1
2
3
4
5
IasS (Infrastructure as a Service) : l entreprise gère les OS des serveurs et les applicatifs tandis que le fournisseur administre le matériel serveur, les couches de virtualisation, le stockage et les réseaux. PasS (Platform as a Service) : l entreprise maintient les applications tandis que le fournisseur Cloud maintient la plate-forme d exécution de ces applications : le matériel (serveurs), les OS, les bases de données et l infrastructure (réseau, stockage, sauvegarde). SaaS (Software as a Service) : il s agit d un modèle d exploitation commerciale des logiciels, installés sur des serveurs distants, basé sur un abonnement récurrent ou un service en ligne gratuit. Exemples : messagerie, logiciels collaboratifs, visioconférence, gestion de relation client (CRM). 6
IasS (Infrastructure as a Service) : l entreprise gère les OS des serveurs et les applicatifs tandis que le fournisseur administre le matériel serveur, les couches de virtualisation, le stockage et les réseaux. PasS (Platform as a Service) : l entreprise maintient les applications tandis que le fournisseur Cloud maintient la plate-forme d exécution de ces applications : le matériel (serveurs), les OS, les bases de données et l infrastructure (réseau, stockage, sauvegarde). SaaS (Software as a Service) : il s agit d un modèle d exploitation commerciale des logiciels, installés sur des serveurs distants, basé sur un abonnement récurrent ou un service en ligne gratuit. Exemples : messagerie, logiciels collaboratifs, visioconférence, gestion de relation client (CRM). 7
Nous identifions quatre types de Cloud, selon leur usage (dédié au grand public ou réservé à la société) et selon si la gestion est externalisée chez un prestataire ou réalisée en interne au sein de l entreprise. 8
9
10
11
icloud : système de sauvegarde et de synchronisation pour iphone, ipad, ipod Touch et Mac avec 5 Go gratuit. Amazon EC2 (Amazon Elastic Compute Cloud) : location de serveurs pour exécuter des applications. Amazon S3 (Amazon Simple Storage Service) : service de stockage sur Internet pour faciliter l accès aux ressources informatiques. Windows Azure : plate-forme applicative en nuage de Microsoft. Apache Airavata : dérivé d'un projet de recherche financé par la National Science Foundation, Airavata est principalement développé par et pour les chercheurs. Cette solution est surtout utilisée pour construire des passerelles web vers les données scientifiques, mais aussi pour définir des workflows (souvent d'expériences scientifiques), et gérer leur exécution. Des procédés qui reposent bien souvent sur EC2. [JDN 12/06/2013]. 12
13
14
Le protocole WebDAV est un protocole libre qui permet de monter son Owncloud en tant que disque réseau, et ce aussi bien sur Windows, Mac, Linux, Android, BlackBerry, WebO, etc. 15
16
17
18
csync est un outil de synchronisation des fichiers. Il fonctionne en mode bidirectionnel entre deux clients. Depuis janvier 2013, csync embarque un module owncloud pour simplifier la synchronisation des fichiers avec le Cloud. 19
Dans les versions précédentes, si la synchronisation échouait car le quota de l utilisateur était atteint, il n y avait pas d information. Pire encore, le message d erreur était totalement incompréhensible, mentionnant un serveur inaccessible. La version 1.1.1 client souffrait de fuites mémoire : elle pouvait monter jusqu à 2 Go de mémoire utilisée. 20
A l origine, les mécanismes de synchronisation étaient basés sur la date de dernière modification d un fichier. Cependant, même en utilisant le protocole NTP pour synchroniser l heure des différents postes, il n était pas rare de faire face à des désynchronisations des machines, par exemple suite à un problème de mise à jour de l heure. Pour résoudre ce problème, owncloud associe désormais à chaque fichier un identifiant unique. Si l ID est modifié, cela signifie alors, de manière certaine, que le fichier a été modifié. Ainsi, lorsque plusieurs clients de synchronisation accèdent aux mêmes fichiers de manière concurrente, il suffit de vérifier la valeur de l identifiant. Si celui a changé au niveau de l un des clients, cela signifie qu il faut le mettre à jour sur l autre client. L identifiant est généré aléatoirement. Il aurait pu être basé sur la somme MD5 du fichier. Mais, à chaque fois, cela se serait avéré très coûteux en termes de calculs et de délais, surtout au niveau du serveur, moins au niveau du client. 21
22
23
24
La procédure à suivre est décrite à l adresse suivante : http://software.opensuse.org/download/package?project=isv:owncloud:communi ty&package=owncloud Toutefois, les paquets Debian pour Wheezy sont directement accessibles à cette adresse : http://download.opensuse.org/repositories/isv:/owncloud:/community/debian_7. 0/all/owncloud_5.0.9-0_all.deb 25
26
La base de données est utilisée par owncloud pour stocker ses informations de fonctionnement. 27
28
29
30
La déclaration des référentiels d authentification supplémentaires se fait dans le fichier config/config.php. Documentation : http://doc.owncloud.org/server/5.0/admin_manual/configuration/custom_user_ba ckend.html 31
32
33
34
UUID : Universally Unique Identifier ou Identifiant unique universel. Ces identifiants uniques sont codés sur 128 bits et sont produits en utilisant des composantes pseudo-aléatoires ainsi que les caractéristiques d'un ordinateur (numéro de disque dur, adresse MAC, etc.). Un UUID se présente habituellement sous cette forme : 110E8400-E29B-11D4-A716-446655440000 35
