From jayce at mosx.org Wed Dec 2 12:33:36 2009
From: jayce at mosx.org (Piel Jayce)
Date: Wed Dec 2 12:33:58 2009
Subject: [Admin-ml] =?iso-8859-1?q?=5BHS=5D_Logiciel_de_montage/traitemen?=
=?iso-8859-1?q?t_de_vid=E9o=2E=2E=2E?=
Message-ID: <2A85F803-1F32-40C4-9170-D8C3939803C3@mosx.org>
Hello, juste un petit HS au cas où l'un de vous aurait vu passer ce
qu'il me faut. Vous pouvez me répondre en MP pour pas polluer la
liste...
Je cherche un logiciel me permettant de faire un montage de plusieurs
sources vidéos pour les afficher en même temps.
L'idée, c'est de filmer un tireur sous différents angles (Vue général,
doigt sur la gachette, regard), entre 2 et 4 angles, et de voir les 4
films en même temps.
L'idéal serait que l'affichage puisse être fait en direct (affichage
en direct des différentes sources vidéo (caméras) dans un visualiseur)
avec sauvegarde du rendu, mais si ça doit être fait en offline, c'est
viable tout de même.
Vous avez une idée de quls logiciels (payant ou pas), si possible
simple à utiliser, pourrait faire ça ?
Sur Windows, on a trouvé DartFish qui est spécialisé dans ce type
d'utilisation pour le traitement de vidéos de sports, mais le logiciel
a quelques trucs gonflants (déjà, le fait qu'il ne soit pas sur Mac
est très gonflant en soi).
Merci d'avance.
--
Jayce Piel
MosX.org
la renaissance.....
From trash127 at free.fr Wed Dec 2 18:48:29 2009
From: trash127 at free.fr (Trash is empty)
Date: Wed Dec 2 18:48:48 2009
Subject: [Admin-ml] SFTP
Message-ID: <532B4D58-D90C-40F0-9227-E8182EB92C56@free.fr>
Bonjour,
J'ai un serveur SFTP fonctionnel (10.5.8 serveur), et je souhaite chrooter l'utilisateur dans son dossier, et l'empêcher d'utiliser des commandes.
J'ai pour cela éditer /etc/sshd_config
Et ajouter :
#Subsystem sftp /usr/libexec/sftp-server
Subsystem sftp internal-sftp
AllowUsers utilisateur_test
Match User utilisateur_test
ChrootDirectory /sftp
X11Forwarding no
AllowTcpForwarding no
# ForceCommand internal-sftp
Les droits de / sont
2 0 drwxr-xr-t 39 root admin 1394 Nov 18 12:34 .
Et ceux de /sftp :
691936 0 drwx------ 4 root wheel 136 Nov 27 16:09 sftp
Donc seul root, peut écrire dans ce dossier.
Pourtant quand utilisateur_test essaye de s'y connecter, (dans cyberduck)
Permission denied (SSH_FX_PERMISSION_DENIED: The user does not have sufficient permissions to perform the operation.).
Avez-vous une idée du problème ?
Merci!
Guillaume,
From trash127 at free.fr Wed Dec 2 18:48:29 2009
From: trash127 at free.fr (Trash is empty)
Date: Wed Dec 2 18:51:21 2009
Subject: [Admin-ml] SFTP
Message-ID: <532B4D58-D90C-40F0-9227-E8182EB92C56@free.fr>
Bonjour,
J'ai un serveur SFTP fonctionnel (10.5.8 serveur), et je souhaite chrooter l'utilisateur dans son dossier, et l'empêcher d'utiliser des commandes.
J'ai pour cela éditer /etc/sshd_config
Et ajouter :
#Subsystem sftp /usr/libexec/sftp-server
Subsystem sftp internal-sftp
AllowUsers utilisateur_test
Match User utilisateur_test
ChrootDirectory /sftp
X11Forwarding no
AllowTcpForwarding no
# ForceCommand internal-sftp
Les droits de / sont
2 0 drwxr-xr-t 39 root admin 1394 Nov 18 12:34 .
Et ceux de /sftp :
691936 0 drwx------ 4 root wheel 136 Nov 27 16:09 sftp
Donc seul root, peut écrire dans ce dossier.
Pourtant quand utilisateur_test essaye de s'y connecter, (dans cyberduck)
Permission denied (SSH_FX_PERMISSION_DENIED: The user does not have sufficient permissions to perform the operation.).
Avez-vous une idée du problème ?
Merci!
Guillaume,
From benoit.garcia at x2p.fr Wed Dec 2 22:48:56 2009
From: benoit.garcia at x2p.fr (Benoit GARCIA)
Date: Wed Dec 2 22:49:16 2009
Subject: [Admin-ml] SFTP
In-Reply-To: <532B4D58-D90C-40F0-9227-E8182EB92C56@free.fr>
References: <532B4D58-D90C-40F0-9227-E8182EB92C56@free.fr>
Message-ID: <4B16E0C8.50300@x2p.fr>
Le 02/12/09 18:48, Trash is empty a écrit :
> Bonjour,
>
Bonjour,
> J'ai un serveur SFTP fonctionnel (10.5.8 serveur), et je souhaite chrooter l'utilisateur dans son dossier, et l'empêcher d'utiliser des commandes.
>
> J'ai pour cela éditer /etc/sshd_config
>
> Et ajouter :
>
> #Subsystem sftp /usr/libexec/sftp-server
> Subsystem sftp internal-sftp
>
> AllowUsers utilisateur_test
> Match User utilisateur_test
> ChrootDirectory /sftp
> X11Forwarding no
> AllowTcpForwarding no
> # ForceCommand internal-sftp
>
>
> Les droits de / sont
> 2 0 drwxr-xr-t 39 root admin 1394 Nov 18 12:34 .
> Et ceux de /sftp :
> 691936 0 drwx------ 4 root wheel 136 Nov 27 16:09 sftp
> Donc seul root, peut écrire dans ce dossier.
>
Non, seul root peut **accéder** à ce dossier.
Si vous vous connectez sur la machine en question et que vous rentrez la
commande "sudo -u utilisateur_test ls -l /sftp" qu'obtenez vous comme
résultat?
> Pourtant quand utilisateur_test essaye de s'y connecter, (dans cyberduck)
> Permission denied (SSH_FX_PERMISSION_DENIED: The user does not have sufficient permissions to perform the operation.).
>
C'est normal au vu des permissions sur le dossier.
> Avez-vous une idée du problème ?
>
Il vous suffit de modifier les permissions sur le dossier afin que votre
utilisateur_test et tous les utilisateurs autorisés à se connecter à ce
serveur sftt aient les droits de lecture sur le dossier /sftp et tout
son contenu, ainsi que le droit d'exécution sur le dossier /sftp et tous
ses sous-dossiers. Le droit d'exécution sur un dossier se traduit par la
possibilité d'en lister le contenu.
> Merci!
>
De rien.
> Guillaume,
>
--
------------------------------------------------------------------------
Benoit Garcia
Xpress2people
+33 (0) 626 697 859
+33 (0) 180 815 035
http://www.xpress2people.com
From jayce at mosx.org Fri Dec 4 15:09:06 2009
From: jayce at mosx.org (Piel Jayce)
Date: Fri Dec 4 15:09:22 2009
Subject: [Admin-ml] questions aux utilisateurs de compte mobile
In-Reply-To:
References:
Message-ID: <07BF41C8-078A-4C16-B6B8-A4DFFF8A0FD6@mosx.org>
Le 26 nov. 09 à 12:09, Bertrand Chatain a écrit :
>
> Serveur en 10.5.8, poste de test en 10.5.8 uptodate
>
J'ai aussi des problèmes, aussi avec Firefox essentiellement, mais
l'idée c'est que j'ai surtout l'impression que d'une manière générale,
Application Support est synchronisé alors qu'il ne devrait pas...
Je n'ai pas eu le temps de fouiller trop pourquoi. Pourtant, moi, je
ne merge pas les infos avec l'utilisateur, je lui dit "c'est moi qui
ait toujours raison" mais non, ça suffit pas...
--
Jayce Piel
MosX.org
la renaissance.....
From olivier.ducrot at easymac.fr Fri Dec 4 22:54:59 2009
From: olivier.ducrot at easymac.fr (Olivier DUCROT)
Date: Sat Dec 5 09:41:30 2009
Subject: [Admin-ml] Time Machine alternativement sur plusieurs disques
Message-ID:
Bonjour à tous,
Il me semble avoir vu passer il y a peu, une demande sur ce sujet.
J¹avais aussi dans un coin de ma tête, ce besoin non résolu.
J¹ai donc travaillé sur le sujet pour aboutir à une solution viable que je
viens partager avec vous :
Objectif :
* utiliser Time Machine pour la sauvegarde d¹un poste ou d¹un serveur
* utiliser au moins deux disques durs externes comme support de sauvegarde
* faire les sauvegardes alternativement sur les disques
* ne pas bloquer le système quand ce n¹est pas le disque souhaité qui est en
ligne
Résultat :
* deux disques ou plus, initialisés et nommés d¹un même nom : ³Sauvegarde²
* les deux disques ne sont jamais montés en même temps
* la sauvegarde Time Machine se fait toutes les heures, sur le disque qui
est en ligne
Recette de cuisine :
Etape 1
* Prendre un disque externe, si possible tout neuf ou sans données vitales
* Initialiser le disque avec Utilitaire de disques ou une bonne ligne de
commande
* Nommer le disque avec le nom de votre choix : ³Sauvegarde² fera bien
l¹affaire
* Paramétrer Time Machine pour utiliser ce disque comme disque de sauvegarde
* Laisser reposer le disque quelques instants (environ 120 secondes)
* La première sauvegarde s¹opère toute seule comme par magie...
Etape 2
* TimeMachine se base sur deux éléments pour repérer le disque de sauvegarde
:
> * nom du volume monté
> * Volume UUID du volume monté
* mais seul le UUID se trouve dans le fichier de configuration de Time
Machine
* On obtient le UUID avec la commande suivante :
diskutil info /Volumes/bk1 | grep 'Volume UUID' | awk {'print $3'}
Etape 3
* La sauvegarde est maintenant terminée, vous pouvez retirer le disque du
four
* créer un launch item du nom de votre choix : fr.easymac.timemachine.plist
* le mettre dans le répertoire /Library/LaunchDaemons/
* il doit contenir :
Label
fr.easymac.timemachine
ProgramArguments
/usr/local/chg-TM-UUID.sh
StartOnMount
* Activer ce nouveau launch item avec la commande :
launchctl load w
/Library/LaunchDaemons/fr.easymac.timemachine.plist
* Créer le répertoire /usr/local/ s¹il n¹existe pas : mkdir p /usr/local
* y créer un fichier chg-TM-UUID.sh et coller ce qui suit : nano
/usr/local/chg-TM-UUID.sh (vi fera aussi l¹affaire)
* changer les droits du fichier avec : chmod +x /usr/local/chg-TM-UUID.sh
Le fichier doit contenir (enfin presque, vous pouvez retirer les
commentaires ;-) ):
#! /bin/sh
####################################################
### EASYMAC Changement de disque Time Machine ###
### Copyright Olivier DUCROT Simon VREL ###
### 25/11/2009 version 1.0 ###
####################################################
MONDISK=²Sauvegarde²
MONUID=`diskutil info /Volumes/$MONDISK | grep 'Volume UUID' | awk {'print
$3'}`
defaults write /Library/Preferences/com.apple.TimeMachine
DestinationVolumeUUID $MONUID
* Mettre le second disque, l¹initialisé et le renommer ³Sauvegarde² si ce
n¹est pas encore fait.
* Démonter le disque et le remonter
* là encore là magie opère, ou plutôt l¹option StartOnMount de launchd
* dès que le disque monte, launchd change le UUID dans le fichier de
configuration de TM par celui du disque ³Sauvegarde² qui vient de monter
* Attendre seulement alors l¹heure de la prochaine sauvegarde et le tour est
joué.
Ce système est magique, il marche avec autant de disques que vous voulez,
pour peu qu¹ils portent le même nom et aient une taille suffisante pour
accueillir la sauvegarde.
Il y a une faille à connaître, sur laquelle je vais me pencher plus tard :
* il est basé sur le nom du disque qui monte, il ne faut pas s¹amuser à
monter une clé USB de 1 Go du nom de ³Sauvegarde², mais surtout, il ne faut
pas monter le disque de votre voisin, habillement nommé ³Sauvegarde² parce
qu¹il en fait aussi. Ca n¹aurait pas d¹effet destructeur pour ses données,
mais il repartirait avec une belle sauvegarde des vôtres en deux coups de
cuillère à pot !
Par contre, il y a quelques avantages certains :
* c¹est tout automatique
* c¹est ³Time Machine compliant², entrez juste dans Time Machine pour
retrouver les données du passé
* vous pouvez retirer le disque et en mettre un nouveau à tout moment, le
système gère tout pour vous avec le Finder
* vous pouvez repartir avec un backup le soir et dormir tranquille ...
Bons tests et n¹hésitez pas à commenter.
PS/1 : ceci n¹a pas pour vocation de remplacer BRU, Bacula, Retrospect,
etc.. C¹est destiné à ceux qui veulent utiliser Time Machine mais qui ne
veulent pas reconfigurer TM tous les jours sous le seul prétexte de devoir
utiliser deux disques alternativement.
PS/2 : deux articles à venir gestion de sécurisée de la montée du disque
utilisation de deux capsules alternativement
From jacques at foucry.net Tue Dec 8 11:39:16 2009
From: jacques at foucry.net (Jacques Foucry)
Date: Tue Dec 8 11:47:48 2009
Subject: [Admin-ml] =?iso-8859-1?q?Certificat=2C_Autorit=E9_de_Certificat?=
=?iso-8859-1?q?ion_et_le_reste?=
Message-ID: <108F21AE-8338-4637-AE05-417E6A0F9575@foucry.net>
Salut,
J'ai comme du mal à tout piger avec les certificats.
J'ai fais sur mon SnowLeopardServer une Autorité de Certification, avec Keychain Acces. De base, rien de spéciale et juste pour des certificats de type S/MIME (donc pour le serveur de mail).
De l'autre coté, j'ai un serveur Leopard, avec un serveur de mail. Dans l'outil "Certificates" de Server Admin, j'ai créer un certificat auto-signé pour mail.foucry.net... et j'ai généré une CSR.
Cette CSR je l'ai transmise à Snow Leopard Server et après utilisé à nouveau la Keychain, j'ai un certificat signé par mon autorité de certification.
Retour sur le Leopard ou je tente de faire en sorte que mon certificat auto-signé, celui là même qui a été utilisé pour générer la CSR, soit maintenant signé en utilisant justement le certificat que mon autorité vient de signer. J'ai beau lui indiquer "Add signed or Renewed Certificate from Certificate Authority..." rien à faire mon certificat mail.foucry.net reste auto-signé.
J'ai tenté également en important le certificat, mais où trouvé-je la clef privée ?
Merci de votre aide... là je patauge vraiment dans la gadoue.
