondants Informatiques », j’ai modifié la valeur standard de filtre utilisateur pour refléter mes choix :

Pour celà, vous repérerez que le champ « memberOf » indique tous les groupes d’appartenance des utilisateurs, bref, vous modifiez le filtre pour y ajouter un (memberOf=CN=blabla,blabla,DC=blabla,DC=com).
Ainsi, seuls les utilisateurs de ce groupe seront pris en compte lors de l’authentification par AD.
Enfin, le bas du tableau permet de « mapper » les champs de l’utilisateur aux infos personnelles visibles via Jabber. Faites votre marché, utilisez le bouton « test » en bas pour voir si ça récupère ce qu’il faut comme il faut.

Ensuite, dans mon cas, le tri des utilisateurs en groupe était le bon par défaut :

Et, dernière étape, déclarer des comptes admin parmi les comptes AD existant. Mettez votre compte car la modif à la main est moins simple (éditer le champ admin.authorizedJIDs dans les fichiers de conf de la base embarquée)

Voilà…
Une fois connecté à la console d’admin, allez voir la liste d’utilisateurs, vous devriez trouver uniquement le sous-ensemble sélectionné, « Correspondants Informatiques » dans mon cas.

Les clients

Vous pourrez utiliser pidgin ou le client de l’éditeur d’OpenFire, Spark – ou même sa version web pour éviter de déployer la moindre application. Ou tout autre client XMPP.
Ou faites votre choix là : http://en.wikipedia.org/wiki/List_of_XMPP_client_software

L’histoire est la suivante

Vous utilisez un proxy, mais vous ne voulez pas l’utiliser pour les adresses locales (genre : vos intranets). C’est un choix raisonnable.
Bien sûr, vous voulez utiliser les noms de hosts et pas les FQDN, exemple : http://serveur/ et pas http://serveur.masociete.net/
Raisonnable là aussi

Le constat d’échec

- Sous IE, lorsque vous cochez « ne pas utiliser de proxy pour les adresses locales », ça fait ce qu’on veut (waaa, m’enfin, il y a d’autres travers avec IE)

- Sous firefox, c’est moins simple :

• Si vous indiquez « .masociete.net » dans les adresses à exclure (notez le « . »), alors les adresses du genre http://serveur.masociete.net/ sont bien traitées en direct (bypass du proxy) et les adresses courtes « peuvent » marcher :
• Ca marche si : par exemple avec Squid, vous avez ajouté le paramètre « append_domain » contenant votre « societe.net ». MAIS : vous passez par le proxy même pour ces sites locaux. C’est débile ! (mais ça marche, on est d’accord)
• Ca ne marche pas sinon, Firefox commence à chercher sur google ce que pourrait être votre nom de host… Et pas la peine de vous exciter sur la conf DNS de votre PC windows pour lui faire ajouter des suffixes DNS partout, ça ne change rien
• Si vous ne mettez aucune exclusion, ça revient au même. Les syntaxes genre  » *.masociete.net » ne sont pas reconnues (silencieusement)
• Enfin, si vous vous limitez à exclure des plages d’IP, genre 192.168.x.y/m ça ne suffit pas. Firefox se gourre (de mon point de vue) car il raisonne sur le nom et pas sur l’IP. Donc le filtre marchera bien si vous tapez « http://une.adr.esse.ip/ » mais fera comme expliqué ci-dessus avec les noms de machines

La seule solution (il me semble) industrialisable

En passant par un fichier « PAC » (voir mon article sur le sujet), alors ça marche.
Le secret ? ce mécanisme force à résoudre l’IP associée au nom avant de commencer à réfléchir, via la fonction isInNet par exemple (isPlainHostName doit pouvoir marcher aussi) ; de là, si on voit qu’on est sur telle plage d’IP, on fait sans le proxy, en DIRECT.
Exemple ultra-simple de conf :
function FindProxyForURL(url, host)
{
if (isInNet(host, "192.168.0.0", "255.255.0.0")) {
return "DIRECT";
}
else
return "PROXY mon_proxy:3128";
}
Reste à déployer ce script et modifier les conf des navigateurs. A vos GPO, scripts Samba, registrie etc.

