Mes 4 serveurs précédents étaient des machines indépendantes sous Ubuntu Hardy Heron 8.04 LTS 32 bits. La configuration finale obtenue est un unique serveur en Ubuntu 10.04 Lucid Lynx 64 bits hébergeant cinq machines virtuelles de type Ubuntu Lucid Lynx 10.04 LTS en 32 bits avec, comme auparavant, toutes les  sauvegardes sur une autre machine hors du réseau de mon fournisseur.

Pour corser le tout j’ai totalement industrialisé le processus de création de nouvelles machines avec la mise en place d’un serveur DHCP + PXE  et d’un mirroir apt spécifique Ubuntu Lucid Lynx. Ainsi, au final, toutes mes machines virtuelles sont capables de s’installer et de se mettre à jour (apt-get update ou apt-get upgrade) en utilisant l’une des machines virtuelles comme serveur. Enfin, un petit script complémentaire que j’avais déjà développé pour Ubuntu Hardy Heron se charge de l’installation et de l’administration des principaux services : Apache, Mysql, FTP et Postfix.

Au niveau de la configuration de démarrage

Même si, pour un serveur, savoir que la Ubuntu démarre un peu plus vite ne nous fait ni chaud, ni froid, il reste toutefois un point assez gênant : les services ne démarrent plus de la même manière.  Ainsi, la plupart des services vous en informe de la manière suivante :

root@antares ~ $ /etc/init.d/gdm restart
Rather than invoking init scripts through /etc/init.d, use the service(8)
utility, e.g. service gdm restart

Since the script you are attempting to invoke has been converted to an
Upstart job, you may also use the restart(8) utility, e.g. restart gdm
gdm start/running, process 23280
root@antares ~ $

Vous êtes donc prévenus, il faut donc mieux utiliser la méthode suivante (comme sous Red Hat) :

root@antares ~ $ service gdm restart
gdm start/running, process 23358
root@antares ~ $

Notez que seuls les services liés au poste de travail vous affichent cette alerte. Cela n’empêche d’ailleurs pas les deux modes d’être opérationnels pour tous les services.

Attention toutefois, il faudra en plus du répertoire /etc/default aller jeter un coup d’œil dans /etc/init pour éventuellement retrouver les modes de démarrage que l’on connaissait avec la Hardy Heron. C’est le seul moyen que j’ai trouvé pour désactiver proprement gdm sur une Ubuntu configurée d’origine en mode desktop.

Au niveau des services serveurs

La nouvelle Ubuntu modifie quelque peu les versions de mes principaux services serveurs :

Sous Ubuntu Hardy Heron (8.04 LTS) :

• Apache 2.2.8-1ubuntu0.15
• PHP 5.2.4-2ubuntu5.10
• MySQL-Server 5.0.51a-3ubuntu5.5
• PHPMyAdmin 2.11.3deb1ubuntu1.3
• Postfix 2.5.1-2ubuntu1.2
• Cyrus-Imapd 2.2.13-13ubuntu3

Sous Ubuntu Lucid Lynx (10.04 LTS) :

• Apache 2.2.14-5ubuntu8
• PHP 5.3.2-1ubuntu4
• MySQL-Server 5.1.41-3ubuntu12
• PHPMyAdmin 3.3.2deb1
• Postfix 2.7.0-1
• Cyrus-Imapd 2.2.13-19

Après plusieurs semaines d’utilisation, j’ai été agréablement surpris de voir que la configuration de ces principaux services sur Lucid Lynx reprend à quelques minuscules variantes près celle de Hardy Heron. J’ai même pu conservé à l’identique mes scripts utilisés pour l’administration ou la configuration de ces services.

Notez  que la version 5.3 de PHP apporte beaucoup d’améliorations en terme de sécurité et de fiabilité. L’ajout en plus d’un composant de type cache (XCache ou autre…) et plutôt très stable. Toutefois, des sites qui daterait un peu posent quelques problèmes. Et oui, même si, pour certain, c’est toujours trop lent, le langage PHP évolue… Les sites doivent donc suivre. D’ailleurs, j’émettrai la même remarque pour MySQL 5.1 qui modifie quelque peu les profils de sécurité. Rien d’insurmontable, je vous rassure.

Au niveau de la virtualisation

Pour mon premier passage en production de ce type de solution, je vous confirme que j’avais déjà annoncé dans cet article : Premiers tests de KVM sous Ubuntu Lucid Lynx. Ce type de virtualisation est maintenant abouti pour un réel usage en production. D’ailleurs depuis la release candidate, les différents logiciels proposés n’ont quasiment pas évolué, même si, comme me l’a fait remarqué l’un des lecteurs du blog, le manager de machine virtuelle n’est pas la toute dernière version.

En conclusion

Comme je vous l’annonçais au départ, mis à part quelques changements marketing et visuels, le cœur de cette Ubuntu Lucid Lynx LTS reste une valeur sûre. Même si cette dernière casse un peu les pieds au départ (séquence de démarrage différente, bouton de fermeture des fenêtres à gauche…) on finit par s’y habituer. Dans le doute, rappelez-vous que la version LTS précédente : Ubuntu Hardy Heron est encore maintenue pendant 3 ans pour les composants serveurs.

Si vous êtes convaincu, vous trouverez le CD ou DVD d’installation ici et vous pourrez commander un CD ici.

