Si comme moi vous utilisez une autoritée de certificat tierce (voir plusieurs), vous aurez sur Chromium (et Firefox) une jolie page d'erreur rouge marqué en clair que votre navigateur ne lui fait pas confiance.
Après avoir recherché pendant des plombes, plusieurs fois, la ligne de commande magique pour faire accepter l'autoritée tierce, voici la ligne de commande magique :
certutil -d sql:$HOME/.pki/nssdb -A -t TC -n "Nom de l'Autorité" -i fichiercrtdelautorite.crt
Un truc qu'on fait régulierement dans ce métier, c'est remettre en question le fonctionnement de ce que l'on à déjà mis en place.
Après une remarque justifié sur un comportement des sites qu'on cache, et a force de dissection de logs pour constater l'origine du soucis, j'ai épluché a nouveau la documentation de Squid et fait pleurer les 3 serveurs “laboratoire”.
En effet, la configuration Squid que j'avais faite precedement presentait quelques défaut et pas des moindres, les serveurs de cache ne s'echangeaient pas (ou quand ca leur chantait) des elements de leur caches, et plus amusant encore, les serveurs de cache forwardaient les requetes qu'ils n'étaient pas censé gerer aux frontaux (oui demander google.fr au serveur de cache ca ne leur posait pas de probleme).
Bref a force de recherche, de test, de litre de café ingéré, j'ai mis a jour ma documentation : Squid en mode Reverse Proxy
Il y a bien une chose qui me fait “halluciner”, c'est le réflexe du loueur moyen de serveur chez OVH, c'est entre 200 et 300 serveurs OVH que je vois en “electricReboot” sur leur interface de monitoring des baies (ils appellent ca VMS).
Ce qui veut dire que c'est 200 a 300 personnes qui ont demandé un reboot électrique de leur serveur après un incident réseau de cet hébergeur sans avoir vérifié quoi que ce soit.
“Oh mon dieu je n'accède plus a rien sur mon serveur ! Vite un reboot !”
Quand je reçois un SMS d'alerte (je monitore mes serveurs par des “services” extérieur) concernant un de mes serveur, je n'en déduis pas forcement que mon serveur est cassé.
Je suis tout un “processus” pour trouver l'origine du problème en remontant depuis “mon cul sur ma chaise” jusqu'au serveur.
Je remonte chaque étape du réseau, si ça bloque avant, c'est que mon serveur va bien, et je touche du bois, pour l'instant, c'est toujours le cas.
Grâce a un coup de bol, j'ai toujours au moins un serveur sur chacun de leur Datacenter, ce qui me permet de remonter et me connecter vers mon serveur (“l'interne” -Ovh to Ovh- fonctionnant dans 99,9% des cas, seul l'externe restant problématique).
Depuis que Vault est en production, j'ai eu plusieurs problème réseau, mais aucun problème sur la machine proprement dite.
D'ailleurs en ce moment c'est toujours le même routeur le fautif, "VSS-1-6k" leur pose de sacré problème…
Hem, oui je sais je ne poste que peu en ce moment.
A cause du mouvement au sein de la boite qui m'emploie (voir l'excellent billet de Karlesnine a ce sujet ) les nouveautés que je recherche et ponds régulièrement sont sporadique.
Mon dernier article porte sur l'optimisation des serveurs de cache Squid en reverse Proxy.
Mon “après” Prisma-Presse portera principalement sur une formation Cisco (CCNA Sécurité) avant de retourner dans le monde du travail armé de mes compétences de SysAdmin renforcé par cette certification.
Comme Karlesnine je vise a rester dans le domaine “Internet” dans lequel je baigne depuis son arrivée en France et j'aspire a pouvoir continuer d'apporter ma touche/vision personnelle de tout cela.
So long Karles, travailler avec toi fut un plaisir renouvelé chaque jour, et si tu m'appelle pour t'épauler, compte sur moi.
Quand on cherche des solutions d'authentification simple mais qui font le café on arrive vite vers LDAP.
Sauf qu'après pour faire le café c'est une autre paire de manche.
Après avoir perdu bien des neurones je suis arrivé a mettre en place/œuvre une solution simple pour authentifier un cheptel de développeur et webmaster vers SSH/SFTP et Samba sur une douzaine de machine avec un identifiants par personne.
C'est par ici que ca se passe : Ldap Samba et PAM
(Et j'aime définitivement pas Debian, je vais transposer sur Gentoo pour voir :)
Discussion