Jacques
From f.lavocat at ens-louis-lumiere.fr Tue Dec 8 16:56:41 2009
From: f.lavocat at ens-louis-lumiere.fr (Franck LAVOCAT)
Date: Tue Dec 8 17:37:25 2009
Subject: [Admin-ml] Certificat, =?ISO-8859-1?Q?Autorit=E9_de_Cert?=
=?ISO-8859-1?Q?ification_et_le_reste?=
In-Reply-To: <108F21AE-8338-4637-AE05-417E6A0F9575@foucry.net>
References: <108F21AE-8338-4637-AE05-417E6A0F9575@foucry.net>
Message-ID: <4B1E7739.8030104@ens-louis-lumiere.fr>
Sur mes serveurs en 10.6 tout ce qui est certif est dans
/private/etc/certificates
Cordialement
Franck
Jacques Foucry a écrit :
> Salut,
>
> J'ai comme du mal à tout piger avec les certificats.
>
> J'ai fais sur mon SnowLeopardServer une Autorité de Certification, avec Keychain Acces. De base, rien de spéciale et juste pour des certificats de type S/MIME (donc pour le serveur de mail).
>
> De l'autre coté, j'ai un serveur Leopard, avec un serveur de mail. Dans l'outil "Certificates" de Server Admin, j'ai créer un certificat auto-signé pour mail.foucry.net... et j'ai généré une CSR.
>
> Cette CSR je l'ai transmise à Snow Leopard Server et après utilisé à nouveau la Keychain, j'ai un certificat signé par mon autorité de certification.
>
> Retour sur le Leopard ou je tente de faire en sorte que mon certificat auto-signé, celui là même qui a été utilisé pour générer la CSR, soit maintenant signé en utilisant justement le certificat que mon autorité vient de signer. J'ai beau lui indiquer "Add signed or Renewed Certificate from Certificate Authority..." rien à faire mon certificat mail.foucry.net reste auto-signé.
>
> J'ai tenté également en important le certificat, mais où trouvé-je la clef privée ?
>
> Merci de votre aide... là je patauge vraiment dans la gadoue.
>
> Jacques_______________________________________________
> Admin-ml mailing list
> Admin-ml@mosx.org
> http://coruscant.mosx.org/mailman/listinfo/admin-ml
>
>
>
--
Franck LAVOCAT
Responsable des ressources informatiques
Ecole Nationale Supérieure Louis-Lumière
7, allée du Promontoire
F - 93161 Noisy-le-Grand Cedex
+ 33 (0)1 48 15 02 05
www.ens-louis-lumiere.fr
From goudal at enseirb-matmeca.fr Tue Dec 8 22:01:13 2009
From: goudal at enseirb-matmeca.fr (=?ISO-8859-1?Q?Fr=E9d=E9ric_Goudal?=)
Date: Tue Dec 8 22:09:45 2009
Subject: [Admin-ml] Relancer ARD
Message-ID:
Bonjour
Je viens de toucher un superbe petit Xserve, et j'ai un pb : j'ai ARD
client qui s'est viandé, comment le relancer via ssh ?
J'ai tué le process et relancé rien du tout.
Sur la machine qui tourne remote desktop il continue de me dire qu'ARD
est mort.
Apparament j'ai vu dans les forums à droite et à gauche que c'est un
peu courrant.
Quelqu'un a une idée ?
f.g.
--
Frédéric Goudal
Service Informatique
ENSEIRB-MATMECA / IPB
Tel : +33 556 84 23 11
Fax: +33 556 37 20 23
From goldoweb at gmail.com Tue Dec 8 22:20:35 2009
From: goldoweb at gmail.com (David MISTRETTA)
Date: Tue Dec 8 22:20:48 2009
Subject: [Admin-ml] Relancer ARD
In-Reply-To:
References:
Message-ID:
Voila
/Volumes/NomDuDisque/System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/Resources/kickstart
-activate -configure -access -on -users admin -privs -all -restart
-agent -menu
Cdt david
Le 8 décembre 2009 22:01, Frédéric Goudal a
écrit :
> Bonjour
>
> Je viens de toucher un superbe petit Xserve, et j'ai un pb : j'ai ARD
> client qui s'est viandé, comment le relancer via ssh ?
> J'ai tué le process et relancé rien du tout.
> Sur la machine qui tourne remote desktop il continue de me dire qu'ARD est
> mort.
> Apparament j'ai vu dans les forums à droite et à gauche que c'est un peu
> courrant.
>
> Quelqu'un a une idée ?
>
> f.g.
>
> --
> Frédéric Goudal
> Service Informatique
> ENSEIRB-MATMECA / IPB
> Tel : +33 556 84 23 11
> Fax: +33 556 37 20 23
>
>
>
>
>
>
> _______________________________________________
> Admin-ml mailing list
> Admin-ml@mosx.org
> http://coruscant.mosx.org/mailman/listinfo/admin-ml
>
From bertrand.pourcel at me.com Tue Dec 8 22:23:45 2009
From: bertrand.pourcel at me.com (Bertrand POURCEL)
Date: Tue Dec 8 22:24:15 2009
Subject: [Admin-ml] Relancer ARD
In-Reply-To:
References:
Message-ID: <2F08CAD0-C231-499F-8A36-D6D6DD4A1917@me.com>
Bonsoir,
Le 8 déc. 2009 à 22:01, Frédéric Goudal a écrit :
> Je viens de toucher un superbe petit Xserve,
Félicitations ! :-)
> et j'ai un pb : j'ai ARD client qui s'est viandé, comment le relancer via ssh ?
Activer ARD :
/System/Library/CoreServices/RemoteManagement/Content/Resources/kickstart -activate -configure -access -on -restart -agent -privs -all
Ensuite tu dois donner le droit pour ton utilisateur (ici localadmin):
/System/Library/CoreServices/RemoteManagement/Content/Resources/kickstart -activate -configure -users localadmin -access -on -allowAccessFor - specificUsers
Donner tous les privilieges a localadmin :
/System/Library/CoreServices/RemoteManagement/Content/Resources/kickstart -activate -configure -users localadmin -access -on -privs -all
En esperant que ça reponde a ta question
Bertrand.
From jacques at foucry.net Tue Dec 8 23:14:55 2009
From: jacques at foucry.net (Jacques Foucry)
Date: Tue Dec 8 23:15:17 2009
Subject: =?iso-8859-1?Q?Re:_[Admin-ml]_Certificat,_Autorit=E9_de_Certific?=
=?iso-8859-1?Q?ation_et_le_reste?=
In-Reply-To: <4B1E7739.8030104@ens-louis-lumiere.fr>
References: <108F21AE-8338-4637-AE05-417E6A0F9575@foucry.net>
<4B1E7739.8030104@ens-louis-lumiere.fr>
Message-ID:
On 8 déc. 2009, at 16:56, Franck LAVOCAT wrote:
> Sur mes serveurs en 10.6 tout ce qui est certif est dans /private/etc/certificates
Utilises-tu Keychain Access et ServerAdmin pour les gérer ?
Jacques
From f.lavocat at ens-louis-lumiere.fr Wed Dec 9 09:59:00 2009
From: f.lavocat at ens-louis-lumiere.fr (Franck LAVOCAT)
Date: Wed Dec 9 09:59:15 2009
Subject: [Admin-ml] Certificat, =?ISO-8859-1?Q?Autorit=E9_de_Cert?=
=?ISO-8859-1?Q?ification_et_le_reste?=
In-Reply-To:
References: <108F21AE-8338-4637-AE05-417E6A0F9575@foucry.net>
<4B1E7739.8030104@ens-louis-lumiere.fr>
Message-ID: <4B1F66D4.7070904@ens-louis-lumiere.fr>
Bonjour,
J'ai fait la demande de csr et l'importation du certificat signé via
serveur admin.
Quand je vais dans le trousseau d'accès du serveur, puis trousseau
système, je visualise bien le certificat et la clé privée. En cliquant
droit (avec la souris qui va bien) sur chaque item, je peux les gérer
(export, lecture, etc.).
Au même endroit, j'affiche aussi le certifcat kerby entre autre qui est
valide jusqu'en ... 2029 ! Ça laisse le temps de voir venir là.
Cdt
Franck
Jacques Foucry a écrit :
> On 8 déc. 2009, at 16:56, Franck LAVOCAT wrote:
>
>
>> Sur mes serveurs en 10.6 tout ce qui est certif est dans /private/etc/certificates
>>
>
> Utilises-tu Keychain Access et ServerAdmin pour les gérer ?
>
> Jacques
>
>
--
Franck LAVOCAT
Responsable des ressources informatiques
Ecole Nationale Supérieure Louis-Lumière
7, allée du Promontoire
F - 93161 Noisy-le-Grand Cedex
+ 33 (0)1 48 15 02 05
www.ens-louis-lumiere.fr
From fcombernous at kezia.com Wed Dec 9 10:17:49 2009
From: fcombernous at kezia.com (Fabien COMBERNOUS)
Date: Wed Dec 9 10:18:05 2009
Subject: [Admin-ml] Kerberize ...
In-Reply-To: <4B0528ED.6090505@kezia.com>
References: <4B0528ED.6090505@kezia.com>
Message-ID: <4B1F6B3D.5010004@kezia.com>
Fabien COMBERNOUS wrote:
> Bonjour,
>
> Dans ServerAdmin, pour le service OpenDirectory, il peut apparaitre un
> bouton "Kerberize ...". Si j'ai bien compris, se bouton apparait quand
> il existe un service sur la machine qui n'utilise pas kerberos, mais
> qui peux se mettre à utiliser kerberos. C'est ce que je veux. Que tout
> le monde utilise kerberos.
>
> Quand je clique sur ce bouton, une fenetre apparait me demandant
> l'identification d'un administrateur. Je donne les identifiants de mon
> admin local (j'ai aussi essayé mon admin de OD, au cas ou). Et à
> chaque fois le panneau demandant l'identifiant revient. Pas de log,
> rien. J'ai vu sur le web des personnes qui ont eu le même soucis, mais
> jamais il n'y a eu de solution.
>
> Quelqu'un a une explication ?
Alors voilà, visiblement tout était kerberisé. Mais visiblement en 10.6,
le bouton reste tout le temps.
--
*Fabien COMBERNOUS*
/unix system engineer/
www.kezia.com
*Tel: +33 (0) 467 992 986*
Kezia Group
From franck-sartori at orange.fr Wed Dec 9 10:25:01 2009
From: franck-sartori at orange.fr (Franck Sartori)
Date: Wed Dec 9 10:25:18 2009
Subject: [Admin-ml] Kerberize ...
In-Reply-To: <4B1F6B3D.5010004@kezia.com>
References: <4B0528ED.6090505@kezia.com> <4B1F6B3D.5010004@kezia.com>
Message-ID: <3FADCB6A-283A-46F5-961B-0F6CCAE9D383@orange.fr>
Le 9 déc. 2009 à 10:17, Fabien COMBERNOUS a écrit :
>
> Fabien COMBERNOUS wrote:
>> Bonjour,
>>
>> Dans ServerAdmin, pour le service OpenDirectory, il peut apparaitre un bouton "Kerberize ...". Si j'ai bien compris, se bouton apparait quand il existe un service sur la machine qui n'utilise pas kerberos, mais qui peux se mettre à utiliser kerberos. C'est ce que je veux. Que tout le monde utilise kerberos.
>>
>> Quand je clique sur ce bouton, une fenetre apparait me demandant l'identification d'un administrateur. Je donne les identifiants de mon admin local (j'ai aussi essayé mon admin de OD, au cas ou). Et à chaque fois le panneau demandant l'identifiant revient. Pas de log, rien. J'ai vu sur le web des personnes qui ont eu le même soucis, mais jamais il n'y a eu de solution.
>>
>> Quelqu'un a une explication ?
> Alors voilà, visiblement tout était kerberisé. Mais visiblement en 10.6, le bouton reste tout le temps.
Bonjour.
Ne pas faire confiance au bouton mais à un klist -ke
Cordialement.
From goudal at enseirb-matmeca.fr Wed Dec 9 11:12:41 2009
From: goudal at enseirb-matmeca.fr (=?ISO-8859-1?Q?Fr=E9d=E9ric_Goudal?=)
Date: Wed Dec 9 11:14:11 2009
Subject: [Admin-ml] Relancer ARD
In-Reply-To: <2F08CAD0-C231-499F-8A36-D6D6DD4A1917@me.com>
References:
<2F08CAD0-C231-499F-8A36-D6D6DD4A1917@me.com>
Message-ID:
Bon ça a un peu changé de place sur un snow léopard mais c'est pas mal.
Mon « seul » pb est que le port 3283 passe... en udp, et du coup pas
moyen de passer d'un réseau à un autre, hors mes deux machines sont
sur des réseaux différents.
Donc vnc seulement pour l'instant
f.g.
Le 8 déc. 09 à 22:23, Bertrand POURCEL a écrit :
> Bonsoir,
>
> Le 8 déc. 2009 à 22:01, Frédéric Goudal a écrit :
>
>> Je viens de toucher un superbe petit Xserve,
> Félicitations ! :-)
>
>> et j'ai un pb : j'ai ARD client qui s'est viandé, comment le
>> relancer via ssh ?
>
> Activer ARD :
> /System/Library/CoreServices/RemoteManagement/Content/Resources/
> kickstart -activate -configure -access -on -restart -agent -privs -all
>
> Ensuite tu dois donner le droit pour ton utilisateur (ici localadmin):
> /System/Library/CoreServices/RemoteManagement/Content/Resources/
> kickstart -activate -configure -users localadmin -access -on -
> allowAccessFor - specificUsers
>
> Donner tous les privilieges a localadmin :
> /System/Library/CoreServices/RemoteManagement/Content/Resources/
> kickstart -activate -configure -users localadmin -access -on -privs -
> all
>
> En esperant que ça reponde a ta question
>
> Bertrand._______________________________________________
> Admin-ml mailing list
> Admin-ml@mosx.org
> http://coruscant.mosx.org/mailman/listinfo/admin-ml
>
--
Frédéric Goudal
Service Informatique
ENSEIRB-MATMECA / IPB
Tel : +33 556 84 23 11
Fax: +33 556 37 20 23
From bertrand.pourcel at me.com Wed Dec 9 11:32:05 2009
From: bertrand.pourcel at me.com (Bertrand POURCEL)
Date: Wed Dec 9 11:32:28 2009
Subject: [Admin-ml] Relancer ARD
In-Reply-To:
References:
<2F08CAD0-C231-499F-8A36-D6D6DD4A1917@me.com>
Message-ID: <17FEB158-9435-4BB8-84BB-139C6B93FD4E@me.com>
Bonjour,
Le 9 déc. 2009 à 11:12, Frédéric Goudal a écrit :
> Bon ça a un peu changé de place sur un snow léopard mais c'est pas mal.
>
D'ou l'interet de préciser les versions sur lesquelles portent les questions... ;-)
Bertrand.
From fs.nospam1 at laposte.net Wed Dec 9 13:17:00 2009
From: fs.nospam1 at laposte.net (=?utf-8?Q?Fran=C3=A7ois_SCHOSSIG?=)
Date: Wed Dec 9 13:17:23 2009
Subject: [Admin-ml] =?utf-8?q?Import/export_de_pr=C3=A9f=C3=A9rences_g?=
=?utf-8?b?w6lyw6llcw==?=
Message-ID: <8ADBC13A-45D3-4D5F-8B01-98FE404BF7EE@laposte.net>
Bonjour,
L'un d'entre vous saurait-il comment exporter les préférences gérées pour pouvoir les réimporter dans une autre base ?
Jusqu'à présent je rentrait dans « Toutes le fiches » du Gestionnaire de groupe de travail et groupe après groupe (je me suis débrouillé pour n'en avoir que trois avec des préférences gérées...), je copiais les XML des MCXSettings à la main vers des fichiers texte... Et dans l'autre sens pour importer. C'est assez laborieux !