Quelques références

https://bugzilla.mozilla.org/show_bug.cgi?id=72444
https://bugzilla.mozilla.org/show_bug.cgi?id=91587
http://support.microsoft.com/default.aspx?scid=kb;EN-US;q303650
http://support.microsoft.com/default.aspx?scid=kb;EN-US;q262981
Bonne lecture, surtout pour le premier…

Si vous avez une meilleure solution je suis preneur…
Notez que je n’ai pas testé depuis un firefox sous Linux ; mon propos étant dans une entreprise avec des postes Windows.

Résultat d’une discussion café, on vient de me faire découvrir ext2ifs, un driver pour Windows (XP, Vista, 2000 aussi je crois) pour lire/écrire du ext2/3 depuis Windows « nativement ». Comme ça, tous mes OS sauront lire mes disques, sans restriction sur la taille du fichier…
C’est bête, mais je ne connaissais pas.

Quelques remarques après une rapide analyse :

• Il faut être admin sur le PC Windows (pour installer le driver mais aussi pour jouer avec les lettres de lecteurs
• En terme de permissions, c’est du 777 pour les répertoires et 666 pour les fichiers par défaut sur tout ce qu’on crée depuis Windows
• Le propriétaire/groupe est hérité du répertoire parent
• Lorsqu’on atteint la limite de nombre de « mount » (ou durée), ça ne va pas bien, Windows ne voit plus le disque
• Ca gère mal les multi-partitions sur des disques amovibles (voir la FAQ), donc limitez-vous à de l’usage « clef USB » (ou disque externe, mais simple)

Donc, lorsque vous créerez votre partition (si vous migrez votre disque USB actuellement en NTFS/FAT32 vers du ext2/3), jouez avec tune2fs pour désactiver les contrôles obligatoires : tune2fs -c 0 -i -1 /dev/sdXy ; et limitez la taille des inodes : mkfs.ext3 -I 128 /dev/sdXy (voir la FAQ et le Troubleshooting pour ces limitations).
Pensez aussi à prendre l’outil de diagnostic Windows fourni sur la page de troubleshooting.

Voilà avec ça, vous devriez être parés.

A+

Let’s go
En relisant l’article, je vois que c’était vraiment vulgarisé pour être accessible au plus grand nombre, pardonnez donc les imprécisions techniques et le baratin simplifié – MERCI

–

J’ai écrit ce document pour 2 raisons. La première est que j’en ai marre d’expliquer sans cesse à mes amis cette méthode, la deuxième est que c’est vraiment une méthode très pratique, puissante et qui n’a que quelques limitations (et encore – voir chapitre à venir : VPN sur SSH).

1. Avez-vous besoin de SSH au boulot ?

Vous êtes 8h par jour au boulot et le proxy chargé de la sécurité de l’entreprise se charge surtout de vous bloquer quelques sites web et quelques protocoles réseaux à priori non professionnels. En gros, il vous emmerde à longueur de temps et vous aimeriez pouvoir faire les choses suivantes depuis votre boulot :

• Lire vos mails en POP, IMAP (par un client mail classique plutôt que via le web et l’interface nullissime de votre fournisseur).
• Utiliser Jabber, ICQ, MSN (ou autre protocole) depuis le boulot pour pouvoir rester en contact avec belle-maman.
• Prendre le contrôle à distance (VNC, pcAnywhere etc) de votre PC perso avec sa ligne ADSL pour faire je ne sais quoi. D’autant plus que des outils comme VNC ne gèrent tout simplement PAS les proxys.
• Suivre les résultats du football ou consulter un site d’actualités – en général le proxy bloque largement les sites foot, jeux, facebook et bien d’autres.
• et plein d’autres choses encore…

Dans ce document, je présenterai le concept ainsi que la mise en oeuvre de la solution (sous Linux ou Windows).

