Utiliser l’autorité de certification d’OS X Lion Server pour vos propres certificats

Par Yoann Gini le 11 avril 2012

Comme vous le savez peut-être, OS X Lion Server embarque une autorité de certification. Elle est utilisée exclusivement par le Profile Manager pour la gestion des périphériques distants. Comme je l’ai déjà dit dans le passé, il est très intéressant d’avoir une autorité de certification interne à l’entreprise. Il serait donc intéressant de pouvoir nous servir de l’autorité livrée avec notre serveur Lion pour autre chose que de la gestion de périphérique.

Continuer la lecture →

Utiliser un serveur d’authentification « One Time Password » avec OS X Server

Par Yoann Gini le 2 mars 2012

Si vous avez déjà approché de près ou de loin une grande entreprise, vous avez certainement entendu parler des générateurs de mots de passe à usage unique (token OTP pour les initiés). Ces petits appareils permettent de générer un code à usage unique qui viendra en remplacement du mot de passe utilisateur pour certains services comme l’accès distant.

L’article que je vous propose ici est une première approche de la problématique OTP
sur OS X. Il existe plusieurs solutions sur le marché, Apple recommande les Secure ID de RSA Security, bien que ce soit la solution environ documentée par Apple, c’est une solution onéreuse et qui a la mauvaise idée de ne pouvoir être hébergée que sur un serveur Windows… Pour cet article je vous propose donc la solution OTP de Feitian.
Continuer la lecture →

Dialogue avec interface série sur un Mac

Par Yoann Gini le 29 juin 2010

Pour information, Jacques viens de sortir un petit article sur comment utiliser un port de communication série avec un Mac.

L’intérêt de ce genre de manip est multiple, communiqué avec une baie Promise, un routeur Cisco, un Serveur, etc.

Serveur de mise à jour transparent, attention !

Par Yoann Gini le 10 mai 2010

Dans la série des précisions, attention à deux choses, l’une que l’on m’a remontée et une seconde que j’ai constatée.

Un collègue à eu des problèmes de résolutions de nom sur la zone apple.com avec des serveurs gérant un Xsan, donc pensez à vérifier le comportement de vos serveurs dans ce cas précis.

Après investigation il apparait que le problème venait simplement de Server Admin qui avait mis à jour le champ reverse DNS du serveur en question pour l’assigner à swscan.apple.com, une vérification est donc de rigueur après modification du DNS.

L’autre problème que j’ai constaté se trouve sur la nouvelle fonctionnalité présente dans Snow Leopard, à savoir l’installation automatique des pilotes d’impression. En effet, ce système se sert de software update pour fonctionner et se trouve donc ici bloqué. Il faudrait regarder l’URL utilisée par ce système pour y placer un proxy sur notre faux swscan.apple.com local.

Si quelqu’un à des commentaires à ce sujet, n’hésitez pas à me les remonter.

Précision sur WAB et les serveurs secondaires

Par Yoann Gini le 10 mai 2010

Depuis mon article sur l’implémentation d’une zone Bonjour en Wide Area j’ai reçu quelques retours sur les erreurs et problèmes rencontrés, dont un que je pense nécessaire de vous, partager (les autres étant des problèmes inhérents à un produit non documenté)

Lorsque vous mettez en place une zone WAB en suivant mon tutoriel, serveradmin va reconfigurer BIND pour le placer sur le port 5030, un cat sur /etc/dns/options.conf.apple le confirme :

directory "/var/named";

forwarders { 8.8.4.4; 8.8.8.8; };

allow-transfer { none; };

listen-on port 5030 { 127.0.0.1; };

Et en réalité c’est dnsextd qui viens écouter sur le port 53 et qui retransmettra tout sur 127.0.0.1:5030 :

root@office ~ 19:07 % lsof -i 4 -nP | grep dnsextd dnsextd 111 root 4u IPv4 0x07246abc 0t0 TCP *:53 (LISTEN) dnsextd 111 root 5u IPv4 0x06f7020c 0t0 UDP *:53

Ce qui va poser un problème, à savoir les requêtes de transfert de zone…

yoanngini@office ~ 19:08 % host -t axfr office.inig-services.com Trying "office.inig-services.com" ; Transfer failed. Trying "office.inig-services.com.office.inig-services.com" Host office.inig-services.com.office.inig-services.com not found: 1(FORMERR) Received 12 bytes from 127.0.0.1#53 in 0 ms ; Transfer failed.

Et cela, même si BIND est correctement configuré :

zone "office.inig-services.com." { type master;

file "db.office.inig-services.com.";

allow-transfer {any;};

allow-update {none;};

Je dirais qu’à première vue, dnsexted bloque les transferts de zone. Je vous conseillerais donc de placer votre serveur WAB soit sur un serveur isolé soit sur votre serveur DNS secondaire.

Wide Area Bonjour – Authentification des clients par secret partagé

Par Yoann Gini le 18 janvier 2010

Dans les précédents articles, nous avons vu comment mettre en place une zone WAB en lecture seule puis comment rendre cette même zone disponible en lecture/écriture pour que nos clients puissent enregistrer leurs services et enfin nous avons vu une petite astuce pour faire en sorte que cette zone contienne le plus d’informations possible.

Voyons voir maintenant comment faire en sorte que l’écriture sur cette zone soit protégée par un secret partagé.

Continuer la lecture →

Wide Area Bonjour – Un peu plus loin dans l’enregistrement

Par Yoann Gini le 17 janvier 2010

Nous savons comment mettre en place une zone DNS pour le WAB, ce petit article a pour objet de compléter un petit peu votre configuration pour faire en sorte qu’un maximum de service s’enregistre sur votre WAB.

Continuer la lecture →

Wide Area Bonjour – Une zone modifiable par tous

Par Yoann Gini le 17 janvier 2010

Nous avons vu dans un précédant article qu’il est très simple de mettre en place une zone WAB avec des données statiques. Intéressons-nous maintenant à la remontée d’informations des postes clients, ou comment faire en sorte que nos machines inscrivent d’elles-mêmes leurs informations dans notre zone WAB en même temps qu’elles publient leurs informations sur le Bonjour local.

Continuer la lecture →

Wide Area Bonjour – Introduction et données statiques

Par Yoann Gini le 17 janvier 2010

Cet article est le premier d’une série concernant Bonjour en « Wide Area », ou comment faire passer les informations de Bonjour (ZeroConf) à travers les routeurs (et le VPN) grâce à notre Mac OS X Server.

Continuer la lecture →

[OS X Server] – Configuration d’un serveur mail interne

Par Yoann Gini le 6 novembre 2009

Comme promis dans un précédent article je reviens ici sur la configuration du service mail d’OS X Server mais d’une manière atypique. D’origine le service mail d’OS X est plutôt designé pour être le serveur mail principal de votre société et évince ainsi les serveurs mail de votre FAI ou hébergeur web.

L’intérêt d’un tel évincement serait d’avoir le contrôle maximum sur son service mail et ainsi éviter une suppression de mail important par un service anti-spam un peut trop agressif ou encore de laisser plus d’espace mail disponible pour vos utilisateurs. Pour autant il a un très net désavantage, il faut que votre serveur mail soit toujours en ligne. Autant dire que si ce serveur est hébergé dans les locaux de votre TPE/PME il y a de forte chance qu’un jour ou l’autre il y ai une coupure d’électricité ou d’Internet.

L’objectif ici va être d’avoir à la fois les avantages d’un serveur interne et la sécurité d’un serveur fournis par votre hébergeur.

Continuer la lecture →