En passant, avez-vous un moyen pour copier un ensemble de préférences d'un groupe à l'autre ?
Merci pour vos lumières.
--
F. SCHOSSIG, ICT Manager
Assemblée des Régions d'Europe
http://www.aer.eu
From goldoweb at gmail.com Wed Dec 9 13:40:46 2009
From: goldoweb at gmail.com (David MISTRETTA)
Date: Wed Dec 9 13:41:00 2009
Subject: [Admin-ml] Relancer ARD
In-Reply-To:
References:
Message-ID:
ARD 3.2:
sudo
/System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/Resources/kickstart
-activate -configure -access -on -restart -agent -privs -all
sudo
/System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/Resources/kickstart-activate-configure-access-sur-restart-agent-privs-all
ARD 3.2 et après (snow leopard)):
sudo
/System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/Resources/kickstart
-configure -allowAccessFor -allUsers -privs -all
sudo /System/Library/CoreServices/RemoteManagement/ARDAgent.app
/Contents/Resources/kickstart-configure-allowAccessFor-AllUsers-privs-all
Le 8 décembre 2009 22:01, Frédéric Goudal a
écrit :
> Bonjour
>
> Je viens de toucher un superbe petit Xserve, et j'ai un pb : j'ai ARD
> client qui s'est viandé, comment le relancer via ssh ?
> J'ai tué le process et relancé rien du tout.
> Sur la machine qui tourne remote desktop il continue de me dire qu'ARD est
> mort.
> Apparament j'ai vu dans les forums à droite et à gauche que c'est un peu
> courrant.
>
> Quelqu'un a une idée ?
>
> f.g.
>
> --
> Frédéric Goudal
> Service Informatique
> ENSEIRB-MATMECA / IPB
> Tel : +33 556 84 23 11
> Fax: +33 556 37 20 23
>
>
>
>
>
>
> _______________________________________________
> Admin-ml mailing list
> Admin-ml@mosx.org
> http://coruscant.mosx.org/mailman/listinfo/admin-ml
>
From goudal at enseirb-matmeca.fr Thu Dec 10 11:15:17 2009
From: goudal at enseirb-matmeca.fr (=?ISO-8859-1?Q?Fr=E9d=E9ric_Goudal?=)
Date: Thu Dec 10 11:16:47 2009
Subject: [Admin-ml] =?iso-8859-1?q?Routages_sp=E9cifiques?=
Message-ID:
Bonjour,
Est-ce qu'il existe une méthode standard Mac OS X Server pour ajouter
des routes réseau ?
Sinon je ferais un startupitem, mais si il existait un outil ok...
En vous remerciant...
--
Frédéric Goudal
Service Informatique
ENSEIRB-MATMECA / IPB
Tel : +33 556 84 23 11
Fax: +33 556 37 20 23
From f.vincent at allibert-trekking.com Thu Dec 10 15:10:08 2009
From: f.vincent at allibert-trekking.com (Fabrice Vincent)
Date: Thu Dec 10 15:10:46 2009
Subject: [Admin-ml] Relancer ARD
In-Reply-To:
Message-ID:
> Mon « seul » pb est que le port 3283 passe... en udp, et du coup pas
> moyen de passer d'un réseau à un autre, hors mes deux machines sont
> sur des réseaux différents.
Je ne vois pas en quoi l'udp empêcherai le dialogue entre deux sous-réseaux.
Ou alors c'est que le routeur qui gère l'interconnexion fait du filtrage
sans gestion d'état (genre un routeur avec des ACL sur le SYN TCP)...
A+
Fabrice
From goudal at enseirb-matmeca.fr Thu Dec 10 15:36:19 2009
From: goudal at enseirb-matmeca.fr (=?ISO-8859-1?Q?Fr=E9d=E9ric_Goudal?=)
Date: Thu Dec 10 15:37:54 2009
Subject: [Admin-ml] Relancer ARD
In-Reply-To:
References:
Message-ID:
Le 10 déc. 09 à 15:10, Fabrice Vincent a écrit :
>> Mon « seul » pb est que le port 3283 passe... en udp, et du coup pas
>> moyen de passer d'un réseau à un autre, hors mes deux machines sont
>> sur des réseaux différents.
> Je ne vois pas en quoi l'udp empêcherai le dialogue entre deux sous-
> réseaux.
> Ou alors c'est que le routeur qui gère l'interconnexion fait du
> filtrage
> sans gestion d'état (genre un routeur avec des ACL sur le SYN TCP)...
Oups, j'ai oublié de dire, via ssh - vu que les réseaux sont isolés -
sinon pourquoi faire des réseaux si c'est pour tout faire passer de
l'un à l'autre :)
--
Frédéric Goudal
Service Informatique
ENSEIRB-MATMECA / IPB
Tel : +33 556 84 23 11
Fax: +33 556 37 20 23
From laurent_pertois at mac.com Thu Dec 10 17:05:58 2009
From: laurent_pertois at mac.com (Laurent PERTOIS)
Date: Thu Dec 10 18:06:38 2009
Subject: =?iso-8859-1?Q?Re:_[Admin-ml]_Routages_sp=E9cifiques?=
In-Reply-To:
References:
Message-ID: <285EA6ED-0EAE-43F2-AA8E-3355534FBED7@mac.com>
On 10 déc. 2009, at 11:15, Frédéric Goudal wrote:
> Est-ce qu'il existe une méthode standard Mac OS X Server pour ajouter des routes réseau ?
>
route(8) :-D
> Sinon je ferais un startupitem, mais si il existait un outil ok...
Pas d'origine
--
L'amitié est une religion sans Dieu ni jugement dernier. Sans diable non plus. Une religion qui n'est pas étrangère à l'amour. Mais un amour où la guerre et la haine sont proscrites, où le silence est possible.
Tahar Ben Jelloun
From laurent_pertois at mac.com Thu Dec 10 17:07:27 2009
From: laurent_pertois at mac.com (Laurent PERTOIS)
Date: Thu Dec 10 18:07:54 2009
Subject: =?iso-8859-1?Q?Re:_[Admin-ml]_Import/export_de_pr=E9f=E9rences_g?=
=?iso-8859-1?Q?=E9r=E9es?=
In-Reply-To: <8ADBC13A-45D3-4D5F-8B01-98FE404BF7EE@laposte.net>
References: <8ADBC13A-45D3-4D5F-8B01-98FE404BF7EE@laposte.net>
Message-ID: <90016BE6-2009-4EFA-ACF0-CD68428CD2BF@mac.com>
On 9 déc. 2009, at 13:17, François SCHOSSIG wrote:
> L'un d'entre vous saurait-il comment exporter les préférences gérées pour pouvoir les réimporter dans une autre base ?
dscl(1) avec les options mcxexport et mcximport, par exemple
--
In /dev/null, no one can hear you scream
From fs.nospam1 at laposte.net Thu Dec 10 22:51:52 2009
From: fs.nospam1 at laposte.net (=?iso-8859-1?Q?Fran=E7ois_SCHOSSIG?=)
Date: Thu Dec 10 22:52:15 2009
Subject: =?iso-8859-1?Q?Re:_[Admin-ml]_Import/export_de_pr=E9f=E9rences_g?=
=?iso-8859-1?Q?=E9r=E9es?=
In-Reply-To: <90016BE6-2009-4EFA-ACF0-CD68428CD2BF@mac.com>
References: <8ADBC13A-45D3-4D5F-8B01-98FE404BF7EE@laposte.net>
<90016BE6-2009-4EFA-ACF0-CD68428CD2BF@mac.com>
Message-ID: <7D1833A6-DF52-4775-A6EB-4C8AD37386E8@laposte.net>
Merci. Formidable.
Je me demande vraiment pourquoi je n'ai jamais oser sauter dans dscl...
Ça ferait presque le café !
--
F. SCHOSSIG, ICT Manager
Assemblée des Régions d'Europe
http://www.aer.eu
Le 10 déc. 2009 à 17:07, Laurent PERTOIS a écrit :
> On 9 déc. 2009, at 13:17, François SCHOSSIG wrote:
>
>> L'un d'entre vous saurait-il comment exporter les préférences gérées pour pouvoir les réimporter dans une autre base ?
>
> dscl(1) avec les options mcxexport et mcximport, par exemple
> --
> In /dev/null, no one can hear you scream
> _______________________________________________
> Admin-ml mailing list
> Admin-ml@mosx.org
> http://coruscant.mosx.org/mailman/listinfo/admin-ml
From goudal at enseirb-matmeca.fr Thu Dec 10 23:00:12 2009
From: goudal at enseirb-matmeca.fr (=?ISO-8859-1?Q?Fr=E9d=E9ric_Goudal?=)
Date: Thu Dec 10 23:01:47 2009
Subject: =?ISO-8859-1?Q?Re:_[Admin-ml]_Routages_sp=E9cifiques?=
In-Reply-To: <285EA6ED-0EAE-43F2-AA8E-3355534FBED7@mac.com>
References:
<285EA6ED-0EAE-43F2-AA8E-3355534FBED7@mac.com>
Message-ID: <9382E3B3-4BED-418C-82B7-0AE949AE08C7@enseirb-matmeca.fr>
Le 10 déc. 09 à 17:05, Laurent PERTOIS a écrit :
> On 10 déc. 2009, at 11:15, Frédéric Goudal wrote:
>
>> Est-ce qu'il existe une méthode standard Mac OS X Server pour
>> ajouter des routes réseau ?
>>
>
> route(8) :-D
Ouais heu... là je connais...
>
>> Sinon je ferais un startupitem, mais si il existait un outil ok...
>
>
> Pas d'origine
Pas malin.
Bon je viens de réinstaller mon serveur, il marchotait pas mal, mais
au bout de quelques heures se mettait à raaaaleeeeennntir... et
impossible de lancer une nouvelle appli.
Comme j'avais un peu merdé sur les OD/Openladap...
Finalement je ne trouve pas que OSX server soit un bon OS.... ça
manque de tolérances aux config entre les deux.
Des messages d'erreurs pas logués...
Pas de logs d'ailleur sur les merdes...
f.g. le blues de snow leopard...
--
Frédéric Goudal
Service Informatique
ENSEIRB-MATMECA / IPB
Tel : +33 556 84 23 11
Fax: +33 556 37 20 23
From laurent_pertois at mac.com Fri Dec 11 03:07:58 2009
From: laurent_pertois at mac.com (Laurent PERTOIS)
Date: Fri Dec 11 03:08:26 2009
Subject: =?iso-8859-1?Q?Re:_[Admin-ml]_Import/export_de_pr=E9f=E9rences_g?=
=?iso-8859-1?Q?=E9r=E9es?=
In-Reply-To: <7D1833A6-DF52-4775-A6EB-4C8AD37386E8@laposte.net>
References: <8ADBC13A-45D3-4D5F-8B01-98FE404BF7EE@laposte.net>
<90016BE6-2009-4EFA-ACF0-CD68428CD2BF@mac.com>
<7D1833A6-DF52-4775-A6EB-4C8AD37386E8@laposte.net>
Message-ID:
On 10 déc. 2009, at 22:51, François SCHOSSIG wrote:
> Je me demande vraiment pourquoi je n'ai jamais oser sauter dans dscl...
Ah mais dscl c'est bon, mangez-en.
> Ça ferait presque le café !
Ca peut...
--
At the source of every error which is blamed on the computer you will find at least two human errors, including the error of blaming it on the computer.
From laurent_pertois at mac.com Fri Dec 11 03:10:25 2009
From: laurent_pertois at mac.com (Laurent PERTOIS)
Date: Fri Dec 11 03:10:53 2009
Subject: =?iso-8859-1?Q?Re:_[Admin-ml]_Routages_sp=E9cifiques?=
In-Reply-To: <9382E3B3-4BED-418C-82B7-0AE949AE08C7@enseirb-matmeca.fr>
References:
<285EA6ED-0EAE-43F2-AA8E-3355534FBED7@mac.com>
<9382E3B3-4BED-418C-82B7-0AE949AE08C7@enseirb-matmeca.fr>
Message-ID:
On 10 déc. 2009, at 23:00, Frédéric Goudal wrote:
>> route(8) :-D
>
> Ouais heu... là je connais...
>
Je me doute, mais tu n'es pas seul sur la liste...
>>
>>> Sinon je ferais un startupitem, mais si il existait un outil ok...
>>
>>
>> Pas d'origine
>
>
> Pas malin.
Bah, il y a la commande pour ceux qui en ont besoin, hein.
> Bon je viens de réinstaller mon serveur, il marchotait pas mal, mais au bout de quelques heures se mettait à raaaaleeeeennntir... et impossible de lancer une nouvelle appli.
> Comme j'avais un peu merdé sur les OD/Openladap...
Ben, forcément...
> Finalement je ne trouve pas que OSX server soit un bon OS.... ça manque de tolérances aux config entre les deux.
Euh, c'est la base l'OD, quand même (que ce soit lui qui soit ODM ou qu'il soit connecté)
> Des messages d'erreurs pas logués...
> Pas de logs d'ailleur sur les merdes...
>
Allons bon, tu as des logs qui sont activables pour la partie Directory Services, par exemple. Et pour d'autres services on peut augmenter le niveau de log, dans la config de Server Admin ou pour des trucs pas exposés dans les fichiers de conf ou par des defaults bien placés.
> f.g. le blues de snow leopard...
Ah moi j'aurais dit le blues de la météo et de la fin d'année
--
35. What do you mean you needed that directory?
101 Things You Do Not Want Your System Administrator To Say
From goudal at enseirb-matmeca.fr Fri Dec 11 08:22:06 2009
From: goudal at enseirb-matmeca.fr (=?ISO-8859-1?Q?Fr=E9d=E9ric_Goudal?=)
Date: Fri Dec 11 08:23:53 2009
Subject: =?ISO-8859-1?Q?SnowLeopard_Blues_=28Was_Re:_[Admin-ml]_Routages_?=
=?ISO-8859-1?Q?sp=E9cifiques?=
In-Reply-To:
References:
<285EA6ED-0EAE-43F2-AA8E-3355534FBED7@mac.com>
<9382E3B3-4BED-418C-82B7-0AE949AE08C7@enseirb-matmeca.fr>
Message-ID: <3C5FD6EE-2D2D-4873-BC7D-1A1D1C3464A6@enseirb-matmeca.fr>
Le 11 déc. 09 à 03:10, Laurent PERTOIS a écrit :
> On 10 déc. 2009, at 23:00, Frédéric Goudal wrote:
>
>>> route(8) :-D
>>
>> Ouais heu... là je connais...
>>
>
> Je me doute, mais tu n'es pas seul sur la liste...
Ya pas un StartupItem ou un launchd spécifique pour mettre des
commandes locales ?
>
>
>> Bon je viens de réinstaller mon serveur, il marchotait pas mal,
>> mais au bout de quelques heures se mettait à raaaaleeeeennntir...
>> et impossible de lancer une nouvelle appli.
>> Comme j'avais un peu merdé sur les OD/Openladap...
>
> Ben, forcément...
Ben oui mais j'ai effacé et recommencé la conf hein.... non le chiant
c'est que j'ai jamais vu un solaris (par exemple), même sur un ldap
foireux se mettre à se semi-geler. Bref, on a de quoi analyser le
pourquoi du comment. Là j'avais le choix entre reboot et reboot...
