PhenIXUS

[ecureuil]

une chose est sure, pas de ubuntu!

C'est win vista bis

Anne

[letordu]

Merci à tous pour avoir pris BEAUCOUP de temps à répondre et pour avoir parfaitement éclaircis le problème !

Je travail avec nufinet, donc je me trouve devant les mêmesproblématiques que lui. Je vais tanter d'exposer un peut mieux les deux problèmes qui se posent à nous et que (apparament mais on peut se tromper ) SME ne parviens pas à résoudre.

Je vais commencer par le problème des droits. On se trouve face à cette difficultée, pas parceque nous n'avons pas fait une étude du cas, mais parceque les règles d'accès aux i-bays que l'on nous avais données au début du projet on brusquement changé en cours de route lorsque les clients se sont trouvés face à leur serveur. Cela dit, c'est quand même une erreur de notre part, nous aurion du anticiper leur besoins et les pousser à aller plus loin dans leurs reflexion.

Ce qu'ils demandent au niveau des droits, c'est que le groupe A puisse écrire et lire dans l'I-bays que l'on va appler X, et que le groupe B puisse uniquement lire (donc pas de modification et d'écriture). Ce qui est impossible avec l'interface server-manager de base. J'ai essayé de "bidouiller" (je connaissais mal SME, je me suis vite rendu compte de mon erreur, d'ailleurs encore merci à jibe de m'avoir remis les pendules à l'heure ) en modifiant les droit "à la main" en me connectant en root...Je sais ce fut une GROSSE erreure...
Donc de là on a tenté d'installer "shardedFolder", puisque nous n'avons pas besoin du FTP. Mais impossible, SME plante à la première commande. Aujourd'hui je sais que cela viens de cette perdiode charnière qu'elle vit en ce moment avec la fin de CentOS 4. Je suis l'autre poste qui en parle avec une grande attention !!!

La seconde problèmatique c'est que nous avons en réalité pas un, mais dans ce cas deux sites distants, les utilisateurs de l'un doivent pouvoir se connecter sur le serveur de l'autre site. Mais l'à encore une fois nous nous sommes cassé les dents avec un OpenVPN Bridge récalsitrant...De plus les utilisateurs doivent auusi pouvoir se connecter un "nomade", ce qui rend encore la chose un peut plus complexe.

En résumé, SME est une distribution parfaite en "servergetway" directement en frontale derière une box, et pour des besoins bien ciblés au niveau des droits utilisateurs. Mais dans ce cadre, qui encore une fois n'était pas prévu lors du projet de base, il devient difficle de lui faire aller dans des contrées où il n'est pas prévu qu'elle mette les pieds !

D'où la demande sur Debian, qui me paraît plus souple, mais effectivement bien plus complexe à mettre en place, surtout pour nos besoins qui, me semble-il, reste simple...
En gros, nous avons "le cul entre deux chaisses" et nous ne savons pas de quel côté tomber !

[unnilennium]

deux choses:

pour ton interconnexion de site il faut soit que les deux reseaux soit identiques au niveau sous-reseau ( sans chevauchements d'ip) pour utiliser la contribs openvpn bridge, mais cela limite le nombre de psote de chaque coté ( quoique on peut elargir le masque) prenon avec un masque de sous réseau 255.255.255.0

LAN 1 (192.168.1.2-145) - (192.168.1.1) SME 1 (IP publique)<========INTERNET + OPENVPN BRIDGE ===> (IP publique) SME 2 (192.168.1.146) - LAN 1 (192.168.1.147-222)

sinon il faut router

LAN 1 (192.168.0.2-200) - (192.168.0.1) SME 1 (IP publique)<========INTERNET + OPENVPN ROUTÉ===> (IP publique) SME 2 (192.168.1.1) - LAN 1 (192.168.1.2-200)


Si tu interconnecte tes deux reseau en routé cela ne derange pas de rajouter la contrib bridge pour les clients exterieurs. Juste configure bien ton mode routé avant et utilise des ports différents pour les deux modes.



Pour les droits dans les ibays, c'Est un peu compliqué mais pas infaisable en jouant au niveau des template spour faire des templates customs. Si le reglage en mode console te suffit cela se fait tres bien . PAr defaut SME ne permet ce que tu demande que pour le groupe admin ( ecriture) vs un autre groupe (lecture).

Pour share folder, quelle version de SME utilisez vous ?

[jibe]

Salut,

Ce qu'ils demandent au niveau des droits, c'est que le groupe A puisse écrire et lire dans l'I-bays que l'on va appler X, et que le groupe B puisse uniquement lire (donc pas de modification et d'écriture). Ce qui est impossible avec l'interface server-manager de base.

