mots-clefs : matériel, serveur, Linux, RAID, DPT, SCSI2SCSI, réseau, adresses IP virtuelles, routeur, Sendmail, POP3, IMAP4, SSL, noms de domaines
Proposer les services des « grands » avec un budget « mini » |
Le but de cet article n'est pas tant de vous asséner un cours magistral que de vous communiquer quelques tuyaux issus d'une expérience pratique.
Le problème posé est le suivant : comment disposer ou proposer des services Internet au-delà du simple hébergement de documents statiques ? Autrement dit, comment, avec un investissement réduit, fournir toute la panoplie de services qu'offrent les prestataires Internet, à savoir la gestion de serveurs Web « dynamiques » (utilisant divers automates ne pouvant être envisagés en JAVA, JavaScript, ou tout autre langage dont les programmes sont exécutés côté navigateur) ; la gestion de serveurs Web sécurisés, notamment pour le commerce électronique ; la gestion de serveurs DNS, FTP, SMTP, POP et IMAP, ces trois derniers étant dédiés au traitement du courrier électronique ?
Plusieurs solutions sont envisageables dont les principales sont : la ligne louée, le « câble », le call-back RNIS et l'hébergement de machine.
La ligne louée est perçue comme l'Eldorado pour tous ceux qui souhaitent établir une présence durable sur Internet, toutefois, sous nos latitudes, son accès reste réservé aux plus fortunés. Contrairement aux États-Unis dont je tairais les prix pour ne pas provoquer une recrudescence de la fuite des cerveaux, il faut compter en moyenne un coût mensuel de 5 000 Francs H.T. pour une ligne 64 Kbits. Il faudra aussi ajouter un forfait presque toujours obligatoire pour l'installation et la configuration d'environ 15 000 Francs. RMIstes, s'abstenir.
Même si ces sommes peuvent encore vous sembler raisonnables, il faut garder à l'esprit que le débit est relativement faible, que pour le démarrage d'une activité dont on ne peut que difficilement établir les revenus à court termes, cela occasionne des charges fixes importantes et aussi, ne pas oublier que, si l'activité se développe et nécessite de nouveaux locaux ou tout simplement un débit plus élevé, on vous demandera à nouveaux des frais d'installation et de configuration comparables aux frais initiaux car cela nécessite le remplacement des équipements fournis (bien que depuis peu, la tendance est à la livraison d'équipements et de lignes légèrement surévalués par rapport à votre demande pour justement ne pas être obligé de tout changer à la première demande d'augmentation de débit).
Vient ensuite le câble. Disponible dans quelques villes de France et promis depuis longtemps sur Paris, c'est l'exemple le plus flagrant de mauvaise « bonne affaire ». Par expérience, je ne peux me prononcer que sur le prestataire qui prétend offrir un service digne de ce nom dans les villes de Strasbourg, Annecy et Le Mans. Non contents d'être techniquement « limites », l'offre à 660 Francs H.T. par mois avec le modem permettant d'être serveur se révèle désastreuse en raison du nombre horriblement élevé de problèmes techniques de tous ordres (bug dans le modem-câble provoquant une perte régulière de connexion, bande passante en « sortie » ridicule, manque total de communication et de respect vis à vis des clients, mensonges et langue de bois pour masquer les défaillances sont le lot hebdomadaire pour ne pas dire quotidien). Conclusion de ce calvaire de dix-huit mois, s'il peut-être intéressant de frimer deux minutes en téléchargeant un fichier à la vitesse de 250 Ko/s en réception, il en va tout autrement quant il s'agit d'assurer un service fiable pendant plus de trois jours consécutifs.
Le call-back RNIS est très rarement proposé par les FAI (fournisseurs d'Accès Internet) car il est trop facilement l'objet de contestations au moment du règlement des factures tant le fossé entre les estimations du client en coût de communication et la réalité peuvent être importantes. En effet, dans le principe, votre serveur réside dans vos locaux et à chaque fois qu'il est sollicité, c'est le FAI faisant office de relais qui reçoit la requête, se connecte sur votre adaptateur RNIS (selon les modalités, il peut éventuellement raccrocher pour être rappelé aussitôt depuis votre serveur). Enfin, la communication peut s'effectuer. On comprendra facilement que c'est non seulement rapidement coûteux mais aussi que les temps de connexion, souvent jugés trop importants par les internautes, s'allongent de manière rédhibitoire. Mais même à 3 ou 4 secondes le temps de connexion avec un bon routeur RNIS, il en est plus d'un qui auront déjà été voir un autre site. C'est donc une solution très spécifique que l'on réservera plutôt à des organismes qui veulent disposer d'une sorte d'Intranet étendu et qui peuvent trouver un intérêt à bénéficier du maillage qu'offrent les FAI, plutôt que d'établir régulièrement des communications longue distance.
Dernière idée évoquée et qui sera la seule développée ici : l'hébergement de machine.
C'est un principe peu répandu, très certainement en raison d'une diminution de la liberté d'action vis à vis du serveur que cela occasionne. Il est pour beaucoup inconcevable de ne plus avoir physiquement leur machine sous la main. Une des appréhensions qui revient de manière récurrente est la peur de se retrouver avec un serveur planté que l'on ne peut bien évidemment pas rebooter à distance.
On conçoit aisément qu'un serveur équipé avec du MicroBof peut procurer ce cauchemar bien légitime. En revanche, la situation est tout autre avec un vrai système, comme Unix par exemple. Pour preuve les deux années passées avec des serveurs hébergés qui n'ont JAMAIS nécessité de redémarrage pour cause de plantage, en l'occurrence des machines PC et NeXTcube sous NEXTSTEP. Et heureusement car l'un dentre eux est tout de même à plus de 200 km.
Malgré tout, pour les paranoïaques chroniques, certains prestataires qui développent leur activité d'hébergement de machines proposent depuis peu à leurs clients un système pour télécommander via le téléphone la prise électrique sur laquelle est branché l'ordinateur hébergé. Le principe est simple, vous composez le numéro de téléphone communiqué par le prestataire, suivi d'une combinaison et l'alimentation est coupée puis établie.
Quels sont les arguments en faveur de l'hébergement de machine ?