Les ls -l ne marchaient pas, le top ne marchait pas,
> Allons bon, tu as des logs qui sont activables pour la partie
> Directory Services, par exemple. Et pour d'autres services on peut
> augmenter le niveau de log, dans la config de Server Admin ou pour
> des trucs pas exposés dans les fichiers de conf ou par des defaults
> bien placés.
Hum ? Où ça ? :)
>
>> f.g. le blues de snow leopard...
>
>
> Ah moi j'aurais dit le blues de la météo et de la fin d'année
M'en parle pas, mais c'est une autre histoire :) Tiens, pourquoi ils
ont changé l'emplacement de directory utility ? Pourquoi il met une
erreur criptique quand on demande l'identification sur le ldap quand
on l'ajoute dans la search list ? Pourquoi il sait pas s'identifier en
simple authentication ? (Je sens que je vais être obligé d'aller
chercher dans les plist, et ça me fait chier).
Au fait y a une command line qui correspond à directory_utilityé
f.g.
--
Frédéric Goudal
Service Informatique
ENSEIRB-MATMECA / IPB
Tel : +33 556 84 23 11
Fax: +33 556 37 20 23
From fcombernous at kezia.com Fri Dec 11 09:21:52 2009
From: fcombernous at kezia.com (Fabien COMBERNOUS)
Date: Fri Dec 11 09:22:08 2009
Subject: [Admin-ml] Import/export de =?ISO-8859-1?Q?pr=E9f=E9rences_?=
=?ISO-8859-1?Q?g=E9r=E9es?=
In-Reply-To:
References: <8ADBC13A-45D3-4D5F-8B01-98FE404BF7EE@laposte.net> <90016BE6-2009-4EFA-ACF0-CD68428CD2BF@mac.com> <7D1833A6-DF52-4775-A6EB-4C8AD37386E8@laposte.net>
Message-ID: <4B220120.80207@kezia.com>
Laurent PERTOIS wrote:
> On 10 déc. 2009, at 22:51, François SCHOSSIG wrote:
>
>
>> Je me demande vraiment pourquoi je n'ai jamais oser sauter dans dscl...
>>
>
> Ah mais dscl c'est bon, mangez-en.
>
Les lignes de commande avec des tonnes d'options, c'est comme le vin
rouge cela demande un palais averti. Mais les connaisseurs apprécient.
--
*Fabien COMBERNOUS*
/unix system engineer/
www.kezia.com
*Tel: +33 (0) 467 992 986*
Kezia Group
From fcombernous at kezia.com Fri Dec 11 09:31:08 2009
From: fcombernous at kezia.com (Fabien COMBERNOUS)
Date: Fri Dec 11 09:31:24 2009
Subject: =?ISO-8859-1?Q?Re=3A_SnowLeopard_Blues_=28Was_Re=3A_=5B?=
=?ISO-8859-1?Q?Admin-ml=5D_Routages_sp=E9cifiques?=
In-Reply-To: <3C5FD6EE-2D2D-4873-BC7D-1A1D1C3464A6@enseirb-matmeca.fr>
References: <285EA6ED-0EAE-43F2-AA8E-3355534FBED7@mac.com> <9382E3B3-4BED-418C-82B7-0AE949AE08C7@enseirb-matmeca.fr>
<3C5FD6EE-2D2D-4873-BC7D-1A1D1C3464A6@enseirb-matmeca.fr>
Message-ID: <4B22034C.7010508@kezia.com>
Frédéric Goudal wrote:
[...]
> Ben oui mais j'ai effacé et recommencé la conf hein.... non le chiant
> c'est que j'ai jamais vu un solaris (par exemple), même sur un ldap
> foireux se mettre à se semi-geler. Bref, on a de quoi analyser le
> pourquoi du comment. Là j'avais le choix entre reboot et reboot...
> Les ls -l ne marchaient pas, le top ne marchait pas,
Si la machine est surchargée, un top est consommateur de pas mal de
resources. Si c'est justement pour voir si la machine est effectivement
chargée qu'elle ne répond pas, il n'y a pas mieux que la commande
uptime. Tu as la charge moyenne à 1, 5 et 15 minutes. Et uptime est
nettement moins gourmande que top qui est un monstre, bien pratique cela
dit.
--
*Fabien COMBERNOUS*
/unix system engineer/
www.kezia.com
*Tel: +33 (0) 467 992 986*
Kezia Group
From bertrand.chatain at zmirov.com Fri Dec 11 13:03:47 2009
From: bertrand.chatain at zmirov.com (Bertrand Chatain)
Date: Fri Dec 11 13:04:06 2009
Subject: [Admin-ml] CUPS
In-Reply-To: <4B220120.80207@kezia.com>
References: <8ADBC13A-45D3-4D5F-8B01-98FE404BF7EE@laposte.net> <90016BE6-2009-4EFA-ACF0-CD68428CD2BF@mac.com> <7D1833A6-DF52-4775-A6EB-4C8AD37386E8@laposte.net>
<4B220120.80207@kezia.com>
Message-ID: <52084739-43ED-4F0D-9205-8A83D9CFC6BE@zmirov.com>
Bonjour,
je prepare l'arrivée d'une nouvelle imprimante et je me suis donc mis à étudier cups pour voir ce que je pouvais faire avec.
La premier chose que j'essaye de faire c'est de modifier cupsd.conf pour activer l'accès à distance sur les postes. Pour ca aucun souci, une case à cocher dans l'interface ou quelques lignes dans le fichier conf
J'ai envoyée le fichier conf sur un poste distant avec ard
J'envoi ensuite avec ard cette commande pour redémarrer le serveur
sudo launchctl unload /System/Library/LaunchDaemons/org.cups.cupsd.plist
sudo launchctl load /System/Library/LaunchDaemons/org.cups.cupsd.plist
et tout est bloqué même âpres un redémarrage. Il faut que je remette le conf d'origine pour que ca reparte.
je fais une erreur dans la demarche, mais ou ?
Merci pour votre aide
Bertrand
From jfmenard at riaux-escaliers.fr Mon Dec 14 12:29:16 2009
From: jfmenard at riaux-escaliers.fr (=?ISO-8859-1?Q?Jean-Fran=E7ois_MENARD?=)
Date: Mon Dec 14 12:29:43 2009
Subject: [Admin-ml] Impression de pdf par lots
In-Reply-To:
References:
Message-ID: <1EDFD46C-990E-4315-B37B-E4A4B7438CEB@riaux-escaliers.fr>
Bonjour
Le 26 nov. 09 à 15:10, Fabrice Vincent a écrit :
>> De : Fabrice Vincent
>> Date : Mon, 23 Nov 2009 12:49:45 +0100
>>
>> Essaye avec un "lpr ... -o HPPaperPolicy=NearestSizeAdjust ..."
>> A+
>> Fabrice
> Alors, ça marche t'y ou ça marche t'y pas ???
> A+
> Fabrice
désolé pour ma réponse TRES tardive. J'avais un peu lâché l'affaire.
En ce qui concerne les options de l'imprimante, la voie que tu m'avais
suggérée me fait avancer,
mais ne semble pas efficace pour mettre la page à l'échelle. J'ai
utilisé le paramètre suivant sur une HP :
"HPPaperPolicy=NearestSizeAdjust" sans résultat. A contrario, sur une
canon, j'arrive à utiliser la fonction d'agrafage
en envoyant les paramètres de cette manière.
à ce propos, il y a l'utilitaire foomatic (utilisé sur linux) qui
avance le tri dans les options d'un PPD.
La solution que j'ai trouvé : installation de pdfjam avec macPorts.
PdfJam contient l'outil pdfnup (comme son nom l'indique, pour mettre
plusieurs pages sur une seule). Il y a une option d'échelle qui me
permet donc de mettre le pdf à la taille avant de l'imprimer.
Cordialement
--
Jean-François MENARD
Riaux Escaliers
35560 BAZOUGES LA PEROUSE
From goudal at enseirb-matmeca.fr Mon Dec 14 15:36:34 2009
From: goudal at enseirb-matmeca.fr (=?ISO-8859-1?Q?Fr=E9d=E9ric_Goudal?=)
Date: Mon Dec 14 15:38:05 2009
Subject: [Admin-ml] Ajouter un annuaire dans mac os x serveur
Message-ID: <372C8FF6-CE4A-4889-B9E9-95680FA37A6A@enseirb-matmeca.fr>
Bonjour
Bon je continue de creuser et je crois que mon problème vient de
l'ajout de mon annuaire ldap dans la liste des sources pour
l'authentification
Voilà ce qu'il se passe :
- je prend directory utility, j'ajoute un ldap, je mets le numero IP
de mon annuaire, je coche ssl (important semble-t-il) et l'utiliser
pour l'autentication.
Il me trouve le domaine de recherche, je lui dit de mapper sur du rfc
2307. et là à l'ajout le serveur gèle un certain temps, puis répond
qu'il y a une erreur inconnue, mais tout se retrouve ensuite comme si
ça s'était bien passé, cela marche un certain temps comme cela puis au
bout de quelques heures ça gèle.
si je ne coche pas ssl, le répertoire n'apparait pas dans le search
path.
J'ai quelques pistes pour lesquelles il me manque des infos :
a) comment ajouter du log/debug à Directory Utility ? Je n'ai rien
trouvé ni dans /var/log ni dans /System/Logs
b) y a-t-il une commande qui correspond à cet ajout ?
c) j'ai loupé quelque chose dans la mannip ?
d) c'est un bug connu ?
f.g.
--
Frédéric Goudal
Service Informatique
ENSEIRB-MATMECA / IPB
Tel : +33 556 84 23 11
Fax: +33 556 37 20 23
From odlists at easymac.fr Mon Dec 14 16:08:52 2009
From: odlists at easymac.fr (Olivier DUCROT)
Date: Mon Dec 14 16:09:13 2009
Subject: [Admin-ml] Ajouter un annuaire dans mac os x serveur
In-Reply-To: <372C8FF6-CE4A-4889-B9E9-95680FA37A6A@enseirb-matmeca.fr>
Message-ID:
Je répond entre les lignes, mais pas à tout ..
le 14/12/09 15:36, Frédéric Goudal à goudal@enseirb-matmeca.fr a écrit :
> Bonjour
>
> Bon je continue de creuser et je crois que mon problème vient de
> l'ajout de mon annuaire ldap dans la liste des sources pour
> l'authentification
> Voilà ce qu'il se passe :
> - je prend directory utility, j'ajoute un ldap, je mets le numero IP
> de mon annuaire, je coche ssl (important semble-t-il) et l'utiliser
> pour l'autentication.
SSL : ça dépend si le serveur LDAP utilise ou impose SSL. Si ce n'est pas le
cas, SSL n'est pas indispensable.
> Il me trouve le domaine de recherche, je lui dit de mapper sur du rfc
> 2307. et là à l'ajout le serveur gèle un certain temps, puis répond
> qu'il y a une erreur inconnue, mais tout se retrouve ensuite comme si
> ça s'était bien passé, cela marche un certain temps comme cela puis au
> bout de quelques heures ça gèle.
Cela suppose que l'annuaire auquel tu te connectes soit un LDAP autre que
Apple et qu'il respecte le schéma auquel s'attend le serveur Apple.
>
> si je ne coche pas ssl, le répertoire n'apparait pas dans le search
> path.
>
> J'ai quelques pistes pour lesquelles il me manque des infos :
>
> a) comment ajouter du log/debug à Directory Utility ? Je n'ai rien
> trouvé ni dans /var/log ni dans /System/Logs
Le bon log à regarder est /Library/Logs/slapconfig.log
Il y a aussi moyen de passer Open Directory en mode debug
Turn on debugging:
sudo killall -USR1 DirectoryService
Lecture du fichier de log correspondant
tail -f /Library/Logs/DirectoryService/DirectoryService.debug.log
>
> b) y a-t-il une commande qui correspond à cet ajout ?
>
> c) j'ai loupé quelque chose dans la mannip ?
>
> d) c'est un bug connu ?
>
Non, ça marche même plutôt pas mal
As-tu été regarder les fichiers de configuration d'OpenLDAP pour voir s'il y
a une trace de ta connexion ?
From jpdelaunay at h2c-conseil.com Mon Dec 14 16:29:03 2009
From: jpdelaunay at h2c-conseil.com (Jean-Philippe Delaunay)
Date: Mon Dec 14 16:38:17 2009
Subject: [Admin-ml] Paswword Server n'est pas mon ami !
Message-ID: <651AA901-8AA9-492D-A845-132962A8394A@h2c-conseil.com>
Bonjour à tous,
Soit un Mac sous Mac OS X Server 10.5.8.
Environ une fois par semaine, parfois deux, j'ai un coup de fil des utilisateurs à 9h le matin, qui ne peuvent pas se connecter au serveur.
Les utilisateurs sont soit en comptes mobiles, soit en local sur leurs machines et se connectent avec un compte utilisateur qui leur est propre à un point de partage.
De mon côté, je vois bien le serveur dans Server Admin, le peux me connecter dessus en partage d'écran et ouvrir une session avec un compte admin (local) dessus.
La seule erreur que je vois dans les logs est dans "ApplePasswordServer.Error.log" est ça donne ça (une erreur par jour de plantage) :
"Dec 3 2009 09:20:15 Registration is finished error: (10, -72000)."
Actuellement je redémarre la machine et ça repart de nouveau pour une semaine, mais j'aimerais bien savoir ce qui se passe et comment y remédier proprement.
Si vous avez des idées...
--
Jean-Philippe Delaunay
-------------- section suivante --------------
H2C Conseil
http://www.h2c-conseil.com
Tél. : 09 51 11 71 96
Fax. : 02 99 36 71 96
-------------- section suivante --------------
From goudal at enseirb-matmeca.fr Mon Dec 14 17:16:47 2009
From: goudal at enseirb-matmeca.fr (=?ISO-8859-1?Q?Fr=E9d=E9ric_Goudal?=)
Date: Mon Dec 14 17:18:20 2009
Subject: [Admin-ml] Ajouter un annuaire dans mac os x serveur
In-Reply-To:
References:
Message-ID: <0FDEDA36-6ECC-408E-AD61-571403E6F787@enseirb-matmeca.fr>
Le 14 déc. 09 à 16:08, Olivier DUCROT a écrit :
>>
>>
>> Bon je continue de creuser et je crois que mon problème vient de
>> l'ajout de mon annuaire ldap dans la liste des sources pour
>> l'authentification
>> Voilà ce qu'il se passe :
>> - je prend directory utility, j'ajoute un ldap, je mets le numero IP
>> de mon annuaire, je coche ssl (important semble-t-il) et l'utiliser
>> pour l'autentication.
> SSL : ça dépend si le serveur LDAP utilise ou impose SSL. Si ce
> n'est pas le
> cas, SSL n'est pas indispensable.
Ben le Directory utility me laisse moins de possibilité si je décoche
ssl (on en en Snow Leopard hein).
Le serveur n'apparait pas ensuite dans le workgroup manager...
>> Il me trouve le domaine de recherche, je lui dit de mapper sur du rfc
>> 2307. et là à l'ajout le serveur gèle un certain temps, puis répond
>> qu'il y a une erreur inconnue, mais tout se retrouve ensuite comme si
>> ça s'était bien passé, cela marche un certain temps comme cela puis
>> au
>> bout de quelques heures ça gèle.
> Cela suppose que l'annuaire auquel tu te connectes soit un LDAP
> autre que
> Apple et qu'il respecte le schéma auquel s'attend le serveur Apple.
C'est un OpenLdap qui respecte Posix. Mais il manque peut-être des
choses...
