From gohu35 at live.fr Mon Jun 1 15:02:34 2009 From: gohu35 at live.fr (Hugo Letemplier) Date: Mon Jun 1 15:02:08 2009 Subject: =?ISO-8859-1?Q?Re:_[Admin-ml]_Utilitaire_de_disque,_R=E9paration?= =?ISO-8859-1?Q?_des_autorisation-Perte_de_configuration?= In-Reply-To: References: Message-ID: Ce matin en arrivant au bouleau j'ai encore eu le même problème avec le serveur Leopard 10.5.6 comme si il revenait à d'anciens paramètres ou d'anciens fichier de conf qui avaient été préservés et qu'il avait perdu certaines modifications qui dates quand même d 'il y a près d'un mois. Le seul truc que j'ai fais récemment a été d'installer Carbon Copy Cloner et de programmer un clonage quotidien pendant la nuit pour le week end. Je ne sais pas trop quoi faire car si mon serveur se casse le nez tt seul ça ne va pas être très drôle. J'ai regardé quelques logs mais je n'ai rien trouvé de particulier, n'étant pas un habitué du monde Mac Os, j'ai remarqué une activité importante du service jabberd avec des / router /sm /resolver? Ce service que je pensais pour iChat sert il également pour transmettre des informations systèmes ? Je me suis retrouvé avec 2 services importants d'éteints durant la nuit sur 2 jours Que vérifierez vous tout d'abord dans votre configuration et log dans un tel cas ? Le 29 mai 09 à 08:39, Manu a écrit : > > Le 28 mai 09 à 21:56, Hugo Letemplier a écrit : > >> Ouais je dirais que tu as le même problème que moi >> Une solution ? > > Pas à ma connaissance. Peut-être attendre qu'Apple corrige cette > "fonctionnalité" ;-). > D'un autre côté, je n'ai pas encore testé avec les outils > d'administration 10.5.7. Il y a t il des problèmes connus liés à l'installation de la dernière update ?, je n'ai pas vu de contre indication particulière sur le net. Peut être que mon problème serait résolut par la même occasion ? Bien sur ce la passe par la création d'un petit clone avant tout. > > >> J'ai parfois des problèmes avec le dhcp qui revient a d'anciens >> paramètres sans prévenir. > > Là je sais pas, j'utilise pas. > > A+ > Manu > > -- > Emmanuel Canault -+- manu@exmakina.net -+- +33 6 60 61 > 18 50 > Apple Certified Technical Coordinator 10.5 > Apple Certified Pro - Final Cut Pro level 2 & Final Cut Server > > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml > From jayce at mosx.org Mon Jun 1 17:17:55 2009 From: jayce at mosx.org (Piel Jayce) Date: Mon Jun 1 17:17:28 2009 Subject: =?WINDOWS-1252?Q?Re:_[Admin-ml]_Utilitaire_de_disque,_R=E9parati?= =?WINDOWS-1252?Q?on_des_autorisation-Perte_de_configuration?= In-Reply-To: References: Message-ID: <008BDFFD-2D21-4C2E-A2C1-A377A62C7635@mosx.org> Le 1 juin 09 à 15:02, Hugo Letemplier a écrit : > Ce matin en arrivant au bouleau j'ai encore eu le même problème avec > le serveur Leopard 10.5.6 comme si il revenait à d'anciens > paramètres ou d'anciens fichier de conf qui avaient été préservés et > qu'il avait perdu certaines modifications qui dates quand même d 'il > y a près d'un mois. > > Le seul truc que j'ai fais récemment a été d'installer Carbon Copy > Cloner et de programmer un clonage quotidien pendant la nuit pour le > week end. > > Je ne sais pas trop quoi faire car si mon serveur se casse le nez tt > seul ça ne va pas être très drôle. J'ai regardé quelques logs mais > je n'ai rien trouvé de particulier, n'étant pas un habitué du monde > Mac Os, j'ai remarqué une activité importante du service jabberd > avec des /router /sm /resolver? Ce service que je pensais pour iChat > sert il également pour transmettre des informations systèmes ? > > Je me suis retrouvé avec 2 services importants d'éteints durant la > nuit sur 2 jours > > Que vérifierez vous tout d'abord dans votre configuration et log > dans un tel cas ? Je commencerai par vérifier le script de clonage pour vérifier qu'il va bien dans le bon sens... :-) -- Jayce Piel MosX.org la renaissance..... From gohu35 at live.fr Mon Jun 1 18:48:27 2009 From: gohu35 at live.fr (Hugo Letemplier) Date: Mon Jun 1 18:48:00 2009 Subject: =?WINDOWS-1252?Q?Re:_[Admin-ml]_Utilitaire_de_disque,_R=E9parati?= =?WINDOWS-1252?Q?on_des_autorisation-Perte_de_configuration?= In-Reply-To: <008BDFFD-2D21-4C2E-A2C1-A377A62C7635@mosx.org> References: <008BDFFD-2D21-4C2E-A2C1-A377A62C7635@mosx.org> Message-ID: Le 1 juin 09 à 16:17, Piel Jayce a écrit : > Le 1 juin 09 à 15:02, Hugo Letemplier a écrit : > >> Ce matin en arrivant au bouleau j'ai encore eu le même problème >> avec le serveur Leopard 10.5.6 comme si il revenait à d'anciens >> paramètres ou d'anciens fichier de conf qui avaient été préservés >> et qu'il avait perdu certaines modifications qui dates quand même d >> 'il y a près d'un mois. >> >> Le seul truc que j'ai fais récemment a été d'installer Carbon Copy >> Cloner et de programmer un clonage quotidien pendant la nuit pour >> le week end. >> >> Je ne sais pas trop quoi faire car si mon serveur se casse le nez >> tt seul ça ne va pas être très drôle. J'ai regardé quelques logs >> mais je n'ai rien trouvé de particulier, n'étant pas un habitué du >> monde Mac Os, j'ai remarqué une activité importante du service >> jabberd avec des /router /sm /resolver? Ce service que je pensais >> pour iChat sert il également pour transmettre des informations >> systèmes ? >> >> Je me suis retrouvé avec 2 services importants d'éteints durant la >> nuit sur 2 jours >> >> Que vérifierez vous tout d'abord dans votre configuration et log >> dans un tel cas ? > > > Je commencerai par vérifier le script de clonage pour vérifier qu'il > va bien dans le bon sens... :-) No don't worry, on y avait déjà pensé mais non, bien essayé en tout cas ! J'ai observé quelque chose de pas trop mal dans le log du DHCP un des services qui est en cause. Dans console.app avec le mot clé bootp dans le champ de recherche J'ai beaucoup de lignes du type : service time 0.000015 seconds et quelques unes (mais pas mal quand même) du type can't open /etc/ bootptab ou aussi servermgr_dhcp config:Error:Unable to read configuration file. En gros il n'arrive pas a lire/éditer mes fichiers de conf puis il créé les subnet par défaut (ferai mieux de ne rien créer du tout) Je supprime le bootpd.plist, je vais dans server admin qui m'en créé un nouveau mais qui est celui par défaut que je ne peu pas modifier sauf en terminal. EDIT : Le DHCP marche enfin j'ai supprimé recréé modifié manuellement le plist enfin j'en sais rien plein de bouene. Je ne sais pas trop quoi faire car si mon serveur se casse le nez tt seul ça ne va pas être très drôle. J'ai regardé quelques logs mais je n'ai rien trouvé de particulier. Cela fonctione mais j'ai peur de me retrouver avec le même problème d'ici peu de temps. Existe t'il un utilitaire qui puisse me valider tout les plist et vérifier l'accès aux confs ? Hugo From jlbailloeul at irtsnpdc.fr Mon Jun 1 19:33:24 2009 From: jlbailloeul at irtsnpdc.fr (Jean-Luc Bailloeul) Date: Mon Jun 1 19:33:04 2009 Subject: [Admin-ml] =?iso-8859-1?q?Squirrelmail_et_limite_m=E9moire?= Message-ID: <951648DA-8341-44EF-8A0A-CFB1F75B1A65@irtsnpdc.fr> Bonjour, J'utilise régulièrement Squirrelmail et sieve pour établir des réponses automatiques à mes courriels (absence par exemple). J'ai un souci cependant avec mon propre compte, qui, géré via imap, commence à peser, et que je n'arrive plus à ouvrir via webmail. J'ai une fatal error : out of dynamic memory in yy_create_buffer? J'ai édité php.ini pour y ajouter de la mémoire (variable memory_limit), tel que conseillé par la FAQ de Squirrelmail, mais cela ne change rien. Je sais que squirrelmail n'apprécie guère les mailbox trop lourdes, notamment en termes de performance, mais de là à ne plus y accéder? Avez-vous déjà rencontré ce problème ? et éventuellement trouvé une solution ? Merci, Jean-Luc From patrick.proniewski at univ-lyon2.fr Mon Jun 1 19:50:55 2009 From: patrick.proniewski at univ-lyon2.fr (Proniewski Patrick) Date: Mon Jun 1 19:50:27 2009 Subject: =?WINDOWS-1252?Q?Re:_[Admin-ml]_Squirrelmail_et_limite_m=E9moire?= In-Reply-To: <951648DA-8341-44EF-8A0A-CFB1F75B1A65@irtsnpdc.fr> References: <951648DA-8341-44EF-8A0A-CFB1F75B1A65@irtsnpdc.fr> Message-ID: <8BCC228C-7AB6-4C61-B0CE-165E1E887F4D@univ-lyon2.fr> On 1 juin 09, at 19:33, Jean-Luc Bailloeul wrote: > Bonjour, > > J'utilise régulièrement Squirrelmail et sieve pour établir des > réponses automatiques à mes courriels (absence par exemple). > J'ai un souci cependant avec mon propre compte, qui, géré via imap, > commence à peser, et que je n'arrive plus à ouvrir via webmail. > J'ai une fatal error : out of dynamic memory in yy_create_buffer? > J'ai édité php.ini pour y ajouter de la mémoire (variable > memory_limit), tel que conseillé par la FAQ de Squirrelmail, mais > cela ne change rien. > Je sais que squirrelmail n'apprécie guère les mailbox trop lourdes, > notamment en termes de performance, mais de là à ne plus y accéder? > > Avez-vous déjà rencontré ce problème ? et éventuellement trouvé une > solution ? j'ai juste augmenté les limites, mais c'était il y a quelques années, sous FreeBSD. Tu as donné quoi comme limites toi ? Patrick PRONIEWSKI -- Administrateur Système - SENTIER - Université Lumière Lyon 2 From jlbailloeul at irtsnpdc.fr Mon Jun 1 20:02:26 2009 From: jlbailloeul at irtsnpdc.fr (Jean-Luc Bailloeul) Date: Mon Jun 1 20:02:04 2009 Subject: =?WINDOWS-1252?Q?Re:_[Admin-ml]_Squirrelmail_et_limite_m=E9moire?= In-Reply-To: <8BCC228C-7AB6-4C61-B0CE-165E1E887F4D@univ-lyon2.fr> References: <951648DA-8341-44EF-8A0A-CFB1F75B1A65@irtsnpdc.fr> <8BCC228C-7AB6-4C61-B0CE-165E1E887F4D@univ-lyon2.fr> Message-ID: 128 M pour l'instant (au lieu de 8 à l'origine). Le 1 juin 09 à 19:50, Proniewski Patrick a écrit : > On 1 juin 09, at 19:33, Jean-Luc Bailloeul wrote: > >> Bonjour, >> >> J'utilise régulièrement Squirrelmail et sieve pour établir des >> réponses automatiques à mes courriels (absence par exemple). >> J'ai un souci cependant avec mon propre compte, qui, géré via imap, >> commence à peser, et que je n'arrive plus à ouvrir via webmail. >> J'ai une fatal error : out of dynamic memory in yy_create_buffer? >> J'ai édité php.ini pour y ajouter de la mémoire (variable >> memory_limit), tel que conseillé par la FAQ de Squirrelmail, mais >> cela ne change rien. >> Je sais que squirrelmail n'apprécie guère les mailbox trop lourdes, >> notamment en termes de performance, mais de là à ne plus y accéder? >> >> Avez-vous déjà rencontré ce problème ? et éventuellement trouvé une >> solution ? > > > j'ai juste augmenté les limites, mais c'était il y a quelques > années, sous FreeBSD. Tu as donné quoi comme limites toi ? > > Patrick PRONIEWSKI > -- > Administrateur Système - SENTIER - Université Lumière Lyon 2 > > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml From jlbailloeul at irtsnpdc.fr Tue Jun 2 15:48:49 2009 From: jlbailloeul at irtsnpdc.fr (Jean-Luc Bailloeul) Date: Tue Jun 2 15:48:32 2009 Subject: =?WINDOWS-1252?Q?Re:_[Admin-ml]_Squirrelmail_et_limite_m=E9moire?= In-Reply-To: References: <951648DA-8341-44EF-8A0A-CFB1F75B1A65@irtsnpdc.fr> <8BCC228C-7AB6-4C61-B0CE-165E1E887F4D@univ-lyon2.fr> Message-ID: j'ai fait des tests à 128, 256, et 512. toujours pas de changements, si ce n'est que parfois, l'authentification se passe bien, mais la page est blanche. Il s'agit d'un problème lié à la performance du serveur, puisque je peux ouvrir n'importe quel autre compte moins "lourd" que le mien sans problème. Personne n'a une petite idée ? Cdt, Jean-Luc Le 1 juin 09 à 20:02, Jean-Luc Bailloeul a écrit : > 128 M pour l'instant (au lieu de 8 à l'origine). > > Le 1 juin 09 à 19:50, Proniewski Patrick a écrit : > >> On 1 juin 09, at 19:33, Jean-Luc Bailloeul wrote: >> >>> Bonjour, >>> >>> J'utilise régulièrement Squirrelmail et sieve pour établir des >>> réponses automatiques à mes courriels (absence par exemple). >>> J'ai un souci cependant avec mon propre compte, qui, géré via >>> imap, commence à peser, et que je n'arrive plus à ouvrir via >>> webmail. >>> J'ai une fatal error : out of dynamic memory in yy_create_buffer? >>> J'ai édité php.ini pour y ajouter de la mémoire (variable >>> memory_limit), tel que conseillé par la FAQ de Squirrelmail, mais >>> cela ne change rien. >>> Je sais que squirrelmail n'apprécie guère les mailbox trop >>> lourdes, notamment en termes de performance, mais de là à ne plus >>> y accéder? >>> >>> Avez-vous déjà rencontré ce problème ? et éventuellement trouvé >>> une solution ? >> >> >> j'ai juste augmenté les limites, mais c'était il y a quelques >> années, sous FreeBSD. Tu as donné quoi comme limites toi ? >> >> Patrick PRONIEWSKI >> -- >> Administrateur Système - SENTIER - Université Lumière Lyon 2 >> >> _______________________________________________ >> Admin-ml mailing list >> Admin-ml@mosx.org >> http://coruscant.mosx.org/mailman/listinfo/admin-ml > > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml From patrick.proniewski at univ-lyon2.fr Tue Jun 2 15:51:42 2009 From: patrick.proniewski at univ-lyon2.fr (Proniewski Patrick) Date: Tue Jun 2 15:51:14 2009 Subject: =?WINDOWS-1252?Q?Re:_[Admin-ml]_Squirrelmail_et_limite_m=E9moire?= In-Reply-To: References: <951648DA-8341-44EF-8A0A-CFB1F75B1A65@irtsnpdc.fr> <8BCC228C-7AB6-4C61-B0CE-165E1E887F4D@univ-lyon2.fr> Message-ID: <599C0E72-ECF3-4944-BD6A-6764A902AC8C@univ-lyon2.fr> On 2 juin 09, at 15:48, Jean-Luc Bailloeul wrote: > j'ai fait des tests à 128, 256, et 512. toujours pas de changements, > si ce n'est que parfois, l'authentification se passe bien, mais la > page est blanche. > Il s'agit d'un problème lié à la performance du serveur, puisque je > peux ouvrir n'importe quel autre compte moins "lourd" que le mien > sans problème. > Personne n'a une petite idée ? La durée d'exécution maximum des scripts. En même temps, ça ne sortirait pas avec une erreur de mémoire normalement... Tu n'as pas de plugins exotiques dans ton squirrel Mail ? Patrick PRONIEWSKI -- Administrateur Système - SENTIER - Université Lumière Lyon 2 From fcombernous at kezia.com Tue Jun 2 16:05:15 2009 From: fcombernous at kezia.com (Fabien COMBERNOUS) Date: Tue Jun 2 16:04:45 2009 Subject: [Admin-ml] Squirrelmail et limite =?windows-1252?Q?m=E9moire?= In-Reply-To: <951648DA-8341-44EF-8A0A-CFB1F75B1A65@irtsnpdc.fr> References: <951648DA-8341-44EF-8A0A-CFB1F75B1A65@irtsnpdc.fr> Message-ID: <4A25319B.1070008@kezia.com> Jean-Luc Bailloeul wrote: > Bonjour, > > J'utilise régulièrement Squirrelmail et sieve pour établir des > réponses automatiques à mes courriels (absence par exemple). > J'ai un souci cependant avec mon propre compte, qui, géré via imap, > commence à peser, et que je n'arrive plus à ouvrir via webmail. Quand tu dis commence à preser, cela représente combien de mails dans ton compte ? -- *Fabien COMBERNOUS* /unix system engineer/ www.kezia.com *Tel: +33 (0) 467 992 986* Kezia Group From jlbailloeul at irtsnpdc.fr Tue Jun 2 16:20:22 2009 From: jlbailloeul at irtsnpdc.fr (Jean-Luc Bailloeul) Date: Tue Jun 2 16:19:59 2009 Subject: [Admin-ml] Squirrelmail et limite =?ISO-8859-1?B?beltb2lyZQ==?= In-Reply-To: <4A25319B.1070008@kezia.com> Message-ID: Inbox 2559 Éléments envoyés 1532 +divers dossiers avec quelques centaines ou milliers de messages. Le 02/06/09 16:05, « Fabien COMBERNOUS » a écrit : > Jean-Luc Bailloeul wrote: >> Bonjour, >> >> J'utilise régulièrement Squirrelmail et sieve pour établir des >> réponses automatiques à mes courriels (absence par exemple). >> J'ai un souci cependant avec mon propre compte, qui, géré via imap, >> commence à peser, et que je n'arrive plus à ouvrir via webmail. > > Quand tu dis commence à preser, cela représente combien de mails dans > ton compte ? From jlbailloeul at irtsnpdc.fr Tue Jun 2 16:21:50 2009 From: jlbailloeul at irtsnpdc.fr (Jean-Luc Bailloeul) Date: Tue Jun 2 16:21:29 2009 Subject: [Admin-ml] Squirrelmail et limite =?ISO-8859-1?B?beltb2lyZQ==?= In-Reply-To: <599C0E72-ECF3-4944-BD6A-6764A902AC8C@univ-lyon2.fr> Message-ID: Le 02/06/09 15:51, « Proniewski Patrick » a écrit : > On 2 juin 09, at 15:48, Jean-Luc Bailloeul wrote: > >> j'ai fait des tests à 128, 256, et 512. toujours pas de changements, >> si ce n'est que parfois, l'authentification se passe bien, mais la >> page est blanche. >> Il s'agit d'un problème lié à la performance du serveur, puisque je >> peux ouvrir n'importe quel autre compte moins "lourd" que le mien >> sans problème. >> Personne n'a une petite idée ? > > > La durée d'exécution maximum des scripts. En même temps, ça ne > sortirait pas avec une erreur de mémoire normalement... Oui j'aurais un timeout, mais ce n'est pas le cas. > Tu n'as pas de plugins exotiques dans ton squirrel Mail ? Non, rien de particulier, me semble t-il. En tout cas, tien qui est posé problème jusqu'à aujourd'hui. > > Patrick PRONIEWSKI From fcombernous at kezia.com Tue Jun 2 16:32:14 2009 From: fcombernous at kezia.com (Fabien COMBERNOUS) Date: Tue Jun 2 16:31:42 2009 Subject: [Admin-ml] Squirrelmail et limite =?ISO-8859-1?Q?m=E9moire?= In-Reply-To: References: Message-ID: <4A2537EE.4040205@kezia.com> Jean-Luc Bailloeul wrote: > Inbox 2559 > Éléments envoyés 1532 > +divers dossiers avec quelques centaines ou milliers de messages. > Tout de même ... Est ce que le total dépasse 10240 ? -- *Fabien COMBERNOUS* /unix system engineer/ www.kezia.com *Tel: +33 (0) 467 992 986* Kezia Group From jlbailloeul at irtsnpdc.fr Tue Jun 2 16:54:31 2009 From: jlbailloeul at irtsnpdc.fr (Jean-Luc Bailloeul) Date: Tue Jun 2 16:54:11 2009 Subject: =?ISO-8859-1?Q?Re:_[Admin-ml]_Squirrelmail_et_limite_m=E9moire?= In-Reply-To: <4A2537EE.4040205@kezia.com> References: <4A2537EE.4040205@kezia.com> Message-ID: <1F4F96C4-3A5A-402B-86C1-F8BADF252C84@irtsnpdc.fr> Le 2 juin 09 à 16:32, Fabien COMBERNOUS a écrit : > Jean-Luc Bailloeul wrote: >> Inbox 2559 >> Éléments envoyés 1532 >> +divers dossiers avec quelques centaines ou milliers de messages. >> > > Tout de même ... > Est ce que le total dépasse 10240 ? non, je dois être entre 6 et 7000. je suis en train d'élaguer sévère, mais c'est long. > > -- > *Fabien COMBERNOUS* > /unix system engineer/ > www.kezia.com > *Tel: +33 (0) 467 992 986* > Kezia Group > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml > From laurent_pertois at mac.com Tue Jun 2 16:56:50 2009 From: laurent_pertois at mac.com (Laurent PERTOIS) Date: Tue Jun 2 16:56:25 2009 Subject: =?WINDOWS-1252?Q?Re:_[Admin-ml]_Squirrelmail_et_limite_m=E9moire?= In-Reply-To: <951648DA-8341-44EF-8A0A-CFB1F75B1A65@irtsnpdc.fr> References: <951648DA-8341-44EF-8A0A-CFB1F75B1A65@irtsnpdc.fr> Message-ID: <43D9FBFC-67F7-4A0C-9985-AC817884477A@mac.com> On 1 juin 09, at 20:33, Jean-Luc Bailloeul wrote: > Avez-vous déjà rencontré ce problème ? et éventuellement trouvé une > solution ? Tu pourrais essayer d'activer le classement cyrus à la place du classement php, ça semble aider grandement : Not a direct answer to your problem, but maybe a solution to the original problem. Dans /usr/share/squirrelmail/config/config_local.php, ajoute : $allow_server_sort = true; $allow_thread_sort = true; HTH, -- t'ouvres ton shell et tu run apache je compren pa je sui quebecois hmm. tu ouvre le coquillage et tu lance l'indien From jlbailloeul at irtsnpdc.fr Tue Jun 2 17:20:24 2009 From: jlbailloeul at irtsnpdc.fr (Jean-Luc Bailloeul) Date: Tue Jun 2 17:20:02 2009 Subject: =?ISO-8859-1?Q?Re:_[Admin-ml]_Squirrelmail_et_limite_m=E9moire?= In-Reply-To: <43D9FBFC-67F7-4A0C-9985-AC817884477A@mac.com> References: <951648DA-8341-44EF-8A0A-CFB1F75B1A65@irtsnpdc.fr> <43D9FBFC-67F7-4A0C-9985-AC817884477A@mac.com> Message-ID: <647D553F-7B38-4CBC-86D0-51DC6E4B52A1@irtsnpdc.fr> Le 2 juin 09 à 16:56, Laurent PERTOIS a écrit : > On 1 juin 09, at 20:33, Jean-Luc Bailloeul wrote: > >> Avez-vous déjà rencontré ce problème ? et éventuellement trouvé une >> solution ? > > > Tu pourrais essayer d'activer le classement cyrus à la place du > classement php, ça semble aider grandement : > > Not a direct answer to your problem, but maybe a solution to the > original problem. > > Dans /usr/share/squirrelmail/config/config_local.php, ajoute : > > $allow_server_sort = true; > $allow_thread_sort = true; bien essayé, mais non, pas de changement. je crois que je vais rebooter mon serveur en fin de journée, peut-être cela va t-il débloquer quelque chose. Merci Laurent > > > HTH, > -- > t'ouvres ton shell et tu run apache > je compren pa je sui quebecois > hmm. > tu ouvre le coquillage et tu lance l'indien > > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml > From fcombernous at kezia.com Tue Jun 2 17:22:56 2009 From: fcombernous at kezia.com (Fabien COMBERNOUS) Date: Tue Jun 2 17:22:27 2009 Subject: [Admin-ml] Squirrelmail et limite =?windows-1252?Q?m=E9moire?= In-Reply-To: <951648DA-8341-44EF-8A0A-CFB1F75B1A65@irtsnpdc.fr> References: <951648DA-8341-44EF-8A0A-CFB1F75B1A65@irtsnpdc.fr> Message-ID: <4A2543D0.6000203@kezia.com> Jean-Luc Bailloeul wrote: > Bonjour, > > J'utilise régulièrement Squirrelmail et sieve pour établir des > réponses automatiques à mes courriels (absence par exemple). > J'ai un souci cependant avec mon propre compte, qui, géré via imap, > commence à peser, et que je n'arrive plus à ouvrir via webmail. > J'ai une fatal error : out of dynamic memory in yy_create_buffer? > J'ai édité php.ini pour y ajouter de la mémoire (variable > memory_limit), tel que conseillé par la FAQ de Squirrelmail, mais cela > ne change rien. > Je sais que squirrelmail n'apprécie guère les mailbox trop lourdes, > notamment en termes de performance, mais de là à ne plus y accéder? > > Avez-vous déjà rencontré ce problème ? et éventuellement trouvé une > solution ? As tu vérifié avec un phpinfo() que tes nouveaux réglages php sont effectivement pris en compte ? Si tel est le cas, peux être que regarder du côté des réglages de ton noyau avec sysctl. Je te propose de fouiller du côté des segments de mémoire partagés. Les réglages de ta machine sont accessibles via "sysctl -a". Les réglages par défaut sur Leopard sont les suivants : kern.sysv.shmmni: 32 kern.sysv.shmmin: 1 kern.sysv.shmmax: 4194304 shmmax taille maximum du segment de mémoire partagée (octets) shmmin taille minimum du segment de mémoire partagée (octets) shmmni nombre maximum de segments de mémoire partagée pour tout le système A tester un shmmax plus grand avec sysctl -w. (cf man pour le détail) Avant de proposer cet action j'ai regardé vite fait sur un moteur de recherche internet, mais je n'ai rien de trouver de tel. @+, -- *Fabien COMBERNOUS* /unix system engineer/ www.kezia.com *Tel: +33 (0) 467 992 986* Kezia Group From jlbailloeul at irtsnpdc.fr Tue Jun 2 17:37:58 2009 From: jlbailloeul at irtsnpdc.fr (Jean-Luc Bailloeul) Date: Tue Jun 2 17:37:36 2009 Subject: =?WINDOWS-1252?Q?Re:_[Admin-ml]_Squirrelmail_et_limite_m=E9moire?= In-Reply-To: <4A2543D0.6000203@kezia.com> References: <951648DA-8341-44EF-8A0A-CFB1F75B1A65@irtsnpdc.fr> <4A2543D0.6000203@kezia.com> Message-ID: Le 2 juin 09 à 17:22, Fabien COMBERNOUS a écrit : > Jean-Luc Bailloeul wrote: >> Bonjour, >> >> J'utilise régulièrement Squirrelmail et sieve pour établir des >> réponses automatiques à mes courriels (absence par exemple). >> J'ai un souci cependant avec mon propre compte, qui, géré via imap, >> commence à peser, et que je n'arrive plus à ouvrir via webmail. >> J'ai une fatal error : out of dynamic memory in yy_create_buffer? >> J'ai édité php.ini pour y ajouter de la mémoire (variable >> memory_limit), tel que conseillé par la FAQ de Squirrelmail, mais >> cela ne change rien. >> Je sais que squirrelmail n'apprécie guère les mailbox trop lourdes, >> notamment en termes de performance, mais de là à ne plus y accéder? >> >> Avez-vous déjà rencontré ce problème ? et éventuellement trouvé une >> solution ? > As tu vérifié avec un phpinfo() que tes nouveaux réglages php sont > effectivement pris en compte ? oui, j'ai regardé, mais phpinfo n'affiche pas la variable memory_limit. > > > Si tel est le cas, peux être que regarder du côté des réglages de > ton noyau avec sysctl. Je te propose de fouiller du côté des > segments de mémoire partagés. > Les réglages de ta machine sont accessibles via "sysctl -a". Les > réglages par défaut sur Leopard sont les suivants : > kern.sysv.shmmni: 32 > kern.sysv.shmmin: 1 > kern.sysv.shmmax: 4194304 oui sur tiger, ces réglages sont les mêmes. > > shmmax taille maximum du segment de mémoire partagée (octets) > shmmin taille minimum du segment de mémoire partagée (octets) > shmmni nombre maximum de segments de mémoire partagée pour tout > le système > > A tester un shmmax plus grand avec sysctl -w. (cf man pour le détail) > Avant de proposer cet action j'ai regardé vite fait sur un moteur de > recherche internet, mais je n'ai rien de trouver de tel. oula, j'aimerais bien tenter autre chose de plus soft que d'aller bricoler le noyau. mon serveur est en production :-) > > > @+, > > -- > *Fabien COMBERNOUS* > /unix system engineer/ > www.kezia.com > *Tel: +33 (0) 467 992 986* > Kezia Group > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml From fcombernous at kezia.com Tue Jun 2 17:59:25 2009 From: fcombernous at kezia.com (Fabien COMBERNOUS) Date: Tue Jun 2 17:58:53 2009 Subject: [Admin-ml] Squirrelmail et limite =?windows-1252?Q?m=E9moire?= In-Reply-To: References: <951648DA-8341-44EF-8A0A-CFB1F75B1A65@irtsnpdc.fr> <4A2543D0.6000203@kezia.com> Message-ID: <4A254C5D.8000309@kezia.com> Jean-Luc Bailloeul wrote: > > Le 2 juin 09 à 17:22, Fabien COMBERNOUS a écrit : > >> Jean-Luc Bailloeul wrote: >>> Bonjour, >>> >>> J'utilise régulièrement Squirrelmail et sieve pour établir des >>> réponses automatiques à mes courriels (absence par exemple). >>> J'ai un souci cependant avec mon propre compte, qui, géré via imap, >>> commence à peser, et que je n'arrive plus à ouvrir via webmail. >>> J'ai une fatal error : out of dynamic memory in yy_create_buffer? >>> J'ai édité php.ini pour y ajouter de la mémoire (variable >>> memory_limit), tel que conseillé par la FAQ de Squirrelmail, mais >>> cela ne change rien. >>> Je sais que squirrelmail n'apprécie guère les mailbox trop lourdes, >>> notamment en termes de performance, mais de là à ne plus y accéder? >>> >>> Avez-vous déjà rencontré ce problème ? et éventuellement trouvé une >>> solution ? >> As tu vérifié avec un phpinfo() que tes nouveaux réglages php sont >> effectivement pris en compte ? > oui, j'ai regardé, mais phpinfo n'affiche pas la variable memory_limit. Ah ? Je suis preneur pour la méthode qui va bien. >> >> >> Si tel est le cas, peux être que regarder du côté des réglages de ton >> noyau avec sysctl. Je te propose de fouiller du côté des segments de >> mémoire partagés. >> Les réglages de ta machine sont accessibles via "sysctl -a". Les >> réglages par défaut sur Leopard sont les suivants : >> kern.sysv.shmmni: 32 >> kern.sysv.shmmin: 1 >> kern.sysv.shmmax: 4194304 > oui sur tiger, ces réglages sont les mêmes. >> >> shmmax taille maximum du segment de mémoire partagée (octets) >> shmmin taille minimum du segment de mémoire partagée (octets) >> shmmni nombre maximum de segments de mémoire partagée pour tout >> le système >> >> A tester un shmmax plus grand avec sysctl -w. (cf man pour le détail) >> Avant de proposer cet action j'ai regardé vite fait sur un moteur de >> recherche internet, mais je n'ai rien de trouver de tel. > oula, j'aimerais bien tenter autre chose de plus soft que d'aller > bricoler le noyau. mon serveur est en production :-) Heu ... j'ai pas dit de faire le test en production. test et production c'est en théorie antinomique. -- *Fabien COMBERNOUS* /unix system engineer/ www.kezia.com *Tel: +33 (0) 467 992 986* Kezia Group From jlbailloeul at irtsnpdc.fr Tue Jun 2 18:11:50 2009 From: jlbailloeul at irtsnpdc.fr (Jean-Luc Bailloeul) Date: Tue Jun 2 18:11:28 2009 Subject: =?WINDOWS-1252?Q?Re:_[Admin-ml]_Squirrelmail_et_limite_m=E9moire?= In-Reply-To: <4A254C5D.8000309@kezia.com> References: <951648DA-8341-44EF-8A0A-CFB1F75B1A65@irtsnpdc.fr> <4A2543D0.6000203@kezia.com> <4A254C5D.8000309@kezia.com> Message-ID: Le 2 juin 09 à 17:59, Fabien COMBERNOUS a écrit : > Jean-Luc Bailloeul wrote: >> >> Le 2 juin 09 à 17:22, Fabien COMBERNOUS a écrit : >> >>> Jean-Luc Bailloeul wrote: >>>> Bonjour, >>>> >>>> J'utilise régulièrement Squirrelmail et sieve pour établir des >>>> réponses automatiques à mes courriels (absence par exemple). >>>> J'ai un souci cependant avec mon propre compte, qui, géré via >>>> imap, commence à peser, et que je n'arrive plus à ouvrir via >>>> webmail. >>>> J'ai une fatal error : out of dynamic memory in yy_create_buffer? >>>> J'ai édité php.ini pour y ajouter de la mémoire (variable >>>> memory_limit), tel que conseillé par la FAQ de Squirrelmail, mais >>>> cela ne change rien. >>>> Je sais que squirrelmail n'apprécie guère les mailbox trop >>>> lourdes, notamment en termes de performance, mais de là à ne plus >>>> y accéder? >>>> >>>> Avez-vous déjà rencontré ce problème ? et éventuellement trouvé >>>> une solution ? >>> As tu vérifié avec un phpinfo() que tes nouveaux réglages php sont >>> effectivement pris en compte ? >> oui, j'ai regardé, mais phpinfo n'affiche pas la variable >> memory_limit. > Ah ? Je suis preneur pour la méthode qui va bien. ben moi aussi. > > >>> >>> >>> Si tel est le cas, peux être que regarder du côté des réglages de >>> ton noyau avec sysctl. Je te propose de fouiller du côté des >>> segments de mémoire partagés. >>> Les réglages de ta machine sont accessibles via "sysctl -a". Les >>> réglages par défaut sur Leopard sont les suivants : >>> kern.sysv.shmmni: 32 >>> kern.sysv.shmmin: 1 >>> kern.sysv.shmmax: 4194304 >> oui sur tiger, ces réglages sont les mêmes. >>> >>> shmmax taille maximum du segment de mémoire partagée (octets) >>> shmmin taille minimum du segment de mémoire partagée (octets) >>> shmmni nombre maximum de segments de mémoire partagée pour >>> tout le système >>> >>> A tester un shmmax plus grand avec sysctl -w. (cf man pour le >>> détail) >>> Avant de proposer cet action j'ai regardé vite fait sur un moteur >>> de recherche internet, mais je n'ai rien de trouver de tel. >> oula, j'aimerais bien tenter autre chose de plus soft que d'aller >> bricoler le noyau. mon serveur est en production :-) > Heu ... j'ai pas dit de faire le test en production. test et > production c'est en théorie antinomique. on est d'accord, alors :-) > > > -- > *Fabien COMBERNOUS* > /unix system engineer/ > www.kezia.com > *Tel: +33 (0) 467 992 986* > Kezia Group > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml From bertrand.chatain at zmirov.com Tue Jun 2 18:21:51 2009 From: bertrand.chatain at zmirov.com (Bertrand Chatain) Date: Tue Jun 2 18:21:31 2009 Subject: =?ISO-8859-1?Q?Re:_[Admin-ml]_Squirrelmail_et_limite_m=E9moire?= In-Reply-To: <4A2537EE.4040205@kezia.com> References: <4A2537EE.4040205@kezia.com> Message-ID: Que ca ? mon boss a 35 895 mails dans kerio et il a beaucoup de mal a admettre que mail puisse ramer... ;-) Le 2 juin 09 à 16:32, Fabien COMBERNOUS a écrit : > Jean-Luc Bailloeul wrote: >> Inbox 2559 >> Éléments envoyés 1532 >> +divers dossiers avec quelques centaines ou milliers de messages. >> > > Tout de même ... > Est ce que le total dépasse 10240 ? > -- > *Fabien COMBERNOUS* > /unix system engineer/ > www.kezia.com > *Tel: +33 (0) 467 992 986* > Kezia Group > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml -- Bertrand Chatain From patrick.proniewski at univ-lyon2.fr Tue Jun 2 19:01:30 2009 From: patrick.proniewski at univ-lyon2.fr (Proniewski Patrick) Date: Tue Jun 2 19:01:01 2009 Subject: =?WINDOWS-1252?Q?Re:_[Admin-ml]_Squirrelmail_et_limite_m=E9moire?= In-Reply-To: <4A254C5D.8000309@kezia.com> References: <951648DA-8341-44EF-8A0A-CFB1F75B1A65@irtsnpdc.fr> <4A2543D0.6000203@kezia.com> <4A254C5D.8000309@kezia.com> Message-ID: On 2 juin 09, at 17:59, Fabien COMBERNOUS wrote: >>> As tu vérifié avec un phpinfo() que tes nouveaux réglages php sont >>> effectivement pris en compte ? >> oui, j'ai regardé, mais phpinfo n'affiche pas la variable >> memory_limit. > Ah ? Je suis preneur pour la méthode qui va bien. et avec ça, en ligne de commande, toujours rien ? php -r "phpinfo();" | egrep 'memory_limit|\.ini' Moi j'ai ça en réponse : Configuration File (php.ini) Path => /etc Loaded Configuration File => /private/etc/php.ini Scan this dir for additional .ini files => (none) additional .ini files parsed => (none) memory_limit => 128M => 128M Patrick PRONIEWSKI -- Administrateur Système - SENTIER - Université Lumière Lyon 2 From jlbailloeul at irtsnpdc.fr Tue Jun 2 19:24:18 2009 From: jlbailloeul at irtsnpdc.fr (Jean-Luc Bailloeul) Date: Tue Jun 2 19:24:00 2009 Subject: =?ISO-8859-1?Q?Re:_[Admin-ml]_Squirrelmail_et_limite_m=E9moire?= In-Reply-To: References: <951648DA-8341-44EF-8A0A-CFB1F75B1A65@irtsnpdc.fr> <4A2543D0.6000203@kezia.com> <4A254C5D.8000309@kezia.com> Message-ID: <792D67C7-3FDF-4531-87CC-797614AA5621@irtsnpdc.fr> Le 2 juin 09 à 19:01, Proniewski Patrick a écrit : > On 2 juin 09, at 17:59, Fabien COMBERNOUS wrote: > >>>> As tu vérifié avec un phpinfo() que tes nouveaux réglages php >>>> sont effectivement pris en compte ? >>> oui, j'ai regardé, mais phpinfo n'affiche pas la variable >>> memory_limit. >> Ah ? Je suis preneur pour la méthode qui va bien. > > et avec ça, en ligne de commande, toujours rien ? > > php -r "phpinfo();" | egrep 'memory_limit|\.ini' > > Moi j'ai ça en réponse : > > Configuration File (php.ini) Path => /etc > Loaded Configuration File => /private/etc/php.ini > Scan this dir for additional .ini files => (none) > additional .ini files parsed => (none) > memory_limit => 128M => 128M avec la version 4.4.9 de PHP sous Tiger, cela ne marche pas, la variable n'est pas retournée par phpinfo. avec la version 5.2.8 sous Léopard, j'ai les mêmes valeurs que toi. Pour info, un reboot n'a rien changé (je m'en doutais, mais bon?) > > > > > Patrick PRONIEWSKI > -- > Administrateur Système - SENTIER - Université Lumière Lyon 2 > > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml > From alain.fabaron at mac.com Tue Jun 2 19:41:31 2009 From: alain.fabaron at mac.com (Alain FABARON) Date: Tue Jun 2 20:41:15 2009 Subject: [Admin-ml] radiation Message-ID: Bonsoir puis je être supprimer des destinataires de la liste ? je vous remercie Cordialement, Alain FABARON 06 33 91 72 86 Nota : afin de contribuer au respect de l'environnement, merci de n'imprimer ce mail qu'en cas de nécessité From jayce at mosx.org Wed Jun 3 09:31:34 2009 From: jayce at mosx.org (Piel Jayce) Date: Wed Jun 3 09:31:03 2009 Subject: [Admin-ml] radiation In-Reply-To: References: Message-ID: Le 2 juin 09 à 19:41, Alain FABARON a écrit : > Bonsoir > puis je être supprimer des destinataires de la liste ? > je vous remercie Il suffit de cliquer sur le lien en bas de chaque message.... -- Jayce Piel MosX.org la renaissance..... From patrick.proniewski at univ-lyon2.fr Wed Jun 3 09:37:28 2009 From: patrick.proniewski at univ-lyon2.fr (Proniewski Patrick) Date: Wed Jun 3 09:37:12 2009 Subject: [Admin-ml] radiation In-Reply-To: References: Message-ID: On 3 juin 09, at 09:31, Piel Jayce wrote: >> puis je être supprimer des destinataires de la liste ? >> je vous remercie > > Il suffit de cliquer sur le lien en bas de chaque message.... ou de jeter un ?il aux headers des emails : List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , :) Patrick PRONIEWSKI -- Administrateur Système - SENTIER - Université Lumière Lyon 2 From fcombernous at kezia.com Wed Jun 3 10:05:36 2009 From: fcombernous at kezia.com (Fabien COMBERNOUS) Date: Wed Jun 3 10:05:06 2009 Subject: [Admin-ml] radiation In-Reply-To: References: Message-ID: <4A262ED0.9010903@kezia.com> Piel Jayce wrote: > Le 2 juin 09 à 19:41, Alain FABARON a écrit : > >> Bonsoir >> puis je être supprimer des destinataires de la liste ? >> je vous remercie > > > Il suffit de cliquer sur le lien en bas de chaque message.... C'est aussi ce que je me suis dit dans un premier temps, mais ce n'est pas indiqué pour quelqu'un qui ne le sait pas. Peut-être que de modifier le pied de mail pour l'indiquer clairement facilite la démarche de désinscription. -- *Fabien COMBERNOUS* /unix system engineer/ www.kezia.com *Tel: +33 (0) 467 992 986* Kezia Group From jayce at mosx.org Wed Jun 3 10:16:03 2009 From: jayce at mosx.org (Piel Jayce) Date: Wed Jun 3 10:15:31 2009 Subject: [Admin-ml] radiation In-Reply-To: <4A262ED0.9010903@kezia.com> References: <4A262ED0.9010903@kezia.com> Message-ID: Le 3 juin 09 à 10:05, Fabien COMBERNOUS a écrit : > Piel Jayce wrote: >> Le 2 juin 09 à 19:41, Alain FABARON a écrit : >> >>> Bonsoir >>> puis je être supprimer des destinataires de la liste ? >>> je vous remercie >> >> >> Il suffit de cliquer sur le lien en bas de chaque message.... > C'est aussi ce que je me suis dit dans un premier temps, mais ce > n'est pas indiqué pour quelqu'un qui ne le sait pas. Peut-être que > de modifier le pied de mail pour l'indiquer clairement facilite la > démarche de désinscription. Mais je ne veux pas que les gens s'en aillent... niark niark niark... :-) -- Jayce Piel MosX.org la renaissance..... From gsandoz at mac.com Wed Jun 3 11:06:15 2009 From: gsandoz at mac.com (=?ISO-8859-1?Q?G=E9rard_Sandoz?=) Date: Wed Jun 3 11:05:48 2009 Subject: [Admin-ml] Syncing cannot be enable on this computer Message-ID: <9CDAE4A7-8117-4FEF-891C-3B877103C1E9@mac.com> Diable, dans une config serveur 10.5, client avec home sur le serveur. J'ai systématiquement et en permanence un message en console: attempt to mount /automount/Servers/server.compagny/Users returned 5 (Input/output error) c'est le résultat de 2 process automount supplémentaire qui se lancent toutes les 15 seconde pour essayer de monter une fois de plus (car la connexion fonctionne) le home de l'utilisateur. Outre un ralentissement au niveau de l'utilisateur, cela empêche la synchro iphone avec un ""Syncing cannot be enable, multiple computers logged into this same network home directory". ce qui n'est pas le cas évidemment! ça parle à quelqu'un ? From yvast at free.fr Wed Jun 3 12:07:10 2009 From: yvast at free.fr (Yan) Date: Wed Jun 3 12:06:57 2009 Subject: [Admin-ml] Aide smb.conf Message-ID: <3644A685-CA80-4423-9974-B7C47D50C847@free.fr> Bonjour à tous, Nous avions un serveur de fichiers (afp/smb) sous irix que nous migrons sur un xserve sous 10.5.7. Je bute sur un probleme avec le /etc/smb.conf de MacOS. Sous Irix les point de montage apparaissait clairement dans le /usr/ samba/lib/smb.conf : [04_AdmAchat] path = /mnt/tp9301l02/04_AdmAchat valid users = achat, admachat, admpaie read only = No hosts allow = 192.168.88.105, 192.168.88.47, 192.168.91.193 delete veto files = Yes Sous Macos j'ai pour l'instant une dizaine de point de montage en afp et 2 en smb, je voudrais pouvoir y coller un "hosts allow" mais les 2 points de montage samba n'appraissent pas dans smb.conf? Le seul truc modifié sur le smb.conf c'est un hack pour ne pas afficher de "Home" pour les users samba (car il y'a un bug qui empeche de le décocher dans la GUI) : ; Hack to disable virtual homes [homes] path = /dev/null valid users = root ; END hack Quelqu'un utilise le "hosts allow" pour samba ? merci de vos pistes Cordialement -- Yannick From gohu35 at live.fr Wed Jun 3 17:49:36 2009 From: gohu35 at live.fr (Hugo Letemplier) Date: Wed Jun 3 17:49:06 2009 Subject: [Admin-ml] Histoire de DNS Message-ID: Bonjour, J'ai un petit souci avec mon DNS. Je possède un nom toto.org. J'ai configuré sur mon serveur, la zone dns primaire toto.org avec un ensemble de sous domaine. Mon problème est le suivant: Je veux que mon serveur DNS me renvoi une IP pour toto.org et pas seulement pour www.toto.org ou mail.toto.org Pour effectuer cela puis je configurer une zone DNS .org sur mon serveur pour laquelle je n'ai sans doute pas autorité et y configurer un nom toto qui renvoie sur ma machine ? Ou bien suis-je obligé d'ajouter une entrée toto sur le serveur dns de niveau superieur dans la zone .org ? Pourquoi ne puis je pas ajouter directement une entrée par défaut dans ma zone DNS primaire dans le cas ou ma requête ne concerne que toto.org et pas un de ses sous domaines? Merci d'avance From fcombernous at kezia.com Wed Jun 3 17:55:44 2009 From: fcombernous at kezia.com (Fabien COMBERNOUS) Date: Wed Jun 3 17:55:24 2009 Subject: [Admin-ml] NetBoot ? Message-ID: <4A269D00.7010001@kezia.com> Bonjour la liste, Je cherche à forcer une machine (imac et/ou mac mini et/ou mac pro) distante à netbooter pour pouvoir la (ré)installer, sans quitter mon bureau douillet ? Quand un Leopard est déjà installé c'est facilement faisable via "startup disk" dans les préférences système. Mais, si j'ai une machine sans OS opérationnel, comment faire ? @+, -- *Fabien COMBERNOUS* /unix system engineer/ www.kezia.com *Tel: +33 (0) 467 992 986* Kezia Group From jean-thomas.munier at medecine.uhp-nancy.fr Wed Jun 3 18:09:35 2009 From: jean-thomas.munier at medecine.uhp-nancy.fr (Jean-Thomas MUNIER) Date: Wed Jun 3 18:09:13 2009 Subject: [Admin-ml] NetBoot ? In-Reply-To: <4A269D00.7010001@kezia.com> References: <4A269D00.7010001@kezia.com> Message-ID: <000D23EB-562F-4654-80FF-5E9C31B8D37E@medecine.uhp-nancy.fr> Bonjour, Il suffit de demander à un utilisateur d'appuyer sur la touche N au démarrage ce qui forcera ton mac à "Netbooter". Attention si il n'y a pas de partition de crée, il faudra que ton SWAP soit sur le réseau sinon le système ne pourra pas s'amorcer... Belle journée a+ Cordialement, Jean-Thomas MUNIER E-Mail: jean-thomas.munier@medecine.uhp-nancy.fr Téléphone: 03.83.68.30.66 SIRET -- FACULTE DE MEDECINE UHP -- NANCY UNIVERSITE E-Mail: siret@medecine.uhp-nancy.fr Téléphone: 03.83.68.30.60 Le 3 juin 09 à 17:55, Fabien COMBERNOUS a écrit : > Bonjour la liste, > > Je cherche à forcer une machine (imac et/ou mac mini et/ou mac pro) > distante à netbooter pour pouvoir la (ré)installer, sans quitter mon > bureau douillet ? > Quand un Leopard est déjà installé c'est facilement faisable via > "startup disk" dans les préférences système. Mais, si j'ai une > machine sans OS opérationnel, comment faire ? > > @+, > -- > *Fabien COMBERNOUS* > /unix system engineer/ > www.kezia.com > *Tel: +33 (0) 467 992 986* > Kezia Group > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml From jlbailloeul at irtsnpdc.fr Wed Jun 3 18:13:08 2009 From: jlbailloeul at irtsnpdc.fr (Jean-Luc Bailloeul) Date: Wed Jun 3 18:13:18 2009 Subject: [Admin-ml] Histoire de DNS In-Reply-To: References: Message-ID: <844A9F50-C324-4BBA-9795-B5820A1B1D08@irtsnpdc.fr> Le 3 juin 09 à 17:49, Hugo Letemplier a écrit : > Bonjour, > > J'ai un petit souci avec mon DNS. > Je possède un nom toto.org. > J'ai configuré sur mon serveur, la zone dns primaire toto.org avec > un ensemble de sous domaine. > Mon problème est le suivant: > Je veux que mon serveur DNS me renvoi une IP pour toto.org et pas > seulement pour www.toto.org ou mail.toto.org Si tu as créé un enregistrement de nom de domaine sur ton serveur, il correspond automatiquement à l'adresse ip de ton serveur DNS, sur le principe. $host toto.org toto.org has address @IPserverDNS > > Pour effectuer cela puis je configurer une zone DNS .org sur mon > serveur pour laquelle je n'ai sans doute pas autorité et y > configurer un nom toto qui renvoie sur ma machine ? surtout pas. tu ne peux enregistrer une racine de type org, fr ou autre sur ton serveur. enfin, si, tu peux, mais si un de tes postes fait une requête genre fr.wikipedia.org et que tu n'as pas effectué d'enregistrement pour fr.wikipedia, il ne trouvera rien. > Ou bien suis-je obligé d'ajouter une entrée toto sur le serveur dns > de niveau superieur dans la zone .org ? Qui veux-tu qui réponde à tes requêtes DNS ? ton serveur DNS ou les serveurs de ton provider ? tu veux une résolution d'@ips privées ou publiques ? > > Pourquoi ne puis je pas ajouter directement une entrée par défaut > dans ma zone DNS primaire dans le cas ou ma requête ne concerne que > toto.org et pas un de ses sous domaines? elle existe, à partir du moment ou tu crées ta zone. Qu'appelles-tu sous-domaines, que l'on soit d'accord ? Cdt, Jean-Luc > > > Merci d'avance_______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml > From jlbailloeul at irtsnpdc.fr Wed Jun 3 18:17:52 2009 From: jlbailloeul at irtsnpdc.fr (Jean-Luc Bailloeul) Date: Wed Jun 3 18:17:30 2009 Subject: [Admin-ml] NetBoot ? In-Reply-To: <4A269D00.7010001@kezia.com> References: <4A269D00.7010001@kezia.com> Message-ID: Le 3 juin 09 à 17:55, Fabien COMBERNOUS a écrit : > Bonjour la liste, > > Je cherche à forcer une machine (imac et/ou mac mini et/ou mac pro) > distante à netbooter pour pouvoir la (ré)installer, sans quitter mon > bureau douillet ? > Quand un Leopard est déjà installé c'est facilement faisable via > "startup disk" dans les préférences système. Mais, si j'ai une > machine sans OS opérationnel, comment faire ? tu plisses les yeux et tu te concentres très fort :-))))) non, comme dit Jean-Thomas, tu fais du remotefinger. Sinon? ?? > > > @+, > -- > *Fabien COMBERNOUS* > /unix system engineer/ > www.kezia.com > *Tel: +33 (0) 467 992 986* > Kezia Group > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml > From fcombernous at kezia.com Wed Jun 3 18:21:11 2009 From: fcombernous at kezia.com (Fabien COMBERNOUS) Date: Wed Jun 3 18:20:40 2009 Subject: [Admin-ml] Histoire de DNS In-Reply-To: References: Message-ID: <4A26A2F7.70100@kezia.com> Hugo Letemplier wrote: > Bonjour, > > J'ai un petit souci avec mon DNS. > Je possède un nom toto.org. > J'ai configuré sur mon serveur, la zone dns primaire toto.org avec un > ensemble de sous domaine. Je suppose que tu parles d'enregistrements quand tu parles de "sous domaines". > Mon problème est le suivant: > Je veux que mon serveur DNS me renvoi une IP pour toto.org et pas > seulement pour www.toto.org ou mail.toto.org Il y a la possibilité de faire un "catch all" avec un enregistrement de type A dans la zone toto.org : * IN A IP Je ne sais pas faire cela avec l'interface graphique. -- *Fabien COMBERNOUS* /unix system engineer/ www.kezia.com *Tel: +33 (0) 467 992 986* Kezia Group From gohu35 at live.fr Wed Jun 3 18:30:06 2009 From: gohu35 at live.fr (Hugo Letemplier) Date: Wed Jun 3 18:29:36 2009 Subject: [Admin-ml] Histoire de DNS In-Reply-To: <4A26A2F7.70100@kezia.com> References: <4A26A2F7.70100@kezia.com> Message-ID: Le 3 juin 09 à 17:13, Jean-Luc Bailloeul a écrit : > > Le 3 juin 09 à 17:49, Hugo Letemplier a écrit : >> >> Pour effectuer cela puis je configurer une zone DNS .org sur mon >> serveur pour laquelle je n'ai sans doute pas autorité et y >> configurer un nom toto qui renvoie sur ma machine ? > surtout pas. > tu ne peux enregistrer une racine de type org, fr ou autre sur ton > serveur. enfin, si, tu peux, mais si un de tes postes fait une > requête genre fr.wikipedia.org et que tu n'as pas effectué > d'enregistrement pour fr.wikipedia, il ne trouvera rien. Oui c'est pas cool c'est bien ce que je me disais > >> Ou bien suis-je obligé d'ajouter une entrée toto sur le serveur dns >> de niveau superieur dans la zone .org ? > Qui veux-tu qui réponde à tes requêtes DNS ? ton serveur DNS ou les > serveurs de ton provider ? > tu veux une résolution d'@ips privées ou publiques ? >> >> Pourquoi ne puis je pas ajouter directement une entrée par défaut >> dans ma zone DNS primaire dans le cas ou ma requête ne concerne que >> toto.org et pas un de ses sous domaines? > elle existe, à partir du moment ou tu crées ta zone. Et comment puis-je la configurer ? car je n'ai pas cet enregistrement dans mon serveur. Le 3 juin 09 à 17:21, Fabien COMBERNOUS a écrit : > Hugo Letemplier wrote: >> Bonjour, >> >> J'ai un petit souci avec mon DNS. >> Je possède un nom toto.org. >> J'ai configuré sur mon serveur, la zone dns primaire toto.org avec >> un ensemble de sous domaine. > Je suppose que tu parles d'enregistrements quand tu parles de "sous > domaines". Ooups. Oui en fait j'ai pas pris le bon mot. > > >> Mon problème est le suivant: >> Je veux que mon serveur DNS me renvoi une IP pour toto.org et pas >> seulement pour www.toto.org ou mail.toto.org > Il y a la possibilité de faire un "catch all" avec un enregistrement > de type A dans la zone toto.org : > * IN A IP > > Je ne sais pas faire cela avec l'interface graphique. Oui c'est cela que je me demandais car je dois laisser la main a quelqu'un qui ne veut pas de ligne de commande. Donc obligation de passer par server admin. > > > -- > *Fabien COMBERNOUS* > /unix system engineer/ > www.kezia.com > *Tel: +33 (0) 467 992 986* > Kezia Group > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml > From gohu35 at live.fr Wed Jun 3 18:40:55 2009 From: gohu35 at live.fr (Hugo Letemplier) Date: Wed Jun 3 18:40:26 2009 Subject: [Admin-ml] NetBoot ? In-Reply-To: References: <4A269D00.7010001@kezia.com> Message-ID: Le 3 juin 09 à 17:17, Jean-Luc Bailloeul a écrit : > > Le 3 juin 09 à 17:55, Fabien COMBERNOUS a écrit : > >> Bonjour la liste, >> >> Je cherche à forcer une machine (imac et/ou mac mini et/ou mac pro) >> distante à netbooter pour pouvoir la (ré)installer, sans quitter >> mon bureau douillet ? >> Quand un Leopard est déjà installé c'est facilement faisable via >> "startup disk" dans les préférences système. Mais, si j'ai une >> machine sans OS opérationnel, comment faire ? > tu plisses les yeux et tu te concentres très fort :-))))) > non, comme dit Jean-Thomas, tu fais du remotefinger. > Sinon? ?? ça ne se passe pas dans l'open firmware ? Comme on pourrait définir un boot par pxe sur le BIOS d'un PC ? From jlbailloeul at irtsnpdc.fr Wed Jun 3 19:06:49 2009 From: jlbailloeul at irtsnpdc.fr (Jean-Luc Bailloeul) Date: Wed Jun 3 19:06:26 2009 Subject: [Admin-ml] Histoire de DNS In-Reply-To: References: <4A26A2F7.70100@kezia.com> Message-ID: <77FB3F38-2223-43F6-AD00-21C09437894E@irtsnpdc.fr> Le 3 juin 09 à 18:30, Hugo Letemplier a écrit : >>> Pourquoi ne puis je pas ajouter directement une entrée par défaut >>> dans ma zone DNS primaire dans le cas ou ma requête ne concerne >>> que toto.org et pas un de ses sous domaines? >> elle existe, à partir du moment ou tu crées ta zone. > Et comment puis-je la configurer ? car je n'ai pas cet > enregistrement dans mon serveur. ?? il s'agit de l'enregistrement de la zone. si tu n'as pas de zone configurée, ton serveur ne doit pas fonctionner très bien. il suffit de créer une zone dans ton serveur, et préciser le nom du serveur qui héberges la zone. > > > Le 3 juin 09 à 17:21, Fabien COMBERNOUS a écrit : > >> Hugo Letemplier wrote: >>> Bonjour, >>> >>> J'ai un petit souci avec mon DNS. >>> Je possède un nom toto.org. >>> J'ai configuré sur mon serveur, la zone dns primaire toto.org avec >>> un ensemble de sous domaine. >> Je suppose que tu parles d'enregistrements quand tu parles de "sous >> domaines". > Ooups. Oui en fait j'ai pas pris le bon mot. >> >> >>> Mon problème est le suivant: >>> Je veux que mon serveur DNS me renvoi une IP pour toto.org et pas >>> seulement pour www.toto.org ou mail.toto.org >> Il y a la possibilité de faire un "catch all" avec un >> enregistrement de type A dans la zone toto.org : >> * IN A IP >> >> Je ne sais pas faire cela avec l'interface graphique. > Oui c'est cela que je me demandais car je dois laisser la main a > quelqu'un qui ne veut pas de ligne de commande. Donc obligation de > passer par server admin. C'est ici que je ne suis pas. la résolution du nom de domaine est automatique, il n'y a pas de modifications à apporter., à mon souvenir, à partir du moment où la zone est enregistrée, la résolution de la zone pointe vers le serveur ns. à moins que cela ait été modifié sous leopard ? From benoit.garcia at x2p.fr Wed Jun 3 19:37:30 2009 From: benoit.garcia at x2p.fr (Benoit GARCIA) Date: Wed Jun 3 19:37:04 2009 Subject: [Admin-ml] Quelques questions sur le DNS Message-ID: <4A26B4DA.4040101@x2p.fr> Bonjour, Je cherche à implémenter des views au niveau du DNS. Je n'ai pas trouvé d'option correspondante dans le GUI d'administration et je me demandais si le fait d'éditer les fichiers de zone ne risquait pas de poser problème. Est-ce que mes collègues pourront toujours utiliser le GUI après que j'ai modifié les fichiers de zones à la main? Je me demandais également si il était possible de gérer les mises à jours d'enregistrement de manière dynamiques. La encore je n'ai rien trouvé dans le GUI d'administration. Merci d'avance, -- Cordialement, Benoit Garcia Tel: +33 (0)1 80 81 50 35 Mob: +33 (0)6 26 69 78 59 http://www.xpress2people.com From patrick.proniewski at univ-lyon2.fr Wed Jun 3 19:59:34 2009 From: patrick.proniewski at univ-lyon2.fr (Proniewski Patrick) Date: Wed Jun 3 19:59:08 2009 Subject: [Admin-ml] Quelques questions sur le DNS In-Reply-To: <4A26B4DA.4040101@x2p.fr> References: <4A26B4DA.4040101@x2p.fr> Message-ID: <5663C8AF-08FD-4FE3-88B0-CE45FFAB315F@univ-lyon2.fr> On 3 juin 09, at 19:37, Benoit GARCIA wrote: > Bonjour, > > Je cherche à implémenter des views au niveau du DNS. > Je n'ai pas trouvé d'option correspondante dans le GUI > d'administration et je me demandais si le fait d'éditer les fichiers > de zone ne risquait pas de poser problème. > Est-ce que mes collègues pourront toujours utiliser le GUI après que > j'ai modifié les fichiers de zones à la main? > > Je me demandais également si il était possible de gérer les mises à > jours d'enregistrement de manière dynamiques. La encore je n'ai rien > trouvé dans le GUI d'administration. Très franchement, quel est l'intérêt d'utiliser l'interface d'admin toute pourrie pour gérer le DNS ? Il n'est même pas vraiment question de ligne de commande, mais simplement d'éditer des fichiers texte. Chez nous, on fait tout à la main. En ce qui me concerne, j'ouvre les fichiers directement avec mon BBEdit via une liaison sftp, et zou. Patrick PRONIEWSKI -- Administrateur Système - SENTIER - Université Lumière Lyon 2 From patrick.proniewski at univ-lyon2.fr Wed Jun 3 20:12:15 2009 From: patrick.proniewski at univ-lyon2.fr (Proniewski Patrick) Date: Wed Jun 3 20:11:48 2009 Subject: [Admin-ml] Histoire de DNS In-Reply-To: <844A9F50-C324-4BBA-9795-B5820A1B1D08@irtsnpdc.fr> References: <844A9F50-C324-4BBA-9795-B5820A1B1D08@irtsnpdc.fr> Message-ID: <8F8C258A-D677-49F3-BB80-BF14BBEA86B4@univ-lyon2.fr> On 3 juin 09, at 18:13, Jean-Luc Bailloeul wrote: >> Je veux que mon serveur DNS me renvoi une IP pour toto.org et pas >> seulement pour www.toto.org ou mail.toto.org > Si tu as créé un enregistrement de nom de domaine sur ton serveur, > il correspond automatiquement à l'adresse ip de ton serveur DNS, sur > le principe. > $host toto.org > toto.org has address @IPserverDNS l'admin Mac OS X fonctionne vraiment comme ça ? Ton fichier de zone doit ressembler à ça : ... A adresse_ip_voulue <-- le domaine tout nu (toto.org) www A adresse_ip_voulue <-- un sous-domaine (www.toto.org ) ... Patrick PRONIEWSKI -- Administrateur Système - SENTIER - Université Lumière Lyon 2 From benoit.garcia at x2p.fr Wed Jun 3 20:27:47 2009 From: benoit.garcia at x2p.fr (Benoit GARCIA) Date: Wed Jun 3 20:27:22 2009 Subject: [Admin-ml] Quelques questions sur le DNS In-Reply-To: <5663C8AF-08FD-4FE3-88B0-CE45FFAB315F@univ-lyon2.fr> References: <4A26B4DA.4040101@x2p.fr> <5663C8AF-08FD-4FE3-88B0-CE45FFAB315F@univ-lyon2.fr> Message-ID: <4A26C0A3.4070809@x2p.fr> Le 3/06/09 19:59, Proniewski Patrick a écrit : > Très franchement, quel est l'intérêt d'utiliser l'interface d'admin > toute pourrie pour gérer le DNS ? > Il n'est même pas vraiment question de ligne de commande, mais > simplement d'éditer des fichiers texte. En l'occurrence ce serveur est en place dans une petite structure et je ne suis pas certains que toutes les personnes amenées à passer derrière moi aient la connaissance et la rigueur nécessaire pour modifier le fichier de zone à la main. Qui plus est, l'interface graphique permet de "dédramatiser" les actions techniques et permet à des personnes qui débutent de faire les modifications plus serainement. > Chez nous, on fait tout à la main. En ce qui me concerne, j'ouvre les > fichiers directement avec mon BBEdit via une liaison sftp, et zou. Chez moi c'est directement vi en ssh sur la machine, mais la ce n'est pas chez moi... -- Cordialement, Benoit Garcia Tel: +33 (0)1 80 81 50 35 Mob: +33 (0)6 26 69 78 59 http://www.xpress2people.com From jlbailloeul at irtsnpdc.fr Wed Jun 3 20:39:59 2009 From: jlbailloeul at irtsnpdc.fr (Jean-Luc Bailloeul) Date: Wed Jun 3 20:39:46 2009 Subject: [Admin-ml] Histoire de DNS In-Reply-To: <8F8C258A-D677-49F3-BB80-BF14BBEA86B4@univ-lyon2.fr> References: <844A9F50-C324-4BBA-9795-B5820A1B1D08@irtsnpdc.fr> <8F8C258A-D677-49F3-BB80-BF14BBEA86B4@univ-lyon2.fr> Message-ID: Le 3 juin 09 à 20:12, Proniewski Patrick a écrit : > On 3 juin 09, at 18:13, Jean-Luc Bailloeul wrote: > >>> Je veux que mon serveur DNS me renvoi une IP pour toto.org et pas >>> seulement pour www.toto.org ou mail.toto.org >> Si tu as créé un enregistrement de nom de domaine sur ton serveur, >> il correspond automatiquement à l'adresse ip de ton serveur DNS, >> sur le principe. >> $host toto.org >> toto.org has address @IPserverDNS > > l'admin Mac OS X fonctionne vraiment comme ça ? > > Ton fichier de zone doit ressembler à ça : > > ... > A adresse_ip_voulue <-- le domaine tout nu > (toto.org) > www A adresse_ip_voulue <-- un sous-domaine (www.toto.org > ) > ... oui : $TTL 86400 irtsnpdc.fr. IN SOA corton.irtsnpdc.fr. admin.example.com. ( 2009060309 ; serial 3h ; refresh 1h ; retry 1w ; expiry 1h ) ; minimum irtsnpdc.fr. IN NS corton.irtsnpdc.fr. irtsnpdc.fr. IN A 192.168.x.x corton IN A 192.168.x.x mail IN CNAME corton smtp IN CNAME corton pop IN CNAME corton www IN CNAME corton ? Qu'est-ce qui t'étonne ? > > > > > Patrick PRONIEWSKI > -- > Administrateur Système - SENTIER - Université Lumière Lyon 2 > > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml > From gsandoz at mac.com Wed Jun 3 20:47:23 2009 From: gsandoz at mac.com (=?ISO-8859-1?Q?G=E9rard_Sandoz?