Pour autant, Apple avait publié dans sa base de connaissance un article sur la configuration du dit service en ligne de commande. Cet article est aujourd’hui hors ligne, comme je l’expliquais dans un précédent article, le serveur de mot de passe de Lion Server présent actuellement un dysfonctionnement qui empêche le VPN PPTP de fonctionner sans couper le chiffrement.

Que ce soit la procédure temporaire (une mise à jour devrait corriger le problème de chiffrement) ou la procédure standard, elle nécessite la manipulation de serveradmin en ligne de commande, ce qui n’est pas forcément pratique ni à la portée de tous. J’ai donc développé un petit assistant de configuration du service VPN pour Lion Server. Cet outil d’administration dédié au VPN se connecte au serveur de la même manière que Server Admin et expose ainsi les options de configurations PPTP dans leur intégralité ainsi que les options de configurations qui seront poussées aux clients.

Admin Tool VPN est aujourd’hui disponible sur le Mac App Store au prix de 1,59 €.

Commençons par rappeler quelques bases sur le VPN de type PPTP. Ce type de VPN est multiprotocoles et permet différentes options de compressions et chiffrements, dont la plus répandue, MPPC / MPPE qui offre à la fois compression et chiffrement. Cette option créée par Microsoft est la plus répandue pour le VPN PPTP et c’est celle implémentée par défaut sur OS X Server.

Passons sur les détails de fonctionnement, ce qu’il faut retenir c’est que MPPE coté client et coté serveur génère différentes clefs de chiffrement à partir du mot de passe utilisateur sous forme MSCHAPv2. Si les mots de passe sont identiques, les clefs le sont aussi et la communication se fait. Je résume, mais grossièrement c’est ça.

Pour que ça fonctionne, il faut donc que le serveur puisse avoir accès à l’empreinte MSCHAPv2 du mot de passe de l’utilisateur qui cherche à se connecter. Cette empreinte est disponible dans le serveur de mot de passe dont le comportement standard est de vérifié une empreinte qu’on lui passe en paramètre vis-à-vis de celle qu’il a en mémoire. Si on souhaite lire le contenu stocké dans le serveur de mot de passe il faut être soit administrateur, soit utiliser un compte de service qui a été spécialement créé pour cet usage. C’est justement le type de compte créé normalement pour le service VPN. Un petit tour sur un Snow Leopard Server nous permet de voir ceci :

% pwpolicy -u vpn_985b073d217b -getpolicy
Getting policy for vpn_985b073d217b
 
isDisabled=0 isAdminUser=0 newPasswordRequired=0 usingHistory=0 canModifyPasswordforSelf=1
usingExpirationDate=0 usingHardExpirationDate=0 requiresAlpha=0 requiresNumeric=0 expirationDateGMT=12/31/69
hardExpireDateGMT=12/31/69 maxMinutesUntilChangePassword=0 maxMinutesUntilDisabled=0 maxMinutesOfNonUse=0
maxFailedLoginAttempts=0 minChars=0 maxChars=0 passwordCannotBeName=0 requiresMixedCase=0 requiresSymbol=0
notGuessablePattern=0 isSessionKeyAgent=1 isComputerAccount=0 adminClass=0 adminNoChangePasswords=0
adminNoSetPolicies=0 adminNoCreate=0 adminNoDelete=0 adminNoClearState=0 adminNoPromoteAdmins=0

Le passage important est la clef isSessionKeyAgent. Une petite recherche dans les sources libres d’OS X nous amène ici.

La lecture des premières lignes donnant les réponses nécessaires à la compréhension du tout :

    int requiresAlpha:1;					// TRUE == password must have one char in [A-Z], [a-z]
    int usingHardExpirationDate:1;			// TRUE == look at hardExpirationDateGMT
    int usingExpirationDate:1;				// TRUE == look at expirationDateGMT
    int canModifyPasswordforSelf:1;			// TRUE == user can modify their own password
    int usingHistory:1;						// TRUE == user has a password history file
    int newPasswordRequired:1;				// TRUE == user is required to change the password at next login
    int isAdminUser:1;						// TRUE == can modify other slots in the db
    int isDisabled:1;						// TRUE == cannot log in
    int isSessionKeyAgent:1;					// the user can retrieve (MPPE) session keys
	unsigned int historyCount:4;
	int passwordCannotBeName:1;
	int passwordIsHash:1;
    int requiresNumeric:1;