Si on prend le cas d'un hébergeur correctement équipé, cela se traduira en une salle informatique climatisée, dotée d'onduleurs, avec une bande passante importante partagée entre plusieurs opérateurs ainsi que d'une connexion de secours qui à elle seule peut être des dizaines de fois plus importante que la ligne 64 Kbits évoquée plus haut. En règle générale, vous êtes libres d'exploiter ce que vous voulez sur les machines que vous hébergez, et de la façon que vous le souhaitez. En cela, vous n'avez ni plus, ni moins de libertés qu'avec une ligne louée et des ordinateurs qui resteraient en vos locaux.
Ce type d'hébergement existe depuis plusieurs mois maintenant chez la plupart des FAI les plus importants, surtout chez ceux qui ne cherchent pas à s'implanter sur le marché du plus grand nombre d'abonnés au forfait le moins cher. On peut citer entre autres Imaginet, Oléane, Internet Fr ou Magic OnLine.
Les prix sont en moyenne de 2 000 à 5 000 Francs H.T. par mois et par machine hébergée. Le forfait d'installation équivaut généralement au coût de location pour un mois, avec souvent des prix qui varient du simple au double suivant que votre machine est prête pour un branchement immédiat ou si au contraire elle requiert une configuration de la part du FAI.
Parmi les points qui différencient les offres de ce type, on trouve la méthode de calcul du volume de données échangées sur votre serveur (cumul des entrées et sorties). Certains simulent sur leur réseau interne une ligne louée dotée d'un certain débit dont dépendra votre abonnement et sur laquelle est reliée votre ordinateur. D'autres procèdent par sondage pour établir une estimation du volume consommé. En fait, certains reconnaissent qu'ils ne sont pas en mesure d'établir un compte exact du volume de données échangées. C'est probablement une des raisons qui incite bon nombre d'entre eux à vous proposer des volumes importants dans le forfait de base en estimant que ce volume ne sera jamais dépassé. Internet Fr proposait avant l'été un hébergement à 2 000 Francs par machine avec un volume disponible de 1 Go par mois, et d'un jour à l'autre, ce volume est passé à 10 Go sans augmentation de prix.
Une autre différence TRÈS importante réside dans le coût des adresses IP « prêtées ». Très importante car elle varie considérablement d'un hébergeur à l'autre et que c'est une denrée indispensable pour qui veut proposer des sites Web personnalisés avec les noms de domaines de ses clients. En effet, tout site Web souhaitant être accessible avec son propre nom de domaine avec une adresse du genre www.client_final.com plutôt que sous la bannière du prestataire comme dans www.prestataire.net/client_final devra disposer de sa propre adresse IP, même si à terme cette contrainte doit disparaître avec l'utilisation systématique de serveurs et de clients Web compatibles avec la norme HTTP/1.1. D'ici là il est important pour ne pas dire indispensable de pouvoir disposer d'autant d'adresses IP que de sites Web associés à des noms de domaines distincts. Notez que je ne parle que des serveurs Web car pour les autres services, cette notion n'a pas forcément de sens. Sauf exception, la gestion de plusieurs domaines sur un seul serveur n'est pas prévue en standard dans le protocole FTP, mais des pis-aller existent. Pour SMTP, la situation est différente car il peut parfaitement s'acquitter de la gestion de plusieurs domaines sans nécessiter plus d'une adresse IP (même s'il est tout à fait possible d'employer cette technique en dépit du bon sens). Pour DNS, c'est même le monde à l'envers, car non seulement il n'a nul besoin de plusieurs adresses IP, mais cela peut même représenter une monstrueuse source d'ennui comme nous le verrons plus bas.
Autre facette de cette question, j'ai souligné le mot prêté car il est n'est pas inutile de savoir que depuis quelques temps, l'organisme responsable de l'attribution des adresses IP à travers le monde, IANA, ne vend plus d'adresse comme elle a pu le faire jusqu'à une certaine époque ; celle, pas si lointaine, où l'évocation de pénurie d'adresses prêtait encore à sourire. Depuis lors, les plus importants FAI demandent humblement qu'on leur prête des adresses au fur et à mesure que leurs besoins, et ceux de leurs clients, augmentent. N'importe qui peut à priori demander mais il faut justifier d'un besoin minimal de 4096 adresses. Dans le cas contraire, vous vous adressez à votre FAI qui sert de relais, éventuellement relayé par son propre FAI si lui-même est trop « petit ». L'adresse IP fournie ne vous est donc pas vendue, le prix qu'on vous en demande est un compromis entre des frais administratifs et un coût que l'on qualifiera de dissuasif pour vous inciter à y réfléchir à deux fois avant d'en demander par avance une quantité astronomique, d'où des tarifs très contrastés entre les FAI.
Sachant, comme cela a été dit précédemment que le coût dépend du nombre de machine, le but du jeu maintenant est de trouver le bon système pour limiter au maximum le nombre d'ordinateurs à héberger, et si possible de ramener ce nombre à 1 puisque dès la deuxième machine, on revient dans des tranches de prix qui font réfléchir quant à l'emploi d'une ligne louée.
Ce qui me permet une transition facile sur la seconde partie de cet article consacrée aux choix matériels autant que logiciels.
Évidemment, si vous possédez déjà un serveur qui correspond parfaitement à vos besoins, vous pouvez sauter le passage suivant et vous rendre directement à la partie qui traite des aspects logiciels.
Si les stations de travail de marque Sun, HP, Digital, IBM ou Silicon offrent des qualités non négligeables, elles possèdent en revanche deux défauts dont le plus visible est le prix d'achat et le plus pernicieux est le coût OU les contraintes en cas de maintenance. Même si ces constructeurs font régulièrement des opérations promotionnelles destinées à nous faire croire que l'on peut s'offrir une station à 25 000 Francs, la vérité consiste le plus souvent à proposer des machines dont la configuration de base pour ce prix se révèle inadaptée ou incomplète pour nos besoins. Machines diskless (sans disque dur), disque de 500 Mo seulement ou bien encore mémoire tout juste utile au fonctionnement d'un ZX81 (bon d'accord, j'exagère un tout petit peu). Et une fois équipé de cette station avec 500 Mo de disque et 16 Mo de RAM, aurez-vous encore les moyens d'acheter l'indispensable disque de 1 Go à 10 000 Francs ou la barrette de 32 Mo à 4 000 Francs ? Et ne vous y trompez pas, si la mémoire est belle et bien spécifique, le disque dur SCSI en revanche est exactement de même modèle que celui qui équipe votre compatible PC, à la différence près qu'il a reçu un autocollant magique aux couleurs du fabriquant des stations de travail. Il existe bien des composants compatibles mais les fournisseurs sont relativement peu nombreux et assez discrets du fait certainement d'un marché assez restreint, c'est réellement un marché bien particulier et on ne s'improvise pas utilisateur ou revendeur de station de travail. Il faut vraiment montrer patte blanche et se vendre corps et âme au constructeur. Pour enfoncer le clou, il n'est pas inutile de mentionner que les coûts de maintenance de ces ordinateurs sont très élevés et que les pièces détachées si l'on veut se débrouiller soit même ne le sont pas moins. Surtout, et c'est très important à savoir, si vous optez pour une maintenance par vos propres moyens, il n'est pas rare de devoir fournir une pièce défectueuse, comme une carte mère par exemple, pour pouvoir en acquérir une nouvelle, et attendre ensuite deux à trois semaines pour la recevoir. Ce qui, vous l'admettrez, peut occasionner quelques gênes dans le cas d'un serveur censé fonctionner 24 h sur 24. Dans ces conditions, le seul recours pour avoir des pièces détachées disponibles rapidement est d'acheter un double du premier ordinateur.