Ce « type » de logiciels (on devrait d’ailleurs plutôt dire « prototype« ) est réalisé des programmeurs célibataires acharnés (les légendaires « geeks » bières-pizza), ou par une frange d’idéalistes illuminés, barbus, hirsutes et ventripotents.
Leur seul but est de rendre le monde de l’informatique meilleur en donnant gratuitement le fruit de leur travail (les pauvres, ils n’ont rien compris au système capitaliste).  Les quelques entreprises qui les utilisent ne peuvent être que reléguées au rang de « laboratoires à ciel ouvert » (pensez, les administrations, elles n’ont que cela à faire : perdre du temps avec leur système d’information). Dans le meilleur des cas, le monde du libre est le monde du « sous-logiciels » pour des pays sous-développés (La distribution linux Ubuntu n’a-t-elle pas été mise en place dans ce but ?).

Bien sûr les solutions libres existent et ont une réelle place dans le paysage informatique. Aujourd’hui, il ne réduisent plus à ces quelques clichés éculés.

Je vous propose donc une plongée dans le monde de l’opensource et du logiciel propriétaire avec une analyse combiné des principaux intéressés. Un débat sur le thème : « Opensource et gratuité : ce que vos clients choisissent réellement !«   a été organisé dans le cadre du forum Decideo 2010 sur le thème de la Buisness Intelligence (BI). Cette table ronde a été animée et sans langue de bois. Chacun a pu et a osé exprimer son point de vue. Etaient présents :

• Se connecter sur le Linux avec des comptes distants
• Pouvoir monter des partages distants hébergés sur un serveur de Microsoft
• Proposer des répertoires Apache protégés par un mot de passe issu de l’AD
• Utiliser une authentification AD pour un serveur proxy de type squid
• …

N’écoutant que mon courage, je commence, comme à mon habitude, par mettre en place le lien avec Winbind… Il se trouve que la distribution cible est une CentOS qui propose un assistant qui semble prometteur (dans le menu : Système / Administration / Authentification). Pour ne rien gâcher, je trouve sans trop de problèmes une kyrielle de HOWTO pour parvenir à mes fins.

Après avoir en lutté en vain quelques minutes et constatant mon cuisant échec, je commence à descendre dans les entrailles du système. Je m’attaque donc à la configuration de Kerberos et paramètre Windbind en mode ads (active directory) comme je l’aurai fait pour la mise en place d’un serveur membre du domaine. Mais là aussi, manquant de temps, je ne parviens pas à trouver la faille.

En dernier recours, je tente une recherche dans un moteur de recherche bien connu et tombe sur un outil surprenant à licence double (opensource et propriétaire)  : il s’agit de Linkwise. Ce composant logiciel, d’après son éditeur permettrait :

• de joindre à un domaine AD un Linux, un Mac ou n’importe quel Unix (avec même un assistant en mode graphique pour les plus paresseux)
• d’utiliser l’authentification AD sur Linux
• de proposer une console pour faire le mappage UID/GID linux et ID Microsoft (payant)
• de propager les mêmes droits entre Windows et Linux (payant)
• compatible SSH
• un journal d’évènements et une console complète pour le suivi (payant)
• …

En fait, la couche logicielle côté Linux est totalement gratuite et semble complète. Vous tous les détails ici. Les outils payants ajoutant une interface côté AD. Les promesses sont là, quel résultat en pratique…

Installation

On télécharge l’outil après avoir renseigné ce que l’on veut (sauf le mail) dans le formulaire proposé

ou, on utilise ce lien qui pointe directement sur les logiciels à installer.

Vous pourrez alors choisir les paquetages pour votre distribution. Je vous conseille pour une utilisation encore plus facile, le téléchargement de l’interface graphique : Domain Join GUI également Open Source.

Le moins que l’on puisse dire, c’est que le choix de toutes les plateforme est large !

Configuration

Au préalable, il est indispensable de préparer le poste linux à devenir un membre du domaine.

Il est indispensable de veiller à ce que le poste linux soit parfaitement à la même heure que le serveur Active Directory (avec 5 minutes grand maximum de tolérance). Le plus simple reste d’installer un paquetage de gestion de l’heure de type ntp et de le configurer correctement. Toutes les distributions en proposent.

Il est également indispensable que le poste linux utiliser l’Active Directory comme DNS avec le bon suffixe DNS. Voici un extrait du fichier de résolution de nom : /etc/resolv.conf

# Adresse IP du serveur AD
nameserver 10.0.0.1
# Suffixe DNS : nom du domaine AD
domain local.lan

De plus, n’oubliez pas de donner un nom à votre poste. Dans notre cas, nous allons l’appeler : srv.local.lan. Voici un extrait du fichier : /etc/hosts

127.0.0.1 localhost localhost.localdomain
10.1.0.1  srv srv.local.lan

Ensuite on procède à l’installation des logiciels proprement dits. Dans le cas d’une CentOS, les fichiers récupérés sont des exécutables qu’il suffit de lancer

[root@srv Desktop]# ./LikewiseIdentityServiceOpen-5.3.0.7724-linux-i386-rpm-installer
----------------------------------------------------------------------------
Welcome to the Likewise Identity Service [Open] Setup Wizard.
----------------------------------------------------------------------------
Please read the following License Agreement. You must accept the terms of this
agreement before continuing with the installation.
Press [Enter] to continue : [Enter]
Likewise Open is provided under the terms of the GNU General
Public License (GPL version 2) and the GNU Library General
Public License (LGPL version 2.1). The additional components
listed below are covered under separate license agreements:
Samba 3.0 Client libraries and tools - GPLv2
MIT Kerberos - MIT Kerberos 5 and other licenses
OpenLDAP - OpenLDAP Public License
Novell DCE-RPC - BSD
LibXML2 - BSD
libuuid from e2fsprogs - BSD
libiconv - LGPLv2
OpenSSL - BSD
For more details and for the full text for each of these
licenses, read the LICENSES and COPYING files included with
this software.
Press [Enter] to continue :[Enter]
Do you accept this license? [y/n]: y
----------------------------------------------------------------------------
Setup is now ready to begin installing Likewise Identity Service [Open] on your computer.
Do you want to continue? [Y/n]: y
----------------------------------------------------------------------------
Please wait while Setup installs Likewise Identity Service [Open] on your computer.
Installing
0% ______________ 50% ______________ 100%
######################################
To join an Active Directory domain using a command-line interface, run:
/opt/likewise/bin/domainjoin-cli
Press [Enter] to continue :[Enter]
----------------------------------------------------------------------------
Setup has finished installing Likewise Identity Service [Open] on your computer.