2. Principe général

SSH est un outil qui permet de se connecter à une machine distante en mode texte. Sous Linux, on accède à un shell, sous Windows, on pourra voir ça comme l’accès à une fenêtre DOS, à priori pas très utile, certes. Ca ressemble donc de loin à une connexion telnet, sauf que c’est laaaaargement plus sécurisé (je n’en débattrai par ici mais vous pouvez me croire sur parole) et beaucoup plus puissant.
SSH permet notamment de faire du transfert de fichiers (SFTP) et surtout, des tunnels de communication, dans les deux sens (vous comprendrez plus tard). Un tunnel va servir à encapsuler (capturer) des flux réseaux entre le SSH client (votre PC en entreprise avec accès web restreints qu’on veut contourner) et votre serveur SSH (votre PC à la maison avec ADSL branché 24/24).

Tout se résume à ça : le client SSH établit une connexion avec le serveur SSH à travers le proxy en utilisant une connexion autorisée par le proxy (méthode CONNECT vers un port autorisé). Ensuite, grâce à ça, des tunnels vous permettront de faire passer presque n’importe quoi à travers le proxy (voir chapitre 4 sur les limitations de ce système).

Le client SSH que j’utilise est putty (premier lien sur google), c’est un client libre, gratuit etc, qui permet de faire du telnet, du ssh et surtout d’utiliser les fonctionnalités de ssh, les tunnels par exemple. Il sait aussi se connecter à travers un proxy.

3. Mise en place

3.1. Côté serveur SSH

Chez vous, il faut d’abord installer un serveur SSH.

3.1.1. Installation

Sous Linux, vous trouverez forcemment un paquet correspondant à votre distribution. Exemple sous Debian, tapez « apt-get install ssh » et ça devrait le faire.

Sous Windows, c’est moins simple. Je ne connais pas d’implémentation libre directement fonctionnelle sous Windows. Et comme vous n’allez quand même pas payer la version payante de www.ssh.com, vous devrez utiliser www.cygwin.com pour installer un « environnement Linux dans votre Windows ». Cet environnement comprend ensuite la plupart des outils Linux, dont OpenSSH bien sûr. Deux options (au moins) s’offrent à vous :

• Installer cygwin de manière classique avec ce qu’il faut, notamment le paquet ssh (il vous faudra lire un peu de doc à priori).
• Utiliser le projet sshwindows qui propose un programme d’installation global comprenant un cygwin minimaliste et sshd associé. Je n’ai pas testé personnellement cette solution.

Présentation barbare de l’installation de cygwin : dans les grandes lignes, vous téléchargez le setup.exe puis vous choisissez un miroir de téléchargement, vous installez le minimum vital (par défaut je crois) et vérifiez bien que le paquet ssh est inclus. Au final, vous obtenez une sorte de raccourci façon « fenêtre DOS », sauf que vous êtes dans un environnement Linux et disposez de sa panoplie d’outils en ligne de commande et même graphique si vous cherchez bien (pour peu que vous ayez installé les paquets qu’il faut).

3.1.2. Génération des clefs

Si vous ne connaissez pas le principe d’authentification par clefs de SSH, sachez juste que vous devez générer une paire de clefs cryptées utilisées pour la communication entre le serveur et les clients. Même si dans ce document je ne vais pas détailler l’authentification par clefs, mais juste par mot de passe, cette paire de clefs est nécessaire pour l’identification du serveur et pour les premières étapes de l’établissement de la connexion (par mot de passe).
Si vous avez installé SSH sous Debian, le programme d’installation génère automatiquiment les clefs, pour les solutions, je ne sais pas. Sous cygwin par exemple, vous devrez donc générer ces clefs via la commande « ssh-keygen -t dsa ». Vous pourrez voir ces clefs dans « /etc/ssh », les fichiers sont ssh_host_dsa_key*.

3.1.3. Etape supplémentaire pour Cygwin

Un détail sous cygwin (encoooooore), il faut que vous lisiez les docs pour savoir comment lancer le serveur SSH en tant que service Windows plutôt qu’à la main le matin en partant au boulot… (cherchez des infos sur le programme cygrunsrv.exe). Pour la version « packagée » par le projet sshwindows, je ne sais pas, lisez la doc.