Il y a un document qui spécifie ce qu'il faut donner ?
>> si je ne coche pas ssl, le répertoire n'apparait pas dans le search
>> path.
>>
>> J'ai quelques pistes pour lesquelles il me manque des infos :
>>
>> a) comment ajouter du log/debug à Directory Utility ? Je n'ai rien
>> trouvé ni dans /var/log ni dans /System/Logs
> Le bon log à regarder est /Library/Logs/slapconfig.log
>
> Il y a aussi moyen de passer Open Directory en mode debug
>
> Turn on debugging:
> sudo killall -USR1 DirectoryService
J'avais trouvé depuis mais c'est vraiment calamiteux comme log, rien
de bien significatif...
> Lecture du fichier de log correspondant
> tail -f /Library/Logs/DirectoryService/DirectoryService.debug.log
>
>>
>> b) y a-t-il une commande qui correspond à cet ajout ?
>>
>> c) j'ai loupé quelque chose dans la mannip ?
>>
>> d) c'est un bug connu ?
>>
> Non, ça marche même plutôt pas mal
Ben :( Je dois avoir un bug...
>
> As-tu été regarder les fichiers de configuration d'OpenLDAP pour
> voir s'il y
> a une trace de ta connexion ?
Parfois oui... parfois j'ai des erreurs TLS mais 1 fois sur deux ça
marche... bref le bordel.
f.g.
--
Frédéric Goudal
Service Informatique
ENSEIRB-MATMECA / IPB
Tel : +33 556 84 23 11
Fax: +33 556 37 20 23
From goudal at enseirb-matmeca.fr Tue Dec 15 08:57:12 2009
From: goudal at enseirb-matmeca.fr (=?ISO-8859-1?Q?Fr=E9d=E9ric_Goudal?=)
Date: Tue Dec 15 08:58:50 2009
Subject: [Admin-ml] Ajouter un annuaire dans mac os x serveur
In-Reply-To: <0FDEDA36-6ECC-408E-AD61-571403E6F787@enseirb-matmeca.fr>
References:
<0FDEDA36-6ECC-408E-AD61-571403E6F787@enseirb-matmeca.fr>
Message-ID: <62791AC7-CD50-434E-8D83-018D77BF9F2E@enseirb-matmeca.fr>
Dernières nouvelles :
Hiers soir ça marchait pas mal.
Ce matin j'arrive, je lance un terminal et là pas de prompt, j'avais
un ssh, je fais un ls -l et pas de réponse. Mais un simple ls
fonctionne.
Tout agit comme si les requetes à l'annuaire ne se faisaient pas (pour
obtenir les liaisons uid -> login et autres)
Et effectivement, pas de requête à mon ldap.
f.g.
Le 14 déc. 09 à 17:16, Frédéric Goudal a écrit :
>
> Le 14 déc. 09 à 16:08, Olivier DUCROT a écrit :
>>>
>>>
>>> Bon je continue de creuser et je crois que mon problème vient de
>>> l'ajout de mon annuaire ldap dans la liste des sources pour
>>> l'authentification
>>> Voilà ce qu'il se passe :
>>> - je prend directory utility, j'ajoute un ldap, je mets le numero IP
>>> de mon annuaire, je coche ssl (important semble-t-il) et l'utiliser
>>> pour l'autentication.
>> SSL : ça dépend si le serveur LDAP utilise ou impose SSL. Si ce
>> n'est pas le
>> cas, SSL n'est pas indispensable.
>
> Ben le Directory utility me laisse moins de possibilité si je
> décoche ssl (on en en Snow Leopard hein).
> Le serveur n'apparait pas ensuite dans le workgroup manager...
>
>
>>> Il me trouve le domaine de recherche, je lui dit de mapper sur du
>>> rfc
>>> 2307. et là à l'ajout le serveur gèle un certain temps, puis répond
>>> qu'il y a une erreur inconnue, mais tout se retrouve ensuite comme
>>> si
>>> ça s'était bien passé, cela marche un certain temps comme cela
>>> puis au
>>> bout de quelques heures ça gèle.
>> Cela suppose que l'annuaire auquel tu te connectes soit un LDAP
>> autre que
>> Apple et qu'il respecte le schéma auquel s'attend le serveur Apple.
>
> C'est un OpenLdap qui respecte Posix. Mais il manque peut-être des
> choses...
> Il y a un document qui spécifie ce qu'il faut donner ?
>
>>> si je ne coche pas ssl, le répertoire n'apparait pas dans le search
>>> path.
>>>
>>> J'ai quelques pistes pour lesquelles il me manque des infos :
>>>
>>> a) comment ajouter du log/debug à Directory Utility ? Je n'ai rien
>>> trouvé ni dans /var/log ni dans /System/Logs
>> Le bon log à regarder est /Library/Logs/slapconfig.log
>>
>> Il y a aussi moyen de passer Open Directory en mode debug
>>
>> Turn on debugging:
>> sudo killall -USR1 DirectoryService
>
> J'avais trouvé depuis mais c'est vraiment calamiteux comme log, rien
> de bien significatif...
>
>
>> Lecture du fichier de log correspondant
>> tail -f /Library/Logs/DirectoryService/DirectoryService.debug.log
>
>
>
>
>>
>>>
>>> b) y a-t-il une commande qui correspond à cet ajout ?
>>>
>>> c) j'ai loupé quelque chose dans la mannip ?
>>>
>>> d) c'est un bug connu ?
>>>
>> Non, ça marche même plutôt pas mal
>
> Ben :( Je dois avoir un bug...
>
>>
>> As-tu été regarder les fichiers de configuration d'OpenLDAP pour
>> voir s'il y
>> a une trace de ta connexion ?
>
> Parfois oui... parfois j'ai des erreurs TLS mais 1 fois sur deux ça
> marche... bref le bordel.
>
> f.g.
>
>
> --
> Frédéric Goudal
> Service Informatique
> ENSEIRB-MATMECA / IPB
> Tel : +33 556 84 23 11
> Fax: +33 556 37 20 23
>
>
>
>
>
>
>
--
Frédéric Goudal
Service Informatique
ENSEIRB-MATMECA / IPB
Tel : +33 556 84 23 11
Fax: +33 556 37 20 23
From bertrand.chatain at zmirov.com Tue Dec 15 10:49:14 2009
From: bertrand.chatain at zmirov.com (Bertrand Chatain)
Date: Tue Dec 15 10:49:31 2009
Subject: [Admin-ml] CUPS
In-Reply-To: <52084739-43ED-4F0D-9205-8A83D9CFC6BE@zmirov.com>
References: <8ADBC13A-45D3-4D5F-8B01-98FE404BF7EE@laposte.net> <90016BE6-2009-4EFA-ACF0-CD68428CD2BF@mac.com> <7D1833A6-DF52-4775-A6EB-4C8AD37386E8@laposte.net>
<4B220120.80207@kezia.com>
<52084739-43ED-4F0D-9205-8A83D9CFC6BE@zmirov.com>
Message-ID: <5917AEF8-101C-4870-803C-75713177EF40@zmirov.com>
Petit conseil ne surtout pas faire cette méthode, ça bloque l'ouverture de session de l'utilisateur.
J'ai pourtant pris un cupsd.conf de 10.5.8 intel pour l'envoyer sur un 10.5.8 intel mais ça marche vraiment pas.
Bertrand
Le 11 déc. 2009 à 13:03, Bertrand Chatain a écrit :
> Bonjour,
>
> je prepare l'arrivée d'une nouvelle imprimante et je me suis donc mis à étudier cups pour voir ce que je pouvais faire avec.
>
> La premier chose que j'essaye de faire c'est de modifier cupsd.conf pour activer l'accès à distance sur les postes. Pour ca aucun souci, une case à cocher dans l'interface ou quelques lignes dans le fichier conf
>
> J'ai envoyée le fichier conf sur un poste distant avec ard
>
> J'envoi ensuite avec ard cette commande pour redémarrer le serveur
>
> sudo launchctl unload /System/Library/LaunchDaemons/org.cups.cupsd.plist
> sudo launchctl load /System/Library/LaunchDaemons/org.cups.cupsd.plist
>
> et tout est bloqué même âpres un redémarrage. Il faut que je remette le conf d'origine pour que ca reparte.
>
> je fais une erreur dans la demarche, mais ou ?
>
> Merci pour votre aide
>
> Bertrand
> _______________________________________________
> Admin-ml mailing list
> Admin-ml@mosx.org
> http://coruscant.mosx.org/mailman/listinfo/admin-ml
From goudal at enseirb-matmeca.fr Tue Dec 15 20:27:43 2009
From: goudal at enseirb-matmeca.fr (=?ISO-8859-1?Q?Fr=E9d=E9ric_Goudal?=)
Date: Tue Dec 15 20:29:27 2009
Subject: [Admin-ml] Kerberos et active directory
Message-ID:
Bonjour,
Je continue - avec l'aide de notre fournisseur - de creuser nos
identifications entre notre serveur 10.6 et nos annuaires.
Après nous être rendu compte que notre openldap ne pouvait pas nous
fournir de support pour de l'identification kerberos, nous avons
décidé de nous marier avec un AD.
Bref, dans dirctory utility on coche active directory, on se connecte
tout va bien et à la fin il y a une fenêtre qui dit qu'il faut aller
dans Server Admin puis Open Directory, Setting, General, et là de
cliquer sur « join kerberos » sauf que.... Y A PAS join kerberos.
Donc on en arrive à la situation suivante : les utilisateurs issus de
l'AD se connectent ssh sans pb, mais ne peuvent avoir de realm kerberos.
kinit: Unable to acquire credentials for XXX ... Client 'goudal@WXX.XXX.FR
' not found in Kerberos database
Ouin....
Bon je pense qu'il y a un pb soit du côté de l'AD soit du côté de
l'absence de « join » du côté du server mac.
Quelqu'un a des idées ?
f.g.
--
Frédéric Goudal
Service Informatique
ENSEIRB-MATMECA / IPB
Tel : +33 556 84 23 11
Fax: +33 556 37 20 23
From gohu35 at live.fr Tue Dec 15 20:49:25 2009
From: gohu35 at live.fr (Hugo Letemplier)
Date: Tue Dec 15 20:52:52 2009
Subject: [Admin-ml] =?iso-8859-1?q?Fwd=3A_Forte_=E9pid=E9mie_de_=2EDS=5FS?=
=?iso-8859-1?q?TORE_comment_les_arr=EAter_=3F?=
References:
Message-ID:
Problème lors de l'envoi je re tente le coup.
Début du message réexpédié :
> De : Hugo Letemplier
> Date : 15 décembre 2009 20:43:20 HNEC
> À : admin-ml@mosx.org
> Objet : Forte épidémie de .DS_STORE comment les arrêter ?
>
> Bonsoir a tous
> On parle souvent des pandémies en cette période de grippe A, je
> souhaiterais aborder un autre fléau qui se répand sans prévenir sur
> mes lecteurs réseaux, disques durs, clés USB.
>
> J'ai bien sur réussi a stopper l'épidémie sur les lecteurs réseaux
> avec la commande defaults qui permet de modifier certains paramètres
> du système. Maintenant je souhaiterais empêcher la création de ces
> fichiers sur mes clés USB et autres disque durs externe ou
> partitions bootcamp car j'ai l'impression que cela provoque des
> accès qui empêchent de retirer sans encombre un périphérique sans
> avoir de pépin lors du démontage.
>
> Je recherche donc un antidote pour éviter l'invasion.
> (J'espère que vous me pardonnerez cette petite touche d'humour)
>
> Cdlt.
> Hugo
From mxiaens at gmail.com Tue Dec 15 22:42:56 2009
From: mxiaens at gmail.com (Marc)
Date: Tue Dec 15 22:50:25 2009
Subject: =?UTF-8?B?UmU6IFtBZG1pbi1tbF0gRndkOiBGb3J0ZSDDqXBpZMOpbWllIGRlIC5EU19TVE9SRSBjbw==?=
=?UTF-8?B?bW1lbnQgbGVzIGFycsOqdGVyID8=?=
In-Reply-To:
References:
Message-ID: <88b51b380912151342u5fe055ddgb9ee2e496ed3cc3b@mail.gmail.com>
mmm.. ce sont des fichiers contenant les propriétés des dossiers : affichage
par nom ou par taille, en icones ou en détails etc.
J'avais vu il y a quelques temps cette commande :
*Pour ne pas créer ces fichiers sur les réseaux :
- lancez le Terminal (dans Applications/Utilitaires)
- tapez la commande suivante (sans les guillemets)
?defaults write com.apple.desktopservices DSDontWriteNetworkStores true?
- validez
- redémarrez l'ordinateur
Pour revenir en arrière, retapez la commande en remplaçant ?true? par
?false?.
Comme la première commande crée un fichier ?com.apple.desktopservices.plist?
dans le dossier Préférences de votre Bibliothèque, vous pouvez aussi
l'éditer avec le Property List Editor et y modifier la valeur.
Si vous voulez que chaque utilisateur de l'ordinateur bénéficie de cette
manipulation, exécutez la commande après vous être logué par chaque compte.
Vous pouvez aussi copier votre com.apple.desktopservices.plist dans chaque
Bibliothèque/Préférences de chaque compte.*
Je ne sais pas ce que ça vaut.
http://goddess-gate.com/dc2/index.php/post/97
Le 15 décembre 2009 20:49, Hugo Letemplier a écrit :
> Problème lors de l'envoi je re tente le coup.
>
> Début du message réexpédié :
>
> De : Hugo Letemplier
>> Date : 15 décembre 2009 20:43:20 HNEC
>> À : admin-ml@mosx.org
>> Objet : Forte épidémie de .DS_STORE comment les arrêter ?
>>
>> Bonsoir a tous
>> On parle souvent des pandémies en cette période de grippe A, je
>> souhaiterais aborder un autre fléau qui se répand sans prévenir sur mes
>> lecteurs réseaux, disques durs, clés USB.
>>
>> J'ai bien sur réussi a stopper l'épidémie sur les lecteurs réseaux avec la
>> commande defaults qui permet de modifier certains paramètres du système.
>> Maintenant je souhaiterais empêcher la création de ces fichiers sur mes clés
>> USB et autres disque durs externe ou partitions bootcamp car j'ai
>> l'impression que cela provoque des accès qui empêchent de retirer sans
>> encombre un périphérique sans avoir de pépin lors du démontage.
>>
>> Je recherche donc un antidote pour éviter l'invasion.
>> (J'espère que vous me pardonnerez cette petite touche d'humour)
>>
>> Cdlt.
>> Hugo
>>
>
> _______________________________________________
> Admin-ml mailing list
> Admin-ml@mosx.org
> http://coruscant.mosx.org/mailman/listinfo/admin-ml
>
--
Marc
mxiaens@gmail.com
From yvast at free.fr Wed Dec 16 08:33:22 2009
From: yvast at free.fr (Yan)
Date: Wed Dec 16 08:33:43 2009
Subject: =?ISO-8859-1?Q?Re:_[Admin-ml]_Fwd:_Forte_=E9pid=E9mie_de_.DS=5FS?=
=?ISO-8859-1?Q?TORE_comment_les_arr=EAter_=3F?=
In-Reply-To:
References:
Message-ID: <3C5C4F67-87B7-497A-863D-FBDD8A7D4A35@free.fr>
>>
>> Bonsoir a tous
>> On parle souvent des pandémies en cette période de grippe A, je
>> souhaiterais aborder un autre fléau qui se répand sans prévenir sur
>> mes lecteurs réseaux, disques durs, clés USB.