On lance ensuite de la même manière l’installation du deuxième paquetage : LikewiseDomainJoinGui. Une fois l’installation achevée, les logiciels iront se positionner proprement dans le répertoire : /opt/likewise

Mise en oeuvre

On ne peut rêver plus simple. L’outil graphique est tout simple. Un simple clic depuis l’icône sur le bureau ou on le lance avec la commande :

/opt/likewise/bin/domainjoin-gui

Pour ceux qui préfère l’outil en ligne de commande l’inscription se réalise depuis la commande :

/opt/likewise/bin/domainjoin-cli join local.lan Administrateur

Une fois l’inscription réalisée, il vous suffit de redémarrer la machine pour que tout soit pris en compte. En cas d’erreur essayez de revérifier votre configuration (DNS) et votre heure !

Conclusion

Pour la petite histoire, je vous laisse quelques remarques :

• J’ai appris plus tard que le serveur AD visé était un Windows Server 2008 (Voilà peut-être l’origine de mon problème). En principe, sachez que les dernières versions de Samba sont compatibles (voici un exemple ici)
• La version payante qui ajoute le mappage UID/GID est intéressante sur le papier. Dans la pratique, même en réinscrivant plusieurs fois ma machine à l’AD, les UID/GID utilisés par Linux sont toujours restés les mêmes.
• La suite de logiciel Opensource propose bien d’autres possibilités que la simple inscription au domaine. Ainsi, en farfouillant, on trouve un module d’authentification Apache s’appuyant sur AD. (que je n’ai pas essayé)
• Pour la connexion SSH, utilisez dans la connexion deux anti-slash pour pouvoir vous connectez dans problèmes

ssh local.lan\\administrateur@linux

Introduction

Comme vous le savez peut-être, la prochaine version d’Ubuntu estampillée 10.04 LTS alias Lucid Lynx est annoncée pour le 29 Avril 2010. (Vous trouverez d’ailleurs plus de détail sur le site d’Ubuntu ici.) Cette version dite LTS (Long Term Support) est traditionnellement une déclinaison « stable » à utiliser pour les serveurs ou du poste de travail à longue durée de vie. Il sort une version LTS tous les deux ans environ et ces distributions spécifiques d’Ubuntu sont maintenues 5 ans au lieu des 18 mois habituels. Vous comprenez bien que réinstaller ses serveurs tous les 18 mois n’est pas toujours possible…
Pour cette nouvelle déclinaison, mise à part les sempiternelles promesses d’accélération du démarrage (pour un serveur la lenteur du démarrage est plus liée au démarrage des cartes RAID ou des cartes réseau que l’OS lui-même) et un nouveau thème (que je trouve pas du tout pratique, mais c’est mon avis et sur un thème de surcroit non terminé à l’heure où j’écris), bref, la vraie promesse c’est le Cloud Computing et surtout son indispensable corollaire : la virtualisation. Pour avoir testé et utilisé l’hyperviseur Xen, je me suis attelé au test de KVM, LE système de virtualisation du noyau linux. Après avoir recherché et trouvé assez facilement des tutoriaux de mise en route pour les versions antérieures de Ubuntu (Vous trouverez un exemple ici pour la Ubuntu 9.10) je le suis risqué à tenter l’expérience sur la future plateforme Lucid Lynx LTS en 64 bits et là, surprise, c’est tout bonnement sensationnel !

Comme tous les systèmes utilisant la parvirtualisation, il est indispensable d’utiliser une machine disposant d’un processeur du jeu d’instructions processeur spécifique : Intel-VT ou AMD-V. Pour ma part, j’ai utilisé un serveur bi-Intel Xeon E5530 d’intel avec 16 Go de RAM. L’installation sur la machine n’a posé aucun souci (contrôleur RAID SAS 6i/R inclus) sauf un léger bug pour la carte graphique corrigé après le passage des mises à jour .

Pour le partitionnement, il est conseillé d’utiliser des volumes logiques d’un LVM. J’ai donc partitionné le disque en conséquence pour pouvoir créer un ou plusieurs volumes logiques par machine virtuelle :

Après l’installation des différents outils j’ai commencé à faire quelques tests mais la ligne commande pour lancer une machine virtuelle se révèle très lourde. Dans un environnement de production, il nous faut un minimum de confort d’autant plus lorsque l’on cherche à diffuser largement cette solution. Lorsque j’avais testé l’hyperviseur Xen, j’avais été amené à utilisé sous SuSE Server l’outil virt-manager de Red Hat. A tout hasard je tente l’installation sous Ubuntu et ô miracle l’outil est bien présent dans la liste des paquetage et dans une version très récente (en date de décembre 2009) qui intègre naturellement la gestion de KVM !