Par contre, il faut être objectif, ces matériels sont bien souvent plus simples à mettre en œuvre que des PC, le nombre de combinaisons matérielles étant infiniment moins grand, et se montrent aussi plus fiables sur le long terme. De plus, un logiciel stratégique comme Netscape Entreprise Server tourne essentiellement sur les Unix des stations de travail et beaucoup plus rarement sur les Unix existant dans le monde PC. On en reparlera plus loin au sujet des serveurs sécurisés et du commerce électronique.
La situation des machines à base de processeur Alpha est un cas un peu particulier, au moins en France. Les matériels sont assurément au point, comme le souligne l'article paru en octobre, mais, à mon sens, la distribution passe encore trop par des petites sociétés qui souhaitent jouer à la fois les détaillants et les grossistes, or ce sont deux métiers très différents et je n'ai pas vu d'essai transformé avec succès dans ce domaine.
De même, histoire de ne pas passez pour un ignorant, je peux indiquer qu'il existe des fabriquants de compatibles Sun, les plus connus en France étant essentiellement des constructeurs de portables (marché ignoré par Sun) comme RDI, distribué par Tekelec, ou Tadpole, distribué par Wintix, avec son SparcBook (pour information, ce constructeur propose aussi un portable à base de processeur Alpha). Aux dernières nouvelles, ces deux constructeurs viennent d'ailleurs de fusionner ou en tout cas de s'allier. Il y a aussi Axil, représenté par deux distributeurs en France, Spring et Additional DESIGN. Seulement, cette information n'est que de peu d'utilité car les prix pratiqués par ces sociétés sont comparables à ceux de leurs modèles.
Maintenant que vous connaissez mon sentiment sur les stations de travail, et pas tant sur elles que sur la politique élitiste menée par leurs constructeurs, attaquons-nous aux PC.
Ici encore, deux écoles, les pro constructeurs et les pro dégriffés.
Afin de coller au plus près avec le motif de cet article, nous nous focaliserons sur les PC que l'on monte soi-même sur le bord de la table dans la cuisine. Le souci n'est pas exclusivement d'ordre pécuniaire, il est aussi d'ordre technique car en assemblant soi-même sa machine, on en connaît à priori mieux les détails de tous les composants (modèle, révision, version du BIOS, fournisseur, etc.) Afin, par exemple, de ne pas se retrouver dans une situation désagréable comme celle évoquée dans le cadre de la maintenance des stations de travail, il ne serait pas très futé de doter votre serveur d'une carte exceptionnelle s'il nen existe qu'un fournisseur et que celui est régulièrement en rupture de stock.
Au niveau logiciel, le compatible PC offre sans contexte le plus grand choix possible de systèmes d'exploitation, mais aussi et surtout, il partage souvent avec certaines stations de travail le privilège d'être l'architecture de référence pour la primeur de logiciels disponibles exclusivement sous forme exécutable. Sauf erreur de ma part, c'est le cas de la majorité des SGBDR récemment proposés sur Linux par Sybase (http://www.sybase.com/), Informix (http://www.informix.com/), Inprise pour InterBase (http://www.interbase.com/), IBM pour DB2 (http://www.software.ibm.com/data/db2/linux/) ou encore Oracle (http://technet.oracle.com/). C'est un argument à prendre en considération pour le choix final.
Le but ici n'étant pas de vous apprendre comment monter un PC, nous nous attacherons uniquement aux moyens d'améliorer sa tolérance aux pannes.
Bien qu'aucune pièce ne soit à l'abri d'une panne dans un ordinateur, il en est trois qui se distinguent particulièrement, tout simplement à cause de leur composante mécanique : les disques durs, l'alimentation et enfin le ventilateur qui surmonte le radiateur sur le processeur.
Pour ce dernier, la meilleure parade serait justement de ne pas avoir besoin de ventilateur. Cela est possible en employant un radiateur de taille suffisante, simplement la disposition des composants variant sensiblement d'une configuration à l'autre, les fabriquants de radiateurs limitent l'encombrement de ces derniers aux dimensions du processeur et complète par un ventilateur qui, comme exprimé ci-dessus, fait partie des premières pièces à tomber en panne, provoquant le blocage du processeur. Dans ce cas, la plupart des constructeurs ont un avantage en équipant majoritairement leurs ordinateurs avec des radiateurs surdimensionnés, évitant ainsi les ventilateurs.
Une petite parade existe toutefois avec les Pentium II avec l'apparition de radiateurs surmontés non pas de un, mais de deux ventilateurs. Toutefois le produit est trop récent pour que je puisse vous dire si un seul ventilateur suffit à évacuer l'excès de chaleur ou si les deux ventilateurs auront tendance à tomber en panne l'un par rapport à l'autre dans un intervalle de temps réduit. Vous pouvez les trouver chez LCD International.
Pour l'alimentation, la parade est du même ordre et porte le nom d'alimentation redondante (Redundant Power Supply), et pour bien faire, il est préférable qu'elle soit extractible à chaud (« hot-swap »).
Deux alimentations valent mieux qu'une !
Pour des questions très compréhensibles d'encombrement, ce genre d'alimentation ne peut être montée que sur un nombre très restreint de boîtiers, bien souvent usinés dans cette optique. Et même intégrée dans son boîtier, ce type de matériel n'est que très rarement proposé à la vente en tant que pièce détachée aux clients finaux (je dois avouer à ma grand honte en avoir vu sur le catalogue de Surcouf à 5 000 Francs T.T.C. environ).