Présenté ainsi, pour moi c'est parfaitement possible : on dit que l'ibay est liée au groupe A et on définit "Ecriture=groupe, Lecture=tous". Cela remplit exactement toutes les exigences mentionnées !

Mais je suppose qu'il en manque au moins une : le groupe C ne doit avoir aucun accès. Et dans ce cas, effectivement, on est marron !

Cela implique deux remarques :
- 1 - Est-il vraiment nécessaire que le groupe C n'ait aucun accès ? Existe-t-il d'ailleurs un groupe C ? On a tendance à dire qu'il ne doit pas pouvoir lire lorsqu'il n'en a pas besoin, mais ce non-besoin de lecture est-il vraiment associé à un réel besoin d'interdire la lecture ? Souvent, le fait qu'il puisse lire ou non est indifférent
- 2 - D'où la nécessité de définir tous les droits de manière exhaustive. Sans les tableaux dont j'ai parlé dans un post ci-dessus, il est impossible de tirer des conclusions valables !

[letordu]

Merci pour ces réponses extrêmement claire ! J'arrive maintenant à avoir une vision plus globale de mon problème de VPN.
Je crois en réalité que mon problème ce n'est peut être pas SME, mais ma méconnaissance de SME !

Pour les plages d'adresses du VPN je vais essayer ça dès que je peux et je vous tiendrai au courant de mes avancées.

Pour les droits d'accès aux i-bays par contre c'est en effet un peu plus compliqué. J'ai fais un terrible oublie dans mon poste précédent, donc je peux comprendre que cela n'est pas complétement claire. En effet il y a également un groupe C, mais aussi un groupe D et E ! Et l'i-bays en question est là pour que le personnelles médicales puissent stocker leurs documents. On va l'appeler le groupe A. Et seul le groupe B doit pouvoir lire le contenu. Pourquoi pas les autres ? Simplement parce que le contenu est protégé par le secret médical. C'est donc un problème de loi qui m'impose cela...Alors je pense en effet qu'on est marron !

Je ne me sens pas forcement au niveau pour modifié des templates et pour faire des "templates customs"...là ça deviens très obscure pour moi. Cela dit si vous avez des liens, de la docs ou des conseils pour apprendre, je suis complétement à l'écoute !

D'où mon idée de mettre en place share folder, puisse que je n'est pas besoin du FTP, c'est un effet le VPN qui doit assurer les échanges entres les sites et les utilisateurs nomades.

C'est là que je suis tomber sur le problème de l'installation :

Code : Tout sélectionner

Loading "installonlyn" plugin
Loading "protect-packages" plugin
Loading "fastestmirror" plugin
Loading "smeserver" plugin
Setting up Update Process
Setting up repositories
not using ftp, http[s], or file for repos, skipping - 4 is not a valid release or hasnt been released yet
Cannot find a valid baseurl for repo: base
Error: Cannot find a valid baseurl for repo: base

Alors je sais, ce n'est pas le même débat, je suis d'ailleurs entrain de suivre l'autre sujet à propos de cette période "charnière" que vit SME. Cela dit cela me permet de faire le pont avec le début du post sur la question de Debian. C'est tous cela qui nous a fait nous interroger sur le choix d'une distrib plus souple.

Le version de SME utilisé pour les deux sites est la 7.5.1. Et là je sais que je vais partir hors sujet, mais je prend le risque car c'est lié au fil quand même !!! J'ai exécuté la commande magique yum --disablerepo=base --disablerepo=updates update, mais la SME me renvoi la même erreur. Aujourd'hui je vais essayer sur un serveur de test fraichement installer de commencer par la mise à jour smeserver-yum-2.0.0-16.el4.sme.noarch.rpm et je verrai bien le résulta...

C'est je genre de problème qui fait un peu peur avec la SME (surtout pour un néophyte comme moi) surtout quand il y en a en tout 5 en productions...

[jibe]

Salut,

Je pense que si tu veux avancer vite et bien, il faut commencer par bien séparer les problèmes (surtout pour toi, et aussi pour la clarté des échanges sur le forum).

Traite d'un côté les aspects droits d'accès et de l'autre les problèmes d'accès via VPN. Ça simplifie et clarifie les choses, et une fois que chacune est bien définie, il sera facile de voir s'il est possible de les mettre ensemble et comment.