Sous Linux, ce sera forcemment fait automatiquement.

3.1.4. Changement du port du serveur SSH

SSH tourne sur le port 22 par défaut et vous pouvez être quasimment sûr que le proxy du boulot bloque ce port. Donc vous ne pourrez pas atteindre votre serveur depuis chez vous. Ajoutez donc dans le fichier de configuration de sshd (/etc/ssh/sshd_config) une ligne « Port 443 » après la ligne « Port 22 » ou remplacez cette dernière. Redémarrez le service. On choisit le port 443 car c’est le port https par défaut et le proxy du boulot tolèrera forcemment ce port (au pire, prenez le port 80, http). De plus, https et SSH présentent des similitudes (la couche SSL) et donc utiliser le port 443 a l’avantage d’être plus discret (voir chapitre 4.2.).
Si votre firewall le tolère, vous pouvez aussi faire un forward du port 443 vers le 22 en ne laissant que la ligne « Port 22 » dans sshd_config.

3.1.5. Votre firewall

Enfin, vous avez certainement chez vous un firewall, n’oubliez pas d’ouvrir le port 443 ou 22 (voir chapitre précédent).
Vous avez très probablement aussi une adresse IP dynamique et donc il faut que vous vous trouviez un nom de domaine (essayez www.dyndns.org, ils ont un service gratuit et vous aurez un nom du style chezmoi.dyndns.org mis à jour à chaque reconnexion de votre ADSL). Sinon, vous devrez récupérer votre adresse IP tous les matins et priez pour que l’ADSL ne tombe pas auquel cas vous risqueriez de changer d’IP.

Je suppose maintenant que votre serveur est lancé, accessible depuis l’extérieur et qu’il fonctionne correctement.

3.2. Côté client SSH

3.2.1. Récupération des paramètres proxy

Pour les utilisateurs d’Internet Explorer, allez dans Outils -> Options Internet -> Connexions -> Paramètres réseaux. Vous aurez 2 possibilités, soit l’adresse et le port sont directement écrit :

Soit votre entreprise utilise un script d’autoconfiguration :

Dans ce dernier cas, téléchargez ce script en recopiant l’adresse dans votre navigateur. Ouvrez-le, c’est un fichier texte. C’est simple à comprendre et en général, les dernières lignes vous donnent le proxy qui permet d’atteindre les sites extérieurs (Internet). La fin ressemble à quelque chose comme « PROXY host:port ».

Si vous utilisez un autre navigateur (je l’espère pour vous , vous saurez sûrement où trouver ces informations.

3.2.2. Installation de putty (client SSH)

Téléchargez putty. Il n’y a pas d’installation, pas besoin d’être admin de son poste. Vous n’avez besoin que de putty.exe sinon prenez le zip qui contient tous les binaires. Le paramétrage se fait comme suit :

Vous saisissez dans le menu « Session » l’adresse du PC chez vous (IP ou DNS), précisez le protocole SSH et modifiez le port où tourne le serveur SSH (443 à priori – voir chapitres précédents).

Dans le menu « Connection », activez l’envoi de paquets vides réguliers, toutes les 10 secondes par exemple. La connexion SSH se faisant via la méthode CONNECT (comme pour du https), le proxy risque fort de la couper régulièrement si aucun trafic n’est généré.

Dans le menu « Proxy », vous indiquez le type de proxy, à priori HTTP, son adresse, son port et l’utilisateur/mot de passe si besoin. La ligne « telnet command » représente en gros le début de la communication entre putty et le proxy pour permettre la connexion au serveur distant (le PC chez vous). Tentez la ligne suivante : « connect %host %port HTTP/1.1\nHost: %host » si la ligne par défaut ne fonctionne pas.

Enfin, dans le menu « SSH », vous précisez que vous utilisez le protocole en version 2 et activez la compression – c’est toujours ça de gagné.

Retournez dans le menu « Session », donnez un nom à votre session et faites « Save » à nouveau. Puis « Open ».