Sinon vous pouvez vous rabattre sur quelques distributeurs comme Morex (plusieurs références mais un seul modèle réellement disponible), Asialand avec un boîtier assez impressionnant de marque Asus à 4 000 Francs H.T., et enfin la solution la moins chère que j'ai pu trouvée et qui réclame encore un peu plus d'huile de coude que les précédentes, un boîtier qualifié de « grande tour pour serveur » chez TWC, avec en option l'alimentation ATX 2 × 300 Watts, ce qui donne le résultat que vous pouvez voir sur la photo représentant la face arrière de l'ordinateur. Pour moins de 2 400 Francs H.T. (dont 1 500 pour la seule alimentation), vous repartez avec un boîtier dont il vous faut démonter l'alimentation fournie en standard et installer la nouvelle qui vous est livrée avec un cadre métallique pour une adaptation très propre sur la face arrière. Le fait que les fils pour les LED qui partent de l'alimentation ne puissent trouver branchements appropriés sur les connecteurs du boîtier peut provoquer un petit malaise bien légitime mais cela n'a pas de conséquence pour le bon fonctionnement de cette solution, de toute façon, la machine ayant pour vocation d'être hébergée, vous ne la verrez plus et si toutefois cela ne vous satisfait toujours pas, il reste possible, à l'aide de simples morceaux de trombones coupés, d'utiliser les LED « FAULT » et « FAN FAULT » comme témoins lumineux. (Certains détails peuvent varier, la présentation des diodes et le modèle d'alimentation peuvent évoluer d'un exemplaire à l'autre.)
Remarque importante : ce ne sont pas deux alimentations indépendantes qui nécessiteraient des connecteurs et une électronique supplémentaires sur la carte mère et aussi sur tous les périphériques à alimenter, mais bien deux alimentations qui ne délivrent l'énergie que sur un unique jeux de fils comme pour une alimentation simple, et dont la seule vocation est de fournir constamment du courant même si l'une d'elles tombe en panne.
Attention à l'existence possible de boîtiers n'acceptant pas le format ATX car prévus pour des cartes mères spécifiques.
Si vous n'êtes pas revendeur, il vous est toujours possible de communiquer ces renseignements à votre fournisseur qui en fera bon usage.
En dernier recours, vous pouvez aussi vous procurer une machine montée dans un tel boîtier chez quelques intégrateurs qui présentent ces produits dans leurs publicités.
Disques durs en tiroirs extractibles
Le cas du disque dur est plus compliqué car les solutions sont très nombreuses et la fourchette de prix est très, très large. Cela peut aller de 150 Francs H.T. du giga pour un simple disque IDE de 6,4 Go à plus de 4 000 Francs H.T. le giga pour des solutions de haute fiabilité. Le choix est donc question de budget mais avant toute chose d'une bonne connaissance des multiples produits existants.
Le RAID (« Redundant Arrays of Inexpensive Disks ») étant la plus répandue des solutions proposées de nos jours, nous évoquerons trois des principales façons de le mettre en œuvre. Mais avant cela, un bref rappel des différents niveaux de RAID couramment employés. Le niveau 0, qualifié de « striping », n'a rien à voir avec la sécurité puisqu'il ne sert qu'à présenter au système d'exploitation un ensemble de disques durs (des volumes physiques) comme n'en faisant plus qu'un (notion de volume logique) de sorte que la capacité d'un filesystem peut dépasser celle du disque le plus grand et se retrouver ainsi à cheval sur deux disques ou plus. Le niveau 1, qualifié de « mirroring », permet, comme son nom le laisse deviner, d'avoir pour chaque disque employé un frère jumeau qui en est constamment le reflet fidèle. Le RAID 1 est utilisable à partir de deux disques.
RAID 0 (striping) |
RAID 1 (mirroring) |
RAID 0+1 (ou RAID 10) |
Il existe un niveau « composite », le RAID 0+1, parfois appelé RAID 10, qui ne s'envisage qu'à partir de quatre disques puisque deux vont assurer le striping et les deux autres vont servir de miroirs aux premiers. On saute les niveaux 2 et 3 pour arriver directement aux 4 et 5. Similaires dans leur principe, ils se distinguent principalement par la façon dont ils répartissent les données sur les disques et les tâches dans lesquelles il se révèlent les plus adaptés. Disons pour simplifier les choses que le RAID 4 est peut être plus approprié pour l'acquisition de grandes quantités de données comme c'est le cas avec la télévision numérique par exemple et surtout qu'il est moins répandu que le RAID 5, ce qui nous épargne de fait un surcroît de cogitation. L'idée de base consiste à réserver l'équivalent de la capacité d'un des disques du groupe pour y entreposer le résultat de l'opération booléenne XOR (OU exclusif) appliquée aux données inscrites sur les autres disques du groupe. Pour cette raison, un groupe RAID de niveau 4 ou 5 est défini par un minimum de trois disques. L'avantage par rapport au niveau 1 est d'autant plus visible que le nombre de disques compris dans le groupe est important, car si en RAID 1, la moitié des disques est consacrée à la sécurité, en RAID 4 ou 5, ce ne sera toujours qu'un unique disque qui sera sacrifié à cette tâche (miracle de la table de vérité de l'opérateur logique XOR). Il existe plusieurs autres niveaux de RAID mais nous ne nous y intéresserons pas ici. Le RAID 0, sous diverses appellations, étant disponible en standard ou en option sous forme logicielle pour plusieurs Unix (Logical Volume Manager sur HP-UX et AIX, driver md sur Linux, driver ccd sur FreeBSD, composant de Solstice DiskSuite sur Solaris) et ce niveau de RAID n'intervenant pas dans les considérations de sécurité, le sujet ne sera pas plus développé.
RAID 4
RAID 5
La parenthèse étant close, nous pouvons parler maintenant de nos trois méthodes pour disposer d'un système RAID. La première est purement logicielle. Linux, en particulier, bénéficie d'un « patch » pour ajouter les fonctions RAID niveaux 1, 4 et 5 au noyau (que vous pouvez retrouver dans ftp://ftp.kernel.org/pub/linux/daemons/raid/beta) ainsi qu'une panoplie d'outils (ftp://ftp.kernel.org/pub/linux/daemons/raid). Mais, cette solution, aussi séduisante et économique soit-elle, pose deux problèmes. Le moindre est probablement, et sous réserve que mes lectures soient bonnes et à jour, qu'il na pas été trouvé de solution totalement satisfaisante pour arrêter une configuration employant ce patch, et que le corollaire en est un fsck à chaque démarrage. Plus embarrassant est la situation dans laquelle le disque principal est justement victime d'une faille qui empêche le démarrage car, dans ce cas, il n'est pas question de compter sur les autres disques puisqu'un contrôleur IDE ou SCSI de base n'est pas prévu pour surmonter ce problème. On abandonne donc cette idée puisqu'elle n'est guère adaptée dans le cas d'une machine hébergée.
