Dates expiration

Pour outrepasser les valeurs du fichier vars, on peut forcer les durées de certificat client avec :
export EASYRSA_CERT_EXPIRE=3650
(et pareil pour les autres variables )

Date début/fin certificat

Si fichier .crt :
cat monClient.crt | grep Validity -A 2

Fichier PEM : ??

Vérif tous les certificats dans le dossier pki/issued

cd pki/issued
find ./ -iname "*.crt" -exec grep Subject: {} \; -exec grep Validity -A 2 {} \; -exec echo "" \;

Date requête signature

fichier .req

Étendre validité certificat

??

Editeurs

Sur PC : JOSM. Installer un plugin : Édition -> Préférences -> Greffons (besoin de redémarrer appli) Plugin “reverter” permet de défaire un changeset via son ID (vérifier conflits potentiels)

Sur Android : Vespucci

Structure fermée

Il vaut mieux utiliser la clé “disused” plutôt que de supprimer le noeud ; surtout si les locaux n’ont pas changé ; ainsi on conserve l’historique, l’adresse etc. https://help.openstreetmap.org/questions/70903/ideditor-change-a-poibusiness-to-closed https://wiki.openstreetmap.org/wiki/Key:disused:*

Vespucci a un preset pour ça : éditer le noeud -> Preset -> Cycle de vie -> Set to disused

Changeset

Lorsqu’on est sur place, il faut mentionner “survey” en tant que source https://wiki.openstreetmap.org/wiki/Key:source?uselang=en#General_sources_commonly_used_by_human_mappers

Changeset explorer

https://osmcha.org/ New filter -> Flagged : yes ; reason : review requested

Authentification OpenVPN contre un domaine Active Directory

Une source

Installation du paquet pour authentification LDAP

sudo apt install openvpn-auth-ldap

Modifications aux fichiers de configuration du serveur

server.conf:

client-cert-not-required

# Auth LDP (Active Directory)
plugin /usr/lib/openvpn/openvpn-auth-ldap.so "/etc/openvpn/auth/auth-AD.conf"

Créer le fichier d’authentification pour qu’OpenVPN puisse aller lire l’annuaire

sudo cp /usr/share/doc/openvpn-auth-ldap/examples/auth-ldap.conf /etc/openvpn/auth/auth-AD.conf

En voici une version minimale :

<LDAP>
        # LDAP server URL
        URL             ldap://10.0.0.10:3268
        BindDN          "openvpnbinduser@mycompany.com"
        Password        mysweetsecretpassword123
        Timeout         15
        TLSEnable       no
        FollowReferrals yes
</LDAP>

<Authorization>
        BaseDN          "DC=paris,DC=myCompany,DC=com"
        # User Search Filter
        SearchFilter "(sAMAccountName=%u)"
        # Require Group Membership
        RequireGroup    true
        <Group>
                # BaseDN must be the DN of the group containing VPN-allowed users
                BaseDN          "CN=VPN Users,OU=Groups,OU=IT,DC=paris,DC=myCompany,DC=com"
                SearchFilter    "(objectClass=group)"
                MemberAttribute Member
        </Group>
</Authorization>

Il est possible de spécifier la nécessité d’appartenance à un groupe directement dans le champ SearchFilter, comme ceci :

        SearchFilter "(&(sAMAccountName=%u)(memberOf=CN=VPN Users,OU=Groups,OU=IT,DC=paris,DC=myCompany,DC=com))"
        RequireGroup    false

Une de mes sources

Modifications au fichier client

Supprimer les lignes fournissant le certificat/clé du client.
Ajouter une ligne contenant auth-user-pass pour demander les identifiants à la connexion.

Débuggage serveur :

En cas d’erreur lors de la connexion d’un client, on aura le message :

PLUGIN_CALL: plugin function PLUGIN_AUTH_USER_PASS_VERIFY failed with status 1: /usr/lib/openvpn/openvpn-auth-ldap.so
Sun Mar 14 11:54:21 2021 82.64.166.200:1194 TLS Auth Error: Auth Username/Password verification failed for peer

L’erreur peut venir de la connexion du serveur VPN à l’AD (l’identifiant client est donc impossible à vérifier), ou bien d’un identifiant incorrect (le couple user/pass est incorrect, ou bien l’identifiant n’existe pas).