=) Date: Wed Jun 3 20:46:59 2009 Subject: [Admin-ml] NetBoot ? In-Reply-To: <4A269D00.7010001@kezia.com> References: <4A269D00.7010001@kezia.com> Message-ID: <63683D9C-66DC-4F59-B5F3-DC597B7CF81F@mac.com> Salut Fabien, Si la machine ne démarre pas, difficile de lui demander quoi que ce soit, sinon, il y a remote desktop, mais elle doit avoir démarrée. Je pense que la solution c'est de demander au capitaine d'appuyer sur le bouton ;-) Gérard Sandoz Le 3 juin 09 à 17:55, Fabien COMBERNOUS a écrit : > Bonjour la liste, > > Je cherche à forcer une machine (imac et/ou mac mini et/ou mac pro) > distante à netbooter pour pouvoir la (ré)installer, sans quitter mon > bureau douillet ? > Quand un Leopard est déjà installé c'est facilement faisable via > "startup disk" dans les préférences système. Mais, si j'ai une > machine sans OS opérationnel, comment faire ? > > @+, > -- > *Fabien COMBERNOUS* > /unix system engineer/ > www.kezia.com > *Tel: +33 (0) 467 992 986* > Kezia Group > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml From patrick.proniewski at univ-lyon2.fr Wed Jun 3 20:51:30 2009 From: patrick.proniewski at univ-lyon2.fr (Proniewski Patrick) Date: Wed Jun 3 20:51:03 2009 Subject: [Admin-ml] Quelques questions sur le DNS In-Reply-To: <4A26C0A3.4070809@x2p.fr> References: <4A26B4DA.4040101@x2p.fr> <5663C8AF-08FD-4FE3-88B0-CE45FFAB315F@univ-lyon2.fr> <4A26C0A3.4070809@x2p.fr> Message-ID: On 3 juin 09, at 20:27, Benoit GARCIA wrote: > Le 3/06/09 19:59, Proniewski Patrick a écrit : >> Très franchement, quel est l'intérêt d'utiliser l'interface d'admin >> toute pourrie pour gérer le DNS ? >> Il n'est même pas vraiment question de ligne de commande, mais >> simplement d'éditer des fichiers texte. > En l'occurrence ce serveur est en place dans une petite structure et > je ne suis pas certains que toutes les personnes amenées à passer > derrière moi aient la connaissance et la rigueur nécessaire pour > modifier le fichier de zone à la main. > Qui plus est, l'interface graphique permet de "dédramatiser" les > actions techniques et permet à des personnes qui débutent de faire > les modifications plus serainement. oui enfin ça c'est si l'interface est fiable. Je ne suis pas vraiment manchot, et pourtant l'interface Admin d'apple elle m'a fait des sales coup à plus d'une occasion (dns, apache...). Puis on peut s'interroger sur les mérites d'un outils qui permet à des béotiens de foutre en l'air une config en deux clicks parce que justement, ils pensent que c'est simple et sans risque alors que ce n'est pas du tout le cas :). >> Chez nous, on fait tout à la main. En ce qui me concerne, j'ouvre >> les fichiers directement avec mon BBEdit via une liaison sftp, et >> zou. > Chez moi c'est directement vi en ssh sur la machine, mais la ce > n'est pas chez moi... ha ben oui, mais nous on versionne. Patrick PRONIEWSKI -- Administrateur Système - SENTIER - Université Lumière Lyon 2 From patrick.proniewski at univ-lyon2.fr Wed Jun 3 20:55:59 2009 From: patrick.proniewski at univ-lyon2.fr (Proniewski Patrick) Date: Wed Jun 3 20:55:34 2009 Subject: [Admin-ml] Histoire de DNS In-Reply-To: References: <844A9F50-C324-4BBA-9795-B5820A1B1D08@irtsnpdc.fr> <8F8C258A-D677-49F3-BB80-BF14BBEA86B4@univ-lyon2.fr> Message-ID: C'est ça qui m'étonnait : >>> Si tu as créé un enregistrement de nom de domaine sur ton serveur, >>> il correspond automatiquement à l'adresse ip de ton serveur DNS En général, un nom de domaine ne pointe pas sur son propre serveur DNS, enfin, on essaye d'éviter. Mais peut être que je t'ai juste mal compris. Patrick PRONIEWSKI -- Administrateur Système - SENTIER - Université Lumière Lyon 2 From benoit.garcia at x2p.fr Wed Jun 3 21:00:56 2009 From: benoit.garcia at x2p.fr (Benoit GARCIA) Date: Wed Jun 3 21:00:29 2009 Subject: [Admin-ml] Re: Quelques questions sur le DNS In-Reply-To: References: <4A26B4DA.4040101@x2p.fr> <5663C8AF-08FD-4FE3-88B0-CE45FFAB315F@univ-lyon2.fr> <4A26C0A3.4070809@x2p.fr> Message-ID: <4A26C868.1000106@x2p.fr> Le 3/06/09 20:51, Proniewski Patrick a écrit : > oui enfin ça c'est si l'interface est fiable. Je ne suis pas vraiment > manchot, et pourtant l'interface Admin d'apple elle m'a fait des sales > coup à plus d'une occasion (dns, apache...). Je découvre le système à la pomme depuis quelques semaines, et je ne suis pas convaincu par tout ce que je vois. A première vue il semble facile de faire des choses simples mais très dur de faire des choses un minimum compliqué. > Puis on peut s'interroger sur les mérites d'un outils qui permet à des > béotiens de foutre en l'air une config en deux clicks parce que > justement, ils pensent que c'est simple et sans risque alors que ce > n'est pas du tout le cas :). Le client est roi, qu'il soit Grec ou d'ailleurs ;-) > ha ben oui, mais nous on versionne. Mais moi aussi: $ ls -1 /var/named/master/terra-art* /var/named/master/terra-art.local /var/named/master/terra-art.local.0 -- Cordialement, Benoit Garcia Tel: +33 (0)1 80 81 50 35 Mob: +33 (0)6 26 69 78 59 http://www.xpress2people.com From jlbailloeul at irtsnpdc.fr Wed Jun 3 21:04:54 2009 From: jlbailloeul at irtsnpdc.fr (Jean-Luc Bailloeul) Date: Wed Jun 3 21:04:31 2009 Subject: [Admin-ml] Histoire de DNS In-Reply-To: References: <844A9F50-C324-4BBA-9795-B5820A1B1D08@irtsnpdc.fr> <8F8C258A-D677-49F3-BB80-BF14BBEA86B4@univ-lyon2.fr> Message-ID: <81B98707-6D47-4577-858E-D359A76438BA@irtsnpdc.fr> Le 3 juin 09 à 20:55, Proniewski Patrick a écrit : > C'est ça qui m'étonnait : > >>>> Si tu as créé un enregistrement de nom de domaine sur ton >>>> serveur, il correspond automatiquement à l'adresse ip de ton >>>> serveur DNS > > En général, un nom de domaine ne pointe pas sur son propre serveur > DNS, enfin, on essaye d'éviter. > Mais peut être que je t'ai juste mal compris. Si tu as compris, mais on ne parle peut être pas de la même chose. Je parle de résolution interne. Mon domaine irtsnpdc.fr est géré par mon provider. j'ai le même domaine en interne, géré par mon serveur DNS. Jusque là tout va bien ? > > > Patrick PRONIEWSKI > -- > Administrateur Système - SENTIER - Université Lumière Lyon 2 > > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml > From jlbailloeul at irtsnpdc.fr Wed Jun 3 21:11:51 2009 From: jlbailloeul at irtsnpdc.fr (Jean-Luc Bailloeul) Date: Wed Jun 3 21:11:28 2009 Subject: [Admin-ml] Quelques questions sur le DNS In-Reply-To: <4A26B4DA.4040101@x2p.fr> References: <4A26B4DA.4040101@x2p.fr> Message-ID: <554BE9C8-CD85-48C2-BB07-3F208B72CFA2@irtsnpdc.fr> Le 3 juin 09 à 19:37, Benoit GARCIA a écrit : > Bonjour, > > Je cherche à implémenter des views au niveau du DNS. possible à partir de Bind 9, mais manuellement, de ce que j'en sais. > > Je n'ai pas trouvé d'option correspondante dans le GUI > d'administration et je me demandais si le fait d'éditer les fichiers > de zone ne risquait pas de poser problème. > Est-ce que mes collègues pourront toujours utiliser le GUI après que > j'ai modifié les fichiers de zones à la main? oui, mais ils feront sauter ta conf. > > > Je me demandais également si il était possible de gérer les mises à > jours d'enregistrement de manière dynamiques. La encore je n'ai rien > trouvé dans le GUI d'administration. non et c'est dommage. là encore, il faut le faire manuellement. > > > Merci d'avance, > > -- > Cordialement, > Benoit Garcia > Tel: +33 (0)1 80 81 50 35 > Mob: +33 (0)6 26 69 78 59 > http://www.xpress2people.com > > > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml From benoit.garcia at x2p.fr Wed Jun 3 21:28:28 2009 From: benoit.garcia at x2p.fr (Benoit GARCIA) Date: Wed Jun 3 21:28:04 2009 Subject: [Admin-ml] Quelques questions sur le DNS In-Reply-To: <554BE9C8-CD85-48C2-BB07-3F208B72CFA2@irtsnpdc.fr> References: <4A26B4DA.4040101@x2p.fr> <554BE9C8-CD85-48C2-BB07-3F208B72CFA2@irtsnpdc.fr> Message-ID: <4A26CEDC.6040603@x2p.fr> Le 3/06/09 21:11, Jean-Luc Bailloeul a écrit : > possible à partir de Bind 9, mais manuellement, de ce que j'en sais. Ok. >> Je n'ai pas trouvé d'option correspondante dans le GUI >> d'administration et je me demandais si le fait d'éditer les fichiers >> de zone ne risquait pas de poser problème. >> Est-ce que mes collègues pourront toujours utiliser le GUI après que >> j'ai modifié les fichiers de zones à la main? > oui, mais ils feront sauter ta conf. Bon, je vais voir ce que je peux faire avec la GUI alors.. >> Je me demandais également si il était possible de gérer les mises à >> jours d'enregistrement de manière dynamiques. La encore je n'ai rien >> trouvé dans le GUI d'administration. > non et c'est dommage. > là encore, il faut le faire manuellement. Ok. Apple tente de pousser son mDNS comme il peut... -- Cordialement, Benoit Garcia Tel: +33 (0)1 80 81 50 35 Mob: +33 (0)6 26 69 78 59 http://www.xpress2people.com From Jean-Thomas.Munier at medecine.uhp-nancy.fr Wed Jun 3 21:37:29 2009 From: Jean-Thomas.Munier at medecine.uhp-nancy.fr (Jean-Thomas MUNIER) Date: Wed Jun 3 21:36:58 2009 Subject: [Admin-ml] NetBoot ? In-Reply-To: <63683D9C-66DC-4F59-B5F3-DC597B7CF81F@mac.com> References: <4A269D00.7010001@kezia.com> <63683D9C-66DC-4F59-B5F3-DC597B7CF81F@mac.com> Message-ID: <1244057849.4a26d0f9076a0@poincare.uhp-nancy.fr> Re, M. Mike Bombich a réalisé un très bon article concernant Netboot ainsi que les commandes à taper dans l' Open Firmewire ou en terminal pour l'EFI pour renseigner le démarrage d'un hôte sur un serveur Netboot: http://www.bombich.com/mactips/netboot.html A+ PS: mais bon il faudra peut être dans certains cas se déplacer jusqu'à l'hôte... :-) Cordialement, Jean-Thomas MUNIER E-Mail: jean-thomas.munier@medecine.uhp-nancy.fr Téléphone: 03.83.68.30.66 SIRET -- FACULTE DE MEDECINE UHP -- NANCY UNIVERSITE E-Mail: siret@medecine.uhp-nancy.fr Téléphone: 03.83.68.30.60 Selon Gérard Sandoz : > Salut Fabien, > Si la machine ne démarre pas, difficile de lui demander quoi que ce > soit, sinon, il y a remote desktop, mais elle doit avoir démarrée. > Je pense que la solution c'est de demander au capitaine d'appuyer sur > le bouton ;-) > > Gérard Sandoz > > Le 3 juin 09 à 17:55, Fabien COMBERNOUS a écrit : > > > Bonjour la liste, > > > > Je cherche à forcer une machine (imac et/ou mac mini et/ou mac pro) > > distante à netbooter pour pouvoir la (ré)installer, sans quitter mon > > bureau douillet ? > > Quand un Leopard est déjà installé c'est facilement faisable via > > "startup disk" dans les préférences système. Mais, si j'ai une > > machine sans OS opérationnel, comment faire ? > > > > @+, > > -- > > *Fabien COMBERNOUS* > > /unix system engineer/ > > www.kezia.com > > *Tel: +33 (0) 467 992 986* > > Kezia Group > > _______________________________________________ > > Admin-ml mailing list > > Admin-ml@mosx.org > > http://coruscant.mosx.org/mailman/listinfo/admin-ml > > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml > From patrick.proniewski at univ-lyon2.fr Wed Jun 3 22:34:20 2009 From: patrick.proniewski at univ-lyon2.fr (Proniewski Patrick) Date: Wed Jun 3 22:33:51 2009 Subject: [Admin-ml] Re: Quelques questions sur le DNS In-Reply-To: <4A26C868.1000106@x2p.fr> References: <4A26B4DA.4040101@x2p.fr> <5663C8AF-08FD-4FE3-88B0-CE45FFAB315F@univ-lyon2.fr> <4A26C0A3.4070809@x2p.fr> <4A26C868.1000106@x2p.fr> Message-ID: <9978E33C-DDD6-4739-916A-5E3A5740EB69@univ-lyon2.fr> On 3 juin 09, at 21:00, Benoit GARCIA wrote: > Le 3/06/09 20:51, Proniewski Patrick a écrit : >> oui enfin ça c'est si l'interface est fiable. Je ne suis pas >> vraiment manchot, et pourtant l'interface Admin d'apple elle m'a >> fait des sales coup à plus d'une occasion (dns, apache...). > Je découvre le système à la pomme depuis quelques semaines, et je ne > suis pas convaincu par tout ce que je vois. > A première vue il semble facile de faire des choses simples mais > très dur de faire des choses un minimum compliqué. Si tu te contentes de la GUI, effectivement. Modulo quand même deux trois trucs très compliqués sous le capot qui se font en quelques clicks. Pour presque tout, nous tapons directement dans les fichiers de config. >> Puis on peut s'interroger sur les mérites d'un outils qui permet à >> des béotiens de foutre en l'air une config en deux clicks parce que >> justement, ils pensent que c'est simple et sans risque alors que ce >> n'est pas du tout le cas :). > Le client est roi, qu'il soit Grec ou d'ailleurs ;-) >> ha ben oui, mais nous on versionne. > Mais moi aussi: > $ ls -1 /var/named/master/terra-art* > /var/named/master/terra-art.local > /var/named/master/terra-art.local.0 tsk tsk :) Patrick PRONIEWSKI -- Administrateur Système - SENTIER - Université Lumière Lyon 2 From patrick.proniewski at univ-lyon2.fr Wed Jun 3 22:35:13 2009 From: patrick.proniewski at univ-lyon2.fr (Proniewski Patrick) Date: Wed Jun 3 22:34:43 2009 Subject: [Admin-ml] Histoire de DNS In-Reply-To: <81B98707-6D47-4577-858E-D359A76438BA@irtsnpdc.fr> References: <844A9F50-C324-4BBA-9795-B5820A1B1D08@irtsnpdc.fr> <8F8C258A-D677-49F3-BB80-BF14BBEA86B4@univ-lyon2.fr> <81B98707-6D47-4577-858E-D359A76438BA@irtsnpdc.fr> Message-ID: <17726870-C3A5-408D-A449-7B68B629ECB7@univ-lyon2.fr> On 3 juin 09, at 21:04, Jean-Luc Bailloeul wrote: > Le 3 juin 09 à 20:55, Proniewski Patrick a écrit : > >> C'est ça qui m'étonnait : >> >>>>> Si tu as créé un enregistrement de nom de domaine sur ton >>>>> serveur, il correspond automatiquement à l'adresse ip de ton >>>>> serveur DNS >> >> En général, un nom de domaine ne pointe pas sur son propre serveur >> DNS, enfin, on essaye d'éviter. >> Mais peut être que je t'ai juste mal compris. > Si tu as compris, mais on ne parle peut être pas de la même chose. > Je parle de résolution interne. > Mon domaine irtsnpdc.fr est géré par mon provider. > j'ai le même domaine en interne, géré par mon serveur DNS. > Jusque là tout va bien ? oui, mais je ne vois pas le rapport :) Enfin, au final c'est pas bien grave. Patrick PRONIEWSKI -- Administrateur Système - SENTIER - Université Lumière Lyon 2 From patrick.proniewski at univ-lyon2.fr Wed Jun 3 22:38:17 2009 From: patrick.proniewski at univ-lyon2.fr (Proniewski Patrick) Date: Wed Jun 3 22:37:48 2009 Subject: [Admin-ml] Quelques questions sur le DNS In-Reply-To: <4A26CEDC.6040603@x2p.fr> References: <4A26B4DA.4040101@x2p.fr> <554BE9C8-CD85-48C2-BB07-3F208B72CFA2@irtsnpdc.fr> <4A26CEDC.6040603@x2p.fr> Message-ID: <739656B3-6FBD-4F30-988B-38218E9B2738@univ-lyon2.fr> On 3 juin 09, at 21:28, Benoit GARCIA wrote: > Le 3/06/09 21:11, Jean-Luc Bailloeul a écrit : >> possible à partir de Bind 9, mais manuellement, de ce que j'en sais. > Ok. >>> Je n'ai pas trouvé d'option correspondante dans le GUI >>> d'administration et je me demandais si le fait d'éditer les >>> fichiers de zone ne risquait pas de poser problème. >>> Est-ce que mes collègues pourront toujours utiliser le GUI après >>> que j'ai modifié les fichiers de zones à la main? >> oui, mais ils feront sauter ta conf. > Bon, je vais voir ce que je peux faire avec la GUI alors.. >>> Je me demandais également si il était possible de gérer les mises >>> à jours d'enregistrement de manière dynamiques. La encore je n'ai >>> rien trouvé dans le GUI d'administration. >> non et c'est dommage. >> là encore, il faut le faire manuellement. > Ok. > Apple tente de pousser son mDNS comme il peut... C'est pas vraiment la même chose non ? Je vois mal mDNS dos à dos avec dyndns.org. Ou alors il faut que je lise sérieusement la doc de mDNS :) Le DNS dynamique ça se fait avec Bind, en tapant dans les fichiers directement. C'est juste un cas d'utilisation tellement marginal qu'Apple n'a pas voulu le prendre en compte dans sa GUI. Patrick PRONIEWSKI -- Administrateur Système - SENTIER - Université Lumière Lyon 2 From jlbailloeul at irtsnpdc.fr Wed Jun 3 22:46:58 2009 From: jlbailloeul at irtsnpdc.fr (Jean-Luc Bailloeul) Date: Wed Jun 3 22:46:35 2009 Subject: [Admin-ml] Histoire de DNS In-Reply-To: <17726870-C3A5-408D-A449-7B68B629ECB7@univ-lyon2.fr> References: <844A9F50-C324-4BBA-9795-B5820A1B1D08@irtsnpdc.fr> <8F8C258A-D677-49F3-BB80-BF14BBEA86B4@univ-lyon2.fr> <81B98707-6D47-4577-858E-D359A76438BA@irtsnpdc.fr> <17726870-C3A5-408D-A449-7B68B629ECB7@univ-lyon2.fr> Message-ID: Le 3 juin 09 à 22:35, Proniewski Patrick a écrit : > On 3 juin 09, at 21:04, Jean-Luc Bailloeul wrote: > >> Le 3 juin 09 à 20:55, Proniewski Patrick a écrit : >> >>> C'est ça qui m'étonnait : >>> >>>>>> Si tu as créé un enregistrement de nom de domaine sur ton >>>>>> serveur, il correspond automatiquement à l'adresse ip de ton >>>>>> serveur DNS >>> >>> En général, un nom de domaine ne pointe pas sur son propre serveur >>> DNS, enfin, on essaye d'éviter. >>> Mais peut être que je t'ai juste mal compris. >> Si tu as compris, mais on ne parle peut être pas de la même chose. >> Je parle de résolution interne. >> Mon domaine irtsnpdc.fr est géré par mon provider. >> j'ai le même domaine en interne, géré par mon serveur DNS. >> Jusque là tout va bien ? > > > oui, mais je ne vois pas le rapport :) > Enfin, au final c'est pas bien grave. Sauf si Hugo n'a pas résolu son problème :-) > > > Patrick PRONIEWSKI > -- > Administrateur Système - SENTIER - Université Lumière Lyon 2 > > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml > From benoit.garcia at x2p.fr Wed Jun 3 22:51:20 2009 From: benoit.garcia at x2p.fr (Benoit GARCIA) Date: Wed Jun 3 22:50:54 2009 Subject: [Admin-ml] Quelques questions sur le DNS In-Reply-To: <739656B3-6FBD-4F30-988B-38218E9B2738@univ-lyon2.fr> References: <4A26B4DA.4040101@x2p.fr> <554BE9C8-CD85-48C2-BB07-3F208B72CFA2@irtsnpdc.fr> <4A26CEDC.6040603@x2p.fr> <739656B3-6FBD-4F30-988B-38218E9B2738@univ-lyon2.fr> Message-ID: <4A26E248.7070506@x2p.fr> Le 3/06/09 22:38, Proniewski Patrick a écrit : > C'est pas vraiment la même chose non ? Je vois mal mDNS dos à dos avec > dyndns.org. Ou alors il faut que je lise sérieusement la doc de mDNS :) Non, je pensais plus à une mise à jour des enregistrements sur une zone locale (via le serveur DHCP) comme cela peut se faire sous d'autres systèmes (Windows par exemple). D'après ce que je comprends du mDNS, Apple tente de se passer d'une infrastructure qui est compliquée à entretenir pour des PMES, mais indispensable dès que l'on a quelque chose d'un peu plus complexe... > Le DNS dynamique ça se fait avec Bind, en tapant dans les fichiers > directement. C'est juste un cas d'utilisation tellement marginal > qu'Apple n'a pas voulu le prendre en compte dans sa GUI. Bien disons que dès que l'on a des machines en DHCP, la mise à jour des enregistrements DNS est quand même bien pratique. En particulier lorsque l'on a plusieurs sous-réseaux et des machines qui se baladent sur les différents sous-réseaux (ordinateur portables s déplaçant sur plusieurs sites distants reliés par un VPN par exemple) -- Cordialement, Benoit Garcia Tel: +33 (0)1 80 81 50 35 Mob: +33 (0)6 26 69 78 59 http://www.xpress2people.com From patrick.proniewski at univ-lyon2.fr Wed Jun 3 22:57:37 2009 From: patrick.proniewski at univ-lyon2.fr (Proniewski Patrick) Date: Wed Jun 3 22:57:08 2009 Subject: [Admin-ml] Quelques questions sur le DNS In-Reply-To: <4A26E248.7070506@x2p.fr> References: <4A26B4DA.4040101@x2p.fr> <554BE9C8-CD85-48C2-BB07-3F208B72CFA2@irtsnpdc.fr> <4A26CEDC.6040603@x2p.fr> <739656B3-6FBD-4F30-988B-38218E9B2738@univ-lyon2.fr> <4A26E248.7070506@x2p.fr> Message-ID: <64E54D55-1682-4938-87B1-8B8BE2583E8C@univ-lyon2.fr> On 3 juin 09, at 22:51, Benoit GARCIA wrote: > Le 3/06/09 22:38, Proniewski Patrick a écrit : >> C'est pas vraiment la même chose non ? Je vois mal mDNS dos à dos >> avec dyndns.org. Ou alors il faut que je lise sérieusement la doc >> de mDNS :) > Non, je pensais plus à une mise à jour des enregistrements sur une > zone locale (via le serveur DHCP) comme cela peut se faire sous > d'autres systèmes (Windows par exemple). > D'après ce que je comprends du mDNS, Apple tente de se passer d'une > infrastructure qui est compliquée à entretenir pour des PMES, mais > indispensable dès que l'on a quelque chose d'un peu plus complexe... Oui, effectivement. >> Le DNS dynamique ça se fait avec Bind, en tapant dans les fichiers >> directement. C'est juste un cas d'utilisation tellement marginal >> qu'Apple n'a pas voulu le prendre en compte dans sa GUI. > Bien disons que dès que l'on a des machines en DHCP, la mise à jour > des enregistrements DNS est quand même bien pratique. Oui, j'avais en tête les cas farfelu où des gens avec des IP dynamiques (type résidentielle) veulent avoir un domaine fixe, façon dyndns. Le cas du DHCP/DNS à la windows est effectivement plus utilisé. Patrick PRONIEWSKI -- Administrateur Système - SENTIER - Université Lumière Lyon 2 From gohu35 at live.fr Wed Jun 3 23:05:33 2009 From: gohu35 at live.fr (Hugo Letemplier) Date: Wed Jun 3 23:05:09 2009 Subject: [Admin-ml] Histoire de DNS In-Reply-To: References: <844A9F50-C324-4BBA-9795-B5820A1B1D08@irtsnpdc.fr> <8F8C258A-D677-49F3-BB80-BF14BBEA86B4@univ-lyon2.fr> <81B98707-6D47-4577-858E-D359A76438BA@irtsnpdc.fr> <17726870-C3A5-408D-A449-7B68B629ECB7@univ-lyon2.fr> Message-ID: Le 3 juin 09 à 21:46, Jean-Luc Bailloeul a écrit : > > Le 3 juin 09 à 22:35, Proniewski Patrick a écrit : > >> On 3 juin 09, at 21:04, Jean-Luc Bailloeul wrote: >> >>> Le 3 juin 09 à 20:55, Proniewski Patrick a écrit : >>> >>>> C'est ça qui m'étonnait : >>>> >>>>>>> Si tu as créé un enregistrement de nom de domaine sur ton >>>>>>> serveur, il correspond automatiquement à l'adresse ip de ton >>>>>>> serveur DNS >>>> >>>> En général, un nom de domaine ne pointe pas sur son propre >>>> serveur DNS, enfin, on essaye d'éviter. >>>> Mais peut être que je t'ai juste mal compris. >>> Si tu as compris, mais on ne parle peut être pas de la même chose. >>> Je parle de résolution interne. >>> Mon domaine irtsnpdc.fr est géré par mon provider. >>> j'ai le même domaine en interne, géré par mon serveur DNS. >>> Jusque là tout va bien ? >> >> >> oui, mais je ne vois pas le rapport :) >> Enfin, au final c'est pas bien grave. > > Sauf si Hugo n'a pas résolu son problème :-) Oui me revoilà ^^ Donc je vérifierais en détail la chose dans mon named.conf et puis mon fichier de zone. Mais je crois que le probleme doit venir de serveradmin qui ne créé pas la ligne du domaine tout nu ^^, car j'arrive pas a l'ajouter dans la liste de ma config DNS en GUI. Ce que disait Patrick ... A adresse_ip_voulue <-- le domaine tout nu (toto.org) www A adresse_ip_voulue <-- un sous-domaine (www.toto.org ) ... J'y repense également, j'ai du faire un alias en tentant de faire ce truc j'essaierais avec une machine demain. Je trouve quand même que Apple n'est pas bien folichon pour son interface server admin car elle m'aura causé pas mal de soucis pendant mon stage. Hugo From jlbailloeul at irtsnpdc.fr Wed Jun 3 23:05:55 2009 From: jlbailloeul at irtsnpdc.fr (Jean-Luc Bailloeul) Date: Wed Jun 3 23:06:28 2009 Subject: [Admin-ml] Quelques questions sur le DNS In-Reply-To: <64E54D55-1682-4938-87B1-8B8BE2583E8C@univ-lyon2.fr> References: <4A26B4DA.4040101@x2p.fr> <554BE9C8-CD85-48C2-BB07-3F208B72CFA2@irtsnpdc.fr> <4A26CEDC.6040603@x2p.fr> <739656B3-6FBD-4F30-988B-38218E9B2738@univ-lyon2.fr> <4A26E248.7070506@x2p.fr> <64E54D55-1682-4938-87B1-8B8BE2583E8C@univ-lyon2.fr> Message-ID: Le 3 juin 09 à 22:57, Proniewski Patrick a écrit : > On 3 juin 09, at 22:51, Benoit GARCIA wrote: > >> Le 3/06/09 22:38, Proniewski Patrick a écrit : >>> C'est pas vraiment la même chose non ? Je vois mal mDNS dos à dos >>> avec dyndns.org. Ou alors il faut que je lise sérieusement la doc >>> de mDNS :) >> Non, je pensais plus à une mise à jour des enregistrements sur une >> zone locale (via le serveur DHCP) comme cela peut se faire sous >> d'autres systèmes (Windows par exemple). >> D'après ce que je comprends du mDNS, Apple tente de se passer d'une >> infrastructure qui est compliquée à entretenir pour des PMES, mais >> indispensable dès que l'on a quelque chose d'un peu plus complexe... > > Oui, effectivement. > > >>> Le DNS dynamique ça se fait avec Bind, en tapant dans les fichiers >>> directement. C'est juste un cas d'utilisation tellement marginal >>> qu'Apple n'a pas voulu le prendre en compte dans sa GUI. >> Bien disons que dès que l'on a des machines en DHCP, la mise à jour >> des enregistrements DNS est quand même bien pratique. i agree. c'est un des aspects curieux du monde server d'Apple. tandis qu'ils ont un sens du détail très poussé pour ce qui concerne les produits grand public, ils sont parfois, comment dire, "légers" sur leur version server. Après, tout est faisable à la main, mais? Cdt, Jean-Luc >> > > > Oui, j'avais en tête les cas farfelu où des gens avec des IP > dynamiques (type résidentielle) veulent avoir un domaine fixe, façon > dyndns. Le cas du DHCP/DNS à la windows est effectivement plus > utilisé. > > Patrick PRONIEWSKI > -- > Administrateur Système - SENTIER - Université Lumière Lyon 2 > > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml > From fcombernous at kezia.com Thu Jun 4 09:46:24 2009 From: fcombernous at kezia.com (Fabien COMBERNOUS) Date: Thu Jun 4 09:45:59 2009 Subject: [Admin-ml] NetBoot ? In-Reply-To: <63683D9C-66DC-4F59-B5F3-DC597B7CF81F@mac.com> References: <4A269D00.7010001@kezia.com> <63683D9C-66DC-4F59-B5F3-DC597B7CF81F@mac.com> Message-ID: <4A277BD0.8090303@kezia.com> Gérard Sandoz wrote: > Salut Fabien, Bonjour Gérard, > Si la machine ne démarre pas, difficile de lui demander quoi que ce > soit, sinon, il y a remote desktop, mais elle doit avoir démarrée. Tu peux être plus précis ? > Je pense que la solution c'est de demander au capitaine d'appuyer sur > le bouton ;-) J'avais espoir qu'il y ai autre chose que le remote finger de Jean-Luc. -- *Fabien COMBERNOUS* /unix system engineer/ www.kezia.com *Tel: +33 (0) 467 992 986* Kezia Group From gohu35 at live.fr Thu Jun 4 11:12:49 2009 From: gohu35 at live.fr (Hugo Letemplier) Date: Thu Jun 4 11:12:23 2009 Subject: [Admin-ml] Histoire de DNS In-Reply-To: References: <844A9F50-C324-4BBA-9795-B5820A1B1D08@irtsnpdc.fr> <8F8C258A-D677-49F3-BB80-BF14BBEA86B4@univ-lyon2.fr> <81B98707-6D47-4577-858E-D359A76438BA@irtsnpdc.fr> <17726870-C3A5-408D-A449-7B68B629ECB7@univ-lyon2.fr> Message-ID: Le 3 juin 09 à 22:05, Hugo Letemplier a écrit : > > Le 3 juin 09 à 21:46, Jean-Luc Bailloeul a écrit : > >> >> Le 3 juin 09 à 22:35, Proniewski Patrick a écrit : >> >>> On 3 juin 09, at 21:04, Jean-Luc Bailloeul wrote: >>> >>>> Le 3 juin 09 à 20:55, Proniewski Patrick a écrit : >>>> >>>>> C'est ça qui m'étonnait : >>>>> >>>>>>>> Si tu as créé un enregistrement de nom de domaine sur ton >>>>>>>> serveur, il correspond automatiquement à l'adresse ip de ton >>>>>>>> serveur DNS >>>>> >>>>> En général, un nom de domaine ne pointe pas sur son propre >>>>> serveur DNS, enfin, on essaye d'éviter. >>>>> Mais peut être que je t'ai juste mal compris. >>>> Si tu as compris, mais on ne parle peut être pas de la même chose. >>>> Je parle de résolution interne. >>>> Mon domaine irtsnpdc.fr est géré par mon provider. >>>> j'ai le même domaine en interne, géré par mon serveur DNS. >>>> Jusque là tout va bien ? >>> >>> >>> oui, mais je ne vois pas le rapport :) >>> Enfin, au final c'est pas bien grave. >> >> Sauf si Hugo n'a pas résolu son problème :-) > Oui me revoilà ^^ > Donc je vérifierais en détail la chose dans mon named.conf et puis > mon fichier de zone. > Mais je crois que le probleme doit venir de serveradmin qui ne créé > pas la ligne du domaine tout nu ^^, car j'arrive pas a l'ajouter > dans la liste de ma config DNS en GUI. > > Ce que disait Patrick > ... > A adresse_ip_voulue <-- le domaine tout nu > (toto.org) > www A adresse_ip_voulue <-- un sous-domaine (www.toto.org > ) > ... Oui c'est bien là qu'est le problème après vérifications et impossible de l'ajouter via mode graphique ou alors il y a une technique bien particulière il refuse les entrées avec un nom vide. Je n'ai pas envie de pourrir mon mode graphique pour un fichier de conf que je devrais configurer manuellement. La personne qui reprendra mon travail n'est pas admin et veut quelque chose de stable or un jour ou l'autre la conf de server admin viendra écraser celle que j'aurais fait en ligne de commande et ce sera la cata^^. Quelqu'un aurait une idée ? Merci Hugo From fcombernous at kezia.com Thu Jun 4 11:21:19 2009 From: fcombernous at kezia.com (Fabien COMBERNOUS) Date: Thu Jun 4 11:20:48 2009 Subject: [Admin-ml] Quelques questions sur le DNS In-Reply-To: <4A26E248.7070506@x2p.fr> References: <4A26B4DA.4040101@x2p.fr> <554BE9C8-CD85-48C2-BB07-3F208B72CFA2@irtsnpdc.fr> <4A26CEDC.6040603@x2p.fr> <739656B3-6FBD-4F30-988B-38218E9B2738@univ-lyon2.fr> <4A26E248.7070506@x2p.fr> Message-ID: <4A27920F.5040500@kezia.com> Benoit GARCIA wrote: > Le 3/06/09 22:38, Proniewski Patrick a écrit : >> C'est pas vraiment la même chose non ? Je vois mal mDNS dos à dos >> avec dyndns.org. Ou alors il faut que je lise sérieusement la doc de >> mDNS :) > Non, je pensais plus à une mise à jour des enregistrements sur une > zone locale (via le serveur DHCP) comme cela peut se faire sous > d'autres systèmes (Windows par exemple). Est-ce à dire qu'avec les interfaces graphiques d'un macosx server, il n'est pas possible de faire une configuration du couple bind/dhcp pour que le dhcp mette à jour des enregistrement dns ? Ensuite, sans parler d'interface graphique, est-ce que c'est simplement possible avec le couple bind/dhcp fourni par Apple ? -- *Fabien COMBERNOUS* /unix system engineer/ www.kezia.com *Tel: +33 (0) 467 992 986* Kezia Group From patrick.proniewski at univ-lyon2.fr Thu Jun 4 11:36:07 2009 From: patrick.proniewski at univ-lyon2.fr (Proniewski Patrick) Date: Thu Jun 4 11:35:46 2009 Subject: [Admin-ml] Histoire de DNS In-Reply-To: References: <844A9F50-C324-4BBA-9795-B5820A1B1D08@irtsnpdc.fr> <8F8C258A-D677-49F3-BB80-BF14BBEA86B4@univ-lyon2.fr> <81B98707-6D47-4577-858E-D359A76438BA@irtsnpdc.fr> <17726870-C3A5-408D-A449-7B68B629ECB7@univ-lyon2.fr> Message-ID: On 4 juin 09, at 11:12, Hugo Letemplier wrote: >> A adresse_ip_voulue <-- le domaine tout nu >> (toto.org) >> www A adresse_ip_voulue <-- un sous-domaine (www.toto.org >> ) >> ... > Oui c'est bien là qu'est le problème après vérifications et > impossible de l'ajouter via mode graphique ou alors il y a une > technique bien particulière il refuse les entrées avec un nom vide. > Je n'ai pas envie de pourrir mon mode graphique pour un fichier de > conf que je devrais configurer manuellement. La personne qui > reprendra mon travail n'est pas admin et veut quelque chose de > stable or un jour ou l'autre la conf de server admin viendra écraser > celle que j'aurais fait en ligne de commande et ce sera la cata^^. Bind est plein de subtilité, tu peux écrire plein de choses équivalentes. Je pense qu'en indiquant : toto.org. A adresse_ip_voulue www.toto.org A adresse_ip_voulue tu obtiendras le même résultat. Patrick PRONIEWSKI -- Administrateur Système - SENTIER - Université Lumière Lyon 2 From gohu35 at live.fr Thu Jun 4 11:40:48 2009 From: gohu35 at live.fr (Hugo Letemplier) Date: Thu Jun 4 11:40:16 2009 Subject: [Admin-ml] NetBoot ? In-Reply-To: <4A277BD0.8090303@kezia.com> References: <4A269D00.7010001@kezia.com> <63683D9C-66DC-4F59-B5F3-DC597B7CF81F@mac.com> <4A277BD0.8090303@kezia.com> Message-ID: Le 4 juin 09 à 08:46, Fabien COMBERNOUS a écrit : > Gérard Sandoz wrote: >> Salut Fabien, > > Bonjour Gérard, >> Si la machine ne démarre pas, difficile de lui demander quoi que ce >> soit, sinon, il y a remote desktop, mais elle doit avoir démarrée. Wake on lan ? + Modif Open Firmware pour le boot via le réseau si aucun os n'est détecté. Je sais pas si c'est possible mais sa doit être faisable. Ya peut être même moyen de booter en réseau d'interroger un serveur d'install et de choisir à distance si tu réinstalle ou si tu boot sur le disque dur ? > Tu peux être plus précis ? > >> Je pense que la solution c'est de demander au capitaine d'appuyer >> sur le bouton ;-) > > J'avais espoir qu'il y ai autre chose que le remote finger de Jean- > Luc. > > > > > -- > *Fabien COMBERNOUS* > /unix system engineer/ > www.kezia.com > *Tel: +33 (0) 467 992 986* > Kezia Group > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml > From jlbailloeul at irtsnpdc.fr Thu Jun 4 11:45:10 2009 From: jlbailloeul at irtsnpdc.fr (Jean-Luc Bailloeul) Date: Thu Jun 4 11:44:53 2009 Subject: [Admin-ml] Histoire de DNS In-Reply-To: References: <844A9F50-C324-4BBA-9795-B5820A1B1D08@irtsnpdc.fr> <8F8C258A-D677-49F3-BB80-BF14BBEA86B4@univ-lyon2.fr> <81B98707-6D47-4577-858E-D359A76438BA@irtsnpdc.fr> <17726870-C3A5-408D-A449-7B68B629ECB7@univ-lyon2.fr> Message-ID: Le 4 juin 09 à 11:36, Proniewski Patrick a écrit : > Bind est plein de subtilité, tu peux écrire plein de choses > équivalentes. > > Je pense qu'en indiquant : > > toto.org. A adresse_ip_voulue > www.toto.org A adresse_ip_voulue > > tu obtiendras le même résultat. je confirme. voici ma config : irtsnpdc.fr. IN A 192.168.x.x corton IN A 192.168.x.x www IN CNAME corton Hugo, tu peux nous faire une lecture de ta zone (en changeant tes IPs) ? tes zones doivent être dans /var/named/ > > > Patrick PRONIEWSKI > -- > Administrateur Système - SENTIER - Université Lumière Lyon 2 From jlbailloeul at irtsnpdc.fr Thu Jun 4 11:49:14 2009 From: jlbailloeul at irtsnpdc.fr (Jean-Luc Bailloeul) Date: Thu Jun 4 11:48:51 2009 Subject: [Admin-ml] Quelques questions sur le DNS In-Reply-To: <4A27920F.5040500@kezia.com> References: <4A26B4DA.4040101@x2p.fr> <554BE9C8-CD85-48C2-BB07-3F208B72CFA2@irtsnpdc.fr> <4A26CEDC.6040603@x2p.fr> <739656B3-6FBD-4F30-988B-38218E9B2738@univ-lyon2.fr> <4A26E248.7070506@x2p.fr> <4A27920F.5040500@kezia.com> Message-ID: Le 4 juin 09 à 11:21, Fabien COMBERNOUS a écrit : > Benoit GARCIA wrote: >> Le 3/06/09 22:38, Proniewski Patrick a écrit : >>> C'est pas vraiment la même chose non ? Je vois mal mDNS dos à dos >>> avec dyndns.org. Ou alors il faut que je lise sérieusement la doc >>> de mDNS :) >> Non, je pensais plus à une mise à jour des enregistrements sur une >> zone locale (via le serveur DHCP) comme cela peut se faire sous >> d'autres systèmes (Windows par exemple). > Est-ce à dire qu'avec les interfaces graphiques d'un macosx server, > il n'est pas possible de faire une configuration du couple bind/dhcp > pour que le dhcp mette à jour des enregistrement dns ? non. > > > Ensuite, sans parler d'interface graphique, est-ce que c'est > simplement possible avec le couple bind/dhcp fourni par Apple ? non plus. sous X.4, il faut même installer une version de dhcp remplaçant bootpd. voir le sujet de MacTroll sur afp548 : http://www.afp548.com/article.php?story=20060529143335323 Je n'ai pas vérifié pour Leopard, mais je pense que c'est pareil. > > > > -- > *Fabien COMBERNOUS* > /unix system engineer/ > www.kezia.com > *Tel: +33 (0) 467 992 986* > Kezia Group > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml > From gohu35 at live.fr Thu Jun 4 12:37:38 2009 From: gohu35 at live.fr (Hugo Letemplier) Date: Thu Jun 4 12:37:08 2009 Subject: [Admin-ml] Histoire de DNS In-Reply-To: References: <844A9F50-C324-4BBA-9795-B5820A1B1D08@irtsnpdc.fr> <8F8C258A-D677-49F3-BB80-BF14BBEA86B4@univ-lyon2.fr> <81B98707-6D47-4577-858E-D359A76438BA@irtsnpdc.fr> <17726870-C3A5-408D-A449-7B68B629ECB7@univ-lyon2.fr> Message-ID: Le 4 juin 09 à 10:45, Jean-Luc Bailloeul a écrit : > > Le 4 juin 09 à 11:36, Proniewski Patrick a écrit : > >> Bind est plein de subtilité, tu peux écrire plein de choses >> équivalentes. >> >> Je pense qu'en indiquant : >> >> toto.org. A adresse_ip_voulue >> www.toto.org A adresse_ip_voulue >> >> tu obtiendras le même résultat. > je confirme. voici ma config : > irtsnpdc.fr. IN A 192.168.x.x > corton IN A 192.168.x.x > www IN CNAME corton > > Hugo, tu peux nous faire une lecture de ta zone (en changeant tes > IPs) ? > tes zones doivent être dans /var/named/ server:zones boss$ cat db.toto.org.zone.apple ;GUID=C66196FF-C383-45AF-96DF-73E02D0914C2 $TTL 28800 toto.org. IN SOA server.toto.org. admin.toto.org. ( 2009060303 ;Serial 86400 ;Refresh 3600 ;Retry 604800 ;Expire 345600 ;Negative caching TTL ) toto.org. IN NS server.toto.org. nas IN A @IP www IN A @IP server IN A @IP ldap IN CNAME server.toto.org. mail IN CNAME server.toto.org. ical IN CNAME server.toto.org. toto.org. IN MX 0 server.toto.org. Ce fichier est inclus dans le fichier de db.toto.org. J'ai tenté plusieurs fois dans server admin d'ajouter soit un champ vide (impossible avec le GUI) soit un champ Fully Qualified de type Alias redirigeant vers server.toto.org. toto.org. IN CNAME server.toto.org. Mais en rédigeant ce Mail J'AI TROUVE LA SOLUTION Cela ne fonctionne que si l'on met un nom de machine je trouve cela assez étrange d'ailleurs. Enfin bref merci a tous^^ A+ Hugo From jayce at mosx.org Thu Jun 4 13:08:10 2009 From: jayce at mosx.org (Piel Jayce) Date: Thu Jun 4 13:07:39 2009 Subject: [Admin-ml] NetBoot ? In-Reply-To: References: <4A269D00.7010001@kezia.com> <63683D9C-66DC-4F59-B5F3-DC597B7CF81F@mac.com> <4A277BD0.8090303@kezia.com> Message-ID: <323CBB9B-9F18-4E61-AAF7-E87B45C31606@mosx.org> Le 4 juin 09 à 11:40, Hugo Letemplier a écrit : >>> Si la machine ne démarre pas, difficile de lui demander quoi que >>> ce soit, sinon, il y a remote desktop, mais elle doit avoir >>> démarrée. > Wake on lan ? + Modif Open Firmware pour le boot via le réseau si > aucun os n'est détecté. Je sais pas si c'est possible mais sa doit > être faisable. C'est pas impossible que si il ne trouve pas de disque local démarrable il essaie tout seul de démarrer sur l'image par défaut NetBoot... -- Jayce Piel MosX.org la renaissance..... From benoit.garcia at x2p.fr Thu Jun 4 13:43:09 2009 From: benoit.garcia at x2p.fr (Benoit GARCIA) Date: Thu Jun 4 13:53:31 2009 Subject: [Admin-ml] Quelques questions sur le DNS In-Reply-To: <4A26B4DA.4040101@x2p.fr> References: <4A26B4DA.4040101@x2p.fr> Message-ID: Le Mer 3 juin 2009 19:37, Benoit GARCIA a écrit : > Bonjour, > > Je cherche à implémenter des views au niveau du DNS. > Je n'ai pas trouvé d'option correspondante dans le GUI d'administration > et je me demandais si le fait d'éditer les fichiers de zone ne risquait > pas de poser problème. > Est-ce que mes collègues pourront toujours utiliser le GUI après que > j'ai modifié les fichiers de zones à la main? > > Je me demandais également si il était possible de gérer les mises à > jours d'enregistrement de manière dynamiques. La encore je n'ai rien > trouvé dans le GUI d'administration. J'ai peut être trouvé un moyen de faire ce que je voulais: Le but est d'avoir une zone "mondomaine.com" incluses dans 2 view: */ Une view publique (servie à tout internet) et ne contient que les ip publiques. */ Une view privée (servie uniquement aux machines sur le LAN) qui contient des enregistrements supplémentaires (les adresses privées correspondant à la RFC 1918). C'est cette seconde view que je veux pouvoir modifier via Server Admin. D'après ce que j'ai pu voir, Bind est configuré par deux fichiers: * Un fichier contenant les paramètres d'initialisation (log level, etc) dans /etc/named.conf (de mémoire). * Un fichier contenant la définition d'une view contenant toutes les zones apparaissant dans Server Admin (dans /etc/dns/ toujours de mémoire). Pour chaque zone, c'est la même chose, il y a 2 fichiers: * un fichier géré par Server Admin (dans un sous-dossier de /var/named de mémoire) qui contient tous les enregistrements (SOA, NS, MX, ..) de la zone. * un fichier "prête nom" (directement dans /var/named) qui ne contient qu'un include du premier fichier. A première vue, il semble que Server Admin ne travaille qu'avec ses fichiers (dans /etc/dns/ et /var/named/sous-dossier/ ). Autrement dit il doit pouvoir être possible de déclarer une seconde view dans /etc/named.conf et les zones associés dans /var/named. Ainsi mon named en local récupérera les enregistrements "publics" depuis le serveur maitre et apparaitra en tant que serveur maître (avec les enregistrements privés) depuis le LAN. Est-ce que ça vous semble correct? Je vais essayer de trouver un moment pour tester ça en début de semaine prochaine. -- Cordialement, Benoit Garcia Tel: +33 (0)1 80 81 50 35 Mob: +33 (0)6 26 69 78 59 http://www.xpress2people.com From jlbailloeul at irtsnpdc.fr Thu Jun 4 17:48:59 2009 From: jlbailloeul at irtsnpdc.fr (Jean-Luc Bailloeul) Date: Thu Jun 4 17:48:39 2009 Subject: [Admin-ml] Quelques questions sur le DNS In-Reply-To: References: <4A26B4DA.4040101@x2p.fr> Message-ID: Le 4 juin 09 à 13:43, Benoit GARCIA a écrit : > Le Mer 3 juin 2009 19:37, Benoit GARCIA a écrit : >> Bonjour, >> >> Je cherche à implémenter des views au niveau du DNS. >> Je n'ai pas trouvé d'option correspondante dans le GUI >> d'administration >> et je me demandais si le fait d'éditer les fichiers de zone ne >> risquait >> pas de poser problème. >> Est-ce que mes collègues pourront toujours utiliser le GUI après que >> j'ai modifié les fichiers de zones à la main? >> >> Je me demandais également si il était possible de gérer les mises à >> jours d'enregistrement de manière dynamiques. La encore je n'ai rien >> trouvé dans le GUI d'administration. > > J'ai peut être trouvé un moyen de faire ce que je voulais: > Le but est d'avoir une zone "mondomaine.com" incluses dans 2 view: > */ Une view publique (servie à tout internet) et ne contient que les > ip > publiques. > */ Une view privée (servie uniquement aux machines sur le LAN) qui > contient des enregistrements supplémentaires (les adresses privées > correspondant à la RFC 1918). > C'est cette seconde view que je veux pouvoir modifier via Server > Admin. > > D'après ce que j'ai pu voir, Bind est configuré par deux fichiers: > * Un fichier contenant les paramètres d'initialisation (log level, > etc) > dans /etc/named.conf (de mémoire). > * Un fichier contenant la définition d'une view contenant toutes les > zones apparaissant dans Server Admin (dans /etc/dns/ toujours de > mémoire). > > Pour chaque zone, c'est la même chose, il y a 2 fichiers: > * un fichier géré par Server Admin (dans un sous-dossier de /var/ > named de > mémoire) qui contient tous les enregistrements (SOA, NS, MX, ..) de la > zone. > * un fichier "prête nom" (directement dans /var/named) qui ne contient > qu'un include du premier fichier. > > A première vue, il semble que Server Admin ne travaille qu'avec ses > fichiers (dans /etc/dns/ et /var/named/sous-dossier/ ). > Autrement dit il doit pouvoir être possible de déclarer une seconde > view > dans /etc/named.conf et les zones associés dans /var/named. > > Ainsi mon named en local récupérera les enregistrements "publics" > depuis > le serveur maitre et apparaitra en tant que serveur maître (avec les > enregistrements privés) depuis le LAN. > > Est-ce que ça vous semble correct? oui cela paraît logique. La gestion DNS a bien changée depuis TigerServer. > > Je vais essayer de trouver un moment pour tester ça en début de > semaine > prochaine. Tiens-nous au courant, stp. > > > -- > Cordialement, > Benoit Garcia > Tel: +33 (0)1 80 81 50 35 > Mob: +33 (0)6 26 69 78 59 > http://www.xpress2people.com > > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml > From jlbailloeul at irtsnpdc.fr Thu Jun 4 17:58:52 2009 From: jlbailloeul at irtsnpdc.fr (Jean-Luc Bailloeul) Date: Thu Jun 4 17:58:28 2009 Subject: [Admin-ml] Histoire de DNS In-Reply-To: References: <844A9F50-C324-4BBA-9795-B5820A1B1D08@irtsnpdc.fr> <8F8C258A-D677-49F3-BB80-BF14BBEA86B4@univ-lyon2.fr> <81B98707-6D47-4577-858E-D359A76438BA@irtsnpdc.fr> <17726870-C3A5-408D-A449-7B68B629ECB7@univ-lyon2.fr> Message-ID: <81010269-85E3-42D8-8CCA-520F5585FF54@irtsnpdc.fr> En lisant ce que prépare Benoit pour son DNS, je me suis rendu compte que la gestion DNS a bien changé depuis X.4. En effet, en créant une zone sous X.5, il manque cette entrée dont il est sujet sur ce thread, et qui était générée automatiquement sous X.4. Il faut donc modifier manuellement ton fichier, et ajouter ton entrée : >> toto.org. A adresse_ip_voulue dixit Patrick. Mille excuses. Pour me faire pardonner, je vais faire les tests, histoire de voire si ton entrée saute ou pas, et te tiens au courant, Hugo. Très humblement, Jean-Luc Le 4 juin 09 à 11:45, Jean-Luc Bailloeul a écrit : > > Le 4 juin 09 à 11:36, Proniewski Patrick a écrit : > >> Bind est plein de subtilité, tu peux écrire plein de choses >> équivalentes. >> >> Je pense qu'en indiquant : >> >> toto.org. A adresse_ip_voulue >> www.toto.org A adresse_ip_voulue >> >> tu obtiendras le même résultat. > je confirme. voici ma config : > irtsnpdc.fr. IN A 192.168.x.x > corton IN A 192.168.x.x > www IN CNAME corton > > Hugo, tu peux nous faire une lecture de ta zone (en changeant tes > IPs) ? > tes zones doivent être dans /var/named/ >> >> >> Patrick PRONIEWSKI >> -- >> Administrateur Système - SENTIER - Université Lumière Lyon 2 > > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml > From jlbailloeul at irtsnpdc.fr Thu Jun 4 19:00:11 2009 From: jlbailloeul at irtsnpdc.fr (Jean-Luc Bailloeul) Date: Thu Jun 4 18:59:51 2009 Subject: [Admin-ml] Histoire de DNS In-Reply-To: <81010269-85E3-42D8-8CCA-520F5585FF54@irtsnpdc.fr> References: <844A9F50-C324-4BBA-9795-B5820A1B1D08@irtsnpdc.fr> <8F8C258A-D677-49F3-BB80-BF14BBEA86B4@univ-lyon2.fr> <81B98707-6D47-4577-858E-D359A76438BA@irtsnpdc.fr> <17726870-C3A5-408D-A449-7B68B629ECB7@univ-lyon2.fr> <81010269-85E3-42D8-8CCA-520F5585FF54@irtsnpdc.fr> Message-ID: <6FCD014A-E5FC-47B3-896D-84272FAC37D6@irtsnpdc.fr> Donc, tu peux : - via adminserver, créer un enregistrement de machine avec pour nom toto.org. et l'ip_voulue. - en éditant ta zone, dans /var/named/zones/db.nomdetazone et créer l'enregistrement toto.org. A adresse_ip_voulue, ce qui est strictement la même chose. Maintenant, question subsidiaire : quel intérêt ? Cdt, Jean-Luc Le 4 juin 09 à 17:58, Jean-Luc Bailloeul a écrit : > En lisant ce que prépare Benoit pour son DNS, je me suis rendu > compte que la gestion DNS a bien changé depuis X.4. > En effet, en créant une zone sous X.5, il manque cette entrée dont > il est sujet sur ce thread, et qui était générée automatiquement > sous X.4. > Il faut donc modifier manuellement ton fichier, et ajouter ton > entrée : >>> toto.org. A adresse_ip_voulue > dixit Patrick. > Mille excuses. Pour me faire pardonner, je vais faire les tests, > histoire de voire si ton entrée saute ou pas, et te tiens au > courant, Hugo. > > Très humblement, > Jean-Luc > > > Le 4 juin 09 à 11:45, Jean-Luc Bailloeul a écrit : > >> >> Le 4 juin 09 à 11:36, Proniewski Patrick a écrit : >> >>> Bind est plein de subtilité, tu peux écrire plein de choses >>> équivalentes. >>> >>> Je pense qu'en indiquant : >>> >>> toto.org. A adresse_ip_voulue >>> www.toto.org A adresse_ip_voulue >>> >>> tu obtiendras le même résultat. >> je confirme. voici ma config : >> irtsnpdc.fr. IN A 192.168.x.x >> corton IN A 192.168.x.x >> www IN CNAME corton >> >> Hugo, tu peux nous faire une lecture de ta zone (en changeant tes >> IPs) ? >> tes zones doivent être dans /var/named/ >>> >>> >>> Patrick PRONIEWSKI >>> -- >>> Administrateur Système - SENTIER - Université Lumière Lyon 2 >> >> _______________________________________________ >> Admin-ml mailing list >> Admin-ml@mosx.org >> http://coruscant.mosx.org/mailman/listinfo/admin-ml >> > > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml > From gohu35 at live.fr Thu Jun 4 20:53:38 2009 From: gohu35 at live.fr (Hugo Letemplier) Date: Thu Jun 4 20:58:38 2009 Subject: [Admin-ml] Histoire de DNS In-Reply-To: <6FCD014A-E5FC-47B3-896D-84272FAC37D6@irtsnpdc.fr> References: <844A9F50-C324-4BBA-9795-B5820A1B1D08@irtsnpdc.fr> <8F8C258A-D677-49F3-BB80-BF14BBEA86B4@univ-lyon2.fr> <81B98707-6D47-4577-858E-D359A76438BA@irtsnpdc.fr> <17726870-C3A5-408D-A449-7B68B629ECB7@univ-lyon2.fr> <81010269-85E3-42D8-8CCA-520F5585FF54@irtsnpdc.fr> <6FCD014A-E5FC-47B3-896D-84272FAC37D6@irtsnpdc.fr> Message-ID: Le 4 juin 09 à 18:00, Jean-Luc Bailloeul a écrit : > Donc, tu peux : > - via adminserver, créer un enregistrement de machine avec pour nom > toto.org. et l'ip_voulue. > - en éditant ta zone, dans /var/named/zones/db.nomdetazone et créer > l'enregistrement toto.org. A adresse_ip_voulue, ce qui est > strictement la même chose. > > Maintenant, question subsidiaire : quel intérêt ? Tu as du passer par dessus le dernier mail que j'ai envoyé. C'est ce que j'ai fais, mais la première fois cela ne marchai pas, puis j'ai poursuivit dans cette direction avec un CNAME au lieu d'une adresse ce qui ne marchait pas non plus. Entre temps j'ai essayé de bouèner le contenu des conf de zone Puis j'ai retenté l'affaire en remplaçant le CNAME par une ip. Tout roule maintenant. En tout cas merci. Pour l'intérêt c'est d'avoir un nom de serveur plus court étant donné que beaucoup de nos services sont hébergés sur le même serveur. Et puis aussi pour simplifier pas mal de trucs. Voili Voilou > > > Cdt, > Jean-Luc > > Le 4 juin 09 à 17:58, Jean-Luc Bailloeul a écrit : > >> En lisant ce que prépare Benoit pour son DNS, je me suis rendu >> compte que la gestion DNS a bien changé depuis X.4. >> En effet, en créant une zone sous X.5, il manque cette entrée dont >> il est sujet sur ce thread, et qui était générée automatiquement >> sous X.4. >> Il faut donc modifier manuellement ton fichier, et ajouter ton >> entrée : >>>> toto.org. A adresse_ip_voulue >> dixit Patrick. >> Mille excuses. Pour me faire pardonner, je vais faire les tests, >> histoire de voire si ton entrée saute ou pas, et te tiens au >> courant, Hugo. >> >> Très humblement, >> Jean-Luc >> >> >> Le 4 juin 09 à 11:45, Jean-Luc Bailloeul a écrit : >> >>> >>> Le 4 juin 09 à 11:36, Proniewski Patrick a écrit : >>> >>>> Bind est plein de subtilité, tu peux écrire plein de choses >>>> équivalentes. >>>> >>>> Je pense qu'en indiquant : >>>> >>>> toto.org. A adresse_ip_voulue >>>> www.toto.org A adresse_ip_voulue >>>> >>>> tu obtiendras le même résultat. >>> je confirme. voici ma config : >>> irtsnpdc.fr. IN A 192.168.x.x >>> corton IN A 192.168.x.x >>> www IN CNAME corton >>> >>> Hugo, tu peux nous faire une lecture de ta zone (en changeant tes >>> IPs) ? >>> tes zones doivent être dans /var/named/ >>>> >>>> >>>> Patrick PRONIEWSKI >>>> -- >>>> Administrateur Système - SENTIER - Université Lumière Lyon 2 >>> >>> _______________________________________________ >>> Admin-ml mailing list >>> Admin-ml@mosx.org >>> http://coruscant.mosx.org/mailman/listinfo/admin-ml >>> >> >> _______________________________________________ >> Admin-ml mailing list >> Admin-ml@mosx.org >> http://coruscant.mosx.org/mailman/listinfo/admin-ml >> > > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml > From jlbailloeul at irtsnpdc.fr Thu Jun 4 22:02:36 2009 From: jlbailloeul at irtsnpdc.fr (Jean-Luc Bailloeul) Date: Thu Jun 4 22:02:16 2009 Subject: [Admin-ml] Histoire de DNS In-Reply-To: References: <844A9F50-C324-4BBA-9795-B5820A1B1D08@irtsnpdc.fr> <8F8C258A-D677-49F3-BB80-BF14BBEA86B4@univ-lyon2.fr> <81B98707-6D47-4577-858E-D359A76438BA@irtsnpdc.fr> <17726870-C3A5-408D-A449-7B68B629ECB7@univ-lyon2.fr> <81010269-85E3-42D8-8CCA-520F5585FF54@irtsnpdc.fr> <6FCD014A-E5FC-47B3-896D-84272FAC37D6@irtsnpdc.fr> Message-ID: <5F09D47D-BA1D-421D-B68B-A0FF4E5022D7@irtsnpdc.fr> Le 4 juin 09 à 20:53, Hugo Letemplier a écrit : > > Le 4 juin 09 à 18:00, Jean-Luc Bailloeul a écrit : > >> Donc, tu peux : >> - via adminserver, créer un enregistrement de machine avec pour nom >> toto.org. et l'ip_voulue. >> - en éditant ta zone, dans /var/named/zones/db.nomdetazone et créer >> l'enregistrement toto.org. A adresse_ip_voulue, ce qui est >> strictement la même chose. >> >> Maintenant, question subsidiaire : quel intérêt ? > Tu as du passer par dessus le dernier mail que j'ai envoyé. Tiens oui c'est curieux. Ton dernier message a été considéré comme du spam par mon serveur. je vais vérifier ça. > > > C'est ce que j'ai fais, mais la première fois cela ne marchai pas, > puis j'ai poursuivit dans cette direction avec un CNAME au lieu > d'une adresse ce qui ne marchait pas non plus. > Entre temps j'ai essayé de bouèner le contenu des conf de zone > Puis j'ai retenté l'affaire en remplaçant le CNAME par une ip. > Tout roule maintenant. En tout cas merci. ok. chuss. > > > Pour l'intérêt c'est d'avoir un nom de serveur plus court étant > donné que beaucoup de nos services sont hébergés sur le même serveur. > Et puis aussi pour simplifier pas mal de trucs. > > Voili Voilou >> >> >> Cdt, >> Jean-Luc >> >> Le 4 juin 09 à 17:58, Jean-Luc Bailloeul a écrit : >> >>> En lisant ce que prépare Benoit pour son DNS, je me suis rendu >>> compte que la gestion DNS a bien changé depuis X.4. >>> En effet, en créant une zone sous X.5, il manque cette entrée dont >>> il est sujet sur ce thread, et qui était générée automatiquement >>> sous X.4. >>> Il faut donc modifier manuellement ton fichier, et ajouter ton >>> entrée : >>>>> toto.org. A adresse_ip_voulue >>> dixit Patrick. >>> Mille excuses. Pour me faire pardonner, je vais faire les tests, >>> histoire de voire si ton entrée saute ou pas, et te tiens au >>> courant, Hugo. >>> >>> Très humblement, >>> Jean-Luc >>> >>> >>> Le 4 juin 09 à 11:45, Jean-Luc Bailloeul a écrit : >>> >>>> >>>> Le 4 juin 09 à 11:36, Proniewski Patrick a écrit : >>>> >>>>> Bind est plein de subtilité, tu peux écrire plein de choses >>>>> équivalentes. >>>>> >>>>> Je pense qu'en indiquant : >>>>> >>>>> toto.org. A adresse_ip_voulue >>>>> www.toto.org A adresse_ip_voulue >>>>> >>>>> tu obtiendras le même résultat. >>>> je confirme. voici ma config : >>>> irtsnpdc.fr. IN A 192.168.x.x >>>> corton IN A 192.168.x.x >>>> www IN CNAME corton >>>> >>>> Hugo, tu peux nous faire une lecture de ta zone (en changeant tes >>>> IPs) ? >>>> tes zones doivent être dans /var/named/ >>>>> >>>>> >>>>> Patrick PRONIEWSKI >>>>> -- >>>>> Administrateur Système - SENTIER - Université Lumière Lyon 2 >>>> >>>> _______________________________________________ >>>> Admin-ml mailing list >>>> Admin-ml@mosx.org >>>> http://coruscant.mosx.org/mailman/listinfo/admin-ml >>>> >>> >>> _______________________________________________ >>> Admin-ml mailing list >>> Admin-ml@mosx.org >>> http://coruscant.mosx.org/mailman/listinfo/admin-ml >>> >> >> _______________________________________________ >> Admin-ml mailing list >> Admin-ml@mosx.org >> http://coruscant.mosx.org/mailman/listinfo/admin-ml >> > > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml > From odlists at easymac.fr Thu Jun 4 22:40:20 2009 From: odlists at easymac.fr (Olivier DUCROT) Date: Thu Jun 4 22:39:53 2009 Subject: [Admin-ml] Quelques questions sur le DNS In-Reply-To: Message-ID: C'est un petit raccourcis Jean-Luc, il y a un peu plus de fichiers que cela. Par contre ta mémoire est bonne pour les répertoires : /etc/dns -rw-r--r--@ 1 root wheel 130 May 27 11:13 loggingOptions.conf.apple -rw-r--r--@ 1 root wheel 314 May 27 11:13 options.conf.apple -rw-r--r--@ 1 root wheel 1442 May 27 11:13 publicView.conf.apple /etc/named.conf /etc/rndc.key Pour déclarer une seconde view, il suffit d'ajouter un include dans /etc/named.conf Par contre, Server Admin sera incapable de gérer cette view, c'est écrit à la fin de named.conf, il ne gère qu'une view : // Server Admin declares all zones in a view. BIND therefore dictates // that all other zone declarations must be contained in views. le 04/06/09 17:48, jean-luc Bailloeul à jlbailloeul@irtsnpdc.fr a écrit : > > Le 4 juin 09 à 13:43, Benoit GARCIA a écrit : > >> Le Mer 3 juin 2009 19:37, Benoit GARCIA a écrit : >>> Bonjour, >>> >>> Je cherche à implémenter des views au niveau du DNS. >>> Je n'ai pas trouvé d'option correspondante dans le GUI >>> d'administration >>> et je me demandais si le fait d'éditer les fichiers de zone ne >>> risquait >>> pas de poser problème. >>> Est-ce que mes collègues pourront toujours utiliser le GUI après que >>> j'ai modifié les fichiers de zones à la main? >>> >>> Je me demandais également si il était possible de gérer les mises à >>> jours d'enregistrement de manière dynamiques. La encore je n'ai rien >>> trouvé dans le GUI d'administration. >> >> J'ai peut être trouvé un moyen de faire ce que je voulais: >> Le but est d'avoir une zone "mondomaine.com" incluses dans 2 view: >> */ Une view publique (servie à tout internet) et ne contient que les >> ip >> publiques. >> */ Une view privée (servie uniquement aux machines sur le LAN) qui >> contient des enregistrements supplémentaires (les adresses privées >> correspondant à la RFC 1918). >> C'est cette seconde view que je veux pouvoir modifier via Server >> Admin. >> >> D'après ce que j'ai pu voir, Bind est configuré par deux fichiers: >> * Un fichier contenant les paramètres d'initialisation (log level, >> etc) >> dans /etc/named.conf (de mémoire). >> * Un fichier contenant la définition d'une view contenant toutes les >> zones apparaissant dans Server Admin (dans /etc/dns/ toujours de >> mémoire). >> >> Pour chaque zone, c'est la même chose, il y a 2 fichiers: >> * un fichier géré par Server Admin (dans un sous-dossier de /var/ >> named de >> mémoire) qui contient tous les enregistrements (SOA, NS, MX, ..) de la >> zone. >> * un fichier "prête nom" (directement dans /var/named) qui ne contient >> qu'un include du premier fichier. >> >> A première vue, il semble que Server Admin ne travaille qu'avec ses >> fichiers (dans /etc/dns/ et /var/named/sous-dossier/ ). >> Autrement dit il doit pouvoir être possible de déclarer une seconde >> view >> dans /etc/named.conf et les zones associés dans /var/named. >> >> Ainsi mon named en local récupérera les enregistrements "publics" >> depuis >> le serveur maitre et apparaitra en tant que serveur maître (avec les >> enregistrements privés) depuis le LAN. >> >> Est-ce que ça vous semble correct? > oui cela paraît logique. > La gestion DNS a bien changée depuis TigerServer. >> >> Je vais essayer de trouver un moment pour tester ça en début de >> semaine >> prochaine. > Tiens-nous au courant, stp. >> >> >> -- >> Cordialement, >> Benoit Garcia >> Tel: +33 (0)1 80 81 50 35 >> Mob: +33 (0)6 26 69 78 59 >> http://www.xpress2people.com >> >> _______________________________________________ >> Admin-ml mailing list >> Admin-ml@mosx.org >> http://coruscant.mosx.org/mailman/listinfo/admin-ml >> > > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml > _________________________________________________________ | |  | |  / )| Olivier DUCROT |( \ / / | ACSP, ACTC & ACSA 10.5 | \ \ _( (_ | | _) )_ (((\ \>|_/->_______________________________________________<-\_| References: Message-ID: <30796963-7CD0-49B6-9926-607650572A1F@irtsnpdc.fr> Merci pour ma mémoire, Olivier, mais c'est Benoît qui propose cette solution :-) je n'ai fait que commenter :-) Le 4 juin 09 à 22:40, Olivier DUCROT a écrit : > C'est un petit raccourcis Jean-Luc, il y a un peu plus de fichiers > que cela. > Par contre ta mémoire est bonne pour les répertoires : > > /etc/dns > > -rw-r--r--@ 1 root wheel 130 May 27 11:13 loggingOptions.conf.apple > -rw-r--r--@ 1 root wheel 314 May 27 11:13 options.conf.apple > -rw-r--r--@ 1 root wheel 1442 May 27 11:13 publicView.conf.apple > > /etc/named.conf > /etc/rndc.key > > Pour déclarer une seconde view, il suffit d'ajouter un include dans > /etc/named.conf Donc ce que suggère Benoît devrait fonctionner. > > > Par contre, Server Admin sera incapable de gérer cette view, c'est > écrit à > la fin de named.conf, il ne gère qu'une view : > > // Server Admin declares all zones in a view. BIND therefore dictates > // that all other zone declarations must be contained in views. oui, c'est dommage de ne pouvoir gérer les "acls" que globallement. Et cette modif ne devrait pas être altérée par AdminServer ? > > > le 04/06/09 17:48, jean-luc Bailloeul à jlbailloeul@irtsnpdc.fr a > écrit : > >> >> Le 4 juin 09 à 13:43, Benoit GARCIA a écrit : >> >>> Le Mer 3 juin 2009 19:37, Benoit GARCIA a écrit : >>>> Bonjour, >>>> >>>> Je cherche à implémenter des views au niveau du DNS. >>>> Je n'ai pas trouvé d'option correspondante dans le GUI >>>> d'administration >>>> et je me demandais si le fait d'éditer les fichiers de zone ne >>>> risquait >>>> pas de poser problème. >>>> Est-ce que mes