Les deux autres méthodes sont donc matérielles. On distingue des contrôleurs SCSI qui autorisent, en standard ou en option, la gestion de certains modes RAID et des boîtiers spécialisés installés entre le contrôleur SCSI « classique » et les disques durs. Ce dernier procédé est connu sous le nom de SCSI-to-SCSI.
Présentation typique d'un boîtier SCSI-to-SCSI
La carte SCSI avec RAID reste la solution la plus économique mais requiert un driver adapté. Le SCSI-to-SCSI en revanche, bien que plus cher, est à priori totalement indépendant du système d'exploitation. Les deux systèmes se révèlent donc parfaitement appropriés pour nos besoins, d'autant que les contrôleurs SCSI-to-SCSI sont le plus souvent disponibles sous forme de boîtiers au format 5"1/4, demi ou pleine hauteur, occupant donc l'espace traditionnellement réservé à un ou deux disques dans l'unité centrale, et généralement pourvus d'un afficheur LCD et de quelques touches sur la façade. Pour la carte SCSI avec RAID, le choix qui vient en priorité comme une évidence est le contrôleur DPT modèle PM2144W, pour l'excellente raison qu'il bénéficie d'un driver développé sous l'œil attentif de DPT. Ensuite parce qu'un HOWTO lui est dédié quant à ses capacités RAID, parce que c'est un matériel « relativement » peu onéreux et enfin parce qu'on peut le trouver assez facilement ; notamment chez axis&agix, Memodis, Data Recording Instruments (DRI) et Link International. En fait, la carte seule n'assume pas les fonctions RAID, pour cela il faut lui adjoindre un module RC4040 qui devra obligatoirement être doté de mémoire cache non fournie, ECC ou simple EDO. Compte tenu des tarifs de la mémoire ECC, autant se contenter de quatre barrettes EDO SIMM 72 broches tout à fait standard de 16 Mo pour un total de 64 Mo de cache pour un coût ridiculement bas, inférieur à 500 Francs T.T.C. chez n'importe quel discounter.
À noter qu'un conditionnement comprenant la carte PM2144W ET l'option RC4040 existe sous la référence PM2144WR (http://www.dpt.com/pm2144wr.htm). Les modèles 2044W et 2144UW fonctionnent tout aussi bien. Et très certainement aussi les autres cartes des familles 2X44 et 3334.
Une seconde marque, citée dans l'HOWTO consacré à la DPT, revendique une compatibilité avec Linux, ICP vortex (http://www.icp-vortex.com/prod/prod_e.html) distribuée par Clarten, MCE France et Omnium Promotion, mais dont les cartes, aussi bonnes soient-elles, sont hors de prix.
Pour le SCSI-to-SCSI, il y pléthore de produits, et pour cause, étant donné son côté passe-partout.
On y trouve notamment les matériels CMD (http://www.cmd.com/storage/products/info.cfm) et Infortrend (http://www.infortrend.com/products.htm ou http://www.infortrend.co.uk/), tous deux distribués par Additional DESIGN. Il y a aussi la célèbre marque Mylex (http://www.mylex.com/products/dac960erc/dac960sui.html) distribuée par Sun Valley et INFODIP. Et puis sur ce marché, il existe une « exception culturelle », Syred (http://www.syred.com/), constructeur français qui non seulement développe de très bons produits mais, une fois n'est pas coutume, les propose à des tarifs raisonnables et offre de surcroît un support digne de ce nom.
Un avantage indéniable, au moins dans l'état actuel des choses, d'un contrôleur SCSI-to-SCSI comme en particulier les familles Prestige et Regency de chez Syred est la présence d'un port série qu'il suffit de relier sur l'un des connecteurs de l'unité centrale afin de pouvoir communiquer à tout moment avec ce matériel et surtout pouvoir scruter en permanence tout message d'erreur afin d'être rapidement averti de la défaillance d'un disque, en relayant l'information via le courrier électronique. Fonction qui devrait incomber au driver dans le cas de la carte DPT mais que malheureusement ce dernier ne prend pas en charge.
Un autre atout offert par certains contrôleurs SCSI-to-SCSI comme sur le modèle DAC960 SXI de chez Mylex est la possibilité de lui adjoindre une carte fille qui améliore les performance en temps normal mais surtout assure une redondance en cas de panne de la carte principale.
Un dernier avantage du SCSI-to-SCSI par rapport au driver de la carte DPT est de pouvoir à tout moment se renseigner sur l'état des disques grâce à la liaison série, sans être obligé de relancer le système pour employer sous DOS le programme de gestion de la carte. Ce qui, à distance, offre un intérêt non négligeable. Avec un contrôleur DPT, en cas de problème, ce sont les personnes qui hébergent votre machine qui vont subir l'alarme sonore sans pouvoir l'interrompre avant votre intervention. Les boîtiers SCSI-to-SCSI ont pour leur part un interrupteur facilement accessible.
La génération de contrôleurs SCSI-to-SCSI qui arrive en ce moment se met à l'heure Internet en se voyant doté d'une Interface Ethernet, ce qui offre des perspectives très intéressantes.
Combien de disques au minimum et dans quelle configuration ?
À mon humble avis (IMHO), sans considérer l'espace jugé nécessaire, optez pour quatre disques dès le départ, de capacités identiques et, si possible, du même modèle. Avec quatre disques, vous pouvez vous offrir deux niveaux de sécurité. L'idée est de grouper trois disques en RAID 5 et de déclarer le dernier en « hot-spare ». Dans cette situation, le contrôleur (carte SCSI ou boîtier SCSI-to-SCSI) utilisera le disque « hot-spare » pour remplacer tout élément défaillant du groupe RAID, ce qui constitue le premier niveau de sécurité. Et le RAID 5 lui-même vous assure un fonctionnement même en cas de panne de l'un des disques du groupe, votre deuxième sécurité. La capacité utile dans ce cas de figure est équivalent (si les disques sont de même taille) à deux disques. Il est important de noter que l'emploi d'un niveau RAID de type 0+1, même si la capacité utile est comparable, ne vous assure pas un tel degré de sécurité.