Dans les logs, si on a le message :

LDAP bind failed: Invalid credentials (80090308: LdapErr: DSID-0C090453, comment: AcceptSecurityContext error, data 52e, v3839)
Unable to bind as user@domain.com

C’est que l’identifiant de bind (l’identifiant utilisé par le serveur VPN pour se connecter sur l’AD) est incorrect.

Si on a :

LDAP user "myuser" was not found.

c’est que l’identifiant client est invalide

Si on a :

LDAP bind failed: Invalid credentials
Incorrect password supplied for LDAP DN "CN=myUser,CN=Users,DC=paris,DC=mycompany,DC=com"

c’est que l’identifiant est OK, mais le mot de passe invalide

VGA version Télécharger le fichier .bz2 et dézipper le fichier .img. dd le fichier .img sur support USB Boot sur la clé USB Détéction manuelle des interfaces (via branchement du cable)

login : installer pass : opnsense (default) (possible de faire l’install en ssh ; ça écoute sur l’adresse 192.168.1.1)

change keymap fr.kbd install sur ada0 (vérifier que la taille correspond au disque physique) GPT/UEFI mode (cpdup dure un peu)

définir le pass root reboot

paramértage via web gui check update enable ssh ()

Créer un nouveau calendrier vide le ranger par exemple dans le dossier Calendrier (pas important)

Clic-droit dessus -> Partager -> Partager le calendrier (ne fonctionne qu’avec d’autres utilisateurs Exchange, voire du même tenant j’ai l’impression)

Choisir le(s) users qui doivent avoir accès au calendrier Cocher la case “Les destinatire peut ajouter, modifier et supprimer…” si besoin (ceci va modifier les autorisations nécessaires dans Propriétés -> Autorisations d’accès ; Soit “relecteur” si pas d’autorisation d’écriture, soit “éditeur” si RW )

Envoyer le mail

Les utilisateurs reçoivent un mail avec un bouton permettant d’ajouter le calendrier aux leurs

Les evenements sont alors synchronisés

Si les autorisations sont ajoutées après coup, il faut que les utilisateurs suppriment puis réajoutent le calendrier partagé. Le bouton du même mail peut être utilisé, les autorisations seront les actuelles.

Si la synchro avec un poste pose problème, il faut suprimer/réajouter le calendrier.

La synchro peut mettre qqs dizaines de secondes

Autres options de partage

“Envoyer le calendrier par courrier” : crée un fichier .ics qui sera envoyé en pièce-jointe. Aucune synchro

“Publier ce calendrier” : ouvre le webmail et permet de créer un lien vers le calendrier hébergé en ligne, soit au format html soit au format ics (genre https://hebergeur.com/calendar.raphael.ics ) Ce calendrier sera uniquement consultable, pas modifiable par les invités

https://tldp.org/LDP/tlk/dd/pci.html

Organisation PCI-e

Source Autre source

Les bus PCI-e sont différents bus, qui sont reliés ensemble (par des ponts), et peuvent également être reliés à d’autres bus (par exemple le bus ISA).
Ces bus sont hiérarchisés : le complexe PCI-e racine “alimente” plusieurs bus PCI-e enfants. Le lien vers le pont parent est appelé “upstream”, celui vers le pont/périphérique enfant “downstream”.

Le bus racine définit le départ de la hiérarchie. Chaque port sur le bus racine définit un domaine ; dans la plupart des machines, il n’y aura qu’un seul domaine (0000).

Un “endpoint” est un périphérique PCI (carte réseau, carte graph, controlleur SATA etc…). Un endpoint possède au moins 1 fonction (la fonction 0), et peut supporter jusqu’à 8 fonctions.

Un “lien” (link) représente la liaison entre 1 pont PCI-e et 1 (et 1 seul) périphérique, ou entre 2 ponts PCI-e.

Génération et lignes

La génération se définit par le nombre de transferts par seconde, par ligne : PCI-e 1.0 : 2.5 GT/s (soit 250 Mo/s) PCI-e 2.0 : 5 GT/s (soit 500 Mo/s) PCI-e 3.0 : 8 GT/s (soit 984 Mo/s) PCI-e 4.0 : 16 GT/s (soit 1969 Mo/s)

En plus de ça, il peut y avoir plusieurs lignes en parallèle : x1 pour 1 seule ligne, x4 pour 4 lignes, x8 pour 8 lignes et x16 pour 16 lignes.