3.2.3. Le moment de vérité

Faites « Open », si tout va bien, vous obtiendrez un écran du genre :

Connectez vous et ça roule. Dans les autres cas, vérifiez bien les informations saisies et éventuellement changez le type de proxy. Parmi les 25 entreprises que j’ai pu visiter (grandes multinationales comprises), seules 2 ont refusé cette connexion, la première car le proxy était un logiciel merdico-archaïque de Microsoft qui avait déjà du mal à fonctionner normalement avec IE, la deuxième car le proxy était buggé et avait l’air de ne pas respecter le protocole « normal » entre putty et le serveur ssh (d’après les traces que j’ai analysées, le serveur SSH était atteint puis tout partait n’importe comment).

A ce niveau là, si la connexion est établie et que vous pouvez accéder à votre machine, c’est banco, vous pourrez « tuyauter » n’importe quoi via SSH

3.3. Les tunnels

3.3.1. Créer un port mapping

Dans le menu « Tunnels », créez un tunnel vers vos serveurs de messagerie (ATTENTION, lisez le chapitre 4.1.3 à propos du forward de messagerie) :

Cette fois-ci, lorsque la fenêtre putty sera ouverte et que vous serez signé sur le serveur SSH, il y aura eu création d’un port mapping du port local 10110 du poste client vers le port 110 du serveur POP de votre provider (le tout via le relai SSH . Idem pour les ports 10025/smtp:25. J’ai choisi des numéros de ports locaux (10110 et 10025) différents des vrais ports notamment pour la compréhension. Rien (ou presque) ne vous empêcherait de mapper les port 25 et 110 vers les ports 25 et 110 des serveurs POP et SMTP de monprovider.com.

Ca veut dire que si un programme de messagerie (mozilla, thunderbird, outlook express, lotus notes etc) s’adresse à votre propre machine (localhost) sur le port 10025, c’est bien le serveur SMTP de monprovider.com:25 qui répondra. Idem pour le port 10110/110, c’est le serveur POP qui répondra. A partir de là, configurez votre client mail en indiquant que les serveurs POP et SMTP de monprovider.com sont respectivement localhost (sur port 10110) et localhost (sur port 10025).
Lorsque le client mail fera une requête, c’est putty qui interceptera la communication et dira au serveur d’effectuer la requête à partir de l’autre bout du tunnel vers le serveur:port précisé. Et voilà ! (j’espère que c’est clair

Attention : vérifiez bien que votre client mail n’utilise aucun proxy pour les connexions locales ! (exemple : « outlook express » utilise la configuration de IE, veillez bien à cocher dans IE la case qui précise de ne « pas utiliser de proxy pour les connexions locales », ça devrait être fait par défaut).

Avec un beau schéma, ça donne ça :

Maintenant que vous savez faire ça, vous pouvez mapper n’importe quoi et vous coimprendrez rapidement que le port mapping n’est pas la solution pour tous les problèmes. Exemple, si vous voulez faire de l’IRC, le serveur que vous joindrez ne sera pas toujours le même suivant les réseaux que vous voulez utiliser.

3.3.2. Tunnel dynamique (pour ICQ par exemple)

La limitation des port mapping apparaît rapidement car il faut définir absolument toutes les connexions dont vous avez besoin, ce qui peut être très lourd. Imaginez que vous vouliez mapper certains sites web interdits, comme www.pleindetrucsinterdits.com. Vous n’avez qu’à créer un port mapping du style « localhost:12345 -> www.pleindetrucsinterdits.com:80 ». Ca fonctionne – pas dans tous les cas à cause des « virtual hosts » (Merci Toine) – mais il ne faut pas avoir 50 sites à mapper sinon c’est l’enfer.

Une autre limitation est que vous ne pouvez tout simplement pas de cette manière vous connecter à certains services comme ICQ par exemple : en effet, vous pourriez faire un port mapping vers le serveur d’authentification login.icq.com:5190 par exemple, mais le reste de la communication ne se fera pas car il y a ensuite tout un tas de ports dynamiques alloués qui entrent en jeu. Impossible donc.