36
37
38
Sur certaines versions de OwnCloud, plusieurs personnes n arrivent pas à voir la totalité des utilisateurs dans la liste : seuls les 30 premières entrées récupérées depuis l annuaire s affichent. Consulter https://github.com/owncloud/core/issues/2545 pour prendre connaissance des modifications à apporter sur le code source pour résoudre ce problème, sachant que ces corrections ont un impact non négligeable sur les performances car le contournement consiste à désactiver le découpage des résultats de la requête LDAP en plusieurs pages (par défaut, seules les 30 premières entrées de l annuaire sont «récupérées» ). Cependant, il existe un contournement «sauvage». Il consiste à promouvoir temporairement admin l une des 30 premières personnes. Cette personne apparaît alors dans la base de données, dans la table owncloud\oc_group_user. Il suffit alors d éditer la ligne concernée et de remplacer l uid par celui du «vrai admin». Et le tour est joué! 39
40
41
42
43
Bien entendu, il est vivement recommandé de réaliser une sauvegarde régulière des clés de chiffrement : - le répertoire data/owncloud_private_key contient la clé de recouvrement et la clé publique destinée au partage de fichiers ; - data/public-keys contient la clé publique de chaque utilisateur ; - le répertoire data/<user>/files_encryption contient la clé privée de chaque utilisateur et les autres clés nécessaires pour déchiffrer les fichiers. 44
45
46
47
48
49
50
51
Nous constatons que le paquet smbclient n est pas installé sur notre système. Il sera nécessaire pour connecter notre serveur sur des partages SMB. Libre à vous d activer l option permettant à vos utilisateurs de connecter des espaces externes et de laisser ainsi le loup entrer dans la bergerie. Par défaut, cette option est activée. 52
Seuls les utilisateurs ou les groupes autorisés verront ce nouvel espace de stockage. 53
54
{"app":"php","message":"url_stat(): disk resource 'tdostes' not found in '10.234.160.51' at \/var\/www\/owncloud\/3rdparty\/smb4php\/smb.php#235","level":2,"time":"201 3-10-10T09:37:19+00:00"} {"app":"php","message":"session setup failed: NT_STATUS_LOGON_FAILURE params(-d 0 '\/\/10.234.160.51\/utilisateurs' - c 'dir \"tdostes\\*\"') at \/var\/www\/owncloud\/3rdparty\/smb4php\/smb.php#187","level":2,"time":"201 3-10-10T09:47:53+00:00"} {"app":"php","message":"tree connect failed: NT_STATUS_ACCESS_DENIED params(-d 0 '\/\/10.234.160.51\/utilisateurs' - c 'dir \"tdostes\\*\"') at \/var\/www\/owncloud\/3rdparty\/smb4php\/smb.php#187","level":2,"time":"201 3-10-10T09:50:21+00:00"} 55
56
57
58
59
60
61
62
63
Les problèmes de connexion en HTTPS sur Windows sont liés au fait que le client WebDAV de Windows ne gère pas les connexions chiffrées faisant référence à un nom de serveur (SNI : Server Name Indication). Un contournement possible est de faire directement référence à une adresse IP. Attention toutefois à la validité du certificat. Cyberduck : http://cyberduck.ch. 64
65
66
67
68
69
On constate que le fuseau horaire est fixé par défaut sur Abidjan. Pour y remédier, nous éditons le fichier /etc/php5/apache2/php.ini pour modifier la directive date.timezone et sélectionner Europe/Paris : date.timezone = "Europe/Paris«Comme toujours, après une modification sur le php.ini, nous redémarrons le serveur Apache pour que les nouveaux paramètres soient pris en compte. 70
71
72
73
74
75
76
On remarquera que l agenda de l autre utilisateur auquel nous avons accès n est pas visible. Il faut recréer un second lien CalDAV. 77
78
79
L option FileInfo de la directive AllowOverride permet l utilisation des directives qui contrôlent les types et les métadonnées de documents, les directives des module mod_rewrite et mod_alias, et de la directive Action du module mod_actions. L option Indexes permet l utilisation des directives qui contrôlent l indexation des répertoires, par exemple DirectoryIndex dans le fichier.htaccess. Nous conservons également active la directive FollowSymLinks qui est indispensable au fonctionnement des directives RewriteURL contenues dans le fichier.htaccess de OwnCloud. Enfin, nous activons la directive Options en précisant de manière explicite les fonctionnalités autorisées pour ce répertoire du serveur : - SymLinksIfOwnerMatch qui permet de suivre les liens symboliques qui renvoient vers un fichier ou répertoire dont le propriétaire est le même que celui du lien ; - Indexes pour autoriser, en fait, la directive du même nom présente dans le fichier.htaccess. 80
81
Pour que PHP n apparaisse pas dans les entêtes générés par le serveur Apache, nous fixons à Off la valeur de la directive expose_php. Ainsi, il sera plus difficile pour un visiteur curieux de savoir si notre serveur utilise PHP. 82
Pour que PHP n apparaisse pas dans les entêtes générés par le serveur Apache, nous fixons à Off la valeur de la directive expose_php. Ainsi, il sera plus difficile pour un visiteur curieux de savoir si notre serveur utilise PHP. 83
84
85
86
87
88
Attention : le répertoire data contient l ensemble des fichiers déposés sur votre Cloud. Cela peut s avérer très long de l archiver ou de le transférer. 89
90
91
92
93
94