Tableau récapitulatif

Sous Linux :

pour lister les périphériques pci : lspci. L’adresse est sous la forme bus:device.fonction

Pour afficher les identifiants (pciids), utiliser -nn

Afficher le domaine des périphériques (masqué par défaut lorsqu’il vaut 0000 partout) : lspci -D

Pour lister le détail d’un périphérique (par exemple l’adresse 02:00.0) : lspci -s 02:00.0 ou lspci -s 2:0

Pour voir le détail des vitesses d’un port ou périphérique : sudo lspci -s 02:00.0 -vv | grep Speed
LnkCap : capacité max du périphérique (Speed : gen PCI-e ; Width : nombre de lignes). LnkSta : statut actuel du périphérique. Dépend de la gen PCI-e de la carte-mère, et du pilote. Certains périphériques peuvent adapter leur vitesse à la volée (par exemple certaines cartes nvidia)

Lister tous les noms de périphériques et les vitesses : sudo lspci -vv | grep "[a-z0-9][a-z0-9]:[a-z0-9]\|Speed"

Afficher l’arbre PCI : lspci -t (plus lisible avec lspci -tv

Via dmidecode : dmidecode --type 9

Prometheus

Accessible en web interface sur l’ip du la machine/container, sur le port 9000 en http http://localhost:9090

L’ensemble des métriques est dispo ici :
http://localhost:9090/metrics

Par défaut (avec le fichier de conf fourni dans l’image docker), il se “monitore lui-même” avec un job “prometheus”

Possible de lui donner d’autres targets à interroger
http://localhost:9090/targets

ECC

Géneral

Error Correction Code
nb de modules impairs ?
Notée avec un “E”, par exemple PC3-12800E.

Si des barrettes non-ECC sont insérées avec des barrettes ECC dans un PC, l’ECC sera désactivé.
Il faut que la carte-mère supporte l’ECC pour que la fonctionnalité soit activée.
Il peut être possible d’utiliser une barrette ECC dans une carte-mère non-ECC (sans le support de l’ECC).

Pour que l’ECC fonctionne, il faut qu’il soit supporté par :

• le chipset
• le CPU
• la RAM

Pour l’instant, l’ECC n’est pas reporté par memtest86+ . Il l’est par memtest86.

Linux

sudo dmidecode -t 16
donnes des infos sur le controlleur mémoire, et notamment “Error Correction Type”.
“None” indique une absence de prise en charge de l’ECC par la carte-mère et/ou le CPU
Sinon “Single-bit ECC” ou “Multi-bit ECC”

sudo dmidecode -t 17
donne des infos sur les barrettes mémoire, et notamment “Error Information Handle”
“Not Provided” semble signifier que l’ECC n’est pas activé.
Si “Total Width” est + grand que “Data Width” c’est qu’il y’a un chip pour l’ECC ; cela reflète l’état physique du module, mais pas l’activation effective de l’ECC.
Si l’ECC est activé, on peut voir “No Error” (je suppose que si une barrette est défectueuse, le message sera différent).

EDAC (Error Detection And Correction)

sudo apt install edac-utils
sudo edac-util
sudo edac-util --status
lsmod | grep -i edac

Windows

wmic MemoryChip get DataWidth,TotalWidth
wmic MemPhysical get MemoryErrorCorrection (3 = None ; 4 5 6 7 = divers ECC)
https://superuser.com/questions/893560/how-do-i-tell-if-my-memory-is-ecc-or-non-ecc

Registres

La mémoire à registres est également nommée “registered”, “buffered” ou encore RDIMM. Typiquement PC3-12800R
À l’inverse, la mémoire sans registres est également nommée ““unregistered”, “unbuffered” ou encore UDIMM”. Typiquement PC3-12800U.

Le type de mémoire doit correspondre au type supprté par la carte-mère (registered ou registered).
La majorité des cartes-mères grand public nécessitent de la ram unregistered.

SoDIMM

La mémoire format ordinateur portable est appelée SoDIMM (small outline).
Elle est aussi notée avec un S, par exemple PC3-12800S.