C’est donc bel et bien cette option qu’il nous faut avoir à 1 pour que l’agent du VPN puisse accéder aux clef de chiffrement. Voyons voir ce que cela donne sous OS X Lion Server…

# pwpolicy -u vpn_c9952f0277eb -getpolicy
Getting policy for vpn_c9952f0277eb /LDAPv3/127.0.0.1
 
isDisabled=0 isAdminUser=1 newPasswordRequired=0 usingHistory=0 canModifyPasswordforSelf=1
usingExpirationDate=0 usingHardExpirationDate=0 requiresAlpha=0 requiresNumeric=0 expirationDateGMT=12/31/69
hardExpireDateGMT=12/31/69 maxMinutesUntilChangePassword=0 maxMinutesUntilDisabled=0 maxMinutesOfNonUse=0
maxFailedLoginAttempts=0 minChars=0 maxChars=0 passwordCannotBeName=0 validAfter=01/01/70 requiresMixedCase=0
requiresSymbol=0 notGuessablePattern=0 isSessionKeyAgent=0 isComputerAccount=0 adminClass=0
adminNoChangePasswords=0 adminNoSetPolicies=0 adminNoCreate=0 adminNoDelete=0 adminNoClearState=0
adminNoPromoteAdmins=0

Et là, c’est le drame… Le compte de service VPN est mal configuré, il n’a pas les droits pour accéder aux clefs MSCHAPv2. Le problème est bien plus profond qu’une simple mauvaise configuration de base. Il faut croire que des capacités ont été oublié dans la migration de DirectoryService vers opendirectoryd, la ligne de commande pwpolicy qui permettait d’éditer cette option sous Snow ne fonctionne plus sous Lion. Impossible de corriger ce droit d’accès à l’heure actuelle…

Mais comment faire du coup ? Se passer du PPTP ? C’est une option pas toujours acceptable, essayez donc de faire de l’IPSec sous Windows XP… Ce qu’il faut bien comprendre ici c’est que ce n’est pas le serveur VPN qui pose problème, mais bien le fait qu’il ne peut pas accéder aux clefs de chiffrement. Il reste donc une possibilité, et ce n’est pas de gaieté de cœur que je vous la donne, désactiver le chiffrement MPPE.

En effet, si vous coupez le service de chiffrement, plus besoin des clefs, votre VPN fonctionne.

Voici donc les commandes permettant d’activer le VPN PPTP sous Lion Server :

bash-3.2# serveradmin settings
vpn:Servers:com.apple.ppp.pptp:DNS:OfferedSearchDomains:_array_index:0 = "search domain"
vpn:Servers:com.apple.ppp.pptp:DNS:OfferedServerAddresses:_array_index:0 = "dns server"
vpn:Servers:com.apple.ppp.pptp:enabled = yes
vpn:Servers:com.apple.ppp.pptp:PPP:AuthenticatorEAPPlugins:_array_index:0 = "EAP-RSA"
vpn:Servers:com.apple.ppp.pptp:PPP:AuthenticatorACLPlugins:_array_index:0 = "DSACL"
vpn:Servers:com.apple.ppp.pptp:PPP:CCPEnabled = 0
vpn:Servers:com.apple.ppp.pptp:PPP:AuthenticatorProtocol:_array_index:0 = "MSCHAP2"
vpn:Servers:com.apple.ppp.pptp:PPP:AuthenticatorPlugins:_array_index:0 = "DSAuth"
vpn:Servers:com.apple.ppp.pptp:IPv4:ConfigMethod = "Manual"
vpn:Servers:com.apple.ppp.pptp:IPv4:DestAddressRanges:_array_index:0 = "start ip address"
vpn:Servers:com.apple.ppp.pptp:IPv4:DestAddressRanges:_array_index:1 = "end ip address"

Faites bien attention à remplacer ce qui doit l’être. La partie permettant de couper le chiffrement est CCPEnabled = 0. Cela entend que vos clients soient configurés pour ne demander aucun chiffrement.

Attention. Se passer de chiffrement pour une connexion VPN peut être dangereux ! N’utiliser cette procédure qu’en connaissance de cause !