collègues pourront toujours utiliser le GUI après >>>> que >>>> j'ai modifié les fichiers de zones à la main? >>>> >>>> Je me demandais également si il était possible de gérer les mises à >>>> jours d'enregistrement de manière dynamiques. La encore je n'ai >>>> rien >>>> trouvé dans le GUI d'administration. >>> >>> J'ai peut être trouvé un moyen de faire ce que je voulais: >>> Le but est d'avoir une zone "mondomaine.com" incluses dans 2 view: >>> */ Une view publique (servie à tout internet) et ne contient que les >>> ip >>> publiques. >>> */ Une view privée (servie uniquement aux machines sur le LAN) qui >>> contient des enregistrements supplémentaires (les adresses privées >>> correspondant à la RFC 1918). >>> C'est cette seconde view que je veux pouvoir modifier via Server >>> Admin. >>> >>> D'après ce que j'ai pu voir, Bind est configuré par deux fichiers: >>> * Un fichier contenant les paramètres d'initialisation (log level, >>> etc) >>> dans /etc/named.conf (de mémoire). >>> * Un fichier contenant la définition d'une view contenant toutes >>> les >>> zones apparaissant dans Server Admin (dans /etc/dns/ toujours de >>> mémoire). >>> >>> Pour chaque zone, c'est la même chose, il y a 2 fichiers: >>> * un fichier géré par Server Admin (dans un sous-dossier de /var/ >>> named de >>> mémoire) qui contient tous les enregistrements (SOA, NS, MX, ..) >>> de la >>> zone. >>> * un fichier "prête nom" (directement dans /var/named) qui ne >>> contient >>> qu'un include du premier fichier. >>> >>> A première vue, il semble que Server Admin ne travaille qu'avec ses >>> fichiers (dans /etc/dns/ et /var/named/sous-dossier/ ). >>> Autrement dit il doit pouvoir être possible de déclarer une seconde >>> view >>> dans /etc/named.conf et les zones associés dans /var/named. >>> >>> Ainsi mon named en local récupérera les enregistrements "publics" >>> depuis >>> le serveur maitre et apparaitra en tant que serveur maître (avec les >>> enregistrements privés) depuis le LAN. >>> >>> Est-ce que ça vous semble correct? >> oui cela paraît logique. >> La gestion DNS a bien changée depuis TigerServer. >>> >>> Je vais essayer de trouver un moment pour tester ça en début de >>> semaine >>> prochaine. >> Tiens-nous au courant, stp. >>> >>> >>> -- >>> Cordialement, >>> Benoit Garcia >>> Tel: +33 (0)1 80 81 50 35 >>> Mob: +33 (0)6 26 69 78 59 >>> http://www.xpress2people.com >>> >>> _______________________________________________ >>> Admin-ml mailing list >>> Admin-ml@mosx.org >>> http://coruscant.mosx.org/mailman/listinfo/admin-ml >>> >> >> _______________________________________________ >> Admin-ml mailing list >> Admin-ml@mosx.org >> http://coruscant.mosx.org/mailman/listinfo/admin-ml >> > > _________________________________________________________ > | |  > | |  > / )| Olivier DUCROT |( \ > / / | ACSP, ACTC & ACSA 10.5 | \ \ > _( (_ | | > _) )_ > (((\ \>|_/->_______________________________________________<-\_| > (\\\\ \_/ / \ > \_/ ////) > \ / > \ / > \ _/ -----====+====------ > \_ / > / / \ > \  > > > > > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml > From f.vincent at allibert-trekking.com Fri Jun 5 12:35:27 2009 From: f.vincent at allibert-trekking.com (Fabrice Vincent) Date: Fri Jun 5 12:35:23 2009 Subject: [Admin-ml] Quelques questions sur le DNS In-Reply-To: <739656B3-6FBD-4F30-988B-38218E9B2738@univ-lyon2.fr> Message-ID: >>> possible à partir de Bind 9, mais manuellement, de ce que j'en sais. >> Ok. >>>> Je n'ai pas trouvé d'option correspondante dans le GUI >>>> d'administration et je me demandais si le fait d'éditer les >>>> fichiers de zone ne risquait pas de poser problème. >>>> Est-ce que mes collègues pourront toujours utiliser le GUI après >>>> que j'ai modifié les fichiers de zones à la main? >>> oui, mais ils feront sauter ta conf. >> Bon, je vais voir ce que je peux faire avec la GUI alors.. >>>> Je me demandais également si il était possible de gérer les mises >>>> à jours d'enregistrement de manière dynamiques. La encore je n'ai >>>> rien trouvé dans le GUI d'administration. >>> non et c'est dommage. >>> là encore, il faut le faire manuellement. >> Ok. >> Apple tente de pousser son mDNS comme il peut... > > C'est pas vraiment la même chose non ? Je vois mal mDNS dos à dos avec > dyndns.org. Ou alors il faut que je lise sérieusement la doc de mDNS :) > Le DNS dynamique ça se fait avec Bind, en tapant dans les fichiers > directement. C'est juste un cas d'utilisation tellement marginal > qu'Apple n'a pas voulu le prendre en compte dans sa GUI. > mDNS peux aussi travailler au delà du LAN local et au delà du domaine ".local" si il s'appuie sur un serveur BIND contenant les records "wide-area bonjour" appropriés ! Je n'ai pas testé mais ça à l'air une piste intéressante... Plus de détails là (en anglais): http://www.dns-sd.org/ServerSetup.html http://www.dns-sd.org/ClientSetup.html Si l'un de vous teste cette option qu'il n'oublie pas de nous faire part de ses impressions ! NB: combiné avec l'utilisation des views sous léo serveur cette config pourrais même cohabiter avec une admin quotidienne à travers le GUI admin serveur... A+ Fabrice From f.vincent at allibert-trekking.com Fri Jun 5 12:41:33 2009 From: f.vincent at allibert-trekking.com (Fabrice Vincent) Date: Fri Jun 5 12:41:13 2009 Subject: [Admin-ml] Quelques questions sur le DNS In-Reply-To: Message-ID: > De : Proniewski Patrick > > oui enfin ça c'est si l'interface est fiable. Je ne suis pas vraiment > manchot, et pourtant l'interface Admin d'apple elle m'a fait des sales > coup à plus d'une occasion (dns, apache...). > Puis on peut s'interroger sur les mérites d'un outils qui permet à des > béotiens de foutre en l'air une config en deux clicks parce que > justement, ils pensent que c'est simple et sans risque alors que ce > n'est pas du tout le cas :). A ce compte là, pourquoi utilises tu OSX ? On peut tout faire en ligne de commande sur linux, et sans nécessiter qu'un interface graphique tourne sur le serveur. En plus les mise à jour et correctifs de sécurités sont disponibles plus rapidement... <\mode gros troll> ;o) A+ Fabrice From f.vincent at allibert-trekking.com Fri Jun 5 12:51:41 2009 From: f.vincent at allibert-trekking.com (Fabrice Vincent) Date: Fri Jun 5 12:51:30 2009 Subject: [Admin-ml] NetBoot ? In-Reply-To: Message-ID: > De : Hugo Letemplier > > Wake on lan ? + Modif Open Firmware pour le boot via le réseau si > aucun os n'est détecté. Je sais pas si c'est possible mais sa doit > être faisable. A mon grand regret les mac ne savent faire du "wake on lan" que depuis l'état de veille. Quand ils sont éteints, et bien qu'ils soient connectés au réseau et à la fée électricité, pas moyen de les réveiller... :( A+ Fabrice From benoit.garcia at x2p.fr Fri Jun 5 12:55:44 2009 From: benoit.garcia at x2p.fr (Benoit GARCIA) Date: Fri Jun 5 12:55:18 2009 Subject: [Admin-ml] Quelques questions sur le DNS In-Reply-To: References: Message-ID: <4A28F9B0.8040901@x2p.fr> Le 5/06/09 12:35, Fabrice Vincent a écrit : > mDNS peux aussi travailler au delà du LAN local et au delà du domaine > ".local" si il s'appuie sur un serveur BIND contenant les records "wide-area > bonjour" appropriés ! > Ha? > Je n'ai pas testé mais ça à l'air une piste intéressante... > Effectivement, ça a l'air très intéressant. J'ai justement un soucis pour contacter un serveur Time Machine situé du mauvais coté d'un routeur (fichu site distant). > Plus de détails là (en anglais): > http://www.dns-sd.org/ServerSetup.html > http://www.dns-sd.org/ClientSetup.html > > Si l'un de vous teste cette option qu'il n'oublie pas de nous faire part de > ses impressions ! > Bon bah ma semaine va être chargée en test du coup! Une solution de virtualisation de serveur OS-X, ça existe au fait? > A+ > Fabrice > Merci pour les liens! -- Cordialement, Benoit Garcia Tel: +33 (0)1 80 81 50 35 Mob: +33 (0)6 26 69 78 59 http://www.xpress2people.com From patrick.proniewski at univ-lyon2.fr Fri Jun 5 13:59:39 2009 From: patrick.proniewski at univ-lyon2.fr (Proniewski Patrick) Date: Fri Jun 5 13:59:16 2009 Subject: [Admin-ml] NetBoot ? In-Reply-To: References: Message-ID: On 5 juin 09, at 12:51, Fabrice Vincent wrote: > >> De : Hugo Letemplier >> >> Wake on lan ? + Modif Open Firmware pour le boot via le réseau si >> aucun os n'est détecté. Je sais pas si c'est possible mais sa doit >> être faisable. > A mon grand regret les mac ne savent faire du "wake on lan" que depuis > l'état de veille. Quand ils sont éteints, et bien qu'ils soient > connectés au > réseau et à la fée électricité, pas moyen de les réveiller... :( c'est dispo sur les XServes, via le LOM (light out management). C'est comparable à ce qu'on trouve sur les SUN. Patrick PRONIEWSKI -- Administrateur Système - SENTIER - Université Lumière Lyon 2 From jlbailloeul at irtsnpdc.fr Fri Jun 5 14:11:09 2009 From: jlbailloeul at irtsnpdc.fr (Jean-Luc Bailloeul) Date: Fri Jun 5 14:10:47 2009 Subject: [Admin-ml] Quelques questions sur le DNS In-Reply-To: References: Message-ID: Le 5 juin 09 à 12:41, Fabrice Vincent a écrit : > >> De : Proniewski Patrick >> >> oui enfin ça c'est si l'interface est fiable. Je ne suis pas vraiment >> manchot, et pourtant l'interface Admin d'apple elle m'a fait des >> sales >> coup à plus d'une occasion (dns, apache...). >> Puis on peut s'interroger sur les mérites d'un outils qui permet à >> des >> béotiens de foutre en l'air une config en deux clicks parce que >> justement, ils pensent que c'est simple et sans risque alors que ce >> n'est pas du tout le cas :). > > > A ce compte là, pourquoi utilises tu OSX ? > On peut tout faire en ligne de commande sur linux, et sans > nécessiter qu'un > interface graphique tourne sur le serveur. > En plus les mise à jour et correctifs de sécurités sont disponibles > plus > rapidement... > <\mode gros troll> ;o) > $cd mode_troll_answer $echo "c'est notre côté Adam : on adore croquer dans la Pomme" $exit logout [Opération terminée] ;-) > > > > > > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml > From f.vincent at allibert-trekking.com Fri Jun 5 17:54:48 2009 From: f.vincent at allibert-trekking.com (Fabrice Vincent) Date: Fri Jun 5 17:54:26 2009 Subject: [Admin-ml] Faire un Mobile me sur serveur leopard In-Reply-To: <42E25715-7DF3-46AE-9548-492A5A582A3D@univ-lyon2.fr> Message-ID: >>> Est il possible de faire l'équivalent à Mobile Me sur mon serveur >>> Leopard ? >>> > > > On trouve ça sur google. Mais le souci principal (la dernière fois que > j'ai regardé), c'est que les appli Apple ont des adresses de connexion > hardcodées. Si bien que pour mimer un serveur Apple Mobile Me, tu dois > bricoler un DNS local et lui faire gérer le domaine mac.com. Au final, > tu n'as plus accès aux serveurs mac.com d'Apple. C'est un peu > problématique. > Pour mobile me je ne sais pas. Par contre pour feu .mac j'avais gardé ce lien dans mes bookmarks : http://www.tnpi.net/wiki/Do_It_Yourself_.Mac#Configure_DNS (en anglais) A+ Fabrice From jlbailloeul at irtsnpdc.fr Fri Jun 5 20:57:24 2009 From: jlbailloeul at irtsnpdc.fr (Jean-Luc Bailloeul) Date: Fri Jun 5 20:57:03 2009 Subject: [Admin-ml] Solutions VPNs Message-ID: <054700B4-F54B-4BAD-833F-4F82B132FD24@irtsnpdc.fr> Bonjour tertous, Le sujet a été quelque fois évoqué au travers des fils, mais ayant eu en quelques semaines plus de problèmes sur mon réseau VPN que mon petit coeur ne saurait en supporter, je relance le débat, notamment pour les admins concernés par le VPN multisites. J'ai actuellement 6 sites en VPN sur une plateforme SDSL hébergée par l'opérateur Completel. Cette plateforme est constituée de 5 liens VPN 2 Mbs pour les sites distants et de deux liens redondants de 2 mbs au siège social (sur deux DSLAMs d'opérateurs différents, mais loué via completel). Ce VPN transporte la data, mais également la VoIP intersites, avec la QoS ad hoc. J'ai entamé des discussions avec les opérateurs majeurs : OBS, SFR, Complete et Bouygues? pour le renouvellement de ce VPN en début d'année prochaine, et j'aimerais avoir vos retours d'expérience sur la question. Un des objectifs majeurs de mon étude porte sur la qualité de service et la réduction des coûts, en bref, le meilleur rapport qualité prix. Mais mes diverses expériences depuis 2003 sur le VPN m'ont fait comprendre que la qualité sur le réseau est toujours en rapport ou au dépend du prix. Re-bref, j'en appelles à vos expériences diverses et variées sur le sujet, sachant que ma structure se situe dans le Nord-Pas de Calais, et pas forcément en agglomération. Merci de vos retours et avis, Cdt, Jean-Luc From odlists at easymac.fr Sat Jun 6 09:30:48 2009 From: odlists at easymac.fr (Olivier DUCROT) Date: Sat Jun 6 09:30:23 2009 Subject: [Admin-ml] NetBoot ? In-Reply-To: Message-ID: C'est tellement vrai que même un Mac Mini configuré sous windows ou ubuntu ne peut pas être configuré pour wake on lan. Tu ne m'enlèveras pas de la tête que c'est un bridage volontaire. le 05/06/09 12:51, Fabrice Vincent à f.vincent@allibert-trekking.com a écrit : > >> De : Hugo Letemplier >> >> Wake on lan ? + Modif Open Firmware pour le boot via le réseau si >> aucun os n'est détecté. Je sais pas si c'est possible mais sa doit >> être faisable. > A mon grand regret les mac ne savent faire du "wake on lan" que depuis > l'état de veille. Quand ils sont éteints, et bien qu'ils soient connectés au > réseau et à la fée électricité, pas moyen de les réveiller... :( > > A+ > Fabrice > > > > > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml > _________________________________________________________ | |  | |  / )| Olivier DUCROT |( \ / / | ACSP, ACTC & ACSA 10.5 | \ \ _( (_ | | _) )_ (((\ \>|_/->_______________________________________________<-\_| Message-ID: Il y a un excellent article sur afp548.com .. Et en plus, ça marche ! http://www.afp548.com/article.php?story=20090205204942121&query=wide%2Barea http://www.afp548.com/article.php?story=20090225001154457&query=wide%2Barea le 05/06/09 12:35, Fabrice Vincent à f.vincent@allibert-trekking.com a écrit : > mDNS peux aussi travailler au delà du LAN local et au delà du domaine > ".local" si il s'appuie sur un serveur BIND contenant les records "wide-area > bonjour" appropriés ! > Je n'ai pas testé mais ça à l'air une piste intéressante... _________________________________________________________ | |  | |  / )| Olivier DUCROT |( \ / / | ACSP, ACTC & ACSA 10.5 | \ \ _( (_ | | _) )_ (((\ \>|_/->_______________________________________________<-\_| References: <951648DA-8341-44EF-8A0A-CFB1F75B1A65@irtsnpdc.fr> Message-ID: <5D1FFE97-1472-48D0-8151-1EDDD163EE7B@irtsnpdc.fr> Bonjour, Une bonne âme du forum OS X Server d'Apple a trouvé le moyen de résoudre mon problème. En supprimant mon fichier de préférences dans /var/db/squirrelmail/ data/, j'ai pu me reconnecter sans problèmes et très rapidement sur mon compte via le webmail. Celui était certainement corrompu, pour une raison ou pour une autre. Merci Fabien et Patrick pour votre aide, Jean-Luc Le 1 juin 09 à 19:33, Jean-Luc Bailloeul a écrit : > Bonjour, > > J'utilise régulièrement Squirrelmail et sieve pour établir des > réponses automatiques à mes courriels (absence par exemple). > J'ai un souci cependant avec mon propre compte, qui, géré via imap, > commence à peser, et que je n'arrive plus à ouvrir via webmail. > J'ai une fatal error : out of dynamic memory in yy_create_buffer? > J'ai édité php.ini pour y ajouter de la mémoire (variable > memory_limit), tel que conseillé par la FAQ de Squirrelmail, mais > cela ne change rien. > Je sais que squirrelmail n'apprécie guère les mailbox trop lourdes, > notamment en termes de performance, mais de là à ne plus y accéder? > > Avez-vous déjà rencontré ce problème ? et éventuellement trouvé une > solution ? > > Merci, > > Jean-Luc > > > > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml From forumfabrice at free.fr Sun Jun 7 18:02:26 2009 From: forumfabrice at free.fr (Fabrice BULTEEL) Date: Sun Jun 7 18:41:17 2009 Subject: [Admin-ml] Wiki et blog Message-ID: Bonjour, Soit un Mac OS X Server 10.5.7 & des clients en OS X 10.4.11 & 10.5.7. Les services Wiki et Blog activés sur le serveur fonctionnent bien jusqu'au moment ou "le serveur est converti pour lui appliquer une configuration avancée". Tant que celui-ci n'a pas été converti avec Admin Server, les clients créés se connectent parfaitement au site web hébergé puis au wiki et blog du groupe par défaut Workgroup ou d'autres. À partir du moment où la config est convertie en avancée, les anciens clients se connectent toujours mais les nouveaux créés ensuite ne le peuvent. En fait ils se connectent au site web du serveur mais pas du tout au blog ou wiki ; plus précisément il n'arrivent pas à s'identifier, s'authentifier comme s'ils ne faisaient pas parti du groupe (Workgroup par défaut ni même un autre). J'ai cherché mais sans succès jusqu'ici! Quelqu'un aurait-il déjà constaté le problème et/ou trouvé un solutions ? Merci Fabrice Bulteel. From laurent_pertois at mac.com Mon Jun 8 06:42:46 2009 From: laurent_pertois at mac.com (Laurent PERTOIS) Date: Mon Jun 8 06:42:37 2009 Subject: [Admin-ml] Wiki et blog In-Reply-To: References: Message-ID: <4A77DBF7-9067-4780-A025-349CA7F77F15@mac.com> On 7 juin 09, at 09:02, Fabrice BULTEEL wrote: > Quelqu'un aurait-il déjà constaté le problème et/ou trouvé un > solutions ? Va dans Server Admin, sélectionne ton serveur, Settings, Access, normalement lors de l'utilisation d'un mode autre que le mode avancé, des SACLs sont définies et quand on passe en mode Avancé, elles ne sont pas supprimées ni mises à jour en cas de création de nouveaux utilisateurs. Il ne te reste plus qu'à désactiver ces SACLs existantes ou à les compléter avec tes nouveaux utilisateurs. -- 86. dd if=/dev/null of=/vmunix 101 Things You Do Not Want Your System Administrator To Say From forumfabrice at free.fr Mon Jun 8 07:31:02 2009 From: forumfabrice at free.fr (Fabrice BULTEEL) Date: Mon Jun 8 07:30:34 2009 Subject: [Admin-ml] Wiki et blog In-Reply-To: <4A77DBF7-9067-4780-A025-349CA7F77F15@mac.com> References: <4A77DBF7-9067-4780-A025-349CA7F77F15@mac.com> Message-ID: <8572B489-5E92-4FAD-A230-2994A6164DCC@free.fr> Non c'est pas ça. j'ai déjà fait et le refais pour l'occasion. je place le groupe, l'utilisateur, j'autorise tous les utilisateurs et groupes? Le problème reste le même. Merci Fabrice. Le 8 juin 09 à 06:42, Laurent PERTOIS a écrit : > On 7 juin 09, at 09:02, Fabrice BULTEEL wrote: > >> Quelqu'un aurait-il déjà constaté le problème et/ou trouvé un >> solutions ? > > > Va dans Server Admin, sélectionne ton serveur, Settings, Access, > normalement lors de l'utilisation d'un mode autre que le mode > avancé, des SACLs sont définies et quand on passe en mode Avancé, > elles ne sont pas supprimées ni mises à jour en cas de création de > nouveaux utilisateurs. > > Il ne te reste plus qu'à désactiver ces SACLs existantes ou à les > compléter avec tes nouveaux utilisateurs. > > -- > 86. dd if=/dev/null of=/vmunix > 101 Things You Do Not Want Your System Administrator To > Say_______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml > From fcombernous at kezia.com Mon Jun 8 09:37:23 2009 From: fcombernous at kezia.com (Fabien COMBERNOUS) Date: Mon Jun 8 09:36:55 2009 Subject: [Admin-ml] Wiki et blog In-Reply-To: References: Message-ID: <4A2CBFB3.1070103@kezia.com> Fabrice BULTEEL wrote: > Bonjour, > Soit un Mac OS X Server 10.5.7 & des clients en OS X 10.4.11 & 10.5.7. > Les services Wiki et Blog activés sur le serveur fonctionnent bien > jusqu'au moment ou "le serveur est converti pour lui appliquer une > configuration avancée". > Tant que celui-ci n'a pas été converti avec Admin Server, les clients > créés se connectent parfaitement au site web hébergé puis au wiki et > blog du groupe par défaut Workgroup ou d'autres. À partir du moment où > la config est convertie en avancée, les anciens clients se connectent > toujours mais les nouveaux créés ensuite ne le peuvent. > En fait ils se connectent au site web du serveur mais pas du tout au > blog ou wiki ; plus précisément il n'arrivent pas à s'identifier, > s'authentifier comme s'ils ne faisaient pas parti du groupe (Workgroup > par défaut ni même un autre). J'ai cherché mais sans succès jusqu'ici! > Quelqu'un aurait-il déjà constaté le problème et/ou trouvé un solutions ? Est-ce que tu as des log (apache ?) quand les utilisateurs essayent d'acceder au blog ou wiki ? -- *Fabien COMBERNOUS* /unix system engineer/ www.kezia.com *Tel: +33 (0) 467 992 986* Kezia Group From yvast at free.fr Mon Jun 8 10:13:17 2009 From: yvast at free.fr (Yan) Date: Mon Jun 8 10:12:54 2009 Subject: [Admin-ml] Aide smb.conf In-Reply-To: <3644A685-CA80-4423-9974-B7C47D50C847@free.fr> References: <3644A685-CA80-4423-9974-B7C47D50C847@free.fr> Message-ID: <25A40BC7-1B84-4670-8DC0-310C9F2C1EEC@free.fr> Et bien, je me répond à moi même Il y'a un fichier par partage smb à éditer dans /var/samba/shares où j'ai pu rajouter les options qu'il me manquait. Et hop le hosts allow pour les PC. Merci à moi Cordialement Le 3 juin 09 à 12:07, Yan a écrit : > Bonjour à tous, > Nous avions un serveur de fichiers (afp/smb) sous irix que nous > migrons sur un xserve sous 10.5.7. > Je bute sur un probleme avec le /etc/smb.conf de MacOS. > > Sous Irix les point de montage apparaissait clairement dans le /usr/ > samba/lib/smb.conf : > > [04_AdmAchat] > path = /mnt/tp9301l02/04_AdmAchat > valid users = achat, admachat, admpaie > read only = No > hosts allow = 192.168.88.105, 192.168.88.47, 192.168.91.193 > delete veto files = Yes > > Sous Macos j'ai pour l'instant une dizaine de point de montage en > afp et 2 en smb, > je voudrais pouvoir y coller un "hosts allow" mais les 2 points de > montage samba n'appraissent pas dans smb.conf? > > Le seul truc modifié sur le smb.conf c'est un hack pour ne pas > afficher de "Home" pour les users samba (car il y'a un bug qui > empeche de le décocher dans la GUI) : > ; Hack to disable virtual homes > [homes] > path = /dev/null > valid users = root > ; END hack > > > Quelqu'un utilise le "hosts allow" pour samba ? > -- yannick From fcombernous at kezia.com Mon Jun 8 14:23:56 2009 From: fcombernous at kezia.com (Fabien COMBERNOUS) Date: Mon Jun 8 14:23:32 2009 Subject: DNS et bonjour =?ISO-8859-1?Q?=28=E9tait_=5BFwd=3A_Re=3A_=5B?= =?ISO-8859-1?Q?Admin-ml=5D_Quelques_questions_sur_le_DNS=5D=29?= Message-ID: <4A2D02DC.4080809@kezia.com> Je l'ai testé. J'ai configuré mon dns bind comme indiqué pour un service web. Mon safari voit dans les bookmark bonjour mon service web que j'ai configuré dans le dns. Mais si je le sélectionne et bien je n'arrive jamais à discuter avec le apache qui est au bout. Je suis un poil déçu. -------- Original Message -------- Subject: Re: [Admin-ml] Quelques questions sur le DNS Date: Sat, 06 Jun 2009 09:36:49 +0200 From: Olivier DUCROT Reply-To: Administrateurs Systèmes sur Mac OS X To: Administrateurs Systèmes sur Mac OS X Il y a un excellent article sur afp548.com .. Et en plus, ça marche ! http://www.afp548.com/article.php?story=20090205204942121&query=wide%2Barea -- *Fabien COMBERNOUS* /unix system engineer/ www.kezia.com *Tel: +33 (0) 467 992 986* Kezia Group From f.vincent at allibert-trekking.com Mon Jun 8 17:22:15 2009 From: f.vincent at allibert-trekking.com (Fabrice Vincent) Date: Mon Jun 8 17:21:58 2009 Subject: [Admin-ml] Quand Kerby contrarie AFP... Message-ID: Bonjour à tous, Voici un petit casse tête pour ceux qui savent dompter kerberos: J'ai déplacé un partage d'un disque vers un autre sur notre serveur de fichier principal (10.4.11 serveur). Pour ce faire j'ai désactivé le partage dans AFP et SMB, puis déplacé les données, éjecter le disque source de la copie, et recréer un partage identique en référençant le nouvel emplacement. Depuis, lorsqu'on s'authentifie par kerberos pour un accès AFP depuis un OSX client (10.4.11 ou 10.5.6/7), le montage se fait normalement mais l'accès aux dossiers à accès restreint est refusé (un zoli sens interdit dans le finder !). On ne peut parcourir que les dossiers publiquement accessible. Par contre, les autres partage du même serveur marche normallement, même avec kerberos. Seul le partage qui a été déplacé merde. Si on évite l'authentification kerberos tout marche normalement... Reboot client et serveur n'y change rien. Faut rekerberiser le partage ??? Je croyait que c'était les services, par exemple AFP, qui étaient kerbérisés dans leur ensemble, par pour chaque objet publié. Me goure je ? Comment que je fais pour retrouver un comportement normal ??? Un petit conseil serait bien apprécié... A+ Fabrice From fcombernous at kezia.com Mon Jun 8 17:33:58 2009 From: fcombernous at kezia.com (Fabien COMBERNOUS) Date: Mon Jun 8 17:33:31 2009 Subject: [Admin-ml] Quand Kerby contrarie AFP... In-Reply-To: References: Message-ID: <4A2D2F66.6010605@kezia.com> Fabrice Vincent wrote: > Bonjour à tous, > > Voici un petit casse tête pour ceux qui savent dompter kerberos: > > J'ai déplacé un partage d'un disque vers un autre sur notre serveur de > fichier principal (10.4.11 serveur). Pour ce faire j'ai désactivé le partage > dans AFP et SMB, puis déplacé les données, éjecter le disque source de la > copie, et recréer un partage identique en référençant le nouvel emplacement. > > Depuis, lorsqu'on s'authentifie par kerberos pour un accès AFP depuis un OSX > client (10.4.11 ou 10.5.6/7), le montage se fait normalement mais l'accès > aux dossiers à accès restreint est refusé (un zoli sens interdit dans le > finder !). > On ne peut parcourir que les dossiers publiquement accessible. > Par contre, les autres partage du même serveur marche normallement, même > avec kerberos. Seul le partage qui a été déplacé merde. > Si on évite l'authentification kerberos tout marche normalement... > Reboot client et serveur n'y change rien. > > Faut rekerberiser le partage ??? > Je croyait que c'était les services, par exemple AFP, qui étaient kerbérisés > dans leur ensemble, par pour chaque objet publié. Me goure je ? > > Comment que je fais pour retrouver un comportement normal ??? > Un petit conseil serait bien apprécié... > Heu ... je reste primaire. En ligne de commande est-ce que tu arrives à y accéder ? Ce que j'ai retenu du finder c'est que parfois il perd ses petits parce que ... il est bizarre. Il ne faudrai pas que seule la couche graphique soit perturbée. -- *Fabien COMBERNOUS* /unix system engineer/ www.kezia.com *Tel: +33 (0) 467 992 986* Kezia Group From jlbailloeul at irtsnpdc.fr Mon Jun 8 18:00:56 2009 From: jlbailloeul at irtsnpdc.fr (Jean-Luc Bailloeul) Date: Mon Jun 8 18:01:12 2009 Subject: [Admin-ml] Quand Kerby contrarie AFP... In-Reply-To: <4A2D2F66.6010605@kezia.com> References: <4A2D2F66.6010605@kezia.com> Message-ID: Bonjour Fabrice, Les acls sont-elles actives globalement sur le disque en question ? Le 8 juin 09 à 17:33, Fabien COMBERNOUS a écrit : > Fabrice Vincent wrote: >> Bonjour à tous, >> >> Voici un petit casse tête pour ceux qui savent dompter kerberos: >> >> J'ai déplacé un partage d'un disque vers un autre sur notre serveur >> de >> fichier principal (10.4.11 serveur). Pour ce faire j'ai désactivé >> le partage >> dans AFP et SMB, puis déplacé les données, éjecter le disque source >> de la >> copie, et recréer un partage identique en référençant le nouvel >> emplacement. >> >> Depuis, lorsqu'on s'authentifie par kerberos pour un accès AFP >> depuis un OSX >> client (10.4.11 ou 10.5.6/7), le montage se fait normalement mais >> l'accès >> aux dossiers à accès restreint est refusé (un zoli sens interdit >> dans le >> finder !). >> On ne peut parcourir que les dossiers publiquement accessible. >> Par contre, les autres partage du même serveur marche normallement, >> même >> avec kerberos. Seul le partage qui a été déplacé merde. >> Si on évite l'authentification kerberos tout marche normalement... >> Reboot client et serveur n'y change rien. >> >> Faut rekerberiser le partage ??? >> Je croyait que c'était les services, par exemple AFP, qui étaient >> kerbérisés >> dans leur ensemble, par pour chaque objet publié. Me goure je ? >> >> Comment que je fais pour retrouver un comportement normal ??? >> Un petit conseil serait bien apprécié... >> > > Heu ... je reste primaire. En ligne de commande est-ce que tu > arrives à y accéder ? > Ce que j'ai retenu du finder c'est que parfois il perd ses petits > parce que ... il est bizarre. > Il ne faudrai pas que seule la couche graphique soit perturbée. > > -- > *Fabien COMBERNOUS* > /unix system engineer/ > www.kezia.com > *Tel: +33 (0) 467 992 986* > Kezia Group > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml > From f.vincent at allibert-trekking.com Mon Jun 8 18:02:39 2009 From: f.vincent at allibert-trekking.com (Fabrice Vincent) Date: Mon Jun 8 18:02:20 2009 Subject: [Admin-ml] Quand Kerby contrarie AFP... In-Reply-To: <4A2D2F66.6010605@kezia.com> Message-ID: > De : Fabien COMBERNOUS > > Heu ... je reste primaire. En ligne de commande est-ce que tu arrives à > y accéder ? > Ce que j'ai retenu du finder c'est que parfois il perd ses petits parce > que ... il est bizarre. > Il ne faudrai pas que seule la couche graphique soit perturbée. Pas mieux en ligne de commande: un "ls -l" me donne des droits 000 pour tous les dossiers à accès restreint. Finder et CLI sont cohérent dans l'erreur... J'oubliai un autre point rigolo: je peux ouvrir (mais seulement en lecture seul) un document contenu à l'intérieur d'une arborescence ou l'accès m'est indûment refusé si j'ai un alias pointant vers ce document ou si je fait un open depuis la ligne de commande... Apparemment donc, c'est seulement le droit en lecture-écritue (rw) des dossiers qui est perdu, le droit en parcours (x) reste (même si il n'est pas affiché par ls ou le finder). Y a pas à dire, AFP se paye ma tête ! @#&*$&§?@#! From jlbailloeul at irtsnpdc.fr Mon Jun 8 18:09:31 2009 From: jlbailloeul at irtsnpdc.fr (Jean-Luc Bailloeul) Date: Mon Jun 8 18:09:08 2009 Subject: [Admin-ml] Quand Kerby contrarie AFP... In-Reply-To: References: <4A2D2F66.6010605@kezia.com> Message-ID: <88D0CCB2-594D-457F-BA27-1DB1121E8132@irtsnpdc.fr> oups mauvaise manip. suite du mail précédent : as-tu repropagé les droits sur le dossier ? les autres partages du disque en question fonctionnent avec Kerberos ? Olivier Ducrot a un excellent article sur la réparation kerberos sur son cookbook, même si je doute que tu doives en arriver là. Cela ressemble plus à un problème de droits ou d'héritage de droits : http://www.easymac.fr:8082/easymac/technicalcookbook/mosxserver/mosxserver-kbase/mosxserver-kbase-kerberos-repare/?searchterm=kerberos Cdt, Jean-Luc Le 8 juin 09 à 18:00, Jean-Luc Bailloeul a écrit : > Bonjour Fabrice, > Les acls sont-elles actives globalement sur le disque en question ? > > Le 8 juin 09 à 17:33, Fabien COMBERNOUS a écrit : > >> Fabrice Vincent wrote: >>> Bonjour à tous, >>> >>> Voici un petit casse tête pour ceux qui savent dompter kerberos: >>> >>> J'ai déplacé un partage d'un disque vers un autre sur notre >>> serveur de >>> fichier principal (10.4.11 serveur). Pour ce faire j'ai désactivé >>> le partage >>> dans AFP et SMB, puis déplacé les données, éjecter le disque >>> source de la >>> copie, et recréer un partage identique en référençant le nouvel >>> emplacement. >>> >>> Depuis, lorsqu'on s'authentifie par kerberos pour un accès AFP >>> depuis un OSX >>> client (10.4.11 ou 10.5.6/7), le montage se fait normalement mais >>> l'accès >>> aux dossiers à accès restreint est refusé (un zoli sens interdit >>> dans le >>> finder !). >>> On ne peut parcourir que les dossiers publiquement accessible. >>> Par contre, les autres partage du même serveur marche >>> normallement, même >>> avec kerberos. Seul le partage qui a été déplacé merde. >>> Si on évite l'authentification kerberos tout marche normalement... >>> Reboot client et serveur n'y change rien. >>> >>> Faut rekerberiser le partage ??? >>> Je croyait que c'était les services, par exemple AFP, qui étaient >>> kerbérisés >>> dans leur ensemble, par pour chaque objet publié. Me goure je ? >>> >>> Comment que je fais pour retrouver un comportement normal ??? >>> Un petit conseil serait bien apprécié... >>> >> >> Heu ... je reste primaire. En ligne de commande est-ce que tu >> arrives à y accéder ? >> Ce que j'ai retenu du finder c'est que parfois il perd ses petits >> parce que ... il est bizarre. >> Il ne faudrai pas que seule la couche graphique soit perturbée. >> >> -- >> *Fabien COMBERNOUS* >> /unix system engineer/ >> www.kezia.com >> *Tel: +33 (0) 467 992 986* >> Kezia Group >> _______________________________________________ >> Admin-ml mailing list >> Admin-ml@mosx.org >> http://coruscant.mosx.org/mailman/listinfo/admin-ml >> > > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml > From f.vincent at allibert-trekking.com Mon Jun 8 18:42:51 2009 From: f.vincent at allibert-trekking.com (Fabrice Vincent) Date: Mon Jun 8 18:42:33 2009 Subject: [Admin-ml] Solutions VPNs In-Reply-To: <054700B4-F54B-4BAD-833F-4F82B132FD24@irtsnpdc.fr> Message-ID: On a une config très similaire ici: VPN MPLS entre 4 sites, avec QoS et VoIP. On est chez COLT, les liens non dégroupés étant fourni par cegetel. Ça marche, sauf quand ça marche pas, ce qui arrive toujours trop souvent à notre goût... ! Plus précisément, depuis 4 ans, nous avons en moyenne une fois par an une coupure longue de plusieurs heures pour l'ensemble des sites, ce qui me fait penser que leur coeur de réseau manque de résilience... :( On a aussi de temps en temps une "mini" coupure d'une minute ou moins. :-/ Bref, mon indice de satisfaction aurais tendance à être assez moyen. Mais bon, je n'ai pas d'éléments de comparaison car je n'ai pas testé ailleurs... Ceci dit vu de loin l'herbe semble toujours plus verte dans le près d'en face. Et une fois qu'on est en face, ben c'est souvent plus si parfait... Du coup, plutôt que tester tour a tour diverses offres de VPN opérateurs, je suis en train de prospecter des solutions firewall capable de gérer un maillage de VPN IPSec entre plusieurs sites, avec redondance de lignes sur les sites principaux. Suivant la qualité que j'arrive à obtenir avec une telle solution, je l'utiliserai soit en complément et en backup d'un VPN opérateur, soit carrément en remplacement. Je suis en train d'affiner les specs de mon besoin (notamment liens VPN inter-sites multiples avec répartition de charge et/ou failover, accès VPN nomades par https, filtrage de flux, etc...). Je ne manquerai pas de soumettre ce cahier des charge à la liste pour recueillir vos avis et suggestions. D'ici là, si certains ont des liens ou des retour d'expérience à me proposer sur le sujet, je suis preneur... A+ Fabrice > De : Jean-Luc Bailloeul > Répondre à : Administrateurs Systèmes sur Mac OS X > Date : Fri, 5 Jun 2009 20:57:24 +0200 > À : Administrateurs OS X Systèmes sur Mac > Objet : [Admin-ml] Solutions VPNs > > Bonjour tertous, > > Le sujet a été quelque fois évoqué au travers des fils, mais ayant eu > en quelques semaines plus de problèmes sur mon réseau VPN que mon > petit coeur ne saurait en supporter, je relance le débat, notamment > pour les admins concernés par le VPN multisites. > J'ai actuellement 6 sites en VPN sur une plateforme SDSL hébergée par > l'opérateur Completel. Cette plateforme est constituée de 5 liens VPN > 2 Mbs pour les sites distants et de deux liens redondants de 2 mbs au > siège social (sur deux DSLAMs d'opérateurs différents, mais loué via > completel). > Ce VPN transporte la data, mais également la VoIP intersites, avec la > QoS ad hoc. > J'ai entamé des discussions avec les opérateurs majeurs : OBS, SFR, > Complete et BouyguesŠ pour le renouvellement de ce VPN en début > d'année prochaine, et j'aimerais avoir vos retours d'expérience sur la > question. > Un des objectifs majeurs de mon étude porte sur la qualité de service > et la réduction des coûts, en bref, le meilleur rapport qualité prix. > Mais mes diverses expériences depuis 2003 sur le VPN m'ont fait > comprendre que la qualité sur le réseau est toujours en rapport ou au > dépend du prix. > Re-bref, j'en appelles à vos expériences diverses et variées sur le > sujet, sachant que ma structure se situe dans le Nord-Pas de Calais, > et pas forcément en agglomération. > > Merci de vos retours et avis, > > Cdt, > Jean-Luc > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml From f.vincent at allibert-trekking.com Mon Jun 8 18:50:09 2009 From: f.vincent at allibert-trekking.com (Fabrice Vincent) Date: Mon Jun 8 18:49:57 2009 Subject: [Admin-ml] Quand Kerby contrarie AFP... In-Reply-To: <88D0CCB2-594D-457F-BA27-1DB1121E8132@irtsnpdc.fr> Message-ID: Salut Jean-Luc, Non il n'y a pas d'ACL activées sur ce volume. Je ne peux pas propager les droits car ils ne sont pas uniformes sur tout le partage, certains dossiers étant ouvert à un groupe, d'autres à d'autres groupe. Par ailleurs, les droits sont impec quand on se connecte sans kerby ou en SMB ou même en sftp. Qui plus est, à ma connaissance, kerby ne gère que l'authentification, mais pas les droits dans les arborescences. Je vais aller voir le cookbook de easymac. Merci pour l'info. Mais dommage qu'il soit sur un port exotique 8082... A+ Fabrice > De : Jean-Luc Bailloeul > Répondre à : Administrateurs Systèmes sur Mac OS X > Date : Mon, 8 Jun 2009 18:09:31 +0200 > À : Administrateurs Systèmes sur Mac OS X > Objet : Re: [Admin-ml] Quand Kerby contrarie AFP... > > oups mauvaise manip. > suite du mail précédent : > as-tu repropagé les droits sur le dossier ? > les autres partages du disque en question fonctionnent avec Kerberos ? > > Olivier Ducrot a un excellent article sur la réparation kerberos sur > son cookbook, même si je doute que tu doives en arriver là. Cela > ressemble plus à un problème de droits ou d'héritage de droits : > http://www.easymac.fr:8082/easymac/technicalcookbook/mosxserver/mosxserver-kba > se/mosxserver-kbase-kerberos-repare/?searchterm=kerberos > > Cdt, > Jean-Luc > > Le 8 juin 09 à 18:00, Jean-Luc Bailloeul a écrit : > >> Bonjour Fabrice, >> Les acls sont-elles actives globalement sur le disque en question ? >> >> Le 8 juin 09 à 17:33, Fabien COMBERNOUS a écrit : >> >>> Fabrice Vincent wrote: >>>> Bonjour à tous, >>>> >>>> Voici un petit casse tête pour ceux qui savent dompter kerberos: >>>> >>>> J'ai déplacé un partage d'un disque vers un autre sur notre >>>> serveur de >>>> fichier principal (10.4.11 serveur). Pour ce faire j'ai désactivé >>>> le partage >>>> dans AFP et SMB, puis déplacé les données, éjecter le disque >>>> source de la >>>> copie, et recréer un partage identique en référençant le nouvel >>>> emplacement. >>>> >>>> Depuis, lorsqu'on s'authentifie par kerberos pour un accès AFP >>>> depuis un OSX >>>> client (10.4.11 ou 10.5.6/7), le montage se fait normalement mais >>>> l'accès >>>> aux dossiers à accès restreint est refusé (un zoli sens interdit >>>> dans le >>>> finder !). >>>> On ne peut parcourir que les dossiers publiquement accessible. >>>> Par contre, les autres partage du même serveur marche >>>> normallement, même >>>> avec kerberos. Seul le partage qui a été déplacé merde. >>>> Si on évite l'authentification kerberos tout marche normalement... >>>> Reboot client et serveur n'y change rien. >>>> >>>> Faut rekerberiser le partage ??? >>>> Je croyait que c'était les services, par exemple AFP, qui étaient >>>> kerbérisés >>>> dans leur ensemble, par pour chaque objet publié. Me goure je ? >>>> >>>> Comment que je fais pour retrouver un comportement normal ??? >>>> Un petit conseil serait bien apprécié... >>>> >>> >>> Heu ... je reste primaire. En ligne de commande est-ce que tu >>> arrives à y accéder ? >>> Ce que j'ai retenu du finder c'est que parfois il perd ses petits >>> parce que ... il est bizarre. >>> Il ne faudrai pas que seule la couche graphique soit perturbée. >>> >>> -- >>> *Fabien COMBERNOUS* >>> /unix system engineer/ >>> www.kezia.com >>> *Tel: +33 (0) 467 992 986* >>> Kezia Group >>> _______________________________________________ >>> Admin-ml mailing list >>> Admin-ml@mosx.org >>> http://coruscant.mosx.org/mailman/listinfo/admin-ml >>> >> >> _______________________________________________ >> Admin-ml mailing list >> Admin-ml@mosx.org >> http://coruscant.mosx.org/mailman/listinfo/admin-ml >> > > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml > From jlbailloeul at irtsnpdc.fr Mon Jun 8 19:27:17 2009 From: jlbailloeul at irtsnpdc.fr (Jean-Luc Bailloeul) Date: Mon Jun 8 19:27:04 2009 Subject: [Admin-ml] Solutions VPNs In-Reply-To: References: Message-ID: <08A444E8-18E8-4A9F-8C73-B548C1B87709@irtsnpdc.fr> Le 8 juin 09 à 18:42, Fabrice Vincent a écrit : > On a une config très similaire ici: VPN MPLS entre 4 sites, avec QoS > et > VoIP. On est chez COLT, les liens non dégroupés étant fourni par > cegetel. > > Ça marche, sauf quand ça marche pas, ce qui arrive toujours trop > souvent à > notre goût... ! > Plus précisément, depuis 4 ans, nous avons en moyenne une fois par > an une > coupure longue de plusieurs heures pour l'ensemble des sites, ce qui > me fait > penser que leur coeur de réseau manque de résilience... :( > On a aussi de temps en temps une "mini" coupure d'une minute ou > moins. :-/ Pour ma part j'ai régulièrement, disons une fois par mois, un site impacté par une coupure totale de plusieurs heures. la dernière, la semaine dernière, a duré 3 jours ! > > > Bref, mon indice de satisfaction aurais tendance à être assez > moyen. Mais > bon, je n'ai pas d'éléments de comparaison car je n'ai pas testé > ailleurs... J'ai testé pour l'instant Oléane et Completel. Et pour l'instant, il n'y a pas photo, Oléane était de bien meilleure qualité à tous les niveaux : réseau, réactivité, gestion du domaine? Seul inconvénient : deux fois plus cher que les autres. > > > Ceci dit vu de loin l'herbe semble toujours plus verte dans le près > d'en > face. Et une fois qu'on est en face, ben c'est souvent plus si > parfait... oui, mais cela m'intéresse d'avoir des retours d'expériences d'autres opérateurs. SFR, par exemple, me propose une solution identique à celle dont je dispose, mais avec des outils de supervision supérieurs : extranet, accès aux logs? > > Du coup, plutôt que tester tour a tour diverses offres de VPN > opérateurs, je > suis en train de prospecter des solutions firewall capable de gérer > un > maillage de VPN IPSec entre plusieurs sites, avec redondance de > lignes sur > les sites principaux. Suivant la qualité que j'arrive à obtenir > avec une > telle solution, je l'utiliserai soit en complément et en backup d'un > VPN > opérateur, soit carrément en remplacement. Oui j'y ai pensé. mais j'ai envie de dormir la nuit, et de disposer de quelques jours de vacances dans l'année :-) Le problème est de pouvoir porter ce VPN sur des liens de qualité. Les liens adsl non garantis ne sont pas envisageables pour une utilisation de la ToIP, comme c'est le cas. Les liens SDSL garantis sont aussi chers que des VPNs clés en main. Me concernant, tout le système d'information est centralisé sur le siège social, donc la qualité du réseau est primordiale. Cela dit, je serai intéressé de connaître où tu en es de cette étude : routeurs ? opérateurs ?? Si l'on me démontre que c'est faisable et en production, que les coûts d'installation, d'abonnement et de maintenance de ce genre de solution est largement (mais vraiment largement) inférieure à une solution clé en main, alors ça m'intéresse. > > Je suis en train d'affiner les specs de mon besoin (notamment liens > VPN > inter-sites multiples avec répartition de charge et/ou failover, > accès VPN > nomades par https, filtrage de flux, etc...). > Je ne manquerai pas de soumettre ce cahier des charge à la liste pour > recueillir vos avis et suggestions. D'ici là, si certains ont des > liens ou > des retour d'expérience à me proposer sur le sujet, je suis > preneur... Moi aussi. Je ne sais pas si vous avez remarqué, mais il y vraiment peu de retours sur le sujet sur la toile. ?+ Jean-Luc > > > A+ > Fabrice > > >> De : Jean-Luc Bailloeul >> Répondre à : Administrateurs Systèmes sur Mac OS X > ml@mosx.org> >> Date : Fri, 5 Jun 2009 20:57:24 +0200 >> À : Administrateurs OS X Systèmes sur Mac >> Objet : [Admin-ml] Solutions VPNs >> >> Bonjour tertous, >> >> Le sujet a été quelque fois évoqué au travers des fils, mais >> ayant eu >> en quelques semaines plus de problèmes sur mon réseau VPN que mon >> petit coeur ne saurait en supporter, je relance le débat, notamment >> pour les admins concernés par le VPN multisites. >> J'ai actuellement 6 sites en VPN sur une plateforme SDSL hébergée >> par >> l'opérateur Completel. Cette plateforme est constituée de 5 liens >> VPN >> 2 Mbs pour les sites distants et de deux liens redondants de 2 mbs au >> siège social (sur deux DSLAMs d'opérateurs différents, mais loué >> via >> completel). >> Ce VPN transporte la data, mais également la VoIP intersites, avec >> la >> QoS ad hoc. >> J'ai entamé des discussions avec les opérateurs majeurs : OBS, SFR, >> Complete et Bouygues? pour le renouvellement de ce VPN en début >> d'année prochaine, et j'aimerais avoir vos retours d'expérience >> sur la >> question. >> Un des objectifs majeurs de mon étude porte sur la qualité de >> service >> et la réduction des coûts, en bref, le meilleur rapport qualité >> prix. >> Mais mes diverses expériences depuis 2003 sur le VPN m'ont fait >> comprendre que la qualité sur le réseau est toujours en rapport ou >> au >> dépend du prix. >> Re-bref, j'en appelles à vos expériences diverses et variées sur >> le >> sujet, sachant que ma structure se situe dans le Nord-Pas de Calais, >> et pas forcément en agglomération. >> >> Merci de vos retours et avis, >> >> Cdt, >> Jean-Luc >> _______________________________________________ >> Admin-ml mailing list >> Admin-ml@mosx.org >> http://coruscant.mosx.org/mailman/listinfo/admin-ml > > > > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml > From jlbailloeul at irtsnpdc.fr Mon Jun 8 19:41:23 2009 From: jlbailloeul at irtsnpdc.fr (Jean-Luc Bailloeul) Date: Mon Jun 8 19:41:10 2009 Subject: [Admin-ml] Quand Kerby contrarie AFP... In-Reply-To: References: Message-ID: <7CF5B6B8-5AB4-47D0-B514-32241385F77F@irtsnpdc.fr> Le 8 juin 09 à 18:50, Fabrice Vincent a écrit : > Salut Jean-Luc, > > Non il n'y a pas d'ACL activées sur ce volume. ce ne serait pas l'origine de ton problème ? tu travailles en posix ? > > Je ne peux pas propager les droits car ils ne sont pas uniformes sur > tout le > partage, certains dossiers étant ouvert à un groupe, d'autres à > d'autres > groupe. la propogation n'uniformise pas les droits, si ? Elle réapplique les droits sur les dossiers. Enfin, j'ai déja eu le cas sur des dossiers déplacés d'un backup après une suppression malheureuse, et j'ai du repropager les droits sur ceux- ci. Quoiqu'il en soit, gérer des droits sur des dossiers est plus simple via des acls, non ? > Par ailleurs, les droits sont impec quand on se connecte sans kerby > ou en SMB ou même en sftp. Qui plus est, à ma connaissance, kerby ne > gère > que l'authentification, mais pas les droits dans les arborescences. Ce qui est curieux, ce n'est pas que tu ne t'y connectes pas via afp et Kerberos, mais que tu y arrives via SMB ou autre. Si les droits affichés via un ls sur les dossiers sont à 0, tu devrais avoir un problème quelque soit le type de connexion. > > > Je vais aller voir le cookbook de easymac. Merci pour l'info. Mais > dommage > qu'il soit sur un port exotique 8082... Oui, Je crois qu'Olivier est en train de refaire son site, mais qu'il a laissé l'accès à son SPIP via ce port. C'est bloquant ? > > > A+ > Fabrice > > >> De : Jean-Luc Bailloeul >> Répondre à : Administrateurs Systèmes sur Mac OS X > ml@mosx.org> >> Date : Mon, 8 Jun 2009 18:09:31 +0200 >> À : Administrateurs Systèmes sur Mac OS X >> Objet : Re: [Admin-ml] Quand Kerby contrarie AFP... >> >> oups mauvaise manip. >> suite du mail précédent : >> as-tu repropagé les droits sur le dossier ? >> les autres partages du disque en question fonctionnent avec >> Kerberos ? >> >> Olivier Ducrot a un excellent article sur la réparation kerberos sur >> son cookbook, même si je doute que tu doives en arriver là. Cela >> ressemble plus à un problème de droits ou d'héritage de droits : >> http://www.easymac.fr:8082/easymac/technicalcookbook/mosxserver/mosxserver-kba >> se/mosxserver-kbase-kerberos-repare/?searchterm=kerberos >> >> Cdt, >> Jean-Luc >> >> Le 8 juin 09 à 18:00, Jean-Luc Bailloeul a écrit : >> >>> Bonjour Fabrice, >>> Les acls sont-elles actives globalement sur le disque en question ? >>> >>> Le 8 juin 09 à 17:33, Fabien COMBERNOUS a écrit : >>> >>>> Fabrice Vincent wrote: >>>>> Bonjour à tous, >>>>> >>>>> Voici un petit casse tête pour ceux qui savent dompter kerberos: >>>>> >>>>> J'ai déplacé un partage d'un disque vers un autre sur notre >>>>> serveur de >>>>> fichier principal (10.4.11 serveur). Pour ce faire j'ai désactivé >>>>> le partage >>>>> dans AFP et SMB, puis déplacé les données, éjecter le disque >>>>> source de la >>>>> copie, et recréer un partage identique en référençant le nouvel >>>>> emplacement. >>>>> >>>>> Depuis, lorsqu'on s'authentifie par kerberos pour un accès AFP >>>>> depuis un OSX >>>>> client (10.4.11 ou 10.5.6/7), le montage se fait normalement mais >>>>> l'accès >>>>> aux dossiers à accès restreint est refusé (un zoli sens interdit >>>>> dans le >>>>> finder !). >>>>> On ne peut parcourir que les dossiers publiquement accessible. >>>>> Par contre, les autres partage du même serveur marche >>>>> normallement, même >>>>> avec kerberos. Seul le partage qui a été déplacé merde. >>>>> Si on évite l'authentification kerberos tout marche normalement... >>>>> Reboot client et serveur n'y change rien. >>>>> >>>>> Faut rekerberiser le partage ??? >>>>> Je croyait que c'était les services, par exemple AFP, qui étaient >>>>> kerbérisés >>>>> dans leur ensemble, par pour chaque objet publié. Me goure je ? >>>>> >>>>> Comment que je fais pour retrouver un comportement normal ??? >>>>> Un petit conseil serait bien apprécié... >>>>> >>>> >>>> Heu ... je reste primaire. En ligne de commande est-ce que tu >>>> arrives à y accéder ? >>>> Ce que j'ai retenu du finder c'est que parfois il perd ses petits >>>> parce que ... il est bizarre. >>>> Il ne faudrai pas que seule la couche graphique soit perturbée. >>>> >>>> -- >>>> *Fabien COMBERNOUS* >>>> /unix system engineer/ >>>> www.kezia.com >>>> *Tel: +33 (0) 467 992 986* >>>> Kezia Group >>>> _______________________________________________ >>>> Admin-ml mailing list >>>> Admin-ml@mosx.org >>>> http://coruscant.mosx.org/mailman/listinfo/admin-ml >>>> >>> >>> _______________________________________________ >>> Admin-ml mailing list >>> Admin-ml@mosx.org >>> http://coruscant.mosx.org/mailman/listinfo/admin-ml >>> >> >> _______________________________________________ >> Admin-ml mailing list >> Admin-ml@mosx.org >> http://coruscant.mosx.org/mailman/listinfo/admin-ml >> > > > > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml > From fs.nospam1 at laposte.net Mon Jun 8 22:19:47 2009 From: fs.nospam1 at laposte.net (=?ISO-8859-1?Q?Fran=E7ois_SCHOSSIG?=) Date: Mon Jun 8 22:19:29 2009 Subject: [Admin-ml] Solutions VPNs In-Reply-To: <08A444E8-18E8-4A9F-8C73-B548C1B87709@irtsnpdc.fr> References: <08A444E8-18E8-4A9F-8C73-B548C1B87709@irtsnpdc.fr> Message-ID: Bonsoir, Je ne gère pas de réseau de taille importante, mon retour d'expérience n'aura donc aucune valeur « statistique. » Cependant, et quitte a faire hurler des administrateurs système plus chevronnés, je me suis rendu compte que parfois des solutions considérées « bricolage » sont parfois aussi robustes (sinon plus) que des solutions rentrant dans les canons de la gestion informatique ! Entre le « siège » à Strasbourg et notre bureau à Bruxelles nous avons une simple liaison câble de Numéricâble (c'est le même réseau que Complétel...), officiellement 30 Méga/1 Méga d'un côté et de l'autre une fibre 6 Méga. Sans aucune difficulté, sans compression pour la VoIP et sans QoS, 3 communications téléphoniques et 5 personnes travaillant majoritairement dans Mail et Safari, avec accès à un serveur de fichiers... Je ne peux pas vous faire de retour sur les taux de transferts et autres données chiffrées, par manque d'outils et surtout de temps. Je peux simplement indiquer que mes utilisateurs ne se plaignent pas de la qualité ! Le routeur le moins cher avec autant de pattes que l'on veut, c'est encore un vieux PC (Debian, chez nous). J'avais pris une fibre car j'avais le serveur mail en local (il est depuis parti chez Google...) mais dans le fond, pourquoi payer plus cher des liaisons dites sécurisées, alors que l'on peu aussi prendre plusieurs ADSL chez plusieurs opérateurs et même un mélange ADSL et câble pour se protéger d'une coupure de l'un ou de l'autre. Le PC routeur avec 3, 4, 5 cartes réseau n'est pas si cher non plus. Pour terminer, configurer un routeur, à coup d'iptables et de route, on arrive à promener pas mal de choses dans pas mal de directions pour pas trop cher ! Si on veut absolument, on peut même assurer la sécurité des routeurs eux-même avec miroirs disques logiciels ou des installations sur CD ou clefs USB. On peut faire changer de route les communications... Mais il faut pouvoir sortir des sentier battus. C'est comme Asterisk contre des boîtes noires Alcatel, Tenovis ou autre. :-) -- F. SCHOSSIG, ICT Manager Assemblée des Régions d'Europe http://www.aer.eu Le 8 juin 09 à 19:27, Jean-Luc Bailloeul a écrit : > > Le 8 juin 09 à 18:42, Fabrice Vincent a écrit : > >> On a une config très similaire ici: VPN MPLS entre 4 sites, avec >> QoS et >> VoIP. On est chez COLT, les liens non dégroupés étant fourni par >> cegetel. >> >> Ça marche, sauf quand ça marche pas, ce qui arrive toujours trop >> souvent à >> notre goût... ! >> Plus précisément, depuis 4 ans, nous avons en moyenne une fois par >> an une >> coupure longue de plusieurs heures pour l'ensemble des sites, ce >> qui me fait >> penser que leur coeur de réseau manque de résilience... :( >> On a aussi de temps en temps une "mini" coupure d'une minute ou >> moins. :-/ > Pour ma part j'ai régulièrement, disons une fois par mois, un site > impacté par une coupure totale de plusieurs heures. > la dernière, la semaine dernière, a duré 3 jours ! >> >> >> Bref, mon indice de satisfaction aurais tendance à être assez >> moyen. Mais >> bon, je n'ai pas d'éléments de comparaison car je n'ai pas testé >> ailleurs... > J'ai testé pour l'instant Oléane et Completel. Et pour l'instant, > il n'y a pas photo, Oléane était de bien meilleure qualité à tous > les niveaux : réseau, réactivité, gestion du domaine? > Seul inconvénient : deux fois plus cher que les autres. >> >> >> Ceci dit vu de loin l'herbe semble toujours plus verte dans le près >> d'en >> face. Et une fois qu'on est en face, ben c'est souvent plus si >> parfait... > oui, mais cela m'intéresse d'avoir des retours d'expériences > d'autres opérateurs. > SFR, par exemple, me propose une solution identique à celle dont je > dispose, mais avec des outils de supervision supérieurs : extranet, > accès aux logs? >> >> Du coup, plutôt que tester tour a tour diverses offres de VPN >> opérateurs, je >> suis en train de prospecter des solutions firewall capable de gérer >> un >> maillage de VPN IPSec entre plusieurs sites, avec redondance de >> lignes sur >> les sites principaux. Suivant la qualité que j'arrive à obtenir >> avec une >> telle solution, je l'utiliserai soit en complément et en backup >> d'un VPN >> opérateur, soit carrément en remplacement. > Oui j'y ai pensé. mais j'ai envie de dormir la nuit, et de disposer > de quelques jours de vacances dans l'année :-) > Le problème est de pouvoir porter ce VPN sur des liens de qualité. > Les liens adsl non garantis ne sont pas envisageables pour une > utilisation de la ToIP, comme c'est le cas. > Les liens SDSL garantis sont aussi chers que des VPNs clés en main. > Me concernant, tout le système d'information est centralisé sur le > siège social, donc la qualité du réseau est primordiale. > Cela dit, je serai intéressé de connaître où tu en es de cette > étude : routeurs ? opérateurs ?? > Si l'on me démontre que c'est faisable et en production, que les > coûts d'installation, d'abonnement et de maintenance de ce genre de > solution est largement (mais vraiment largement) inférieure à une > solution clé en main, alors ça m'intéresse. >> >> Je suis en train d'affiner les specs de mon besoin (notamment liens >> VPN >> inter-sites multiples avec répartition de charge et/ou failover, >> accès VPN >> nomades par https, filtrage de flux, etc...). >> Je ne manquerai pas de soumettre ce cahier des charge à la liste >> pour >> recueillir vos avis et suggestions. D'ici là, si certains ont des >> liens ou >> des retour d'expérience à me proposer sur le sujet, je suis >> preneur... > Moi aussi. Je ne sais pas si vous avez remarqué, mais il y vraiment > peu de retours sur le sujet sur la toile. > > ?