Virt-manager se révèle à l’usage véloce et largement abouti pour un travail d’administration quotidien dans de bonnes conditions. Son interface est simple et bien pensée. Elle n’est d’ailleurs pas sa rappeler certaines solutions propriétaires. On pourrait seulement reprocher la relative lenteur de l’interface graphique sous VNC mais l’outil en lui-même n’y est pour rien. Après avoir créé plusieurs machines virtuelles linux (Ubuntu principalement), je me suis risqué à tenter l’installation du côté obscur de la force : les systèmes d’exploitation de Microsoft ! L’assistant très bien fait de création de machine m’a permis très rapidement d’avoir une configuration avec la compatibilité optimale. L’ensemble de la liste des systèmes d’exploitation de Microsoft les plus récents sont tous présents :

Je suis même parvenu à faire fonctionner un Windows 7 sans accrocs ! Je vous livre ici un exemple de la configuration de virt-manager pour une machine sous Windows 7 Ultimate 64 bits :

Bref, une première impression plutôt très très positive !

• Sur le hardware émulé tout d’abord : Je vous le dit tout de suite : nous ne disposons pas de carte graphique accélératrice (!). Mais bon, je ne pense pas que se soit vital pour une exploitation de la virtualisation classique plutôt tournée vers le monde du serveur. Toutefois, on constate rapidement que le hardware émulé par  KVM se cantonne à des cartes assez anciennes : cartes sons, carte réseau ou carte graphique. Il est parfois acrobatique de trouver un pilote sur certains OS un peu trop récents et encore plus difficile en 64 bits ! Au cours de mes tests, mon Windows 7 64 bits restera donc muet !
• Je trouve la console graphique VNC d’une très grande lenteur. Heureusement tous les OS modernes proposent un bureau à distance nettement plus véloce que ce pauvre VNC !
• La gestion des ressources est très parcellaire : pas de pool de ressources permettant de protéger les ressources d’une série de machine d’un autre hôte trop boulimique.
• La gestion des réseau proposée par défaut est un réseau de type NAT ou le bridge (après installation et configuration d’une carte bridgée) Il aurait été souhaitable de disposer d’un switch virtuel pour pouvoir avoir un maximum de souplesse ou pour exploiter des VLANs. En plus, les solutions libres existent déjà.

Avec l’arrivée d’une interface aboutie comme virt-manager et l’implémentation efficace et très légère de la paravirtualisation dans le noyau linux avec  KVM, l’OS au pinguin devient de plus en plus une vraie alternative crédible. Il me resterai à faire encore quelques tests de performances mais avec un Windows 7 x64 Ultimate édition qui démarre en moins de 20 secondes, je ne me suis même pas encore posé la question.

On obtient le sempiternel message d’erreur qui énerve tous les administrateurs de messagerie : relay acces deny !

Ainsi, dernièrement, chez un client utilisant Orange (pour ne pas le citer), il m’a même été impossible de parvenir à configurer correctement un serveur de messagerie complet en mode relai (Postfix) avant de finalement de m’apercevoir qu’une telle manipulation était tout bonnement interdite sans authentification. Pour faire la même chose avec sSMTP il faut modifier quelque peu la configuration proposée dans mon billet précédent.

Voici la nouvelle configuration avec authentification pour le FAI Orange (fichier /etc/ssmtp/ssmtp.conf) qui devrait d’adapter à d’autres cas.

#
# /etc/ssmtp.conf -- a config file for sSMTP sendmail.
#
# Préfixe de l'adresse mail du compte système la personne qui envoie les emails
# Chez Orange, utilisez votre compte Orange
root=moncompte@orange.fr
# Pour le relai, il faut s'identifier sur le serveur SMTP
# Utilisez votre compte orange et son mot de passe
AuthUser=moncompte@orange.fr
AuthPass=mot-de-passe-du-compte-orange
# Serveur d'envoi (celui de l'hébergeur)
mailhub=smtp.orange.fr
# Suffixe de l'adresse mail (nom de mon domaine)
rewriteDomain=mondomaine.com
# Les scripts peuvent réécrire l'adresse l'expéditeur
# Entête "From:" autorisée ?
FromLineOverride=YES

Avec cette configuration, j’arrive à mes fins, mais il m’a fallu faire plusieurs tests…

Finalement : Après plusieurs tentatives et un appel au support Orange, nous avons appris mon client et moi que le SMTP d’Orange est maintenant couplé aux requêtes DNS. En gros, vous dépendez complètement de l’infrastructure de votre hébergeur. Lorsque l’on sait que le SMTP comme le DNS sont deux services vitaux en entreprise, et que ceux des FAI sont bien souvent beaucoup (voire trop) sollicités, il devient alors, pour les professionnels, très difficiles de travailler convenablement… D’autant plus  lorsque l’on cherche à se mettre à l’abri des ces désagréments…

En fait sSMTP se positionne à la place traditionnelle de sendmail sans ses inconvénients. Sous Ubuntu ou Debian, nous vous conseillons d’installer ssmtp et mailx, un client en ligne de commande idéal pour tester l’envoi de mail.

apt-get install mailx ssmtp

Le fichier de configuration de sSMTP se place dans : /etc/ssmtp/ssmtp.conf et ne comprend que peu d’options :

#
# /etc/ssmtp.conf -- a config file for sSMTP sendmail.
#
# Préfixe de l'adresse mail du compte système la personne qui envoie les emails
root=postmaster
# Serveur d'envoi (celui de l'hébergeur)
# On peut préciser le port avec deux points (optionnel)
# exemple : smtp.mondomaine.com:2525
mailhub=smtp.monFAI.com
# Sufixe de l'adresse mail (nom de domaine)
rewriteDomain=mondomaine.com

Cette solution est d’autant plus intéressante qu’elle est adaptable dans toutes les situations. Il est ainsi possible d’utiliser sSMTP pour des envois de mail depuis un serveur Web !