J’ai participé aux bêta tests de 10.7.2 comme beaucoup d’autres administrateurs (c’est peu dire qu’on attendait beaucoup de cette mise à jour…). Durant cette phase, il y a certaines mises à jour que j’ai oublié de faire. Je me suis donc retrouvé avec un système en 10.7.2 final, mais avec une partition de récupération pas à jour. Pour aller plus vite, j’ai décidé de restaurer le contenu de la partition de récupération de mon Mac Pro vers mon MacBook Air, sauf que j’ai omis une chose : mon MacBook Air étant chiffré avec FileVault 2, sa partition de récupération contient des choses très spécifiques, entre autres les clefs de déchiffrement pour accéder au disque (ces clefs sont quant à elles chiffrées avec les mots de passe des utilisateurs).

Me voilà donc avec un MacBook Air verrouillé, sans système de démarrage et refusant en plus de démarrer sur tout disque externe ou NetBoot (je ne sais pas pourquoi).

Voici donc comment déchiffrer une partition FileVault 2 (à condition d’avoir sa clef de déchiffrement).

Pour ma part, la seule méthode qui m’a permis d’accéder à une ligne de commande sur ma machine fut de démarrer sur le système de récupération d’Apple sur Internet avec le raccourcit cmd-alt-R au démarrage.

Une fois le système démarré (2h en soirée, 1h le matin…) j’ai pu ouvrir une ligne de commande root et réparer mes bêtises.

LA ligne de commande à connaitre ici est diskutil avec son verbe coreStorage. Il permet de manipuler un agencement virtuel de disque (qui, soit dit en passant, est extrêmement intéressant).

Pour commencer, nous allons lister les disques de votre Mac :

$ diskutil coreStorage list
CoreStorage logical volume groups (1 found)
|
+-- Logical Volume Group 26B67367-CF79-4D1E-884C-BB96FDD79D19
    =========================================================
    Name:         FileVault
    Sequence:     1
    Free Space:   0 B (0 B)
    |
    +-< Physical Volume A446F211-3BCB-47F4-8EB2-7174AF4CD408
     |   ----------------------------------------------------
     |   Index:    0
     |   Disk:     disk4s2
     |   Status:   Online
     |   Size:     9896046592 B (9.9 GB)
     |
     +-> Logical Volume Family 8D077574-ADC1-4979-9F1E-FF901FC20D86
        ----------------------------------------------------------
        Sequence:               8
        Encryption Status:      Unlocked
        Encryption Type:        AES-XTS
        Encryption Context:     Present
        Conversion Status:      Complete
        Has Encrypted Extents:  Yes
        Conversion Direction:   -none-
        |
        +-> Logical Volume BD2C5D29-633D-4230-AE94-BE1D2C48BC10
            ---------------------------------------------------
            Disk:               disk5
            Status:             Online
            Sequence:           4
            Size (Total):       9577275392 B (9.6 GB)
            Size (Converted):   9577275392 B (9.6 GB)
            Revertible:         Yes (unlock and decryption required)
            LV Name:            FileVault
            Volume Name:        FileVault
            Content Hint:       Apple_HFS

Vous voyiez ici toute une arborescence de disque physique et logique permettant de faire plein de trucs sympa. Chaque composant de CoreStorage est identifié via un UUID. Ici, l’identifiant de la partition à déchiffrer est BD2C5D29-633D-4230-AE94-BE1D2C48BC10.

La seule chose qu’il nous est nécessaire de faire c’est de dire à CoreStorage d’annuler le chiffrement via sa commande revert :

diskutil coreStorage revert BD2C5D29-633D-4230-AE94-BE1D2C48BC10 -passphrase toto

Ici toto représente le mot de passe que FileVault 2 vous avez dit de conserver précieusement…

La ligne de commande finale ressemble donc à ceci :

$ diskutil coreStorage revert BD2C5D29-633D-4230-AE94-BE1D2C48BC10 -passphrase 2NTO-LQGA-RMXG-LFQO-B8NR-XTCT
Authentication required for reverting a locked volume
Started CoreStorage operation on disk4s2 FileVault
Finished CoreStorage operation on disk4s2 FileVault
Decryption in progress; use `diskutil coreStorage list` for status

On va donc s’exécuter :