Côté bureau ou domicile, il vous faudra une configuration, si possible équivalente à celle hébergée si ce n'est le nombre de disques, l'alimentation, la quantité de mémoire ou la fréquence du processeur, qui peuvent être moindres que sur le serveur. L'idée est surtout de pouvoir emprunter sur cette machine des pièces non redondantes sur le serveur dans une situation d'urgence (processeur, carte réseau, barrette mémoire, etc.) Le principal reste que le serveur fonctionne, même avec des performances dégradées. Vous avez ensuite tout le temps voulu pour remplacer la pièce manquante. Sa fonction ne se limite pas à être un stock de pièces de rechange. Elle est aussi et surtout essentielle pour la validation de vos expérimentations et de vos développements, ainsi que pour la compilation des sources que vous ne manquerez pas de récupérer régulièrement. La coupure franche imposée entre le serveur hébergé et le poste de développement facilite une plus grande rigueur dans les deux étapes validation puis exploitation.
Pour ce qui est de la télémaintenance, comprenant entre autres l'envoi sur le serveur des nouveaux programmes, on préférera très nettement une connexion RNIS à une connexion RTC et puisqu'il existe désormais des routeurs Ethernet/RNIS à des prix très abordables, il n'y a pas de raison de se priver. Je vous recommande d'étudier tout particulièrement le ZyXEL Prestige 100 distribué par West Modem (http://www.zyxel.fr/). Doté du protocole NAT, il permet à plusieurs machines (jusqu'à 20) de partager un abonnement unique souscrit auprès de votre FAI. Un routeur à de plus l'énorme avantage d'être totalement indépendant des systèmes d'exploitation, et il se connecte généralement plus vite qu'un simple adaptateur RNIS, trois à quatre secondes en moyenne.
À noter qu'il existe depuis peu une nouvelle offre Numéris chez France Telecom, nommée Itoo, dont les nuances avec l'abonnement Duo m'ont quelques peu échappés, si ce n'est que les « heureux » utilisateurs du service Duo vont payer plus que les nouveaux venus, pour un gain qui reste à démontrer. Merci qui ?
Si après cela il vous reste encore quelques sous, vous pourrez envisager de les investir dans des racks amovibles pour disques durs. Mais pas ceux en plastique que l'on trouve à moins de 100 Francs chez les discounters. Non! des boîtiers tout en métal avec ventilateur, affichage de l'ID en clair par segments lumineux, modification de cet ID par le biais d'un commutateur facilement accessible et surtout, qui autorisent le « hot-swap » (l'échange du disque sans arrêt du système grâce au contrôleur RAID). Vous les trouverez chez Elan Systems et Additional DESIGN. Ils ne sont pas indispensables mais vous faciliteront énormément tout travail de maintenance.
Pour conclure sur la configuration matérielle, un lecteur de CD-ROM IDE me semble largement suffisant et permettra souvent plus facilement qu'avec un contrôleur SCSI de procéder à l'installation sans recourir à une disquette de démarrage.
LE LOGICIEL :
Pour notre solution de serveur « économique », le choix du système d'exploitation se révèle assez simple et c'est sans surprise que l'on adoptera Linux ou FreeBSD (je met NetBSD de côté uniquement en raison du manque de distribution commerciale en France). De plus, je conforterai ce choix par quelques éléments techniques, pratiques ou économiques complémentaires. Le premier de ces éléments est la possibilité de compiler.
En effet, la plupart des Unix « commerciaux » ne fournissent de base qu'un compilateur rudimentaire, si bien qu'il faut se contenter des logiciels du domaine public que des âmes charitables auront pris soin de compiler et de rendre disponibles sur le Net. Cela devient vite rébarbatif lorsque l'exécutable ainsi compilé n'est compatible qu'avec une version du système légèrement plus récente que celle que vous possédez (typique avec HP-UX par exemple). Sinon, il vous faudra encore sortir votre chéquier et pour un environnement de développement, la note peut être salée. Qui plus est, si jusqu'à une époque pas si lointaine, SunOS et dans une moindre mesure Solaris faisaient références en matière de nouveaux programmes, cette situation a rapidement évolué et à présent il est rare que les Unix libres ne profitent pas très rapidement de la primeur de nouveaux développements, au moins en ce qui concerne le domaine Internet, seul cas qui nous intéresse ici.
Le point suivant est capital et va conditionner considérablement le choix du système. Il s'agit de la capacité à gérer des adresses IP virtuelles, aussi appelées alias IP. Cette notion est cruciale si l'on souhaite pouvoir héberger des sites Web possédant leurs propres noms de domaines. Dans ce dernier cas, cette propriété est appelée Multi-homing par certains (Netscape par exemple), ou Virtual Host (Apache).
Le principe s'étant démocratisé relativement tard, il n'est par conséquent disponible que dans les versions suffisamment récentes des divers systèmes. Ceci explique aussi que sa mise en œuvre et la terminologie employée soient si différentes d'un système à l'autre.
Données de base pour quelques systèmes choisis arbitrairement (pour les autres, je ne sais pas).
Linux (distribution Red Hat 5.X dans le cas présent).
FreeBSD, au moins depuis la version 2.2.6.
Solaris, au moins depuis la version 2.4.
Irix version 5.3 (je sais, cela date un peu) :
HP-UX version 10.01 :
NEXTSTEP/OPENSTEP pour Mach, au moins depuis la version 3.3 :
Un point particulier à vérifier est la capacité pour ces systèmes à accepter non seulement des adresses IP virtuelles mais de plus, des adresses pouvant se trouver dans des classes différentes, avec ce que cela implique dans la configuration des netmasks, du routage et de divers autres aspects. Ce n'est pas tant que le prestataire qui vous héberge cherchera à vous ennuyer en vous fournissant des adresses de classes différentes quand vos besoins augmenteront, mais c'est tout simplement qu'il disposera des adresses que l'organisme d'attribution voudra bien lui confier.
Le routage justement. Peu à dire si ce n'est que les démons assurant un routage dynamique, tels que gated, routed ou autres, ne sont guère appréciés. Il est recommandé de les désactiver et de spécifier à la place l'adresse IP de la passerelle que vous communiquera la société assurant votre hébergement.