Remarque : Si vous voulez tester l’envoi, sachez que le paquetage mailx vous fourni un mini client de messagerie en ligne de commande qui s’appelle mail. Je vous mets ici un exemple d’utilisation.

local ssmtp # mail destinataire@mondomaine.com
Subject: Ceci est un titre
Ceci est le corps du message.
Il s'arrête à la saisie d'un point seul sur une ligne.
Vous pouvez utilisez le retour à ligne autant que vous voulez.
.
Cc: copie@mondomaine.com
local ssmtp #

Notez qu’en cas de mauvaise configuration, comme sSMTP ne dispose pas d’une file d’attente, vous aurez directement le message d’erreur immédiatement après votre tentative.

Introduction

WordPress est un logiciel libre de CMS qui offre de nombreux avantages :

• Une gestion par billets très simple à utiliser, ce qui en fait un très bon outil pour réaliser un blog
• Une approche par page qui en fait, en même temps un très bon CMS pour des sites simples
• Une gestion des liens entre les pages totalement dynamique et une gestion de catégorie et de mots clefs redoutablement efficace pour le référencement.
• Une quantité incroyable de thèmes graphiques gratuits et payants
• Un quantité toujours plus grande de plugins conférant à cet outil une souplesse sans égal
• Une vraie communauté francophone très active

Vous comprenez maintenant mieux pourquoi mon blog est lui même réalisé sur WordPress. Toutefois, pour des projets plus ambitieux, WordPress reste limité. Notamment dans la mise en place de systèmes multi-blogs où il est indispensable d’avoir une gestion centralisée. Mais la communauté a réagi en proposant WordPress MU (Multi Utilisateurs) qui devrait d’ailleurs fusionner avec le WordPress traditionnel dans la version 3.0 annoncée pour  avril.

Installer cette version spécifique est plus complexe principalement à cause de la mise en place préalable des DNS et de la configuration spécifique d’Apache. Ainsi, n’espérez pas installer WordPress MU sur un serveur mutualisé bas coût classique. Un serveur virtuel ou mieux, un serveur dédié est vivement requis.

La configuration de WordPress MU que je vais évoquer a pour objectif d’avoir un seul site qui répond à tous les préfixes d’un même domaine. Ainsi :

• www.monsite.com
• test.monsite.com
• essai.monsite.com
• nimportequoi.monsite.com…

renverra toujours sur le même hôte virtuel Apache.

Cette configuration est à la base  de la mise en place de WordPress MU et permet d’héberger des sites différents utilisant le même nom de domaine. En effet, dans le cas de WordPress MU, c’est l’application qui se charge d’afficher le bon site a contrario d’une configuration classique où la gestion est assurée généralement par un hôte virtuel Apache différent. WordPress MU peut ainsi proposer un environnement multi-blogs géré et hébergé depuis un seul et unique endroit. De part cette centralisation, on y gagne une administration de tous les blogs centralisée et une occupation du disque réduite à un seul site et la mise en place de quota pour chaque blog hébergé.

Il est indispensable de choisir un hébergeur qui propose un mode « avancé » d’administration des DNS. En effet, il faut créer deux entrées spécifiques :

• La première répondra lorsque l’on interrogera le nom seul (sans préfixe). On crée donc une entrée DNS vide
• La deuxième répondra dans tous les autres cas. On crée donc une entrée DNS  de type astérisque.

Voici un exemple de configuration (cliquez sur l’image pour l’agrandir) :

Voici maintenant le fichier de configuration de l’hôte virtuel sur Ubuntu 8.04 LTS. Le fichier sera placé dans le répertoire : /etc/apache/sites-available . Nous appellerons le fichier : monsite

<VirtualHost *.monsite.com:80>
ServerName monsite.com
ServerAlias *.monsite.com
ServerAdmin blog@monsite.com
DocumentRoot /var/www/monsite

<Directory /var/www/monsite/>
Options -Indexes FollowSymLinks MultiViews
AllowOverride All
Order allow,deny
allow from all
</Directory>
ErrorLog /var/log/apache2/monsite.com.error.log
LogLevel warn
CustomLog /var/log/apache2/monsite.com.fr.access.log combined
ServerSignature Off
</VirtualHost>

A la différence de beaucoup de solutions que l’on trouve sur internet s’appuyant uniquement sur l’hôte par défaut, la configuration apache que je propose est opérationnelle avec plusieurs hôtes virtuels de ce type. Il est ainsi, théoriquement possible d’installer plusieurs WordPress MU sur la même machine physique. WordPress MU ne sait gérer, de base, qu’un seul domaine.

Il suffit ensuite d’activer le nouvel hôte virtuel et de demander à Apache de relire ses fichiers de configuration. Notez que le redémarrage du service n’est pas nécessaire et provoquerai un arrêt de production. Voici les commandes que j’utilise

a2ensite monsite
/etc/init.d/apache reload

Il existe toute une série de méthode pour créer des bases de données sous MySQL. Cette étape doit-être faite dans le respect de la sécurité. Nous vous déconseillons de créer des bases de données administrables uniquement depuis le super-utilisateur « root ». Pour plus de sécurité, il vaut mieux créer pour chaque base de données un utilisateur dédié qui sera utilisé (et seulement lui) par l’application web (dans notre cas WordPress MU)

Pour parvenir à cet objectif, nous vous conseillons d’utiliser l’application web PHPMyAdmin qui est fourni dans toutes les distributions Linux :

• Depuis la page d’accueil : cliquez sur Privilèges

• Cliquez sur Ajouter un nouvel utilisateur

• Renseignez les informations nécessaires : login, mot de passe, serveur… et n’oubliez pas de cocher : Créer une base portant son nom et donnez à cet utilisateur tous les privilèges sur cette base (on ne peut pas faire plus explicite…)

• Puis validez… et c’est tout !