La solution est le mapping dynamique. En gros, vous créez un port d’écoute (port 1080 dans la suite du texte) qui se charge de prendre toute trame réseau qui rentre telle quelle et de la « faire exécuter » depuis l’autre bout du tunnel. Ca ressemble à un proxy n’est-ce pas ? En effet, c’est bien un service que l’on utilise pour contacter n’importe quel site/port inaccessible depuis le réseau où l’on est. C’est pas beau ça ?
Ca veut notamment dire que dans l’application qui doit utiliser ce « proxy », vous devez préciser que le nouveau proxy est localhost:1080 et non pas le proxy de l’entreprise.

Dans putty, créez un tunnel « Dynamic » sur le port 1080 par exemple :

Ca donne ça :

Et globalement, on peut donc schématiser ça comme ça :

ATTENTION : une fois ce système mis en place, n’oubliez pas de dire à l’application concernée que le proxy pour sortir n’est plus le proxy de l’entreprise mais le « proxy » de type SOCKS 4 (si vous avez besoin de le préciser) situé sur localhost, port 1080 ! Pigé ?

(MAJ 2009)
Si vous n’arrivez pas à faire utiliser ce proxy à votre navigateur, pourquoi ne pas installer un vrai proxy sur votre serveur relai et le mapper via un tunnel normal ? (un « squid » local à votre serveur relai fera l’affaire)

3.3.3. Tunnel remote ? Ou comment exporter un serveur local (interne) vers l’extérieur

Enfin, sur l’interface de putty, vous avez peut-être remarqué une fonctionnalité inexplorée jusqu’à présent : les tunnels « remote », par opposition aux tunnels « locaux ». Ca permet non pas de mapper un port local vers un couple machine/port distant mais de faire l’inverse : mapper un couple machine/port local vers un port distant (sur la machine PC ADSL). Vous ne voyez pas à quoi ça peut servir ? Lisez la suite :

Attention : c’est mal de faire ça car ça vous permet de rendre accessible un serveur d’Intranet (par exemple) à partir de votre machine extérieure (PC ADSL) et donc potentiellement accessible à tout le monde depuis le web si vous ne faites pas attention à votre configuration réseau !

4. Compléments d’informations

4.1. Limitations

4.1.1. Bande passante

Gardez à l’esprit que vous faites tout passer par la machine chez vous, certainement plus lente en débit que l’accès web de l’entreprise notamment pour l’upload (le retour de communication de votre PC ADSL vers putty). Donc si vous mappez des sites web interdits, ne vous étonnez pas si ça raaaaame, surtout si votre client favori de peer-to-peer tourne plein pot…

4.1.2. Jouer en réseau ?

Décidemment, votre boulot vous passionne… Bon désolé, c’est pas possible. La plupart des jeux en réseaux fonctionnent en mode non connecté (UDP) et c’est pas possible de relayer de l’UDP avec cette solution. Si vous voulez quand même, cherchez des infos sur un soft qui s’appelle ZeBeDee, j’avais pas eu le temps de creuser à l’époque.

(MAJ 2009) Sinon, pensez VPN, hamachi…

4.1.3. Remarques sur la messagerie

A propos du mapping vers des serveurs de messagerie, notez que les fournisseurs bloquent en général l’accès à leur propre SMTP si l’IP émettrice n’est pas sur une plage appartenant à l’opérateur. Pour éviter le spam d’inconnus. Donc évitez de passer par le SSH d’un copain ayant son accès web chez un autre fournisseur pour atteindre votre SMTP, ça risque de ne pas fonctionner. Exemple : vous voulez utiliser le SMTP de wanadoo en passant par une passerelle SSH chez Nerim.

Dans le même ordre d’idées, il faut en général faire du POP avant de pouvoir envoyer un mail, ça s’appelle pop before smtp me semble-t-il et c’est aussi fait pour s’assurer à peu près que l’adresse IP de l’émetteur du mail n’est pas un inconnu car il s’est authentifié par un login/password pour accéder au POP.