>>
>> J'ai bien sur réussi a stopper l'épidémie sur les lecteurs réseaux
>> avec la commande defaults qui permet de modifier certains
>> paramètres du système. Maintenant je souhaiterais empêcher la
>> création de ces fichiers sur mes clés USB et autres disque durs
>> externe ou partitions bootcamp car j'ai l'impression que cela
>> provoque des accès qui empêchent de retirer sans encombre un
>> périphérique sans avoir de pépin lors du démontage.
>>
>> Je recherche donc un antidote pour éviter l'invasion.
>> (J'espère que vous me pardonnerez cette petite touche d'humour)
>>
>> Cdlt.
>> Hugo
>
Il y'a Blue Harvest qui fait ca très bien :
http://zeroonetwenty.com/blueharvest/
Dans les 14$, mais tu peut l'essayer 30jours.
Cordialement
--
Yannick
From gohu35 at live.fr Wed Dec 16 08:35:03 2009
From: gohu35 at live.fr (Hugo Letemplier)
Date: Wed Dec 16 08:35:32 2009
Subject: =?ISO-8859-1?Q?Re:_[Admin-ml]_Fwd:_Forte_=E9pid=E9mie_de_.DS=5FS?=
=?ISO-8859-1?Q?TORE_comment_les_arr=EAter_=3F?=
In-Reply-To: <88b51b380912151342u5fe055ddgb9ee2e496ed3cc3b@mail.gmail.com>
References:
<88b51b380912151342u5fe055ddgb9ee2e496ed3cc3b@mail.gmail.com>
Message-ID:
Merci de votre réponse mais justement j'ai déjà réussi a les retirer
des lecteurs réseaux mais j'aimerais faire de même avec mes clés USB
et autres disques durs externes. En particulier tout ce qui est sur un
système de fichier Windowsien.
> *Pour ne pas créer ces fichiers sur les réseaux :
>
> - lancez le Terminal (dans Applications/Utilitaires)
> - tapez la commande suivante (sans les guillemets)
> ?defaults write com.apple.desktopservices DSDontWriteNetworkStores
> true?
> - validez
> - redémarrez l'ordinateur
>
> Pour revenir en arrière, retapez la commande en remplaçant ?true? par
> ?false?.
> Comme la première commande crée un fichier
> ?com.apple.desktopservices.plist?
> dans le dossier Préférences de votre Bibliothèque, vous pouvez aussi
> l'éditer avec le Property List Editor et y modifier la valeur.
>
> Si vous voulez que chaque utilisateur de l'ordinateur bénéficie de
> cette
> manipulation, exécutez la commande après vous être logué par chaque
> compte.
> Vous pouvez aussi copier votre com.apple.desktopservices.plist dans
> chaque
> Bibliothèque/Préférences de chaque compte.*
>
> Je ne sais pas ce que ça vaut.
>
> http://goddess-gate.com/dc2/index.php/post/97
From trash127 at free.fr Wed Dec 16 08:54:02 2009
From: trash127 at free.fr (Trash is empty)
Date: Wed Dec 16 08:54:22 2009
Subject: [Admin-ml] SFTP
In-Reply-To: <4B16E0C8.50300@x2p.fr>
References: <532B4D58-D90C-40F0-9227-E8182EB92C56@free.fr>
<4B16E0C8.50300@x2p.fr>
Message-ID: <9C1FCE72-6929-4125-BB9A-D87342A9AB11@free.fr>
Bonjour,
Désolé pour le retard de ma réponse.
Ca marche effectivement si je mets les droits suivants sur /sftp
691936 0 drwxr-xr-x 4 root g_sftp 136 Nov 27 16:09 sftp
J'ai attribué le dossier /sftp au groupe g_sftp, et les utilisateurs qui utilisent le sftp appartiennent à ce groupe.
Bonne journée,
G.
Le 2 déc. 2009 à 22:48, Benoit GARCIA a écrit :
> Le 02/12/09 18:48, Trash is empty a écrit :
>> Bonjour,
>>
> Bonjour,
>> J'ai un serveur SFTP fonctionnel (10.5.8 serveur), et je souhaite chrooter l'utilisateur dans son dossier, et l'empêcher d'utiliser des commandes.
>>
>> J'ai pour cela éditer /etc/sshd_config
>>
>> Et ajouter :
>>
>> #Subsystem sftp /usr/libexec/sftp-server
>> Subsystem sftp internal-sftp
>>
>> AllowUsers utilisateur_test
>> Match User utilisateur_test
>> ChrootDirectory /sftp
>> X11Forwarding no
>> AllowTcpForwarding no
>> # ForceCommand internal-sftp
>>
>>
>> Les droits de / sont
>> 2 0 drwxr-xr-t 39 root admin 1394 Nov 18 12:34 .
>> Et ceux de /sftp :
>> 691936 0 drwx------ 4 root wheel 136 Nov 27 16:09 sftp
>> Donc seul root, peut écrire dans ce dossier.
>>
> Non, seul root peut **accéder** à ce dossier.
> Si vous vous connectez sur la machine en question et que vous rentrez la commande "sudo -u utilisateur_test ls -l /sftp" qu'obtenez vous comme résultat?
>> Pourtant quand utilisateur_test essaye de s'y connecter, (dans cyberduck)
>> Permission denied (SSH_FX_PERMISSION_DENIED: The user does not have sufficient permissions to perform the operation.).
>>
> C'est normal au vu des permissions sur le dossier.
>> Avez-vous une idée du problème ?
>>
> Il vous suffit de modifier les permissions sur le dossier afin que votre utilisateur_test et tous les utilisateurs autorisés à se connecter à ce serveur sftt aient les droits de lecture sur le dossier /sftp et tout son contenu, ainsi que le droit d'exécution sur le dossier /sftp et tous ses sous-dossiers. Le droit d'exécution sur un dossier se traduit par la possibilité d'en lister le contenu.
>> Merci!
>>
> De rien.
>> Guillaume,
>>
> --
> ------------------------------------------------------------------------
> Benoit Garcia
> Xpress2people
> +33 (0) 626 697 859
> +33 (0) 180 815 035
> http://www.xpress2people.com
> _______________________________________________
> Admin-ml mailing list
> Admin-ml@mosx.org
> http://coruscant.mosx.org/mailman/listinfo/admin-ml
From goudal at enseirb-matmeca.fr Wed Dec 16 15:45:45 2009
From: goudal at enseirb-matmeca.fr (=?ISO-8859-1?Q?Fr=E9d=E9ric_Goudal?=)
Date: Wed Dec 16 15:47:19 2009
Subject: [Admin-ml] pcast service member
Message-ID: <3E5C7FB1-ED81-4305-9290-AB6AA981CC87@enseirb-matmeca.fr>
Bonjour
Je suis toujours sur mon podcast server.
Quand je m'authentifie avec mon openldap je me retrouve avec une erreur
user xxx not member of pcast service.
Dans les logs (processus mongrel)
J'ai tracé un peu l'appel en ruby mais je tombe au final sur un appel
dans un ruby_bundle en binaire.
Je me demande quel est donc cette foutue vérification qui est faite et
ce qu'il me manque dans mon annuaire (peut-être)...
Quelqu'un aurait une idée ?
f.g.
--
Frédéric Goudal
Service Informatique
ENSEIRB-MATMECA / IPB
Tel : +33 556 84 23 11
Fax: +33 556 37 20 23
From laurent_pertois at mac.com Wed Dec 16 22:45:01 2009
From: laurent_pertois at mac.com (Laurent PERTOIS)
Date: Wed Dec 16 22:46:21 2009
Subject: =?iso-8859-1?Q?Re:_SnowLeopard_Blues_=28Was_Re:_[Admin-ml]_Routa?=
=?iso-8859-1?Q?ges_sp=E9cifiques?=
In-Reply-To: <3C5FD6EE-2D2D-4873-BC7D-1A1D1C3464A6@enseirb-matmeca.fr>
References:
<285EA6ED-0EAE-43F2-AA8E-3355534FBED7@mac.com>
<9382E3B3-4BED-418C-82B7-0AE949AE08C7@enseirb-matmeca.fr>
<3C5FD6EE-2D2D-4873-BC7D-1A1D1C3464A6@enseirb-matmeca.fr>
Message-ID: <34DC7FDC-570F-47DF-A817-842CF5367AE1@mac.com>
On 11 déc. 2009, at 08:22, Frédéric Goudal wrote:
>> Allons bon, tu as des logs qui sont activables pour la partie Directory Services, par exemple. Et pour d'autres services on peut augmenter le niveau de log, dans la config de Server Admin ou pour des trucs pas exposés dans les fichiers de conf ou par des defaults bien placés.
>
> Hum ? Où ça ? :)
>
>>
>> Ah moi j'aurais dit le blues de la météo et de la fin d'année
>
>
> M'en parle pas, mais c'est une autre histoire :) Tiens, pourquoi ils ont changé l'emplacement de directory utility ?
Faut cacher ça à madame Michu qui n'en a que faire chez elle.
> Pourquoi il met une erreur criptique quand on demande l'identification sur le ldap quand on l'ajoute dans la search list ?
Là, comme ça, aucune idéé
> Pourquoi il sait pas s'identifier en simple authentication ? (Je sens que je vais être obligé d'aller chercher dans les plist, et ça me fait chier).
??
> Au fait y a une command line qui correspond à directory_utilityé
dsconfigldap mais il faut utiliser defaults pour ajouter dans la search list, par contre.
--
"La ligne droite est le plus court chemin d'un point à un autre."
Quelle connerie ! Chacun sait en effet que la ligne droite ne peut être le plus court chemin d'un point à un autre.
Sauf, évidemment, si les deux points sont bien en face l'un de l'autre.
Pierre Desproges
From laurent_pertois at mac.com Wed Dec 16 22:45:06 2009
From: laurent_pertois at mac.com (Laurent PERTOIS)
Date: Wed Dec 16 22:46:24 2009
Subject: =?windows-1252?Q?Re:_[Admin-ml]_Fwd:_Forte_=E9pid=E9mie_de_.DS?=
=?windows-1252?Q?=5FSTORE_comment_les_arr=EAter_=3F?=
In-Reply-To:
References:
<88b51b380912151342u5fe055ddgb9ee2e496ed3cc3b@mail.gmail.com>
Message-ID: <47483164-2D25-48D6-8CE0-C1F9AA63BA61@mac.com>
On 16 déc. 2009, at 08:35, Hugo Letemplier wrote:
> Merci de votre réponse mais justement j'ai déjà réussi a les retirer des lecteurs réseaux mais j'aimerais faire de même avec mes clés USB et autres disques durs externes. En particulier tout ce qui est sur un système de fichier Windowsien.
BlueHarvest, comme déjà conseillé, payant mais adapté.
Et non, ce n'est pas mieux en face, mes clés sont remplies de thumbs.db quand je les mets sur un windows et qu'il y a des images...
--
55. Say, What does "Superblock Error" mean, anyhow?
101 Things You Do Not Want Your System Administrator To Say
From laurent_pertois at mac.com Wed Dec 16 22:45:26 2009
From: laurent_pertois at mac.com (Laurent PERTOIS)
Date: Wed Dec 16 22:46:41 2009
Subject: [Admin-ml] pcast service member
In-Reply-To: <3E5C7FB1-ED81-4305-9290-AB6AA981CC87@enseirb-matmeca.fr>
References: <3E5C7FB1-ED81-4305-9290-AB6AA981CC87@enseirb-matmeca.fr>
Message-ID: <092697F1-3B39-4019-B9BF-AA82E36416D3@mac.com>
On 16 déc. 2009, at 15:45, Frédéric Goudal wrote:
> Je me demande quel est donc cette foutue vérification qui est faite et ce qu'il me manque dans mon annuaire (peut-être)...
> Quelqu'un aurait une idée ?
PcP 1 ou 2 ?
Sinon, il faut un GUID ou UUID, j'ai essayé de contourner en faisant un compte augmenté mais ça ne semble pas suffire...
--
14. Sorry, the new equipment didn't get budgetted.
101 Things You Do Not Want Your System Administrator To Say
From goudal at enseirb-matmeca.fr Thu Dec 17 09:28:44 2009
From: goudal at enseirb-matmeca.fr (=?ISO-8859-1?Q?Fr=E9d=E9ric_Goudal?=)
Date: Thu Dec 17 09:30:19 2009
Subject: [Admin-ml] pcast service member
In-Reply-To: <092697F1-3B39-4019-B9BF-AA82E36416D3@mac.com>
References: <3E5C7FB1-ED81-4305-9290-AB6AA981CC87@enseirb-matmeca.fr>
<092697F1-3B39-4019-B9BF-AA82E36416D3@mac.com>
Message-ID:
Le 16 déc. 09 à 22:45, Laurent PERTOIS a écrit :
> On 16 déc. 2009, at 15:45, Frédéric Goudal wrote:
>
>> Je me demande quel est donc cette foutue vérification qui est faite
>> et ce qu'il me manque dans mon annuaire (peut-être)...
>> Quelqu'un aurait une idée ?
>
>
> PcP 1 ou 2 ?
>
> Sinon, il faut un GUID ou UUID, j'ai essayé de contourner en faisant
> un compte augmenté mais ça ne semble pas suffire...
>
pcp2. Mais pour l'uuid j'en étais arrivé par là, sauf que j'ai fait la
commande dscmemberutil -getUUID et elle m'a retourné un UUID pour
l'utilisateur.
Donc je m'étais dit que c'était ok. Mais pas forcément apparament.
Question subsidiaire : on peut prendre n'importe quoi comme uuid ou il
y a des règles à suivre ? Y a une doc de référence ?
f.g.
--
Frédéric Goudal
Service Informatique
ENSEIRB-MATMECA / IPB
Tel : +33 556 84 23 11
Fax: +33 556 37 20 23
From goudal at enseirb-matmeca.fr Thu Dec 17 09:30:51 2009
From: goudal at enseirb-matmeca.fr (=?ISO-8859-1?Q?Fr=E9d=E9ric_Goudal?=)
Date: Thu Dec 17 09:32:23 2009
Subject: [Admin-ml] Afficher les utilisateurs avec de petits uid
Message-ID: <1554DC6D-202C-44F4-9D18-034508C68CC8@enseirb-matmeca.fr>
Bonjour,
J'ai un petit pb avec mon snow léopard : mon uid est < 500 et donc
quand il fait des listes d'utilisateurs (pour ajouter ou restreindre
l'accés à un service dans server-admin ou dans worgroup manager) je
n'apparais pas.
Non je ne vais pas changer d'uid (ben oui quoi on a juste... quelques
annuaires autour et plein de machines qui attendent cet uid).
J'imagine qu'il y a une pref quelque part ?
f.g.
--
Frédéric Goudal
Service Informatique
ENSEIRB-MATMECA / IPB
Tel : +33 556 84 23 11
Fax: +33 556 37 20 23
From odlists at easymac.fr Thu Dec 17 10:45:50 2009
From: odlists at easymac.fr (Olivier DUCROT)
Date: Thu Dec 17 10:46:06 2009
Subject: [Admin-ml] Afficher les utilisateurs avec de petits uid
In-Reply-To: <1554DC6D-202C-44F4-9D18-034508C68CC8@enseirb-matmeca.fr>
Message-ID:
Oui, il y en a une, voire plusieurs...