(Remplacement de la valeur -ROUTED- par l'adresse IP dans le fichier /etc/hostconfig sur NEXTSTEP/OPENSTEP. Associer à la variable defaultrouter l'adresse IP dans le /etc/rc.conf sur FreeBSD. Laisser la variable GATED à 0 dans le fichier /etc/rc.config.d/netconf sur HP-UX. Mettre l'adresse du routeur dans le fichier /etc/defaultrouter sur Solaris. Attribuer l'adresse du routeur à la variable GATEWAY dans le fichier /etc/sysconfig/network, au moins sur la Red Hat. Avec cette dernière d'ailleurs, à la lecture du document /usr/doc/initscripts-3.64/sysconfig.txt, il semble que cette variable puisse se retrouver dans n'importe quel fichier de description d'interface Ethernet, qu'elle soit virtuelle ou réelle. Désactivation avec les ordres chkconfig routed off et chkconfig gated off sur Irix.)
Si vous décidez de gérer vous même votre ou vos DNS, il est un autre point particulier à prendre en considération par rapport à ces fameuses adresses IP virtuelles, c'est une limitation dont le symptôme est une erreur qui concerne le nombre de fichiers ouverts par le démon serveur de noms (named). Le problème est que par défaut named va « écouter » chacune des adresses IP, réelles ET virtuelles, pour la réception des requêtes qui lui seront formulées. Ce faisant, il réclame un grand nombre de « handles », ce qui est inexploitable dès que le nombre d'adresses IP virtuelles devient trop important. La parade passe soit par l'ajout d'un patch « officieux » (http://www.ultra.net/~jzp/andrews.patch.txt) pour les versions de named inférieures à la 5, soit, et c'est de loin la solution la plus propre, par l'emploi du « nouveau » serveur de nom, BIND version 8.1.2 (sources à l'adresse http://www.isc.org/bind.html ou binaire pour NEXTSTEP dans ftp://ftp.next.peak.org/pub/next/apps/internet/misc/). Cette mouture récente offre en standard une directive (listen-on) permettant de spécifier explicitement l'adresse ou les adresses que le démon devra scruter. Le seul point noir actuel réside dans le manque substantiel de documentation (papier en particulier) au sujet de la nouvelle syntaxe adoptée mais cet inconvénient est contrebalancé par le fait que les fichiers de description des zones écrits pour les versions 4.X de named ne requièrent pas de modification pour être exploités par les versions 8.X. En fait, seul le fichier named.boot, renommé named.conf, nécessite une conversion et l'on est aidé dans cette tâche par un utilitaire écrit en Perl et inclus en standard (ceci est par ailleurs expliqué dans le fichier DNS-HOWTO-7).
Concernant la maintenance, je vous recommande vivement de vous pencher sur le texte DNS-HOWTO-6, tout petit, qui livre un script fort pratique pour l'actualisation du fichier de cache (celui qui donne les adresses des serveurs DNS de référence) et que l'on invoquera à l'aide d'une ligne dans le fichier /etc/crontab ou /etc/crontab.local suivant le système utilisé. Bien que trouvé dans la documentation Linux, ce script profitera à tout le monde, moyennant une éventuelle et minime adaptation.
Si il est de votre ressort de choisir la séquence de lancement du serveur de noms et du serveur HTTP, veillez scrupuleusement à conserver cet ordre, named PUIS, n'importe quand MAIS « plus tard », httpd. Il est clairement indiqué pour Apache que les directives ServerName que vous allez disséminer dans chaque description d'hôte virtuel (Virtual Host) requièrent que le nom auquel elles font référence soit accessible au moment où elles sont lues, sous peine de dysfonctionnement.
Prenez garde aussi au fait que l'emploi d'un serveur de noms n'empêche pas obligatoirement celui du fichier /etc/hosts ou même d'un serveur NIS. Dans la plupart des Unix récents, c'est le plus souvent une notion de priorité qui est mise en œuvre, par le biais de fichiers de configuration dans le plus courant est désormais /etc/nsswitch.conf. Dans une moindre mesure il peut exister un fichier /etc/host.conf. Il faut aussi être particulièrement attentif au contenu de /etc/resolv.conf, en particulier sur HP-UX où un paramétrage incorrect par rapport à la réalité de votre configuration peut rendre très délicat l'accès à votre environnement de travail sous sa forme graphique. Comme le mode texte ne pose pas de problème, une connexion via telnet peut aider à se tirer de cet éventuel écueil (problème évoqué dans le document http://www.am.qub.ac.uk/users/j.pelan/DNSandVUE.html).
En passant, prenez quelques minutes pour éditer le fichier /etc/inetd.conf et y mettre en commentaire tous les programmes qui n'auront aucune raison d'être sollicités sur votre serveur.
Pour le protocole SMTP, on n'hésitera pas à télécharger la toute dernière version sur le site http://www.sendmail.org/ (binaires de la version 8.8.8 pour NEXTSTEP à l'adresse http://www.occam.com/leonvs/computer/sendmail/), ne serait-ce que pour faire bénéficier vos clients de ses options contre le spamming (lorgner sur les « features » access_db et rbl). Mais le point de sendmail qui nous intéresse plus particulièrement dans le cadre de cet article (faire beaucoup avec peu) est sa capacité à gérer plusieurs domaines. Ceci est rendu possible essentiellement grâce à deux « features », use_cw_file et virtusertable. La première permet de notifier à sendmail l'ensemble des domaines qu'il aura en charge. La seconde joue un peu le rôle d'une table d'alias en indiquant les destinataires finaux associés à chaque adresse de courrier électronique des différents domaines traités. Plutôt qu'un long discours, voyons sur pièce.
Détail du fichier cf/MON_DOMAINE.mc :
OSTYPE(linux)dnl DOMAIN(MON_DOMAINE)dnl FEATURE(local_lmtp)dnl FEATURE(smrsh)dnl MAILER(local)dnl MAILER(smtp)dnl
Les features local_lmtp et smrsh sont destinées à renforcer la sécurité.
