04.03.08
Posted in Windows, planet-libre.org at 3:45 pm by michauko
Si vous avez besoin de donner un accès OpenVPN sur des PC Windows à des personnes n’étant pas admin de leur poste (ce qui est largement raisonnable), il y a 2/3 pièges. Je vous fais part de mes recherches sur le sujet. Au final, c’est possible. Ouf !
Les pièges sont :
- pouvoir accéder à l’interface virtuelle en tant que non-admin
- pouvoir ajouter des routes en tant que non-admin
- pouvoir utiliser proprement le OpenVPN GUI en tant que non-admin.
Accéder à l’interface réseau virtuelle
OpenVPN 2.0 ne permet pas d’exploiter la carte virtuelle si vous n’êtes pas admin, d’après ce que j’en comprends vu la remarque sur la version 2.1 sur le site :
TAP-Win32 adapter can now be opened from non-administrator mode
En fait sur ce sujet, avec OpenVPN 2.0, je ne sais plus si j’avais simplement un problème pour accéder à l’interface virtuelle ou pour créer des “routes” ou les 2. J’ai opté pour la 2.1 RC7 (et tant pis si ce n’est pas la finale).
Pour résoudre à coup sûr ce problème, utilisez la version 2.1.
Ajouter des “routes”
Une fois que l’utilisateur sans droit est capable de lancer l’openvpn, vous vous chopez des erreurs sur vos routes ajoutées dans la conf de votre VPN histoire que tout ce petit monde communique avec le reste de votre infra. En effet, sous Windows, le “add route” est réservé à l’admin… ou plus simplement aux personnes du groupe “Opérateurs de configuration réseau”.
Donc ajoutez vos utilisateurs sans droits là-dedans. Ils ne seront pas admin complet mais pourront déjà abîmer leur configuration réseau…
Impossible d’écrire des logs par le GUI
Si vous avez cette erreur, pensez à donner les droits d’écriture sur tout le répertoire C:\Program Files\OpenVPN\log, pour tout le monde, ou, moins bourrin, pour votre utilisateur.
Notez : le GUI OpenVPN est intégré à OpenVPN 2.1 maintenant. Ce n’est pas le cas avec le package 2.0
Cette fois, c’est bon, votre utilisateur presque-sans-droit peut faire du VPN et massacrer involontairement votre LAN depuis chez lui… :/
Permalink
03.13.08
Posted in Debian, Windows, planet-libre.org at 10:29 am by michauko
Je passe sur les raisons longuement discutées (pendant environ un an) qui nous ont poussés à installer un Exchange pour son calendrier offline (pour les hommes pressés en déplacement), sur un smartphone/outlook (port de la cravate obligatoire), son outil de CRM (cravate et grosse bagnole sont de mises), etc etc. La partie e-mail reste en Linux et la cohabitation des 2 mondes (exchange+imap linux) dans un Outlook se passera honorablement.
Il y aurait tant à dire sur les solutions de contournement qu’on n’a qu’à troller dans les commentaires si vous le souhaitez.
Avant de capituler, sachez juste que j’ai testé en long en large et en travers les solutions de synchro outlook<-> egroupware type Funambol (ex Sync4j), Funambol server et blablabli et je ne sais quoi d’autres généralement bien moisi. S’il fallait donner un bilan : Funambol, ça marche, mais ça se limite à remonter des créneaux horaires (pas des participants, pas de pièce jointe etc). Les autres solutions, ça vaut pas un cachou. Et du Zimbra etc, c’est finalement à peine moins cher qu’un Exchange, chiffres à l’appui.
Voilà, maintenant qu’on ne peut plus m’accuser d’avoir déserté sans livrer bataille, je vous livre 2/3 remarques sur le fonctionnement d’Outlook 2003 et 2007, vis-à-vis d’Exchange et d’une intégration d’un Exchange dans un environnement Linux, notamment un DNS Linux (BIND9 en l’occurrence).
Petite intro
Ces cons de clients mail fonctionnent différemment et Exchange 2007 conserve les deux modes d’accès (pour compatibilité) à certains types de données, notamment aux données disponibilités de chacun pour planifier des réunions facilement. On trouve de la doc sur le sujet, mais c’est pas simple. Et fidèle à lui-même, Microsoft n’a pas cru bon de rendre ses applications bavardes (ie, générer des logs) et à trop vouloir simplifier l’interface utilisateur (même dans un mode de configuration manuelle), certains mécanismes sont complètement occultés et quand ça merde, l’appli ne dit rien !
(Tiens j’oubliais une note positive : en Outlook 2007, l’IMAP est un peu mieux géré : on peut désigner un répertoire d’envoi sans bidouiller comme un malade…)
Imaginons donc le scénario suivant
- un serveur Exchange 2007 dans un domaine (forêt) autonome qui n’est pas le domaine SAMBA “principal” de notre réseau
(- une double maintenance d’utilisateurs dans l’Active Directory et dans l’OpenLDAP (Linux), moyennement quelques scripts, c’est tout à fait vivable.)
- des clients Outlook 2003 et 2007 avec un compte Exchange pour le calendrier et un compte IMAP pour le mail (IMAP hébergé sur Linux)
Imaginons que ça bug après une installation toute fraîche (facile hein ?)
- lorsque je planifie une réunion, je ne vois pas les infos de dispo des gens alors que je peux consulter l’agenda d’un collègue s’il m’autorise (partage)
La solution, après 12000 recherches et forums
- Pour outlook 2003 :
Disons que le serveur ait un FQDN “test.exchg.societe.com”. Le petit “exchq” dans le nom vient du nom du domaine sur lequel est installé Exchange. Donc tous les applicatifs connaissent cette machine sous ce nom complet, et pas “test.societe.com”, encore moins “test”.