Pour les droits d'accès, je ne suis toujours pas convaincu que SME ne puisse pas faire l'affaire. Ni qu'elle le puisse d'ailleurs : d'une part, on n'a connaissance des besoins que peu à peu, avec trop peu de détails, et d'autre part tu sembles avoir fait des choix techniques avant d'avoir bien analysé les besoins !

La bonne démarche est :
- Faire les tableaux que j'ai préconisés, en oubliant totalement l'aspect technique. Qui doit accéder à quoi, et comment (lecture/écriture, droit/interdiction/indifférence...).
- A partir de la précédente démarche, qui s'est obligatoirement faite en plusieurs temps pour être valable, on étudie les différentes solutions techniques possibles.
- Comme il y a de fortes chances que certains besoins soient moins importants que d'autres, on regarde aussi si le sacrifice de certains besoins n'est pas avantageux sur d'autres points. Autrement dit, si on peut conserver une SME sans la modifier, ça peut faire plus que compenser quelques petits sacrifices ! Sans trahir bien entendu le secret médical.

Nous pourrions t'aider dans cette démarche, mais il nous faudrait tous les éléments (qui ne relèvent probablement pas du secret médical ). Si tu ne veux pas de notre aide à ce niveau, ce n'est nullement une obligation bien sûr. Mais il faudra nous convaincre que la conclusion à laquelle tu es arrivé est la bonne, ce qui risque d'être plus difficile

Hier, j'ai dit que SME avec une seule ibay bien configurée couvrait parfaitement les besoins exprimés. Je m'aperçois qu'il faudra peut-être plus qu'une ibay et éventuellement des mots de passe. Mais pour moi, SME est encore loin d'être éliminée ! Et pour me convaincre qu'elle l'est, il faudra au minimum me donner tous les détails sur les partages qui seront effectués sur Debian

Pour ce qui est des problèmes avec yum, c'est un peu différent, mais à traiter de la même manière que le reste. Quelles sont les exigences en stabilité, pérennité, sécurité ? La fin de vie de CentOS 4 et donc de SME 7.51 entrera bien sûr en ligne de compte, mais il y a de nombreux autres critères qui peuvent faire que cet inconvénient peut être acceptable. Seule une analyse précise et objective peut aboutir à des conclusions valables.

[Cool34000]

Salut,

Je n'ai qu'une chose à reprocher à ton approche jibe : il est inconcevable pour moi de faire des sacrifices...
Si on commence par se dire que ce n'est pas grave et que les utilisateurs s'y feront, on se retrouve souvent bloqué plus tard par le manque d'evolutivité de la solution choisie !
Si quelque chose ne convient pas, il faut savoir passer à autre chose... Car en général, les besoins vont en augmentant et pas l'inverse !

Ce n'est pas a l'utilisateur de se faire à une solution, mais à une solution de se plier aux attentes des utilisateurs !!!

[jibe]

Salut,

J'ai parlé de sacrifices ? Je n'aurais effectivement pas dû...

Bien sûr, tu as parfaitement raison, Cool34000 ! Ce que je voulais simplement dire, c'est qu'on considère souvent certaines choses comme indispensables, alors qu'on finit par s'apercevoir qu'elles ne servent finalement à rien. Je vois en effet assez souvent des cas assez semblables à celui que je citais je ne sais plus où : En discutant avec les utilisateurs, il semble de la plus haute importance que tel dossier ne soit pas accessible en lecture à certaines personnes. Et on s'aperçoit au final que les documents qui y sont stockés sont imprimés et souvent oubliés sur le copieur à côté de la machine à café !

Quand je demande à mes clients s'ils veulent que leur poste démarre sans saisie de mot de passe, ils me regardent comme si je demandais s'il est utile de s'éloigner de plus de 50cm d'un pain de TNT ! Mais quand je repasse pour la maintenance, tous les postes ont une session ouverte pendant que leurs utilisateurs papotent autour de la machine à café en zyeutant ce qui sort de l'imprimante...

Et je ne crois pas avoir dit qu'il ne fallait pas laisser le choix final à l'utilisateur. En tous cas, je voulais seulement dire qu'il faut l'inciter à se poser les bonnes questions, en aucun cas qu'il faut décider pour lui que certains besoins sont inutiles !

[Cool34000]

Hello,

Mais quand je repasse pour la maintenance, tous les postes ont une session ouverte pendant que leurs utilisateurs papotent autour de la machine à café en zyeutant ce qui sort de l'imprimante...

Oui, ou pire : le mot de passe super sécurisé collé sur l'écran ou sous le clavier...

[jdh]

Windows + L
C'est quand même pas long de verrouiller (lock) sa session !

Bon je sors ...