Suffixe

S : sodimm
R : registered
U : unbuffered
E : ECC

Diagnostic vitesse RAM/Memtest

MT/S : megatransfers/seconds, parfois notée en MHz.
Memtest86+ v7 indique la vitesse effective sous l’intitulé “IMC”.
Memtest86+ v6 n’indique pas correctement les fréquences ou les timings ; il indique ceux qui seraient utilisés si la RAM fonctionnait aux performances maximales.
Memtest86+ v5.x indique les infos correctes une fois le test lancé. La fréquence indiquée est toutefois celle du bus (donc la moitié de la fréquence de la RAM).

Linux

sudo dmidecode -t 17
La ligne “Speed” donne la vitesse max théorique du module (pas toujours bien détecté).
La ligne “Configured Speed” donne la vitesse effective actuelle du module.

DDR5

Standards : PC5-32000 to PC5-51200
XMP :

DDR3

Récap wikipedia

DDR3-800 = 800MT/s = PC3-6400 = 400 MHz (bus)
DDR3-1066 = 1066MT/s = PC3-8500 = 533 MHz (bus)
DDR3-1333 = 1333MT/s = PC3-10600 = 666MHz (bus)
DDR3-1600 = 1600MT/s = PC3-12800 = 800 MHz (bus)

Ouvrir une session RDP sans mot de passe

gpedit.msc -> Configuration Ordinateur -> Paramètres Windows -> Paramètres de sécurité -> Stratégies locales -> Options de sécurité
Comptes : restreindre l’utilisation de mots de passe vides par le compte local à l’ouverture de session console

https://www.makeuseof.com/connect-remote-desktop-without-password-windows-11/

Vue d’ensemble

RDS Architecture : https://docs.microsoft.com/en-us/windows-server/remote/remote-desktop-services/desktop-hosting-logical-architecture

L’autorisation d’accès distant via les paramètres système avancés n’autorise que 2 sessions en parallèle.

Si on n’a pas de domaine, seul les Devices-CAL peuvent être utilisés.
Pour les user CAL, il faut un domaine.
À choisir entre les 2, il est considéré comme bonne pratique de déployer le serveur de licences RDP plutôt sur le DC que sur le serveur RDP.

https://community.spiceworks.com/topic/2193241-small-office-ts-server-rds-cals-no-domain
https://social.technet.microsoft.com/Forums/en-US/ad8572b7-323c-42fe-b8fb-e2207245c042/how-do-user-cals-work-without-domain-terminalserver?forum=winservergen

Install

Install : Choisir “Services Bureau à distance” qui permet d’avoir les choix suivants :

Pour le serveur de licences :

Services Bureau à distance
  Gestionnaire de licences des services Bureau à distance

Outils d'amin de serveur distant
  Outils d'admin de rôles
    Outils des services bureau à distance
      Outils du gestionnaire de licences des services Bureau à distance

Sur le serveur RDP :

Outils d'amin de serveur distant
  Outils d'admin de rôles
    Outils des services bureau à distance
      Outils de diagnostic des licences des services Bureau à distance

Services Bureau à distance
  Remote Desktop Session Host
  Service Broker pour les connexions Bureau à distance
  Passerelle des services Bureau à distance

Le broker est le service qui récupère les connections entrantes, et les redirige sur le serveur hôte. Le serveur hôte est le serveur qui va effectivement héberger le bureau à distance.

Ajouter le serveur de licences RDS et “SERVICE RESEAU” au groupe “Serveur de licences des services Terminal Server” (peut être fait automatiquement par l’assistant dans la gestion des licences RDS)
Inscrire le serveur en tant que point de connexion de service (SCP)

On peut se passer du broker, mais il faut faire quelques modifs à la main :
https://docs.microsoft.com/en-us/troubleshoot/windows-server/remote/install-rds-host-role-service-without-connection-broker

Gestionnaire de serveur -> Installation des services bureau à distance permet de configurer le déploiement (en + de tout ce qui est mentionné ci-dessus). Utiliser déploiement standard -> basé sur une session

Pas de serveur de licence disponible :
https://docs.microsoft.com/en-us/troubleshoot/windows-server/remote/cannot-connect-rds-no-license-server
Gestionnaire de serveur -> Services Bureau à distance -> Vue d’ensemble -> Tâches -> Modifier -> Gestionnaire de licences

Il est possible/fréquent que les messages restent. Pour corriger le message relatif au mode non configuré :
regedit
HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\RCM\Licensing Core
et passer LicensingMode de 5 (non configuré) à 4 (per-user) ou 2 (per-device)