+ > Jean-Luc > >> >> >> A+ >> Fabrice >> >> >>> De : Jean-Luc Bailloeul >>> Répondre à : Administrateurs Systèmes sur Mac OS X >> org> >>> Date : Fri, 5 Jun 2009 20:57:24 +0200 >>> À : Administrateurs OS X Systèmes sur Mac >>> Objet : [Admin-ml] Solutions VPNs >>> >>> Bonjour tertous, >>> >>> Le sujet a été quelque fois évoqué au travers des fils, mais >>> ayant eu >>> en quelques semaines plus de problèmes sur mon réseau VPN que mon >>> petit coeur ne saurait en supporter, je relance le débat, notamment >>> pour les admins concernés par le VPN multisites. >>> J'ai actuellement 6 sites en VPN sur une plateforme SDSL hébergée >>> par >>> l'opérateur Completel. Cette plateforme est constituée de 5 liens >>> VPN >>> 2 Mbs pour les sites distants et de deux liens redondants de 2 mbs >>> au >>> siège social (sur deux DSLAMs d'opérateurs différents, mais >>> loué via >>> completel). >>> Ce VPN transporte la data, mais également la VoIP intersites, avec >>> la >>> QoS ad hoc. >>> J'ai entamé des discussions avec les opérateurs majeurs : OBS, >>> SFR, >>> Complete et Bouygues? pour le renouvellement de ce VPN en début >>> d'année prochaine, et j'aimerais avoir vos retours d'expérience >>> sur la >>> question. >>> Un des objectifs majeurs de mon étude porte sur la qualité de >>> service >>> et la réduction des coûts, en bref, le meilleur rapport qualité >>> prix. >>> Mais mes diverses expériences depuis 2003 sur le VPN m'ont fait >>> comprendre que la qualité sur le réseau est toujours en rapport >>> ou au >>> dépend du prix. >>> Re-bref, j'en appelles à vos expériences diverses et variées sur >>> le >>> sujet, sachant que ma structure se situe dans le Nord-Pas de Calais, >>> et pas forcément en agglomération. >>> >>> Merci de vos retours et avis, >>> >>> Cdt, >>> Jean-Luc >>> _______________________________________________ >>> Admin-ml mailing list >>> Admin-ml@mosx.org >>> http://coruscant.mosx.org/mailman/listinfo/admin-ml >> _______________________________________________ >> Admin-ml mailing list >> Admin-ml@mosx.org >> http://coruscant.mosx.org/mailman/listinfo/admin-ml > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml From jlbailloeul at irtsnpdc.fr Mon Jun 8 23:02:27 2009 From: jlbailloeul at irtsnpdc.fr (Jean-Luc Bailloeul) Date: Mon Jun 8 23:02:08 2009 Subject: [Admin-ml] Solutions VPNs In-Reply-To: References: <08A444E8-18E8-4A9F-8C73-B548C1B87709@irtsnpdc.fr> Message-ID: <44DB204D-9D17-41DE-9D6B-0880496772AC@irtsnpdc.fr> Le 8 juin 09 à 22:19, François SCHOSSIG a écrit : > Bonsoir, > > Je ne gère pas de réseau de taille importante, mon retour > d'expérience n'aura donc aucune valeur « statistique. » Cependant, > et quitte a faire hurler des administrateurs système plus > chevronnés, je me suis rendu compte que parfois des solutions > considérées « bricolage » sont parfois aussi robustes (sinon > plus) que des solutions rentrant dans les canons de la gestion > informatique ! > > Entre le « siège » à Strasbourg et notre bureau à Bruxelles nous > avons une simple liaison câble de Numéricâble (c'est le même > réseau que Complétel...), officiellement 30 Méga/1 Méga d'un > côté et de l'autre une fibre 6 Méga. Sans aucune difficulté, sans > compression pour la VoIP et sans QoS, 3 communications > téléphoniques et 5 personnes travaillant majoritairement dans Mail > et Safari, avec accès à un serveur de fichiers... > > Je ne peux pas vous faire de retour sur les taux de transferts et > autres données chiffrées, par manque d'outils et surtout de temps. > Je peux simplement indiquer que mes utilisateurs ne se plaignent pas > de la qualité ! Oui, je ne doute pas que cela soit fonctionnel. Mais c'est une question de dimensions. Me concernant, il s'agit de 6 sites reliés en intra, pour 150 salariés, 200 SDA, plus de 2500 étudiants plus les stagiaires, plus de 400 postes en réseau sans compter les dizaines de copieur, de switchs,? accédant au web, mail, bases de données documentaire, base de données de gestion, base comptable, server TSE? Donc, un lien qui tombe, c'est plusieurs dizaines, ou centaines d'utilisateurs qui te tombent sur le dos. De l'intérêt d'avoir des liaisons SDSL, avec sur le principe une GTR qui va bien. > > > Le routeur le moins cher avec autant de pattes que l'on veut, c'est > encore un vieux PC (Debian, chez nous). > J'avais pris une fibre car j'avais le serveur mail en local (il est > depuis parti chez Google...) mais dans le fond, pourquoi payer plus > cher des liaisons dites sécurisées, alors que l'on peu aussi > prendre plusieurs ADSL chez plusieurs opérateurs et même un > mélange ADSL et câble pour se protéger d'une coupure de l'un ou de > l'autre. pour la QoS, à condition d'en avoir besoin et la bande passante entrante garantie. > Le PC routeur avec 3, 4, 5 cartes réseau n'est pas si cher non plus. > Pour terminer, configurer un routeur, à coup d'iptables et de route, > on arrive à promener pas mal de choses dans pas mal de directions > pour pas trop cher ! Si on veut absolument, on peut même assurer la > sécurité des routeurs eux-même avec miroirs disques logiciels ou > des installations sur CD ou clefs USB. On peut faire changer de > route les communications... > > Mais il faut pouvoir sortir des sentier battus. C'est comme Asterisk > contre des boîtes noires Alcatel, Tenovis ou autre. Encore une fois, c'est une question de dimensions. pour utiliser de l'alcatel, c'est plus si boite noire que ça. C'est un serveur sous linux, avec un soft intégré. j'ai accès à tout et je trouve ça pas mal foutu. Mais sur le fond tu as totalement raison. Si je devais une administrer une plus petite structure avec moins de contraintes, je m'orienterai vers les mêmes solutions que toi. > > :-) > -- > F. SCHOSSIG, ICT Manager > Assemblée des Régions d'Europe > http://www.aer.eu > > Le 8 juin 09 à 19:27, Jean-Luc Bailloeul a écrit : > >> >> Le 8 juin 09 à 18:42, Fabrice Vincent a écrit : >> >>> On a une config très similaire ici: VPN MPLS entre 4 sites, avec >>> QoS et >>> VoIP. On est chez COLT, les liens non dégroupés étant fourni par >>> cegetel. >>> >>> Ça marche, sauf quand ça marche pas, ce qui arrive toujours trop >>> souvent à >>> notre goût... ! >>> Plus précisément, depuis 4 ans, nous avons en moyenne une fois >>> par an une >>> coupure longue de plusieurs heures pour l'ensemble des sites, ce >>> qui me fait >>> penser que leur coeur de réseau manque de résilience... :( >>> On a aussi de temps en temps une "mini" coupure d'une minute ou >>> moins. :-/ >> Pour ma part j'ai régulièrement, disons une fois par mois, un site >> impacté par une coupure totale de plusieurs heures. >> la dernière, la semaine dernière, a duré 3 jours ! >>> >>> >>> Bref, mon indice de satisfaction aurais tendance à être assez >>> moyen. Mais >>> bon, je n'ai pas d'éléments de comparaison car je n'ai pas testé >>> ailleurs... >> J'ai testé pour l'instant Oléane et Completel. Et pour l'instant, >> il n'y a pas photo, Oléane était de bien meilleure qualité à >> tous les niveaux : réseau, réactivité, gestion du domaine? >> Seul inconvénient : deux fois plus cher que les autres. >>> >>> >>> Ceci dit vu de loin l'herbe semble toujours plus verte dans le >>> près d'en >>> face. Et une fois qu'on est en face, ben c'est souvent plus si >>> parfait... >> oui, mais cela m'intéresse d'avoir des retours d'expériences >> d'autres opérateurs. >> SFR, par exemple, me propose une solution identique à celle dont je >> dispose, mais avec des outils de supervision supérieurs : extranet, >> accès aux logs? >>> >>> Du coup, plutôt que tester tour a tour diverses offres de VPN >>> opérateurs, je >>> suis en train de prospecter des solutions firewall capable de >>> gérer un >>> maillage de VPN IPSec entre plusieurs sites, avec redondance de >>> lignes sur >>> les sites principaux. Suivant la qualité que j'arrive à obtenir >>> avec une >>> telle solution, je l'utiliserai soit en complément et en backup >>> d'un VPN >>> opérateur, soit carrément en remplacement. >> Oui j'y ai pensé. mais j'ai envie de dormir la nuit, et de disposer >> de quelques jours de vacances dans l'année :-) >> Le problème est de pouvoir porter ce VPN sur des liens de qualité. >> Les liens adsl non garantis ne sont pas envisageables pour une >> utilisation de la ToIP, comme c'est le cas. >> Les liens SDSL garantis sont aussi chers que des VPNs clés en main. >> Me concernant, tout le système d'information est centralisé sur le >> siège social, donc la qualité du réseau est primordiale. >> Cela dit, je serai intéressé de connaître où tu en es de cette >> étude : routeurs ? opérateurs ?? >> Si l'on me démontre que c'est faisable et en production, que les >> coûts d'installation, d'abonnement et de maintenance de ce genre de >> solution est largement (mais vraiment largement) inférieure à une >> solution clé en main, alors ça m'intéresse. >>> >>> Je suis en train d'affiner les specs de mon besoin (notamment >>> liens VPN >>> inter-sites multiples avec répartition de charge et/ou failover, >>> accès VPN >>> nomades par https, filtrage de flux, etc...). >>> Je ne manquerai pas de soumettre ce cahier des charge à la liste >>> pour >>> recueillir vos avis et suggestions. D'ici là, si certains ont des >>> liens ou >>> des retour d'expérience à me proposer sur le sujet, je suis >>> preneur... >> Moi aussi. Je ne sais pas si vous avez remarqué, mais il y vraiment >> peu de retours sur le sujet sur la toile. >> >> ?+ >> Jean-Luc >> >>> >>> >>> A+ >>> Fabrice >>> >>> >>>> De : Jean-Luc Bailloeul >>>> Répondre à : Administrateurs Systèmes sur Mac OS X >>> org> >>>> Date : Fri, 5 Jun 2009 20:57:24 +0200 >>>> À : Administrateurs OS X Systèmes sur Mac >>>> Objet : [Admin-ml] Solutions VPNs >>>> >>>> Bonjour tertous, >>>> >>>> Le sujet a été quelque fois évoqué au travers des fils, mais >>>> ayant eu >>>> en quelques semaines plus de problèmes sur mon réseau VPN que mon >>>> petit coeur ne saurait en supporter, je relance le débat, >>>> notamment >>>> pour les admins concernés par le VPN multisites. >>>> J'ai actuellement 6 sites en VPN sur une plateforme SDSL >>>> hébergée par >>>> l'opérateur Completel. Cette plateforme est constituée de 5 >>>> liens VPN >>>> 2 Mbs pour les sites distants et de deux liens redondants de 2 >>>> mbs au >>>> siège social (sur deux DSLAMs d'opérateurs différents, mais >>>> loué via >>>> completel). >>>> Ce VPN transporte la data, mais également la VoIP intersites, >>>> avec la >>>> QoS ad hoc. >>>> J'ai entamé des discussions avec les opérateurs majeurs : OBS, >>>> SFR, >>>> Complete et Bouygues? pour le renouvellement de ce VPN en début >>>> d'année prochaine, et j'aimerais avoir vos retours d'expérience >>>> sur la >>>> question. >>>> Un des objectifs majeurs de mon étude porte sur la qualité de >>>> service >>>> et la réduction des coûts, en bref, le meilleur rapport qualité >>>> prix. >>>> Mais mes diverses expériences depuis 2003 sur le VPN m'ont fait >>>> comprendre que la qualité sur le réseau est toujours en rapport >>>> ou au >>>> dépend du prix. >>>> Re-bref, j'en appelles à vos expériences diverses et variées >>>> sur le >>>> sujet, sachant que ma structure se situe dans le Nord-Pas de >>>> Calais, >>>> et pas forcément en agglomération. >>>> >>>> Merci de vos retours et avis, >>>> >>>> Cdt, >>>> Jean-Luc >>>> _______________________________________________ >>>> Admin-ml mailing list >>>> Admin-ml@mosx.org >>>> http://coruscant.mosx.org/mailman/listinfo/admin-ml >>> _______________________________________________ >>> Admin-ml mailing list >>> Admin-ml@mosx.org >>> http://coruscant.mosx.org/mailman/listinfo/admin-ml >> _______________________________________________ >> Admin-ml mailing list >> Admin-ml@mosx.org >> http://coruscant.mosx.org/mailman/listinfo/admin-ml > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml From fcombernous at kezia.com Tue Jun 9 10:17:37 2009 From: fcombernous at kezia.com (Fabien COMBERNOUS) Date: Tue Jun 9 10:17:11 2009 Subject: [Admin-ml] Solutions VPNs In-Reply-To: <08A444E8-18E8-4A9F-8C73-B548C1B87709@irtsnpdc.fr> References: <08A444E8-18E8-4A9F-8C73-B548C1B87709@irtsnpdc.fr> Message-ID: <4A2E1AA1.4050008@kezia.com> Jean-Luc Bailloeul wrote: > > Le 8 juin 09 à 18:42, Fabrice Vincent a écrit : > >> On a une config très similaire ici: VPN MPLS entre 4 sites, avec QoS et >> VoIP. On est chez COLT, les liens non dégroupés étant fourni par >> cegetel. >> >> Ça marche, sauf quand ça marche pas, ce qui arrive toujours trop >> souvent à >> notre goût... ! >> Plus précisément, depuis 4 ans, nous avons en moyenne une fois par an >> une >> coupure longue de plusieurs heures pour l'ensemble des sites, ce qui >> me fait >> penser que leur coeur de réseau manque de résilience... :( >> On a aussi de temps en temps une "mini" coupure d'une minute ou >> moins. :-/ > Pour ma part j'ai régulièrement, disons une fois par mois, un site > impacté par une coupure totale de plusieurs heures. > la dernière, la semaine dernière, a duré 3 jours ! Mon aventure date des environs de 2002, 2003. A l'époque, la société qui m'employait avait quelques IP publiques pour héberger, dans ses propres locaux, en DMZ des services accessibles par le internet et un accès internet. Le service le plus critique et dépendant du réseau internet était le mail. Nous étions chez Oléane, et bon an mal an, cela se passait plutôt bien. Bien évidement il y a eu quelques soucis, mais jamais plus d'une demie journée. Quand il y avait un soucis, de mémoire, une paire d'heure voir quatre heures suffisaient pour revenir à la normale. La réception des mail était, dans ce cas, assurée elle par une autre serveur placé ailleurs que dans notre DMZ, sur un hébergement dédié. Ne pas pouvoir envoyer un mail durant une paire d'heure, exceptionnellement, cela n'a pas posé de soucis insurmontable. Par contre, à l'occasion d'un déménagement nous avons changé pour Colt. Et là ce fut catastrophique à mon gout. De mémoire, nous avions des coupures de plus d'une demie journées plusieurs fois par mois. Je ne me souvient plus du nombre des coupures qui dépassaient la journée, mais c'était monnaie trop courante. Et nous avons eu aussi droit à la coupure de 3 jours. Je vois que les choses n'évoluent pas beaucoup chez Colt. -- *Fabien COMBERNOUS* /unix system engineer/ www.kezia.com *Tel: +33 (0) 467 992 986* Kezia Group From jlbailloeul at irtsnpdc.fr Tue Jun 9 10:49:02 2009 From: jlbailloeul at irtsnpdc.fr (Jean-Luc Bailloeul) Date: Tue Jun 9 10:48:43 2009 Subject: [Admin-ml] Solutions VPNs In-Reply-To: <4A2E1AA1.4050008@kezia.com> References: <08A444E8-18E8-4A9F-8C73-B548C1B87709@irtsnpdc.fr> <4A2E1AA1.4050008@kezia.com> Message-ID: <82D32947-ABB0-4B8D-9332-5A37D0CE57CF@irtsnpdc.fr> Le 9 juin 09 à 10:17, Fabien COMBERNOUS a écrit : > Jean-Luc Bailloeul wrote: >> >> Le 8 juin 09 à 18:42, Fabrice Vincent a écrit : >> >>> On a une config très similaire ici: VPN MPLS entre 4 sites, avec >>> QoS et >>> VoIP. On est chez COLT, les liens non dégroupés étant fourni par >>> cegetel. >>> >>> Ça marche, sauf quand ça marche pas, ce qui arrive toujours trop >>> souvent à >>> notre goût... ! >>> Plus précisément, depuis 4 ans, nous avons en moyenne une fois par >>> an une >>> coupure longue de plusieurs heures pour l'ensemble des sites, ce >>> qui me fait >>> penser que leur coeur de réseau manque de résilience... :( >>> On a aussi de temps en temps une "mini" coupure d'une minute ou >>> moins. :-/ >> Pour ma part j'ai régulièrement, disons une fois par mois, un site >> impacté par une coupure totale de plusieurs heures. >> la dernière, la semaine dernière, a duré 3 jours ! > > Mon aventure date des environs de 2002, 2003. A l'époque, la société > qui m'employait avait quelques IP publiques pour héberger, dans ses > propres locaux, en DMZ des services accessibles par le internet et > un accès internet. Le service le plus critique et dépendant du > réseau internet était le mail. > > Nous étions chez Oléane, et bon an mal an, cela se passait plutôt > bien. Bien évidement il y a eu quelques soucis, mais jamais plus > d'une demie journée. Quand il y avait un soucis, de mémoire, une > paire d'heure voir quatre heures suffisaient pour revenir à la > normale. La réception des mail était, dans ce cas, assurée elle par > une autre serveur placé ailleurs que dans notre DMZ, sur un > hébergement dédié. Ne pas pouvoir envoyer un mail durant une paire > d'heure, exceptionnellement, cela n'a pas posé de soucis > insurmontable. Oui, c'est mon souvenir d'Oléane. Ils ne sont pas à l'abri des pannes, mais ils respectent la GTR. > > > Par contre, à l'occasion d'un déménagement nous avons changé pour > Colt. Et là ce fut catastrophique à mon gout. De mémoire, nous > avions des coupures de plus d'une demie journées plusieurs fois par > mois. Je ne me souvient plus du nombre des coupures qui dépassaient > la journée, mais c'était monnaie trop courante. Et nous avons eu > aussi droit à la coupure de 3 jours. Je vois que les choses > n'évoluent pas beaucoup chez Colt. oups. pas Colt, alors. Je les avais reçu il y a quelques années, et ils ne m'avaient pas inspiré. j'ai bien fait. > > > -- > *Fabien COMBERNOUS* > /unix system engineer/ > www.kezia.com > *Tel: +33 (0) 467 992 986* > Kezia Group > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml From francis at alphamosa.fr Tue Jun 9 10:33:39 2009 From: francis at alphamosa.fr (LEBOURQ Francis) Date: Tue Jun 9 10:58:31 2009 Subject: [Admin-ml] Solutions VPNs In-Reply-To: <44DB204D-9D17-41DE-9D6B-0880496772AC@irtsnpdc.fr> References: <08A444E8-18E8-4A9F-8C73-B548C1B87709@irtsnpdc.fr> <44DB204D-9D17-41DE-9D6B-0880496772AC@irtsnpdc.fr> Message-ID: Bonjour à tous Comme la demande initial se trouve dans le Pas de Calais, il est possible de demander une étude de faisabilité à SANEF Télécom. Ils sont hyper pro (le moindre reboot de routeur pour mise à jour, vous êtes prévenu au moins 48h à l'avance), leur réseau est majoritairement en fibre et si ils ne peuvent pas vous apporter de solution fiable, ils vous le diront (expérience vécue). Les GTR sont tenues et le centre de supervision est joignable en 24/24 - 7/7 J'utilise leur service depuis plus de 4 ans sur des liaisons entre nos datacenters et cela se passe très bien. Pour plus d'informations ou savoir qui contacter, merci de me passer un email en privé. Bonne journée Francis LEBOURQ -- _____________________________________________________________________ Francis LEBOURQ Directeur Technique ALPHA MOSA eMail :Francis@alphamosa.fr 14, bis rue Howard Houston Expert Apple 51170 ARCIS LE PONSART - France Tel : 03 26 48 17 56 Fax : 03 26 48 10 87 _____________________________________________________________________ From yvast at free.fr Tue Jun 9 11:52:49 2009 From: yvast at free.fr (Yan) Date: Tue Jun 9 11:52:25 2009 Subject: [Admin-ml] =?windows-1252?q?Toujours_les_mains_dans_samba=85?= Message-ID: <213D5F69-7D34-4DD5-83C2-11BD44586EA9@free.fr> Bonjour à tous. Donc je poursuit mes aventure sur Samba. J'ai un soucis de connexion sur les PC (XP Pro) qui retardent ma mise en place. Mon serveur est bien vu et l'on peut se connecter dessus. Il travaille sur les fichiers. Seulement dès que l'utilisateur ferme la fenêtre du point de partage, elle apparait vide dès qu'il veut y retourner. Si j'en fait un raccourci ou un lecteur réseau, il me dit que c'est introuvable? mais j'ai du mal à le croire? Il faut fermer la session est se reconnecter pour y avoir de nouveau accès. dans les logs j'ai des erreurs : [2009/06/09 11:35:07, 0, pid=97751] /SourceCache/samba/samba-187.8/ samba/source/smbd/service.c:find_service(361) Invalid snum 6 for 02_nco-compta [2009/06/09 11:35:07, 0, pid=97751] /SourceCache/samba/samba-187.8/ samba/source/smbd/service.c:make_connection(1245) compta0430 (192.168.88.35) couldn't find service 02_nco-compta [2009/06/09 11:35:07, 0, pid=97751] /SourceCache/samba/samba-187.8/ samba/source/smbd/service.c:find_service(361) Invalid snum 6 for 02_nco-compta [2009/06/09 11:35:07, 0, pid=97751] /SourceCache/samba/samba-187.8/ samba/source/smbd/service.c:make_connection(1245) compta0430 (192.168.88.35) couldn't find service 02_nco-compta Il est reglé sur "Satand Alone" est je n'ai pas encore mis de "hosts allow". Evidemment sous MacOS en smb, pas de problème. Vu mon niveau sous Windows, je ne sait où chercher? Un petit peu d'aide serait la bienvenue ;-) Merci à tous -- Yannick From f.vincent at allibert-trekking.com Tue Jun 9 12:04:38 2009 From: f.vincent at allibert-trekking.com (Fabrice Vincent) Date: Tue Jun 9 12:04:40 2009 Subject: [Admin-ml] Quand Kerby contrarie AFP... In-Reply-To: <7CF5B6B8-5AB4-47D0-B514-32241385F77F@irtsnpdc.fr> Message-ID: > De : Jean-Luc Bailloeul > > Le 8 juin 09 à 18:50, Fabrice Vincent a écrit : > >> Salut Jean-Luc, >> >> Non il n'y a pas d'ACL activées sur ce volume. > ce ne serait pas l'origine de ton problème ? > tu travailles en posix ? Je ne vois pas en quoi l'utilisation des droits posix plutôt que les ACL changerai quelque chose. Ça a très bien marché jusqu'à présent, et ça continu à marcher parfaitement en sftp, smb et afp sans kerberos... C'est vraiment uniquement en afp avec authentification kerberos que ça merde (d'ou le sujet de cette enfilade)... >> >> Je ne peux pas propager les droits car ils ne sont pas uniformes sur >> tout le >> partage, certains dossiers étant ouvert à un groupe, d'autres à >> d'autres >> groupe. > la propogation n'uniformise pas les droits, si ? Elle réapplique les > droits sur les dossiers. > Enfin, j'ai déja eu le cas sur des dossiers déplacés d'un backup après > une suppression malheureuse, et j'ai du repropager les droits sur ceux- > ci. > > Quoiqu'il en soit, gérer des droits sur des dossiers est plus simple > via des acls, non ? Pour faire court: non. ;o) C'est plus facile à court terme, mais sans méthode on se retrouve vite avec une pagaille noir. Et avec de la méthode je m'en sort sans les ACL. Le seul cas ou des ACL me semble indispensables c'est si on veut mettre des droits en écriture à un groupe et en lecture à un autre, tout en ne mettant aucun droits pour "les autres". Là on touche les limites de posix avec un seul propriétaire, un seul groupe propriétaire, et tous "les autres"... > >> Par ailleurs, les droits sont impec quand on se connecte sans kerby >> ou en SMB ou même en sftp. Qui plus est, à ma connaissance, kerby ne >> gère >> que l'authentification, mais pas les droits dans les arborescences. > Ce qui est curieux, ce n'est pas que tu ne t'y connectes pas via afp > et Kerberos, mais que tu y arrives via SMB ou autre. > Si les droits affichés via un ls sur les dossiers sont à 0, tu devrais > avoir un problème quelque soit le type de connexion. Non. Les droits affiché ne sont pas les droits réels, mais ceux que le protocole de partage veux bien te présenter. C'est confirmé par le fait que, sur mon partage qui pose problème en afp+kerby, je ne vois pas les même droits en afp+kerby que en afp seul ou en smb... >> >> >> Je vais aller voir le cookbook de easymac. Merci pour l'info. Mais >> dommage >> qu'il soit sur un port exotique 8082... > Oui, Je crois qu'Olivier est en train de refaire son site, mais qu'il > a laissé l'accès à son SPIP via ce port. > C'est bloquant ? Pas bloquant: juste il fallait que j'ouvre un port de plus dans notre firewall... Ceci dit, le cookbook propose une remise à zéro complète de kerberos sur le serveur. Moi j'aurais préféré comprendre, et comme la connexion afp sans kerby marche normalement je ne suis pas trop pressé... Personne n'a d'idée pour réconcilier mon serveur AFP et mon kerberos ??? From jlbailloeul at irtsnpdc.fr Tue Jun 9 12:30:55 2009 From: jlbailloeul at irtsnpdc.fr (Jean-Luc Bailloeul) Date: Tue Jun 9 12:30:38 2009 Subject: [Admin-ml] Quand Kerby contrarie AFP... In-Reply-To: References: Message-ID: <2FB93C06-577E-45EC-93A4-FE799ACBBC48@irtsnpdc.fr> Le 9 juin 09 à 12:04, Fabrice Vincent a écrit : >> De : Jean-Luc Bailloeul >> >> Le 8 juin 09 à 18:50, Fabrice Vincent a écrit : >> >>> Salut Jean-Luc, >>> >>> Non il n'y a pas d'ACL activées sur ce volume. >> ce ne serait pas l'origine de ton problème ? >> tu travailles en posix ? > Je ne vois pas en quoi l'utilisation des droits posix plutôt que les > ACL > changerai quelque chose. Ça a très bien marché jusqu'à présent, et ça > continu à marcher parfaitement en sftp, smb et afp sans kerberos... > C'est vraiment uniquement en afp avec authentification kerberos que > ça merde > (d'ou le sujet de cette enfilade)... non, ma question était plutôt de savoir si tu utilisais des acls sur un volume et pas sur l'autre, ce qui aurait pu être l'origine d'un problème. > >>> >>> Je ne peux pas propager les droits car ils ne sont pas uniformes sur >>> tout le >>> partage, certains dossiers étant ouvert à un groupe, d'autres à >>> d'autres >>> groupe. >> la propogation n'uniformise pas les droits, si ? Elle réapplique les >> droits sur les dossiers. >> Enfin, j'ai déja eu le cas sur des dossiers déplacés d'un backup >> après >> une suppression malheureuse, et j'ai du repropager les droits sur >> ceux- >> ci. >> >> Quoiqu'il en soit, gérer des droits sur des dossiers est plus simple >> via des acls, non ? > Pour faire court: non. ;o) > C'est plus facile à court terme, mais sans méthode on se retrouve > vite avec > une pagaille noir. Et avec de la méthode je m'en sort sans les ACL. > Le seul cas ou des ACL me semble indispensables c'est si on veut > mettre des > droits en écriture à un groupe et en lecture à un autre, tout en ne > mettant > aucun droits pour "les autres". Là on touche les limites de posix > avec un > seul propriétaire, un seul groupe propriétaire, et tous "les > autres"... > >> >>> Par ailleurs, les droits sont impec quand on se connecte sans kerby >>> ou en SMB ou même en sftp. Qui plus est, à ma connaissance, kerby ne >>> gère >>> que l'authentification, mais pas les droits dans les arborescences. >> Ce qui est curieux, ce n'est pas que tu ne t'y connectes pas via afp >> et Kerberos, mais que tu y arrives via SMB ou autre. >> Si les droits affichés via un ls sur les dossiers sont à 0, tu >> devrais >> avoir un problème quelque soit le type de connexion. > Non. Les droits affiché ne sont pas les droits réels, mais ceux que le > protocole de partage veux bien te présenter. > C'est confirmé par le fait que, sur mon partage qui pose problème en > afp+kerby, je ne vois pas les même droits en afp+kerby que en afp > seul ou en > smb... je pensais que tu avais fait une lecture des droits à partir du serveur. j'ai du mal à te suivre, je crois :-) > >>> >>> >>> Je vais aller voir le cookbook de easymac. Merci pour l'info. Mais >>> dommage >>> qu'il soit sur un port exotique 8082... >> Oui, Je crois qu'Olivier est en train de refaire son site, mais qu'il >> a laissé l'accès à son SPIP via ce port. >> C'est bloquant ? > Pas bloquant: juste il fallait que j'ouvre un port de plus dans notre > firewall... > Ceci dit, le cookbook propose une remise à zéro complète de kerberos > sur le > serveur. Moi j'aurais préféré comprendre, et comme la connexion afp > sans > kerby marche normalement je ne suis pas trop pressé... Cela te donne néanmoins certaines de base, pour vérifier tes principals, voir si tu obtiens bien un ticket, vérifier les logs de kerberos? > > > Personne n'a d'idée pour réconcilier mon serveur AFP et mon > kerberos ??? > > > > > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml > From fcombernous at kezia.com Tue Jun 9 12:44:20 2009 From: fcombernous at kezia.com (Fabien COMBERNOUS) Date: Tue Jun 9 12:43:51 2009 Subject: [Admin-ml] Toujours les mains dans =?windows-1252?Q?samba=85?= In-Reply-To: <213D5F69-7D34-4DD5-83C2-11BD44586EA9@free.fr> References: <213D5F69-7D34-4DD5-83C2-11BD44586EA9@free.fr> Message-ID: <4A2E3D04.5070205@kezia.com> Yan wrote: > Bonjour à tous. Donc je poursuit mes aventure sur Samba. > J'ai un soucis de connexion sur les PC (XP Pro) qui retardent ma mise > en place. > Mon serveur est bien vu et l'on peut se connecter dessus. Il travaille > sur les fichiers. > Seulement dès que l'utilisateur ferme la fenêtre du point de partage, > elle apparait vide dès qu'il veut y retourner. > Si j'en fait un raccourci ou un lecteur réseau, il me dit que c'est > introuvable? mais j'ai du mal à le croire? > > Il faut fermer la session est se reconnecter pour y avoir de nouveau > accès. Tu as un soucis uniquement avec un partage, ou bien uniquement avec un type de fenêtre ? -- *Fabien COMBERNOUS* /unix system engineer/ www.kezia.com *Tel: +33 (0) 467 992 986* Kezia Group From yvast at free.fr Tue Jun 9 13:46:26 2009 From: yvast at free.fr (Yan) Date: Tue Jun 9 13:46:01 2009 Subject: =?WINDOWS-1252?Q?Re:_[Admin-ml]_Toujours_les_mains_dans_samba=85?= In-Reply-To: <4A2E3D04.5070205@kezia.com> References: <213D5F69-7D34-4DD5-83C2-11BD44586EA9@free.fr> <4A2E3D04.5070205@kezia.com> Message-ID: Le 9 juin 09 à 12:44, Fabien COMBERNOUS a écrit : > Yan wrote: >> Bonjour à tous. Donc je poursuit mes aventure sur Samba. >> J'ai un soucis de connexion sur les PC (XP Pro) qui retardent ma >> mise en place. >> Mon serveur est bien vu et l'on peut se connecter dessus. Il >> travaille sur les fichiers. >> Seulement dès que l'utilisateur ferme la fenêtre du point de >> partage, elle apparait vide dès qu'il veut y retourner. >> Si j'en fait un raccourci ou un lecteur réseau, il me dit que c'est >> introuvable? mais j'ai du mal à le croire? >> >> Il faut fermer la session est se reconnecter pour y avoir de >> nouveau accès. > > Tu as un soucis uniquement avec un partage, ou bien uniquement avec > un type de fenêtre ? Non c'est la fenêtre basique du "finder" d'xp ;-) - j'affiche les voisins du réseau - je me connecte sur mon serveur qui apparait dans la liste - login/mdp ok. - Je vois le volume auquel j'ai accès (02_nco). - je rentre dans un sous-dossier. J'édite un fichier Excel et l'enregistre. - Je remonte dans la hierarchie jusqu'à la racine du serveur ?? Elle est vide, le volume 02_nco n'est plus là? Si je referme cette fenêtre et repasse par le voisinage réseau, même résulat, mon serveur est vide de point de partage. Je n'arrive pas à me deautentifier (à part en fermant la session). Merci -- Yannick From grrr at lignedefuite.fr Tue Jun 9 13:56:38 2009 From: grrr at lignedefuite.fr (G.) Date: Tue Jun 9 14:01:29 2009 Subject: =?WINDOWS-1252?Q?Re:_[Admin-ml]_Toujours_les_mains_dans_samba=85?= In-Reply-To: References: <213D5F69-7D34-4DD5-83C2-11BD44586EA9@free.fr> <4A2E3D04.5070205@kezia.com> Message-ID: <79E819D5-C98F-421A-B118-AE2C9910564F@lignedefuite.fr> Bonjour, Et en connectant un lecteur réseau? (Clic-droit sur le répertoire du partage) Et en attaquant le serveur directement par son IP? C'est un souci qui se pose de temps en temps ici et oblige justement la déconnexion / reconnexion quand Windows dit que le lecteur est déjà mappé. Il arrive aussi parfois qu'il mette beaucoup de temps à rafraîchir le contenu du répertoire partagé (déjà attendu plus de 2 minutes sur un lien gigabit!). Par contre, si quelqu'un sait comment dire à Windows "d'oublier" que l'on est connecté quelque part sans être obligé de fermer la session, cela m'intéresse aussi. G. Le 9 juin 09 à 13:46, Yan a écrit : > > Non c'est la fenêtre basique du "finder" d'xp ;-) > - j'affiche les voisins du réseau > - je me connecte sur mon serveur qui apparait dans la liste > - login/mdp ok. > - Je vois le volume auquel j'ai accès (02_nco). > - je rentre dans un sous-dossier. J'édite un fichier Excel et > l'enregistre. > - Je remonte dans la hierarchie jusqu'à la racine du serveur > ?? > Elle est vide, le volume 02_nco n'est plus là? > > Si je referme cette fenêtre et repasse par le voisinage réseau, même > résulat, mon serveur est vide de point de partage. > > Je n'arrive pas à me deautentifier (à part en fermant la session). > > Merci > -- > Yannick_ From fcombernous at kezia.com Tue Jun 9 14:57:53 2009 From: fcombernous at kezia.com (Fabien COMBERNOUS) Date: Tue Jun 9 14:57:24 2009 Subject: [Admin-ml] Toujours les mains dans =?windows-1252?Q?samba=85?= In-Reply-To: References: <213D5F69-7D34-4DD5-83C2-11BD44586EA9@free.fr> <4A2E3D04.5070205@kezia.com> Message-ID: <4A2E5C51.1010109@kezia.com> Yan wrote: > > Le 9 juin 09 à 12:44, Fabien COMBERNOUS a écrit : > >> Yan wrote: >>> Bonjour à tous. Donc je poursuit mes aventure sur Samba. >>> J'ai un soucis de connexion sur les PC (XP Pro) qui retardent ma >>> mise en place. >>> Mon serveur est bien vu et l'on peut se connecter dessus. Il >>> travaille sur les fichiers. >>> Seulement dès que l'utilisateur ferme la fenêtre du point de >>> partage, elle apparait vide dès qu'il veut y retourner. >>> Si j'en fait un raccourci ou un lecteur réseau, il me dit que c'est >>> introuvable? mais j'ai du mal à le croire? >>> >>> Il faut fermer la session est se reconnecter pour y avoir de nouveau >>> accès. >> >> Tu as un soucis uniquement avec un partage, ou bien uniquement avec >> un type de fenêtre ? > > Non c'est la fenêtre basique du "finder" d'xp ;-) > - j'affiche les voisins du réseau > - je me connecte sur mon serveur qui apparait dans la liste > - login/mdp ok. > - Je vois le volume auquel j'ai accès (02_nco). > - je rentre dans un sous-dossier. J'édite un fichier Excel et > l'enregistre. Si tu utilises et édites d'autres fichiers que des fichiers de la suite bureautique à Bill, est ce que tu rencontres aussi le soucis ? -- *Fabien COMBERNOUS* /unix system engineer/ www.kezia.com *Tel: +33 (0) 467 992 986* Kezia Group From yvast at free.fr Tue Jun 9 15:02:39 2009 From: yvast at free.fr (Yan) Date: Tue Jun 9 15:02:14 2009 Subject: =?WINDOWS-1252?Q?Re:_[Admin-ml]_Toujours_les_mains_dans_samba=85?= In-Reply-To: <79E819D5-C98F-421A-B118-AE2C9910564F@lignedefuite.fr> References: <213D5F69-7D34-4DD5-83C2-11BD44586EA9@free.fr> <4A2E3D04.5070205@kezia.com> <79E819D5-C98F-421A-B118-AE2C9910564F@lignedefuite.fr> Message-ID: Le 9 juin 09 à 13:56, G. a écrit : > > Bonjour, > > > Et en connectant un lecteur réseau? (Clic-droit sur le répertoire du > partage) > Et en attaquant le serveur directement par son IP? Impec ! \\192.168.88.37\02_nco\ et hop une fois authentifié il apparait dans "poste de travail" je n'ai pas activé la connexion auto a l'ouverture de session. > > > C'est un souci qui se pose de temps en temps ici et oblige justement > la déconnexion / reconnexion quand Windows dit que le lecteur est > déjà mappé. Il arrive aussi parfois qu'il mette beaucoup de temps à > rafraîchir le contenu du répertoire partagé (déjà attendu plus de 2 > minutes sur un lien gigabit!). je vais essayer d'attendre par curiosité > > > Par contre, si quelqu'un sait comment dire à Windows "d'oublier" que > l'on est connecté quelque part sans être obligé de fermer la > session, cela m'intéresse aussi. Au même endroit, dans "outil" il y'a "deconnecter un lecteur reseau" et ca marche je ne suis plus concidéré comme connecté sur le xserve. Et dire que des mauvaises langues disent que rien ne marche? Merci à toi -- Yannick From jlbailloeul at irtsnpdc.fr Tue Jun 9 17:05:42 2009 From: jlbailloeul at irtsnpdc.fr (Jean-Luc Bailloeul) Date: Tue Jun 9 17:05:21 2009 Subject: [Admin-ml] Quand Kerby contrarie AFP... In-Reply-To: References: Message-ID: <624CBFAB-2EDD-47A4-8E9C-95FD8633B52C@irtsnpdc.fr> Je suis la liste de diffusion Mac os x server d'Apple. Un utilisateur, sous X.4.11, a presque le même problème que toi. je te tiendrai au courant s'ils trouvent une piste. Cdt, Jean-Luc Le 8 juin 09 à 17:22, Fabrice Vincent a écrit : > Bonjour à tous, > > Voici un petit casse tête pour ceux qui savent dompter kerberos: > > J'ai déplacé un partage d'un disque vers un autre sur notre serveur de > fichier principal (10.4.11 serveur). Pour ce faire j'ai désactivé le > partage > dans AFP et SMB, puis déplacé les données, éjecter le disque source > de la > copie, et recréer un partage identique en référençant le nouvel > emplacement. > > Depuis, lorsqu'on s'authentifie par kerberos pour un accès AFP > depuis un OSX > client (10.4.11 ou 10.5.6/7), le montage se fait normalement mais > l'accès > aux dossiers à accès restreint est refusé (un zoli sens interdit > dans le > finder !). > On ne peut parcourir que les dossiers publiquement accessible. > Par contre, les autres partage du même serveur marche normallement, > même > avec kerberos. Seul le partage qui a été déplacé merde. > Si on évite l'authentification kerberos tout marche normalement... > Reboot client et serveur n'y change rien. > > Faut rekerberiser le partage ??? > Je croyait que c'était les services, par exemple AFP, qui étaient > kerbérisés > dans leur ensemble, par pour chaque objet publié. Me goure je ? > > Comment que je fais pour retrouver un comportement normal ??? > Un petit conseil serait bien apprécié... > > A+ > Fabrice > > > > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml > From grrr at lignedefuite.fr Tue Jun 9 20:27:29 2009 From: grrr at lignedefuite.fr (G.) Date: Tue Jun 9 20:32:02 2009 Subject: =?WINDOWS-1252?Q?Re:_[Admin-ml]_Toujours_les_mains_dans_samba=85?= In-Reply-To: References: <213D5F69-7D34-4DD5-83C2-11BD44586EA9@free.fr> <4A2E3D04.5070205@kezia.com> <79E819D5-C98F-421A-B118-AE2C9910564F@lignedefuite.fr> Message-ID: Le 9 juin 09 à 15:02, Yan a écrit : >> Par contre, si quelqu'un sait comment dire à Windows "d'oublier" >> que l'on est connecté quelque part sans être obligé de fermer la >> session, cela m'intéresse aussi. > > Au même endroit, dans "outil" il y'a "deconnecter un lecteur reseau" > et ca marche je ne suis plus concidéré comme connecté sur le xserve. Oui, quand cela fonctionne! Ce qui est loin d'être toujours le cas, et là je ne sais comment faire... Car souvent, après avoir déconnecté ledit lecteur et attendu sa disparition de l'explorateur, si on essaye de monter à nouveau le même partage, Windows nous envoie gentiment balader car d'après lui le partage serait déjà mappé à ce lecteur. Et le serveur n'est pas en cause (même si c'est un Windows qui expose ces partages) car son arrêt pur et simple ne change rien. Alors que sous OSX, un partage déconnecté l'est réellement et immédiatement. Apple aurait mieux implémenté smb que Microsoft???? > Et dire que des mauvaises langues disent que rien ne marche? Non, c'est juste que cela fonctionne quand ça en a envie. (-; > Merci à toi You're welcome. From fcombernous at kezia.com Wed Jun 10 09:44:33 2009 From: fcombernous at kezia.com (Fabien COMBERNOUS) Date: Wed Jun 10 09:44:06 2009 Subject: [Admin-ml] Toujours les mains dans =?windows-1252?Q?samba=85?= In-Reply-To: References: <213D5F69-7D34-4DD5-83C2-11BD44586EA9@free.fr> <4A2E3D04.5070205@kezia.com> <79E819D5-C98F-421A-B118-AE2C9910564F@lignedefuite.fr> Message-ID: <4A2F6461.2030409@kezia.com> G. wrote: [...] > > Alors que sous OSX, un partage déconnecté l'est réellement et > immédiatement. Apple aurait mieux implémenté smb que Microsoft???? Pour la petite histoire, samba est un produit libre. Et il y a eu une époque où il manquait à samba les bons bugs aux bons endroits pour pouvoir fonctionner avec un windows. Alors bon ... il a fallut incorporer des bugs. J'imagine la tête des développeurs :) Si tu veux arriver à mieux contrôler la béééte, je te conseille de cherche sur le web un tuto qui explique dans les grandes lignes netbios pour tcp/ip. Cela fait longtemps que je n'ai plus ce genre de bestiole à gérer, j'ai un peux oublié. @+, -- *Fabien COMBERNOUS* /unix system engineer/ www.kezia.com *Tel: +33 (0) 467 992 986* Kezia Group From jlbailloeul at irtsnpdc.fr Wed Jun 10 09:59:36 2009 From: jlbailloeul at irtsnpdc.fr (Jean-Luc Bailloeul) Date: Wed Jun 10 09:59:15 2009 Subject: [Admin-ml] Solutions VPNs In-Reply-To: References: <08A444E8-18E8-4A9F-8C73-B548C1B87709@irtsnpdc.fr> <44DB204D-9D17-41DE-9D6B-0880496772AC@irtsnpdc.fr> Message-ID: Le 9 juin 09 à 10:33, LEBOURQ Francis a écrit : > Bonjour à tous > > Comme la demande initial se trouve dans le Pas de Calais, il est > possible de demander une étude de faisabilité à SANEF Télécom. > > Ils sont hyper pro (le moindre reboot de routeur pour mise à jour, > vous êtes prévenu au moins 48h à l'avance), leur réseau est > majoritairement en fibre et si ils ne peuvent pas vous apporter de > solution fiable, ils vous le diront (expérience vécue). > Les GTR sont tenues et le centre de supervision est joignable en > 24/24 - 7/7 > J'utilise leur service depuis plus de 4 ans sur des liaisons entre > nos datacenters et cela se passe très bien. Je n'avais jamais pensé à la SANEF, pour ce genre de services, mais pourquoi pas. Au niveau tarif, ils sont compétitifs ? > > Pour plus d'informations ou savoir qui contacter, merci de me passer > un email en privé. > > Bonne journée > > Francis LEBOURQ > > -- > _____________________________________________________________________ > Francis LEBOURQ Directeur Technique > ALPHA MOSA eMail :Francis@alphamosa.fr > 14, bis rue Howard Houston Expert Apple > 51170 ARCIS LE PONSART - France > Tel : 03 26 48 17 56 > Fax : 03 26 48 10 87 > _____________________________________________________________________ > > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml > From fcombernous at kezia.com Wed Jun 10 10:03:55 2009 From: fcombernous at kezia.com (Fabien COMBERNOUS) Date: Wed Jun 10 10:03:32 2009 Subject: [Admin-ml] Toujours les mains dans =?windows-1252?Q?samba=85?= In-Reply-To: <4A2F6461.2030409@kezia.com> References: <213D5F69-7D34-4DD5-83C2-11BD44586EA9@free.fr> <4A2E3D04.5070205@kezia.com> <79E819D5-C98F-421A-B118-AE2C9910564F@lignedefuite.fr> <4A2F6461.2030409@kezia.com> Message-ID: <4A2F68EB.2050008@kezia.com> C'est ce genre de document auquel je pensais : http://www.linux-france.org/article/serveur/netbios/ -- *Fabien COMBERNOUS* /unix system engineer/ www.kezia.com *Tel: +33 (0) 467 992 986* Kezia Group From bertrand.chatain at zmirov.com Wed Jun 10 12:25:25 2009 From: bertrand.chatain at zmirov.com (Bertrand Chatain) Date: Wed Jun 10 12:25:02 2009 Subject: [Admin-ml] Imprimante bonjour qui reste In-Reply-To: <4A2F68EB.2050008@kezia.com> References: <213D5F69-7D34-4DD5-83C2-11BD44586EA9@free.fr> <4A2E3D04.5070205@kezia.com> <79E819D5-C98F-421A-B118-AE2C9910564F@lignedefuite.fr> <4A2F6461.2030409@kezia.com> <4A2F68EB.2050008@kezia.com> Message-ID: Bonjour Suite à la panne de l'imprimante principale, j'ai créé une queue d'impression sur le serveur pour une machine de secours et j'aimerais faire disparaître toute référence à cette machine savez vous si il y a un cache bonjour à nettoyer quelque part ? Poste en compte mobile géré par le serveur dont imprimante Merci de votre aide -- Bertrand Chatain From francis at alphamosa.fr Wed Jun 10 15:20:18 2009 From: francis at alphamosa.fr (Francis Lebourq) Date: Wed Jun 10 15:19:49 2009 Subject: [Admin-ml] Solutions VPNs In-Reply-To: References: <08A444E8-18E8-4A9F-8C73-B548C1B87709@irtsnpdc.fr> <44DB204D-9D17-41DE-9D6B-0880496772AC@irtsnpdc.fr> Message-ID: <101523D3-7D31-4A83-80C7-CCF42026B3F2@alphamosa.fr> Le 10 juin 09 à 09:59, Jean-Luc Bailloeul a écrit : > > Le 9 juin 09 à 10:33, LEBOURQ Francis a écrit : > >> Bonjour à tous >> >> Comme la demande initial se trouve dans le Pas de Calais, il est >> possible de demander une étude de faisabilité à SANEF Télécom. >> >> Ils sont hyper pro (le moindre reboot de routeur pour mise à jour, >> vous êtes prévenu au moins 48h à l'avance), leur réseau est >> majoritairement en fibre et si ils ne peuvent pas vous apporter de >> solution fiable, ils vous le diront (expérience vécue). >> Les GTR sont tenues et le centre de supervision est joignable en >> 24/24 - 7/7 >> J'utilise leur service depuis plus de 4 ans sur des liaisons entre >> nos datacenters et cela se passe très bien. > Je n'avais jamais pensé à la SANEF, pour ce genre de services, mais > pourquoi pas. > Au niveau tarif, ils sont compétitifs ? Ils ont une très bon rapport qualité de service, qualité de support / prix mais ce ne sont pas des solutions "low-cost". En clair, si ils peuvent déployer une solution, ils le feront au juste prix mais ne sacrifieront pas la qualité du résultat pour atteindre un prix "au ras des pâquerettes". Toute qualité a un coût (matériel, humain,...). Pour la petite histoire, la plus longue coupure depuis plus de 4 ans a été de 20 minutes dans le cas d'une très grosse opération de maintenance planifiée sur une infrastructure électrique, opération réalisée entre 1h et 3h du matin et ayant mobilisé plus de 60 personnes (je le sais j'y étais... ;o) >> >> Pour plus d'informations ou savoir qui contacter, merci de me passer un email en privé Bonne journée Francis -- "Il y a sept étapes dans la réalisation d'un projet : l'ignorance, l'indifférence, l'enthousiasme, la panique, la recherche des coupables, la punition des innocents et la promotion des non participants..." - Jean-Louis Gassée - _____________________________________________________________________ Francis LEBOURQ Directeur Technique ALPHA MOSA eMail :Francis@alphamosa.fr 14, bis rue Howard Houston Expert Apple 51170 ARCIS LE PONSART - France Tel : 03 26 48 17 56 Fax : 03 26 48 10 87 _____________________________________________________________________ From patrick.proniewski at univ-lyon2.fr Wed Jun 10 15:53:12 2009 From: patrick.proniewski at univ-lyon2.fr (Proniewski Patrick) Date: Wed Jun 10 15:52:47 2009 Subject: [Admin-ml] probleme syslogd Message-ID: <893EE2A0-58F3-4C98-8921-E9041A432EA4@univ-lyon2.fr> Bonjour, J'ai un serveur (toujours mon gros serveur de mails), sur lequel tournent : - amavisd lancé par launchd - clamd/freshclam lancés par launchd - postgrey lancé pas StartUpItem - postfix lancé par launchd - rbldnsd lancé par launchd J'ai dans syslog.conf : *.notice ;authpriv ,remoteauth ,ftp ,install .none;kern.debug;mail.crit;local3.none;local4.none;local5.none /var/ log/system.log mail.* /var/log/mail-mx.log local3.* /private/var/log/amavis/freshclam.log local4.* /private/var/log/amavis/clamd.log local5.* /private/var/log/amavis/amavisd.log Néanmoins, mon system.log se rempli des warning de postfix, des SelfCheck de clamd, et surtout de la totalité des logs de postgrey (ce qui fait doublon avec le log mail-mx.log qui reçoit déjà la sortie de postgrey). Est ce que j'ai raté un truc ? Patrick PRONIEWSKI -- Administrateur Système - SENTIER - Université Lumière Lyon 2 From bdgus at free.fr Wed Jun 10 16:33:21 2009 From: bdgus at free.fr (bdgus imap) Date: Wed Jun 10 16:33:04 2009 Subject: [Admin-ml] Time machine In-Reply-To: <25A40BC7-1B84-4670-8DC0-310C9F2C1EEC@free.fr> References: <3644A685-CA80-4423-9974-B7C47D50C847@free.fr> <25A40BC7-1B84-4670-8DC0-310C9F2C1EEC@free.fr> Message-ID: <58F97129-40FE-4ACF-AEA7-C50C3EBBF255@free.fr> Bonjour, J'ai un xserve quad core sur lequel est branché un terra en firewire. Sur ce DD, je fais une sauvegarde du serveur (c'est pas la seule), et j'ai partagé ce terra pour la sauvegarde des mac en réseau. Je n'ai pas d'écran sur le xserve. plusieurs fois j'ai essayé de restaurer un fichier sur le serveur en utilisant remote desktop. Je n'ai que la moitié de l'interface de time machine du serveur a travers remote desktop : c'est a dire que je n'ai pas le fond d'écran, les barre a droite de temps et les icônes annuler et restaurer. MAIS ELLES FONCTIONNENT. si j'appuie la ou devrait se trouver la barre de temps la fenêtre remonte le temps, si j'annule ou restaure ça marche. sauf que je suis en aveugle !!! je suis le seul ? ou il y a une solution ? Didier Bertrand From patrick.proniewski at univ-lyon2.fr Wed Jun 10 16:43:09 2009 From: patrick.proniewski at univ-lyon2.fr (Proniewski Patrick) Date: Wed Jun 10 16:42:39 2009 Subject: [Admin-ml] Time machine In-Reply-To: <58F97129-40FE-4ACF-AEA7-C50C3EBBF255@free.fr> References: <3644A685-CA80-4423-9974-B7C47D50C847@free.fr> <25A40BC7-1B84-4670-8DC0-310C9F2C1EEC@free.fr> <58F97129-40FE-4ACF-AEA7-C50C3EBBF255@free.fr> Message-ID: On 10 juin 09, at 16:33, bdgus imap wrote: > Je n'ai que la moitié de l'interface de time machine du serveur a > travers remote desktop : c'est a dire que je n'ai pas le fond > d'écran, les barre a droite de temps et les icônes annuler et > restaurer. MAIS ELLES FONCTIONNENT. si j'appuie la ou devrait se > trouver la barre de temps la fenêtre remonte le temps, si j'annule > ou restaure ça marche. sauf que je suis en aveugle !!! > > je suis le seul ? ou il y a une solution ? Je ne sais pas si tu es le seul dans ce cas, mais il y a des trucs très très cons dans le window manager de Mac OS X, et quoi qu'en dise Apple, c'est pas complètement au point pour fonctionner sans écran. Sur mes XServes, sous certaines versions de Mac OS X Server, je ne peux pas changer le fond d'écran si j'ai pas un écran branché sur la machine. Et si je change le fond d'écran et que je débranche l'écran, dans ARD je me retrouve à nouveau avec le fond par défaut, si je rebranche l'écran, mon fond d'écran personnalisé revient? Patrick PRONIEWSKI -- Administrateur Système - SENTIER - Université Lumière Lyon 2 From jean-thomas.munier at medecine.uhp-nancy.fr Wed Jun 10 17:07:55 2009 From: jean-thomas.munier at medecine.uhp-nancy.fr (Jean-Thomas MUNIER) Date: Wed Jun 10 17:07:47 2009 Subject: [Admin-ml] Time machine In-Reply-To: References: <3644A685-CA80-4423-9974-B7C47D50C847@free.fr> <25A40BC7-1B84-4670-8DC0-310C9F2C1EEC@free.fr> <58F97129-40FE-4ACF-AEA7-C50C3EBBF255@free.fr> Message-ID: <2B335521-D6CF-469D-9940-896266A1474A@medecine.uhp-nancy.fr> Bonjour, Le problème est reproductible sur nos Xserves G5 sans GPU en 10.5.7 au travers d' ARD. Je sais ça aide pas vraiment mais on se sent moins seul.... Cordialement, Jean-Thomas MUNIER E-Mail: jean-thomas.munier@medecine.uhp-nancy.fr Téléphone: 03.83.68.30.66 SIRET -- FACULTE DE MEDECINE UHP -- NANCY UNIVERSITE E-Mail: siret@medecine.uhp-nancy.fr Téléphone: 03.83.68.30.60 Le 10 juin 09 à 16:43, Proniewski Patrick a écrit : > On 10 juin 09, at 16:33, bdgus imap wrote: > >> Je n'ai que la moitié de l'interface de time machine du serveur a >> travers remote desktop : c'est a dire que je n'ai pas le fond >> d'écran, les barre a droite de temps et les icônes annuler et >> restaurer. MAIS ELLES FONCTIONNENT. si j'appuie la ou devrait se >> trouver la barre de temps la fenêtre remonte le temps, si j'annule >> ou restaure ça marche. sauf que je suis en aveugle !!! >> >> je suis le seul ? ou il y a une solution ? > > > Je ne sais pas si tu es le seul dans ce cas, mais il y a des trucs > très très cons dans le window manager de Mac OS X, et quoi qu'en > dise Apple, c'est pas complètement au point pour fonctionner sans > écran. > Sur mes XServes, sous certaines versions de Mac OS X Server, je ne > peux pas changer le fond d'écran si j'ai pas un écran branché sur la > machine. Et si je change le fond d'écran et que je débranche > l'écran, dans ARD je me retrouve à nouveau avec le fond par défaut, > si je rebranche l'écran, mon fond d'écran personnalisé revient? > > Patrick PRONIEWSKI > -- > Administrateur Système - SENTIER - Université Lumière Lyon 2 > > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml From gohu35 at live.fr Wed Jun 10 17:19:34 2009 From: gohu35 at live.fr (Hugo Letemplier) Date: Wed Jun 10 17:19:01 2009 Subject: [Admin-ml] Time machine In-Reply-To: <2B335521-D6CF-469D-9940-896266A1474A@medecine.uhp-nancy.fr> References: <3644A685-CA80-4423-9974-B7C47D50C847@free.fr> <25A40BC7-1B84-4670-8DC0-310C9F2C1EEC@free.fr> <58F97129-40FE-4ACF-AEA7-C50C3EBBF255@free.fr> <2B335521-D6CF-469D-9940-896266A1474A@medecine.uhp-nancy.fr> Message-ID: Bonjour, J'ai eu des problèmes récemment avec time machine, je ne te conseilles pas spécialement pour la sauvegarde d'un serveur (Ca n'a rien a voir avec ARD). Lors d'une restauration il n'a pas rétabli toutes les autorisation pour mes services ce qui m'a posé pas mal de soucis entre DNS DHCP MAIL et WEB. Du coup il m'a fallu rétribuer tous les répertoires de conf et de log a la main à grand coup de chown et chmod car n'y ayant pas accès les services refusaient de se lancer. Depuis j'ai abandonné time machine et j'utilise CCC. Sinon pas de solutions pour ton interface dsl. A+ Le 10 juin 09 à 16:07, Jean-Thomas MUNIER a écrit : > Bonjour, > > Le problème est reproductible sur nos Xserves G5 sans GPU en 10.5.7 > au travers d' ARD. > Je sais ça aide pas vraiment mais on se sent moins seul.... > > Cordialement, > > Jean-Thomas MUNIER > E-Mail: jean-thomas.munier@medecine.uhp-nancy.fr > Téléphone: 03.83.68.30.66 > > SIRET -- FACULTE DE MEDECINE > UHP -- NANCY UNIVERSITE > E-Mail: siret@medecine.uhp-nancy.fr > Téléphone: 03.83.68.30.60 > > Le 10 juin 09 à 16:43, Proniewski Patrick a écrit : > >> On 10 juin 09, at 16:33, bdgus imap wrote: >> >>> Je n'ai que la moitié de l'interface de time machine du serveur a >>> travers remote desktop : c'est a dire que je n'ai pas le fond >>> d'écran, les barre a droite de temps et les icônes annuler et >>> restaurer. MAIS ELLES FONCTIONNENT. si j'appuie la ou devrait se >>> trouver la barre de temps la fenêtre remonte le temps, si j'annule >>> ou restaure ça marche. sauf que je suis en aveugle !!! >>> >>> je suis le seul ? ou il y a une solution ? >> >> >> Je ne sais pas si tu es le seul dans ce cas, mais il y a des trucs >> très très cons dans le window manager de Mac OS X, et quoi qu'en >> dise Apple, c'est pas complètement au point pour fonctionner sans >> écran. >> Sur mes XServes, sous certaines versions de Mac OS X Server, je ne >> peux pas changer le fond d'écran si j'ai pas un écran branché sur >> la machine. Et si je change le fond d'écran et que je débranche >> l'écran, dans ARD je me retrouve à nouveau avec le fond par défaut, >> si je rebranche l'écran, mon fond d'écran personnalisé revient? >> >> Patrick PRONIEWSKI >> -- >> Administrateur Système - SENTIER - Université Lumière Lyon 2 >> >> _______________________________________________ >> Admin-ml mailing list >> Admin-ml@mosx.org >> http://coruscant.mosx.org/mailman/listinfo/admin-ml > > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml From jlbailloeul at irtsnpdc.fr Wed Jun 10 18:21:06 2009 From: jlbailloeul at irtsnpdc.fr (Jean-Luc Bailloeul) Date: Wed Jun 10 18:20:54 2009 Subject: [Admin-ml] wgm et identification In-Reply-To: References: <4A165577.3090901@kezia.com> Message-ID: <61AA69DF-1AA3-4FEA-89C4-9FD7EE0965F4@irtsnpdc.fr> Le 22 mai 09 à 13:50, Laurent PERTOIS a écrit : > Mmmm, pourtant tu es abonné à la ML Mac OS X Server d'Apple, tu > devrais être habitué aux longs fil de discussion. Bon, à la > différence, ici on ne se tape pas dessus et on ne se traîte pas de > divers noms d'oiseaux, il est vrai. Ah et puis personne ne peut > prétendre au rôle éminent de "Dan Shoop" local. Je viens d'avoir affaire à ce fameux Dan Shoop, que je n'avais jamais eu le plaisir de cotoyer. > Ah mais Laurent ... Commence pas la polémique ! ;-) > Ceci-ci dit, le ton sec et pédant de Dan n'existe pas dans notre belle > langue... en effet, j'étais prévenu? From bdgus at free.fr Wed Jun 10 18:27:35 2009 From: bdgus at free.fr (bdgus imap) Date: Wed Jun 10 18:27:11 2009 Subject: [Admin-ml] Time machine In-Reply-To: References: <3644A685-CA80-4423-9974-B7C47D50C847@free.fr> <25A40BC7-1B84-4670-8DC0-310C9F2C1EEC@free.fr> <58F97129-40FE-4ACF-AEA7-C50C3EBBF255@free.fr> <2B335521-D6CF-469D-9940-896266A1474A@medecine.uhp-nancy.fr> Message-ID: Le 10 juin 09 à 17:19, Hugo Letemplier a écrit : > Bonjour, > J'ai eu des problèmes récemment avec time machine, je ne te > conseilles pas spécialement pour la sauvegarde d'un serveur (Ca n'a > rien a voir avec ARD). > Lors d'une restauration il n'a pas rétabli toutes les autorisation > pour mes services ce qui m'a posé pas mal de soucis entre DNS DHCP > MAIL et WEB. Du coup il m'a fallu rétribuer tous les répertoires de > conf et de log a la main à grand coup de chown et chmod car n'y > ayant pas accès les services refusaient de se lancer. > Depuis j'ai abandonné time machine et j'utilise CCC. > Sinon pas de solutions pour ton interface dsl. > A+ En fait j'utilise time machine surtout pour récupérer rapidement un fichier sur un partage suite a une fausse d'un utilisateur. Mais j'utilise CCC chaque nuit a pour une sauvegarde a distance. > > Le 10 juin 09 à 16:07, Jean-Thomas MUNIER a écrit : > >> Bonjour, >> >> Le problème est reproductible sur nos Xserves G5 sans GPU en 10.5.7 >> au travers d' ARD. >> Je sais ça aide pas vraiment mais on se sent moins seul.... >> Merci :-) Didier Bertrand From jlbailloeul at irtsnpdc.fr Wed Jun 10 19:06:41 2009 From: jlbailloeul at irtsnpdc.fr (Jean-Luc Bailloeul) Date: Wed Jun 10 19:06:20 2009 Subject: [Admin-ml] probleme syslogd In-Reply-To: <893EE2A0-58F3-4C98-8921-E9041A432EA4@univ-lyon2.fr> References: <893EE2A0-58F3-4C98-8921-E9041A432EA4@univ-lyon2.fr> Message-ID: <6D54F524-50B6-4EF3-8264-89ED4D03EC18@irtsnpdc.fr> Bonjour Patrick, Tu n'as rien modifié dans ta conf d'amavisd, notamment dans la section (logging) ? Je sais que pour mailgraph, j'avais modifié certaines valeurs, et que comme toi, j'ai depuis les warnings de postfix dans system.log (par contre rien de clamd ou de postgrey). C'est peut être sans rapport, mais sait-on jamais? (ne m'insultes pas si ma proposition est hors sujet, j'ai déjà eu mon compte aujourd'hui avec Dan Shoop :-) ). Cdt, Jean-Luc Le 10 juin 09 à 15:53, Proniewski Patrick a écrit : > Bonjour, > > J'ai un serveur (toujours mon gros serveur de mails), sur lequel > tournent : > - amavisd lancé par launchd > - clamd/freshclam lancés par launchd > - postgrey lancé pas StartUpItem > - postfix lancé par launchd > - rbldnsd lancé par launchd > > J'ai dans syslog.conf : > > *.notice > ;authpriv > ,remoteauth > ,ftp > ,install > .none;kern.debug;mail.crit;local3.none;local4.none;local5.none /var/ > log/system.log > mail.* /var/log/mail-mx.log > local3.* /private/var/log/amavis/freshclam.log > local4.* /private/var/log/amavis/clamd.log > local5.* /private/var/log/amavis/amavisd.log > > Néanmoins, mon system.log se rempli des warning de postfix, des > SelfCheck de clamd, et surtout de la totalité des logs de postgrey > (ce qui fait doublon avec le log mail-mx.log qui reçoit déjà la > sortie de postgrey). > > Est ce que j'ai raté un truc ? > > Patrick PRONIEWSKI > -- > Administrateur Système - SENTIER - Université Lumière Lyon 2 > > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml > From plm at teledetection.fr Wed Jun 10 20:24:22 2009 From: plm at teledetection.fr (Malard Pierre) Date: Wed Jun 10 20:48:10 2009 Subject: [Admin-ml] Mac Os server + client mac et ldap In-Reply-To: <685c9f270905050358w6b2fe587wf718a9229564061f@mail.gmail.com> References: <685c9f270902040908k621f48d5ydd4457603dd58906@mail.gmail.com> <685c9f270902040926x7b2cb31jedbfe93577c8214a@mail.gmail.com> <221A0CEE-4232-4D27-9181-8426D4BF2D91@irtsnpdc.fr> <498AB672.3040800@ens-louis-lumiere.fr> <685c9f270902050330r73a7438djdc44975ba1ad004b@mail.gmail.com> <498AE26F.5030002@ens-louis-lumiere.fr> <685c9f270902050511w4855d0bei3c80a4dd463d5cae@mail.gmail.com> <498AEA78.1090201@ens-louis-lumiere.fr> <685c9f270905050358w6b2fe587wf718a9229564061f@mail.gmail.com> Message-ID: <209486DB-A24D-4FC8-B25F-18F9669C5C50@teledetection.fr> Bonjour, J'ai beaucoup "salivé" en trouvant votre contribution. Ca fait déjà longtemps que j'essaie d'intégrer mes Mac dans notre réseau LDAP Debian... Par contre, je ne comprend pas bien certains détails que vous fournissez. d'où mon mail. Le 5 mai 09 à 12:58, frederic ollivier a écrit : > Je réédite ce vieux thread pour dire que le résultat est positif :) > > Je rappelle mon environnement : > > 1 Serveur Sambaedu ( Linux debian Etch avec les services Samba et > LDAP) > 1 Serveur Mac Os X avec 2 gros disques pour mes éléves d'Arts > Appliqués > 22 Client Mac OS X. > > Après réinstallation du serveur en Léopard suite à mes bévues > précédentes, je me suis réattelé au problème de connexion à mon > serveur OpenLDAP. > > Et maintenant, tout fonctionne. > > Le serveur LDAP (d'authentification) est mon linux avec les > adaptations faites par Olivier Lecluse en l'adaptant à mon > environnement : > http://wwdeb.crdp.ac-caen.fr/mediase3/index.php/Int%C3%A9gration_de_clients_OSX_sur_SambaEdu3_(Olivier_L%C3%A9cluse) > ou : http://minilien.com/?VmoTa5qHjE > > Par contre j'ai modifié le script fourni sur cette page en mettant le > chemin vers mon serveur Apple : > apple-user-homeDirectory: > /Network/Servers/nom-dns-serveur/Volumes/home-mirroring/Users/nom- > utilisateur > > apple-user-homeurl:: > afp://nom-dns-serveur/Usersnom- > utilisateur C'est là que je ne comprends pas ! 1- première interrogation : Lorsque je lis la doc du CRDP, ça expose une connexion des utilisateurs via un montage Samba par le protocole "smb". Or vous indiquez une URL en "afp" ? 