# diskutil coreStorage list
CoreStorage logical volume groups (1 found)
|
+-- Logical Volume Group 26B67367-CF79-4D1E-884C-BB96FDD79D19
    =========================================================
    Name:         FileVault
    Sequence:     1
    Free Space:   0 B (0 B)
    |
    +-< Physical Volume A446F211-3BCB-47F4-8EB2-7174AF4CD408
     |   ----------------------------------------------------
     |   Index:    0
     |   Disk:     disk4s2
     |   Status:   Online
     |   Size:     9896046592 B (9.9 GB)
     |
     +-> Logical Volume Family 8D077574-ADC1-4979-9F1E-FF901FC20D86
        ----------------------------------------------------------
        Sequence:               11
        Encryption Status:      Unlocked
        Encryption Type:        None
        Encryption Context:     Present
        Conversion Status:      Converting
        Has Encrypted Extents:  Yes
        Conversion Direction:   backward
        |
        +-> Logical Volume BD2C5D29-633D-4230-AE94-BE1D2C48BC10
            ---------------------------------------------------
            Disk:               disk5
            Status:             Online
            Sequence:           4
            Size (Total):       9577275392 B (9.6 GB)
            Size (Converted):   62914560 B (62.9 MB)
            Revertible:         Yes (unlock and decryption required)
            LV Name:            FileVault
            Volume Name:        FileVault
            Content Hint:       Apple_HFS

Nous voyons qu’effectivement le système est en train de convertir notre volume, il ne reste plus qu’à attendre la fin en vérifiant régulièrement l’état du système. À la fin, il ne doit rester plus aucun volume CoreStorage.

$ diskutil coreStorage list
No CoreStorage logical volume groups found

L’un des problèmes que j’ai pu relever est la configuration du nom de domaine pour les mails. Par défaut, Roundcube prend le nom du serveur comme nom de domaine pour les e-mails lors de l’authentification d’un nouvel utilisateur. C’est normal, c’est son comportement par défaut. Mais ce n’est pas pour autant ce qu’on attend de lui.

Ainsi, mon serveur est configuré de la sorte :

Tout semble bon, pourtant lorsque je me connecte sur le webmail de Lion Server, si je vérifie les préférences d’identité de Roundcube j’obtiens ceci :

Il y a comme un petit problème de configuration ici…

Voyons voir le fichier de configuration de Roundcube :

/usr/share/webmail/config/main.inc.php

…
// This domain will be used to form e-mail addresses of new users
// Specify an array with 'host' => 'domain' values to support multiple hosts
// Supported replacement variables:
// %h - user's IMAP hostname
// %n - http hostname ($_SERVER['SERVER_NAME'])
// %d - domain (http hostname without the first part)
// %z - IMAP domain (IMAP hostname without the first part)
// For example %n = mail.domain.tld, %d = domain.tld
$rcmail_config['mail_domain'] = '';
…

Il suffit de lire, pour coller à 90% des cas de déploiement, Apple aurait du rajouter un simple %d dans les guillemets de cette ligne de configuration. Et pour faire les choses réellement bien, l’outil de configuration du serveur aurait du aller écrire le nom de domaine configuré par l’utilisateur ici…

Bien qu’ayant ouvert un rapport de bug chez Apple (rdar://10249603), je vous recommande de changer ce fichier de configuration et de rajouter le %d manquant, voire votre nom de domaine en toutes lettres.

Une fois la configuration appliquée, authentifié un nouvel utilisateur et hop ! Ça marche comme attendu :

Malheureusement pour vous cher administrateur système, si vous avez déjà mis en prod vos serveurs, il faudra passer à la main sur chaque utilisateur pour remettre tout cela d’aplomb…

Je vous propose donc un premier article sur le sujet pour prendre en main Lion Server et exécuter sa configuration initiale. L’objectif est de configurer un serveur pour une petite entreprise avec les services de collaborations habituels ainsi que la configuration automatique fournie pour iOS 4 et OS X Lion.

Obtenir Lion Server

La première chose à avoir, c’est un Mac avec OS X Lion ou OS X Lion Server. Si c’est un OS X standard il vous suffit d’aller sur l’App Store et d’acheter le supplément OS X Lion Server.

Une fois téléchargé, il vous suffit de lire les instructions pour télécharger les paquets nécessaires et transformer votre OS X en OS X Server :

Suite à quoi, en rouvrant la même application, nommée sobrement Server, vous aurez accès au premier outil de configuration de votre OS X Lion Server.

La première chose à remarquer c’est la section d’aide en bas, elle comporte de nombreuses informations intéressantes pour commencer à configurer votre serveur.