4^ème Etape : installation de WordPress MU

L’installation reste maintenant la partie la plus simple de l’installation. Vous pouvez récupérez le pack WordPress MU avec les locales françaises sur le site de la communauté francophone de WordPress. La version actuelle lors de la rédaction de ce billet est la 2.9.1.1.

Il suffit ensuite de décompressez l’archive et déposer les fichiers à la racine de votre site web. Dans notre cas il s’agit du répertoire : /var/www/monsite

Il suffit maintenant de dérouler l’assistant d’installation étape par étape. Si les tous les réglages précédents ont bien été fait, cette installation ne pose aucun problème. Au cours de l’assistant d’installation voici les principaux écrans qu’il vous faudra renseigner :

Il existe deux modes de gestion pour les différents blogs hébergés : nous choisirons la gestion par sous-domaines que nous avons préalablement configuré avec les DNS et le serveur Apache.

Il suffit de reprendre ici les informations que nous avons renseignées lors de la création de notre base de données. Nous avons crée un utilisateur et sa base en même temps. L’assistant de PHPMyAdmin leur a donc logiquement donné, à tous les deux, le même nom.

Comme nous avons choisi le système multi-blog, il est indispensable de renseigner notre nom de domaine dans l’adresse du serveur. Les autres blogs seront alors reconnus par WordPress MU.

Enfin, n’oubliez pas de renseigner une adresse mail valide afin de recevoir par mail le mot de passe du compte d’administration admin.

Au final, l’installation de WordPress MU demande au minimum la mise en place de 71 tables !

Attention : n’oubliez pas de la mise à jour de DNS peut prendre plusieurs jours. Ne vous précipitez donc pas pour faire l’installation ! Vérifiez avant toute chose avec la commande ping par exemple, que quelque soit le suffixe utilisé avec votre domaine, la même adresse IP  est renvoyée.

Lorsque l’on se penche dans les documentations de mise en place d’un serveur de messagerie et plus particulièrement sur celle qui concerne les alias ont trouve des choses très intéressantes. Pour faire simple, la plupart des services de messagerie (Postfix dans mon cas) autorisent l’association de une ou plusieurs adresses email « virtuelles » (alias) liées à une ou plusieurs adresses réelles. Ce principe est généralement utilisé pour de la mise en place de listes de diffusion. Envoyer un mail à l’adresse informatique@masociete.com fait suivre le mail à toutes les personnes du service informatique.

Notez également que toutes les tâches planifiées qui s’appuient sur crond envoient un mail contenant le résultat de exécution demandée. Un bon moyen de surveiller l’activité de son serveur.

Ce fichier est généralement stocké dans /etc/aliases et en voici un exemple :

# Les lignes commençant par un dièse sont des commentaires
# Exemple de fichier pour masociete.com
# On ajoute @masociete.com par défaut lorsque rien n'est précisé
#
# Exemple de syntaxe
# source: destination(s)
#
# Linux redirige les services qui génèrent des mails vers root
clamav:         root
ftp:            root
postmaster:     root
# Un administrateur récupère tous les emails adressés à root
root:           admin
# Cécile Durand a épousé M. Dupont
cecile.durand:  cecile.dupont
# Exemple de liste de diffusion de 4 personnes
informatique:   jean jacques pierre martine
# Redirection vers un autre domaine
jean:           jean.durand@gmail.com

Mais en lisant bien la documentation on découvre une perle : il est également possible de créer un alias vers une commande ! Ainsi, si j’envoie un email à commande@masociete.com, je peux déclencher un script défini, vous avez deviné, dans le même fichier alias. Cela nous donne le fichier modifié suivant :

commande: "|/usr/local/bin/macommande"

Le « pipe » barre droite « | » indique à notre serveur que commande@masociete.com n’est pas une boite mail mais une commande à exécuter. Imaginez les possibilités…

Tout le monde sait que PHP est un langage de script utilisé par Apache pour la réalisation de sites web dynamiques. Les possibilités offertes par ce langage sont nombreuses :

• Ouvrir et écrire des  fichiers même distant (PHP sait utiliser la plupart des protocoles réseaux : FTP, HTTP, HTTPS…)
• Créer, modifier ou redimensionner des images
• Crypter, décrypter des fichiers
• Créer des fichiers PDF
• Envoyer des mails
• Utiliser la plupart des bases de données du marché
• Gérer des fluxs et même établir des connexion complexes (socket TCP…)

Le problème c’est qu’Apache contraint PHP à une utilisation très restreinte pour limiter les problèmes de montée en charge : allocation mémoire limitée, temps de traitement limité, nombre d’extensions chargées limité… Mais il existe une solution, utiliser PHP sans Apache, c’est à dire utiliser PHP pour faire des scripts comme avec le shell. Toutes les contraintes précédentes disparaissent et PHP peut exprimer toute sa puissance. Il devient alors possible de faire des scripts PHP d’administration très complexes sans apprendre un nouveau langage. (Je vous cache pas que le Shell est parfois un peu abscons…)

Voici comment on procède :

On installe php5-cli, déclinaison ligne de commande de PHP. Sur une Ubuntu 8.04 cela donne :

apt-get install php5-cli

Notez que la gestion de php5-cli ressemble à celle du module Apache. Le fichier de configuration est stocké dans : /etc/php5/cli/php.ini

On crée un script, par exemple : script.php avec le contenu suivant :

La première ligne indique que ce script doit-être lancé avec php5-cli et le code PHP, comme dans une page web est entouré des balises : <?php et ?>.