2- je ne comprend pas le champs "apple-user-homeDirectory" que vous donnez. Si je le décompose, voila ce que je comprends : /Network/Servers : OK, c'est le répertoire automount de Mac OS X nom-dns-serveur : je suppose que c'est le serveur de home directory /Volumes/home-mirroring/Users : mais où est-ce défini et à quoi ça correspond ? nom-utilisateur : OK 3- je ne comprend pas le champs "apple-user-homeurl" non plus. D'où vient le "Users" dans l'expression "afp://nom-dns-serveur/Users" ? > et j'ai aussi configuré l' ou=mounts du serveur LDAP > > comme décris dans http://www.emmes-world.de/mac-afp-homes.html Avec la définition de "NetUsers" donnée ? Voici ma configuration : Serveur de home : ServeurH l'autohome est défini sur notre serveur LDAP pour indiquer les /home/ toto sur différents répertoires en fonction des labos. Ce, à la mode "autofs" Linux avec un "ou=auto.master" et des "ou=auto.home" pour chaque utilisateurs. Ca ne devrait pas influé puisqu'on utilise pas les mêmes champs LDAP, ni les mêmes classes. J'ai installé "netatalk" sur notre serveur Etch recompilé avec l'option "ssl" et en activant "uams_dhx.so" pour que Leopard puisse se connecter par AFP. J'ai défini le montage des homedirs dans "AppleVolumes.default " comme suit : ~/ NetUsers Si je me connecte depuis mon Mac sous Leopard sur l'URL afp://toto:@ServeurH/NetUsers ou afp://toto:@ServeurH/NetUsers/toto Tout marche bien, le montage est effectivement fait sur la homedir de l'utilisateur "toto". Je configure mon LDAP pour toto avec les lignes indiquée dans la doc allemande avec ceci : apple-user-homeDirectory: /Network/Servers/ServeurH/NetUsers/toto apple-user-homeurl: afp://ServeurH/NetUserstoto J'ai modifié mon utilitaire d'annuaire sur mon Mac comme indiqué dans la doc du CRDP, activé mon serveur LDAP pour l'authentification. Tout ça me paraît cohérent. Mais voici de que donne une tentative de connexion par "ssh" : piotr@mon_Mac:~$ ssh toto@localhost Password: Last login: Wed Jun 10 20:14:44 2009 from localhost Could not chdir to home directory /Network/Servers/ServeurH/NetUsers/ toto: Unknown error: 118 2009-06-10 20:15:35.249 defaults[3937:807] Could not write domain .GlobalPreferences; exiting Qu'est-ce que cette erreur 118 ? Qu'est-ce que je n'ai pas compris ? Cordialement ---- «C'est bien plus beau lorsque c'est inutile» E Rostand - "Cyrano de Bergerac" |\ _,,,---,,_ /,`.-'`' -. ;-;;,_ |,4- ) )-,_. ,\ ( `'-' '---''(_/--' `-'\_) -------------- section suivante -------------- perl -e '$_=q#: 3|\ 5-,3-3,2-: 3/,`.'"'"'`'"'"' 5-. ;-;;,-: |,A- ) )-,_. ,\ ( `'"'"'-'"'"': '"'"'-3'"'"'2(-/--'"'"' `-'"'"'\-): 22PLM::#;y#:#\n#;s#(\D)(\d+)#$1x$2#ge;print' PGP public key : http://keyserver1.pgp.com/ - --> Ce message n?engage que son auteur <-- From jayce at mosx.org Wed Jun 10 21:03:36 2009 From: jayce at mosx.org (Piel Jayce) Date: Wed Jun 10 21:03:12 2009 Subject: [Admin-ml] Time machine In-Reply-To: References: <3644A685-CA80-4423-9974-B7C47D50C847@free.fr> <25A40BC7-1B84-4670-8DC0-310C9F2C1EEC@free.fr> <58F97129-40FE-4ACF-AEA7-C50C3EBBF255@free.fr> Message-ID: <805AD578-3A4C-42D3-BA24-F779A539BF50@mosx.org> Le 10 juin 09 à 16:43, Proniewski Patrick a écrit : > On 10 juin 09, at 16:33, bdgus imap wrote: > >> Je n'ai que la moitié de l'interface de time machine du serveur a >> travers remote desktop : c'est a dire que je n'ai pas le fond >> d'écran, les barre a droite de temps et les icônes annuler et >> restaurer. MAIS ELLES FONCTIONNENT. si j'appuie la ou devrait se >> trouver la barre de temps la fenêtre remonte le temps, si j'annule >> ou restaure ça marche. sauf que je suis en aveugle !!! >> >> je suis le seul ? ou il y a une solution ? > > > Je ne sais pas si tu es le seul dans ce cas, mais il y a des trucs > très très cons dans le window manager de Mac OS X, et quoi qu'en > dise Apple, c'est pas complètement au point pour fonctionner sans > écran. > Sur mes XServes, sous certaines versions de Mac OS X Server, je ne > peux pas changer le fond d'écran si j'ai pas un écran branché sur la > machine. Et si je change le fond d'écran et que je débranche > l'écran, dans ARD je me retrouve à nouveau avec le fond par défaut, > si je rebranche l'écran, mon fond d'écran personnalisé revient? Perso, sur mes machines sans écrans (ici, 2 mac minis, les autres serveurs sont reliés à un KVM), j'ai branché un "prolongateur" DVI ou un adaptateur DVI/VGA et je n'ai aucun problème... -- Piel Jayce jayce@mosx.org From frederic.ollivier at gmail.com Wed Jun 10 21:19:10 2009 From: frederic.ollivier at gmail.com (frederic ollivier) Date: Wed Jun 10 21:25:06 2009 Subject: [Admin-ml] Mac Os server + client mac et ldap In-Reply-To: <209486DB-A24D-4FC8-B25F-18F9669C5C50@teledetection.fr> References: <685c9f270902040908k621f48d5ydd4457603dd58906@mail.gmail.com> <685c9f270902040926x7b2cb31jedbfe93577c8214a@mail.gmail.com> <221A0CEE-4232-4D27-9181-8426D4BF2D91@irtsnpdc.fr> <498AB672.3040800@ens-louis-lumiere.fr> <685c9f270902050330r73a7438djdc44975ba1ad004b@mail.gmail.com> <498AE26F.5030002@ens-louis-lumiere.fr> <685c9f270902050511w4855d0bei3c80a4dd463d5cae@mail.gmail.com> <498AEA78.1090201@ens-louis-lumiere.fr> <685c9f270905050358w6b2fe587wf718a9229564061f@mail.gmail.com> <209486DB-A24D-4FC8-B25F-18F9669C5C50@teledetection.fr> Message-ID: <685c9f270906101219p5ff1fc8cm41f1e8643901da49@mail.gmail.com> 2009/6/10 Malard Pierre : > Bonjour, > > J'ai beaucoup "salivé" en trouvant votre contribution. Ca fait déjà > longtemps que j'essaie d'intégrer mes Mac dans notre réseau LDAP Debian... > > Par contre, je ne comprend pas bien certains détails que vous fournissez. > d'où mon mail. OK > > Le 5 mai 09 à 12:58, frederic ollivier a écrit : >> >> Je réédite ce vieux thread pour dire que le résultat est positif :) >> >> Par contre j'ai modifié le script fourni sur cette page en mettant le >> chemin vers mon serveur Apple : >> apple-user-homeDirectory: >> >> /Network/Servers/nom-dns-serveur/Volumes/home-mirroring/Users/nom-utilisateur >> >> apple-user-homeurl:: >> >> afp://nom-dns-serveur/Usersnom-utilisateur > > C'est là que je ne comprends pas ! > 1- première interrogation : > Lorsque je lis la doc du CRDP, ça expose une connexion des utilisateurs via > un montage Samba par le protocole "smb". Or vous indiquez une URL en "afp" ? oui , au CRDP il utilise le meme serveur pour l authentification et le stockage de fichier, il n'install pas AFP, il utilise le service SAMBA qui est d'origine installé sur les serveurs Sambaedu (d'ou leurs noms :) ) Moi , l'authentification est réalisé par le serveur debian SambaEdu MAIS le stockage des fichiers MAC sont sur mon autre serveur un MAC OS X server, qui lui a AFP. > > 2- je ne comprend pas le champs "apple-user-homeDirectory" que vous donnez. > Si je le décompose, voila ce que je comprends : >        /Network/Servers : OK, c'est le répertoire automount de Mac OS X >        nom-dns-serveur  : je suppose que c'est le serveur de home directory >        /Volumes/home-mirroring/Users : >                mais où est-ce défini et à quoi ça correspond ? excuse ca vient de ma config, normalement c'est /Users dans une install classique. >        nom-utilisateur  : OK > > 3- je ne comprend pas le champs "apple-user-homeurl" non plus. > D'où vient le "Users" dans l'expression "afp://nom-dns-serveur/Users" ? J ai partagé mon repertoire /Users sur mon serveur MAC Os avec le nom Users > >> et j'ai aussi configuré l' ou=mounts du serveur LDAP >> >> comme décris dans http://www.emmes-world.de/mac-afp-homes.html > > Avec la définition de "NetUsers" donnée ? > > Voici ma configuration : > Serveur de home : ServeurH > l'autohome est défini sur notre serveur LDAP pour indiquer les /home/toto > sur différents répertoires en fonction des labos. Ce, à la mode "autofs" > Linux avec un "ou=auto.master" et des "ou=auto.home" pour chaque > utilisateurs. Ca ne devrait pas influé puisqu'on utilise pas les mêmes > champs LDAP, ni les mêmes classes. > J'ai installé "netatalk" sur notre serveur Etch recompilé avec l'option > "ssl" et en activant "uams_dhx.so" pour que Leopard puisse se connecter par > AFP. J'ai défini le montage des homedirs dans "AppleVolumes.default " comme > suit : >        ~/      NetUsers > > Si je me connecte depuis mon Mac sous Leopard sur l'URL >        afp://toto:@ServeurH/NetUsers > ou >        afp://toto:@ServeurH/NetUsers/toto > > Tout marche bien, le montage est effectivement fait sur la homedir de > l'utilisateur "toto". > > Je configure mon LDAP pour toto avec les lignes indiquée dans la doc > allemande avec ceci : >    apple-user-homeDirectory: /Network/Servers/ServeurH/NetUsers/toto >    apple-user-homeurl: > afp://ServeurH/NetUserstoto > > J'ai modifié mon utilitaire d'annuaire sur mon Mac comme indiqué dans la doc > du CRDP, activé mon serveur LDAP pour l'authentification. Tout ça me paraît > cohérent. Mais voici de que donne une tentative de connexion par "ssh" : > SSH ?? que font tes clients MAC si tu te connecte dessus avec la boite de connexion Classique ??? > piotr@mon_Mac:~$ ssh toto@localhost > Password: > Last login: Wed Jun 10 20:14:44 2009 from localhost > Could not chdir to home directory /Network/Servers/ServeurH/NetUsers/toto: > Unknown error: 118 > 2009-06-10 20:15:35.249 defaults[3937:807] Could not write domain > .GlobalPreferences; exiting > > Qu'est-ce que cette erreur 118 ? > Qu'est-ce que je n'ai pas compris ? > -- Frédéric Ollivier Lycée Marie Curie § Région Rhône-Alpes Avenue 8 mai 1945 - 38435 Echirolles §§§ GPG Key §§§ 036D 9284 EC49 A57E 469D 4197 51D9 86E6 6461 8CC0 From jlbailloeul at irtsnpdc.fr Wed Jun 10 21:37:08 2009 From: jlbailloeul at irtsnpdc.fr (Jean-Luc Bailloeul) Date: Wed Jun 10 21:37:22 2009 Subject: [Admin-ml] Quand Kerby contrarie AFP... In-Reply-To: References: Message-ID: Bonsoir Fabrice, Tu as trouvé une solution à ton problème ? le post suivi sur la liste Apple n'a rien révélé de nouveau. Voici ce qu'il en dit : > Jim McIntyre wrote: > > I'm having some trouble understanding a permissions issue: AFP > group permissions aren't working as expected when I log in to the > server using Kerberos. > > I created a new share point that resides on a volume with ACLs > enabled. Using the standard permissions inspector in WGM I gave a > group named "serveradministrators" read & write access to the share > point. I also created an ACL entry for the folder corresponding to > the share point, and gave the same group full control. No > permissions are granted for any other groups or users except for the > folder's owner (an admin account on the server). > > When I connect to the server as myself from my workstation (also > running 10.4.11), the workstation first asks me to authenticate > using Kerberos. If I do that, I can choose to mount the share point, > but I'm denied access to opening it after it mounts. The Finder > presents a dialog saying "The folder '[name]' could not be opened > because you do not have sufficient access privileges." The share > point appears on my desktop as a folder with a red circle/minus sign. > > If, however, I cancel the Kerberos login and log in using the > standard Finder dialog, I am able to mount and use the share point > as intended. > > One person who responded directly mentioned some other folks had the > same issue... > > I was able to fix the problem by deleting the shared folder on the > server, creating a new folder, designating it a share point, and > applying the desired permissions. I'm not sure why it worked, but it > did. > > Thanks, > -Jim Le 8 juin 09 à 17:22, Fabrice Vincent a écrit : > Bonjour à tous, > > Voici un petit casse tête pour ceux qui savent dompter kerberos: > > J'ai déplacé un partage d'un disque vers un autre sur notre serveur de > fichier principal (10.4.11 serveur). Pour ce faire j'ai désactivé le > partage > dans AFP et SMB, puis déplacé les données, éjecter le disque source > de la > copie, et recréer un partage identique en référençant le nouvel > emplacement. > > Depuis, lorsqu'on s'authentifie par kerberos pour un accès AFP > depuis un OSX > client (10.4.11 ou 10.5.6/7), le montage se fait normalement mais > l'accès > aux dossiers à accès restreint est refusé (un zoli sens interdit > dans le > finder !). > On ne peut parcourir que les dossiers publiquement accessible. > Par contre, les autres partage du même serveur marche normallement, > même > avec kerberos. Seul le partage qui a été déplacé merde. > Si on évite l'authentification kerberos tout marche normalement... > Reboot client et serveur n'y change rien. > > Faut rekerberiser le partage ??? > Je croyait que c'était les services, par exemple AFP, qui étaient > kerbérisés > dans leur ensemble, par pour chaque objet publié. Me goure je ? > > Comment que je fais pour retrouver un comportement normal ??? > Un petit conseil serait bien apprécié... > > A+ > Fabrice > > > > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml > From patrick.proniewski at univ-lyon2.fr Wed Jun 10 21:49:03 2009 From: patrick.proniewski at univ-lyon2.fr (Proniewski Patrick) Date: Wed Jun 10 21:48:34 2009 Subject: [Admin-ml] Time machine In-Reply-To: <805AD578-3A4C-42D3-BA24-F779A539BF50@mosx.org> References: <3644A685-CA80-4423-9974-B7C47D50C847@free.fr> <25A40BC7-1B84-4670-8DC0-310C9F2C1EEC@free.fr> <58F97129-40FE-4ACF-AEA7-C50C3EBBF255@free.fr> <805AD578-3A4C-42D3-BA24-F779A539BF50@mosx.org> Message-ID: <7E5A0C5C-4906-4CB8-BE7D-9F18BFEA0277@univ-lyon2.fr> On 10 juin 09, at 21:03, Piel Jayce wrote: > Perso, sur mes machines sans écrans (ici, 2 mac minis, les autres > serveurs sont reliés à un KVM), j'ai branché un "prolongateur" DVI > ou un adaptateur DVI/VGA et je n'ai aucun problème... oui, en général ça suffit :) Patrick PRONIEWSKI -- Administrateur Système - SENTIER - Université Lumière Lyon 2 From plm at teledetection.fr Wed Jun 10 22:41:16 2009 From: plm at teledetection.fr (Malard Pierre) Date: Wed Jun 10 22:40:57 2009 Subject: [Admin-ml] Time machine In-Reply-To: References: <3644A685-CA80-4423-9974-B7C47D50C847@free.fr> <25A40BC7-1B84-4670-8DC0-310C9F2C1EEC@free.fr> <58F97129-40FE-4ACF-AEA7-C50C3EBBF255@free.fr> Message-ID: <66B8A725-EBAF-49CA-9193-B79BF83E4AE3@teledetection.fr> Le 10 juin 09 à 16:43, Proniewski Patrick a écrit : > On 10 juin 09, at 16:33, bdgus imap wrote: > Je n'ai que la moitié de l'interface de time machine du serveur a > travers remote desktop : c'est a dire que je n'ai pas le fond > d'écran, les barre a droite de temps et les icônes annuler et > restaurer. MAIS ELLES FONCTIONNENT. si j'appuie la ou devrait se > trouver la barre de temps la fenêtre remonte le temps, si j'annule > ou restaure ça marche. sauf que je suis en aveugle !!! >> >> je suis le seul ? ou il y a une solution ? > > > Je ne sais pas si tu es le seul dans ce cas, mais il y a des trucs > très très cons dans le window manager de Mac OS X, et quoi qu'en > dise Apple, c'est pas complètement au point pour fonctionner sans > écran. > Sur mes XServes, sous certaines versions de Mac OS X Server, je ne > peux pas changer le fond d'écran si j'ai pas un écran branché sur la > machine. Et si je change le fond d'écran et que je débranche > l'écran, dans ARD je me retrouve à nouveau avec le fond par défaut, > si je rebranche l'écran, mon fond d'écran personnalisé revient? Je ne sais pas si ça peut vous aider mais, si j'ai bien compris, vous voulez vous connecter sur un XServe sans écran connecté avec ARD depuis un autre poste. Personnellement, j'ai plusieurs postes, dont 2 Macs connectés sur un seul écran via un commutateur écran/clavier DVI. Et il est vrai que, dès que je "quitte" un Mac pour basculer sur un autre poste avec mon KVM, l'interface "retourne chez maman" et repasse en 1024x768. C'est d'autant plus vrai si le Mac démarre sans l'écran actif connecté car alors, pour revenir à la résolution souhaitée, je doit me logguer et lancer un "Détecter les moniteurs". Il est vrai que je n'utilise pas ARD mais le "partage d'écran" du 10.5 qui semble plutôt être basé sur un VNC amélioré. Si, d'un autre poste je me connecte sur un de mes Mac dont l'écran KVM n'est pas activé, j'ai 2 comportements : - si il était sur la fenêtre de connexion, c'est foutu, le mac considère qu'il a un moniteur très pourri et la résolution ne dépasse pas 1024x768 - si une session était ouverte, alors j'ai un affichage à la résolution voulue sans rien faire. Pour ce qui est du fond d'écran "par défaut" constaté avec ARD sans écran, c'est tout à fait normal. Mac OS X conserve les différentes préférences résolution par résolution. Il considère que vous avez débranché à chaud un écran haute résolution et que, au mieux, vous avez branché un très très vieil écran des années 80. Peut-être que la solution serait d'effectuer vos travaux sur le XServe en ligne de commande via une connexion ssh avec terminal... (c'est pas drôle ça)... ou qu'un commande Unix fixe la résolution d'affichage dans ce cas, sans activer l'évaluation à chaud des possibilités d'affichage. EEQCA ---- « Si, comme le disait le général de Gaule, la France n'avait pas été la France... on peut logiquement penser que tous les français auraient été des étrangers » ;-) Pierre Dac |\ _,,,---,,_ /,`.-'`' -. ;-;;,_ |,4- ) )-,_. ,\ ( `'-' '---''(_/--' `-'\_) -------------- section suivante -------------- perl -e '$_=q#: 3|\ 5-,3-3,2-: 3/,`.'"'"'`'"'"' 5-. ;-;;,-: |,A- ) )-,_. ,\ ( `'"'"'-'"'"': '"'"'-3'"'"'2(-/--'"'"' `-'"'"'\-): 22PLM::#;y#:#\n#;s#(\D)(\d+)#$1x$2#ge;print' PGP public key : http://keyserver1.pgp.com/ - --> Ce message n?engage que son auteur <-- From plm at teledetection.fr Wed Jun 10 22:45:35 2009 From: plm at teledetection.fr (Malard Pierre) Date: Wed Jun 10 22:45:14 2009 Subject: [Admin-ml] probleme syslogd In-Reply-To: <893EE2A0-58F3-4C98-8921-E9041A432EA4@univ-lyon2.fr> References: <893EE2A0-58F3-4C98-8921-E9041A432EA4@univ-lyon2.fr> Message-ID: Ca doit venir du fait que la règle concernant le "system.log" couvre partiellement le mail, peut-être le "mail.crit" de la ligne du "system.log". Ce n'est pas très utile de mettre le "mail.crit" là puisque on trappe "mail.*" pour mail-mc.log. Le 10 juin 09 à 15:53, Proniewski Patrick a écrit : > J'ai un serveur (toujours mon gros serveur de mails), sur lequel > tournent : > - amavisd lancé par launchd > - clamd/freshclam lancés par launchd > - postgrey lancé pas StartUpItem > - postfix lancé par launchd > - rbldnsd lancé par launchd > > J'ai dans syslog.conf : > > *.notice > ;authpriv > ,remoteauth > ,ftp > ,install > .none;kern.debug;mail.crit;local3.none;local4.none;local5.none /var/ > log/system.log > mail.* /var/log/mail-mx.log > local3.* /private/var/log/amavis/freshclam.log > local4.* /private/var/log/amavis/clamd.log > local5.* /private/var/log/amavis/amavisd.log > > Néanmoins, mon system.log se rempli des warning de postfix, des > SelfCheck de clamd, et surtout de la totalité des logs de postgrey > (ce qui fait doublon avec le log mail-mx.log qui reçoit déjà la > sortie de postgrey). > > Est ce que j'ai raté un truc ? > > Patrick PRONIEWSKI > -- > Administrateur Système - SENTIER - Université Lumière Lyon 2 > > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml ---- «Être dans le vent, une ambition de feuille morte?» Gustave Thibon (1903-2001) |\ _,,,---,,_ /,`.-'`' -. ;-;;,_ |,4- ) )-,_. ,\ ( `'-' '---''(_/--' `-'\_) -------------- section suivante -------------- perl -e '$_=q#: 3|\ 5-,3-3,2-: 3/,`.'"'"'`'"'"' 5-. ;-;;,-: |,A- ) )-,_. ,\ ( `'"'"'-'"'"': '"'"'-3'"'"'2(-/--'"'"' `-'"'"'\-): 22PLM::#;y#:#\n#;s#(\D)(\d+)#$1x$2#ge;print' PGP public key : http://pgp.mit.edu/ - --> Ce message n?engage que son auteur <-- From franck-sartori at orange.fr Wed Jun 10 19:59:05 2009 From: franck-sartori at orange.fr (Franck Sartori) Date: Wed Jun 10 22:53:41 2009 Subject: [Admin-ml] Quand Kerby contrarie AFP... In-Reply-To: References: Message-ID: <7D0637DD-2229-4203-8091-68A84CFD3535@orange.fr> Bonsoir. 2 choses à vérifier au cas où : - pas de doublon entre un compte dans le n?ud local et un compte dans le n?ud LDAP - le service principal dans /Library/Preferences/ com.apple.AppleFileServer.plist Cordialement. From jlbailloeul at irtsnpdc.fr Wed Jun 10 23:13:30 2009 From: jlbailloeul at irtsnpdc.fr (Jean-Luc Bailloeul) Date: Wed Jun 10 23:13:11 2009 Subject: [Admin-ml] probleme syslogd In-Reply-To: References: <893EE2A0-58F3-4C98-8921-E9041A432EA4@univ-lyon2.fr> Message-ID: <28019B35-65E3-494F-9893-48FC105D4E16@irtsnpdc.fr> Le 10 juin 09 à 22:45, Malard Pierre a écrit : > Ca doit venir du fait que la règle concernant le "system.log" couvre > partiellement le mail, peut-être le "mail.crit" de la ligne du > "system.log". Ce n'est pas très utile de mettre le "mail.crit" là > puisque on trappe "mail.*" pour mail-mc.log. ce serait étonnant. en plaçant le mail.crit à cet endroit, system.log devrait recevoir les logs critical et de niveau supérieur (Alert et Emergency), pas les warnings. non ? > > > Le 10 juin 09 à 15:53, Proniewski Patrick a écrit : >> J'ai un serveur (toujours mon gros serveur de mails), sur lequel >> tournent : >> - amavisd lancé par launchd >> - clamd/freshclam lancés par launchd >> - postgrey lancé pas StartUpItem >> - postfix lancé par launchd >> - rbldnsd lancé par launchd >> >> J'ai dans syslog.conf : >> >> *.notice >> ;authpriv >> ,remoteauth >> ,ftp >> ,install >> .none;kern.debug;mail.crit;local3.none;local4.none;local5.none /var/ >> log/system.log >> mail.* /var/log/mail-mx.log >> local3.* /private/var/log/amavis/freshclam.log >> local4.* /private/var/log/amavis/clamd.log >> local5.* /private/var/log/amavis/amavisd.log >> >> Néanmoins, mon system.log se rempli des warning de postfix, des >> SelfCheck de clamd, et surtout de la totalité des logs de postgrey >> (ce qui fait doublon avec le log mail-mx.log qui reçoit déjà la >> sortie de postgrey). >> >> Est ce que j'ai raté un truc ? >> >> Patrick PRONIEWSKI >> -- >> Administrateur Système - SENTIER - Université Lumière Lyon 2 >> >> _______________________________________________ >> Admin-ml mailing list >> Admin-ml@mosx.org >> http://coruscant.mosx.org/mailman/listinfo/admin-ml > > ---- > «Être dans le vent, une ambition de feuille morte?» > Gustave Thibon (1903-2001) > |\ _,,,---,,_ > /,`.-'`' -. ;-;;,_ > |,4- ) )-,_. ,\ ( `'-' > '---''(_/--' `-'\_) > > > > > > perl -e '$_=q#: 3|\ 5-,3-3,2-: 3/,`.'"'"'`'"'"' 5-. ;-;;,-: > |,A- ) )-,_. ,\ ( `'"'"'-'"'"': '"'"'-3'"'"'2(-/--'"'"' > `-'"'"'\-): 22PLM::#;y#:#\n#;s#(\D)(\d+)#$1x$2#ge;print' > PGP public key : http://pgp.mit.edu/ > - --> Ce message n?engage que son auteur <-- > > > > > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml From jlbailloeul at irtsnpdc.fr Wed Jun 10 23:50:24 2009 From: jlbailloeul at irtsnpdc.fr (Jean-Luc Bailloeul) Date: Wed Jun 10 23:50:07 2009 Subject: [Admin-ml] probleme syslogd In-Reply-To: <6D54F524-50B6-4EF3-8264-89ED4D03EC18@irtsnpdc.fr> References: <893EE2A0-58F3-4C98-8921-E9041A432EA4@univ-lyon2.fr> <6D54F524-50B6-4EF3-8264-89ED4D03EC18@irtsnpdc.fr> Message-ID: Le 10 juin 09 à 19:06, Jean-Luc Bailloeul a écrit : Je pense particulièrement à la partie suivante d'amavisd.conf. # true (e.g. 1) => syslog; false (e.g. 0) => logging to file $DO_SYSLOG = 1; # (defaults to false) $SYSLOG_LEVEL = 'mail.info'; # (defaults to 'mail.info') qui passerait outre les directives de syslog.conf. > Bonjour Patrick, > > Tu n'as rien modifié dans ta conf d'amavisd, notamment dans la > section (logging) ? > Je sais que pour mailgraph, j'avais modifié certaines valeurs, et > que comme toi, j'ai depuis les warnings de postfix dans system.log > (par contre rien de clamd ou de postgrey). > C'est peut être sans rapport, mais sait-on jamais? > (ne m'insultes pas si ma proposition est hors sujet, j'ai déjà eu > mon compte aujourd'hui avec Dan Shoop :-) ). > > Cdt, > Jean-Luc > > > Le 10 juin 09 à 15:53, Proniewski Patrick a écrit : > >> Bonjour, >> >> J'ai un serveur (toujours mon gros serveur de mails), sur lequel >> tournent : >> - amavisd lancé par launchd >> - clamd/freshclam lancés par launchd >> - postgrey lancé pas StartUpItem >> - postfix lancé par launchd >> - rbldnsd lancé par launchd >> >> J'ai dans syslog.conf : >> >> *.notice >> ;authpriv >> ,remoteauth >> ,ftp >> ,install >> .none;kern.debug;mail.crit;local3.none;local4.none;local5.none /var/ >> log/system.log >> mail.* /var/log/mail-mx.log >> local3.* /private/var/log/amavis/freshclam.log >> local4.* /private/var/log/amavis/clamd.log >> local5.* /private/var/log/amavis/amavisd.log >> >> Néanmoins, mon system.log se rempli des warning de postfix, des >> SelfCheck de clamd, et surtout de la totalité des logs de postgrey >> (ce qui fait doublon avec le log mail-mx.log qui reçoit déjà la >> sortie de postgrey). >> >> Est ce que j'ai raté un truc ? >> >> Patrick PRONIEWSKI >> -- >> Administrateur Système - SENTIER - Université Lumière Lyon 2 >> >> _______________________________________________ >> Admin-ml mailing list >> Admin-ml@mosx.org >> http://coruscant.mosx.org/mailman/listinfo/admin-ml >> > > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml From plm at teledetection.fr Thu Jun 11 01:12:54 2009 From: plm at teledetection.fr (Malard Pierre) Date: Thu Jun 11 01:12:49 2009 Subject: [Admin-ml] Mac Os server + client mac et ldap In-Reply-To: <685c9f270906101219p5ff1fc8cm41f1e8643901da49@mail.gmail.com> References: <685c9f270902040908k621f48d5ydd4457603dd58906@mail.gmail.com> <685c9f270902040926x7b2cb31jedbfe93577c8214a@mail.gmail.com> <221A0CEE-4232-4D27-9181-8426D4BF2D91@irtsnpdc.fr> <498AB672.3040800@ens-louis-lumiere.fr> <685c9f270902050330r73a7438djdc44975ba1ad004b@mail.gmail.com> <498AE26F.5030002@ens-louis-lumiere.fr> <685c9f270902050511w4855d0bei3c80a4dd463d5cae@mail.gmail.com> <498AEA78.1090201@ens-louis-lumiere.fr> <685c9f270905050358w6b2fe587wf718a9229564061f@mail.gmail.com> <209486DB-A24D-4FC8-B25F-18F9669C5C50@teledetection.fr> <685c9f270906101219p5ff1fc8cm41f1e8643901da49@mail.gmail.com> Message-ID: Le 10 juin 09 à 21:19, frederic ollivier a écrit : > 2009/6/10 Malard Pierre : >> ............................... >> J'ai modifié mon utilitaire d'annuaire sur mon Mac comme indiqué >> dans la doc >> du CRDP, activé mon serveur LDAP pour l'authentification. Tout ça >> me paraît >> cohérent. Mais voici de que donne une tentative de connexion par >> "ssh" : >> > > SSH ?? > > que font tes clients MAC si tu te connecte dessus avec la boite de > connexion Classique ??? SSH, c'est juste pour essayer une connexion avec un user LDAP depuis mon Mac où je suis connecté avec un compte local. Si ssh fonctionne, il monte le "homedir" et donne le prompt, c'est tout. C'est quand même moins lourd que toute la connexion Mac OS X avec l'interface graphique, ... pour faire un simple test. Si ça ça marche, alors je serais passé à une vraie connexion Mac OS X en utilisant un user LDAP, comme n'importe quel de nos autres postes sous Windows ou Linux. >> piotr@mon_Mac:~$ ssh toto@localhost >> Password: >> Last login: Wed Jun 10 20:14:44 2009 from localhost >> Could not chdir to home directory /Network/Servers/ServeurH/ >> NetUsers/toto: >> Unknown error: 118 >> 2009-06-10 20:15:35.249 defaults[3937:807] Could not write domain >> .GlobalPreferences; exiting >> >> Qu'est-ce que cette erreur 118 ? >> Qu'est-ce que je n'ai pas compris ? >> > > > > > -- > Frédéric Ollivier > Lycée Marie Curie § Région Rhône-Alpes > Avenue 8 mai 1945 - 38435 Echirolles > §§§ GPG Key §§§ > 036D 9284 EC49 A57E 469D 4197 51D9 86E6 > 6461 8CC0 > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml ---- «Mittler zwishen hirn und händen muss das hirz sein !» «La médiation entre le cerveau et les mains doit être le c?ur !» Fritz Lang - "Métropolis" - 1929 |\ _,,,---,,_ /,`.-'`' -. ;-;;,_ |,4- ) )-,_. ,\ ( `'-' '---''(_/--' `-'\_) -------------- section suivante -------------- perl -e '$_=q#: 3|\ 5-,3-3,2-: 3/,`.'"'"'`'"'"' 5-. ;-;;,-: |,A- ) )-,_. ,\ ( `'"'"'-'"'"': '"'"'-3'"'"'2(-/--'"'"' `-'"'"'\-): 22PLM::#;y#:#\n#;s#(\D)(\d+)#$1x$2#ge;print' PGP public key : http://keyserver1.pgp.com/ - --> Ce message n?engage que son auteur <-- From odlists at easymac.fr Thu Jun 11 01:14:49 2009 From: odlists at easymac.fr (Olivier DUCROT) Date: Thu Jun 11 01:14:24 2009 Subject: [Admin-ml] probleme syslogd In-Reply-To: Message-ID: Comme tu dis Jean-Luc ... Pour aller plus loin, il nous faudrait : - un extrait des logs - un extrait du fichier de conf de amavisd Ceci-ci, je ne mets jamais mail.crit dans system.log pour ne pas mélanger les genres. Quand j'ai un problème de mail, je vais dans les logs de mail. Par ce qui précède, je ne veut en aucun cas dire qu'il ne faut pas le faire... (petite phrase au cas où Dan apprenne le français et se mette à lire cette liste ... à moins que le modérateur ne l'ai blacklisté... le 10/06/09 14:50, jean-luc Bailloeul à jlbailloeul@irtsnpdc.fr a écrit : > > Le 10 juin 09 à 19:06, Jean-Luc Bailloeul a écrit : > > Je pense particulièrement à la partie suivante d'amavisd.conf. > # true (e.g. 1) => syslog; false (e.g. 0) => logging to file > $DO_SYSLOG = 1; # (defaults to false) > $SYSLOG_LEVEL = 'mail.info'; # (defaults to 'mail.info') > qui passerait outre les directives de syslog.conf. > >> Bonjour Patrick, >> >> Tu n'as rien modifié dans ta conf d'amavisd, notamment dans la >> section (logging) ? >> Je sais que pour mailgraph, j'avais modifié certaines valeurs, et >> que comme toi, j'ai depuis les warnings de postfix dans system.log >> (par contre rien de clamd ou de postgrey). >> C'est peut être sans rapport, mais sait-on jamaisŠ >> (ne m'insultes pas si ma proposition est hors sujet, j'ai déjà eu >> mon compte aujourd'hui avec Dan Shoop :-) ). >> >> Cdt, >> Jean-Luc >> >> >> Le 10 juin 09 à 15:53, Proniewski Patrick a écrit : >> >>> Bonjour, >>> >>> J'ai un serveur (toujours mon gros serveur de mails), sur lequel >>> tournent : >>> - amavisd lancé par launchd >>> - clamd/freshclam lancés par launchd >>> - postgrey lancé pas StartUpItem >>> - postfix lancé par launchd >>> - rbldnsd lancé par launchd >>> >>> J'ai dans syslog.conf : >>> >>> *.notice >>> ;authpriv >>> ,remoteauth >>> ,ftp >>> ,install >>> .none;kern.debug;mail.crit;local3.none;local4.none;local5.none /var/ >>> log/system.log >>> mail.* /var/log/mail-mx.log >>> local3.* /private/var/log/amavis/freshclam.log >>> local4.* /private/var/log/amavis/clamd.log >>> local5.* /private/var/log/amavis/amavisd.log >>> >>> Néanmoins, mon system.log se rempli des warning de postfix, des >>> SelfCheck de clamd, et surtout de la totalité des logs de postgrey >>> (ce qui fait doublon avec le log mail-mx.log qui reçoit déjà la >>> sortie de postgrey). >>> >>> Est ce que j'ai raté un truc ? >>> >>> Patrick PRONIEWSKI >>> -- >>> Administrateur Système - SENTIER - Université Lumière Lyon 2 >>> >>> _______________________________________________ >>> Admin-ml mailing list >>> Admin-ml@mosx.org >>> http://coruscant.mosx.org/mailman/listinfo/admin-ml >>> >> >> _______________________________________________ >> Admin-ml mailing list >> Admin-ml@mosx.org >> http://coruscant.mosx.org/mailman/listinfo/admin-ml > > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml _________________________________________________________ | |  | |  / )| Olivier DUCROT |( \ / / | ACSP, ACTC & ACSA 10.5 | \ \ _( (_ | | _) )_ (((\ \>|_/->_______________________________________________<-\_| References: <685c9f270902040908k621f48d5ydd4457603dd58906@mail.gmail.com> <498AB672.3040800@ens-louis-lumiere.fr> <685c9f270902050330r73a7438djdc44975ba1ad004b@mail.gmail.com> <498AE26F.5030002@ens-louis-lumiere.fr> <685c9f270902050511w4855d0bei3c80a4dd463d5cae@mail.gmail.com> <498AEA78.1090201@ens-louis-lumiere.fr> <685c9f270905050358w6b2fe587wf718a9229564061f@mail.gmail.com> <209486DB-A24D-4FC8-B25F-18F9669C5C50@teledetection.fr> <685c9f270906101219p5ff1fc8cm41f1e8643901da49@mail.gmail.com> Message-ID: <685c9f270906102249o651f158bk1321b4a717844485@mail.gmail.com> 2009/6/11 Malard Pierre : > Le 10 juin 09 à 21:19, frederic ollivier a écrit : >> >> 2009/6/10 Malard Pierre : >>> > ............................... >>> >>> J'ai modifié mon utilitaire d'annuaire sur mon Mac comme indiqué dans la >>> doc >>> du CRDP, activé mon serveur LDAP pour l'authentification. Tout ça me >>> paraît >>> cohérent. Mais voici de que donne une tentative de connexion par "ssh" : >>> >> >> SSH ?? >> >> que font tes clients MAC si tu te connecte dessus avec la boite de >> connexion Classique ??? > > SSH, c'est juste pour essayer une connexion avec un user LDAP depuis mon Mac > où je suis connecté avec un compte local. Si ssh fonctionne, il monte le > "homedir" et donne le prompt, c'est tout. C'est quand même moins lourd que > toute la connexion Mac OS X avec l'interface graphique, ... pour faire un > simple test. Si ça ça marche, alors je serais passé à une vraie connexion > Mac OS X en utilisant un user LDAP, comme n'importe quel de nos autres > postes sous Windows ou Linux. > >>> piotr@mon_Mac:~$ ssh toto@localhost >>> Password: >>> Last login: Wed Jun 10 20:14:44 2009 from localhost >>> Could not chdir to home directory >>> /Network/Servers/ServeurH/NetUsers/toto: >>> Unknown error: 118 >>> 2009-06-10 20:15:35.249 defaults[3937:807] Could not write domain >>> .GlobalPreferences; exiting >>> >>> Qu'est-ce que cette erreur 118 ? >>> Qu'est-ce que je n'ai pas compris ? >>> >> Euh, chez moi ta technique marche pas du tout. Un SSH en local sur lui même (ici je suis connecté en local en tant qu'"administrateur" sur un poste Client MAC nommé t129-b4 et j'essaye de me connecter en ssh sur lui même avec un nom d'utilisateur réseau connue sur le LDAP) : t129-b4:~ administrateur$ ssh follivie@localhost Password: Password: Password: follivie@172.16.129.108's password: Permission denied, please try again. follivie@172.16.129.108's password: Permission denied, please try again. follivie@172.16.129.108's password: Received disconnect from 172.16.129.108: 2: Too many authentication failures for follivie Pierre chez toi si tu mets l'IP reel est pas le localhost ca donne quoi ? Pierre , tu n'as pas dit ce que donnais une auth via la boite d'authentification classique. -- Frédéric Ollivier Lycée Marie Curie § Région Rhône-Alpes Avenue 8 mai 1945 - 38435 Echirolles §§§ GPG Key §§§ 036D 9284 EC49 A57E 469D 4197 51D9 86E6 6461 8CC0 From patrick.proniewski at univ-lyon2.fr Thu Jun 11 09:30:05 2009 From: patrick.proniewski at univ-lyon2.fr (Proniewski Patrick) Date: Thu Jun 11 09:29:38 2009 Subject: [Admin-ml] probleme syslogd In-Reply-To: <28019B35-65E3-494F-9893-48FC105D4E16@irtsnpdc.fr> References: <893EE2A0-58F3-4C98-8921-E9041A432EA4@univ-lyon2.fr> <28019B35-65E3-494F-9893-48FC105D4E16@irtsnpdc.fr> Message-ID: On 10 juin 09, at 23:13, Jean-Luc Bailloeul wrote: > Le 10 juin 09 à 22:45, Malard Pierre a écrit : > >> Ca doit venir du fait que la règle concernant le "system.log" >> couvre partiellement le mail, peut-être le "mail.crit" de la ligne >> du "system.log". Ce n'est pas très utile de mettre le "mail.crit" >> là puisque on trappe "mail.*" pour mail-mc.log. > ce serait étonnant. en plaçant le mail.crit à cet endroit, > system.log devrait recevoir les logs critical et de niveau supérieur > (Alert et Emergency), pas les warnings. > non ? C'est ce que je pense aussi... Patrick PRONIEWSKI -- Administrateur Système - SENTIER - Université Lumière Lyon 2 From patrick.proniewski at univ-lyon2.fr Thu Jun 11 09:33:16 2009 From: patrick.proniewski at univ-lyon2.fr (Proniewski Patrick) Date: Thu Jun 11 09:32:48 2009 Subject: [Admin-ml] probleme syslogd In-Reply-To: References: <893EE2A0-58F3-4C98-8921-E9041A432EA4@univ-lyon2.fr> <6D54F524-50B6-4EF3-8264-89ED4D03EC18@irtsnpdc.fr> Message-ID: On 10 juin 09, at 23:50, Jean-Luc Bailloeul wrote: > Je pense particulièrement à la partie suivante d'amavisd.conf. > # true (e.g. 1) => syslog; false (e.g. 0) => logging to file > $DO_SYSLOG = 1; # (defaults to false) > $SYSLOG_LEVEL = 'mail.info'; # (defaults to 'mail.info') > qui passerait outre les directives de syslog.conf. Je pense qu'avec ça je suis bordé (amavisd-new-2.6.3 (20090422)) : $log_level = 0; # verbosity 0..5, -d $log_recip_templ = undef; # disable by-recipient level-0 log entries $DO_SYSLOG = 1; # log via syslogd (preferred) $syslog_facility = 'local5'; # Syslog facility as a string $syslog_priority = 'info'; # Syslog base (minimal) priority as a string, Patrick PRONIEWSKI -- Administrateur Système - SENTIER - Université Lumière Lyon 2 From patrick.proniewski at univ-lyon2.fr Thu Jun 11 10:00:23 2009 From: patrick.proniewski at univ-lyon2.fr (Proniewski Patrick) Date: Thu Jun 11 09:59:55 2009 Subject: [Admin-ml] probleme syslogd In-Reply-To: References: Message-ID: <53981B12-3924-4868-87D2-2A60C03875E5@univ-lyon2.fr> On 11 juin 09, at 01:14, Olivier DUCROT wrote: > Comme tu dis Jean-Luc ... > Pour aller plus loin, il nous faudrait : > - un extrait des logs > - un extrait du fichier de conf de amavisd Je pense qu'il est inutile de s'appesantir sur amavisd, car pour ce dernier je n'ai réellement que les erreurs de fonctionnement. Les "vrais" log vont au bon endroit et ne sont pas dupliqués dans le system.log. Comme je disais dans mon message initial, les démons qui me posent problèmes sont : >> Néanmoins, mon system.log se rempli des warning de postfix, des >> SelfCheck de clamd, et surtout de la totalité des logs de postgrey >> (ce qui fait doublon avec le log mail-mx.log qui reçoit déjà la >> sortie de postgrey). Voici des extraits des logs : (amavisd via launchd) Jun 11 00:26:13 tabourot org.amavis.amavisd[982]: Use of uninitialized value in numeric ne (!=) at /Library/Perl/5.8.8/Mail/SpamAssassin/ Plugin/ImageInfo.pm line 168, <$tmpfile> line 1. Jun 11 01:31:40 tabourot org.amavis.amavisd[982]: bayes: cannot open bayes databases /var/amavis/.spamassassin/bayes_* R/W: lock failed: File exists (clamav via launchd) Jun 11 08:46:08 tabourot org.clamav.clamd[115]: SelfCheck: Database status OK. Jun 11 09:00:40 tabourot org.clamav.clamd[115]: /var/amavis/tmp/ amavis-20090611T080320-55496/parts/p001: Phishing.Heuristics.Email.SpoofedDomain FOUND (postgrey) Jun 11 09:43:08 tabourot postgrey[147]: action=greylist, reason=new, client_name=blu0-omc1-s17.blu0.hotmail.com, client_address=65.55.116.28, sender=elizabethdgkywaa@hotmail.com, recipient=somebody@univ-lyon2.fr (postfix) Jun 11 09:55:02 tabourot postfix/smtpd[56264]: warning: 125.162.51.157: hostname 157.subnet125-162-51.speedy.telkom.net.id verification failed: nodename nor servname provided, or not known > Ceci-ci, je ne mets jamais mail.crit dans system.log pour ne pas > mélanger > les genres. Quand j'ai un problème de mail, je vais dans les logs de > mail. oué, cela dit, mon log de mail a moins de 24h et il fait déjà 188 Mo, alors si je peux avoir un fichier plus léger comme system.log avec juste les niveaux crit et +, c'est plus lisible :) Patrick PRONIEWSKI -- Administrateur Système - SENTIER - Université Lumière Lyon 2 From patrick.proniewski at univ-lyon2.fr Thu Jun 11 10:08:57 2009 From: patrick.proniewski at univ-lyon2.fr (Proniewski Patrick) Date: Thu Jun 11 10:08:29 2009 Subject: [Admin-ml] probleme syslogd In-Reply-To: <53981B12-3924-4868-87D2-2A60C03875E5@univ-lyon2.fr> References: <53981B12-3924-4868-87D2-2A60C03875E5@univ-lyon2.fr> Message-ID: <9C033B6A-36AA-4AF8-A679-598B5B517118@univ-lyon2.fr> On 11 juin 09, at 10:00, Proniewski Patrick wrote: >> Ceci-ci, je ne mets jamais mail.crit dans system.log pour ne pas >> mélanger >> les genres. Quand j'ai un problème de mail, je vais dans les logs >> de mail. > > oué, cela dit, mon log de mail a moins de 24h et il fait déjà 188 > Mo, alors si je peux avoir un fichier plus léger comme system.log > avec juste les niveaux crit et +, c'est plus lisible :) On s'en doutait, mais je préfère le clarifier : je viens de tester ce que donne cette ligne dans syslog.conf : *.notice ;authpriv ,remoteauth ,ftp ,install .none;kern.debug;mail.none;local3.none;local4.none;local5.none /var/ log/system.log Et effectivement, en remplaçant mail.crit par mail.none, le system.log ne reçoit plus ni tout postgrey ni les warnings de postfix. Il reçoit encore les sorties de org.amavis.amavisd et org.clamav.clamd puisque c'est du launchd. Mais ça n'explique pas tout? Patrick PRONIEWSKI -- Administrateur Système - SENTIER - Université Lumière Lyon 2 From plm at teledetection.fr Thu Jun 11 10:29:42 2009 From: plm at teledetection.fr (Malard Pierre) Date: Thu Jun 11 10:29:17 2009 Subject: [Admin-ml] Mac Os server + client mac et ldap In-Reply-To: <685c9f270906102249o651f158bk1321b4a717844485@mail.gmail.com> References: <685c9f270902040908k621f48d5ydd4457603dd58906@mail.gmail.com> <498AB672.3040800@ens-louis-lumiere.fr> <685c9f270902050330r73a7438djdc44975ba1ad004b@mail.gmail.com> <498AE26F.5030002@ens-louis-lumiere.fr> <685c9f270902050511w4855d0bei3c80a4dd463d5cae@mail.gmail.com> <498AEA78.1090201@ens-louis-lumiere.fr> <685c9f270905050358w6b2fe587wf718a9229564061f@mail.gmail.com> <209486DB-A24D-4FC8-B25F-18F9669C5C50@teledetection.fr> <685c9f270906101219p5ff1fc8cm41f1e8643901da49@mail.gmail.com> <685c9f270906102249o651f158bk1321b4a717844485@mail.gmail.com> Message-ID: Le 11 juin 09 à 07:49, frederic ollivier a écrit : > 2009/6/11 Malard Pierre : >> Le 10 juin 09 à 21:19, frederic ollivier a écrit : >>> >>> 2009/6/10 Malard Pierre : >>>> >> ............................... >>>> >>>> J'ai modifié mon utilitaire d'annuaire sur mon Mac comme indiqué >>>> dans la >>>> doc >>>> du CRDP, activé mon serveur LDAP pour l'authentification. Tout ça >>>> me >>>> paraît >>>> cohérent. Mais voici de que donne une tentative de connexion par >>>> "ssh" : >>>> >>> >>> SSH ?? >>> >>> que font tes clients MAC si tu te connecte dessus avec la boite de >>> connexion Classique ??? >> >> SSH, c'est juste pour essayer une connexion avec un user LDAP >> depuis mon Mac >> où je suis connecté avec un compte local. Si ssh fonctionne, il >> monte le >> "homedir" et donne le prompt, c'est tout. C'est quand même moins >> lourd que >> toute la connexion Mac OS X avec l'interface graphique, ... pour >> faire un >> simple test. Si ça ça marche, alors je serais passé à une vraie >> connexion >> Mac OS X en utilisant un user LDAP, comme n'importe quel de nos >> autres >> postes sous Windows ou Linux. >> >>>> piotr@mon_Mac:~$ ssh toto@localhost >>>> Password: >>>> Last login: Wed Jun 10 20:14:44 2009 from localhost >>>> Could not chdir to home directory >>>> /Network/Servers/ServeurH/NetUsers/toto: >>>> Unknown error: 118 >>>> 2009-06-10 20:15:35.249 defaults[3937:807] Could not write domain >>>> .GlobalPreferences; exiting >>>> >>>> Qu'est-ce que cette erreur 118 ? >>>> Qu'est-ce que je n'ai pas compris ? >>>> >>> > > > Euh, chez moi ta technique marche pas du tout. > > Un SSH en local sur lui même (ici je suis connecté en local en tant > qu'"administrateur" sur un poste Client MAC nommé t129-b4 et j'essaye > de me connecter en ssh sur lui même avec un nom d'utilisateur réseau > connue sur le LDAP) : > > t129-b4:~ administrateur$ ssh follivie@localhost > Password: > Password: > Password: > follivie@172.16.129.108's password: > Permission denied, please try again. > follivie@172.16.129.108's password: > Permission denied, please try again. > follivie@172.16.129.108's password: > Received disconnect from 172.16.129.108: 2: Too many authentication > failures for follivie > > > Pierre chez toi si tu mets l'IP reel est pas le localhost ca donne > quoi ? La même chose : piotr@megalodon:~$ ssh pedro@megalodon Password: Last login: Wed Jun 10 20:15:34 2009 from localhost Could not chdir to home directory /Network/Servers/mtd-cpd.interne-mtd/ NetUsers/pedro: Unknown error: 118 2009-06-11 09:54:52.908 defaults[16573:807] Could not write domain .GlobalPreferences; exiting > Pierre , tu n'as pas dit ce que donnais une auth via la boite > d'authentification classique. Je n'ai pas fait le test hier. Comme une simple authentification Unix se plante, je n'ai pas voulu en ajouter une couche. Je suppose que ça donnera la même chose que le simple référencement d'authentification LDAP sans les modifications visant le montage automatique de la HomeDir autofs "à la Mac" dans la base LDAP. Ca se loggue, mais comme le montage de la HomeDir plante, au mieux, on se retrouve sans répertoire personnel dans une interface "guest". Je ne peux pas faire l'essai ce matin puisque je ne suis pas physiquement à mon labo. Cet après-midi peut-être... Je n'y crois pas beaucoup puisque, si on regarde les règles pam.d du login, on a : piotr@megalodon:/etc/pam.d$ cat login.serverinstall # login: auth account password session auth required pam_nologin.so auth sufficient pam_serialnumber.so auth sufficient pam_securityserver.so auth sufficient pam_unix.so auth required pam_deny.so account required pam_permit.so password required pam_deny.so session required pam_launchd.so session required pam_uwtmp.so Ce qui semble dire qu'il est "suffisant" d'avoir une authentification LDAP ou NIS(security) ou Local (unix) pourvu qu'on ne soit pas tricard (deny). Ce que je ne comprend pas non plus, c'est que les fichiers de configuration du mécanisme d'automount (/etc/auto*) font référence au / home des montages utilisateurs Unix : -------------------------- piotr@megalodon:/etc$ cat auto_home # # Automounter map for /home # ==> +auto_home # Use directory service -------------------------- piotr@megalodon:/etc$ cat auto_master # # Automounter master map # +auto_master # Use directory service /net -hosts -nobrowse,nosuid ==> /home auto_home -nobrowse ==> /Network/Servers -fstab /- -static -------------------------- piotr@megalodon:/etc$ cat autofs.conf # # This file is used to configure the automounter # # The number of seconds after which an automounted file system will ............. # Environment variables. The format is AUTOMOUNTD_ENV=ENV=value. # There should be one line per environment variable to be set and # there can be as many of these lines as are required. #AUTOMOUNTD_ENV= -------------------------- Qui est actif puisque qu'un "mount" nous le montre : -------------------------- piotr@megalodon:~$ mount /dev/disk0s2 on / (hfs, local, journaled) devfs on /dev (devfs, local) fdesc on /dev (fdesc, union) ==> map -hosts on /net (autofs, automounted) ==> map auto_home on /home (autofs, automounted) ==> map -fstab on /Network/Servers (autofs, automounted) ++> trigger on /Network/Servers/mtd-cpd.interne-mtd/NetUsers (autofs, automounted) -------------------------- les "map" activent les automontages, le "trigger" est activé par les essais de log avec un utilisateur LDAP externe. C'est un peu ce qui me fait peur, car si je lis bien, on pourrait avoir des interférences sur "/Network/Servers" entre le "map" et le "trigger" et une interférence avec le "/home" qui est dédié à l'autofs, qui est positionné dans notre base LDAP pour les logs Unix, qui est à peu près référencé dans les règles locale LDAP du Mac, et les références LDAP pour les Mac. Je me demande si le problème ne viennent pas de là. Je préférerais ne pas avoir à modifier ces fichiers à la main en laissant les outils systèmes le faire, mais je ne sais pas comment le faire. ---- « L'utopie, c'est la vérité de demain » Victor Hugo (1802-1885) |\ _,,,---,,_ /,`.-'`' -. ;-;;,_ |,4- ) )-,_. ,\ ( `'-' '---''(_/--' `-'\_) -------------- section suivante -------------- perl -e '$_=q#: 3|\ 5-,3-3,2-: 3/,`.'"'"'`'"'"' 5-. ;-;;,-: |,A- ) )-,_. ,\ ( `'"'"'-'"'"': '"'"'-3'"'"'2(-/--'"'"' `-'"'"'\-): 22PLM::#;y#:#\n#;s#(\D)(\d+)#$1x$2#ge;print' PGP public key : http://keyserver1.pgp.com/ - --> Ce message n?engage que son auteur <-- From frederic.ollivier at gmail.com Thu Jun 11 10:47:34 2009 From: frederic.ollivier at gmail.com (frederic ollivier) Date: Thu Jun 11 10:47:04 2009 Subject: [Admin-ml] Mac Os server + client mac et ldap In-Reply-To: References: <685c9f270902040908k621f48d5ydd4457603dd58906@mail.gmail.com> <498AE26F.5030002@ens-louis-lumiere.fr> <685c9f270902050511w4855d0bei3c80a4dd463d5cae@mail.gmail.com> <498AEA78.1090201@ens-louis-lumiere.fr> <685c9f270905050358w6b2fe587wf718a9229564061f@mail.gmail.com> <209486DB-A24D-4FC8-B25F-18F9669C5C50@teledetection.fr> <685c9f270906101219p5ff1fc8cm41f1e8643901da49@mail.gmail.com> <685c9f270906102249o651f158bk1321b4a717844485@mail.gmail.com> Message-ID: <685c9f270906110147g1c0bd32dp1357d9cdc3e66de0@mail.gmail.com> 2009/6/11 Malard Pierre : > Le 11 juin 09 à 07:49, frederic ollivier a écrit : >> >> 2009/6/11 Malard Pierre : >>> >> >> Pierre chez toi si tu mets l'IP reel est pas le localhost ca donne quoi ? > > La même chose : > piotr@megalodon:~$ ssh pedro@megalodon > Password: > Last login: Wed Jun 10 20:15:34 2009 from localhost > Could not chdir to home directory > /Network/Servers/mtd-cpd.interne-mtd/NetUsers/pedro: Unknown error: 118 > 2009-06-11 09:54:52.908 defaults[16573:807] Could not write domain > .GlobalPreferences; exiting > >> Pierre , tu n'as pas dit ce que donnais une auth via la boite >> d'authentification classique. > > Je n'ai pas fait le test hier. Comme une simple authentification Unix se > plante, je n'ai pas voulu en ajouter une couche. Je suppose que ça donnera > la même chose que le simple référencement d'authentification LDAP sans les > modifications visant le montage automatique de la HomeDir autofs "à la Mac" > dans la base LDAP. Ca se loggue, mais comme le montage de la HomeDir plante, > au mieux, on se retrouve sans répertoire personnel dans une interface > "guest". sur la doc du crdp il est ecrit pour apple-user-homeDirectory: /Users/Network/se3/toto moi j'ai du mettre /Networks/Servers/monserveur/repertoire-utilisateurs/toto pour que ca marche. En local et en terminal, que donne un cd /Networks/Servers/monserveur ou un cd /Users/Network/ chez toi. Autre chose, la case est très importante aussi, j'avais eu un problème sur un client où comme mappage j'avais mis apple-user-HomeDirectory (il faut mettre : apple-user-homeDirectory) -- Frédéric Ollivier Lycée Marie Curie § Région Rhône-Alpes Avenue 8 mai 1945 - 38435 Echirolles §§§ GPG Key §§§ 036D 9284 EC49 A57E 469D 4197 51D9 86E6 6461 8CC0 From fcombernous at kezia.com Thu Jun 11 15:31:56 2009 From: fcombernous at kezia.com (Fabien COMBERNOUS) Date: Thu Jun 11 15:31:30 2009 Subject: [Admin-ml] probleme syslogd In-Reply-To: <893EE2A0-58F3-4C98-8921-E9041A432EA4@univ-lyon2.fr> References: <893EE2A0-58F3-4C98-8921-E9041A432EA4@univ-lyon2.fr> Message-ID: <4A31074C.5010406@kezia.com> Proniewski Patrick wrote: > Bonjour, > > J'ai un serveur (toujours mon gros serveur de mails), sur lequel > tournent : > - amavisd lancé par launchd > - clamd/freshclam lancés par launchd > - postgrey lancé pas StartUpItem > - postfix lancé par launchd > - rbldnsd lancé par launchd > > J'ai dans syslog.conf : > > *.notice;authpriv,remoteauth,ftp,install.none;kern.debug;mail.crit;local3.none;local4.none;local5.none > /var/log/system.log > mail.* /var/log/mail-mx.log > local3.* /private/var/log/amavis/freshclam.log > local4.* /private/var/log/amavis/clamd.log > local5.