Configurer le réseau

L’outil nous dit cela :

Le nom d’hôte de votre serveur est MacBook-Pro-de-Local.local et son adresse IP 192.168.42.134. Vous pouvez modifier les réglages de réseau dans la sous-fenêtre Serveur.

Le nom d’hôte de votre serveur ne peut être utilisé que sur votre réseau local. Pour autoriser un accès sécurisé hors de votre réseau, attribuez à votre serveur un nom d’hôte se terminant par « .private » dans la sous-fenêtre Serveur, puis activez le service VPN. Pour autoriser l’accès direct par Internet aux services sans faire appel au réseau local, enregistrez un nom d’hôte Internet pour votre serveur et configurer le mappage des ports sur votre routeur.

Avec quelques hyperliens pour obtenir plus de détails sur les noms de domaines ou les redirections de ports :

Nous allons donc gentiment suivre ce qu’Apple nous propose ici, nous rendre dans la section de configuration machine de l’outil Server puis utiliser l’assistant de configuration du nom d’hôte.

L’assistant proposé dispose de toutes les étapes nécessaires à la configuration de votre serveur en IP fixe et avec un nom de domaine de tout type.

L’outil propose trois choix concernant les noms de domaine :

• Pour le réseau local : cette option ne devrait pas exister à mon avis. Elle permet de configurer le serveur avec une portée de nom limité au seul réseau local. Si demain vous souhaitez faire de l’accès distant, ce choix vous sera fatal.
• Pour le réseau privé : là on commence à avoir quelque chose d’intéressant, cette option permet de créer un nom de domaine en .private qui ne pourra être résolu que depuis ce serveur. Cette solution à du sens lorsque les accès au serveur ne se font qu’en interne ou en VPN.
• Pour Internet : si votre serveur doit avoir une identité sur le net et être accessible à distance, c’est le choix à faire. Vous configurer votre serveur avec un nom cohérent, faisant du sens pour les utilisateurs, et qui sera valable en interne comme depuis l’Internet. Je vous conseille des noms comme bureau.example.com ou marseille.example.com.

À noter que le choix d’un nom valide sur Internet devra être complété par une configuration du côté de votre hébergeur DNS pour faire pointer bureau.example.com vers votre IP public, qui se doit d’être fixe (c’est le cas pour quasi tous les abonnements pro sauf chez Orange). Si vous êtes sur une connexion domestique du siècle dernier, avec une IP dynamique, il vous faudra passer par un service tel que DynDNS.

À la fin de cet assistant, votre serveur est correctement configuré, que ce soit au niveau IP fixe et DNS local.

Si l’on reprend la machine utilisée dans ce précédent article, on peut facilement arriver à la conclusion que tout est disponible pour un retour à la normale rapide :

• Les fichiers web sont là

bash-3.2# ls /Library/WebServer/TEST/
index.php		wp-comments-post.php	wp-links-opml.php	wp-rss2.php
license.txt		wp-commentsrss2.php	wp-load.php		wp-settings.php
readme.html		wp-config-sample.php	wp-login.php		wp-signup.php
wp-activate.php		wp-config.php		wp-mail.php		wp-trackback.php
wp-admin		wp-content		wp-pass.php		xmlrpc.php
wp-app.php		wp-cron.php		wp-rdf.php
wp-atom.php		wp-feed.php		wp-register.php
wp-blog-header.php	wp-includes		wp-rss.php

• Les fichiers MySQL sont là

bash-3.2# ls /var/mysql/
ib_logfile0				mysql-bin.000003
ib_logfile1				mysql-bin.000004
ibdata1					mysql-bin.index
lion.office.inig-services.com.err	mysql.sock
lion.office.inig-services.com.pid	mysql_service.log
mysql					test
mysql-bin.000001			wordpress
mysql-bin.000002

• Les outils MySQL sont là

bash-3.2# mysql
mysql                       mysql_tableinfo             mysqld_multi
mysql_client_test           mysql_tzinfo_to_sql         mysqld_safe
mysql_config                mysql_upgrade               mysqldumpslow
mysql_convert_table_format  mysql_upgrade_shell         mysqlhotcopy
mysql_explain_log           mysql_waitpid               mysqlimport
mysql_find_rows             mysql_zap                   mysqlshow
mysql_fix_extensions        mysqlaccess                 mysqltest
mysql_fix_privilege_tables  mysqladmin                  mysqltestmanager
mysql_install_db            mysqlbinlog                 mysqltestmanager-pwgen
mysql_secure_installation   mysqlbug                    mysqltestmanagerc
mysql_setpermission         mysqlcheck