Pour corriger le message relatif à la période de grâce, en powershell (admin) :

$object = gwmi -namespace "Root/CIMV2/TerminalServices" Win32_TerminalServiceSetting
$object.GetSpecifiedLicenseServerList()

qui renverra probalement “SpecifiedLSList” vide. On ajoute le serveur de license :
$object.SetSpecifiedLicenseServerList("my.server.com")

Redémarrer le serveur pour appliquer les modifs.

https://techgenix.com/remote-desktop-licensing-mode-is-not-configured-error/

Utilisateurs

Lorsqu’un utilisateur est ajouté au groupe de domaine “Utilisateurs du bureau à distance”, ceci lui donne un droit de connexion aux DCs, mais pas aux autres postes/serveurs.
Si on souhaite leur accorder l’accès, on peut le faire sur 1 poste/serveur précis, par la boîte de dialogue Système -> Avancé -> Utilisation à distance -> Utilisateurs.

On peut aussi le faire par GPO, via “Config ordi -> Préférences -> Paramètres du panneau de configuration -> Utilisateurs et groupes locaux” et ajouter un groupe “Utilisateurs du Bureau à distance (intégré)” qui contiendra les utilisateurs en question (ça peut aussi être un groupe qui contient les utilisateurs).

Licences, CAL

Pour que l’administrateur n’utilise pas de licence, il faut passer le paramètre /admin à la commande xfreerdp.

On ne peut pas révoquer les per-user CALs. Ils se suppriment tout seuls au bout de 60 jours sans connexion de l’utilisateur. Si on veut forcer la suppression, on peut réinitialiser la base de licences. POur ceci, dans le gestionnaire de licences RDS, sélectionner le serveur de licences -> clic-droit -> Gérer les licences -> Reconstruire la base de données, puis choisir un motif.

Il faudra ensuite entrer à nouveau la clé de licence des CALs. Possible que MS arrête de valider si trop de changements rapprochés ?

Licence case-sensitive

https://social.technet.microsoft.com/Forums/en-US/bb5d15b8-11f8-4ffc-99c8-afe491ce504a/2019-cal-user-license-duplicates-based-upon-case-sensitivity?forum=winserverTS
Dans les Utilisateurs et ordinateurs AD, clic-droit -> Propriétés sur un utilisateur qui a un accès RDP. Dnas l’Éditeur d’attributs, rechercher des attributs msTS[…]. S’ils sont vides, c’est probablement le problème de permissions. Pour corriger ceci :
clic-droit sur l’OU qui contient les users -> Délégation de controle
Utilisateurs et groupes sélectionnés : SELF
Tâche personnalisée
Seulement les objets suivants -> Objects Utilisateur
Autorisation : Générales -> Lire et écrire Serveur de licences Terminal Server

Gestionnaire de licences

en cas d’activations rapprochées, la clé peut être bloquée par MS en ce cas on peut faire une activation par téléphone

Gestionnaire de licences des services bureau à distance -> Tous les serveurs -> clic-droit sur le serveur de licences et Propriétés Passer le mode de connexion en Téléphone Ils donnent les numéros américains ; chercher “téléphone Clearinghouse france” pourt rouver les numéros

https://www.microsoft.com/fr-fr/licensing/existing-customer/activation-centers 08.05.11.02.35 (gratuit) 01.72.26.60.80 (payant ?) 01.55.17.40.75 (payant ?)

https://activate.microsoft.com/Help.aspx?locale=fr-fr

https://learn.microsoft.com/en-us/windows-server/remote/remote-desktop-services/rds-client-access-license https://learn.microsoft.com/fr-fr/windows-server/remote/remote-desktop-services/rds-client-access-license#per-user-cals

Observateur d’evenements (sur la machine qui héberge le gestionnaire de licences) : Journaux des applications et services -> Microsoft -> Windows -> TerminalServices-Licensing

Licence overused

https://learn.microsoft.com/en-us/answers/questions/1250596/rds-licensing-issuing-2016-built-in-overused-cals

https://learn.microsoft.com/en-us/windows-server/remote/remote-desktop-services/rds-client-access-license

https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/cc754874(v=ws.11)?redirectedfrom=MSDN#locate-the-microsoft-clearinghouse-telephone-number-when-the-license-server-is-not-activated