* /private/var/log/amavis/amavisd.log > > Néanmoins, mon system.log se rempli des warning de postfix, des > SelfCheck de clamd, et surtout de la totalité des logs de postgrey (ce > qui fait doublon avec le log mail-mx.log qui reçoit déjà la sortie de > postgrey). > > Est ce que j'ai raté un truc ? Je vais répondre à côté de ta question mais pas tant que cela peut être. Pour éviter de ce poser ce genre de question, une possibilité est de centraliser tous les messages syslog de l'ensemble de son parc sur une seule machine qui sert de console d'administration. Puis tu utilises un outil pour facilité la vue des log. Je viens de tester le logiciel sisyphus. J'avais déjà utilisé et/ou testé des outils qui donner une vue générique des syslog. Mais celui là il est vraiment prometteur. Il est surtout original par lefait qu'il aide à trouver les problèmes. Pour se faire il utilise une définition mathématique de ce qui est évènement remarquable. Bref, pour l'instant il est en maquette chez moi, mais je compte bien aller plus loin. http://www.cs.sandia.gov/sisyphus/ Tout ceci pour dire que si tu centralises tout en un seul endroit, le fichier où apparait en le message perd de son importance. :) > > Patrick PRONIEWSKI -- *Fabien COMBERNOUS* /unix system engineer/ www.kezia.com *Tel: +33 (0) 467 992 986* Kezia Group From jlbailloeul at irtsnpdc.fr Thu Jun 11 18:20:07 2009 From: jlbailloeul at irtsnpdc.fr (Jean-Luc Bailloeul) Date: Thu Jun 11 18:19:49 2009 Subject: [Admin-ml] probleme syslogd In-Reply-To: <9C033B6A-36AA-4AF8-A679-598B5B517118@univ-lyon2.fr> References: <53981B12-3924-4868-87D2-2A60C03875E5@univ-lyon2.fr> <9C033B6A-36AA-4AF8-A679-598B5B517118@univ-lyon2.fr> Message-ID: <7277328F-3F0B-4A73-9E5E-D2B7CD660D1D@irtsnpdc.fr> Le 11 juin 09 à 10:08, Proniewski Patrick a écrit : > On 11 juin 09, at 10:00, Proniewski Patrick wrote: > >>> Ceci-ci, je ne mets jamais mail.crit dans system.log pour ne pas >>> mélanger >>> les genres. Quand j'ai un problème de mail, je vais dans les logs >>> de mail. >> >> oué, cela dit, mon log de mail a moins de 24h et il fait déjà 188 >> Mo, alors si je peux avoir un fichier plus léger comme system.log >> avec juste les niveaux crit et +, c'est plus lisible :) > > > > On s'en doutait, mais je préfère le clarifier : je viens de tester > ce que donne cette ligne dans syslog.conf : > > *.notice > ;authpriv > ,remoteauth > ,ftp > ,install > .none;kern.debug;mail.none;local3.none;local4.none;local5.none /var/ > log/system.log > > Et effectivement, en remplaçant mail.crit par mail.none, le > system.log ne reçoit plus ni tout postgrey ni les warnings de postfix. > Il reçoit encore les sorties de org.amavis.amavisd et > org.clamav.clamd puisque c'est du launchd. Tu pourrais détailler ça, stp ? je ne connais pas le lien entre launchd et syslog. > > Mais ça n'explique pas tout? oui, c'est efficace, mais radical. ce faisant, j'imagine que tu ne recevras plus non plus les messages critiques, s'il en est. Tiens-nous au courant si tu trouves le pourquoi du comment. Cdt, Jean-Luc > > > Patrick PRONIEWSKI > -- > Administrateur Système - SENTIER - Université Lumière Lyon 2 > > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml From patrick.proniewski at univ-lyon2.fr Thu Jun 11 19:44:52 2009 From: patrick.proniewski at univ-lyon2.fr (Proniewski Patrick) Date: Thu Jun 11 19:44:24 2009 Subject: [Admin-ml] probleme syslogd In-Reply-To: <7277328F-3F0B-4A73-9E5E-D2B7CD660D1D@irtsnpdc.fr> References: <53981B12-3924-4868-87D2-2A60C03875E5@univ-lyon2.fr> <9C033B6A-36AA-4AF8-A679-598B5B517118@univ-lyon2.fr> <7277328F-3F0B-4A73-9E5E-D2B7CD660D1D@irtsnpdc.fr> Message-ID: <391BE878-94B2-4077-B6B8-4B4F121087FC@univ-lyon2.fr> On 11 juin 09, at 18:20, Jean-Luc Bailloeul wrote: >> Il reçoit encore les sorties de org.amavis.amavisd et >> org.clamav.clamd puisque c'est du launchd. > Tu pourrais détailler ça, stp ? je ne connais pas le lien entre > launchd et syslog. Bien il se trouve que quand launchd à des choses à écrire dans les logs, ça part dans system.log Qu'il s'agisse de messages purement launchd comme celui-ci : Jun 11 10:25:02 tabourot com.apple.launchd[1] (org.spamhaus.rsync[57569]): Exited with exit code: 1 ou de messages envoyés à launchd lors de l'exécution d'une tâche par le process de la tâche lui-même : Jun 11 18:27:36 tabourot org.clamav.clamd[115]: SelfCheck: Database status OK. > oui, c'est efficace, mais radical. ce faisant, j'imagine que tu ne > recevras plus non plus les messages critiques, s'il en est. ha ben là c'est sûr :) en tout cas, pas mail.crit. mais ils passeront de toute maniere dans le fichier mail-mx. Patrick PRONIEWSKI -- Administrateur Système - SENTIER - Université Lumière Lyon 2 From f.vincent at allibert-trekking.com Fri Jun 12 18:22:26 2009 From: f.vincent at allibert-trekking.com (Fabrice Vincent) Date: Fri Jun 12 18:22:16 2009 Subject: [Admin-ml] Quand Kerby contrarie AFP... In-Reply-To: Message-ID: A+ Fabrice > De : Jean-Luc Bailloeul > > Bonsoir Fabrice, > > Tu as trouvé une solution à ton problème ? Non.... :'( > le post suivi sur la liste Apple n'a rien révélé de nouveau. Voici ce > qu'il en dit : > >> Jim McIntyre wrote: >> >> I'm having some trouble understanding a permissions issue: AFP >> group permissions aren't working as expected when I log in to the >> server using Kerberos. En effet c'est exactement le même problème ! >> >> I created a new share point that resides on a volume with ACLs >> enabled. Using the standard permissions inspector in WGM I gave a >> group named "serveradministrators" read & write access to the share >> point. I also created an ACL entry for the folder corresponding to >> the share point, and gave the same group full control. No >> permissions are granted for any other groups or users except for the >> folder's owner (an admin account on the server). Par contre je n'utilise pas les ACL >> >> When I connect to the server as myself from my workstation (also >> running 10.4.11), the workstation first asks me to authenticate >> using Kerberos. If I do that, I can choose to mount the share point, >> but I'm denied access to opening it after it mounts. The Finder >> presents a dialog saying "The folder '[name]' could not be opened >> because you do not have sufficient access privileges." The share >> point appears on my desktop as a folder with a red circle/minus sign. >> >> If, however, I cancel the Kerberos login and log in using the >> standard Finder dialog, I am able to mount and use the share point >> as intended. Idem pour moi. > >> >> One person who responded directly mentioned some other folks had the >> same issue... >> >> I was able to fix the problem by deleting the shared folder on the >> server, creating a new folder, designating it a share point, and >> applying the desired permissions. I'm not sure why it worked, but it >> did. J'ai le problème aussi sur un partage auquel je n'ai pas touché depuis plusieurs année... Du coup je ne crois pas a ce genre de "solution"... Bref, le problème est bien identifié et complètement reproductible, mais pas de début de commencement de solution en vue ! Je sèche (et apparemment la liste aussi)... :( From f.vincent at allibert-trekking.com Fri Jun 12 18:25:17 2009 From: f.vincent at allibert-trekking.com (Fabrice Vincent) Date: Fri Jun 12 18:24:59 2009 Subject: [Admin-ml] Quand Kerby contrarie AFP... In-Reply-To: <7D0637DD-2229-4203-8091-68A84CFD3535@orange.fr> Message-ID: > De : Franck Sartori > > Bonsoir. Bonsoir Franck, > 2 choses à vérifier au cas où : > > - pas de doublon entre un compte dans le n¦ud local et un compte dans > le n¦ud LDAP Non il n'y a pas de doublon. Et le problème est reproductible avec tous les comptes de l'OD (tout ceux que j'ai testé et qui n'existent pas sur le poste client). > - le service principal dans /Library/Preferences/ > com.apple.AppleFileServer.plist Oui, j'ai l'entrée suivante: afpserver/monserveur.allibert-trekking.com@MONODMASTER.ALLIBERT-TREKKING.COM Après de multiples tests mon diagnostic est sans appel: Les droits groupe (posix) ne sont pas pris en compte quand on se logue en afp avec authentification kerberos. En ssh, smb ou afp sans kerberso, ça marche... En fait l'autre partage de ce serveur à le même comportement. Je ne l'avais pas vu plus tôt car cet autre partage contient des dossiers de départ, donc leur groupe posix est "staff" et il n'y a personne dans ce groupe "staff"... Mais en mettant manuellement des droits groupe posix contraignant sur un dossier, bing, ça coince... D'autres idées ???? A+ Fabrice From jlbailloeul at irtsnpdc.fr Fri Jun 12 19:11:41 2009 From: jlbailloeul at irtsnpdc.fr (Jean-Luc Bailloeul) Date: Fri Jun 12 19:11:24 2009 Subject: [Admin-ml] Quand Kerby contrarie AFP... In-Reply-To: References: Message-ID: Le 12 juin 09 à 18:25, Fabrice Vincent a écrit : > > D'autres idées ???? Si Kerberos est vraiment dans les choux, ce qui m'est arrivé plus d'une fois (notamment après certaines MAJ), je n'ai trouvé d'autres solutions que de le casser et de le refaire complètement. Ce qui est curieux, c'est que sur le principe, Kerberos gère l'authentification, pas les autorisations. > > A+ > Fabrice chuss, Jean-Luc From jayce at mosx.org Sun Jun 14 19:15:11 2009 From: jayce at mosx.org (Piel Jayce) Date: Sun Jun 14 19:14:44 2009 Subject: [Admin-ml] Client VPN Cisco... ou pas ? Message-ID: Hello, J'ai des utilisateurs (les cadres techniques de la fédération) qui devraient avoir besoin de se connecter au VPN du ministère des sports. La doc du ministère dit qu'il faut un client VPN Cisco. J'ai cru lire que c'était un client VPN propriétaire, est-ce vraiment le cas ? Est-on vraiment obligé d'utiliser le client VPN de Cisco ou on peut utiliser le client VPN intégré à Mac OS X ? Et j'ai vu qu'il y avait un ou deux clients VPN alternatifs, les avez-vous testé ? Ceci-dit, en lisant un peu plus loin la doc qu'ils envoient, ils fournissent un fichier de configuration de la connexion au format .pcf et je ne suis pas sûr que ça puisse être importé avec autre chose que le client officiel... Mon problème est que sur la trentaine de cadres qui vont devoir utiliser ça, je vais pouvoir faire l'installation sur les postes de 5 ou 6 maxi, et que les autres pour 90%, ne sont pas franchement des flèches, et que le plus simple l'installation est, le moins de notice d'installation j'aurai à faire... :-) -- Jayce Piel MosX.org la renaissance..... From bertrand.chatain at zmirov.com Mon Jun 15 09:33:34 2009 From: bertrand.chatain at zmirov.com (Bertrand Chatain) Date: Mon Jun 15 09:33:12 2009 Subject: [Admin-ml] Client VPN Cisco... ou pas ? In-Reply-To: References: Message-ID: L'université de Grenoble impose le vpn cisco sur tous les ordis étudiants pour se connecter au wifi. Le client est propriétaire. Il est un peu plus rustique sur mac que sur pc mais fonctionne très bien. En alternative, il y a vpntracker d'equinux qui est assez cher. A peu prêt 50 e HT la version player. Par contre le deployement est assez facile. Avec la version complète tu créé une image disque deja configurée, tu l'envoi par mail et avec un minimum d'aide, ça fonctionne. Pour ma part je t'utilise sur du sonicwall et pas sur du cisco. Le 14 juin 09 à 19:15, Piel Jayce a écrit : > > Hello, > > J'ai des utilisateurs (les cadres techniques de la fédération) qui > devraient avoir besoin de se connecter au VPN du ministère des sports. > > La doc du ministère dit qu'il faut un client VPN Cisco. J'ai cru > lire que c'était un client VPN propriétaire, est-ce vraiment le cas ? > > Est-on vraiment obligé d'utiliser le client VPN de Cisco ou on peut > utiliser le client VPN intégré à Mac OS X ? Et j'ai vu qu'il y avait > un ou deux clients VPN alternatifs, les avez-vous testé ? > > Ceci-dit, en lisant un peu plus loin la doc qu'ils envoient, ils > fournissent un fichier de configuration de la connexion au > format .pcf et je ne suis pas sûr que ça puisse être importé avec > autre chose que le client officiel... > > Mon problème est que sur la trentaine de cadres qui vont devoir > utiliser ça, je vais pouvoir faire l'installation sur les postes de > 5 ou 6 maxi, et que les autres pour 90%, ne sont pas franchement des > flèches, et que le plus simple l'installation est, le moins de > notice d'installation j'aurai à faire... :-) > > -- > Jayce Piel > MosX.org > la renaissance..... > > > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml -- Zmirov Communication Bertrand Chatain - Infographiste - Webmaster 64, rue Jean-Jacques Rousseau 75001 Paris - France Tél. : 33 (0)1 55 34 37 89 - Fax : 33 (0)1 55 34 37 67 www.zmirov.com - bertrand.chatain@zmirov.com - aim : bchatain From jayce at mosx.org Mon Jun 15 09:46:37 2009 From: jayce at mosx.org (Piel Jayce) Date: Mon Jun 15 09:46:08 2009 Subject: [Admin-ml] Client VPN Cisco... ou pas ? In-Reply-To: References: Message-ID: Le 15 juin 09 à 09:33, Bertrand Chatain a écrit : > En alternative, il y a vpntracker d'equinux qui est assez cher. A > peu prêt 50 e HT la version player. Par contre le deployement est > assez facile. Avec la version complète tu créé une image disque deja > configurée, tu l'envoi par mail et avec un minimum d'aide, ça > fonctionne. Pour ma part je t'utilise sur du sonicwall et pas sur du > cisco. Sonicwall impose le client Cisco ou on peut utiliser le client VPN intégré de Mac OS X et tu a choisi equinux pour la facilité de config ? -- Jayce Piel MosX.org la renaissance..... From nicolas.schont at crdp.ac-versailles.fr Mon Jun 15 09:53:25 2009 From: nicolas.schont at crdp.ac-versailles.fr (Nicolas schont) Date: Mon Jun 15 10:16:15 2009 Subject: [Admin-ml] Client VPN Cisco... ou pas ? In-Reply-To: <149917007.2401245052369726.JavaMail.root@zig> Message-ID: <1669843154.2421245052405351.JavaMail.root@zig> Bonjour, il est en telechargement ici : http://www.macupdate.com/info.php/id/10317 je sais pas si il fonctionne avec tout les cisco mais comme il est proprio je ne pense pas que les clients intégré aux mac fctionne. Nicolas SCHONT Administrateur Réseaux CRDP de l'académie de Versailles Tel : 01 39 45 78 97 www.crdp.ac-versailles.fr www.tice.ac-versailles.Fr ----- Mail Original ----- De: "Piel Jayce" À: "Administrateurs Systèmes sur Mac OS X OS X Systèmes sur Mac" Envoyé: Dimanche 14 Juin 2009 19h15:11 GMT +02:00 Harare / Pretoria Objet: [Admin-ml] Client VPN Cisco... ou pas ? Hello, J'ai des utilisateurs (les cadres techniques de la fédération) qui devraient avoir besoin de se connecter au VPN du ministère des sports. La doc du ministère dit qu'il faut un client VPN Cisco. J'ai cru lire que c'était un client VPN propriétaire, est-ce vraiment le cas ? Est-on vraiment obligé d'utiliser le client VPN de Cisco ou on peut utiliser le client VPN intégré à Mac OS X ? Et j'ai vu qu'il y avait un ou deux clients VPN alternatifs, les avez-vous testé ? Ceci-dit, en lisant un peu plus loin la doc qu'ils envoient, ils fournissent un fichier de configuration de la connexion au format .pcf et je ne suis pas sûr que ça puisse être importé avec autre chose que le client officiel... Mon problème est que sur la trentaine de cadres qui vont devoir utiliser ça, je vais pouvoir faire l'installation sur les postes de 5 ou 6 maxi, et que les autres pour 90%, ne sont pas franchement des flèches, et que le plus simple l'installation est, le moins de notice d'installation j'aurai à faire... :-) -- Jayce Piel MosX.org la renaissance..... _______________________________________________ Admin-ml mailing list Admin-ml@mosx.org http://coruscant.mosx.org/mailman/listinfo/admin-ml From bertrand.chatain at zmirov.com Mon Jun 15 10:37:14 2009 From: bertrand.chatain at zmirov.com (Bertrand Chatain) Date: Mon Jun 15 10:36:48 2009 Subject: [Admin-ml] Client VPN Cisco... ou pas ? In-Reply-To: References: Message-ID: <10EEB1E8-4129-4A2D-A5A4-0ABCC900540F@zmirov.com> Je l'utilise sur conseil de la boite qui m'a installer le Sonicwall. L'ingé m'a assuré que le client integré macosx ne fonctionnait pas avec le TZ190 de sonicwall. Le 15 juin 09 à 09:46, Piel Jayce a écrit : > Le 15 juin 09 à 09:33, Bertrand Chatain a écrit : > >> En alternative, il y a vpntracker d'equinux qui est assez cher. A >> peu prêt 50 e HT la version player. Par contre le deployement est >> assez facile. Avec la version complète tu créé une image disque >> deja configurée, tu l'envoi par mail et avec un minimum d'aide, ça >> fonctionne. Pour ma part je t'utilise sur du sonicwall et pas sur >> du cisco. > > > Sonicwall impose le client Cisco ou on peut utiliser le client VPN > intégré de Mac OS X et tu a choisi equinux pour la facilité de > config ? > > -- > Jayce Piel > MosX.org > la renaissance..... > > > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml -- Zmirov Communication Bertrand Chatain - Infographiste - Webmaster 64, rue Jean-Jacques Rousseau 75001 Paris - France Tél. : 33 (0)1 55 34 37 89 - Fax : 33 (0)1 55 34 37 67 www.zmirov.com - bertrand.chatain@zmirov.com - aim : bchatain From f.vincent at allibert-trekking.com Mon Jun 15 10:45:49 2009 From: f.vincent at allibert-trekking.com (Fabrice Vincent) Date: Mon Jun 15 10:45:39 2009 Subject: [Admin-ml] Quand Kerby contrarie AFP... In-Reply-To: Message-ID: >> >> D'autres idées ???? > Si Kerberos est vraiment dans les choux, ce qui m'est arrivé plus > d'une fois (notamment après certaines MAJ), je n'ai trouvé d'autres > solutions que de le casser et de le refaire complètement. > Ce qui est curieux, c'est que sur le principe, Kerberos gère > l'authentification, pas les autorisations. J'aurais tendance à penser que kerberos fait sont boulot correctement, vu que l'authentification fonctionne. J'ai plutôt l'impression que c'est AFP qui se plante lorsqu'il interprète l'identifiant fourni par Kerberos, et qu'il prend mal en compte les groupes auquel(s) appartient l'utilisateurs... Quoi qu'il en soit, kerberos n'étant pas vital dans notre environnement, j'ai réglé AFP pour qu'il ne fasse plus que de l'authentification standard... Les utilisateurs mémorisent leur mot de passe dans leur trousseau et hop, l'affaire est réglé ! J'aurais préféré comprendre et résoudre ce pb, mais bon j'ai d'autres casseroles sur le feu... From f.vincent at allibert-trekking.com Mon Jun 15 10:59:01 2009 From: f.vincent at allibert-trekking.com (Fabrice Vincent) Date: Mon Jun 15 10:58:53 2009 Subject: [Admin-ml] Client VPN Cisco... ou pas ? In-Reply-To: Message-ID: Ici on utilise un client freeware IPSecuritas, téléchargeable sur www.lobotomo.com. Il marche très bien sur notre firewall. J'ai pas testé sur du cisco mais d'après le site il supporte cisco ainsi que l'essentiel des firewall du marché. Pour la configuration automatisé il y a des trucs mais je n'ai pas testé vu qu'on n'as pas trop de difficulté à ce qu'on nous confie 5 minutes les portables pour faire la config à la main... A+ Fabrice > De : Piel Jayce > Répondre à : Administrateurs Systèmes sur Mac OS X > Date : Sun, 14 Jun 2009 19:15:11 +0200 > À : Administrateurs Systèmes sur Mac OS X OS X Systèmes sur Mac > > Objet : [Admin-ml] Client VPN Cisco... ou pas ? > > > Hello, > > J'ai des utilisateurs (les cadres techniques de la fédération) qui > devraient avoir besoin de se connecter au VPN du ministère des sports. > > La doc du ministère dit qu'il faut un client VPN Cisco. J'ai cru lire > que c'était un client VPN propriétaire, est-ce vraiment le cas ? > > Est-on vraiment obligé d'utiliser le client VPN de Cisco ou on peut > utiliser le client VPN intégré à Mac OS X ? Et j'ai vu qu'il y avait > un ou deux clients VPN alternatifs, les avez-vous testé ? > > Ceci-dit, en lisant un peu plus loin la doc qu'ils envoient, ils > fournissent un fichier de configuration de la connexion au format .pcf > et je ne suis pas sûr que ça puisse être importé avec autre chose que > le client officiel... > > Mon problème est que sur la trentaine de cadres qui vont devoir > utiliser ça, je vais pouvoir faire l'installation sur les postes de 5 > ou 6 maxi, et que les autres pour 90%, ne sont pas franchement des > flèches, et que le plus simple l'installation est, le moins de notice > d'installation j'aurai à faire... :-) > > -- > Jayce Piel > MosX.org > la renaissance..... > > > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml > From jpblcm at jpblcm.com Tue Jun 16 19:43:43 2009 From: jpblcm at jpblcm.com (Jean-Pierre Bouville) Date: Tue Jun 16 19:43:27 2009 Subject: [Admin-ml] firefox et users ldap Message-ID: <9AA33462-9204-4D99-9269-78BD6C303E42@jpblcm.com> Salut à tous, Depuis deux jours certains de mes utilisateurs ( OD sur xserve 10.4.11) ne peuvent plus se servir de firefox. celui-ci donne une page blanche, avec impossibilité de saisir une url, d'avoir les signet... rien ! Si j'utilise la même machine avec un compte local, tout est OK !!! une des erreurs renvoyée est : Erreur : uncaught exception: [Exception... "Component returned failure code: 0x80570016 (NS_ERROR_XPC_GS_RETURNED_FAILURE) [nsIJSCID.getService]" nsresult: "0x80570016 (NS_ERROR_XPC_GS_RETURNED_FAILURE)" location: "JS frame :: chrome:// browser/content/search/search.xml :: get_searchService :: line 145" data: no] J'ai recréé un user de zéro... rien n'y fait ! Je pense même que cela ne touche que les machines intel - demain je teste sur une ppc avec un user OD une idée ? merci à + JP ---------------------------------- JP sur jpblcm@jpblcm.com avant d'imprimer... pensez à l'environnement. From jayce at mosx.org Wed Jun 17 09:49:58 2009 From: jayce at mosx.org (Piel Jayce) Date: Wed Jun 17 09:49:31 2009 Subject: [Admin-ml] firefox et users ldap In-Reply-To: <9AA33462-9204-4D99-9269-78BD6C303E42@jpblcm.com> References: <9AA33462-9204-4D99-9269-78BD6C303E42@jpblcm.com> Message-ID: Le 16 juin 09 à 19:43, Jean-Pierre Bouville a écrit : > Depuis deux jours certains de mes utilisateurs ( OD sur xserve > 10.4.11) ne peuvent plus se servir de firefox. celui-ci donne une > page blanche, avec impossibilité de saisir une url, d'avoir les > signet... rien ! > Si j'utilise la même machine avec un compte local, tout est OK !!! > une des erreurs renvoyée est : > > Erreur : uncaught exception: [Exception... "Component returned > failure code: 0x80570016 (NS_ERROR_XPC_GS_RETURNED_FAILURE) > [nsIJSCID.getService]" nsresult: "0x80570016 > (NS_ERROR_XPC_GS_RETURNED_FAILURE)" location: "JS frame :: chrome://browser/content/search/search.xml > :: get_searchService :: line 145" data: no] Un user OD avec compte réseau ou compte mobile ? Perso, j'ai eu un problème avec des utilisateurs mobiles, après qu'il aient été utilisés en compte réseau. Je n'arrivais pas à changer le dossier de téléchargement... -- Jayce Piel MosX.org la renaissance..... From fcombernous at kezia.com Wed Jun 17 09:50:21 2009 From: fcombernous at kezia.com (Fabien COMBERNOUS) Date: Wed Jun 17 09:50:07 2009 Subject: [Admin-ml] firefox et users ldap In-Reply-To: <9AA33462-9204-4D99-9269-78BD6C303E42@jpblcm.com> References: <9AA33462-9204-4D99-9269-78BD6C303E42@jpblcm.com> Message-ID: <4A38A03D.5070602@kezia.com> Jean-Pierre Bouville wrote: > Salut à tous, Salut à toi, > > > Depuis deux jours certains de mes utilisateurs ( OD sur xserve > 10.4.11) ne peuvent plus se servir de firefox. celui-ci donne une page > blanche, avec impossibilité de saisir une url, d'avoir les signet... > rien ! > Si j'utilise la même machine avec un compte local, tout est OK !!! > une des erreurs renvoyée est : > > Erreur : uncaught exception: [Exception... "Component returned failure > code: 0x80570016 (NS_ERROR_XPC_GS_RETURNED_FAILURE) > [nsIJSCID.getService]" nsresult: "0x80570016 > (NS_ERROR_XPC_GS_RETURNED_FAILURE)" location: "JS frame :: > chrome://browser/content/search/search.xml :: get_searchService :: > line 145" data: no] > > J'ai recréé un user de zéro... rien n'y fait ! > Je pense même que cela ne touche que les machines intel - demain je > teste sur une ppc avec un user OD > > une idée ? https://bugzilla.mozilla.org/show_bug.cgi?id=497792 -- *Fabien COMBERNOUS* /unix system engineer/ www.kezia.com *Tel: +33 (0) 467 992 986* Kezia Group From jpblcm at jpblcm.com Wed Jun 17 14:11:50 2009 From: jpblcm at jpblcm.com (Jean-Pierre Bouville) Date: Wed Jun 17 14:11:44 2009 Subject: [Admin-ml] firefox et users ldap In-Reply-To: <4A38A03D.5070602@kezia.com> References: <9AA33462-9204-4D99-9269-78BD6C303E42@jpblcm.com> <4A38A03D.5070602@kezia.com> Message-ID: magnifique, j'avais raté ce topic merci beaucoup Fabien à + JP ---------------------------------- JP sur jpblcm@jpblcm.com avant d'imprimer... pensez à l'environnement. Le 17 juin 09 à 09:50, Fabien COMBERNOUS a écrit : > Jean-Pierre Bouville wrote: >> Salut à tous, > > Salut à toi, >> >> >> Depuis deux jours certains de mes utilisateurs ( OD sur xserve >> 10.4.11) ne peuvent plus se servir de firefox. celui-ci donne une >> page blanche, avec impossibilité de saisir une url, d'avoir les >> signet... rien ! >> Si j'utilise la même machine avec un compte local, tout est OK !!! >> une des erreurs renvoyée est : >> >> Erreur : uncaught exception: [Exception... "Component returned >> failure code: 0x80570016 (NS_ERROR_XPC_GS_RETURNED_FAILURE) >> [nsIJSCID.getService]" nsresult: "0x80570016 >> (NS_ERROR_XPC_GS_RETURNED_FAILURE)" location: "JS frame :: >> chrome://browser/content/search/search.xml :: get_searchService :: >> line 145" data: no] >> >> J'ai recréé un user de zéro... rien n'y fait ! >> Je pense même que cela ne touche que les machines intel - demain >> je teste sur une ppc avec un user OD >> >> une idée ? > > https://bugzilla.mozilla.org/show_bug.cgi?id=497792 > > -- > *Fabien COMBERNOUS* > /unix system engineer/ > www.kezia.com > *Tel: +33 (0) 467 992 986* > Kezia Group > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml From bertrand.chatain at zmirov.com Thu Jun 18 14:02:01 2009 From: bertrand.chatain at zmirov.com (Bertrand Chatain) Date: Thu Jun 18 14:01:36 2009 Subject: [Admin-ml] pas de kerberos In-Reply-To: <9AA33462-9204-4D99-9269-78BD6C303E42@jpblcm.com> References: <9AA33462-9204-4D99-9269-78BD6C303E42@jpblcm.com> Message-ID: <2C6382CE-3B54-41AF-9305-35ABB8640127@zmirov.com> Bonjour je viens de voir dans mon OD master que kerberos est éteint. C'est grave docteur ? ;-) Je peux pas dire depuis quand et je demande même s'il n'a jamais été activer. si je l'active il va se passer quoi ? Bertrand From yvast at free.fr Thu Jun 18 14:38:13 2009 From: yvast at free.fr (Yan) Date: Thu Jun 18 14:37:50 2009 Subject: [Admin-ml] pas de kerberos In-Reply-To: <2C6382CE-3B54-41AF-9305-35ABB8640127@zmirov.com> References: <9AA33462-9204-4D99-9269-78BD6C303E42@jpblcm.com> <2C6382CE-3B54-41AF-9305-35ABB8640127@zmirov.com> Message-ID: <7FE46B3C-59B1-4D83-BA03-CF9443C20431@free.fr> Le 18 juin 09 à 14:02, Bertrand Chatain a écrit : > Bonjour > > je viens de voir dans mon OD master que kerberos est éteint. C'est > grave docteur ? ;-) > > Je peux pas dire depuis quand et je demande même s'il n'a jamais été > activer. > > si je l'active il va se passer quoi ? > Tu doit avoir un problème de DNS (problemement dans le reverse). Si tu le règle, il doit démarrer tout seul. Cordialement -- Yannick From osx at brunet-prod.com Thu Jun 18 14:27:20 2009 From: osx at brunet-prod.com (Matthieu Brunet) Date: Thu Jun 18 15:17:45 2009 Subject: [Admin-ml] du et df sont dans un bateau... Message-ID: <2FD39468-5EE2-4AD3-A74A-5790B050CFCC@brunet-prod.com> Bonjour tout le monde, Je suis un petit peu hors sujet, mais c'est comme qui dirait une urgence. J'ai un beau serveur web mutualisé/virtuel chez nexen, avec 5GO d'espace disque. Il se remplissait dangereusement, parce que ma rotation de log ne marchait pas. J'ai donc rôté mes logs, et j'ai théoriquement gagné 1,5GO d'espace libre, en tous cas, c'est ce que me dit "du -s /*". Mais "df" continue à me dire que mon disque est quasi plein. Apparemment, tout ce que j'efface avec rm se voit immédiatement dans df. Mais quand je gzip un log, l'espace pris par le document avant gzipage est toujours vu par df A noter que quand df dit que le disque est plein, les applis cessent de fonctionner. Donc plus de mail, plus de mysql, etc. trop génial. Une idée ? Merci ! From osx at brunet-prod.com Thu Jun 18 16:05:16 2009 From: osx at brunet-prod.com (Matthieu Brunet) Date: Thu Jun 18 16:04:47 2009 Subject: [Admin-ml] du et df sont dans un bateau... In-Reply-To: <2FD39468-5EE2-4AD3-A74A-5790B050CFCC@brunet-prod.com> References: <2FD39468-5EE2-4AD3-A74A-5790B050CFCC@brunet-prod.com> Message-ID: Le 18 juin 09 à 14:27, Matthieu Brunet a écrit : > Bonjour tout le monde, > > Je suis un petit peu hors sujet, mais c'est comme qui dirait une > urgence. > J'ai un beau serveur web mutualisé/virtuel chez nexen, avec 5GO > d'espace disque. Il se remplissait dangereusement, parce que ma > rotation de log ne marchait pas. J'ai donc rôté mes logs, et j'ai > théoriquement gagné 1,5GO d'espace libre, en tous cas, c'est ce que > me dit "du -s /*". Mais "df" continue à me dire que mon disque est > quasi plein. > Apparemment, tout ce que j'efface avec rm se voit immédiatement dans > df. Mais quand je gzip un log, l'espace pris par le document avant > gzipage est toujours vu par df > A noter que quand df dit que le disque est plein, les applis cessent > de fonctionner. Donc plus de mail, plus de mysql, etc. trop génial. > > Une idée ? bon, apparemment, d'après le support technique de Nexen, c'était des descripteurs de fichiers qui étaient restés ouverts. Ils m'ont donc redémarré la machine (argl), et tout est rentré dans l'ordre. From fcombernous at kezia.com Thu Jun 18 16:07:52 2009 From: fcombernous at kezia.com (Fabien COMBERNOUS) Date: Thu Jun 18 16:07:22 2009 Subject: [Admin-ml] du et df sont dans un bateau... In-Reply-To: <2FD39468-5EE2-4AD3-A74A-5790B050CFCC@brunet-prod.com> References: <2FD39468-5EE2-4AD3-A74A-5790B050CFCC@brunet-prod.com> Message-ID: <4A3A4A38.1020101@kezia.com> Matthieu Brunet wrote: > Bonjour tout le monde, Bonjour, > > Je suis un petit peu hors sujet, mais c'est comme qui dirait une urgence. > J'ai un beau serveur web mutualisé/virtuel chez nexen, avec 5GO > d'espace disque. C'est quoi comme OS ? -- *Fabien COMBERNOUS* /unix system engineer/ www.kezia.com *Tel: +33 (0) 467 992 986* Kezia Group From osx at brunet-prod.com Thu Jun 18 16:21:29 2009 From: osx at brunet-prod.com (Matthieu Brunet) Date: Thu Jun 18 16:21:01 2009 Subject: [Admin-ml] du et df sont dans un bateau... In-Reply-To: <4A3A4A38.1020101@kezia.com> References: <2FD39468-5EE2-4AD3-A74A-5790B050CFCC@brunet-prod.com> <4A3A4A38.1020101@kezia.com> Message-ID: <6B2307D3-A8EF-4D84-9B9A-4406EFB18184@brunet-prod.com> Le 18 juin 09 à 16:07, Fabien COMBERNOUS a écrit : > Matthieu Brunet wrote: >> Bonjour tout le monde, > Bonjour, >> >> Je suis un petit peu hors sujet, mais c'est comme qui dirait une >> urgence. >> J'ai un beau serveur web mutualisé/virtuel chez nexen, avec 5GO >> d'espace disque. > > C'est quoi comme OS ? une debian récente From fcombernous at kezia.com Thu Jun 18 16:40:36 2009 From: fcombernous at kezia.com (Fabien COMBERNOUS) Date: Thu Jun 18 16:40:08 2009 Subject: [Admin-ml] du et df sont dans un bateau... In-Reply-To: References: <2FD39468-5EE2-4AD3-A74A-5790B050CFCC@brunet-prod.com> Message-ID: <4A3A51E4.5090000@kezia.com> Matthieu Brunet wrote: > > Le 18 juin 09 à 14:27, Matthieu Brunet a écrit : > >> Bonjour tout le monde, >> >> Je suis un petit peu hors sujet, mais c'est comme qui dirait une >> urgence. >> J'ai un beau serveur web mutualisé/virtuel chez nexen, avec 5GO >> d'espace disque. Il se remplissait dangereusement, parce que ma >> rotation de log ne marchait pas. J'ai donc rôté mes logs, et j'ai >> théoriquement gagné 1,5GO d'espace libre, en tous cas, c'est ce que >> me dit "du -s /*". Mais "df" continue à me dire que mon disque est >> quasi plein. >> Apparemment, tout ce que j'efface avec rm se voit immédiatement dans >> df. Mais quand je gzip un log, l'espace pris par le document avant >> gzipage est toujours vu par df >> A noter que quand df dit que le disque est plein, les applis cessent >> de fonctionner. Donc plus de mail, plus de mysql, etc. trop génial. >> >> Une idée ? > > bon, apparemment, d'après le support technique de Nexen, c'était des > descripteurs de fichiers qui étaient restés ouverts. Ils m'ont donc > redémarré la machine (argl), et tout est rentré dans l'ordre. Si leur hypothèse est vraie, vu ce que tu décris c'est possible, nul besoin de rebooter. Qui plus est, si c'est bien un soucis de nombre de descripteurs de fichier qui a atteint le maximum, tu vas probablement te retrouver dans le même cas un de ces jours. Rebooter ne résoud pas le soucis, il le repousse plus ou moins longtemps. Il te faut agrandir la limite supérieure. Tu commences par faire un 'cat /proc/sys/fs/file-max' , ou bien 'sysctl fs.file-max' Puis, tu multiplies par deux le chiffre. Disons que tu obtiens le chiffre n. Il suffit alors de faire 'echo "n" > /proc/sys/fs/file-max' Cela te fait la modification à chaud, sans rebooter ... Ensuite, il faut rendre cette modification applicable au boot de la machine. 'echo "fs.file-max = n" >> /etc/sysctl.conf' Note 1 : Dans ce mail les commandes sont mises entre ', mais ne sont pas à utiliser dans le terminal. C'est juste pour bien les séparer du reste du texte. Note 2 : Attention à bien mettre >> (double >) et non le simple >. Sinon tu écrases le fichier déjà existant. GNUment, -- *Fabien COMBERNOUS* /unix system engineer/ www.kezia.com *Tel: +33 (0) 467 992 986* Kezia Group From fcombernous at kezia.com Thu Jun 18 16:48:05 2009 From: fcombernous at kezia.com (Fabien COMBERNOUS) Date: Thu Jun 18 16:47:37 2009 Subject: [Admin-ml] du et df sont dans un bateau... In-Reply-To: <4A3A51E4.5090000@kezia.com> References: <2FD39468-5EE2-4AD3-A74A-5790B050CFCC@brunet-prod.com> <4A3A51E4.5090000@kezia.com> Message-ID: <4A3A53A5.3010202@kezia.com> Fabien COMBERNOUS wrote: > Matthieu Brunet wrote: >> >> Le 18 juin 09 à 14:27, Matthieu Brunet a écrit : >> >>> Bonjour tout le monde, >>> >>> Je suis un petit peu hors sujet, mais c'est comme qui dirait une >>> urgence. >>> J'ai un beau serveur web mutualisé/virtuel chez nexen, avec 5GO >>> d'espace disque. Il se remplissait dangereusement, parce que ma >>> rotation de log ne marchait pas. J'ai donc rôté mes logs, et j'ai >>> théoriquement gagné 1,5GO d'espace libre, en tous cas, c'est ce que >>> me dit "du -s /*". Mais "df" continue à me dire que mon disque est >>> quasi plein. >>> Apparemment, tout ce que j'efface avec rm se voit immédiatement dans >>> df. Mais quand je gzip un log, l'espace pris par le document avant >>> gzipage est toujours vu par df >>> A noter que quand df dit que le disque est plein, les applis cessent >>> de fonctionner. Donc plus de mail, plus de mysql, etc. trop génial. >>> >>> Une idée ? >> >> bon, apparemment, d'après le support technique de Nexen, c'était des >> descripteurs de fichiers qui étaient restés ouverts. Ils m'ont donc >> redémarré la machine (argl), et tout est rentré dans l'ordre. > > Si leur hypothèse est vraie, vu ce que tu décris c'est possible, nul > besoin de rebooter. > Qui plus est, si c'est bien un soucis de nombre de descripteurs de > fichier qui a atteint le maximum, tu vas probablement te retrouver > dans le même cas un de ces jours. Rebooter ne résoud pas le soucis, il > le repousse plus ou moins longtemps. > > Il te faut agrandir la limite supérieure. > Tu commences par faire un 'cat /proc/sys/fs/file-max' , ou bien > 'sysctl fs.file-max' > Puis, tu multiplies par deux le chiffre. Disons que tu obtiens le > chiffre n. > Il suffit alors de faire 'echo "n" > /proc/sys/fs/file-max' Utilise plutôt la commande : sysctl -w fs.file-max=n Désolé mais avant sysctl n'existait pas et des fois j'ai de vieux réflexes qui ressurgissent :) Mais c'est plus ... mieux d'utiliser sysctl > > Cela te fait la modification à chaud, sans rebooter ... > > Ensuite, il faut rendre cette modification applicable au boot de la > machine. > 'echo "fs.file-max = n" >> /etc/sysctl.conf' > > Note 1 : Dans ce mail les commandes sont mises entre ', mais ne sont > pas à utiliser dans le terminal. C'est juste pour bien les séparer du > reste du texte. > Note 2 : Attention à bien mettre >> (double >) et non le simple >. > Sinon tu écrases le fichier déjà existant. Je parles ici de la commande echo "fs.file-max = n" >> /etc/sysctl.conf -- *Fabien COMBERNOUS* /unix system engineer/ www.kezia.com *Tel: +33 (0) 467 992 986* Kezia Group From osx at brunet-prod.com Thu Jun 18 17:31:20 2009 From: osx at brunet-prod.com (Matthieu Brunet) Date: Thu Jun 18 17:30:51 2009 Subject: [Admin-ml] du et df sont dans un bateau... In-Reply-To: <4A3A53A5.3010202@kezia.com> References: <2FD39468-5EE2-4AD3-A74A-5790B050CFCC@brunet-prod.com> <4A3A51E4.5090000@kezia.com> <4A3A53A5.3010202@kezia.com> Message-ID: Le 18 juin 09 à 16:48, Fabien COMBERNOUS a écrit : >> > Utilise plutôt la commande : sysctl -w fs.file-max=n > Désolé mais avant sysctl n'existait pas et des fois j'ai de vieux > réflexes qui ressurgissent :) > Mais c'est plus ... mieux d'utiliser sysctl >> >> Cela te fait la modification à chaud, sans rebooter ... >> >> Ensuite, il faut rendre cette modification applicable au boot de la >> machine. >> 'echo "fs.file-max = n" >> /etc/sysctl.conf' >> >> Note 1 : Dans ce mail les commandes sont mises entre ', mais ne >> sont pas à utiliser dans le terminal. C'est juste pour bien les >> séparer du reste du texte. >> Note 2 : Attention à bien mettre >> (double >) et non le simple >. >> Sinon tu écrases le fichier déjà existant. > > Je parles ici de la commande > echo "fs.file-max = n" >> /etc/sysctl.conf Merci pour ce judicieux conseils. Je vais attendre un peu voir si le problème recommence, et si oui, je les appliquerai. Mais il est possible qu'ils ne recommencent pas, parce que dans l'urgence, j'avais fait du ménage dans les logs à la main, sans arrêter les services, ce qui les a peut-être mis dedans. From patrick.proniewski at univ-lyon2.fr Thu Jun 18 16:50:19 2009 From: patrick.proniewski at univ-lyon2.fr (Proniewski Patrick) Date: Thu Jun 18 17:56:38 2009 Subject: [Admin-ml] du et df sont dans un bateau... In-Reply-To: <4A3A51E4.5090000@kezia.com> References: <2FD39468-5EE2-4AD3-A74A-5790B050CFCC@brunet-prod.com> <4A3A51E4.5090000@kezia.com> Message-ID: On 18 juin 09, at 16:40, Fabien COMBERNOUS wrote: > Si leur hypothèse est vraie, vu ce que tu décris c'est possible, nul > besoin de rebooter. > Qui plus est, si c'est bien un soucis de nombre de descripteurs de > fichier qui a atteint le maximum, tu vas probablement te retrouver > dans le même cas un de ces jours. Rebooter ne résoud pas le soucis, > il le repousse plus ou moins longtemps. > > Il te faut agrandir la limite supérieure. A mon avis, inutile de s'enflammer. Tel que je vois les choses, Matthieu a juste fait une rotation manuelle de fichiers encore ouverts par syslog, si bien que l'espace n'a pas été libéré tant que syslog n'a pas "relâché" les fichiers en question. Il aurait probablement suffit de relancer syslogd. La prochaine fois, un petit coup de lsof avant d'appeler le support ;) Patrick PRONIEWSKI -- Administrateur Système - SENTIER - Université Lumière Lyon 2 From osx at brunet-prod.com Thu Jun 18 21:00:35 2009 From: osx at brunet-prod.com (Matthieu Brunet) Date: Thu Jun 18 21:00:11 2009 Subject: [Admin-ml] du et df sont dans un bateau... In-Reply-To: References: <2FD39468-5EE2-4AD3-A74A-5790B050CFCC@brunet-prod.com> <4A3A51E4.5090000@kezia.com> Message-ID: <5F656A38-A4BE-4A31-868A-806DABB1538E@brunet-prod.com> Le 18 juin 09 à 16:50, Proniewski Patrick a écrit : > On 18 juin 09, at 16:40, Fabien COMBERNOUS wrote: > >> Si leur hypothèse est vraie, vu ce que tu décris c'est possible, >> nul besoin de rebooter. >> Qui plus est, si c'est bien un soucis de nombre de descripteurs de >> fichier qui a atteint le maximum, tu vas probablement te retrouver >> dans le même cas un de ces jours. Rebooter ne résoud pas le soucis, >> il le repousse plus ou moins longtemps. >> >> Il te faut agrandir la limite supérieure. > > A mon avis, inutile de s'enflammer. Tel que je vois les choses, > Matthieu a juste fait une rotation manuelle de fichiers encore > ouverts par syslog, si bien que l'espace n'a pas été libéré tant que > syslog n'a pas "relâché" les fichiers en question. > Il aurait probablement suffit de relancer syslogd. j'avais relancé syslog-ng sans succès... c'était donc syslogd... > > La prochaine fois, un petit coup de lsof avant d'appeler le support ;) c'est quoi lsof ? From patrick.proniewski at univ-lyon2.fr Thu Jun 18 22:01:22 2009 From: patrick.proniewski at univ-lyon2.fr (Proniewski Patrick) Date: Thu Jun 18 22:10:59 2009 Subject: [Admin-ml] du et df sont dans un bateau... In-Reply-To: <5F656A38-A4BE-4A31-868A-806DABB1538E@brunet-prod.com> References: <2FD39468-5EE2-4AD3-A74A-5790B050CFCC@brunet-prod.com> <4A3A51E4.5090000@kezia.com> <5F656A38-A4BE-4A31-868A-806DABB1538E@brunet-prod.com> Message-ID: <50C2C1C9-9BAF-4FC2-B275-C892ABC4390D@univ-lyon2.fr> On 18 juin 09, at 21:00, Matthieu Brunet wrote: >> A mon avis, inutile de s'enflammer. Tel que je vois les choses, >> Matthieu a juste fait une rotation manuelle de fichiers encore >> ouverts par syslog, si bien que l'espace n'a pas été libéré tant >> que syslog n'a pas "relâché" les fichiers en question. >> Il aurait probablement suffit de relancer syslogd. > > j'avais relancé syslog-ng sans succès... c'était donc syslogd... alors là, je sais pas hein, ça dépend de ton système. Par ailleurs, ça peut ne pas suffire? Il faut aussi relancer tous les soft qui loguent hors de syslog, et dont tu as fait tourner les logs à la main. >> La prochaine fois, un petit coup de lsof avant d'appeler le >> support ;) > > c'est quoi lsof ? "list open files" (man lsof). Patrick PRONIEWSKI -- Administrateur Système - SENTIER - Université Lumière Lyon 2 From bertrand.chatain at zmirov.com Fri Jun 19 00:41:10 2009 From: bertrand.chatain at zmirov.com (Bertrand Chatain) Date: Fri Jun 19 00:40:55 2009 Subject: [Admin-ml] pas de kerberos In-Reply-To: <7FE46B3C-59B1-4D83-BA03-CF9443C20431@free.fr> References: <9AA33462-9204-4D99-9269-78BD6C303E42@jpblcm.com> <2C6382CE-3B54-41AF-9305-35ABB8640127@zmirov.com> <7FE46B3C-59B1-4D83-BA03-CF9443C20431@free.fr> Message-ID: <62389552-BEA4-442C-87CA-490E31341C8A@zmirov.com> aie aie aie le dns est problématique depuis le premier jour. Les deux ingés qui ont installé le xserve on bataillé jusqu'a 2h du matin avec le DNS le soir de l'install. Les réglages disparaissaient tout seul. Guillaume Gete qui est passé à ma boite m'avait également dit que le réglage DNS n'était pas optimum. Bertrand Le 18 juin 09 à 14:38, Yan a écrit : > > Le 18 juin 09 à 14:02, Bertrand Chatain a écrit : > >> Bonjour >> >> je viens de voir dans mon OD master que kerberos est éteint. C'est >> grave docteur ? ;-) >> >> Je peux pas dire depuis quand et je demande même s'il n'a jamais >> été activer. >> >> si je l'active il va se passer quoi ? >> > > Tu doit avoir un problème de DNS (problemement dans le reverse). > > Si tu le règle, il doit démarrer tout seul. > > Cordialement > > -- > Yannick_______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml -- Zmirov Communication Bertrand Chatain - Infographiste - Webmaster 64, rue Jean-Jacques Rousseau 75001 Paris - France Tél. : 33 (0)1 55 34 37 89 - Fax : 33 (0)1 55 34 37 67 www.zmirov.com - bertrand.chatain@zmirov.com - aim : bchatain From yvast at free.fr Fri Jun 19 09:17:55 2009 From: yvast at free.fr (Yan) Date: Fri Jun 19 09:17:32 2009 Subject: [Admin-ml] pas de kerberos In-Reply-To: <62389552-BEA4-442C-87CA-490E31341C8A@zmirov.com> References: <9AA33462-9204-4D99-9269-78BD6C303E42@jpblcm.com> <2C6382CE-3B54-41AF-9305-35ABB8640127@zmirov.com> <7FE46B3C-59B1-4D83-BA03-CF9443C20431@free.fr> <62389552-BEA4-442C-87CA-490E31341C8A@zmirov.com> Message-ID: Le 19 juin 09 à 00:41, Bertrand Chatain a écrit : > aie aie aie > > le dns est problématique depuis le premier jour. Les deux ingés qui > ont installé le xserve on bataillé jusqu'a 2h du matin avec le DNS > le soir de l'install. Les réglages disparaissaient tout seul. > Guillaume Gete qui est passé à ma boite m'avait également dit que le > réglage DNS n'était pas optimum. > > Et bien, ne cherche pas, sans DNS impeccable, pas de Kerberos. Cordialement -- Yannick From fcombernous at kezia.com Fri Jun 19 09:50:10 2009 From: fcombernous at kezia.com (Fabien COMBERNOUS) Date: Fri Jun 19 09:49:43 2009 Subject: [Admin-ml] du et df sont dans un bateau... In-Reply-To: References: <2FD39468-5EE2-4AD3-A74A-5790B050CFCC@brunet-prod.com> <4A3A51E4.5090000@kezia.com> Message-ID: <4A3B4332.8060305@kezia.com> Proniewski Patrick wrote: > On 18 juin 09, at 16:40, Fabien COMBERNOUS wrote: > >> Si leur hypothèse est vraie, vu ce que tu décris c'est possible, nul >> besoin de rebooter. >> Qui plus est, si c'est bien un soucis de nombre de descripteurs de >> fichier qui a atteint le maximum, tu vas probablement te retrouver >> dans le même cas un de ces jours. Rebooter ne résoud pas le soucis, >> il le repousse plus ou moins longtemps. >> >> Il te faut agrandir la limite supérieure. > > A mon avis, inutile de s'enflammer. Tel que je vois les choses, > Matthieu a juste fait une rotation manuelle de fichiers encore ouverts > par syslog, si bien que l'espace n'a pas été libéré tant que syslog > n'a pas "relâché" les fichiers en question. Quand tu as un fichier de log ouvert en écriture, tu as beau faire un mv, il va renommer le fichier effectivement mais le descripteur pointe toujours vers celui ci. Et tout continue à fonctionner sans soucis. Pour faire un logrotate à la main, il faut en plus faire un "touch /var/log/nouveaufichiernelog" puis tu peux relancer le syslog. > Il aurait probablement suffit de relancer syslogd. Matthieu parle de Debian récente, je serai tenté de parler de rsyslogd plutôt que de syslogd ou syslog-ng > > La prochaine fois, un petit coup de lsof avant d'appeler le support ;) > > > Patrick PRONIEWSKI -- *Fabien COMBERNOUS* /unix system engineer/ www.kezia.com *Tel: +33 (0) 467 992 986* Kezia Group From jlbailloeul at irtsnpdc.fr Fri Jun 19 10:52:42 2009 From: jlbailloeul at irtsnpdc.fr (Jean-Luc Bailloeul) Date: Fri Jun 19 10:52:24 2009 Subject: [Admin-ml] pas de kerberos In-Reply-To: <2C6382CE-3B54-41AF-9305-35ABB8640127@zmirov.com> References: <9AA33462-9204-4D99-9269-78BD6C303E42@jpblcm.com> <2C6382CE-3B54-41AF-9305-35ABB8640127@zmirov.com> Message-ID: <38F81371-145B-4F25-BDDE-2673F04427E9@irtsnpdc.fr> Le 18 juin 09 à 14:02, Bertrand Chatain a écrit : > Bonjour > > je viens de voir dans mon OD master que kerberos est éteint. C'est > grave docteur ? ;-) Cela dépend si tu t'en sers ou pas. Kerberos permet d'obtenir à l'ouverture de session un ticket d'authentification pour une durée donnée (par défaut de 10H il me semble). C'est très pratique lorsqu'on fait de l'ouverture de dossiers au démarrage, puisqu'il permet de ne pas retaper son mot de passe. C'est utilisable bien sûr pour plein de services, mais si tu ne t'en sers pas c'est pas dramatique. En effet, les problèmes de DNS sont rédibitoires pour l'instal de kerberos. mais tu pourrais regarder également dans les logs de kdc, voir s'il ne se plaint pas d'autre chose. J'ai régulièrement eu et j'ai encore régulièrement des problèmes avec Kerberos, qui ne sont pas forcément de l'ordre du DNS. Cdt, Jean-Luc > > Je peux pas dire depuis quand et je demande même s'il n'a jamais été > activer. > > si je l'active il va se passer quoi ? > > Bertrand > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml > From bertrand.chatain at zmirov.com Fri Jun 19 11:29:49 2009 From: bertrand.chatain at zmirov.com (Bertrand Chatain) Date: Fri Jun 19 11:29:24 2009 Subject: [Admin-ml] pas de kerberos In-Reply-To: <38F81371-145B-4F25-BDDE-2673F04427E9@irtsnpdc.fr> References: <9AA33462-9204-4D99-9269-78BD6C303E42@jpblcm.com> <2C6382CE-3B54-41AF-9305-35ABB8640127@zmirov.com> <38F81371-145B-4F25-BDDE-2673F04427E9@irtsnpdc.fr> Message-ID: En fait, je m'en suis rendu compte car j'ai fait la maquette d'un serveur podcast producer pour le fun. Le serveur en lui même roule bien mais au moment d'adjoindre d'autre clients xgrid ça coince. Le xgrid du podcast producer est impérativement kerberisé et le poste que je veux adjoindre et sur le OD master non kerberisé donc je soupçonne un lien de cause à effet. L'ouverture d'un ticket kerberos manuelle n'a pas résolu le problème. A tous hasard voiles les logs du kerberos May 03 13:40:49 zmirov.com krb5kdc[135](info): listening on fd 12: tcp 0.0.0.0.88 May 03 13:40:49 zmirov.com krb5kdc[135](info): listening on fd 11: tcp ::.88 May 03 13:40:49 zmirov.com krb5kdc[135](info): set up 4 sockets May 03 13:40:49 zmirov.com krb5kdc[135](info): commencing operation May 06 13:54:49 zmirov.com krb5kdc[114](info): setting up network... May 06 13:54:49 zmirov.com krb5kdc[114](info): listening on fd 9: udp fe80::1%lo0.88 May 06 13:54:49 zmirov.com krb5kdc[114](info): skipping unrecognized local address family 16 May 06 13:54:49 zmirov.com krb5kdc[114](info): listening on fd 10: udp 172.16.48.1.88 krb5kdc: setsockopt(IPV6_V6ONLY,1) worked May 06 13:54:49 zmirov.com krb5kdc[114](info): listening on fd 12: tcp 0.0.0.0.88 May 06 13:54:49 zmirov.com krb5kdc[114](info): listening on fd 11: tcp ::.88 May 06 13:54:49 zmirov.com krb5kdc[114](info): set up 4 sockets May 06 13:54:49 zmirov.com krb5kdc[114](info): commencing operation et peut être plus intéressant dans les logs de ma réplique OD 2008-12-09 19:38:52 +0100 - 9 Enabling local Kerberos server 2008-12-09 19:38:53 +0100 - No Kerberos realm name found. 2008-12-09 19:38:53 +0100 - command: /usr/sbin/vpnaddkeyagentuser -q / LDAPv3/127.0.0.1 2008-12-09 19:38:57 +0100 - ldap_modify: Internal (implementation specific) error (80) additional info: could not read file 2009-01-30 01:31:14 +0100 - slapconfig -setmaxnumberofdblocks Le 19 juin 09 à 10:52, Jean-Luc Bailloeul a écrit : > > Le 18 juin 09 à 14:02, Bertrand Chatain a écrit : > >> Bonjour >> >> je viens de voir dans mon OD master que kerberos est éteint. C'est >> grave docteur ? ;-) > Cela dépend si tu t'en sers ou pas. > Kerberos permet d'obtenir à l'ouverture de session un ticket > d'authentification pour une durée donnée (par défaut de 10H il me > semble). > C'est très pratique lorsqu'on fait de l'ouverture de dossiers au > démarrage, puisqu'il permet de ne pas retaper son mot de passe. > C'est utilisable bien sûr pour plein de services, mais si tu ne t'en > sers pas c'est pas dramatique. > > En effet, les problèmes de DNS sont rédibitoires pour l'instal de > kerberos. > mais tu pourrais regarder également dans les logs de kdc, voir s'il > ne se plaint pas d'autre chose. > J'ai régulièrement eu et j'ai encore régulièrement des problèmes > avec Kerberos, qui ne sont pas forcément de l'ordre du DNS. > Cdt, > Jean-Luc >> >> Je peux pas dire depuis quand et je demande même s'il n'a jamais >> été activer. >> >> si je l'active il va se passer quoi ? >> >> Bertrand >> _______________________________________________ >> Admin-ml mailing list >> Admin-ml@mosx.org >> http://coruscant.mosx.org/mailman/listinfo/admin-ml >> > > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml -- Zmirov Communication Bertrand Chatain - Infographiste - Webmaster 64, rue Jean-Jacques Rousseau 75001 Paris - France Tél. : 33 (0)1 55 34 37 89 - Fax : 33 (0)1 55 34 37 67 www.zmirov.com - bertrand.chatain@zmirov.com - aim : bchatain From laurent_pertois at mac.com Sat Jun 20 00:53:48 2009 From: laurent_pertois at mac.com (Laurent PERTOIS) Date: Sat Jun 20 00:53:25 2009 Subject: [Admin-ml] pas de kerberos In-Reply-To: References: <9AA33462-9204-4D99-9269-78BD6C303E42@jpblcm.com> <2C6382CE-3B54-41AF-9305-35ABB8640127@zmirov.com> <38F81371-145B-4F25-BDDE-2673F04427E9@irtsnpdc.fr> Message-ID: <8282E1E6-74A9-4D9F-B812-E467E123CAAD@mac.com> On 19 juin 09, at 11:29, Bertrand Chatain wrote: > Le xgrid du podcast producer est impérativement kerberisé et le > poste que je veux adjoindre et sur le OD master non kerberisé donc > je soupçonne un lien de cause à effet. L'ouverture d'un ticket > kerberos manuelle n'a pas résolu le problème. Laisse tomber, PcP ne fonctionnera pas. Quand Xgrid est utilisé avec une authentification Kerberos les jobs envoyés au grid sont bien effectués avec les droits de celui qui a pris le ticket et soumis. S'il est en authentification simple, les jobs sont effectués en tant que nobody ce qui ne peut pas fonctionner avec PcP. Il ne te reste plus qu'à réparer ton DNS, de toutes façons, un mauvais DNS peut être pire que pas de DNS, ce serait mieux. Pour rappel, si on veut un Maître Open Directory, la _première_ chose à faire avant tout est de configurer proprement le DNS et aussi d'avoir renseigné le bon FQDN lors de l'assistant. Ensuite, un simple test avec changeip doit dire que tout va bien, exemple : $ sudo changeip -checkhostname Primary address = 10.1.0.1 Current hostname = serveur.domaine.tld DNS Hostname = serveur.domaine.tld The names match. There is nothing to change. Tant qu'on n'obtient pas ceci, on ne va pas plus loin, on répare le DNS et la config du serveur. On ne touche pas aux autres services et surtout pas à l'Open Directory. HTH, -- 97. We prefer not to change the root password, it's a nice easy one 101 Things You Do Not Want Your System Administrator To Say From jlbailloeul at irtsnpdc.fr Sat Jun 20 09:36:03 2009 From: jlbailloeul at irtsnpdc.fr (Jean-Luc Bailloeul) Date: Sat Jun 20 09:35:49 2009 Subject: [Admin-ml] pas de kerberos In-Reply-To: References: <9AA33462-9204-4D99-9269-78BD6C303E42@jpblcm.com> <2C6382CE-3B54-41AF-9305-35ABB8640127@zmirov.com> <38F81371-145B-4F25-BDDE-2673F04427E9@irtsnpdc.fr> Message-ID: <20AB153D-DBAF-4C0C-B657-7B47F5552923@irtsnpdc.fr> c'est clair : > 2008-12-09 19:38:53 +0100 - No Kerberos realm name found. pas de realm.Ton kerberos ne fonctionne pas. Comme te conseille Laurent, Il faut checker ton dns. Ce qui est inquiétant, c'est que tu as eu le droit à deux ingé pour l'install et à Guillaume Gete, (qui est passé, mais s'est-il arrêté ?) mais qui n'ont pu résoudre un "simple" problème DNS. Cela m'étonne vraiment qu'ils soient passés à travers. Le 19 juin 09 à 11:29, Bertrand Chatain a écrit : > En fait, je m'en suis rendu compte car j'ai fait la maquette d'un > serveur podcast producer pour le fun. Le serveur en lui même roule > bien mais au moment d'adjoindre d'autre clients xgrid ça coince. > > Le xgrid du podcast producer est impérativement kerberisé et le > poste que je veux adjoindre et sur le OD master non kerberisé donc > je soupçonne un lien de cause à effet. L'ouverture d'un ticket > kerberos manuelle n'a pas résolu le problème. > > > > A tous hasard voiles les logs du kerberos > > > May 03 13:40:49 zmirov.com krb5kdc[135](info): listening on fd 12: > tcp 0.0.0.0.88 > May 03 13:40:49 zmirov.com krb5kdc[135](info): listening on fd 11: > tcp ::.88 > May 03 13:40:49 zmirov.com krb5kdc[135](info): set up 4 sockets > May 03 13:40:49 zmirov.com krb5kdc[135](info): commencing operation > May 06 13:54:49 zmirov.com krb5kdc[114](info): setting up network... > May 06 13:54:49 zmirov.com krb5kdc[114](info): listening on fd 9: > udp fe80::1%lo0.88 > May 06 13:54:49 zmirov.com krb5kdc[114](info): skipping unrecognized > local address family 16 > May 06 13:54:49 zmirov.com krb5kdc[114](info): listening on fd 10: > udp 172.16.48.1.88 > krb5kdc: setsockopt(IPV6_V6ONLY,1) worked > May 06 13:54:49 zmirov.com krb5kdc[114](info): listening on fd 12: > tcp 0.0.0.0.88 > May 06 13:54:49 zmirov.com krb5kdc[114](info): listening on fd 11: > tcp ::.88 > May 06 13:54:49 zmirov.com krb5kdc[114](info): set up 4 sockets > May 06 13:54:49 zmirov.com krb5kdc[114](info): commencing operation > > et peut être plus intéressant dans les logs de ma réplique OD > > 2008-12-09 19:38:52 +0100 - 9 Enabling local Kerberos server > 2008-12-09 19:38:53 +0100 - No Kerberos realm name found. > 2008-12-09 19:38:53 +0100 - command: /usr/sbin/vpnaddkeyagentuser - > q /LDAPv3/127.0.0.1 > 2008-12-09 19:38:57 +0100 - ldap_modify: Internal (implementation > specific) error (80) > additional info: could not read file > 2009-01-30 01:31:14 +0100 - slapconfig -setmaxnumberofdblocks > > > Le 19 juin 09 à 10:52, Jean-Luc Bailloeul a écrit : > >> >> Le 18 juin 09 à 14:02, Bertrand Chatain a écrit : >> >>> Bonjour >>> >>> je viens de voir dans mon OD master que kerberos est éteint. C'est >>> grave docteur ? ;-) >> Cela dépend si tu t'en sers ou pas. >> Kerberos permet d'obtenir à l'ouverture de session un ticket >> d'authentification pour une durée donnée (par défaut de 10H il me >> semble). >> C'est très pratique lorsqu'on fait de l'ouverture de dossiers au >> démarrage, puisqu'il permet de ne pas retaper son mot de passe. >> C'est utilisable bien sûr pour plein de services, mais si tu ne >> t'en sers pas c'est pas dramatique. >> >> En effet, les problèmes de DNS sont rédibitoires pour l'instal de >> kerberos. >> mais tu pourrais regarder également dans les logs de kdc, voir s'il >> ne se plaint pas d'autre chose. >> J'ai régulièrement eu et j'ai encore régulièrement des problèmes >> avec Kerberos, qui ne sont pas forcément de l'ordre du DNS. >> Cdt, >> Jean-Luc >>> >>> Je peux pas dire depuis quand et je demande même s'il n'a jamais >>> été activer. >>> >>> si je l'active il va se passer quoi ? >>> >>> Bertrand >>> _______________________________________________ >>> Admin-ml mailing list >>> Admin-ml@mosx.org >>> http://coruscant.mosx.org/mailman/listinfo/admin-ml >>> >> >> _______________________________________________ >> Admin-ml mailing list >> Admin-ml@mosx.org >> http://coruscant.mosx.org/mailman/listinfo/admin-ml > > -- > Zmirov Communication > Bertrand Chatain - Infographiste - Webmaster > 64, rue Jean-Jacques Rousseau 75001 Paris - France > Tél. : 33 (0)1 55 34 37 89 - Fax : 33 (0)1 55 34 37 67 > www.zmirov.com - bertrand.chatain@zmirov.com - aim : bchatain > > > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml > From bertrand.chatain at zmirov.com Sat Jun 20 13:06:47 2009 From: bertrand.chatain at zmirov.com (Bertrand Chatain) Date: Sat Jun 20 13:06:30 2009 Subject: [Admin-ml] pas de kerberos In-Reply-To: <20AB153D-DBAF-4C0C-B657-7B47F5552923@irtsnpdc.fr> References: <9AA33462-9204-4D99-9269-78BD6C303E42@jpblcm.com> <2C6382CE-3B54-41AF-9305-35ABB8640127@zmirov.com> <38F81371-145B-4F25-BDDE-2673F04427E9@irtsnpdc.fr> <20AB153D-DBAF-4C0C-B657-7B47F5552923@irtsnpdc.fr> Message-ID: pour guillaume Gete, il est intervenu pour un probleme de synchro iphone entourage et il a accepté de jeter un coup d'oeil à mon serveur. Le DNS n'était pas mauvais pour lui mais "il n'aurait pas fait comme ça" reponse pour : $ sudo changeip -checkhostname Primary address = 172.16.48.1 Current HostName = zmirov.com DNS HostName = zmirov.com The names match. There is nothing to change. sur ma replique Primary address = 192.168.2.3 Current HostName = asap.zmirov.com DNS HostName = asap.zmirov.com The names match. There is nothing to change. Le 20 juin 09 à 09:36, Jean-Luc Bailloeul a écrit : > c'est clair : >> 2008-12-09 19:38:53 +0100 - No Kerberos realm name found. > pas de realm.Ton kerberos ne fonctionne pas. > Comme te conseille Laurent, Il faut checker ton dns. > > Ce qui est inquiétant, c'est que tu as eu le droit à deux ingé pour > l'install et à Guillaume Gete, (qui est passé, mais s'est-il > arrêté ?) mais qui n'ont pu résoudre un "simple" problème DNS. Cela > m'étonne vraiment qu'ils soient passés à travers. > > > > > Le 19 juin 09 à 11:29, Bertrand Chatain a écrit : > >> En fait, je m'en suis rendu compte car j'ai fait la maquette d'un >> serveur podcast producer pour le fun. Le serveur en lui même roule >> bien mais au moment d'adjoindre d'autre clients xgrid ça coince. >> >> Le xgrid du podcast producer est impérativement kerberisé et le >> poste que je veux adjoindre et sur le OD master non kerberisé donc >> je soupçonne un lien de cause à effet. L'ouverture d'un ticket >> kerberos manuelle n'a pas résolu le problème. >> >> >> >> A tous hasard voiles les logs du kerberos >> >> >> May 03 13:40:49 zmirov.com krb5kdc[135](info): listening on fd 12: >> tcp 0.0.0.0.88 >> May 03 13:40:49 zmirov.com krb5kdc[135](info): listening on fd 11: >> tcp ::.88 >> May 03 13:40:49 zmirov.com krb5kdc[135](info): set up 4 sockets >> May 03 13:40:49 zmirov.com krb5kdc[135](info): commencing operation >> May 06 13:54:49 zmirov.com krb5kdc[114](info): setting up network... >> May 06 13:54:49 zmirov.com krb5kdc[114](info): listening on fd 9: >> udp fe80::1%lo0.88 >> May 06 13:54:49 zmirov.com krb5kdc[114](info): skipping >> unrecognized local address family 16 >> May 06 13:54:49 zmirov.com krb5kdc[114](info): listening on fd 10: >> udp 172.16.48.1.88 >> krb5kdc: setsockopt(IPV6_V6ONLY,1) worked >> May 06 13:54:49 zmirov.com krb5kdc[114](info): listening on fd 12: >> tcp 0.0.0.0.88 >> May 06 13:54:49 zmirov.com krb5kdc[114](info): listening on fd 11: >> tcp ::.88 >> May 06 13:54:49 zmirov.com krb5kdc[114](info): set up 4 sockets >> May 06 13:54:49 zmirov.com krb5kdc[114](info): commencing operation >> >> et peut être plus intéressant dans les logs de ma réplique OD >> >> 2008-12-09 19:38:52 +0100 - 9 Enabling local Kerberos server >> 2008-12-09 19:38:53 +0100 - No Kerberos realm name found. >> 2008-12-09 19:38:53 +0100 - command: /usr/sbin/vpnaddkeyagentuser - >> q /LDAPv3/127.0.0.1 >> 2008-12-09 19:38:57 +0100 - ldap_modify: Internal (implementation >> specific) error (80) >> additional info: could not read file >> 2009-01-30 01:31:14 +0100 - slapconfig -setmaxnumberofdblocks >> >> >> Le 19 juin 09 à 10:52, Jean-Luc Bailloeul a écrit : >> >>> >>> Le 18 juin 09 à 14:02, Bertrand Chatain a écrit : >>> >>>> Bonjour >>>> >>>> je viens de voir dans mon OD master que kerberos est éteint. >>>> C'est grave docteur ? ;-) >>> Cela dépend si tu t'en sers ou pas. >>> Kerberos permet d'obtenir à l'ouverture de session un ticket >>> d'authentification pour une durée donnée (par défaut de 10H il me >>> semble). >>> C'est très pratique lorsqu'on fait de l'ouverture de dossiers au >>> démarrage, puisqu'il permet de ne pas retaper son mot de passe. >>> C'est utilisable bien sûr pour plein de services, mais si tu ne >>> t'en sers pas c'est pas dramatique. >>> >>> En effet, les problèmes de DNS sont rédibitoires pour l'instal de >>> kerberos. >>> mais tu pourrais regarder également dans les logs de kdc, voir >>> s'il ne se plaint pas d'autre chose. >>> J'ai régulièrement eu et j'ai encore régulièrement des problèmes >>> avec Kerberos, qui ne sont pas forcément de l'ordre du DNS. >>> Cdt, >>> Jean-Luc >>>> >>>> Je peux pas dire depuis quand et je demande même s'il n'a jamais >>>> été activer. >>>> >>>> si je l'active il va se passer quoi ? >>>> >>>> Bertrand >>>> _______________________________________________ >>>> Admin-ml mailing list >>>> Admin-ml@mosx.org >>>> http://coruscant.mosx.org/mailman/listinfo/admin-ml >>>> >>> >>> _______________________________________________ >>> Admin-ml mailing list >>> Admin-ml@mosx.org >>> http://coruscant.mosx.org/mailman/listinfo/admin-ml >> >> -- >> Zmirov Communication >> Bertrand Chatain - Infographiste - Webmaster >> 64, rue Jean-Jacques Rousseau 75001 Paris - France >> Tél. : 33 (0)1 55 34 37 89 - Fax : 33 (0)1 55 34 37 67 >> www.zmirov.com - bertrand.chatain@zmirov.com - aim : bchatain >> >> >> _______________________________________________ >> Admin-ml mailing list >> Admin-ml@mosx.org >> http://coruscant.mosx.org/mailman/listinfo/admin-ml >> > > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml -- Zmirov Communication Bertrand Chatain - Infographiste - Webmaster 64, rue Jean-Jacques Rousseau 75001 Paris - France Tél. : 33 (0)1 55 34 37 89 - Fax : 33 (0)1 55 34 37 67 www.zmirov.com - bertrand.chatain@zmirov.com - aim : bchatain From jlbailloeul at irtsnpdc.fr Sat Jun 20 13:36:45 2009 From: jlbailloeul at irtsnpdc.fr (Jean-Luc Bailloeul) Date: Sat Jun 20 13:36:32 2009 Subject: [Admin-ml] pas de kerberos In-Reply-To: References: <9AA33462-9204-4D99-9269-78BD6C303E42@jpblcm.com> <2C6382CE-3B54-41AF-9305-35ABB8640127@zmirov.com> <38F81371-145B-4F25-BDDE-2673F04427E9@irtsnpdc.fr> <20AB153D-DBAF-4C0C-B657-7B47F5552923@irtsnpdc.fr> Message-ID: oui, cela m'étonnait aussi qu'ils aient raté un problème DNS. J'en parlais dans le thread "quand kerby contrarie AFP", Kerberos m'a régulièrement fait des siennes avec un DNS en bon état. procédons par élimination : - que dis ton fichier /Library/Preferences/edu.mit.Kerberos - vérifies les fichiers keytab? : ls -l /var/db/krb5kdc - vérifie que la config est stockée dans le ldap : dscl localhost > cd /LDAPv3/127.0.0.1/Config > ls > read KerberosClient > read KerberosKDC - vérifier que le fichier kadm5.keytab contient les bons principals >ktutil: rkt /var/db/krb5kdc/kadm5.keytab >ktutil: list ? Vérifier que le fichier /etc/krb5.keytab a bien été créé puis, qu'il contient les principals des services $klist -ke - vérifier que tu obtiens le bon ticket : kinit nom_user klist -5 Si tu faire une sortie de tout cela on pourra peut-être voir ce qui cloche. Rendons à Olivier ce qui appartient à César : Je n'ai ici rien inventé, c'est même du copié-collé. Je te renvoie vers l'excellent cookbook d'Olivier Ducrot et le sujet adhoc : http://www.easymac.fr:8082/easymac/technicalcookbook/mosxserver/mosxserver-kbase/mosxserver-kbase-kerberos-repare Tiens-nous au courant. Jean-Luc Le 20 juin 09 à 13:06, Bertrand Chatain a écrit : > pour guillaume Gete, il est intervenu pour un probleme de synchro > iphone entourage et il a accepté de jeter un coup d'oeil à mon > serveur. Le DNS n'était pas mauvais pour lui mais "il n'aurait pas > fait comme ça" > > reponse pour : $ sudo changeip -checkhostname > > Primary address = 172.16.48.1 > > Current HostName = zmirov.com > DNS HostName = zmirov.com > > The names match. There is nothing to change. > > sur ma replique > > Primary address = 192.168.2.3 > > Current HostName = asap.zmirov.com > DNS HostName = asap.zmirov.com > > The names match. There is nothing to change. > > > Le 20 juin 09 à 09:36, Jean-Luc Bailloeul a écrit : > >> c'est clair : >>> 2008-12-09 19:38:53 +0100 - No Kerberos realm name found. >> pas de realm.Ton kerberos ne fonctionne pas. >> Comme te conseille Laurent, Il faut checker ton dns. >> >> Ce qui est inquiétant, c'est que tu as eu le droit à deux ingé pour >> l'install et à Guillaume Gete, (qui est passé, mais s'est-il >> arrêté ?) mais qui n'ont pu résoudre un "simple" problème DNS. Cela >> m'étonne vraiment qu'ils soient passés à travers. >> >> >> >> >> Le 19 juin 09 à 11:29, Bertrand Chatain a écrit : >> >>> En fait, je m'en suis rendu compte car j'ai fait la maquette d'un >>> serveur podcast producer pour le fun. Le serveur en lui même roule >>> bien mais au moment d'adjoindre d'autre clients xgrid ça coince. >>> >>> Le xgrid du podcast producer est impérativement kerberisé et le >>> poste que je veux adjoindre et sur le OD master non kerberisé donc >>> je soupçonne un lien de cause à effet. L'ouverture d'un ticket >>> kerberos manuelle n'a pas résolu le problème. >>> >>> >>> >>> A tous hasard voiles les logs du kerberos >>> >>> >>> May 03 13:40:49 zmirov.com krb5kdc[135](info): listening on fd 12: >>> tcp 0.0.0.0.88 >>> May 03 13:40:49 zmirov.com krb5kdc[135](info): listening on fd 11: >>> tcp ::.88 >>> May 03 13:40:49 zmirov.com krb5kdc[135](info): set up 4 sockets >>> May 03 13:40:49 zmirov.com krb5kdc[135](info): commencing operation >>> May 06 13:54:49 zmirov.com krb5kdc[114](info): setting up network... >>> May 06 13:54:49 zmirov.com krb5kdc[114](info): listening on fd 9: >>> udp fe80::1%lo0.88 >>> May 06 13:54:49 zmirov.com krb5kdc[114](info): skipping >>> unrecognized local address family 16 >>> May 06 13:54:49 zmirov.com krb5kdc[114](info): listening on fd 10: >>> udp 172.16.48.1.88 >>> krb5kdc: setsockopt(IPV6_V6ONLY,1) worked >>> May 06 13:54:49 zmirov.com krb5kdc[114](info): listening on fd 12: >>> tcp 0.0.0.0.88 >>> May 06 13:54:49 zmirov.com krb5kdc[114](info): listening on fd 11: >>> tcp ::.88 >>> May 06 13:54:49 zmirov.com krb5kdc[114](info): set up 4 sockets >>> May 06 13:54:49 zmirov.com krb5kdc[114](info): commencing operation >>> >>> et peut être plus intéressant dans les logs de ma réplique OD >>> >>> 2008-12-09 19:38:52 +0100 - 9 Enabling local Kerberos server >>> 2008-12-09 19:38:53 +0100 - No Kerberos realm name found. >>> 2008-12-09 19:38:53 +0100 - command: /usr/sbin/vpnaddkeyagentuser - >>> q /LDAPv3/127.0.0.1 >>> 2008-12-09 19:38:57 +0100 - ldap_modify: Internal (implementation >>> specific) error (80) >>> additional info: could not read file >>> 2009-01-30 01:31:14 +0100 - slapconfig -setmaxnumberofdblocks >>> >>> >>> Le 19 juin 09 à 10:52, Jean-Luc Bailloeul a écrit : >>> >>>> >>>> Le 18 juin 09 à 14:02, Bertrand Chatain a écrit : >>>> >>>>> Bonjour >>>>> >>>>> je viens de voir dans mon OD master que kerberos est éteint. >>>>> C'est grave docteur ? ;-) >>>> Cela dépend si tu t'en sers ou pas. >>>> Kerberos permet d'obtenir à l'ouverture de session un ticket >>>> d'authentification pour une durée donnée (par défaut de 10H il me >>>> semble). >>>> C'est très pratique lorsqu'on fait de l'ouverture de dossiers au >>>> démarrage, puisqu'il permet de ne pas retaper son mot de passe. >>>> C'est utilisable bien sûr pour plein de services, mais si tu ne >>>> t'en sers pas c'est pas dramatique. >>>> >>>> En effet, les problèmes de DNS sont rédibitoires pour l'instal de >>>> kerberos. >>>> mais tu pourrais regarder également dans les logs de kdc, voir >>>> s'il ne se plaint pas d'autre chose. >>>> J'ai régulièrement eu et j'ai encore régulièrement des problèmes >>>> avec Kerberos, qui ne sont pas forcément de l'ordre du DNS. >>>> Cdt, >>>> Jean-Luc >>>>> >>>>> Je peux pas dire depuis quand et je demande même s'il n'a jamais >>>>> été activer. >>>>> >>>>> si je l'active il va se passer quoi ? >>>>> >>>>> Bertrand >>>>> _______________________________________________ >>>>> Admin-ml mailing list >>>>> Admin-ml@mosx.org >>>>> http://coruscant.mosx.org/mailman/listinfo/admin-ml >>>>> >>>> >>>> _______________________________________________ >>>> Admin-ml mailing list >>>> Admin-ml@mosx.org >>>> http://coruscant.mosx.org/mailman/listinfo/admin-ml >>> >>> -- >>> Zmirov Communication >>> Bertrand Chatain - Infographiste - Webmaster >>> 64, rue Jean-Jacques Rousseau 75001 Paris - France >>> Tél. : 33 (0)1 55 34 37 89 - Fax : 33 (0)1 55 34 37 67 >>> www.zmirov.com - bertrand.chatain@zmirov.com - aim : bchatain >>> >>> >>> _______________________________________________ >>> Admin-ml mailing list >>> Admin-ml@mosx.org >>> http://coruscant.mosx.org/mailman/listinfo/admin-ml >>> >> >> _______________________________________________ >> Admin-ml mailing list >> Admin-ml@mosx.org >> http://coruscant.mosx.org/mailman/listinfo/admin-ml > > -- > Zmirov Communication > Bertrand Chatain - Infographiste - Webmaster > 64, rue Jean-Jacques Rousseau 75001 Paris - France > Tél. : 33 (0)1 55 34 37 89 - Fax : 33 (0)1 55 34 37 67 > www.zmirov.com - bertrand.chatain@zmirov.com - aim : bchatain > > > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml > From gblazquez at esac-pau.fr Mon Jun 22 14:41:16 2009 From: gblazquez at esac-pau.fr (Gabriel Blazquez) Date: Mon Jun 22 14:48:09 2009 Subject: [Admin-ml] Leopard server et clients vista Message-ID: <4A3F7BEC.5050503@esac-pau.fr> Bonjour, Je teste un xserve sous 10.5.6 server et plus particulièrement les services windows. Donc j'ai paramétré mon xserve en maitre OD, je l'ai activé comme CPD windows .... Pour les clients os x et win XP pas de problèmes loggin ok , les clients xp fonctionne tip top mais pas les clients vista , login ok mais les docs enregistres par exemple sur le bureau sur un client xp ne suivent pas ... Dans les logs samba j'ai ca suite a la connexion sur un client vista pro : The process has forked and you cannot use this CoreFoundation functionality safely. You MUST exec(). Break on __THE_PROCESS_HAS_FORKED_AND_YOU_CANNOT_USE_THIS_COREFOUNDATION_FUNCTIONALITY___YOU_MUST_EXEC__() to debug. [2009/06/22 10:29:42, 0, pid=1832] /SourceCache/samba/samba-187.8/samba/source/rpc_server/srv_netlog_nt.c:_net_auth_2(527) _net_auth2: creds_server_check failed. Rejecting auth request from client TOSH1 machine account TOSH1$ Merci pour vos pistes . -- Gabriel Blazquez ECOLE SUPERIEURE DES ARTS ET DE LA COMMUNICATION 74 Allées de Morlàas 64000 PAU TEL 05 59 90 34 87 FAX 05 59 90 34 85 From fcombernous at kezia.com Mon Jun 22 15:26:05 2009 From: fcombernous at kezia.com (Fabien COMBERNOUS) Date: Mon Jun 22 15:26:26 2009 Subject: [Admin-ml] kvm pour apple Message-ID: <4A3F866D.2060207@kezia.com> Bonjour la liste, Dans la famille KVM 1U avec écran intégré qui s'ouvre quand on sort le KVM, que me conseillez vous ? Je cherche un KVM avec un clavier à pomme bien entendu. Merci pour vos avis lumineux, -- *Fabien COMBERNOUS* /unix system engineer/ www.kezia.com *Tel: +33 (0) 467 992 986* Kezia Group From david at jdservices.fr Mon Jun 22 15:42:13 2009 From: david at jdservices.fr (David MISTRETTA) Date: Mon Jun 22 15:42:26 2009 Subject: [Admin-ml] kvm pour apple In-Reply-To: <4A3F866D.2060207@kezia.com> References: <4A3F866D.2060207@kezia.com> Message-ID: http://store.apple.com/fr/product/TR897ZM/A Cdt David Le 22 juin 2009 15:26, Fabien COMBERNOUS a écrit : > Bonjour la liste, > > Dans la famille KVM 1U avec écran intégré qui s'ouvre quand on sort le KVM, > que me conseillez vous ? Je cherche un KVM avec un clavier à pomme bien > entendu. > > Merci pour vos avis lumineux, > -- > *Fabien COMBERNOUS* > /unix system engineer/ > www.kezia.com > *Tel: +33 (0) 467 992 986* > Kezia Group > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml > From fcombernous at kezia.com Mon Jun 22 16:37:31 2009 From: fcombernous at kezia.com (Fabien COMBERNOUS) Date: Mon Jun 22 16:37:46 2009 Subject: [Admin-ml] kvm pour apple In-Reply-To: References: <4A3F866D.2060207@kezia.com> Message-ID: <4A3F972B.1050203@kezia.com> David MISTRETTA wrote: > http://store.apple.com/fr/product/TR897ZM/A > Heu ... il ne semble pas embarquer un écran. Dans le KVM 1U, je veux aussi un écran plat LCD intégré :) > > > -- *Fabien COMBERNOUS* /unix system engineer/ www.kezia.com *Tel: +33 (0) 467 992 986* Kezia Group From david at jdservices.fr Mon Jun 22 17:09:58 2009 From: david at jdservices.fr (David MISTRETTA) Date: Mon Jun 22 17:17:15 2009 Subject: [Admin-ml] kvm pour apple In-Reply-To: <4A3F972B.1050203@kezia.com> References: <4A3F866D.2060207@kezia.com> <4A3F972B.1050203@kezia.com> Message-ID: Regarde du coter de belking http://catalog.belkin.com/IWCatSectionView.process?Section_Id=206172 Le 22 juin 2009 16:37, Fabien COMBERNOUS a écrit : > David MISTRETTA wrote: > >> http://store.apple.com/fr/product/TR897ZM/A >> >> > > Heu ... il ne semble pas embarquer un écran. Dans le KVM 1U, je veux aussi > un écran plat LCD intégré :) > > >> >> >> > > > -- > *Fabien COMBERNOUS* > /unix system engineer/ > www.kezia.com > *Tel: +33 (0) 467 992 986* > Kezia Group > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml > From fcombernous at kezia.com Mon Jun 22 18:51:41 2009 From: fcombernous at kezia.com (Fabien COMBERNOUS) Date: Mon Jun 22 18:51:54 2009 Subject: [Admin-ml] kvm pour apple In-Reply-To: References: <4A3F866D.2060207@kezia.com> <4A3F972B.1050203@kezia.com> Message-ID: <4A3FB69D.5010306@kezia.com> David MISTRETTA wrote: > Regarde du coter de belking > > http://catalog.belkin.com/IWCatSectionView.process?Section_Id=206172 > C'est bien ce genre de produits que je recherche. Mais il n'est indiqué nulle part que le clavier est un clavier apple. Vous en avez un que vous savez avec clavier apple ? -- *Fabien COMBERNOUS* /unix system engineer/ www.kezia.com *Tel: +33 (0) 467 992 986* Kezia Group From david at jdservices.fr Mon Jun 22 20:39:19 2009 From: david at jdservices.fr (David MISTRETTA) Date: Mon Jun 22 20:39:31 2009 Subject: [Admin-ml] kvm pour apple In-Reply-To: <4A3FB69D.5010306@kezia.com> References: <4A3F866D.2060207@kezia.com> <4A3F972B.1050203@kezia.com> <4A3FB69D.5010306@kezia.com> Message-ID: humm je pense pas que tu trouvera un système complet, du moins de mon coter j'ai jamais vu Le 22 juin 2009 18:51, Fabien COMBERNOUS a écrit : > David MISTRETTA wrote: > >> Regarde du coter de belking >> >> http://catalog.belkin.com/IWCatSectionView.process?Section_Id=206172 >> >> > > C'est bien ce genre de produits que je recherche. Mais il n'est indiqué > nulle part que le clavier est un clavier apple. Vous en avez un que vous > savez avec clavier apple ? > > -- > *Fabien COMBERNOUS* > /unix system engineer/ > www.kezia.com > *Tel: +33 (0) 467 992 986* > Kezia Group > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml > From fcombernous at kezia.com Tue Jun 23 09:34:17 2009 From: fcombernous at kezia.com (Fabien COMBERNOUS) Date: Tue Jun 23 09:34:31 2009 Subject: [Admin-ml] kvm pour apple In-Reply-To: References: <4A3F866D.2060207@kezia.com> <4A3F972B.1050203@kezia.com> <4A3FB69D.5010306@kezia.com> Message-ID: <4A408579.7040108@kezia.com> David MISTRETTA wrote: > humm je pense pas que tu trouvera un système complet, du moins de mon coter > j'ai jamais vu > Excusez ma difficulté à vous comprendre. Mais vous entez quoi pas "système complet" ? Si cela veux peut-etre dire Clavier+souris+écran. Et c'est bien ce que je cherche. Mais les clavier apple on un mappage des touches clavier différent des autre. Je me souviens, je me suis retrouvé comme une poule qui découvre un couteau la première fois que j'ai voulu accéder au caractère pipe | sur un clavier apple. Et ce dernier n'est qu'un exemple :) Je cherche donc un système complet dans le sens que je viens de décrire avec un clavier mappé à la apple. -- *Fabien COMBERNOUS* /unix system engineer/ www.kezia.com *Tel: +33 (0) 467 992 986* Kezia Group From francis at alphamosa.fr Tue Jun 23 10:03:20 2009 From: francis at alphamosa.fr (LEBOURQ Francis) Date: Tue Jun 23 10:03:35 2009 Subject: [Admin-ml] kvm pour apple In-Reply-To: <4A408579.7040108@kezia.com> References: <4A3F866D.2060207@kezia.com> <4A3F972B.1050203@kezia.com> <4A3FB69D.5010306@kezia.com> <4A408579.7040108@kezia.com> Message-ID: Bonjour Je pense que ce que vous recherchez est une console de supervision en 1U intégrant KVM, écran plat et clavier. Comme ceux proposé ici par Belkin (http://catalog.belkin.com/IWCatSectionView.process?Section_Id=206172 ) Il y a d'autres constructeurs (Avocent, Emine, Aten, Raritan, Altusen...) mais aucun n'intègre un clavier Mac (avec la pomme et le mapping qui va avec). Pour ma part, j'utilise le clavier standard (sur un Belkin 16 voies) et j'ai collé une étiquette "mémo" pour les combinaisons de touches un peu compliquée (qui ne sont pas si nombreuses que cela...). Pour moi, le choix d'un tel produit doit aussi être guidé par : - Le type de câble entre le KVM et les serveurs (diamètre, rigidité et longueur des câbles) - Le support de l'USB (pour le Mac c'est indispensable) - L'option d'utilisation du KVM "over IP" (un "plus" non négligeable souvent) - Les possibilités d'extensions (chaînage d'unités KVM "esclaves") A+ Francis Le 23 juin 09 à 09:34, Fabien COMBERNOUS a écrit : > David MISTRETTA wrote: >> humm je pense pas que tu trouvera un système complet, du moins de >> mon coter >> j'ai jamais vu >> > > Excusez ma difficulté à vous comprendre. Mais vous entez quoi pas > "système complet" ? Si cela veux peut-etre dire Clavier+souris > +écran. Et c'est bien ce que je cherche. Mais les clavier apple on > un mappage des touches clavier différent des autre. Je me souviens, > je me suis retrouvé comme une poule qui découvre un couteau la > première fois que j'ai voulu accéder au caractère pipe | sur un > clavier apple. Et ce dernier n'est qu'un exemple :) > > Je cherche donc un système complet dans le sens que je viens de > décrire avec un clavier mappé à la apple. > -- > *Fabien COMBERNOUS* > /unix system engineer/ > www.kezia.com > *Tel: +33 (0) 467 992 986* > Kezia Group > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml -- _____________________________________________________________________ Francis LEBOURQ Directeur Technique ALPHA MOSA eMail :Francis@alphamosa.fr 14, bis rue Howard Houston Expert Apple 51170 ARCIS LE PONSART - France Tel : 03 26 48 17 56 Fax : 03 26 48 10 87 _____________________________________________________________________ From fcombernous at kezia.com Tue Jun 23 10:11:08 2009 From: fcombernous at kezia.com (Fabien COMBERNOUS) Date: Tue Jun 23 10:11:22 2009 Subject: [Admin-ml] kvm pour apple In-Reply-To: References: <4A3F866D.2060207@kezia.com> <4A3F972B.1050203@kezia.com> <4A3FB69D.5010306@kezia.com> <4A408579.7040108@kezia.com> Message-ID: <4A408E1C.5060907@kezia.com> LEBOURQ Francis wrote: > Bonjour > > > Je pense que ce que vous recherchez est une console de supervision en > 1U intégrant KVM, écran plat et clavier. > Comme ceux proposé ici par Belkin > (http://catalog.belkin.com/IWCatSectionView.process?Section_Id=206172) > Il y a d'autres constructeurs (Avocent, Emine, Aten, Raritan, > Altusen...) mais aucun n'intègre un clavier Mac (avec la pomme et le > mapping qui va avec). > Pour ma part, j'utilise le clavier standard (sur un Belkin 16 voies) > et j'ai collé une étiquette "mémo" pour les combinaisons de touches un > peu compliquée (qui ne sont pas si nombreuses que cela...). Heu ... jocker :) > > Pour moi, le choix d'un tel produit doit aussi être guidé par : > - Le type de câble entre le KVM et les serveurs (diamètre, > rigidité et longueur des câbles) > - Le support de l'USB (pour le Mac c'est indispensable) > - L'option d'utilisation du KVM "over IP" (un "plus" non > négligeable souvent) > - Les possibilités d'extensions (chaînage d'unités KVM "esclaves") Je te rejoins sur ces critères. Mais s'il n'existe pas un produit digne de ce nom avec un mapping apple, là on voit bien qu'Apple ne vise pas les professionnels du serveur. Merci pour vos avis. -- *Fabien COMBERNOUS* /unix system engineer/ www.kezia.com *Tel: +33 (0) 467 992 986* Kezia Group From fs.nospam1 at laposte.net Tue Jun 23 10:43:24 2009 From: fs.nospam1 at laposte.net (=?ISO-8859-1?Q?Fran=E7ois_SCHOSSIG?=) Date: Tue Jun 23 10:43:43 2009 Subject: [Admin-ml] kvm pour apple In-Reply-To: <4A408E1C.5060907@kezia.com> References: <4A3F866D.2060207@kezia.com> <4A3F972B.1050203@kezia.com> <4A3FB69D.5010306@kezia.com> <4A408579.7040108@kezia.com> <4A408E1C.5060907@kezia.com> Message-ID: <007401DC-4C42-4188-A4DA-FBBCC9E14CC0@laposte.net> J'avoue une incompétence : je ne vois pas où est le problème ??? Pourquoi ne pas brancher un clavier Apple sur le KVM usb ? Et si le KVM doit utiliser un écran dans un tiroir dans une baie, on peut même utiliser le nouveau clavier sans pavé numérique d'Apple. En plus, par contre, ceci vient de me faire enfin comprendre pourquoi Apple a supprimé le pavé numérique de ses claviers : c'est justement pour pouvoir les mettre dans un rack ! Évidemment !!! -- F. SCHOSSIG, ICT Manager Assemblée des Régions d'Europe http://www.aer.eu Le 23 juin 09 à 10:11, Fabien COMBERNOUS a écrit : > Mais s'il n'existe pas un produit digne de ce nom avec un mapping > apple, là on voit bien qu'Apple ne vise pas les professionnels du > serveur. > Merci pour vos avis. From fcombernous at kezia.com Tue Jun 23 12:11:24 2009 From: fcombernous at kezia.com (Fabien COMBERNOUS) Date: Tue Jun 23 12:11:38 2009 Subject: [Admin-ml] kvm pour apple In-Reply-To: <007401DC-4C42-4188-A4DA-FBBCC9E14CC0@laposte.net> References: <4A3F866D.2060207@kezia.com> <4A3F972B.1050203@kezia.com> <4A3FB69D.5010306@kezia.com> <4A408579.7040108@kezia.com> <4A408E1C.5060907@kezia.com> <007401DC-4C42-4188-A4DA-FBBCC9E14CC0@laposte.net> Message-ID: <4A40AA4C.4090507@kezia.com> François SCHOSSIG wrote: > J'avoue une incompétence : je ne vois pas où est le problème ??? > > Pourquoi ne pas brancher un clavier Apple sur le KVM usb ? Et si le > KVM doit utiliser un écran dans un tiroir dans une baie, on peut même > utiliser le nouveau clavier sans pavé numérique d'Apple. Oula :) Je découvre le monde Mac. S'il y a un produit qui correspond, n'hésite pas à me donner un pointeur. Je cherche que dans un rack 1U clavier, souris, écran avec un clavier mappé apple. -- *Fabien COMBERNOUS* /unix system engineer/ www.kezia.com *Tel: +33 (0) 467 992 986* Kezia Group From odlists at easymac.fr Tue Jun 23 12:45:44 2009 From: odlists at easymac.fr (Olivier DUCROT) Date: Tue Jun 23 12:45:59 2009 Subject: [Admin-ml] kvm pour apple In-Reply-To: <4A40AA4C.4090507@kezia.com> Message-ID: Il n'y en a pas à ma connaissance. Tu trouveras des claviers avec un mappage PC et une correspondance entre la touche "Windows" et la touche "Commande". Il y aura aussi quelques différences habituelles entre les touches des claviers PC et des claviers Apple. Globalement, ça fonctionne. Il faut tout de même conservé un clavier Apple pas trop loin, pour les procédures de démarrage avec touche enfoncée (genre : S, V, Alt, etc) car les claviers non-Apple ne seront pas reconnus à ce moment précis de la phase de boot. le 23/06/09 12:11, Fabien COMBERNOUS à fcombernous@kezia.com a écrit : > François SCHOSSIG wrote: >> J'avoue une incompétence : je ne vois pas où est le problème ??? >> >> Pourquoi ne pas brancher un clavier Apple sur le KVM usb ? Et si le >> KVM doit utiliser un écran dans un tiroir dans une baie, on peut même >> utiliser le nouveau clavier sans pavé numérique d'Apple. > > Oula :) Je découvre le monde Mac. S'il y a un produit qui correspond, > n'hésite pas à me donner un pointeur. > Je cherche que dans un rack 1U clavier, souris, écran avec un clavier > mappé apple. _________________________________________________________ | |  | |  / )| Olivier DUCROT |( \ / / | ACSP, ACTC & ACSA 10.5 | \ \ _( (_ | | _) )_ (((\ \>|_/->_______________________________________________<-\_| References: Message-ID: <38265137-4C51-4389-BDB0-F01D04D2A1DE@lignedefuite.fr> Bonjour, Je me permets de rebondir la-dessus car j'ai justement un comportement étrange avec un clavier alu sans pavé numérique qui ne me laisse pas choisir les options de démarrage. L'appui sur quelque touche que ce soit au boot est totalement ignoré. Je me retrouve donc obligé de ressortir du placard un ancien clavier blanc... N'ayant qu'un seul clavier alu sous la main, il ne m'a pas été possible d'en tester un autre: observez-vous ce même comportement? Et avez-vous une idée de sa cause possible? G. Le 23 juin 09 à 12:45, Olivier DUCROT a écrit : > pour les > procédures de démarrage avec touche enfoncée (genre : S, V, Alt, > etc) car > les claviers non-Apple ne seront pas reconnus à ce moment précis de > la phase > de boot. From f.vincent at allibert-trekking.com Tue Jun 23 13:41:20 2009 From: f.vincent at allibert-trekking.com (Fabrice Vincent) Date: Tue Jun 23 13:41:48 2009 Subject: [Admin-ml] kvm pour apple In-Reply-To: Message-ID: > De : LEBOURQ Francis > > Bonjour > > > Je pense que ce que vous recherchez est une console de supervision en > 1U intégrant KVM, écran plat et clavier. > Comme ceux proposé ici par Belkin > (http://catalog.belkin.com/IWCatSectionView.process?Section_Id=206172 > ) > Il y a d'autres constructeurs (Avocent, Emine, Aten, Raritan, > Altusen...) mais aucun n'intègre un clavier Mac (avec la pomme et le > mapping qui va avec). Je confirme. Je n'ai jamais trouvé de KVM tout intégré avec un clavier mac (et j'ai cherché...) > Pour ma part, j'utilise le clavier standard (sur un Belkin 16 voies) > et j'ai collé une étiquette "mémo" pour les combinaisons de touches un > peu compliquée (qui ne sont pas si nombreuses que cela...). J'utilise aussi un belkin: un omnivew et un expander pour un total de 32 ports de contrôle. J'y connecte un écran plat, une souris à molette, et deux claviers: un clavier mac USB et un clavier PC PS/2. Le KVM gère sans soucis le double clavier, ce qui me permet d'avoir le mappage mac pour mes xserv, et un mappage PC pour mes serveurs linux. Par contre ça prend un peu de place (mais en s'organisant ça le fait bien). Les reproches que je fait au belkin omniview: 1) il ne permet pas d'utiliser les combinaisons de touches de démarrage (par exemple pour zapper une PRAM ou pour démarrer en single user) 2) le support vidéo en VGA yoyotte parfois (mais ça reste rare) Belkin a (ou avais, j'ai pas vérifié récemment) un intégré KVM+écran+clavier+trackpad dans la gamme omniview. Tu peux prendre ça et y rajouter simplement un clavier USB mac.... > > Pour moi, le choix d'un tel produit doit aussi être guidé par : > - Le type de câble entre le KVM et les serveurs (diamètre, rigidité > et longueur des câbles) J'ai opté pour la classique cable KVM, les câbles Cat5 étant nettement plus chers!!! > - Le support de l'USB (pour le Mac c'est indispensable) > - L'option d'utilisation du KVM "over IP" (un "plus" non négligeable > souvent) > - Les possibilités d'extensions (chaînage d'unités KVM "esclaves") > > A+ > > Francis > > > Le 23 juin 09 à 09:34, Fabien COMBERNOUS a écrit : > >> David MISTRETTA wrote: >>> humm je pense pas que tu trouvera un système complet, du moins de >>> mon coter >>> j'ai jamais vu >>> >> >> Excusez ma difficulté à vous comprendre. Mais vous entez quoi pas >> "système complet" ? Si cela veux peut-etre dire Clavier+souris >> +écran. Et c'est bien ce que je cherche. Mais les clavier apple on >> un mappage des touches clavier différent des autre. Je me souviens, >> je me suis retrouvé comme une poule qui découvre un couteau la >> première fois que j'ai voulu accéder au caractère pipe | sur un >> clavier apple. Et ce dernier n'est qu'un exemple :) >> >> Je cherche donc un système complet dans le sens que je viens de >> décrire avec un clavier mappé à la apple. >> -- >> *Fabien COMBERNOUS* >> /unix system engineer/ >> www.kezia.com >> *Tel: +33 (0) 467 992 986* >> Kezia Group >> _______________________________________________ >> Admin-ml mailing list >> Admin-ml@mosx.org >> http://coruscant.mosx.org/mailman/listinfo/admin-ml > > -- > _____________________________________________________________________ > Francis LEBOURQ Directeur Technique > ALPHA MOSA eMail :Francis@alphamosa.fr > 14, bis rue Howard Houston Expert Apple > 51170 ARCIS LE PONSART - France > Tel : 03 26 48 17 56 > Fax : 03 26 48 10 87 > _____________________________________________________________________ > > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml > From globulle at mac.com Tue Jun 23 15:11:37 2009 From: globulle at mac.com (=?ISO-8859-1?Q?J=E9r=F4me_Lamarque?=) Date: Tue Jun 23 15:18:28 2009 Subject: [Admin-ml] kvm pour apple In-Reply-To: <007401DC-4C42-4188-A4DA-FBBCC9E14CC0@laposte.net> References: <4A3F866D.2060207@kezia.com> <4A3F972B.1050203@kezia.com> <4A3FB69D.5010306@kezia.com> <4A408579.7040108@kezia.com> <4A408E1C.5060907@kezia.com> <007401DC-4C42-4188-A4DA-FBBCC9E14CC0@laposte.net> Message-ID: <52A7DFED-0DF9-435B-A4C4-0D7556B718BA@mac.com> Bonjour, Le 23 juin 09 à 10:43, François SCHOSSIG a écrit : > > En plus, par contre, ceci vient de me faire enfin comprendre > pourquoi Apple a supprimé le pavé numérique de ses claviers : c'est > justement pour pouvoir les mettre dans un rack ! Évidemment !!! Le nouveau clavier *avec* pavé numérique mesure exactement 17 pouces, ce qui laisse deux pouces en largeur pour le mettre dans un rack. Ça devrait pouvoir se bricoler. Cordialement, -- Jérôme Lamarque Laboratoire d'Anthropologie sociale CNRS / Collège de France / EHESS lamarque@ehess.fr Téléphone: 01 44 27 18 83, Télécopie: 01 44 27 17 66 From jean-loup.dubreucq at medecine.uhp-nancy.fr Tue Jun 23 15:31:51 2009 From: jean-loup.dubreucq at medecine.uhp-nancy.fr (Jean-Loup DUBREUCQ) Date: Tue Jun 23 15:32:04 2009 Subject: [Admin-ml] kvm pour apple In-Reply-To: <4A408E1C.5060907@kezia.com> References: <4A3F866D.2060207@kezia.com> <4A3F972B.1050203@kezia.com> <4A3FB69D.5010306@kezia.com> <4A408579.7040108@kezia.com> <4A408E1C.5060907@kezia.com> Message-ID: Bonjour, Le 23 juin 09 à 10:11, Fabien COMBERNOUS a écrit : > Mais s'il n'existe pas un produit digne de ce nom avec un mapping > apple, là on voit bien qu'Apple ne vise pas les professionnels du > serveur. N'y voyez aucune tentative d'amorce d'un troll, mais le fait que Belkin dispose d'une référence avec une disposition "à la windows" et pas "à la mac" ne signifie pas que Microsoft s'engage plus qu'Apple en direction des professionnels, cela signifie simplement que Mister Belkin est sûr de vendre plus d'une version que de l'autre ... C'est même le "drame" d'Apple : il font eux mêmes et cela empêche le marché tiers de se développer (c'est aussi vrai au plan logiciel quand ils ajoutent telle ou telle fonctionnalité) ou ils ne font pas ... et parfois cela manque ! Donc on s'adapte ... -- - JLD - "... la règle des trois P et des deux T : Pas de Panique, Prudence, et une Tasse de Thé." Les leçons de Maître Eolas ______________________________________________________________________ Jean-Loup DUBREUCQ - Responsable SIRET - +33 (0)3 836 83068 Faculte de Medecine - Université Henri Poincare - Nancy I ______________________________________________________________________ _/ _/_/_/ _/ _/_/ _/_/_/ _/_/_/ Service Info Reseaux et Telecom _/ _/ _/ _/ _/ _/ Secretariat : +33 (0)3 836 83060 _/_/_/ _/ _/_/ _/_/ _/ Telecopie : +33 (0)3 836 83099 _/ _/ _/ _/ _/ _/ mailto:reseau@medecine.uhp-nancy.fr _/_/_/ _/ _/ _/ _/_/_/ _/ http://www.medecine.uhp-nancy.fr From fcombernous at kezia.com Tue Jun 23 16:29:38 2009 From: fcombernous at kezia.com (Fabien COMBERNOUS) Date: Tue Jun 23 16:29:52 2009 Subject: [Admin-ml] kvm pour apple In-Reply-To: <52A7DFED-0DF9-435B-A4C4-0D7556B718BA@mac.com> References: <4A3F866D.2060207@kezia.com> <4A3F972B.1050203@kezia.com> <4A3FB69D.5010306@kezia.com> <4A408579.7040108@kezia.com> <4A408E1C.5060907@kezia.com> <007401DC-4C42-4188-A4DA-FBBCC9E14CC0@laposte.net> <52A7DFED-0DF9-435B-A4C4-0D7556B718BA@mac.com> Message-ID: <4A40E6D2.5040901@kezia.com> Jérôme Lamarque wrote: > Bonjour, > > Le 23 juin 09 à 10:43, François SCHOSSIG a écrit : >> >> En plus, par contre, ceci vient de me faire enfin comprendre pourquoi >> Apple a supprimé le pavé numérique de ses claviers : c'est justement >> pour pouvoir les mettre dans un rack ! Évidemment !!! > > > Le nouveau clavier *avec* pavé numérique mesure exactement 17 pouces, > ce qui laisse deux pouces en largeur pour le mettre dans un rack. > Ça devrait pouvoir se bricoler. Est-ce cette référence ? http://store.apple.com/us/product/MB110LL/A?fnode=MTY1NDA1Mg&mco=NDE4NDIyOA -- *Fabien COMBERNOUS* /unix system engineer/ www.kezia.com *Tel: +33 (0) 467 992 986* Kezia Group From jlbailloeul at irtsnpdc.fr Thu Jun 25 15:27:04 2009 From: jlbailloeul at irtsnpdc.fr (Jean-Luc Bailloeul) Date: Thu Jun 25 15:27:12 2009 Subject: [Admin-ml] Questions SAMBA Message-ID: Bonjour la liste, J'ai quelques questions problématiques au sujet de la configuration avancée de SAMBA et de Bootpd. Mon serveur est le PDC de mon domaine. Le domaine fonctionne correctement depuis longtemps mais certaines fonctionnalités bien pratiques ne sont pas présentes sur les PCs connectés au domaine, et bien que ce soit plus cosmétique qu'autre chose, j'aimerais bien finir par trouver des solutions. Je rencontres deux problèmes : - lorsque l'on ajoute un PC au domaine, il faut impérativement le passer en IP fixe d'abord, sans quoi le PC ne trouve pas le domaine. - Les admins du serveur ne sont pas admins du domaine. Nous avons bien sûr systématiquement un compte admin local, mais utiliser un compte serveur serait tout aussi pratique. Mes recherches sur le premier problème révèle que Samba émule un domaine de type NT, basé sur Wins. Pour que le PC en DHCP trouve le domaine, il a besoin soit de résoudre le nom wins du PDC, soit de résoudre l'enregistrement SRV du PDC. Concernant la résolution Wins, il s'avère que Bootpd ne renvoie pas la valeur option netbios-name-servers. Si le serveur DHCP était un classique DHCP server, j'aurais réglé le problème en quelques secondes. Cependant, si j'ai bien compris, bootpd stocke sa config dans la base Netinfo du serveur, et là, je ne sais pas comment aller trifouiller, et je n'en ai pas envie, de crainte de faire pire que mieux. Je me suis donc tourné vers un enregistrement SRV. Cependant, la GUI ne permet pas les enregistrements SRV, et ajouter manuellement le dit enregistrement me fait douter, car celui-ci, du type : SRV _ldap._tcp.dc._msdcs.mondomaine intègre des caractères (_) qui ne respecteraient pas les RFCs. Concernant la création d'utilisateurs admin pour le domaine, il s'agit de faire correspondre le groupe admin du domaine de Samba avec le groupe admin Unix. J'ai donc créé un groupe admin pour le domaine windows, winsadmin, et tenté d'associer le groupe "Domain admins" à ce dernier. En utilisant la commande net comme suit : sudo net groupmap add ntgroup="Domain Admins" unixgroup=winsadmin Le groupe est bien créé. J'ai ajouté dans l'enregistrement OD correspondant l'attribut "SMBRID" avec la valeur 512 apparemment nécessaire aux PCs pour identifier le groupe administrateur du domaine. Mon groupe comporte les bons utilisateurs, et le Primary Group SID correspond bien au RID groupe admin. Cependant mes admins ne sont toujours pas reconnus comme tel sur le domaine. Composantes du problèmes : OS X.4.11 Server, WXP SP3. Si vous avez une expérience concernant ces deux problèmesŠ Question bonus : l'un d'entre vous a t-il essayé d'ajouter un Windows Seven sur un domaine Samba ? Merci, Jean-Luc From yvast at free.fr Thu Jun 25 17:37:32 2009 From: yvast at free.fr (Yan) Date: Thu Jun 25 17:37:55 2009 Subject: [Admin-ml] Question lsof Message-ID: <0A1BECFE-DD97-4368-9B7B-3EA1ED9D0004@free.fr> Bonjour, je cherche un moyen de lister les fichiers ouvert via afp ainsi que l'ip corespondante. Je m'essaye à la commande lsof mais je n'arrive pas à faire le lien entre le fichiers ouvert et le n0 de process ou l'ip. si je fait un "lsof | grep afp" il me ressort bien les connections afp : AppleFile 193 root 14u IPv4 0x02050200 0t0 TCP 192.168.90.3:afpovertcp->192.168.90.101:49171 (ESTABLISHED) si je fais un "lsof | grep "MatriceOpeBasque.xls" il me retrouve bien le fichier AppleFile 193 root 45u VREG 14,10 77824 171797 /Volumes/Data/Photographes/01_LISTE COMMERCIALES POINTAGE/003 REGION/47305 ope aquitaine ete AG2 01 V/MatriceOpeBasque.xls Je n'arrive pas à trouver le process dudit fichier, il ne me sort que le père? C'est un mac qui à planté, du coup le process ne c'est pas terminé comme il faut et le fichier est concidéré comme ouvert en écriture. Comment faites vous dans ce cas là ? Merci de vos pistes -- Yannick From f.vincent at allibert-trekking.com Thu Jun 25 17:57:23 2009 From: f.vincent at allibert-trekking.com (Fabrice Vincent) Date: Thu Jun 25 17:57:43 2009 Subject: [Admin-ml] Question lsof In-Reply-To: <0A1BECFE-DD97-4368-9B7B-3EA1ED9D0004@free.fr> Message-ID: > De : Yan > Répondre à : Administrateurs Systèmes sur Mac OS X > Date : Thu, 25 Jun 2009 17:37:32 +0200 > À : Administrateurs Systèmes sur Mac OS X > Objet : [Admin-ml] Question lsof > > C'est un mac qui à planté, du coup le process ne c'est pas terminé > comme il faut et le fichier est concidéré comme ouvert en écriture. > > Comment faites vous dans ce cas là ? Dans ce cas là pas besoin de lsof: je vais dans l'admin server, dans AFP > Connexions, et je déconnecte la session de l'ordinateur qui a planté. A+ Fabrice From bertrand.chatain at zmirov.com Thu Jun 25 18:16:45 2009 From: bertrand.chatain at zmirov.com (Bertrand Chatain) Date: Thu Jun 25 18:17:15 2009 Subject: [Admin-ml] pas de kerberos In-Reply-To: References: <9AA33462-9204-4D99-9269-78BD6C303E42@jpblcm.com> <2C6382CE-3B54-41AF-9305-35ABB8640127@zmirov.com> <38F81371-145B-4F25-BDDE-2673F04427E9@irtsnpdc.fr> <20AB153D-DBAF-4C0C-B657-7B47F5552923@irtsnpdc.fr> Message-ID: <1D3AA3FF-9639-4007-86A5-29D2766AE9EC@zmirov.com> Le 20 juin 09 à 13:36, Jean-Luc Bailloeul a écrit : > oui, cela m'étonnait aussi qu'ils aient raté un problème DNS. > J'en parlais dans le thread "quand kerby contrarie AFP", Kerberos > m'a régulièrement fait des siennes avec un DNS en bon état. > > procédons par élimination : > > - que dis ton fichier /Library/Preferences/edu.mit.Kerberos pas de fichier > > - vérifies les fichiers keytab? : ls -l /var/db/krb5kdc total 240 -rw------- 1 root wheel 30 3 avr 2008 .k5.LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC -rw------- 1 root wheel 839 3 avr 2008 kdc.conf -rw------- 1 root wheel 106496 24 jui 12:30 principal.LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC -rw------- 1 root wheel 8192 3 avr 2008 principal.LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC.kadm5 -rw------- 1 root wheel 0 24 jui 12:30 principal.LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC.kadm5.lock -rw------- 1 root wheel 0 24 jui 12:30 principal.LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC.ok zmirov:~ root# > > - vérifie que la config est stockée dans le ldap : > dscl localhost > > > cd /LDAPv3/127.0.0.1/Config > > ls CIFSServer CollabServices Group_Dir_Items Home_Dir_Items ldapreplicas macosxodconfig macosxodpolicy mcx_cache passwordserver passwordserver_xxxxxxxxxxxxxxxxxxxxxxxxxx > > read KerberosClient /LDAPv3/127.0.0.1/Config > read KerberosClient DS Error: -14136 (eDSRecordNotFound) > > read KerberosKDC > read KerberosKDC > > - vérifier que le fichier kadm5.keytab contient les bons principals > >ktutil: rkt /var/db/krb5kdc/kadm5.keytab ktutil: rkt /var/db/krb5kdc/kadm5.keytab rkt: No such file or directory while reading keytab "/var/db/krb5kdc/ kadm5.keytab" > >ktutil: list > > ? Vérifier que le fichier /etc/krb5.keytab a bien été créé puis, > qu'il contient les principals des services > $klist -ke > > - vérifier que tu obtiens le bon ticket : > kinit nom_user > klist -5 > > Si tu faire une sortie de tout cela on pourra peut-être voir ce qui > cloche. > > Rendons à Olivier ce qui appartient à César : Je n'ai ici rien > inventé, c'est même du copié-collé. > Je te renvoie vers l'excellent cookbook d'Olivier Ducrot et le sujet > adhoc : > http://www.easymac.fr:8082/easymac/technicalcookbook/mosxserver/mosxserver-kbase/mosxserver-kbase-kerberos-repare > > Tiens-nous au courant. > Jean-Luc > > > Le 20 juin 09 à 13:06, Bertrand Chatain a écrit : > >> pour guillaume Gete, il est intervenu pour un probleme de synchro >> iphone entourage et il a accepté de jeter un coup d'oeil à mon >> serveur. Le DNS n'était pas mauvais pour lui mais "il n'aurait pas >> fait comme ça" >> >> reponse pour : $ sudo changeip -checkhostname >> >> Primary address = 172.16.48.1 >> >> Current HostName = zmirov.com >> DNS HostName = zmirov.com >> >> The names match. There is nothing to change. >> >> sur ma replique >> >> Primary address = 192.168.2.3 >> >> Current HostName = asap.zmirov.com >> DNS HostName = asap.zmirov.com >> >> The names match. There is nothing to change. >> >> >> Le 20 juin 09 à 09:36, Jean-Luc Bailloeul a écrit : >> >>> c'est clair : >>>> 2008-12-09 19:38:53 +0100 - No Kerberos realm name found. >>> pas de realm.Ton kerberos ne fonctionne pas. >>> Comme te conseille Laurent, Il faut checker ton dns. >>> >>> Ce qui est inquiétant, c'est que tu as eu le droit à deux ingé >>> pour l'install et à Guillaume Gete, (qui est passé, mais s'est-il >>> arrêté ?) mais qui n'ont pu résoudre un "simple" problème DNS. >>> Cela m'étonne vraiment qu'ils soient passés à travers. >>> >>> >>> >>> >>> Le 19 juin 09 à 11:29, Bertrand Chatain a écrit : >>> >>>> En fait, je m'en suis rendu compte car j'ai fait la maquette d'un >>>> serveur podcast producer pour le fun. Le serveur en lui même >>>> roule bien mais au moment d'adjoindre d'autre clients xgrid ça >>>> coince. >>>> >>>> Le xgrid du podcast producer est impérativement kerberisé et le >>>> poste que je veux adjoindre et sur le OD master non kerberisé >>>> donc je soupçonne un lien de cause à effet. L'ouverture d'un >>>> ticket kerberos manuelle n'a pas résolu le problème. >>>> >>>> >>>> >>>> A tous hasard voiles les logs du kerberos >>>> >>>> >>>> May 03 13:40:49 zmirov.com krb5kdc[135](info): listening on fd >>>> 12: tcp 0.0.0.0.88 >>>> May 03 13:40:49 zmirov.com krb5kdc[135](info): listening on fd >>>> 11: tcp ::.88 >>>> May 03 13:40:49 zmirov.com krb5kdc[135](info): set up 4 sockets >>>> May 03 13:40:49 zmirov.com krb5kdc[135](info): commencing operation >>>> May 06 13:54:49 zmirov.com krb5kdc[114](info): setting up >>>> network... >>>> May 06 13:54:49 zmirov.com krb5kdc[114](info): listening on fd 9: >>>> udp fe80::1%lo0.88 >>>> May 06 13:54:49 zmirov.com krb5kdc[114](info): skipping >>>> unrecognized local address family 16 >>>> May 06 13:54:49 zmirov.com krb5kdc[114](info): listening on fd >>>> 10: udp 172.16.48.1.88 >>>> krb5kdc: setsockopt(IPV6_V6ONLY,1) worked >>>> May 06 13:54:49 zmirov.com krb5kdc[114](info): listening on fd >>>> 12: tcp 0.0.0.0.88 >>>> May 06 13:54:49 zmirov.com krb5kdc[114](info): listening on fd >>>> 11: tcp ::.88 >>>> May 06 13:54:49 zmirov.com krb5kdc[114](info): set up 4 sockets >>>> May 06 13:54:49 zmirov.com krb5kdc[114](info): commencing operation >>>> >>>> et peut être plus intéressant dans les logs de ma réplique OD >>>> >>>> 2008-12-09 19:38:52 +0100 - 9 Enabling local Kerberos server >>>> 2008-12-09 19:38:53 +0100 - No Kerberos realm name found. >>>> 2008-12-09 19:38:53 +0100 - command: /usr/sbin/vpnaddkeyagentuser >>>> -q /LDAPv3/127.0.0.1 >>>> 2008-12-09 19:38:57 +0100 - ldap_modify: Internal (implementation >>>> specific) error (80) >>>> additional info: could not read file >>>> 2009-01-30 01:31:14 +0100 - slapconfig -setmaxnumberofdblocks >>>> >>>> >>>> Le 19 juin 09 à 10:52, Jean-Luc Bailloeul a écrit : >>>> >>>>> >>>>> Le 18 juin 09 à 14:02, Bertrand Chatain a écrit : >>>>> >>>>>> Bonjour >>>>>> >>>>>> je viens de voir dans mon OD master que kerberos est éteint. >>>>>> C'est grave docteur ? ;-) >>>>> Cela dépend si tu t'en sers ou pas. >>>>> Kerberos permet d'obtenir à l'ouverture de session un ticket >>>>> d'authentification pour une durée donnée (par défaut de 10H il >>>>> me semble). >>>>> C'est très pratique lorsqu'on fait de l'ouverture de dossiers au >>>>> démarrage, puisqu'il permet de ne pas retaper son mot de passe. >>>>> C'est utilisable bien sûr pour plein de services, mais si tu ne >>>>> t'en sers pas c'est pas dramatique. >>>>> >>>>> En effet, les problèmes de DNS sont rédibitoires pour l'instal >>>>> de kerberos. >>>>> mais tu pourrais regarder également dans les logs de kdc, voir >>>>> s'il ne se plaint pas d'autre chose. >>>>> J'ai régulièrement eu et j'ai encore régulièrement des problèmes >>>>> avec Kerberos, qui ne sont pas forcément de l'ordre du DNS. >>>>> Cdt, >>>>> Jean-Luc >>>>>> >>>>>> Je peux pas dire depuis quand et je demande même s'il n'a >>>>>> jamais été activer. >>>>>> >>>>>> si je l'active il va se passer quoi ? >>>>>> >>>>>> Bertrand >>>>>> _______________________________________________ >>>>>> Admin-ml mailing list >>>>>> Admin-ml@mosx.org >>>>>> http://coruscant.mosx.org/mailman/listinfo/admin-ml >>>>>> >>>>> >>>>> _______________________________________________ >>>>> Admin-ml mailing list >>>>> Admin-ml@mosx.org >>>>> http://coruscant.mosx.org/mailman/listinfo/admin-ml >>>> >>>> -- >>>> Zmirov Communication >>>> Bertrand Chatain - Infographiste - Webmaster >>>> 64, rue Jean-Jacques Rousseau 75001 Paris - France >>>> Tél. : 33 (0)1 55 34 37 89 - Fax : 33 (0)1 55 34 37 67 >>>> www.zmirov.com - bertrand.chatain@zmirov.com - aim : bchatain >>>> >>>> >>>> _______________________________________________ >>>> Admin-ml mailing list >>>> Admin-ml@mosx.org >>>> http://coruscant.mosx.org/mailman/listinfo/admin-ml >>>> >>> >>> _______________________________________________ >>> Admin-ml mailing list >>> Admin-ml@mosx.org >>> http://coruscant.mosx.org/mailman/listinfo/admin-ml >> >> -- >> Zmirov Communication >> Bertrand Chatain - Infographiste - Webmaster >> 64, rue Jean-Jacques Rousseau 75001 Paris - France >> Tél. : 33 (0)1 55 34 37 89 - Fax : 33 (0)1 55 34 37 67 >> www.zmirov.com - bertrand.chatain@zmirov.com - aim : bchatain >> >> >> _______________________________________________ >> Admin-ml mailing list >> Admin-ml@mosx.org >> http://coruscant.mosx.org/mailman/listinfo/admin-ml >> > > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml From jlbailloeul at irtsnpdc.fr Thu Jun 25 19:23:15 2009 From: jlbailloeul at irtsnpdc.fr (Jean-Luc Bailloeul) Date: Thu Jun 25 19:23:40 2009 Subject: [Admin-ml] pas de kerberos In-Reply-To: <1D3AA3FF-9639-4007-86A5-29D2766AE9EC@zmirov.com> References: <9AA33462-9204-4D99-9269-78BD6C303E42@jpblcm.com> <2C6382CE-3B54-41AF-9305-35ABB8640127@zmirov.com> <38F81371-145B-4F25-BDDE-2673F04427E9@irtsnpdc.fr> <20AB153D-DBAF-4C0C-B657-7B47F5552923@irtsnpdc.fr> <1D3AA3FF-9639-4007-86A5-29D2766AE9EC@zmirov.com> Message-ID: <221AC2A2-0119-49CD-A109-764093D1180C@irtsnpdc.fr> oui, ben, c'est mal barré. il te manque la moitié des fichiers. tu n'as pas de fichier edu.mit.kerberos, il te manque les principals du realm. Normalement tous ces fichiers sont créés à la création du master OD. Peut être que les problèmes DNS rencontrés à l'instal ont chuinté Kerberos. Je ne peux que te conseiller de casser ce qu'il reste de Kerberos, et de le reconstruire (sur un clone pour démarrer bien sûr), l'autre solution moins sympa étant de refaire ton OD :-(. la procédure est bien expliquée sur le site d'Olivier, même si cela serait bien qu'il puisse nous confirmer que la procédure est valable pour X.5. cf. http://www.easymac.fr:8082/easymac/technicalcookbook/mosxserver/mosxserver-kbase/mosxserver-kbase-kerberos-repare en suivant le pas à pas, cela devrait te prendre un bon quart d'heure. Bon courage ! Le 25 juin 09 à 18:16, Bertrand Chatain a écrit : > > Le 20 juin 09 à 13:36, Jean-Luc Bailloeul a écrit : > >> oui, cela m'étonnait aussi qu'ils aient raté un problème DNS. >> J'en parlais dans le thread "quand kerby contrarie AFP", Kerberos >> m'a régulièrement fait des siennes avec un DNS en bon état. >> >> procédons par élimination : >> >> - que dis ton fichier /Library/Preferences/edu.mit.Kerberos > > pas de fichier > >> >> - vérifies les fichiers keytab? : ls -l /var/db/krb5kdc > > total 240 > -rw------- 1 root wheel 30 3 avr > 2008 .k5.LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC > -rw------- 1 root wheel 839 3 avr 2008 kdc.conf > -rw------- 1 root wheel 106496 24 jui 12:30 > principal.LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC > -rw------- 1 root wheel 8192 3 avr 2008 > principal.LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC.kadm5 > -rw------- 1 root wheel 0 24 jui 12:30 > principal > .LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC.kadm5.lock > -rw------- 1 root wheel 0 24 jui 12:30 > principal.LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC.ok > zmirov:~ root# > >> >> - vérifie que la config est stockée dans le ldap : >> dscl localhost >> >> > cd /LDAPv3/127.0.0.1/Config >> > ls > > CIFSServer > CollabServices > Group_Dir_Items > Home_Dir_Items > ldapreplicas > macosxodconfig > macosxodpolicy > mcx_cache > passwordserver > passwordserver_xxxxxxxxxxxxxxxxxxxxxxxxxx > >> > read KerberosClient > > /LDAPv3/127.0.0.1/Config > read KerberosClient > DS Error: -14136 (eDSRecordNotFound) > >> > read KerberosKDC > >> read KerberosKDC > > > >> >> - vérifier que le fichier kadm5.keytab contient les bons principals >> >ktutil: rkt /var/db/krb5kdc/kadm5.keytab > > ktutil: rkt /var/db/krb5kdc/kadm5.keytab > rkt: No such file or directory while reading keytab "/var/db/krb5kdc/ > kadm5.keytab" > >> >ktutil: list >> >> ? Vérifier que le fichier /etc/krb5.keytab a bien été créé puis, >> qu'il contient les principals des services >> $klist -ke >> >> - vérifier que tu obtiens le bon ticket : >> kinit nom_user >> klist -5 >> >> Si tu faire une sortie de tout cela on pourra peut-être voir ce qui >> cloche. >> >> Rendons à Olivier ce qui appartient à César : Je n'ai ici rien >> inventé, c'est même du copié-collé. >> Je te renvoie vers l'excellent cookbook d'Olivier Ducrot et le >> sujet adhoc : >> http://www.easymac.fr:8082/easymac/technicalcookbook/mosxserver/mosxserver-kbase/mosxserver-kbase-kerberos-repare >> >> Tiens-nous au courant. >> Jean-Luc >> >> >> Le 20 juin 09 à 13:06, Bertrand Chatain a écrit : >> >>> pour guillaume Gete, il est intervenu pour un probleme de synchro >>> iphone entourage et il a accepté de jeter un coup d'oeil à mon >>> serveur. Le DNS n'était pas mauvais pour lui mais "il n'aurait pas >>> fait comme ça" >>> >>> reponse pour : $ sudo changeip -checkhostname >>> >>> Primary address = 172.16.48.1 >>> >>> Current HostName = zmirov.com >>> DNS HostName = zmirov.com >>> >>> The names match. There is nothing to change. >>> >>> sur ma replique >>> >>> Primary address = 192.168.2.3 >>> >>> Current HostName = asap.zmirov.com >>> DNS HostName = asap.zmirov.com >>> >>> The names match. There is nothing to change. >>> >>> >>> Le 20 juin 09 à 09:36, Jean-Luc Bailloeul a écrit : >>> >>>> c'est clair : >>>>> 2008-12-09 19:38:53 +0100 - No Kerberos realm name found. >>>> pas de realm.Ton kerberos ne fonctionne pas. >>>> Comme te conseille Laurent, Il faut checker ton dns. >>>> >>>> Ce qui est inquiétant, c'est que tu as eu le droit à deux ingé >>>> pour l'install et à Guillaume Gete, (qui est passé, mais s'est-il >>>> arrêté ?) mais qui n'ont pu résoudre un "simple" problème DNS. >>>> Cela m'étonne vraiment qu'ils soient passés à travers. >>>> >>>> >>>> >>>> >>>> Le 19 juin 09 à 11:29, Bertrand Chatain a écrit : >>>> >>>>> En fait, je m'en suis rendu compte car j'ai fait la maquette >>>>> d'un serveur podcast producer pour le fun. Le serveur en lui >>>>> même roule bien mais au moment d'adjoindre d'autre clients xgrid >>>>> ça coince. >>>>> >>>>> Le xgrid du podcast producer est impérativement kerberisé et le >>>>> poste que je veux adjoindre et sur le OD master non kerberisé >>>>> donc je soupçonne un lien de cause à effet. L'ouverture d'un >>>>> ticket kerberos manuelle n'a pas résolu le problème. >>>>> >>>>> >>>>> >>>>> A tous hasard voiles les logs du kerberos >>>>> >>>>> >>>>> May 03 13:40:49 zmirov.com krb5kdc[135](info): listening on fd >>>>> 12: tcp 0.0.0.0.88 >>>>> May 03 13:40:49 zmirov.com krb5kdc[135](info): listening on fd >>>>> 11: tcp ::.88 >>>>> May 03 13:40:49 zmirov.com krb5kdc[135](info): set up 4 sockets >>>>> May 03 13:40:49 zmirov.com krb5kdc[135](info): commencing >>>>> operation >>>>> May 06 13:54:49 zmirov.com krb5kdc[114](info): setting up >>>>> network... >>>>> May 06 13:54:49 zmirov.com krb5kdc[114](info): listening on fd >>>>> 9: udp fe80::1%lo0.88 >>>>> May 06 13:54:49 zmirov.com krb5kdc[114](info): skipping >>>>> unrecognized local address family 16 >>>>> May 06 13:54:49 zmirov.com krb5kdc[114](info): listening on fd >>>>> 10: udp 172.16.48.1.88 >>>>> krb5kdc: setsockopt(IPV6_V6ONLY,1) worked >>>>> May 06 13:54:49 zmirov.com krb5kdc[114](info): listening on fd >>>>> 12: tcp 0.0.0.0.88 >>>>> May 06 13:54:49 zmirov.com krb5kdc[114](info): listening on fd >>>>> 11: tcp ::.88 >>>>> May 06 13:54:49 zmirov.com krb5kdc[114](info): set up 4 sockets >>>>> May 06 13:54:49 zmirov.com krb5kdc[114](info): commencing >>>>> operation >>>>> >>>>> et peut être plus intéressant dans les logs de ma réplique OD >>>>> >>>>> 2008-12-09 19:38:52 +0100 - 9 Enabling local Kerberos server >>>>> 2008-12-09 19:38:53 +0100 - No Kerberos realm name found. >>>>> 2008-12-09 19:38:53 +0100 - command: /usr/sbin/ >>>>> vpnaddkeyagentuser -q /LDAPv3/127.0.0.1 >>>>> 2008-12-09 19:38:57 +0100 - ldap_modify: Internal >>>>> (implementation specific) error (80) >>>>> additional info: could not read file >>>>> 2009-01-30 01:31:14 +0100 - slapconfig -setmaxnumberofdblocks >>>>> >>>>> >>>>> Le 19 juin 09 à 10:52, Jean-Luc Bailloeul a écrit : >>>>> >>>>>> >>>>>> Le 18 juin 09 à 14:02, Bertrand Chatain a écrit : >>>>>> >>>>>>> Bonjour >>>>>>> >>>>>>> je viens de voir dans mon OD master que kerberos est éteint. >>>>>>> C'est grave docteur ? ;-) >>>>>> Cela dépend si tu t'en sers ou pas. >>>>>> Kerberos permet d'obtenir à l'ouverture de session un ticket >>>>>> d'authentification pour une durée donnée (par défaut de 10H il >>>>>> me semble). >>>>>> C'est très pratique lorsqu'on fait de l'ouverture de dossiers >>>>>> au démarrage, puisqu'il permet de ne pas retaper son mot de >>>>>> passe. >>>>>> C'est utilisable bien sûr pour plein de services, mais si tu ne >>>>>> t'en sers pas c'est pas dramatique. >>>>>> >>>>>> En effet, les problèmes de DNS sont rédibitoires pour l'instal >>>>>> de kerberos. >>>>>> mais tu pourrais regarder également dans les logs de kdc, voir >>>>>> s'il ne se plaint pas d'autre chose. >>>>>> J'ai régulièrement eu et j'ai encore régulièrement des >>>>>> problèmes avec Kerberos, qui ne sont pas forcément de l'ordre >>>>>> du DNS. >>>>>> Cdt, >>>>>> Jean-Luc >>>>>>> >>>>>>> Je peux pas dire depuis quand et je demande même s'il n'a >>>>>>> jamais été activer. >>>>>>> >>>>>>> si je l'active il va se passer quoi ? >>>>>>> >>>>>>> Bertrand >>>>>>> _______________________________________________ >>>>>>> Admin-ml mailing list >>>>>>> Admin-ml@mosx.org >>>>>>> http://coruscant.mosx.org/mailman/listinfo/admin-ml >>>>>>> >>>>>> >>>>>> _______________________________________________ >>>>>> Admin-ml mailing list >>>>>> Admin-ml@mosx.org >>>>>> http://coruscant.mosx.org/mailman/listinfo/admin-ml >>>>> >>>>> -- >>>>> Zmirov Communication >>>>> Bertrand Chatain - Infographiste - Webmaster >>>>> 64, rue Jean-Jacques Rousseau 75001 Paris - France >>>>> Tél. : 33 (0)1 55 34 37 89 - Fax : 33 (0)1 55 34 37 67 >>>>> www.zmirov.com - bertrand.chatain@zmirov.com - aim : bchatain >>>>> >>>>> >>>>> _______________________________________________ >>>>> Admin-ml mailing list >>>>> Admin-ml@mosx.org >>>>> http://coruscant.mosx.org/mailman/listinfo/admin-ml >>>>> >>>> >>>> _______________________________________________ >>>> Admin-ml mailing list >>>> Admin-ml@mosx.org >>>> http://coruscant.mosx.org/mailman/listinfo/admin-ml >>> >>> -- >>> Zmirov Communication >>> Bertrand Chatain - Infographiste - Webmaster >>> 64, rue Jean-Jacques Rousseau 75001 Paris - France >>> Tél. : 33 (0)1 55 34 37 89 - Fax : 33 (0)1 55 34 37 67 >>> www.zmirov.com - bertrand.chatain@zmirov.com - aim : bchatain >>> >>> >>> _______________________________________________ >>> Admin-ml mailing list >>> Admin-ml@mosx.org >>> http://coruscant.mosx.org/mailman/listinfo/admin-ml >>> >> >> _______________________________________________ >> Admin-ml mailing list >> Admin-ml@mosx.org >> http://coruscant.mosx.org/mailman/listinfo/admin-ml > > > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml From odlists at easymac.fr Mon Jun 29 07:15:46 2009 From: odlists at easymac.fr (Olivier DUCROT) Date: Mon Jun 29 07:16:08 2009 Subject: [Admin-ml] pas de kerberos In-Reply-To: <221AC2A2-0119-49CD-A109-764093D1180C@irtsnpdc.fr> Message-ID: Salut Jean-Luc, Je dois t'avouer que je n'ai jamais eu besoin de tester cette procédure depuis la sortie du 10.5, sur un 10.5. Il n'y a pas de raison que ça ne fonctionne plus. le 25/06/09 19:23, jean-luc Bailloeul à jlbailloeul@irtsnpdc.fr a écrit : > oui, ben, c'est mal barré. il te manque la moitié des fichiers. > tu n'as pas de fichier edu.mit.kerberos, il te manque les principals > du realm. > Normalement tous ces fichiers sont créés à la création du master OD. > Peut être que les problèmes DNS rencontrés à l'instal ont chuinté > Kerberos. > Je ne peux que te conseiller de casser ce qu'il reste de Kerberos, et > de le reconstruire (sur un clone pour démarrer bien sûr), l'autre > solution moins sympa étant de refaire ton OD :-(. > > la procédure est bien expliquée sur le site d'Olivier, même si cela > serait bien qu'il puisse nous confirmer que la procédure est valable > pour X.5. > cf. > http://www.easymac.fr:8082/easymac/technicalcookbook/mosxserver/mosxserver-kba > se/mosxserver-kbase-kerberos-repare > > en suivant le pas à pas, cela devrait te prendre un bon quart d'heure. > > Bon courage ! > > > Le 25 juin 09 à 18:16, Bertrand Chatain a écrit : > >> >> Le 20 juin 09 à 13:36, Jean-Luc Bailloeul a écrit : >> >>> oui, cela m'étonnait aussi qu'ils aient raté un problème DNS. >>> J'en parlais dans le thread "quand kerby contrarie AFP", Kerberos >>> m'a régulièrement fait des siennes avec un DNS en bon état. >>> >>> procédons par élimination : >>> >>> - que dis ton fichier /Library/Preferences/edu.mit.Kerberos >> >> pas de fichier >> >>> >>> - vérifies les fichiers keytabŠ : ls -l /var/db/krb5kdc >> >> total 240 >> -rw------- 1 root wheel 30 3 avr >> 2008 .k5.LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC >> -rw------- 1 root wheel 839 3 avr 2008 kdc.conf >> -rw------- 1 root wheel 106496 24 jui 12:30 >> principal.LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC >> -rw------- 1 root wheel 8192 3 avr 2008 >> principal.LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC.kadm5 >> -rw------- 1 root wheel 0 24 jui 12:30 >> principal >> .LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC.kadm5.lock >> -rw------- 1 root wheel 0 24 jui 12:30 >> principal.LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC.ok >> zmirov:~ root# >> >>> >>> - vérifie que la config est stockée dans le ldap : >>> dscl localhost >>> >>>> cd /LDAPv3/127.0.0.1/Config >>>> ls >> >> CIFSServer >> CollabServices >> Group_Dir_Items >> Home_Dir_Items >> ldapreplicas >> macosxodconfig >> macosxodpolicy >> mcx_cache >> passwordserver >> passwordserver_xxxxxxxxxxxxxxxxxxxxxxxxxx >> >>>> read KerberosClient >> >> /LDAPv3/127.0.0.1/Config > read KerberosClient >> DS Error: -14136 (eDSRecordNotFound) >> >>>> read KerberosKDC >> >>> read KerberosKDC >> >> >> >>> >>> - vérifier que le fichier kadm5.keytab contient les bons principals >>>> ktutil: rkt /var/db/krb5kdc/kadm5.keytab >> >> ktutil: rkt /var/db/krb5kdc/kadm5.keytab >> rkt: No such file or directory while reading keytab "/var/db/krb5kdc/ >> kadm5.keytab" >> >>>> ktutil: list >>> >>> € Vérifier que le fichier /etc/krb5.keytab a bien été créé puis, >>> qu'il contient les principals des services >>> $klist -ke >>> >>> - vérifier que tu obtiens le bon ticket : >>> kinit nom_user >>> klist -5 >>> >>> Si tu faire une sortie de tout cela on pourra peut-être voir ce qui >>> cloche. >>> >>> Rendons à Olivier ce qui appartient à César : Je n'ai ici rien >>> inventé, c'est même du copié-collé. >>> Je te renvoie vers l'excellent cookbook d'Olivier Ducrot et le >>> sujet adhoc : >>> http://www.easymac.fr:8082/easymac/technicalcookbook/mosxserver/mosxserver-k >>> base/mosxserver-kbase-kerberos-repare >>> >>> Tiens-nous au courant. >>> Jean-Luc >>> >>> >>> Le 20 juin 09 à 13:06, Bertrand Chatain a écrit : >>> >>>> pour guillaume Gete, il est intervenu pour un probleme de synchro >>>> iphone entourage et il a accepté de jeter un coup d'oeil à mon >>>> serveur. Le DNS n'était pas mauvais pour lui mais "il n'aurait pas >>>> fait comme ça" >>>> >>>> reponse pour : $ sudo changeip -checkhostname >>>> >>>> Primary address = 172.16.48.1 >>>> >>>> Current HostName = zmirov.com >>>> DNS HostName = zmirov.com >>>> >>>> The names match. There is nothing to change. >>>> >>>> sur ma replique >>>> >>>> Primary address = 192.168.2.3 >>>> >>>> Current HostName = asap.zmirov.com >>>> DNS HostName = asap.zmirov.com >>>> >>>> The names match. There is nothing to change. >>>> >>>> >>>> Le 20 juin 09 à 09:36, Jean-Luc Bailloeul a écrit : >>>> >>>>> c'est clair : >>>>>> 2008-12-09 19:38:53 +0100 - No Kerberos realm name found. >>>>> pas de realm.Ton kerberos ne fonctionne pas. >>>>> Comme te conseille Laurent, Il faut checker ton dns. >>>>> >>>>> Ce qui est inquiétant, c'est que tu as eu le droit à deux ingé >>>>> pour l'install et à Guillaume Gete, (qui est passé, mais s'est-il >>>>> arrêté ?) mais qui n'ont pu résoudre un "simple" problème DNS. >>>>> Cela m'étonne vraiment qu'ils soient passés à travers. >>>>> >>>>> >>>>> >>>>> >>>>> Le 19 juin 09 à 11:29, Bertrand Chatain a écrit : >>>>> >>>>>> En fait, je m'en suis rendu compte car j'ai fait la maquette >>>>>> d'un serveur podcast producer pour le fun. Le serveur en lui >>>>>> même roule bien mais au moment d'adjoindre d'autre clients xgrid >>>>>> ça coince. >>>>>> >>>>>> Le xgrid du podcast producer est impérativement kerberisé et le >>>>>> poste que je veux adjoindre et sur le OD master non kerberisé >>>>>> donc je soupçonne un lien de cause à effet. L'ouverture d'un >>>>>> ticket kerberos manuelle n'a pas résolu le problème. >>>>>> >>>>>> >>>>>> >>>>>> A tous hasard voiles les logs du kerberos >>>>>> >>>>>> >>>>>> May 03 13:40:49 zmirov.com krb5kdc[135](info): listening on fd >>>>>> 12: tcp 0.0.0.0.88 >>>>>> May 03 13:40:49 zmirov.com krb5kdc[135](info): listening on fd >>>>>> 11: tcp ::.88 >>>>>> May 03 13:40:49 zmirov.com krb5kdc[135](info): set up 4 sockets >>>>>> May 03 13:40:49 zmirov.com krb5kdc[135](info): commencing >>>>>> operation >>>>>> May 06 13:54:49 zmirov.com krb5kdc[114](info): setting up >>>>>> network... >>>>>> May 06 13:54:49 zmirov.com krb5kdc[114](info): listening on fd >>>>>> 9: udp fe80::1%lo0.88 >>>>>> May 06 13:54:49 zmirov.com krb5kdc[114](info): skipping >>>>>> unrecognized local address family 16 >>>>>> May 06 13:54:49 zmirov.com krb5kdc[114](info): listening on fd >>>>>> 10: udp 172.16.48.1.88 >>>>>> krb5kdc: setsockopt(IPV6_V6ONLY,1) worked >>>>>> May 06 13:54:49 zmirov.com krb5kdc[114](info): listening on fd >>>>>> 12: tcp 0.0.0.0.88 >>>>>> May 06 13:54:49 zmirov.com krb5kdc[114](info): listening on fd >>>>>> 11: tcp ::.88 >>>>>> May 06 13:54:49 zmirov.com krb5kdc[114](info): set up 4 sockets >>>>>> May 06 13:54:49 zmirov.com krb5kdc[114](info): commencing >>>>>> operation >>>>>> >>>>>> et peut être plus intéressant dans les logs de ma réplique OD >>>>>> >>>>>> 2008-12-09 19:38:52 +0100 - 9 Enabling local Kerberos server >>>>>> 2008-12-09 19:38:53 +0100 - No Kerberos realm name found. >>>>>> 2008-12-09 19:38:53 +0100 - command: /usr/sbin/ >>>>>> vpnaddkeyagentuser -q /LDAPv3/127.0.0.1 >>>>>> 2008-12-09 19:38:57 +0100 - ldap_modify: Internal >>>>>> (implementation specific) error (80) >>>>>> additional info: could not read file >>>>>> 2009-01-30 01:31:14 +0100 - slapconfig -setmaxnumberofdblocks >>>>>> >>>>>> >>>>>> Le 19 juin 09 à 10:52, Jean-Luc Bailloeul a écrit : >>>>>> >>>>>>> >>>>>>> Le 18 juin 09 à 14:02, Bertrand Chatain a écrit : >>>>>>> >>>>>>>> Bonjour >>>>>>>> >>>>>>>> je viens de voir dans mon OD master que kerberos est éteint. >>>>>>>> C'est