On rend ensuite son script exécutable

chmod 755 script.php

Et on le lance tout simplement par :

./script.php

Et c’est tout !

J’en profite pour m’opposer fortement aux ignorants de la ligne de commande : si vous préciser correctement dans la première ligne de votre script l’interpréteur à utiliser, il n’est alors aucunement nécessaire de repréciser cette information plus tard. Cela nous donne un truc très moche qu’il vaut mieux oublier :

php ./script.php

Nous allons définir un alias qui va exécuter un script PHP. Voici le contenu que l’on ajoute au fichier : /etc/aliases

# Lancement du script depuis commande@masociete.com
commande:       "|/usr/local/bin/script.php"
# On met le chemin complet vers la commande

Nous allons maintenant faire en sorte de récupérer le contenu de l’email pour un usage ultérieur. En voici un exemple

Le contenu de l’email est envoyé à la commande par l’entrée standard. Nous récupérons dans la variable $MailContent le mail sous sa forme brute :

From emetteur@masociete.com Thu Feb 25 23:25:33 2010
Return-Path: <emetteur@masociete.com>
X-Original-To: commande
Delivered-To: commande@masociete.com
Received: by mail.masociete.com (Postfix, from userid 0)
id C2AC21050001; Thu, 25 Feb 2010 23:25:33 +0100 (CET)
To: commande@masociete.com
Subject: Ceci est le titre
Message-Id: <20100225222533.C2AC21050001@mail.masociete.com>
Date: Thu, 25 Feb 2010 23:25:33 +0100 (CET)
From: emetteur@masociete.com (emetteur)

Voici le corps de l’email.

Il devient alors possible de lancer des traitements très complexes sur le serveur, mettre à jour des bases de données,… Chut ! Je vous laisse imaginer la suite.

• Que tout le monde respecte les mêmes normes. En l’occurrence, celles édictées par le W3C : mais comme nous l’avons vu, cela est loin d’être le cas pour des raisons tant historiques que techniques
• Que tout le monde utilise le même navigateur : imaginer aujourd’hui une telle démarche relève, à partir de cette semaine, de « l’utopie pure » notamment grâce au travail acharnée de la commission européenne.

Ainsi, même si Microsoft a pendant longtemps imposé son navigateur Internet Explorer jusqu’à faire chavirer le navigateur concurrent : Netscape Navigator d’autres systèmes d’exploitation et solutions alternatives ont su co-existées et ont finalement empêchées cette position de monopole quasi annoncée. La multiplicité des plateformes logicielles et techniques (comme l’arrivée de l’embarqué par exemple) ont finalement permis de sauver la neutralité des navigateurs.

Nous ne sommes d’ailleurs pas passé très loin d’un verrouillage complet de l’internet par la biais  du couple pendant longtemps inséparable : Windows / Internet Explorer et son cortège inévitable de technologies éditeur comme par exemple Active X et les scripts VBS. Ces dernières ont d’ailleurs largement contribuées à la multiplication des failles diverses plus qu’à un réel progrès. Je ne le rappellerai jamais assez mais : je crois sincèrement que ce qui sauvera l’informatique c’est la diversité (tant logicielle que matérielle) appuyée par des normes ouvertes !

Donc, pour définitivement éradiquer toute tentative de monopole, la communauté européenne impose dorénavant à Microsoft un écran de choix ou « ballot screen »  lors de votre premier surf sur le Web depuis Windows.

Honnêtement, je trouve cette solution soi-disant consensuelle plutôt contre productive et en voici les principales raisons :

• Je crois que le choix d’un navigateur est une affaire personnelle : encore faut-il en comprendre la réelle portée
• Personne ne sait vraiment, à part quelques technophiles et les développeur web ce qu’est une norme et encore moins qui la respecte ou ne la respecte pas
• Le choix du navigateur a toujours été un effet de mode : heureusement pour Firefox…
• Ce n’est donc pas en 20 mots que l’on peut expliquer autant de choses (comme le suggère cette capture d’écran)

Il faut donc expliquer aux utilisateurs les choses plutôt que leur imposer un écran qui n’explique rien et donc ne règle rien.

Pour vous aiguiller voici un petit comparatif des principaux navigateurs (assez peu pragmatique, je dois l’avouer)

• Internet Explorer : la dernière version 8 est plus stable et plus respectueuse des standards que ces prédécesseurs (La version 6 est d’ailleurs à bannir du Web au plus vite !). Il reste à mon goût assez lent et est très souvent atteint par des failles de sécurité.
• Chrome : Le plus rapide de tous mais je suis toujours aussi chatouilleux sur la gestion des données personnelles assurées par la société Google. Il a été parfois installé comme composant additionnel de Google Earth ou Google Desktop.
• Safari : Il est beau et semble assez rapide. Sur Windows, je le trouve tout de même encore parfois un peu instable. Comme pour Chrome, la seule alternative d’Apple pour le faire connaître, hormis les geeks, a été une installation combinée avec les produits phare de la société d’Apple sur Windows comme iTunes ou QuickTime.
• Opera : Assez confidentiel, il est tout de fois rapide et propose toute une série de systèmes ingénieux pour faciliter la navigation. Il mériterait d’être plus connu. Ce n’est pas par hasard que les premières démarches vers le « ballot screen » ont été provoqué par cet éditeur
• Firefox : mon préféré car c’est le seul logiciel 100 % libre. Notez qu’il propose des extensions très utiles. La dernière mouture respecte les standards les plus récents mais il a repris un peu de l’embonpoint ces derniers temps.

Vous pouvez trouver des statistiques détaillées de l’utilisation des navigateurs sur ce site.