Manque de bol, lorsque vous déclarez votre compte Exchange dans Outlook, vous spécifiez le serveur “test” et ce tocard vous dit qu’il a trouvé et remplace votre saisie par “test.exchg.societe.com”, alors même que votre PC (faisant tourner Outlook) ne sait pas résoudre ce nom complet.
De là, tout marche à peu près *sauf* l’accès aux “public folders” du serveur, donc aux infos de dispo des gens…
Il suffit donc de déclarer ce nom test.exchg dans la zone “societe.com” de votre DNS bind.
Et hop, tout se met à marcher.
Bien sûr, si outlook avait dit dès le départ “cannot find test.exchg.societe.com”, j’aurais gagné 2 semaines…
- Pour Outlook 2007 :
Même genre de bordel, sauf que lui, avec un nouveau procédé “autodiscover”, veut tout faire tout seul. Même souci : quand il ne trouve pas le serveur comme il le souhaite, il ne dit rien, mais ça marche mal.
Avec une trace tcpdump sur le DNS (genre : tcpdump -i ethxxx port 53 src host mon-ip-PC-client-outlook), et avec l’aide de quelques personnes sur un forum bien sympa, j’ai vu que ce bouffon de client cherchait deux enregistrements DNS :
- l’un de type A pour chercher autodiscover.masociete.com
- l’autre de type SRV, nommé _autodiscover._tcp.masociete.com
Une remarque, pour être sûr de voir la requête lors du tcpdump, videz votre cache DNS du poste client Windows avant :
C:\Documents and Settings\toto>ipconfig /flushdns
Configuration IP de Windows
Cache de résolution DNS vidé.
Enfin, pour régler le problème, vous créerez donc 2 entrées dans votre DNS, zone masociete.com :
autodiscover A 10.x.y.z ;serveur exchange
_autodiscover._tcp 1D IN SRV 0 1 443 test.exchg ;serveur exchange
Et là, “par magie”, vous voyez les infos de dispo des gens lors d’une réservation de réunion.
C’est pas bioutifoule ça ?
Permalink
03.05.08
Posted in Coup de gueule, Debian, Windows at 6:00 pm by michauko
Récemment, j’ai acheté un Nero 8 en ligne (si si) pour utiliser Nero Recode afin de créer facilement des vidéos au format PS3 depuis mes DVD, ou d’autres sources.
L’interface est bien, l’application multi-threadée etc. Bref, j’étais enthousiaste. Maintenant je n’utilise plus Nero Recode… Read the rest of this entry »
Permalink
12.05.07
Posted in Coup de gueule, Debian, Windows, planet-libre.org at 5:04 pm by michauko
Parfois (si quelqu’un sait me dire quand, je suis preneur), une pièce jointe (ou un ensemble) envoyée à partir d’un client mail Migrosoft arrive sous forme d’un fichier “winmail.dat”. Et on ne sait pas quoi en faire. Et ça me gave ce p_[4!n de problème.
En cherchant un peu (vue la demande urgente d’un collègue près à me baffer), j’ai trouvé comment les décoder, ça peut vous servir. Read the rest of this entry »
Permalink
11.19.07
Posted in Coup de gueule, Windows at 5:53 pm by michauko
Ce week-end, j’ai perdu quelques heures à m’énerver pour faire marcher cette carte bon marché (~30 €), sur un Windows XP tout propre. Voici quelques remarques pour que vous ne perdiez pas de temps avec cette s#@!
- un serveur de jeu que vous voulez rendre accessible comme si vous étiez en LAN, alors que vous êtes sur Internet, certains trouveront cet outil complètement génialissime. Va savoir pourquoi…
Enfin, si j’ai choisi Hamachi, c’est parce-que VOUS êtes quelqu’un aimant un peu l’informatique (sinon vous ne liriez pas cet article) et que vos amis joueurs sont des buses en informatique (cas classique). Ainsi, si vous leur demander d’installer un client VPN hyper compliqué, vous n’êtes pas près de jouer…
En relisant, je vois que l’article est long. Comme quoi, “zero-conf” <=> beaucoup d’explications. Allez, visite guidée. Read the rest of this entry »
Permalink
09.19.07
Posted in Windows at 4:42 pm by michauko
Bon,
Comme j’en ai marre de me répéter auprès de mes collègues, amis etc, voici 3 sites pour les applications portables Windows. Les applications portables, pour ceux qui l’ignorent, sont des applications Windows qui ne nécessitent pas d’installation, pas de droit d’admin (en général) et qui peuvent par exemple être lancées depuis une clef USB.
Idéal pour trimballer tout un environnement de travail d’un endroit à un autre. En synchronisant, vous pourriez ne jamais avoir à (ré)installer une application Windows… Read the rest of this entry »
Permalink
07.03.07
Posted in Debian, Windows, planet-libre.org at 5:50 pm by michauko
J’adore ce que fais Google (pour l’instant J’utilise largement leur agenda. J’ai trouvé récemment un plug-in pour pouvoir faire une synchro bidirectionnelle et complètement fonctionnelle entre l’agenda Thunderbird (qu’on peut avoir par le plug-in officiel “Lightning”) et Google Calendar. Voici comment procéder. Read the rest of this entry »
Permalink
Posted in Debian, Windows at 3:12 pm by michauko
Récemment, j’en ai eu marre d’allumer mon PC (oui je l’éteins parfois) le matin avant de partir au boulot pour les quelques fois où j’ai besoin d’y accéder en journée. Donc j’ai mis en place le WOL. Read the rest of this entry »
Permalink
« Previous entries · Next entries »