4.2. « Légalité » de la chose

Si vous avez peur qu’un gros baraqué de l’équipe réseaux débarque dans votre bureau en disant « qui c’est l’abruti qui fait du SSH ? », n’ayez pas peur.
Premièrement, la connexion au serveur SSH ne se traduit que par une ligne dans les logs du proxy, une ligne du style « CONNECT votrenom.dyndns.org:443 », exactement comme si vous vous connectiez au site https de votre banque. C’est même mieux vu qu’il n’y aura qu’une ligne alors que pour un vrai site web en http(s), il y a aura une ligne par ressource (image, page web etc).
Deuxièmement, au niveau volumétrie de données échangées, étudions l’exemple de la lecture de vos mails : on utilise grâce au tunnel SSH un protocole dédié à la lecture de mail et l’envoi (POP/SMTP). Ca consommera laaaaaaaargement moins de bande passante que de lire les même mails par l’interface web (bourrée de pubs par exempe). De plus, comme ça ramera moins que le chargement complet de pages web, vous mettrez moins de temps à lire vos mails.
Rassuré ?
Une nuance tout de même, si un psychopathe réalise qu’il s’agit de SSH sur port 443 et non de HTTPS, il devrait se poser des questions tout de même. Je n’ai pas encore rencontré de tels psychopathes.

Enfin, rappelez vous quand même la charte informatique que vous avez signée en rentrant dans votre entreprise.

4.3. Partage de tunnels ?

Si vous souhaitez faire profiter de votre tunnel un collègue qui tient absolument à suivre aussi le match de football bloqué par le proxy, regardez les options de putty/ssh pour permettr l’accès aux ports mappés depuis autre part que votre poste local. Exemple : votre collègue entrerait l’adresse ip de votre machine et un port mappé pour accéder à un site web particulier…

4.4. Bug dans putty

Je ne sais pas si ce bug est toujours d’actualité, mais à un moment donné, il fallait absolument mettre le tunnel dynamique en dernier dans la liste des tunnels, sinon il ne fonctionnait pas.

4.5. Transfert de fichier ?

Installez filezilla, il permet de faire du SFTP. Vous n’aurez pas besoin de tunnels SSH mais je tenais à signaler cet outil, libre, gratuit etc etc.
Il vous suffit de déclarer le proxy de l’entreprise dans les préférences puis de créer une connexion de type SFTP (changez le port en 443) et le tour est joué.

Sinon, sous Windows, le produit commercial « Total Commander » permet d’utiliser votre tunnel dynamique (SOCKS 4).

4.6. Méthodes alternatives

Si SSH ne vous plait pas (pauvre fou), vous pouvez toujours vous renseigner sur les outils suivants : httport, httptunnel (linux only je crois). Ils font un peu le même genre de choses, mais en laaaaaaaargement moins bien.
Les deux encapsulent votre trafic réseau dans des trames HTTP, c’est lourd, c’est lent etc. Le seul avantage de httport est que les éditeurs vous fournissent des serveurs (htthost) publics, donc pas besoin d’avoir un serveur relai chez vous ou chez un ami, mais ils rament, sauf si vous payez Quitte à mettre en place un outil pour faire relai, optez pour SSH !
(MAJ 2009)
A noter stunnel pour faire du tunnel SSL pur (si votre admin réseau a grillé votre communication SSH sur un port SSL…
(MAJ 2009)
Quelques liens récemment donnés par Toinator et que je n’ai pas creusé. Lui oui, c’est du lourd apparement.
Un bon gros guide :
http://dag.wieers.com/howto/ssh-http-tunneling/
sslh : en PERL (fixme : retrouver l’url)
sshl : le même recodé en C pour raisons d’optimisations

5. Remerciements

• Toinator pour la relecture et quelques précisions, l’initiation à ce genre d’outils et le chapitre à venir sur le VPN over SSH, si on peut dire.
• Mandraxe

Lors de l’installation d’un SQL Express 2005 sur un Windows XP SP3 fraîchement installé, ça plante. Dans mon cas, c’est l’installation de SQL Express 2005 depuis le setup de « Business Contact Manager » qui plante.
Les logs ne racontent rien d’intéressant, seul un code 1603 et des phrases laconiques genre « setup failed » permettent de démarrer une recherche galère sur Google.