Je vous passe toutes les querelles de clocher pour définir un ordre aléatoire de proposition des navigateurs, et autres détails croustillants qui ont pu, pendant quelques mois, faire phosphorer les technocrates européens…

Bref, c’est « ballot » (excusez le jeu de mots) mais au final, je ne crois pas que cela fera bouger beaucoup les lignes. Si aujourd’hui d’autres navigateurs commencent enfin à émerger c’est surtout à cause de l’embarqué (téléphones portables, netbooks, smartphones…) et des campagnes de publicité parfois très chères menées par les différents acteurs (comme dernièrement la publicité pour le navigateur Chrome dans les quotidiens français).

Notez que la commission européenne a oublié un autre éditeur de système d’exploitation qui lui aussi, impose son navigateur : Apple avec Safari. Qui peut aujourd’hui prétendre changer de navigateur sur son iPhone par exemple ? A quand le « ballot screen » sur son iPhone 4G ?

Nous allons installer deux composants de la suite Weave server :

• weaveserver-sync : application REST de synchronisation des profils : le cœur du système.
• weaveserver-registration : en cas de perte de mot de passe, ce module permet d’en redemander un autre. (Le serveur de messagerie doit naturellement être disponible.)

Première étape : Mise en place d’une base de données dédiée.

Voici le script :

Une fois les tables ajoutées dans une base MySQL, il est indispensable de créer un premier utilisateur :

Deuxième étape : configuration d’Apache

Il est ensuite recommandé de créer un hôte virtuel apache. Voici une configuration qui tient compte du module synchronisation et registration. Cet hôte s’appelle « weave.evoliatis.com » et sa configuration est relativement sécurisé. Toutefois, pour plus de sécurité dans les échanges, nous vous conseillons vivement d’utiliser le protocole sécurisé https et pourquoi pas, une authentification apache supplémentaire (fichier .htaccess par exemple).

Notez que si le certificat https utilisé n’est pas valide (certificat auto-signé par exemple), il sera nécessaire de préalablement l’accepter au niveau du client (Firefox) pour pouvoir réaliser les synchronisations ultérieures. Dans le cas contraire, l’extension déclenche une erreur de connexion pas vraiment explicite.

Les deux applications sync et registration seront installées chacune dans un répertoire spécifique de l’hôte virtuel et seront utilisées par le biais d’alias : weaveserver-registration et weaveserver-sync.

Voici la configuration de l’hôte virtuel

Troisième étape : Installation de l’application weaveserver-registration

On télécharge le logiciel depuis le site de Mozilla Labs : https://hg.mozilla.org/labs/weaveserver/archive/tip.tar.gz et on le décompresse dans la racine de l’hôte virtuel :
/var/www/weave.evoliatis.com/weaveserver-registration (dans notre cas).

Il nous faut ensuite préparer un fichier de constantes : weave_user_constants.php en utilisant le modèle fourni, puis le mettre à jour

cd webserver-registration/1.0
cp weave_user_constants.php.dist weave_user_constants.php

Exemple de modifications (ce qu’il faut changer est en gras) :

Quatrième étape : Installation de l’application weaveserver-sync

On télécharge le logiciel depuis le Mozilla Labs à l’adresse : https://hg.mozilla.org/labs/weaveserver-sync/archive/tip.tar.gz et on le décompresse dans l’hôte virtuel : /var/www/weave.evoliatis.com/weaveserver-sync (dans notre cas)

Il nous faut ensuite préparer un fichier de constantes : default_constants.php en utilisant le modèle fourni (default_constants.php.dist), puis le mettre à jour

cd webserver-sync/1.0
cp default_constants.php.dist default_constants.php

Modification des constantes (default_contants.php)

Dernière étape : Test du serveur  Weave

• Paramétrage de l’extension « Weave Sync »

Pour pouvoir utiliser sereinement l’extension voici les paramètres à définir (cf : le billet sur Weave Sync côté client)

Il faut être extrêmement vigilant sur l’URL, cette dernière doit obligatoirement se terminer par un slash « / » sinon, le chemin ne sera pas correct. Croyez-moi, on met un bon moment avant de comprendre… Un clic sur « Sign In » et l’assistant classique suit son cours.

• Tests de weaveserver-registration

Si la configuration des différents alias est correcte et tous les fichiers au bon endroit, nous avons également à disposition une page de gestion des mots de passe perdu à l’adresse : http://weave.evoliatis.com/weave-password-reset

• Autres tests

Notez que pour chacune des applications proposées, un répertoire « tests » permet de lancer un script d’auto-validation de l’installation. Mais ils ne semblent toutefois pas toujours très fiables. Je n’ai réussi à ne faire le test que de weaveserver-registration. Le module waveserver-sync m’indiquait une erreur alors que tout était OK !

Notez aussi que pour valider et suivre l’activité du serveur, le plus simple reste les journaux apache et les journaux de l’extension Weave sur le client. Depuis la barre des tâches, clic droit sur l’icône Weave et utiliser « Activity Log »

Nous arrivons à la fin de ce dossier, j’espère que vous aussi, vous aurez trouvé intéressant l’extension Weave Sync de Firefox et sa déclinaison serveur : weaveserver-sync et weaveserver-registration. Pour ma part, j’ai mis en place ce système sur un serveur de production en https et tout fonctionne à merveille. Je m’en sert aujourd’hui quotidiennement depuis trois semaines et n’ai pas remarqué de bugs significatifs (d’où ce dossier).

Dans les commentaires postés sur l’extension mozilla (lien ici), beaucoup d’utilsateurs s’en plaignent mais je pense vraiment qu’il s’agit de problèmes rencontrés avec les serveur de Mozilla Labs (montée en charge brusque, version bêta de certains serveurs…)