• Le service est même lancé

bash-3.2# launchctl list | grep mysql
80	-	org.mysql.mysqld

Il faut donc indiquer tout cela à Apache, un petit tour du propriétaire indique également que tout est là…

Il ne reste plus qu’à créer une branche de configuration pour les sites personnalisés, éditez le fichier /etc/apache2/httpd.conf pour que la fin ressemble à ceci :

 
	Include /etc/apache2/sites_custom/*.conf
        Include /etc/apache2/sites/*.conf
 
        Include /etc/apache2/sites/virtual_host_global.conf
        Include /etc/apache2/sites/*_.conf
        Include /etc/apache2/sites/*__shadow.conf

Ensuite on crée le dossier /etc/apache2/sites_custom

mkdir /etc/apache2/sites_custom

Puis on déplace le fichier de configuration au bon endroit :

cp /etc/apache2/sites-previous-unusable-1055/0000_any_80_test.lion.office.inig-services.com.conf /etc/apache2/sites_custom/

Il ne reste plus qu’à relancer Apache

apachectl restart

Et voilà !

Pour notre petit exercice dominical, nous allons partir d’un Snow Leopard Server disposant des configurations typiques :

• Un serveur DNS avec des entrées personnalisées

• Un serveur OpenDirectory avec des utilisateurs utilisant des dossiers de départ déporté sur le serveur
• Des groupes de travail avec des dossiers de travail en réseau
• Un serveur web avec Wiki et sites personnalisés nécessitant MySQL

• Les services de collaborations iCal Server et AddressBook Server

• Un serveur mail interne

Voyons voir ce que donne ce serveur somme toute standard après une mise à jour sous Lion…

Si vous avez des comptes de services (PostgreSQL, Boinc, etc.) ou des comptes d’administrateur caché (comme nous le voyons dans le cursus ACSA par exemple) vous vous rendrez compte qu’à la fin, Lion a tout supprimé, sans crier gare…

De même, le fichier /etc/sudoers est remis à zéro.

Avant de faire la mise à jour assurez-vous de deux choses :

1. Ayez un compte utilisateur standard (UID > 500) disposant des droits d’administrateurs.
2. Faites une copie des fichiers de base de DSLocal (Les fichiers utilisateurs sont dans /var/db/dslocal/nodes/Default/users et les fichiers de mot de passe dans /var/db/shadow/hash, enregistré avec l’UUID de votre utilisateur)

Je tiens donc à rappeler ici la règle d’or avant de faire une mise à jour d’un système serveur…

1. Ne pas faire la mise à jour dès le début et attendre au moins 10.x.3

Une fois la troisième version mineur là, il reste quelques autres règles élémentaires à appliquer (et elles sont également valables pour tous ceux qui essayeraient de migrer vers un 10.x.0…)

1. Sauvegarder le disque du système serveur (ce qui entend éteindre le serveur pour le faire)
2. Sauvegarder les disques de données (le processus de migration du serveur pourra par exemple changer la base de donnée des mails. Retourner à une sauvegarde du système c’est bien, avec des données lisibles c’est mieux…)

Cela étant valable si vous n’avez pas prévu de mettre à jour le serveur en lui même. Maintenant si vous comptez prendre une nouvelle machine sous peu, je vous recommande d’attendre cette machine et d’utiliser l’outil de migration de serveur, puis de finir de migrer à la main tout ce qui ne sera pas passé. Et on n’oublie pas les sauvegardes des données…

Un rapide tour dans les logs (/var/mysql/mysql_service.log) permet de voir ceci :

110628 11:54:21 [ERROR] Error message file '/usr/share/mysql/english/errmsg.sys' had only 480 error messages,
but it should contain at least 481 error messages.
Check that the above file is the right version for this program!
110628 11:54:21 [ERROR] Aborting

Le message est au final assez clair, le fichier /usr/share/mysql/english/errmsg.sys n’est pas le bon… Il suffit donc de replacer le bon fichier pour que ça reparte tout seul. Au cas où vous n’auriez pas de backup, vous pouvez le télécharger ici.

Faites attention à conserver les droits d’accès du fichier d’origine.

Note : Je viens de voir que panic.com a eu le même problème. Ils ont résolu cela en réinstallant la combo 10.6.8.