Archives mensuelles : avril 2008

La simplicité des outils Microsoft

C’est vraiment simple les outils microsoft :

1) Tu achètes le logiciel, cher.

2) Tu n’oublies pas les licences « par utilisateur », car après avoir payé le serveur ET les logiciels clients, il faut aussi payer un truc virtuel : la licence par utilisateur. Ca n’aurait pas pu être « les softs clients » OU « les licences par utilisateurs ». Non, non, c’est les deux. C’est mieux. On paye deux fois…

3) Tu installes le bousin, tu veux faire un truc de base, next->next->next et ça marche pas

4) Tu cherches des whitepapers et autres docs pseudo-techniques sur le site web de MS, ça te fait vérifier un à un les points basiques, tu as tout juste…

5) Fin du support. Ca marche pas.

6) Tu pleures (mais pas trop) sur un forum de passionnés et ils te déterrent un truc dont t’as jamais entendu parler… et ça marche.

7) Tu expliques tant bien que mal à ton chef pourquoi t’as mis 3 semaines pour installer une merde où un simple next->next->next suffit pour entrer dans le monde merveilleux de Grosoft.

Si vous n’êtes pas convaincu, achetez Exchange, faites une conf un peu poilue de d’Exchange, Outlook et ajoutez un soupçon de « Gestionnaire de contacts professionnels ».
Profitez du temps de livraison pour repérer un max de sites de passionnés sur le sujet. Ca aidera.

Bonne chance, ce message provoquera un BSOD dans 5 secondes, désolé.

OpenVPN, OpenVPN GUI, droits admin et « add route »…

Si vous avez besoin de donner un accès OpenVPN sur des PC Windows à des personnes n’étant pas admin de leur poste (ce qui est largement raisonnable), il y a 2/3 pièges. Je vous fais part de mes recherches sur le sujet. Au final, c’est possible. Ouf !
Les pièges sont :
– pouvoir accéder à l’interface virtuelle en tant que non-admin
– pouvoir ajouter des routes en tant que non-admin
– pouvoir utiliser proprement le OpenVPN GUI en tant que non-admin.

Accéder à l’interface réseau virtuelle

OpenVPN 2.0 ne permet pas d’exploiter la carte virtuelle si vous n’êtes pas admin, d’après ce que j’en comprends vu la remarque sur la version 2.1 sur le site :

TAP-Win32 adapter can now be opened from non-administrator mode

En fait sur ce sujet, avec OpenVPN 2.0, je ne sais plus si j’avais simplement un problème pour accéder à l’interface virtuelle ou pour créer des « routes » ou les 2. J’ai opté pour la 2.1 RC7 (et tant pis si ce n’est pas la finale).

Pour résoudre à coup sûr ce problème, utilisez la version 2.1.

Ajouter des « routes »

Une fois que l’utilisateur sans droit est capable de lancer l’openvpn, vous vous chopez des erreurs sur vos routes ajoutées dans la conf de votre VPN histoire que tout ce petit monde communique avec le reste de votre infra. En effet, sous Windows, le « add route » est réservé à l’admin… ou plus simplement aux personnes du groupe « Opérateurs de configuration réseau ».
Donc ajoutez vos utilisateurs sans droits là-dedans. Ils ne seront pas admin complet mais pourront déjà abîmer leur configuration réseau…

Impossible d’écrire des logs par le GUI

Si vous avez cette erreur, pensez à donner les droits d’écriture sur tout le répertoire C:\Program Files\OpenVPN\log, pour tout le monde, ou, moins bourrin, pour votre utilisateur.
Notez : le GUI OpenVPN est intégré à OpenVPN 2.1 maintenant. Ce n’est pas le cas avec le package 2.0

Cette fois, c’est bon, votre utilisateur presque-sans-droit peut faire du VPN et massacrer involontairement votre LAN depuis chez lui… :/