Une pour la fenêtre d'ouverture de session, à modifier avec un defaults
write et une autre dans WGM, dans le menu "Présentation" de l'application :
afficher les fiches système.
sudo defaults write /Library/Preferences/com.apple.loginwindow Hide500Users
-bool TRUE
__
EXTRAIT DU LIVRE DE PEACHPIT "MacOS X Deployment 10.5" que je recommande :
Modify the loginwindow settings so it does not show the hidden administrator
account or any account with user IDs below 500. This will also prevent the
Accounts preference and the fast user switching menu from showing accounts
with user IDs below 500. The quickest method to set these custom settings is
to use the defaults command. In the following example, Michelle will modify
the loginwindow preferences to hide accounts with user IDs below 500, and
then hide the hadmin account.
MyMac:~ michelle$ sudo defaults write
/Library/Preferences/com.apple.loginwindow Hide500Users -bool TRUE
MyMac:~ michelle$ sudo defaults write
/Library/Preferences/com.apple.loginwindow HiddenUsersList -array hadmin
le 17/12/09 09:30, Frédéric Goudal à goudal@enseirb-matmeca.fr a écrit :
> Bonjour,
>
> J'ai un petit pb avec mon snow léopard : mon uid est < 500 et donc
> quand il fait des listes d'utilisateurs (pour ajouter ou restreindre
> l'accés à un service dans server-admin ou dans worgroup manager) je
> n'apparais pas.
> Non je ne vais pas changer d'uid (ben oui quoi on a juste... quelques
> annuaires autour et plein de machines qui attendent cet uid).
>
> J'imagine qu'il y a une pref quelque part ?
>
> f.g.
>
La théorie, c¹est quand on sait tout mais que rien ne marche
La pratique, c¹est quand tout marche mais qu¹on ne sait pas pas pourquoi
Et l¹informatique, c¹est l¹union de la théorie et de la pratique : rien ne
marche et on sait pas pourquoi
_________________________________________________________
| |
| |
/ )| Olivier DUCROT |( \
/ / | ACSP, ACTC & ACSA 10.5 | \ \
_( (_ | | _) )_
(((\ \>|_/->_______________________________________________<-\_|
Bonjour,
J'ai configuré dans ServerAdmin un VirtualHost. Dans la terminologie SA,
j'ai utilisé un royaume pour restreindre l'accès à ce site web. Et en
première étape dans les méthodes d'authentification j'ai mis autre chose
que kerberos et cela fonctionne.
Je me suis dit j'ai un OD autant s'en servir. Cela évitera de devoir
fournir un mot de passe. Je met la méthode d'authentification à kerberos
pour le dit royaume. Je fais un restart de l'indien. Et l'à j'ai une
erreur 401. Je me dit il doit y manquer un morceau. Et je pense au
module apache mod_auth_kerb. Je vais dans le SA et là ... heu ... pas de
module en question en vue.
Me voilà bien comme une poule qui découvre un couteau.
Comment faire une authentification kerberos avec apache sans le module
mod_auth_kerb ?
--
*Fabien COMBERNOUS*
/unix system engineer/
www.kezia.com
*Tel: +33 (0) 467 992 986*
Kezia Group
From goudal at enseirb-matmeca.fr Thu Dec 17 20:17:13 2009
From: goudal at enseirb-matmeca.fr (=?ISO-8859-1?Q?Fr=E9d=E9ric_Goudal?=)
Date: Thu Dec 17 20:18:57 2009
Subject: [Admin-ml] Afficher les utilisateurs avec de petits uid
In-Reply-To:
References:
Message-ID: <68C5289E-9E8E-4602-91EC-37F17F13DF21@enseirb-matmeca.fr>
Le 17 déc. 09 à 10:45, Olivier DUCROT a écrit :
> Oui, il y en a une, voire plusieurs...
> Une pour la fenêtre d'ouverture de session, à modifier avec un
> defaults
> write et une autre dans WGM, dans le menu "Présentation" de
> l'application :
> afficher les fiches système.
Merci, ça le fait !
>
>
> le 17/12/09 09:30, Frédéric Goudal à goudal@enseirb-matmeca.fr a
> écrit :
>
>> Bonjour,
>>
>> J'ai un petit pb avec mon snow léopard : mon uid est < 500 et donc
>> quand il fait des listes d'utilisateurs (pour ajouter ou restreindre
>> l'accés à un service dans server-admin ou dans worgroup manager) je
>> n'apparais pas.
>> Non je ne vais pas changer d'uid (ben oui quoi on a juste... quelques
>> annuaires autour et plein de machines qui attendent cet uid).
>>
>> J'imagine qu'il y a une pref quelque part ?
>>
>> f.g.
>>
>
> La théorie, c?est quand on sait tout mais que rien ne marche
> La pratique, c?est quand tout marche mais qu?on ne sait pas pas
> pourquoi
> Et l?informatique, c?est l?union de la théorie et de la pratique :
> rien ne
> marche et on sait pas pourquoi
>
> _________________________________________________________
> | |
> | |
> / )| Olivier DUCROT |( \
> / / | ACSP, ACTC & ACSA 10.5 | \ \
> _( (_ | |
> _) )_
> (((\ \>|_/->_______________________________________________<-\_|
> (\\\\ \_/ / \
> \_/ ////)
> \ /
> \ /
> \ _/ -----====+====------
> \_ /
> / / \
> \
>
>
>
>
> _______________________________________________
> Admin-ml mailing list
> Admin-ml@mosx.org
> http://coruscant.mosx.org/mailman/listinfo/admin-ml
>
--
Frédéric Goudal
Service Informatique
ENSEIRB-MATMECA / IPB
Tel : +33 556 84 23 11
Fax: +33 556 37 20 23
From laurent_pertois at mac.com Mon Dec 21 11:37:57 2009
From: laurent_pertois at mac.com (Laurent PERTOIS)
Date: Mon Dec 21 11:38:16 2009
Subject: [Admin-ml] apache avec kerberos.
In-Reply-To: <4B2A1056.4090603@kezia.com>
References: <4B2A1056.4090603@kezia.com>
Message-ID: <70FEBEDE-03CD-4F37-B41E-F90CC324AEAA@mac.com>
On 17 déc. 2009, at 12:04, Fabien COMBERNOUS wrote:
> Comment faire une authentification kerberos avec apache sans le module mod_auth_kerb ?
C'est l'un des mod_auth_apple, je ne sais plus lequel.
Cela dit, je ne suis pas certain que ça fonctionne avec FireFox, à tester avec Safari.
--
76. What happens to a Hard Disk when you drop it?
101 Things You Do Not Want Your System Administrator To Say
From odlists at easymac.fr Mon Dec 21 12:47:54 2009
From: odlists at easymac.fr (Olivier DUCROT)
Date: Mon Dec 21 12:48:13 2009
Subject: [Admin-ml] apache avec kerberos.
In-Reply-To: <70FEBEDE-03CD-4F37-B41E-F90CC324AEAA@mac.com>
Message-ID:
Ça fonctionne avec Firefox 3.5, je n'ai jamais testé avec les versions
antérieures
le 21/12/09 11:37, Laurent PERTOIS à laurent_pertois@mac.com a écrit :
> On 17 déc. 2009, at 12:04, Fabien COMBERNOUS wrote:
>
>> Comment faire une authentification kerberos avec apache sans le module
>> mod_auth_kerb ?
>
>
> C'est l'un des mod_auth_apple, je ne sais plus lequel.
>
> Cela dit, je ne suis pas certain que ça fonctionne avec FireFox, à tester avec
> Safari.
La théorie, c¹est quand on sait tout mais que rien ne marche
La pratique, c¹est quand tout marche mais qu¹on ne sait pas pas pourquoi
Et l¹informatique, c¹est l¹union de la théorie et de la pratique : rien ne
marche et on sait pas pourquoi
_________________________________________________________
| |
| |
/ )| Olivier DUCROT |( \
/ / | ACSP, ACTC & ACSA 10.5 | \ \
_( (_ | | _) )_
(((\ \>|_/->_______________________________________________<-\_|
References: <4B2A1056.4090603@kezia.com>
<70FEBEDE-03CD-4F37-B41E-F90CC324AEAA@mac.com>
Message-ID: <4B2F9E17.2060902@kezia.com>
Laurent PERTOIS wrote:
> On 17 déc. 2009, at 12:04, Fabien COMBERNOUS wrote:
>
>
>> Comment faire une authentification kerberos avec apache sans le module mod_auth_kerb ?
>>
>
>
> C'est l'un des mod_auth_apple, je ne sais plus lequel.
>
> Cela dit, je ne suis pas certain que ça fonctionne avec FireFox, à tester avec Safari.
>
>
Merci à vous deux.
Suite à ce mail, je suis allé dans SA pour vérifier si le module
mod_auth_apple était chargé par la configuration d'apache. Il l'était.
J'ai alors regardé les modules un à un et j'ai coché un module qui avait
l'air d'avoir une bonne bouille au premier abord : mod_authz_user. Je
redemarre l'indien. Et là toujours erreur 401. Mais dans les log
kerberos je vois qu'il cherche un principal HTTP/virtualhost@REALM.
Alors je vérifie dans kadmin si HTTP/fqdn_serveurweb@REALM existe. C'est
le cas. Je charge la page http://fqdn_serveurweb et l'identification
s'effectue sans soucis.
Par curiosité, je décoche le module mod_authz_user dans la conf apache
et gracefull restart l'indien. Et Ô miracle de la technologie, ça marche
toujours. Avant que je coche le module mod_authz_user, je n'avais pas de
log dans le kerberos. Du coup je ne sais pas pourquoi c'est tombé en
marche. :)
Si j'oublie cela, je suis tout de même déçu qu'il faille jouer de kadmin
pour avoir le principal qui va bien. L'interface de SA permet de créer
un royaume avec une authentification Kerberos. Mais sans le principal je
ne vois pas comment cela peut fonctionner. J'ai loupé une manipulation
dans la clicoteuse ?
Et puis j'ai créé le fameux principal HTTP/virtualhost@REALM mais il ne
lui plait pas, j'ai toujours une erreur 401 si je le contacte avec
l'adresse http://virtualhost.
Bref heu ... pas top top.
--
*Fabien COMBERNOUS*
/unix system engineer/
www.kezia.com
*Tel: +33 (0) 467 992 986*
Kezia Group
From odlists at easymac.fr Mon Dec 21 22:57:22 2009
From: odlists at easymac.fr (Olivier DUCROT)
Date: Mon Dec 21 22:57:40 2009
Subject: [Admin-ml] apache avec kerberos.
In-Reply-To: <4B2F9E17.2060902@kezia.com>
Message-ID:
Il n'y a pas besoin de jouer de kadmin pour que ça tombe en marche comme tu
le dis. Kadmin ne te donne pas de ticket !
Il faut simplement binder ta machine sur le serveur et activer
l'authentification kerberos pour apache avec serveradmin
le 21/12/09 17:11, Fabien COMBERNOUS à fcombernous@kezia.com a écrit :
> Laurent PERTOIS wrote:
>> On 17 déc. 2009, at 12:04, Fabien COMBERNOUS wrote:
>>
>>
>>> Comment faire une authentification kerberos avec apache sans le module
>>> mod_auth_kerb ?
>>>
>>
>>
>> C'est l'un des mod_auth_apple, je ne sais plus lequel.
>>
>> Cela dit, je ne suis pas certain que ça fonctionne avec FireFox, à tester
>> avec Safari.
>>
>>
> Merci à vous deux.
>
> Suite à ce mail, je suis allé dans SA pour vérifier si le module
> mod_auth_apple était chargé par la configuration d'apache. Il l'était.
> J'ai alors regardé les modules un à un et j'ai coché un module qui avait
> l'air d'avoir une bonne bouille au premier abord : mod_authz_user. Je
> redemarre l'indien. Et là toujours erreur 401. Mais dans les log
> kerberos je vois qu'il cherche un principal HTTP/virtualhost@REALM.
> Alors je vérifie dans kadmin si HTTP/fqdn_serveurweb@REALM existe. C'est
> le cas. Je charge la page http://fqdn_serveurweb et l'identification
> s'effectue sans soucis.
>
> Par curiosité, je décoche le module mod_authz_user dans la conf apache
> et gracefull restart l'indien. Et Ô miracle de la technologie, ça marche
> toujours. Avant que je coche le module mod_authz_user, je n'avais pas de
> log dans le kerberos. Du coup je ne sais pas pourquoi c'est tombé en
> marche. :)
>
> Si j'oublie cela, je suis tout de même déçu qu'il faille jouer de kadmin
> pour avoir le principal qui va bien. L'interface de SA permet de créer
> un royaume avec une authentification Kerberos. Mais sans le principal je
> ne vois pas comment cela peut fonctionner. J'ai loupé une manipulation
> dans la clicoteuse ?
>
> Et puis j'ai créé le fameux principal HTTP/virtualhost@REALM mais il ne
> lui plait pas, j'ai toujours une erreur 401 si je le contacte avec
> l'adresse http://virtualhost.
>
> Bref heu ... pas top top.
La théorie, c¹est quand on sait tout mais que rien ne marche
La pratique, c¹est quand tout marche mais qu¹on ne sait pas pas pourquoi
Et l¹informatique, c¹est l¹union de la théorie et de la pratique : rien ne
marche et on sait pas pourquoi
_________________________________________________________
| |
| |
/ )| Olivier DUCROT |( \
/ / | ACSP, ACTC & ACSA 10.5 | \ \
_( (_ | | _) )_
(((\ \>|_/->_______________________________________________<-\_|
References:
Message-ID: <4B3087D1.50504@kezia.com>
Olivier DUCROT wrote:
> Il n'y a pas besoin de jouer de kadmin pour que ça tombe en marche comme tu
> le dis. Kadmin ne te donne pas de ticket !
> Il faut simplement binder ta machine sur le serveur et activer
> l'authentification kerberos pour apache avec serveradmin
>
La machine qui héberge le serveur web est bien bindé puisque c'est aussi
l'ODm.
Et cette machine a le nom fqdn dns.domain, et kadmin me liste bien le
principal HTTP/dns.domain@REALM. Avec l'utilisateur qui va bien,
utilisant un home AFP distant, authentifié avec kerberos, l'accès à la
page http://dns.domain est transparent.
Mais, si je cherche à utiliser le virtualhost défini dans apache
http://myadmin.domain, le principal attendu est
HTTP/myadmin.domain@REALM. Et ce principal n'existe pas, dixit kadmin.
Et j'ai pourtant bien demandé une identification kerberos pour le
virtualhost apache avec ServerAdmin.
P.S : Oùs'que j'ai écrit que kadmin donne un ticket ? J'ai créé un
principal avec kadmin.
--
*Fabien COMBERNOUS*
/unix system engineer/
www.kezia.com
*Tel: +33 (0) 467 992 986*
Kezia Group
From odlists at easymac.fr Tue Dec 22 10:39:15 2009
From: odlists at easymac.fr (Olivier DUCROT)
Date: Tue Dec 22 10:39:34 2009
Subject: [Admin-ml] apache avec kerberos.
In-Reply-To: <4B3087D1.50504@kezia.com>
Message-ID:
le 22/12/09 09:48, Fabien COMBERNOUS à fcombernous@kezia.com a écrit :
> Olivier DUCROT wrote:
>> Il n'y a pas besoin de jouer de kadmin pour que ça tombe en marche comme tu
>> le dis. Kadmin ne te donne pas de ticket !