Je vous la fais courte :
1) MSXML 6 Service Pack 2 + XP Service Pack 3 = cohabitation pas possible.
2) Lors de l’installation de SQL Express 2005, la configuration de ce composant se plante et l’installation SQL avec.
3) L’installation du KB correspondant n’avance pas plus (KB95449)
=> Il faut déinstaller ce fameux MSXML 6
MAIS : depuis « ajout/suppression de prog », la désinstallation ne fonctionne pas (ahah).

Apparement, en mode sans échec, ça a l’air possible. Je n’ai pas vérifié.
Toujours est-il qu’avec ce programme chez Microsoft (msicuu2.exe), la désinstallation brutale est possible.

Vous rebooterez un bon coup, virerez les éventuels morceaux de SQL vaguement installés puis là, l’installation de SQL Express 2005 est alors possible.
C’est beau la compatibilité au sein d’un même éditeur…

Maintenant, j’ai découvert ce plug-in pour Thunderbird : « Copy Sent to current« .

Ca permet de choisir à l’envoi (ou pendant la rédaction) dans quel répertoire conserver le mail envoyé : le même que le répertoire courant ? la poubelle ? le « Sent » normal ? ou un répertoire utilisé fréquemment et accessible en une touche de raccourci ?
Sympa, indispensable.

Pour le paramétrer, pensez à 2 choses :
1. Dans les propriétés du compte IMAP, menu « copies et dossiers », il y aura un nouveau menu assez explicite
2. Dans les options du module pour les raccourcis et le nombre de répertoires récents à se « souvenir »

Et comme à chaque fois, il faut :
- un clic toutes les 5 minutes tellement ça rame
- s’apercevoir que sous Firefox c’est un peu moisi ; donc recommencer la procédure sous IE
- valider 10 étapes pour dire « oui je sais c’est sensible, c’est privé, non je ne piraterai pas, oui lâchez-moi »
- enfin voir son nouveau contrat apparaitre (ouf)
- cliquer sur le bouton pour voir les numéros de licences
- revenir le lendemain et recommencer car il y a 24 heures de délai entre l’ajout et l’affichage des infos du contrat
- se dire qu’en attendant, autant lancer le téléchargement des CD, ce sera toujours ça de pris
- et une fois qu’on approche de ce Saint Graal, on obtient à chaque fois, sans mentir, ceci :

Bon, finalement, je retenterai demain… faut pas être pressé…

Finalement j’y suis donc passé plus tôt que prévu, en version portable en ce qui concerne mon Windows au boulot.

Je parle bien d’équivalences. Donc les « foxmarks » ou « del.icio.us » pour remplacer « Google Browser Sync », c’est non.

- Adblock plus => OK en FF3
- All-In-One Gestures => KO, passez à FireGestures (complètement pareil à un raccourci près, parmis ceux que j’utilisais)
- Dictionnaire MySpell 2007 FR => KO, le dico intégré (je crois) est passé à Hunspell 1900. M’en tape un peu à vrai dire
- Download Statusbard => OK
- Compagnon ebay => OK
- Foxmarks bookmark synchronizer => OK, mais en fait, je l’ai viré, lui et « Google Browser Sync », pour opter pour le futur module officiel de Mozilla, j’ai nommé Weave (créez un compte là). Ca fait ce qu’on demande : synchro historiques, cookies, password, bookmarks etc
- hellafox (pour hellanzb) : KO à priori, mais je ne l’utilise plus en fait
- IE Tab : OK
- Tab Mix Plus : OK en passant sur la version de dév (lisez le début de la page web, c’est expliqué)
- Web Developer : OK, quoique je ne l’utilise pas vraiment.

Allez-y, excitez-vous, d’ici 1 mois, je retrouverai mes modules et hop, à moi firefox 3…
Et après on se demande pourquoi je préfère Debian à des distrib un peu trop vivaces. Heureusement, mon Ubuntu est restée en 7.10, je me méfie de la migration en 8.jesaisplusquoi. A tous les coups y’a ffox 3 dedans maintenant et pan dans ta gueule les modules, de force.

Beta-deployez bien, a+