grave docteur ? ;-) >>>>>>> Cela dépend si tu t'en sers ou pas. >>>>>>> Kerberos permet d'obtenir à l'ouverture de session un ticket >>>>>>> d'authentification pour une durée donnée (par défaut de 10H il >>>>>>> me semble). >>>>>>> C'est très pratique lorsqu'on fait de l'ouverture de dossiers >>>>>>> au démarrage, puisqu'il permet de ne pas retaper son mot de >>>>>>> passe. >>>>>>> C'est utilisable bien sûr pour plein de services, mais si tu ne >>>>>>> t'en sers pas c'est pas dramatique. >>>>>>> >>>>>>> En effet, les problèmes de DNS sont rédibitoires pour l'instal >>>>>>> de kerberos. >>>>>>> mais tu pourrais regarder également dans les logs de kdc, voir >>>>>>> s'il ne se plaint pas d'autre chose. >>>>>>> J'ai régulièrement eu et j'ai encore régulièrement des >>>>>>> problèmes avec Kerberos, qui ne sont pas forcément de l'ordre >>>>>>> du DNS. >>>>>>> Cdt, >>>>>>> Jean-Luc >>>>>>>> >>>>>>>> Je peux pas dire depuis quand et je demande même s'il n'a >>>>>>>> jamais été activer. >>>>>>>> >>>>>>>> si je l'active il va se passer quoi ? >>>>>>>> >>>>>>>> Bertrand >>>>>>>> _______________________________________________ >>>>>>>> Admin-ml mailing list >>>>>>>> Admin-ml@mosx.org >>>>>>>> http://coruscant.mosx.org/mailman/listinfo/admin-ml >>>>>>>> >>>>>>> >>>>>>> _______________________________________________ >>>>>>> Admin-ml mailing list >>>>>>> Admin-ml@mosx.org >>>>>>> http://coruscant.mosx.org/mailman/listinfo/admin-ml >>>>>> >>>>>> -- >>>>>> Zmirov Communication >>>>>> Bertrand Chatain - Infographiste - Webmaster >>>>>> 64, rue Jean-Jacques Rousseau 75001 Paris - France >>>>>> Tél. : 33 (0)1 55 34 37 89 - Fax : 33 (0)1 55 34 37 67 >>>>>> www.zmirov.com - bertrand.chatain@zmirov.com - aim : bchatain >>>>>> >>>>>> >>>>>> _______________________________________________ >>>>>> Admin-ml mailing list >>>>>> Admin-ml@mosx.org >>>>>> http://coruscant.mosx.org/mailman/listinfo/admin-ml >>>>>> >>>>> >>>>> _______________________________________________ >>>>> Admin-ml mailing list >>>>> Admin-ml@mosx.org >>>>> http://coruscant.mosx.org/mailman/listinfo/admin-ml >>>> >>>> -- >>>> Zmirov Communication >>>> Bertrand Chatain - Infographiste - Webmaster >>>> 64, rue Jean-Jacques Rousseau 75001 Paris - France >>>> Tél. : 33 (0)1 55 34 37 89 - Fax : 33 (0)1 55 34 37 67 >>>> www.zmirov.com - bertrand.chatain@zmirov.com - aim : bchatain >>>> >>>> >>>> _______________________________________________ >>>> Admin-ml mailing list >>>> Admin-ml@mosx.org >>>> http://coruscant.mosx.org/mailman/listinfo/admin-ml >>>> >>> >>> _______________________________________________ >>> Admin-ml mailing list >>> Admin-ml@mosx.org >>> http://coruscant.mosx.org/mailman/listinfo/admin-ml >> >> >> _______________________________________________ >> Admin-ml mailing list >> Admin-ml@mosx.org >> http://coruscant.mosx.org/mailman/listinfo/admin-ml > > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml _________________________________________________________ | |  | |  / )| Olivier DUCROT |( \ / / | ACSP, ACTC & ACSA 10.5 | \ \ _( (_ | | _) )_ (((\ \>|_/->_______________________________________________<-\_| Message-ID: Salut Olivier, Salut Bertrand, En regardant un peu plus en avant, il y a quand une petite différence entre la 10.4 et la 10.5, c'est que tout Leopard possède en local son propre petit Kerberos personnel, utilisé de base pour le partage d'écran embarqué dans Leo. D'où la présence, il me semble, des fichiers principal.LKDC:SHA1*. M'est avis du coup que contrairement à la procédure, il ne faut pas vider le dossier /var/db/krb5kdc/, sous peine de faire sauter la partie locale de Kerberos. Je pense que dans le cas de Bertrand où Kerberos n'a jamais été installé (les fichiers n'existent pas de toute façon), il devrait commencer à la partie 3 du tuto. Ce qui est curieux cependant dans la config de Bertrand, c'est que l'enregistrement DNS de son master correspond à son domaine, et non pas à une machine du domaine. >>>>> reponse pour : $ sudo changeip -checkhostname >>>>> >>>>> Primary address = 172.16.48.1 >>>>> >>>>> Current HostName = zmirov.com >>>>> DNS HostName = zmirov.com Ça me paraît curieux comme pratique (c'est ce qui a dû faire tiquer G.G). En résumé, cela lui donnerait ceci : $ kerberosautoconfig -r ZMIROV.COM -m zmirov.com $ kdcsetup -f /LDAPv3/127.0.0.1 -w -a admin -p ***** ZMIROV.COM $ sso_util configure -r ZMIROV.COM -a admin -p ***** all $ sso_util configure -r ZMIROV.COM -a admin -p ***** ldap $ mkpassdb -kerberize (sans faire l'impasse sur les vérifications). Correct ? > De : Olivier DUCROT > Répondre à : Administrateurs Systèmes sur Mac OS X > Date : Mon, 29 Jun 2009 07:15:46 +0200 > À : Administrateurs Systèmes sur Mac OS X > Conversation : [Admin-ml] pas de kerberos > Objet : Re: [Admin-ml] pas de kerberos > > Salut Jean-Luc, > Je dois t'avouer que je n'ai jamais eu besoin de tester cette procédure > depuis la sortie du 10.5, sur un 10.5. > Il n'y a pas de raison que ça ne fonctionne plus. > > > le 25/06/09 19:23, jean-luc Bailloeul à jlbailloeul@irtsnpdc.fr a écrit : > >> oui, ben, c'est mal barré. il te manque la moitié des fichiers. >> tu n'as pas de fichier edu.mit.kerberos, il te manque les principals >> du realm. >> Normalement tous ces fichiers sont créés à la création du master OD. >> Peut être que les problèmes DNS rencontrés à l'instal ont chuinté >> Kerberos. >> Je ne peux que te conseiller de casser ce qu'il reste de Kerberos, et >> de le reconstruire (sur un clone pour démarrer bien sûr), l'autre >> solution moins sympa étant de refaire ton OD :-(. >> >> la procédure est bien expliquée sur le site d'Olivier, même si cela >> serait bien qu'il puisse nous confirmer que la procédure est valable >> pour X.5. >> cf. >> http://www.easymac.fr:8082/easymac/technicalcookbook/mosxserver/mosxserver-kb>> a >> se/mosxserver-kbase-kerberos-repare >> >> en suivant le pas à pas, cela devrait te prendre un bon quart d'heure. >> >> Bon courage ! >> >> >> Le 25 juin 09 à 18:16, Bertrand Chatain a écrit : >> >>> >>> Le 20 juin 09 à 13:36, Jean-Luc Bailloeul a écrit : >>> >>>> oui, cela m'étonnait aussi qu'ils aient raté un problème DNS. >>>> J'en parlais dans le thread "quand kerby contrarie AFP", Kerberos >>>> m'a régulièrement fait des siennes avec un DNS en bon état. >>>> >>>> procédons par élimination : >>>> >>>> - que dis ton fichier /Library/Preferences/edu.mit.Kerberos >>> >>> pas de fichier >>> >>>> >>>> - vérifies les fichiers keytabŠ : ls -l /var/db/krb5kdc >>> >>> total 240 >>> -rw------- 1 root wheel 30 3 avr >>> 2008 .k5.LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC >>> -rw------- 1 root wheel 839 3 avr 2008 kdc.conf >>> -rw------- 1 root wheel 106496 24 jui 12:30 >>> principal.LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC >>> -rw------- 1 root wheel 8192 3 avr 2008 >>> principal.LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC.kadm5 >>> -rw------- 1 root wheel 0 24 jui 12:30 >>> principal >>> .LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC.kadm5.lock >>> -rw------- 1 root wheel 0 24 jui 12:30 >>> principal.LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC.ok >>> zmirov:~ root# >>> >>>> >>>> - vérifie que la config est stockée dans le ldap : >>>> dscl localhost >>>> >>>>> cd /LDAPv3/127.0.0.1/Config >>>>> ls >>> >>> CIFSServer >>> CollabServices >>> Group_Dir_Items >>> Home_Dir_Items >>> ldapreplicas >>> macosxodconfig >>> macosxodpolicy >>> mcx_cache >>> passwordserver >>> passwordserver_xxxxxxxxxxxxxxxxxxxxxxxxxx >>> >>>>> read KerberosClient >>> >>> /LDAPv3/127.0.0.1/Config > read KerberosClient >>> DS Error: -14136 (eDSRecordNotFound) >>> >>>>> read KerberosKDC >>> >>>> read KerberosKDC >>> >>> >>> >>>> >>>> - vérifier que le fichier kadm5.keytab contient les bons principals >>>>> ktutil: rkt /var/db/krb5kdc/kadm5.keytab >>> >>> ktutil: rkt /var/db/krb5kdc/kadm5.keytab >>> rkt: No such file or directory while reading keytab "/var/db/krb5kdc/ >>> kadm5.keytab" >>> >>>>> ktutil: list >>>> >>>> € Vérifier que le fichier /etc/krb5.keytab a bien été créé puis, >>>> qu'il contient les principals des services >>>> $klist -ke >>>> >>>> - vérifier que tu obtiens le bon ticket : >>>> kinit nom_user >>>> klist -5 >>>> >>>> Si tu faire une sortie de tout cela on pourra peut-être voir ce qui >>>> cloche. >>>> >>>> Rendons à Olivier ce qui appartient à César : Je n'ai ici rien >>>> inventé, c'est même du copié-collé. >>>> Je te renvoie vers l'excellent cookbook d'Olivier Ducrot et le >>>> sujet adhoc : >>>> http://www.easymac.fr:8082/easymac/technicalcookbook/mosxserver/mosxserver->>>> k >>>> base/mosxserver-kbase-kerberos-repare >>>> >>>> Tiens-nous au courant. >>>> Jean-Luc >>>> >>>> >>>> Le 20 juin 09 à 13:06, Bertrand Chatain a écrit : >>>> >>>>> pour guillaume Gete, il est intervenu pour un probleme de synchro >>>>> iphone entourage et il a accepté de jeter un coup d'oeil à mon >>>>> serveur. Le DNS n'était pas mauvais pour lui mais "il n'aurait pas >>>>> fait comme ça" >>>>> >>>>> reponse pour : $ sudo changeip -checkhostname >>>>> >>>>> Primary address = 172.16.48.1 >>>>> >>>>> Current HostName = zmirov.com >>>>> DNS HostName = zmirov.com >>>>> >>>>> The names match. There is nothing to change. >>>>> >>>>> sur ma replique >>>>> >>>>> Primary address = 192.168.2.3 >>>>> >>>>> Current HostName = asap.zmirov.com >>>>> DNS HostName = asap.zmirov.com >>>>> >>>>> The names match. There is nothing to change. >>>>> >>>>> >>>>> Le 20 juin 09 à 09:36, Jean-Luc Bailloeul a écrit : >>>>> >>>>>> c'est clair : >>>>>>> 2008-12-09 19:38:53 +0100 - No Kerberos realm name found. >>>>>> pas de realm.Ton kerberos ne fonctionne pas. >>>>>> Comme te conseille Laurent, Il faut checker ton dns. >>>>>> >>>>>> Ce qui est inquiétant, c'est que tu as eu le droit à deux ingé >>>>>> pour l'install et à Guillaume Gete, (qui est passé, mais s'est-il >>>>>> arrêté ?) mais qui n'ont pu résoudre un "simple" problème DNS. >>>>>> Cela m'étonne vraiment qu'ils soient passés à travers. >>>>>> >>>>>> >>>>>> >>>>>> >>>>>> Le 19 juin 09 à 11:29, Bertrand Chatain a écrit : >>>>>> >>>>>>> En fait, je m'en suis rendu compte car j'ai fait la maquette >>>>>>> d'un serveur podcast producer pour le fun. Le serveur en lui >>>>>>> même roule bien mais au moment d'adjoindre d'autre clients xgrid >>>>>>> ça coince. >>>>>>> >>>>>>> Le xgrid du podcast producer est impérativement kerberisé et le >>>>>>> poste que je veux adjoindre et sur le OD master non kerberisé >>>>>>> donc je soupçonne un lien de cause à effet. L'ouverture d'un >>>>>>> ticket kerberos manuelle n'a pas résolu le problème. >>>>>>> >>>>>>> >>>>>>> >>>>>>> A tous hasard voiles les logs du kerberos >>>>>>> >>>>>>> >>>>>>> May 03 13:40:49 zmirov.com krb5kdc[135](info): listening on fd >>>>>>> 12: tcp 0.0.0.0.88 >>>>>>> May 03 13:40:49 zmirov.com krb5kdc[135](info): listening on fd >>>>>>> 11: tcp ::.88 >>>>>>> May 03 13:40:49 zmirov.com krb5kdc[135](info): set up 4 sockets >>>>>>> May 03 13:40:49 zmirov.com krb5kdc[135](info): commencing >>>>>>> operation >>>>>>> May 06 13:54:49 zmirov.com krb5kdc[114](info): setting up >>>>>>> network... >>>>>>> May 06 13:54:49 zmirov.com krb5kdc[114](info): listening on fd >>>>>>> 9: udp fe80::1%lo0.88 >>>>>>> May 06 13:54:49 zmirov.com krb5kdc[114](info): skipping >>>>>>> unrecognized local address family 16 >>>>>>> May 06 13:54:49 zmirov.com krb5kdc[114](info): listening on fd >>>>>>> 10: udp 172.16.48.1.88 >>>>>>> krb5kdc: setsockopt(IPV6_V6ONLY,1) worked >>>>>>> May 06 13:54:49 zmirov.com krb5kdc[114](info): listening on fd >>>>>>> 12: tcp 0.0.0.0.88 >>>>>>> May 06 13:54:49 zmirov.com krb5kdc[114](info): listening on fd >>>>>>> 11: tcp ::.88 >>>>>>> May 06 13:54:49 zmirov.com krb5kdc[114](info): set up 4 sockets >>>>>>> May 06 13:54:49 zmirov.com krb5kdc[114](info): commencing >>>>>>> operation >>>>>>> >>>>>>> et peut être plus intéressant dans les logs de ma réplique OD >>>>>>> >>>>>>> 2008-12-09 19:38:52 +0100 - 9 Enabling local Kerberos server >>>>>>> 2008-12-09 19:38:53 +0100 - No Kerberos realm name found. >>>>>>> 2008-12-09 19:38:53 +0100 - command: /usr/sbin/ >>>>>>> vpnaddkeyagentuser -q /LDAPv3/127.0.0.1 >>>>>>> 2008-12-09 19:38:57 +0100 - ldap_modify: Internal >>>>>>> (implementation specific) error (80) >>>>>>> additional info: could not read file >>>>>>> 2009-01-30 01:31:14 +0100 - slapconfig -setmaxnumberofdblocks >>>>>>> >>>>>>> >>>>>>> Le 19 juin 09 à 10:52, Jean-Luc Bailloeul a écrit : >>>>>>> >>>>>>>> >>>>>>>> Le 18 juin 09 à 14:02, Bertrand Chatain a écrit : >>>>>>>> >>>>>>>>> Bonjour >>>>>>>>> >>>>>>>>> je viens de voir dans mon OD master que kerberos est éteint. >>>>>>>>> C'est grave docteur ? ;-) >>>>>>>> Cela dépend si tu t'en sers ou pas. >>>>>>>> Kerberos permet d'obtenir à l'ouverture de session un ticket >>>>>>>> d'authentification pour une durée donnée (par défaut de 10H il >>>>>>>> me semble). >>>>>>>> C'est très pratique lorsqu'on fait de l'ouverture de dossiers >>>>>>>> au démarrage, puisqu'il permet de ne pas retaper son mot de >>>>>>>> passe. >>>>>>>> C'est utilisable bien sûr pour plein de services, mais si tu ne >>>>>>>> t'en sers pas c'est pas dramatique. >>>>>>>> >>>>>>>> En effet, les problèmes de DNS sont rédibitoires pour l'instal >>>>>>>> de kerberos. >>>>>>>> mais tu pourrais regarder également dans les logs de kdc, voir >>>>>>>> s'il ne se plaint pas d'autre chose. >>>>>>>> J'ai régulièrement eu et j'ai encore régulièrement des >>>>>>>> problèmes avec Kerberos, qui ne sont pas forcément de l'ordre >>>>>>>> du DNS. >>>>>>>> Cdt, >>>>>>>> Jean-Luc >>>>>>>>> >>>>>>>>> Je peux pas dire depuis quand et je demande même s'il n'a >>>>>>>>> jamais été activer. >>>>>>>>> >>>>>>>>> si je l'active il va se passer quoi ? >>>>>>>>> >>>>>>>>> Bertrand >>>>>>>>> _______________________________________________ >>>>>>>>> Admin-ml mailing list >>>>>>>>> Admin-ml@mosx.org >>>>>>>>> http://coruscant.mosx.org/mailman/listinfo/admin-ml >>>>>>>>> >>>>>>>> >>>>>>>> _______________________________________________ >>>>>>>> Admin-ml mailing list >>>>>>>> Admin-ml@mosx.org >>>>>>>> http://coruscant.mosx.org/mailman/listinfo/admin-ml >>>>>>> >>>>>>> -- >>>>>>> Zmirov Communication >>>>>>> Bertrand Chatain - Infographiste - Webmaster >>>>>>> 64, rue Jean-Jacques Rousseau 75001 Paris - France >>>>>>> Tél. : 33 (0)1 55 34 37 89 - Fax : 33 (0)1 55 34 37 67 >>>>>>> www.zmirov.com - bertrand.chatain@zmirov.com - aim : bchatain >>>>>>> >>>>>>> >>>>>>> _______________________________________________ >>>>>>> Admin-ml mailing list >>>>>>> Admin-ml@mosx.org >>>>>>> http://coruscant.mosx.org/mailman/listinfo/admin-ml >>>>>>> >>>>>> >>>>>> _______________________________________________ >>>>>> Admin-ml mailing list >>>>>> Admin-ml@mosx.org >>>>>> http://coruscant.mosx.org/mailman/listinfo/admin-ml >>>>> >>>>> -- >>>>> Zmirov Communication >>>>> Bertrand Chatain - Infographiste - Webmaster >>>>> 64, rue Jean-Jacques Rousseau 75001 Paris - France >>>>> Tél. : 33 (0)1 55 34 37 89 - Fax : 33 (0)1 55 34 37 67 >>>>> www.zmirov.com - bertrand.chatain@zmirov.com - aim : bchatain >>>>> >>>>> >>>>> _______________________________________________ >>>>> Admin-ml mailing list >>>>> Admin-ml@mosx.org >>>>> http://coruscant.mosx.org/mailman/listinfo/admin-ml >>>>> >>>> >>>> _______________________________________________ >>>> Admin-ml mailing list >>>> Admin-ml@mosx.org >>>> http://coruscant.mosx.org/mailman/listinfo/admin-ml >>> >>> >>> _______________________________________________ >>> Admin-ml mailing list >>> Admin-ml@mosx.org >>> http://coruscant.mosx.org/mailman/listinfo/admin-ml >> >> _______________________________________________ >> Admin-ml mailing list >> Admin-ml@mosx.org >> http://coruscant.mosx.org/mailman/listinfo/admin-ml > > _________________________________________________________ > | |  > | |  > / )| Olivier DUCROT |( \ > / / | ACSP, ACTC & ACSA 10.5 | \ \ > _( (_ | | _) )_ > (((\ \>|_/->_______________________________________________<-\_| (\\\\ \_/ / \ \_/ ////) > \ / \ / > \ _/ -----====+====------ \_ / > / / \ \  > > > > > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml > From bertrand.chatain at zmirov.com Mon Jun 29 12:43:28 2009 From: bertrand.chatain at zmirov.com (Bertrand Chatain) Date: Mon Jun 29 14:30:10 2009 Subject: [Admin-ml] pas de kerberos In-Reply-To: References: Message-ID: Le 29 juin 09 à 12:19, Jean-Luc Bailloeul a écrit : > Salut Olivier, Salut Bertrand, > > > En regardant un peu plus en avant, il y a quand une petite > différence entre > la 10.4 et la 10.5, c'est que tout Leopard possède en local son > propre petit > Kerberos personnel, utilisé de base pour le partage d'écran embarqué > dans > Leo. D'où la présence, il me semble, des fichiers > principal.LKDC:SHA1*. > M'est avis du coup que contrairement à la procédure, il ne faut pas > vider le > dossier /var/db/krb5kdc/, sous peine de faire sauter la partie > locale de > Kerberos. > > Je pense que dans le cas de Bertrand où Kerberos n'a jamais été > installé > (les fichiers n'existent pas de toute façon), il devrait commencer à > la > partie 3 du tuto. > > Ce qui est curieux cependant dans la config de Bertrand, c'est que > l'enregistrement DNS de son master correspond à son domaine, et non > pas à > une machine du domaine. > >>>>>> reponse pour : $ sudo changeip -checkhostname >>>>>> >>>>>> Primary address = 172.16.48.1 >>>>>> >>>>>> Current HostName = zmirov.com >>>>>> DNS HostName = zmirov.com > > Ça me paraît curieux comme pratique (c'est ce qui a dû faire tiquer > G.G). > > En résumé, cela lui donnerait ceci : > > $ kerberosautoconfig -r ZMIROV.COM -m zmirov.com > $ kdcsetup -f /LDAPv3/127.0.0.1 -w -a admin -p ***** ZMIROV.COM > $ sso_util configure -r ZMIROV.COM -a admin -p ***** all > $ sso_util configure -r ZMIROV.COM -a admin -p ***** ldap > $ mkpassdb -kerberize > (sans faire l'impasse sur les vérifications). > > Correct ? > > oui c'est exactement ça qui l'a chiffonner. J'ai refait toutes les procédures après kerberisation de mon OD (le site de easymac est inaccessible pour moi, le tuto est dans une partie sécurisée ?) zmirov:~ root# ls -l /var/db/krb5kdc total 456 -rw------- 1 root wheel 30 3 avr 2008 .k5.LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC -rw------- 1 root wheel 30 25 jui 23:48 .k5.ZMIROV.COM -rw------- 1 root wheel 89 25 jui 23:48 kadm5.acl -rw------- 1 root wheel 383 25 jui 23:48 kadm5.keytab -rw------- 1 root wheel 1225 25 jui 23:48 kdc.conf -rw------- 1 root wheel 106496 24 jui 12:30 principal.LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC -rw------- 1 root wheel 8192 3 avr 2008 principal.LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC.kadm5 -rw------- 1 root wheel 0 24 jui 12:30 principal.LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC.kadm5.lock -rw------- 1 root wheel 0 24 jui 12:30 principal.LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC.ok -rw------- 1 root wheel 90112 25 jui 23:56 principal.ZMIROV.COM -rw------- 1 root wheel 8192 25 jui 23:48 principal.ZMIROV.COM.kadm5 -rw------- 1 root wheel 0 25 jui 23:56 principal.ZMIROV.COM.kadm5.lock -rw------- 1 root wheel 0 25 jui 23:56 principal.ZMIROV.COM.ok zmirov:~ root# zmirov:~ root# dscl localhost > cd /LDAPv3/127.0.0.1/Config /LDAPv3/127.0.0.1/Config > ls CIFSServer CollabServices Group_Dir_Items Home_Dir_Items KerberosClient KerberosKDC ldapreplicas macosxodconfig macosxodpolicy mcx_cache passwordserver passwordserver_XXXXXXXXXXXXXXXXXXXXXXXX /LDAPv3/127.0.0.1/Config > edu.mit.kerberos domain_realm .com ZMIROV.COM com ZMIROV.COM libdefaults default_realm ZMIROV.COM realms ZMIROV.COM KADM_List zmirov.com KDC_List zmirov.com generationID 102374203 /LDAPv3/127.0.0.1/Config > read KerberosKDC dsAttrTypeNative:apple-config-realname: ZMIROV.COM dsAttrTypeNative:apple-kdc-configdata: [libdefaults] default_realm = ZMIROV.COM [kdcdefaults] kdc_ports = 88 kdc_tcp_ports = 88 [realms] ZMIROV.COM = { kadmind_port = 749 max_life = 10h 0m 0s max_renewable_life = 7d 0h 0m 0s master_key_type = des3-hmac-sha1 supported_enctypes = des3-hmac-sha1:normal arcfour-hmac-md5:normal des- cbc-crc:normal des-cbc-crc:v4 acl_file = /var/db/krb5kdc/kadm5.acl admin_keytab = /var/db/krb5kdc/kadm5.keytab database_name = /var/db/krb5kdc/principal.ZMIROV.COM key_stash_file = /var/db/krb5kdc/.k5.ZMIROV.COM } LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC = { kadmind_port = 749 max_life = 10h 0m 0s max_renewable_life = 7d 0h 0m 0s master_key_type = des3-hmac-sha1 supported_enctypes = des3-hmac-sha1:normal arcfour-hmac-md5:normal des- cbc-crc:normal des-cbc-crc:v4 acl_file = /var/db/krb5kdc/kadm5.acl admin_keytab = /var/db/krb5kdc/kadm5.keytab database_name = /var/db/krb5kdc/ principal.LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC key_stash_file = /var/db/ krb5kdc/.k5.LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC } [logging] kdc = FILE var/log/krb5kdc/kdc.log admin_server = FILE var/log/krb5kdc/kadmin.log dsAttrTypeNative:cn: KerberosKDC dsAttrTypeNative:objectClass: apple-configuration top AppleMetaNodeLocation: /LDAPv3/127.0.0.1 KDCConfigData: [libdefaults] default_realm = ZMIROV.COM [kdcdefaults] kdc_ports = 88 kdc_tcp_ports = 88 [realms] ZMIROV.COM = { kadmind_port = 749 max_life = 10h 0m 0s max_renewable_life = 7d 0h 0m 0s master_key_type = des3-hmac-sha1 supported_enctypes = des3-hmac-sha1:normal arcfour-hmac-md5:normal des- cbc-crc:normal des-cbc-crc:v4 acl_file = /var/db/krb5kdc/kadm5.acl admin_keytab = /var/db/krb5kdc/kadm5.keytab database_name = /var/db/krb5kdc/principal.ZMIROV.COM key_stash_file = /var/db/krb5kdc/.k5.ZMIROV.COM } LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC = { kadmind_port = 749 max_life = 10h 0m 0s max_renewable_life = 7d 0h 0m 0s master_key_type = des3-hmac-sha1 supported_enctypes = des3-hmac-sha1:normal arcfour-hmac-md5:normal des- cbc-crc:normal des-cbc-crc:v4 acl_file = /var/db/krb5kdc/kadm5.acl admin_keytab = /var/db/krb5kdc/kadm5.keytab database_name = /var/db/krb5kdc/ principal.LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC key_stash_file = /var/db/ krb5kdc/.k5.LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC } [logging] kdc = FILE var/log/krb5kdc/kdc.log admin_server = FILE var/log/krb5kdc/kadmin.log RealName: ZMIROV.COM RecordName: KerberosKDC RecordType: dsRecTypeStandard:Config ktutil: list slot KVNO Principal ---- ---- --------------------------------------------------------------------- 1 3 kadmin/admin@ZMIROV.COM 2 3 kadmin/admin@ZMIROV.COM 3 3 kadmin/admin@ZMIROV.COM 4 3 kadmin/changepw@ZMIROV.COM 5 3 kadmin/changepw@ZMIROV.COM 6 3 kadmin/changepw@ZMIROV.COM 7 3 kadmin/admin@ZMIROV.COM 8 3 kadmin/admin@ZMIROV.COM 9 3 kadmin/admin@ZMIROV.COM 10 3 kadmin/changepw@ZMIROV.COM 11 3 kadmin/changepw@ZMIROV.COM 12 3 kadmin/changepw@ZMIROV.COM ktutil: Last login: Fri Jun 26 14:14:06 on ttys001 zmirov:~ root# klist -ke Keytab name: FILE etc/krb5.keytab KVNO Principal ---- -------------------------------------------------------------------------- 3 afpserver/ LKDC:SHA1 .AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC @LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC (Triple DES cbc mode with HMAC/sha1) 3 afpserver/ LKDC:SHA1 .AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC @LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC (ArcFour with HMAC/ md5) 3 afpserver/ LKDC:SHA1 .AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC @LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC (DES cbc mode with CRC-32) 3 cifs/ LKDC:SHA1 .AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC @LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC (Triple DES cbc mode with HMAC/sha1) 3 cifs/ LKDC:SHA1 .AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC @LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC (ArcFour with HMAC/ md5) 3 cifs/ LKDC:SHA1 .AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC @LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC (DES cbc mode with CRC-32) 3 vnc/ LKDC:SHA1 .AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC @LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC (Triple DES cbc mode with HMAC/sha1) 3 vnc/ LKDC:SHA1 .AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC @LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC (ArcFour with HMAC/ md5) 3 vnc/ LKDC:SHA1 .AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC @LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC (DES cbc mode with CRC-32) 3 fcsvr/zmirov.com@ZMIROV.COM (Triple DES cbc mode with HMAC/sha1) 3 fcsvr/zmirov.com@ZMIROV.COM (ArcFour with HMAC/md5) 3 fcsvr/zmirov.com@ZMIROV.COM (DES cbc mode with CRC-32) 3 pcast/zmirov.com@ZMIROV.COM (Triple DES cbc mode with HMAC/sha1) 3 pcast/zmirov.com@ZMIROV.COM (ArcFour with HMAC/md5) 3 pcast/zmirov.com@ZMIROV.COM (DES cbc mode with CRC-32) 3 vnc/zmirov.com@ZMIROV.COM (Triple DES cbc mode with HMAC/sha1) 3 vnc/zmirov.com@ZMIROV.COM (ArcFour with HMAC/md5) 3 vnc/zmirov.com@ZMIROV.COM (DES cbc mode with CRC-32) 3 cifs/zmirov.com@ZMIROV.COM (Triple DES cbc mode with HMAC/sha1) 3 cifs/zmirov.com@ZMIROV.COM (ArcFour with HMAC/md5) 3 cifs/zmirov.com@ZMIROV.COM (DES cbc mode with CRC-32) 3 ldap/zmirov.com@ZMIROV.COM (Triple DES cbc mode with HMAC/sha1) 3 ldap/zmirov.com@ZMIROV.COM (ArcFour with HMAC/md5) 3 ldap/zmirov.com@ZMIROV.COM (DES cbc mode with CRC-32) 3 xgrid/zmirov.com@ZMIROV.COM (Triple DES cbc mode with HMAC/sha1) 3 xgrid/zmirov.com@ZMIROV.COM (ArcFour with HMAC/md5) 3 xgrid/zmirov.com@ZMIROV.COM (DES cbc mode with CRC-32) 3 vpn/zmirov.com@ZMIROV.COM (Triple DES cbc mode with HMAC/sha1) 3 vpn/zmirov.com@ZMIROV.COM (ArcFour with HMAC/md5) 3 vpn/zmirov.com@ZMIROV.COM (DES cbc mode with CRC-32) 3 ipp/zmirov.com@ZMIROV.COM (Triple DES cbc mode with HMAC/sha1) 3 ipp/zmirov.com@ZMIROV.COM (ArcFour with HMAC/md5) 3 ipp/zmirov.com@ZMIROV.COM (DES cbc mode with CRC-32) 3 xmpp/zmirov.com@ZMIROV.COM (Triple DES cbc mode with HMAC/sha1) 3 xmpp/zmirov.com@ZMIROV.COM (ArcFour with HMAC/md5) 3 xmpp/zmirov.com@ZMIROV.COM (DES cbc mode with CRC-32) 3 XMPP/zmirov.com@ZMIROV.COM (Triple DES cbc mode with HMAC/sha1) 3 XMPP/zmirov.com@ZMIROV.COM (ArcFour with HMAC/md5) 3 XMPP/zmirov.com@ZMIROV.COM (DES cbc mode with CRC-32) 3 host/zmirov.com@ZMIROV.COM (Triple DES cbc mode with HMAC/sha1) 3 host/zmirov.com@ZMIROV.COM (ArcFour with HMAC/md5) 3 host/zmirov.com@ZMIROV.COM (DES cbc mode with CRC-32) 3 smtp/zmirov.com@ZMIROV.COM (Triple DES cbc mode with HMAC/sha1) 3 smtp/zmirov.com@ZMIROV.COM (ArcFour with HMAC/md5) 3 smtp/zmirov.com@ZMIROV.COM (DES cbc mode with CRC-32) 3 nfs/zmirov.com@ZMIROV.COM (Triple DES cbc mode with HMAC/sha1) 3 nfs/zmirov.com@ZMIROV.COM (ArcFour with HMAC/md5) 3 nfs/zmirov.com@ZMIROV.COM (DES cbc mode with CRC-32) 3 http/zmirov.com@ZMIROV.COM (Triple DES cbc mode with HMAC/sha1) 3 http/zmirov.com@ZMIROV.COM (ArcFour with HMAC/md5) 3 http/zmirov.com@ZMIROV.COM (DES cbc mode with CRC-32) 3 HTTP/zmirov.com@ZMIROV.COM (Triple DES cbc mode with HMAC/sha1) 3 HTTP/zmirov.com@ZMIROV.COM (ArcFour with HMAC/md5) 3 HTTP/zmirov.com@ZMIROV.COM (DES cbc mode with CRC-32) 3 pop/zmirov.com@ZMIROV.COM (Triple DES cbc mode with HMAC/sha1) 3 pop/zmirov.com@ZMIROV.COM (ArcFour with HMAC/md5) 3 pop/zmirov.com@ZMIROV.COM (DES cbc mode with CRC-32) 3 imap/zmirov.com@ZMIROV.COM (Triple DES cbc mode with HMAC/sha1) 3 imap/zmirov.com@ZMIROV.COM (ArcFour with HMAC/md5) 3 imap/zmirov.com@ZMIROV.COM (DES cbc mode with CRC-32) 3 ftp/zmirov.com@ZMIROV.COM (Triple DES cbc mode with HMAC/sha1) 3 ftp/zmirov.com@ZMIROV.COM (ArcFour with HMAC/md5) 3 ftp/zmirov.com@ZMIROV.COM (DES cbc mode with CRC-32) 3 afpserver/zmirov.com@ZMIROV.COM (Triple DES cbc mode with HMAC/sha1) 3 afpserver/zmirov.com@ZMIROV.COM (ArcFour with HMAC/md5) 3 afpserver/zmirov.com@ZMIROV.COM (DES cbc mode with CRC-32) zmirov:~ root# Last login: Fri Jun 26 14:15:13 on ttys002 zmirov:~ root# kinit bertrandchatain Please enter the password for bertrandchatain@ZMIROV.COM: zmirov:~ root# zmirov:~ root# klist -5 Kerberos 5 ticket cache: 'API:Initial default ccache' Default principal: bertrandchatain@ZMIROV.COM Valid Starting Expires Service Principal 06/26/09 14:15:47 06/27/09 00:15:46 krbtgt/ZMIROV.COM@ZMIROV.COM renew until 07/03/09 14:15:46 zmirov:~ root# > >> De : Olivier DUCROT >> Répondre à : Administrateurs Systèmes sur Mac OS X > ml@mosx.org> >> Date : Mon, 29 Jun 2009 07:15:46 +0200 >> À : Administrateurs Systèmes sur Mac OS X >> Conversation : [Admin-ml] pas de kerberos >> Objet : Re: [Admin-ml] pas de kerberos >> >> Salut Jean-Luc, >> Je dois t'avouer que je n'ai jamais eu besoin de tester cette >> procédure >> depuis la sortie du 10.5, sur un 10.5. >> Il n'y a pas de raison que ça ne fonctionne plus. >> >> >> le 25/06/09 19:23, jean-luc Bailloeul à jlbailloeul@irtsnpdc.fr a >> écrit : >> >>> oui, ben, c'est mal barré. il te manque la moitié des fichiers. >>> tu n'as pas de fichier edu.mit.kerberos, il te manque les principals >>> du realm. >>> Normalement tous ces fichiers sont créés à la création du master OD. >>> Peut être que les problèmes DNS rencontrés à l'instal ont chuinté >>> Kerberos. >>> Je ne peux que te conseiller de casser ce qu'il reste de Kerberos, >>> et >>> de le reconstruire (sur un clone pour démarrer bien sûr), l'autre >>> solution moins sympa étant de refaire ton OD :-(. >>> >>> la procédure est bien expliquée sur le site d'Olivier, même si cela >>> serait bien qu'il puisse nous confirmer que la procédure est valable >>> pour X.5. >>> cf. >>> > http://www.easymac.fr:8082/easymac/technicalcookbook/mosxserver/mosxserver-kb > >> > a >>> se/mosxserver-kbase-kerberos-repare >>> >>> en suivant le pas à pas, cela devrait te prendre un bon quart >>> d'heure. >>> >>> Bon courage ! >>> >>> >>> Le 25 juin 09 à 18:16, Bertrand Chatain a écrit : >>> >>>> >>>> Le 20 juin 09 à 13:36, Jean-Luc Bailloeul a écrit : >>>> >>>>> oui, cela m'étonnait aussi qu'ils aient raté un problème DNS. >>>>> J'en parlais dans le thread "quand kerby contrarie AFP", Kerberos >>>>> m'a régulièrement fait des siennes avec un DNS en bon état. >>>>> >>>>> procédons par élimination : >>>>> >>>>> - que dis ton fichier /Library/Preferences/edu.mit.Kerberos >>>> >>>> pas de fichier >>>> >>>>> >>>>> - vérifies les fichiers keytab? : ls -l /var/db/krb5kdc >>>> >>>> total 240 >>>> -rw------- 1 root wheel 30 3 avr >>>> 2008 .k5.LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC >>>> -rw------- 1 root wheel 839 3 avr 2008 kdc.conf >>>> -rw------- 1 root wheel 106496 24 jui 12:30 >>>> principal.LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC >>>> -rw------- 1 root wheel 8192 3 avr 2008 >>>> principal.LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC.kadm5 >>>> -rw------- 1 root wheel 0 24 jui 12:30 >>>> principal >>>> .LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC.kadm5.lock >>>> -rw------- 1 root wheel 0 24 jui 12:30 >>>> principal.LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC.ok >>>> zmirov:~ root# >>>> >>>>> >>>>> - vérifie que la config est stockée dans le ldap : >>>>> dscl localhost >>>>> >>>>>> cd /LDAPv3/127.0.0.1/Config >>>>>> ls >>>> >>>> CIFSServer >>>> CollabServices >>>> Group_Dir_Items >>>> Home_Dir_Items >>>> ldapreplicas >>>> macosxodconfig >>>> macosxodpolicy >>>> mcx_cache >>>> passwordserver >>>> passwordserver_xxxxxxxxxxxxxxxxxxxxxxxxxx >>>> >>>>>> read KerberosClient >>>> >>>> /LDAPv3/127.0.0.1/Config > read KerberosClient >>>> DS Error: -14136 (eDSRecordNotFound) >>>> >>>>>> read KerberosKDC >>>> >>>>> read KerberosKDC >>>> >>>> >>>> >>>>> >>>>> - vérifier que le fichier kadm5.keytab contient les bons >>>>> principals >>>>>> ktutil: rkt /var/db/krb5kdc/kadm5.keytab >>>> >>>> ktutil: rkt /var/db/krb5kdc/kadm5.keytab >>>> rkt: No such file or directory while reading keytab "/var/db/ >>>> krb5kdc/ >>>> kadm5.keytab" >>>> >>>>>> ktutil: list >>>>> >>>>> ? Vérifier que le fichier /etc/krb5.keytab a bien été créé puis, >>>>> qu'il contient les principals des services >>>>> $klist -ke >>>>> >>>>> - vérifier que tu obtiens le bon ticket : >>>>> kinit nom_user >>>>> klist -5 >>>>> >>>>> Si tu faire une sortie de tout cela on pourra peut-être voir ce >>>>> qui >>>>> cloche. >>>>> >>>>> Rendons à Olivier ce qui appartient à César : Je n'ai ici rien >>>>> inventé, c'est même du copié-collé. >>>>> Je te renvoie vers l'excellent cookbook d'Olivier Ducrot et le >>>>> sujet adhoc : >>>>> > http://www.easymac.fr:8082/easymac/technicalcookbook/mosxserver/mosxserver- > >>>> > k >>>>> base/mosxserver-kbase-kerberos-repare >>>>> >>>>> Tiens-nous au courant. >>>>> Jean-Luc >>>>> >>>>> >>>>> Le 20 juin 09 à 13:06, Bertrand Chatain a écrit : >>>>> >>>>>> pour guillaume Gete, il est intervenu pour un probleme de synchro >>>>>> iphone entourage et il a accepté de jeter un coup d'oeil à mon >>>>>> serveur. Le DNS n'était pas mauvais pour lui mais "il n'aurait >>>>>> pas >>>>>> fait comme ça" >>>>>> >>>>>> reponse pour : $ sudo changeip -checkhostname >>>>>> >>>>>> Primary address = 172.16.48.1 >>>>>> >>>>>> Current HostName = zmirov.com >>>>>> DNS HostName = zmirov.com >>>>>> >>>>>> The names match. There is nothing to change. >>>>>> >>>>>> sur ma replique >>>>>> >>>>>> Primary address = 192.168.2.3 >>>>>> >>>>>> Current HostName = asap.zmirov.com >>>>>> DNS HostName = asap.zmirov.com >>>>>> >>>>>> The names match. There is nothing to change. >>>>>> >>>>>> >>>>>> Le 20 juin 09 à 09:36, Jean-Luc Bailloeul a écrit : >>>>>> >>>>>>> c'est clair : >>>>>>>> 2008-12-09 19:38:53 +0100 - No Kerberos realm name found. >>>>>>> pas de realm.Ton kerberos ne fonctionne pas. >>>>>>> Comme te conseille Laurent, Il faut checker ton dns. >>>>>>> >>>>>>> Ce qui est inquiétant, c'est que tu as eu le droit à deux ingé >>>>>>> pour l'install et à Guillaume Gete, (qui est passé, mais s'est- >>>>>>> il >>>>>>> arrêté ?) mais qui n'ont pu résoudre un "simple" problème DNS. >>>>>>> Cela m'étonne vraiment qu'ils soient passés à travers. >>>>>>> >>>>>>> >>>>>>> >>>>>>> >>>>>>> Le 19 juin 09 à 11:29, Bertrand Chatain a écrit : >>>>>>> >>>>>>>> En fait, je m'en suis rendu compte car j'ai fait la maquette >>>>>>>> d'un serveur podcast producer pour le fun. Le serveur en lui >>>>>>>> même roule bien mais au moment d'adjoindre d'autre clients >>>>>>>> xgrid >>>>>>>> ça coince. >>>>>>>> >>>>>>>> Le xgrid du podcast producer est impérativement kerberisé et >>>>>>>> le >>>>>>>> poste que je veux adjoindre et sur le OD master non kerberisé >>>>>>>> donc je soupçonne un lien de cause à effet. L'ouverture d'un >>>>>>>> ticket kerberos manuelle n'a pas résolu le problème. >>>>>>>> >>>>>>>> >>>>>>>> >>>>>>>> A tous hasard voiles les logs du kerberos >>>>>>>> >>>>>>>> >>>>>>>> May 03 13:40:49 zmirov.com krb5kdc[135](info): listening on fd >>>>>>>> 12: tcp 0.0.0.0.88 >>>>>>>> May 03 13:40:49 zmirov.com krb5kdc[135](info): listening on fd >>>>>>>> 11: tcp ::.88 >>>>>>>> May 03 13:40:49 zmirov.com krb5kdc[135](info): set up 4 sockets >>>>>>>> May 03 13:40:49 zmirov.com krb5kdc[135](info): commencing >>>>>>>> operation >>>>>>>> May 06 13:54:49 zmirov.com krb5kdc[114](info): setting up >>>>>>>> network... >>>>>>>> May 06 13:54:49 zmirov.com krb5kdc[114](info): listening on fd >>>>>>>> 9: udp fe80::1%lo0.88 >>>>>>>> May 06 13:54:49 zmirov.com krb5kdc[114](info): skipping >>>>>>>> unrecognized local address family 16 >>>>>>>> May 06 13:54:49 zmirov.com krb5kdc[114](info): listening on fd >>>>>>>> 10: udp 172.16.48.1.88 >>>>>>>> krb5kdc: setsockopt(IPV6_V6ONLY,1) worked >>>>>>>> May 06 13:54:49 zmirov.com krb5kdc[114](info): listening on fd >>>>>>>> 12: tcp 0.0.0.0.88 >>>>>>>> May 06 13:54:49 zmirov.com krb5kdc[114](info): listening on fd >>>>>>>> 11: tcp ::.88 >>>>>>>> May 06 13:54:49 zmirov.com krb5kdc[114](info): set up 4 sockets >>>>>>>> May 06 13:54:49 zmirov.com krb5kdc[114](info): commencing >>>>>>>> operation >>>>>>>> >>>>>>>> et peut être plus intéressant dans les logs de ma réplique OD >>>>>>>> >>>>>>>> 2008-12-09 19:38:52 +0100 - 9 Enabling local Kerberos server >>>>>>>> 2008-12-09 19:38:53 +0100 - No Kerberos realm name found. >>>>>>>> 2008-12-09 19:38:53 +0100 - command: /usr/sbin/ >>>>>>>> vpnaddkeyagentuser -q /LDAPv3/127.0.0.1 >>>>>>>> 2008-12-09 19:38:57 +0100 - ldap_modify: Internal >>>>>>>> (implementation specific) error (80) >>>>>>>> additional info: could not read file >>>>>>>> 2009-01-30 01:31:14 +0100 - slapconfig -setmaxnumberofdblocks >>>>>>>> >>>>>>>> >>>>>>>> Le 19 juin 09 à 10:52, Jean-Luc Bailloeul a écrit : >>>>>>>> >>>>>>>>> >>>>>>>>> Le 18 juin 09 à 14:02, Bertrand Chatain a écrit : >>>>>>>>> >>>>>>>>>> Bonjour >>>>>>>>>> >>>>>>>>>> je viens de voir dans mon OD master que kerberos est éteint. >>>>>>>>>> C'est grave docteur ? ;-) >>>>>>>>> Cela dépend si tu t'en sers ou pas. >>>>>>>>> Kerberos permet d'obtenir à l'ouverture de session un ticket >>>>>>>>> d'authentification pour une durée donnée (par défaut de 10H il >>>>>>>>> me semble). >>>>>>>>> C'est très pratique lorsqu'on fait de l'ouverture de dossiers >>>>>>>>> au démarrage, puisqu'il permet de ne pas retaper son mot de >>>>>>>>> passe. >>>>>>>>> C'est utilisable bien sûr pour plein de services, mais si tu >>>>>>>>> ne >>>>>>>>> t'en sers pas c'est pas dramatique. >>>>>>>>> >>>>>>>>> En effet, les problèmes de DNS sont rédibitoires pour l'instal >>>>>>>>> de kerberos. >>>>>>>>> mais tu pourrais regarder également dans les logs de kdc, voir >>>>>>>>> s'il ne se plaint pas d'autre chose. >>>>>>>>> J'ai régulièrement eu et j'ai encore régulièrement des >>>>>>>>> problèmes avec Kerberos, qui ne sont pas forcément de l'ordre >>>>>>>>> du DNS. >>>>>>>>> Cdt, >>>>>>>>> Jean-Luc >>>>>>>>>> >>>>>>>>>> Je peux pas dire depuis quand et je demande même s'il n'a >>>>>>>>>> jamais été activer. >>>>>>>>>> >>>>>>>>>> si je l'active il va se passer quoi ? >>>>>>>>>> >>>>>>>>>> Bertrand >>>>>>>>>> _______________________________________________ >>>>>>>>>> From jlbailloeul at irtsnpdc.fr Mon Jun 29 15:05:25 2009 From: jlbailloeul at irtsnpdc.fr (Jean-Luc Bailloeul) Date: Mon Jun 29 15:05:31 2009 Subject: [Admin-ml] pas de kerberos In-Reply-To: Message-ID: à vue d'oeil, tout semble présent. Que dis kerberos après un reboot ? > De : Bertrand Chatain > Répondre à : Administrateurs Systèmes sur Mac OS X > Date : Mon, 29 Jun 2009 12:43:28 +0200 > À : Administrateurs Systèmes sur Mac OS X > Objet : Re: [Admin-ml] pas de kerberos > > oui c'est exactement ça qui l'a chiffonner. > > J'ai refait toutes les procédures après kerberisation de mon OD > > (le site de easymac est inaccessible pour moi, le tuto est dans une > partie sécurisée ?) > > zmirov:~ root# ls -l /var/db/krb5kdc > total 456 > -rw------- 1 root wheel 30 3 avr > 2008 .k5.LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC > -rw------- 1 root wheel 30 25 jui 23:48 .k5.ZMIROV.COM > -rw------- 1 root wheel 89 25 jui 23:48 kadm5.acl > -rw------- 1 root wheel 383 25 jui 23:48 kadm5.keytab > -rw------- 1 root wheel 1225 25 jui 23:48 kdc.conf > -rw------- 1 root wheel 106496 24 jui 12:30 > principal.LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC > -rw------- 1 root wheel 8192 3 avr 2008 > principal.LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC.kadm5 > -rw------- 1 root wheel 0 24 jui 12:30 > principal.LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC.kadm5.lock > -rw------- 1 root wheel 0 24 jui 12:30 > principal.LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC.ok > -rw------- 1 root wheel 90112 25 jui 23:56 principal.ZMIROV.COM > -rw------- 1 root wheel 8192 25 jui 23:48 principal.ZMIROV.COM.kadm5 > -rw------- 1 root wheel 0 25 jui 23:56 principal.ZMIROV.COM.kadm5.lock > -rw------- 1 root wheel 0 25 jui 23:56 principal.ZMIROV.COM.ok > zmirov:~ root# > zmirov:~ root# dscl localhost >> cd /LDAPv3/127.0.0.1/Config > /LDAPv3/127.0.0.1/Config > ls > CIFSServer > CollabServices > Group_Dir_Items > Home_Dir_Items > KerberosClient > KerberosKDC > ldapreplicas > macosxodconfig > macosxodpolicy > mcx_cache > passwordserver > passwordserver_XXXXXXXXXXXXXXXXXXXXXXXX > /LDAPv3/127.0.0.1/Config > > > edu.mit.kerberos > > domain_realm > > .com > ZMIROV.COM > com > ZMIROV.COM > > libdefaults > > default_realm > ZMIROV.COM > > realms > > ZMIROV.COM > > KADM_List > > zmirov.com > > KDC_List > > zmirov.com > > > > > generationID > 102374203 > > > > > /LDAPv3/127.0.0.1/Config > read KerberosKDC > dsAttrTypeNative:apple-config-realname: ZMIROV.COM > dsAttrTypeNative:apple-kdc-configdata: > [libdefaults] > default_realm = ZMIROV.COM > [kdcdefaults] > kdc_ports = 88 > kdc_tcp_ports = 88 > [realms] > ZMIROV.COM = { > kadmind_port = 749 > max_life = 10h 0m 0s > max_renewable_life = 7d 0h 0m 0s > master_key_type = des3-hmac-sha1 > supported_enctypes = des3-hmac-sha1:normal arcfour-hmac-md5:normal des- > cbc-crc:normal des-cbc-crc:v4 > acl_file = /var/db/krb5kdc/kadm5.acl > admin_keytab = /var/db/krb5kdc/kadm5.keytab > database_name = /var/db/krb5kdc/principal.ZMIROV.COM > key_stash_file = /var/db/krb5kdc/.k5.ZMIROV.COM > } > LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC = { > kadmind_port = 749 > max_life = 10h 0m 0s > max_renewable_life = 7d 0h 0m 0s > master_key_type = des3-hmac-sha1 > supported_enctypes = des3-hmac-sha1:normal arcfour-hmac-md5:normal des- > cbc-crc:normal des-cbc-crc:v4 > acl_file = /var/db/krb5kdc/kadm5.acl > admin_keytab = /var/db/krb5kdc/kadm5.keytab > database_name = /var/db/krb5kdc/ > principal.LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC > key_stash_file = /var/db/ > krb5kdc/.k5.LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC > } > [logging] > kdc = FILE > var/log/krb5kdc/kdc.log > admin_server = FILE > var/log/krb5kdc/kadmin.log > dsAttrTypeNative:cn: KerberosKDC > dsAttrTypeNative:objectClass: apple-configuration top > AppleMetaNodeLocation: /LDAPv3/127.0.0.1 > KDCConfigData: > [libdefaults] > default_realm = ZMIROV.COM > [kdcdefaults] > kdc_ports = 88 > kdc_tcp_ports = 88 > [realms] > ZMIROV.COM = { > kadmind_port = 749 > max_life = 10h 0m 0s > max_renewable_life = 7d 0h 0m 0s > master_key_type = des3-hmac-sha1 > supported_enctypes = des3-hmac-sha1:normal arcfour-hmac-md5:normal des- > cbc-crc:normal des-cbc-crc:v4 > acl_file = /var/db/krb5kdc/kadm5.acl > admin_keytab = /var/db/krb5kdc/kadm5.keytab > database_name = /var/db/krb5kdc/principal.ZMIROV.COM > key_stash_file = /var/db/krb5kdc/.k5.ZMIROV.COM > } > LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC = { > kadmind_port = 749 > max_life = 10h 0m 0s > max_renewable_life = 7d 0h 0m 0s > master_key_type = des3-hmac-sha1 > supported_enctypes = des3-hmac-sha1:normal arcfour-hmac-md5:normal des- > cbc-crc:normal des-cbc-crc:v4 > acl_file = /var/db/krb5kdc/kadm5.acl > admin_keytab = /var/db/krb5kdc/kadm5.keytab > database_name = /var/db/krb5kdc/ > principal.LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC > key_stash_file = /var/db/ > krb5kdc/.k5.LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC > } > [logging] > kdc = FILE > var/log/krb5kdc/kdc.log > admin_server = FILE > var/log/krb5kdc/kadmin.log > RealName: ZMIROV.COM > RecordName: KerberosKDC > RecordType: dsRecTypeStandard:Config > ktutil: list > slot KVNO Principal > ---- ---- > --------------------------------------------------------------------- > 1 3 kadmin/admin@ZMIROV.COM > 2 3 kadmin/admin@ZMIROV.COM > 3 3 kadmin/admin@ZMIROV.COM > 4 3 kadmin/changepw@ZMIROV.COM > 5 3 kadmin/changepw@ZMIROV.COM > 6 3 kadmin/changepw@ZMIROV.COM > 7 3 kadmin/admin@ZMIROV.COM > 8 3 kadmin/admin@ZMIROV.COM > 9 3 kadmin/admin@ZMIROV.COM > 10 3 kadmin/changepw@ZMIROV.COM > 11 3 kadmin/changepw@ZMIROV.COM > 12 3 kadmin/changepw@ZMIROV.COM > ktutil: > Last login: Fri Jun 26 14:14:06 on ttys001 > zmirov:~ root# klist -ke > Keytab name: FILE > etc/krb5.keytab > KVNO Principal > ---- > -------------------------------------------------------------------------- > 3 afpserver/ > LKDC:SHA1 > .AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC > @LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC (Triple DES cbc > mode with HMAC/sha1) > 3 afpserver/ > LKDC:SHA1 > .AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC > @LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC (ArcFour with HMAC/ > md5) > 3 afpserver/ > LKDC:SHA1 > .AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC > @LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC (DES cbc mode with > CRC-32) > 3 cifs/ > LKDC:SHA1 > .AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC > @LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC (Triple DES cbc > mode with HMAC/sha1) > 3 cifs/ > LKDC:SHA1 > .AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC > @LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC (ArcFour with HMAC/ > md5) > 3 cifs/ > LKDC:SHA1 > .AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC > @LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC (DES cbc mode with > CRC-32) > 3 vnc/ > LKDC:SHA1 > .AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC > @LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC (Triple DES cbc > mode with HMAC/sha1) > 3 vnc/ > LKDC:SHA1 > .AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC > @LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC (ArcFour with HMAC/ > md5) > 3 vnc/ > LKDC:SHA1 > .AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC > @LKDC:SHA1.AEBCEF0FB60F99A224B51E0EFFB8CD89689BAEAC (DES cbc mode with > CRC-32) > 3 fcsvr/zmirov.com@ZMIROV.COM (Triple DES cbc mode with HMAC/sha1) > 3 fcsvr/zmirov.com@ZMIROV.COM (ArcFour with HMAC/md5) > 3 fcsvr/zmirov.com@ZMIROV.COM (DES cbc mode with CRC-32) > 3 pcast/zmirov.com@ZMIROV.COM (Triple DES cbc mode with HMAC/sha1) > 3 pcast/zmirov.com@ZMIROV.COM (ArcFour with HMAC/md5) > 3 pcast/zmirov.com@ZMIROV.COM (DES cbc mode with CRC-32) > 3 vnc/zmirov.com@ZMIROV.COM (Triple DES cbc mode with HMAC/sha1) > 3 vnc/zmirov.com@ZMIROV.COM (ArcFour with HMAC/md5) > 3 vnc/zmirov.com@ZMIROV.COM (DES cbc mode with CRC-32) > 3 cifs/zmirov.com@ZMIROV.COM (Triple DES cbc mode with HMAC/sha1) > 3 cifs/zmirov.com@ZMIROV.COM (ArcFour with HMAC/md5) > 3 cifs/zmirov.com@ZMIROV.COM (DES cbc mode with CRC-32) > 3 ldap/zmirov.com@ZMIROV.COM (Triple DES cbc mode with HMAC/sha1) > 3 ldap/zmirov.com@ZMIROV.COM (ArcFour with HMAC/md5) > 3 ldap/zmirov.com@ZMIROV.COM (DES cbc mode with CRC-32) > 3 xgrid/zmirov.com@ZMIROV.COM (Triple DES cbc mode with HMAC/sha1) > 3 xgrid/zmirov.com@ZMIROV.COM (ArcFour with HMAC/md5) > 3 xgrid/zmirov.com@ZMIROV.COM (DES cbc mode with CRC-32) > 3 vpn/zmirov.com@ZMIROV.COM (Triple DES cbc mode with HMAC/sha1) > 3 vpn/zmirov.com@ZMIROV.COM (ArcFour with HMAC/md5) > 3 vpn/zmirov.com@ZMIROV.COM (DES cbc mode with CRC-32) > 3 ipp/zmirov.com@ZMIROV.COM (Triple DES cbc mode with HMAC/sha1) > 3 ipp/zmirov.com@ZMIROV.COM (ArcFour with HMAC/md5) > 3 ipp/zmirov.com@ZMIROV.COM (DES cbc mode with CRC-32) > 3 xmpp/zmirov.com@ZMIROV.COM (Triple DES cbc mode with HMAC/sha1) > 3 xmpp/zmirov.com@ZMIROV.COM (ArcFour with HMAC/md5) > 3 xmpp/zmirov.com@ZMIROV.COM (DES cbc mode with CRC-32) > 3 XMPP/zmirov.com@ZMIROV.COM (Triple DES cbc mode with HMAC/sha1) > 3 XMPP/zmirov.com@ZMIROV.COM (ArcFour with HMAC/md5) > 3 XMPP/zmirov.com@ZMIROV.COM (DES cbc mode with CRC-32) > 3 host/zmirov.com@ZMIROV.COM (Triple DES cbc mode with HMAC/sha1) > 3 host/zmirov.com@ZMIROV.COM (ArcFour with HMAC/md5) > 3 host/zmirov.com@ZMIROV.COM (DES cbc mode with CRC-32) > 3 smtp/zmirov.com@ZMIROV.COM (Triple DES cbc mode with HMAC/sha1) > 3 smtp/zmirov.com@ZMIROV.COM (ArcFour with HMAC/md5) > 3 smtp/zmirov.com@ZMIROV.COM (DES cbc mode with CRC-32) > 3 nfs/zmirov.com@ZMIROV.COM (Triple DES cbc mode with HMAC/sha1) > 3 nfs/zmirov.com@ZMIROV.COM (ArcFour with HMAC/md5) > 3 nfs/zmirov.com@ZMIROV.COM (DES cbc mode with CRC-32) > 3 http/zmirov.com@ZMIROV.COM (Triple DES cbc mode with HMAC/sha1) > 3 http/zmirov.com@ZMIROV.COM (ArcFour with HMAC/md5) > 3 http/zmirov.com@ZMIROV.COM (DES cbc mode with CRC-32) > 3 HTTP/zmirov.com@ZMIROV.COM (Triple DES cbc mode with HMAC/sha1) > 3 HTTP/zmirov.com@ZMIROV.COM (ArcFour with HMAC/md5) > 3 HTTP/zmirov.com@ZMIROV.COM (DES cbc mode with CRC-32) > 3 pop/zmirov.com@ZMIROV.COM (Triple DES cbc mode with HMAC/sha1) > 3 pop/zmirov.com@ZMIROV.COM (ArcFour with HMAC/md5) > 3 pop/zmirov.com@ZMIROV.COM (DES cbc mode with CRC-32) > 3 imap/zmirov.com@ZMIROV.COM (Triple DES cbc mode with HMAC/sha1) > 3 imap/zmirov.com@ZMIROV.COM (ArcFour with HMAC/md5) > 3 imap/zmirov.com@ZMIROV.COM (DES cbc mode with CRC-32) > 3 ftp/zmirov.com@ZMIROV.COM (Triple DES cbc mode with HMAC/sha1) > 3 ftp/zmirov.com@ZMIROV.COM (ArcFour with HMAC/md5) > 3 ftp/zmirov.com@ZMIROV.COM (DES cbc mode with CRC-32) > 3 afpserver/zmirov.com@ZMIROV.COM (Triple DES cbc mode with HMAC/sha1) > 3 afpserver/zmirov.com@ZMIROV.COM (ArcFour with HMAC/md5) > 3 afpserver/zmirov.com@ZMIROV.COM (DES cbc mode with CRC-32) > zmirov:~ root# > Last login: Fri Jun 26 14:15:13 on ttys002 > zmirov:~ root# kinit bertrandchatain > Please enter the password for bertrandchatain@ZMIROV.COM: > zmirov:~ root# > zmirov:~ root# klist -5 > Kerberos 5 ticket cache: 'API:Initial default ccache' > Default principal: bertrandchatain@ZMIROV.COM > Valid Starting Expires Service Principal > 06/26/09 14:15:47 06/27/09 00:15:46 krbtgt/ZMIROV.COM@ZMIROV.COM > renew until 07/03/09 14:15:46 > zmirov:~ root# From bertrand.chatain at zmirov.com Tue Jun 30 15:48:08 2009 From: bertrand.chatain at zmirov.com (Bertrand Chatain) Date: Tue Jun 30 15:48:29 2009 Subject: [Admin-ml] grillade de serveur Message-ID: <5FEF172F-91E9-4281-96E6-3EB57DC33181@zmirov.com> Mon xserve est en mode soufflerie depuis hier à cause des grosse chaleurs sur paris. Malgré la clim dans la pièce ou il est il a très très chaud. A partir de combien de C° je dois m'inquiéter ? :-/ Actuellement d'après istat j'ai une moyenne de 46° et j'ai certain ventilo à + de 4000 rpm Bertrand From frederic.ollivier at gmail.com Tue Jun 30 15:50:51 2009 From: frederic.ollivier at gmail.com (frederic ollivier) Date: Tue Jun 30 15:51:05 2009 Subject: [Admin-ml] grillade de serveur In-Reply-To: <5FEF172F-91E9-4281-96E6-3EB57DC33181@zmirov.com> References: <5FEF172F-91E9-4281-96E6-3EB57DC33181@zmirov.com> Message-ID: <685c9f270906300650p698dde6dl5c603598fa38df37@mail.gmail.com> 2009/6/30 Bertrand Chatain : > Mon xserve est en mode soufflerie depuis hier à cause des grosse chaleurs > sur paris. Malgré la clim dans la pièce ou il est il a très très chaud. A > partir de combien de C° je dois m'inquiéter ?  :-/ > > Actuellement d'après istat j'ai une moyenne de 46° et j'ai certain ventilo à > + de 4000 rpm > > Bertrand > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml > 46° ca va, a partir de 55 ° je m'inquiéterai. Vérifie aussi que tu n'as pas trop de poussière aux aérations et sur les grilles de refroidissement des processeurs -- Frédéric Ollivier Lycée Marie Curie § Région Rhône-Alpes Avenue 8 mai 1945 - 38435 Echirolles §§§ GPG Key §§§ 036D 9284 EC49 A57E 469D 4197 51D9 86E6 6461 8CC0 From jlbailloeul at irtsnpdc.fr Tue Jun 30 16:00:49 2009 From: jlbailloeul at irtsnpdc.fr (Jean-Luc Bailloeul) Date: Tue Jun 30 16:01:09 2009 Subject: [Admin-ml] grillade de serveur In-Reply-To: <685c9f270906300650p698dde6dl5c603598fa38df37@mail.gmail.com> Message-ID: C'est rigolo, ma clim a lâché aujourd'hui. Le gars est en train de la réparer. tu devrais peut être changer ta clim. Je fais tourner la mienne à 21°. Sinon, les specs donnent ça : # Operating temperature: 10° to 35° C (50° to 95° F) # Storage temperature: ­40° to 47° C (­40° to 116° F) # Relative humidity: 5% to 95% noncondensing Jean-Luc > De : frederic ollivier > Répondre à : Administrateurs Systèmes sur Mac OS X > Date : Tue, 30 Jun 2009 15:50:51 +0200 > À : Administrateurs Systèmes sur Mac OS X > Objet : Re: [Admin-ml] grillade de serveur > > 2009/6/30 Bertrand Chatain : >> Mon xserve est en mode soufflerie depuis hier à cause des grosse chaleurs >> sur paris. Malgré la clim dans la pièce ou il est il a très très chaud. A >> partir de combien de C° je dois m'inquiéter ?  :-/ >> >> Actuellement d'après istat j'ai une moyenne de 46° et j'ai certain ventilo à >> + de 4000 rpm >> >> Bertrand >> _______________________________________________ >> Admin-ml mailing list >> Admin-ml@mosx.org >> http://coruscant.mosx.org/mailman/listinfo/admin-ml >> > > > 46° ca va, a partir de 55 ° je m'inquiéterai. > > > Vérifie aussi que tu n'as pas trop de poussière aux aérations et sur > les grilles de refroidissement des processeurs > > > > -- > Frédéric Ollivier > Lycée Marie Curie § Région Rhône-Alpes > Avenue 8 mai 1945 - 38435 Echirolles > §§§ GPG Key §§§ > 036D 9284 EC49 A57E 469D 4197 51D9 86E6 > 6461 8CC0 > _______________________________________________ > Admin-ml mailing list > Admin-ml@mosx.org > http://coruscant.mosx.org/mailman/listinfo/admin-ml > From jacques at foucry.net Tue Jun 30 15:52:25 2009 From: jacques at foucry.net (Jacques Foucry) Date: Tue Jun 30 16:02:23 2009 Subject: [Admin-ml] grillade de serveur In-Reply-To: <5FEF172F-91E9-4281-96E6-3EB57DC33181@zmirov.com> References: <5FEF172F-91E9-4281-96E6-3EB57DC33181@zmirov.com> Message-ID: <47582A5B-B24D-40C6-8F62-E7B4E275C739@foucry.net> On 30 juin 09, at 15:48, Bertrand Chatain wrote: > Mon xserve est en mode soufflerie depuis hier à cause des grosse > chaleurs sur paris. Malgré la clim dans la pièce ou il est il a très > très chaud. A partir de combien de C° je dois m'inquiéter ? :-/ Normalement, si il n'est vraiment pas bien il s'arrêtera de lui même. Le problème n'est pas forcément le XServe, mais son environnement : la pièce, la clim, la poussière... Jacques From patrick.proniewski at univ-lyon2.fr Tue Jun 30 16:15:14 2009 From: patrick.proniewski at univ-lyon2.fr (Proniewski Patrick) Date: Tue Jun 30 16:15:36 2009 Subject: [Admin-ml] grillade de serveur In-Reply-To: <5FEF172F-91E9-4281-96E6-3EB57DC33181@zmirov.com> References: <5FEF172F-91E9-4281-96E6-3EB57DC33181@zmirov.com> Message-ID: <35A85F78-A0E4-4854-B605-093320321EC8@univ-lyon2.fr> On 30 juin 09, at 15:48, Bertrand Chatain wrote: > Mon xserve est en mode soufflerie depuis hier à cause des grosse > chaleurs sur paris. Malgré la clim dans la pièce ou il est il a très > très chaud. A partir de combien de C° je dois m'inquiéter ? :-/ > > Actuellement d'après istat j'ai une moyenne de 46° et j'ai certain > ventilo à + de 4000 rpm C'est pas grave ça :) Je pense que tous mes serveurs ont leurs ventilo entre 4K et 5K rmp, avec quelques exceptions autour de 6K. Ensuite, de quelle température parles-tu ? Sur un XServe j'ai plus de 10 températures différentes, de 16 à 52°C Si tu es vraiment inquiet (bruit étrange, ...) - éteins le la nuit, pour laisser une chance à la clim de refroidir les murs. - surveille les ventilo pour guetter la panne - arrête le serveur 10 minutes le temps de le dépoussiérer à fond avec une bombe d'air sec. Patrick PRONIEWSKI -- Administrateur Système - SENTIER - Université Lumière Lyon 2 From fcombernous at kezia.com Tue Jun 30 16:38:39 2009 From: fcombernous at kezia.com (Fabien COMBERNOUS) Date: Tue Jun 30 16:45:32 2009 Subject: [Admin-ml] dns et macosx serveur Message-ID: <4A4A236F.8080206@kezia.com> Bonjour, Avant quoi que ce soit je précise que mon DNS dans le resolver est actuellement 127.0.0.1. Quand j'ai allumé pour la première fois ma machine j'étais sur un réseau disons en 10.x.x.x. Ensuite j'ai du le passer en 192.168.x.x J'ai commencé par utiliser changeip : sudo changeip - 10.x.x.x 192.168.x.x machine.priv machine.priv Et là commence mes soucis. Là j'en suis à : changeip --checkhostname Et il me dit : The DNS hostname is not available, please repair DNS and re-run this tool. Je veux bien mais quand j'utilise l'interface du service DNS du serveur admin, elle perd ses petits. Quand je fait une modification dans mes zones, puis Enregistrer alors : toutes les modif que j'ai faites sont supprimées et je me retrouve comme avant mes modifs. Si je supprime tout et repart depuis le début c'est pareil. Bref, je tourne en rond ... pitié pour ma santé mentale :) -- *Fabien COMBERNOUS* /unix system engineer/ www.kezia.com *Tel: +33 (0) 467 992 986* Kezia Group From yvast at free.fr Tue Jun 30 17:02:24 2009 From: yvast at free.fr (Yan) Date: Tue Jun 30 17:02:41 2009 Subject: [Admin-ml] dns et macosx serveur In-Reply-To: <4A4A236F.8080206@kezia.com> References: <4A4A236F.8080206@kezia.com> Message-ID: <21D24A2E-426A-4C5B-8578-562A059D4454@free.fr> Le 30 juin 09 à 16:38, Fabien COMBERNOUS a écrit : > Bonjour, > > Avant quoi que ce soit je précise que mon DNS dans le resolver est > actuellement 127.0.0.1. > > Quand j'ai allumé pour la première fois ma machine j'étais sur un > réseau disons en 10.x.x.x. Ensuite j'ai du le passer en 192.168.x.x > J'ai commencé par utiliser changeip : > sudo changeip - 10.x.x.x 192.168.x.x machine.priv machine.priv > Et là commence mes soucis. > > Là j'en suis à : > changeip --checkhostname > Et il me dit : > The DNS hostname is not available, please repair DNS and re-run this > tool. > Et en forcant le hostname ? sudo scutil --set HostName tonserveur.tondomaine.com Cordialement - Yannick From christian.simon at upmc.fr Tue Jun 30 21:52:48 2009 From: christian.simon at upmc.fr (Christian Simon) Date: Tue Jun 30 21:56:04 2009 Subject: [Admin-ml] grillade de serveur In-Reply-To: <35A85F78-A0E4-4854-B605-093320321EC8@univ-lyon2.fr> References: <5FEF172F-91E9-4281-96E6-3EB57DC33181@zmirov.com> <35A85F78-A0E4-4854-B605-093320321EC8@univ-lyon2.fr> Message-ID: <232FBF9A-9E15-4C84-A38D-B71759C3D794@upmc.fr> Le 30 juin 09 à 16:15, Proniewski Patrick a écrit : > > - arrête le serveur 10 minutes le temps de le dépoussiérer à fond > avec une bombe d'air sec. J'ajoute : bombe pour souffler en tandem avec l'aspirateur pour évacuer, sinon ça retombe aussi vite... La nuit, ouvrir les fenêtres et ventiler ("free cooling nocturne"), couper la clim pour la reposer... -- C. From frederic.ollivier at gmail.com Tue Jun 30 22:03:17 2009 From: frederic.ollivier at gmail.com (frederic ollivier) Date: Tue Jun 30 22:03:30 2009 Subject: [Admin-ml] grillade de serveur In-Reply-To: <232FBF9A-9E15-4C84-A38D-B71759C3D794@upmc.fr> References: <5FEF172F-91E9-4281-96E6-3EB57DC33181@zmirov.com> <35A85F78-A0E4-4854-B605-093320321EC8@univ-lyon2.fr> <232FBF9A-9E15-4C84-A38D-B71759C3D794@upmc.fr> Message-ID: <685c9f270906301303r114d190bn1362ed740547ee95@mail.gmail.com> 2009/6/30 Christian Simon : > > Le 30 juin 09 à 16:15, Proniewski Patrick a écrit : >> >> - arrête le serveur 10 minutes le temps de le dépoussiérer à fond avec une >> bombe d'air sec. > > J'ajoute : bombe pour souffler en tandem avec l'aspirateur pour évacuer, > sinon ça retombe aussi vite... > > La nuit, ouvrir les fenêtres et ventiler ("free cooling nocturne"), couper > la clim pour la reposer... > -- et en profiter pour nettoyer les grilles de refroidissement de la clim qui s'encrasse rapidement et perds du rendement. -- Frédéric Ollivier Lycée Marie Curie § Région Rhône-Alpes Avenue 8 mai 1945 - 38435 Echirolles §§§ GPG Key §§§ 036D 9284 EC49 A57E 469D 4197 51D9 86E6 6461 8CC0