>> Il faut simplement binder ta machine sur le serveur et activer
>> l'authentification kerberos pour apache avec serveradmin
>>
> La machine qui héberge le serveur web est bien bindé puisque c'est aussi
> l'ODm.
> Et cette machine a le nom fqdn dns.domain, et kadmin me liste bien le
> principal HTTP/dns.domain@REALM. Avec l'utilisateur qui va bien,
> utilisant un home AFP distant, authentifié avec kerberos, l'accès à la
> page http://dns.domain est transparent.
>
> Mais, si je cherche à utiliser le virtualhost défini dans apache
> http://myadmin.domain, le principal attendu est
> HTTP/myadmin.domain@REALM. Et ce principal n'existe pas, dixit kadmin.
> Et j'ai pourtant bien demandé une identification kerberos pour le
> virtualhost apache avec ServerAdmin.
>
> P.S : Oùs'que j'ai écrit que kadmin donne un ticket ? J'ai créé un
> principal avec kadmin.
Tu ne l'as pas écrit... C'est moi qui l'ai fait.
From fcombernous at kezia.com Wed Dec 23 17:42:42 2009
From: fcombernous at kezia.com (Fabien COMBERNOUS)
Date: Wed Dec 23 17:43:01 2009
Subject: [Admin-ml] apache avec kerberos.
In-Reply-To: <4B3087D1.50504@kezia.com>
References: <4B3087D1.50504@kezia.com>
Message-ID: <4B324882.9060807@kezia.com>
Fabien COMBERNOUS wrote:
> Olivier DUCROT wrote:
>> Il n'y a pas besoin de jouer de kadmin pour que ça tombe en marche
>> comme tu
>> le dis. Kadmin ne te donne pas de ticket !
>> Il faut simplement binder ta machine sur le serveur et activer
>> l'authentification kerberos pour apache avec serveradmin
>>
> La machine qui héberge le serveur web est bien bindé puisque c'est
> aussi l'ODm.
> Et cette machine a le nom fqdn dns.domain, et kadmin me liste bien le
> principal HTTP/dns.domain@REALM. Avec l'utilisateur qui va bien,
> utilisant un home AFP distant, authentifié avec kerberos, l'accès à la
> page http://dns.domain est transparent.
>
> Mais, si je cherche à utiliser le virtualhost défini dans apache
> http://myadmin.domain, le principal attendu est
> HTTP/myadmin.domain@REALM. Et ce principal n'existe pas, dixit kadmin.
> Et j'ai pourtant bien demandé une identification kerberos pour le
> virtualhost apache avec ServerAdmin.
Quand je regarde les logs apache en mode débug voilà ce que j'otiens.
Quand j'utilise http://dns.domain qui fonctionne
------------------------------------------------------------
mod_cache.c(131): Adding CACHE_SAVE filter for /
mod_cache.c(138): Adding CACHE_REMOVE_URL filter for /
mod_spnego_apple2.c(114): [client 192.168.1.58] mod_spnego_apple:
Noting auth required for realm 'My Administrator'
mod_cache.c(131): Adding CACHE_SAVE filter for
/error/HTTP_UNAUTHORIZED.html.var
mod_cache.c(138): Adding CACHE_REMOVE_URL filter for
/error/HTTP_UNAUTHORIZED.html.var
mod_headers.c(743): headers: ap_headers_output_filter()
mod_cache.c(552): cache: /error/HTTP_UNAUTHORIZED.html.var not cached.
Reason: Response status 401
mod_headers.c(743): headers: ap_headers_output_filter()
mod_headers.c(743): headers: ap_headers_output_filter()
mod_headers.c(743): headers: ap_headers_output_filter()
mod_headers.c(743): headers: ap_headers_output_filter()
mod_spnego_apple2.c(341): [client 192.168.1.58] mod_spnego_apple:
Kerberos legacy token available
mod_spnego_apple2.c(221): [client 192.168.1.58] mod_spnego_apple:
dsProxyOneWayGSSAPIAuth: Returning 0
[client 192.168.1.58] mod_spnego_apple: Successful authentication for
user fcombernous@REALM using service principal HTTP/dns.domain@REALM
mod_auth_apple2.c(600): [client 192.168.1.58] mod_auth_apple: Declining
non-basic auth_type
[client 192.168.1.58] mod_spnego_apple: Authorized specific user
fcombernous@REALM uri /
Quand j'utilise l'alias http://myadmin.domain qui donne erreur 401
---------------------------------------------------------------------------
mod_cache.c(131): Adding CACHE_SAVE filter for /
mod_cache.c(138): Adding CACHE_REMOVE_URL filter for /
mod_spnego_apple2.c(114): [client 192.168.1.58] mod_spnego_apple: Noting
auth required for realm 'My Administrator'
mod_cache.c(131): Adding CACHE_SAVE filter for
/error/HTTP_UNAUTHORIZED.html.var
mod_cache.c(138): Adding CACHE_REMOVE_URL filter for
/error/HTTP_UNAUTHORIZED.html.var
mod_headers.c(743): headers: ap_headers_output_filter()
mod_cache.c(552): cache: /error/HTTP_UNAUTHORIZED.html.var not cached.
Reason: Response status 401
mod_headers.c(743): headers: ap_headers_output_filter()
mod_headers.c(743): headers: ap_headers_output_filter()
mod_headers.c(743): headers: ap_headers_output_filter()
mod_headers.c(743): headers: ap_headers_output_filter()
mod_spnego_apple2.c(341): [client 192.168.1.58] mod_spnego_apple:
Kerberos legacy token available
mod_spnego_apple2.c(221): [client 192.168.1.58] mod_spnego_apple:
dsProxyOneWayGSSAPIAuth: Returning -14090
[client 192.168.1.58] mod_spnego_apple: Failed to authenticate with
Kerberos, user (null)
Dans les deux cas j'ai le même log dans kerberos :
Dec 23 17:30:23 dns.domain krb5kdc[48](info): TGS_REQ (7 etypes {18 17
16 23 1 3 2}) 192.168.1.58: ISSUE: authtime 1261585843, etypes {rep=18
tkt=16 ses=18}, fcombernous@REALM for HTTP/dns.domain@REALM
Dec 23 17:30:23 dns.domain krb5kdc[48](info): TGS_REQ (7 etypes {18 17
16 23 1 3 2}) 192.168.1.58: ISSUE: authtime 1261585843, etypes {rep=18
tkt=16 ses=18}, fcombernous@REALM for HTTP/dns.domain@REALM
Dec 23 17:33:58 dns.domain krb5kdc[48](info): TGS_REQ (7 etypes {18 17
16 23 1 3 2}) 192.168.1.58: ISSUE: authtime 1261585843, etypes {rep=18
tkt=16 ses=18}, fcombernous@REALM for HTTP/myadmin.domain@REALM
Dec 23 17:33:58 dns.domain krb5kdc[48](info): TGS_REQ (7 etypes {18 17
16 23 1 3 2}) 192.168.1.58: ISSUE: authtime 1261585843, etypes {rep=18
tkt=16 ses=18}, fcombernous@REALM for HTTP/myadmin.domain@REALM
Avec kadmin, j'ai créé 3 principals de service HTTP http et
host/myadmin.domain@REALM.
Dans les deux cas, il voit bien "Kerberos legacy token available", mais
dans un cas dsProxyOneWayGSSAPIAuth retourne 0 et pas dans l'autre. Et
il me traite alors de user null :)
J'ai mis dsProxyOneWayGSSAPIAuth dans un moteur de recherche et j'ai eu
comme seul écho à ma recherche l'infinité du vide. Et
discussions.apple.com est tout aussi verbeux.
Il n'est pas possible d'utiliser le kerberos sur un alias web ?
--
*Fabien COMBERNOUS*
/unix system engineer/
www.kezia.com
*Tel: +33 (0) 467 992 986*
Kezia Group
From fcombernous at kezia.com Wed Dec 23 17:52:44 2009
From: fcombernous at kezia.com (Fabien COMBERNOUS)
Date: Wed Dec 23 17:53:01 2009
Subject: [Admin-ml] apache avec kerberos.
In-Reply-To: <4B324882.9060807@kezia.com>
References: <4B3087D1.50504@kezia.com>
<4B324882.9060807@kezia.com>
Message-ID: <4B324ADC.8070206@kezia.com>
Fabien COMBERNOUS wrote:
>
> Il n'est pas possible d'utiliser le kerberos sur un alias web ?
>
Après la création des principals, jJ'avais oublié le ktadd pour ajouter
les entrées dans la keytab. Et là c'est bon.
Mais, Olivier tu as l'air de dire que c'est possible en clic. Tu fais
comment ?
--
*Fabien COMBERNOUS*
/unix system engineer/
www.kezia.com
*Tel: +33 (0) 467 992 986*
Kezia Group
From odlists at easymac.fr Thu Dec 24 07:15:36 2009
From: odlists at easymac.fr (Olivier DUCROT)
Date: Thu Dec 24 07:15:55 2009
Subject: [Admin-ml] apache avec kerberos.
In-Reply-To: <4B324882.9060807@kezia.com>
Message-ID:
non
le 23/12/09 17:42, Fabien COMBERNOUS à fcombernous@kezia.com a écrit :
>
> Il n'est pas possible d'utiliser le kerberos sur un alias web ?
La théorie, c¹est quand on sait tout mais que rien ne marche
La pratique, c¹est quand tout marche mais qu¹on ne sait pas pas pourquoi
Et l¹informatique, c¹est l¹union de la théorie et de la pratique : rien ne
marche et on sait pas pourquoi
_________________________________________________________
| |
| |
/ )| Olivier DUCROT |( \
/ / | ACSP, ACTC & ACSA 10.5 | \ \
_( (_ | | _) )_
(((\ \>|_/->_______________________________________________<-\_|
Message-ID:
L'interface à clic ne gère que les situations simples, le cas de figure de
la fameuse Madame Michu qui configure un serveur dans sa cuisine.
Elle ne permet pas de faire autre chose que la configuration automatique de
Kerberos basée sur le FQDN de la machine.
Pour aller au delà, nous avons une armée de commandes qui permettent de
créer de nouveaux principals, comme tu l'as fait. Par défaut, seul le FQDN
de la machine est utilisable.
Cela dit, l'association de sso_util et kadmin n'est pas si compliquée et
permet de presque tout faire, en sachant simplement avant, ce qui doit être
fait.
Bravo pour ta configuration manuelle...
le 23/12/09 17:52, Fabien COMBERNOUS à fcombernous@kezia.com a écrit :
> Fabien COMBERNOUS wrote:
>>
>> Il n'est pas possible d'utiliser le kerberos sur un alias web ?
>>
> Après la création des principals, jJ'avais oublié le ktadd pour ajouter
> les entrées dans la keytab. Et là c'est bon.
> Mais, Olivier tu as l'air de dire que c'est possible en clic. Tu fais
> comment ?
La théorie, c¹est quand on sait tout mais que rien ne marche
La pratique, c¹est quand tout marche mais qu¹on ne sait pas pas pourquoi
Et l¹informatique, c¹est l¹union de la théorie et de la pratique : rien ne
marche et on sait pas pourquoi
_________________________________________________________
| |
| |
/ )| Olivier DUCROT |( \
/ / | ACSP, ACTC & ACSA 10.5 | \ \
_( (_ | | _) )_
(((\ \>|_/->_______________________________________________<-\_|
References:
Message-ID: <4B333213.9030708@kezia.com>
Olivier DUCROT wrote:
> L'interface à clic ne gère que les situations simples, le cas de figure de
> la fameuse Madame Michu qui configure un serveur dans sa cuisine.
> Elle ne permet pas de faire autre chose que la configuration automatique de
> Kerberos basée sur le FQDN de la machine.
> Pour aller au delà, nous avons une armée de commandes qui permettent de
> créer de nouveaux principals, comme tu l'as fait. Par défaut, seul le FQDN
> de la machine est utilisable.
> Cela dit, l'association de sso_util et kadmin n'est pas si compliquée et
> permet de presque tout faire, en sachant simplement avant, ce qui doit être
> fait.
>
Il y a une Mme Michu qui a un serveur dans sa cuisine !? Son mari doit
être un geek ;)
Heu ... la ligne de commande ... comment dirais-je ... je ne savais pas
qu'il y avait autre chose sur un serveur avant de toucher à MacOSX.
Mon évangéliste Apple m'a vendu leur OS comme permettant d'administrer
un serveur simplement. J'essaye d'avoir un oeil neuf, mais critique, et
pour cela ne pas tomber dans la ligne de commande. Dans le concret, pour
un administrateur système l'argument de vente est faux. L'affirmation
commerciale est peut être valable pour celui qui n'a pas eu de chance en
ayant une charge d'administration système en plus du reste de son
travail. Et je demande à voir le zéro ligne de commande. Je suis comme
saint Thomas.
> Bravo pour ta configuration manuelle...
>
Rouillé et peu habitué je suis à kerberos.
Même si la doc ODAdmin explique aussi la manip, ce qui m'a fait penser
au ktadd c'est un howto Debian. Je suis définitivement picousé au GNU.
--
*Fabien COMBERNOUS*
/unix system engineer/
www.kezia.com
*Tel: +33 (0) 467 992 986*
Kezia Group
From fcombernous at kezia.com Thu Dec 24 10:25:36 2009
From: fcombernous at kezia.com (Fabien COMBERNOUS)
Date: Thu Dec 24 10:25:49 2009
Subject: [Admin-ml] Le Si du =?windows-1252?q?p=E8re_No=EBl=2E?=
Message-ID: <4B333390.1000408@kezia.com>
Ce récit est une ?uvre de pure fiction. Par conséquent toute
ressemblance avec des situations réelles ou avec des personnes
existantes ou ayant existé ne saurait être que fortuite.
http://www.cio-online.com/actualites/lire-le-si-du-pere-noel-2612.html
Maintenant que nous sommes sauvé, je vous souhaite de passer de bonnes
fêtes.
Je sais bien que ce n'est le sujet de la liste. Mais cette liste je
l'aime bien.
Merci à vous tous, et particulièrement à l'admin qui nous accueille sur
son serveur.
--
*Fabien COMBERNOUS*
/unix system engineer/
www.kezia.com
*Tel: +33 (0) 467 992 986*
Kezia Group
From laurent_pertois at mac.com Wed Dec 30 22:38:35 2009
From: laurent_pertois at mac.com (Laurent PERTOIS)
Date: Wed Dec 30 22:39:03 2009
Subject: [Admin-ml] pcast service member
In-Reply-To:
References: <3E5C7FB1-ED81-4305-9290-AB6AA981CC87@enseirb-matmeca.fr>
<092697F1-3B39-4019-B9BF-AA82E36416D3@mac.com>
Message-ID: <05A9EF4C-CC55-4111-A6BF-8B92937ED074@mac.com>
On 17 déc. 2009, at 09:28, Frédéric Goudal wrote:
> pcp2. Mais pour l'uuid j'en étais arrivé par là, sauf que j'ai fait la commande dscmemberutil -getUUID et elle m'a retourné un UUID pour l'utilisateur.
> Donc je m'étais dit que c'était ok. Mais pas forcément apparament.
>
Rhaahhhh...
> Question subsidiaire : on peut prendre n'importe quoi comme uuid ou il y a des règles à suivre ? Y a une doc de référence ?
uuidgen est ton ami :-)
Le format semble bien défini quand même :
Bonnes fêtes à toutes et à tous
--
92. Can you get VMS for this Sparc thingy?
101 Things You Do Not Want Your System Administrator To Say