Détail du fichier domain/MON_DOMAINE.m4 :
define(`confPRIVACY_FLAGS', `goaway,restrictmailq,restrictqrun')dnl define(`confSMTP_LOGIN_MSG', `$j Sendmail; $b')dnl FEATURE(access_db)dnl FEATURE(rbl)dnl define(`confAUTO_REBUILD', `True')dnl FEATURE(nouucp)dnl define(`confDOMAIN_NAME', `mon-domaine.fr')dnl define(`SMTP_MAILER_MAX', 5000000)dnl define(`confMAX_MESSAGE_SIZE', 5000000)dnl FEATURE(use_cw_file)dnl FEATURE(virtusertable)dnl
La première ligne limite l'accès aux données gérées par sendmail en interdisant par exemple l'emploi des commandes VRFY et EXPN pour vérifier les adresses de courrier électronique maintenues sur votre serveur depuis l'extérieur. La seconde change le message d'accueil de sendmail afin de faire disparaître les numéros de version, informations qui peuvent devenir de redoutables armes dans les mains de ceux qui se tiennent au courant des failles spécifiques à chaque version de ce programme (du moins, c'est ce que l'on nous explique). Les deux suivantes préviennent en partie l'emploi de votre serveur comme relais pour les spammers et aussi la réception de courriers émis par des spammers recensés à votre intention ou à celle de vos clients.
Les lignes contenant une valeur numérique limitent la taille des courriers reçus ou relayés.
La directive use_cw_file demande à sendmail de lire à chaque démarrage le fichier sendmail.cw pour y trouver la liste des domaines qu'il doit gérer, les vôtres et ceux de vos clients, à raison d'un nom de domaine par ligne.
Enfin la directive virtusertable permet de définir le routage du courrier pour chaque domaine ou pour chaque adresse. En voici un extrait.
@domaine-de-client.fr %1@domaine-de-client.com initiales@domaine-de-client.com nom-de-compte-pop-local initiale-et-nom@domaine-de-client.com nom-de-compte-pop-local prenom-et-nom@domaine-de-client.com nom-de-compte-pop-local service@domaine-de-client.com nom-de-compte-pop-local groupe@domaine-de-client.com alias-pointant-sur-plusieurs-adresses inconnu@domaine-de-client.com error:ce quidam ne travaille pas chez nous @domaine-de-client.com nom-de-compte-pop-local @autre-domaine-de-client.com nom-client@son-fai-local.fr
Ces différents exemples montrent la majorité des cas pris en compte par cette fonction de routage. Sur la première ligne, on indique de renvoyer sur le même utilisateur mais sur le domaine « domaine-de-client.com » tous les courriers destinés au domaine « domaine-de-client.fr », idéal pour les sociétés ayant enregistré leur identité sous plusieurs TLD (Top Level Domains). Les quatre lignes suivantes montrent combien il est facile d'associer à une destination plusieurs variantes typographiques d'une même adresse ou le fait de désigner une personne comme responsable d'un service (marketing@societe.fr, sav@societe.fr). L'avant dernière définition, et sa position dans la liste ne doit pas précéder une autre ligne contenant dans sa partie gauche le même nom de domaine, permet de diriger sur un unique destinataire tous les courriers envoyés à des noms non prévus, en cas d'erreur de frappe par exemple, ou adressés à des termes génériques (support, reclamation, plainte ne sont que quelques exemples représentatifs de cette dernière catégorie ;-) Cette définition n'est pas obligatoire mais tellement pratique. Imaginez parmi vos clients un travailleur indépendant, il suffit de saisir cette seule ligne pour qu'il reçoive tous les courriers sans exception (info@client.fr, nom@client.fr, webmaster@client.fr, comptabilite@client.fr, etc.)
La distinction nom-de-compte-pop-local / nom-client@son-fai-local.frmet en évidence les deux cas de figure envisageables vis à vis des clients, dans le premier, vous collectez leurs courriers et faites office de poste. Cela vous permet de leur offrir des boîtes personnalisées alors que l'abonnement qu'ils auront souscrit avec leurs FAI local ne leur permet le plus souvent d'avoir qu'une seule boîte, et en plus aux couleurs celui-ci (pour ce qui est du nom de domaine). Avantage supplémentaire, la possibilité de leur proposer un accès IMAP alors qu'un nombre infime de FAI supporte ce protocole pour l'instant. Le second cas est typiquement celui du travailleur indépendant qui souhaite recevoir sur la boîte fournie dans l'abonnement de son FAI l'ensemble de ses courriers, sans être obligé de configurer deux comptes POP dans son logiciel, possibilité apparue assez tardivement qui plus est.
La directive virtusertable n'a pas pour vocation de remplacer le traditionnel fichier d'aliases, elle possède ses propres prérogatives et les deux outils se complètent.
À titre d'exemple voici aussi juste cinq lignes tirées d'un fichier « access » :
mon-domaine.fr RELAY un-client.com RELAY moneyhelp@mymail.com REJECT mysexshow.com REJECT 206.156.198.173 REJECT
Juste pour montrer que l'on peut rejeter des courriers provenant d'une adresse particulière, mais aussi tous ceux émis d'un site entier, que son nom soit connu ou non.
Bizarrement, je ne crois pas avoir jamais vu les démons POP3 et IMAP fournis en standard avec une quelconque distribution d'Unix. Si l'usage encore restreint d'IMAP peut l'expliquer, c'est nettement moins compréhensible pour POP3 qui a depuis longtemps détrôné l'antique (mais pourtant très intéressant) UUCP chez les FAI. Pas de souci, vous les trouverez sur les sites http://www.eudora.com/freeware/servers.html (QPOPPER) et http://www.imap.org/, qui détaille les ressources disponibles dans ce domaine. Sur ce dernier on vous orientera entre autres sur une version développée à l'Université de Washington (http://www.washington.edu/imap/) et qui devrait faire votre bonheur. À noter que les archives IMAP contiennent généralement les démons POP2 et POP3. Il existe aussi un projet un peu plus spécifique baptisé Cyrus (http://andrew2.andrew.cmu.edu/cyrus/imapd/index.html).
Pour HTTP, Apache s'impose et ne mérite même pas que l'on sy attarde Sauf peut-être, pour ce qui est des transactions sécurisées (http://www.apache-ssl.org/). Si tout le monde sait que le protocole SSL est le plus utilisé de nos jours pour sécuriser les sites, et en particulier, ceux qui font du commerce électronique, il est en revanche plus délicat de savoir comment obtenir le certificat d'authentification qui rassurera vos clients potentiels. Ce n'est en réalité pas très compliqué mais malheureusement totalement illégal. Je m'explique sur les deux points. En premier lieu il convient de recenser les organismes qui délivrent les certificats. Pour cela, une idée très simple, vous prenez les deux navigateurs les plus répandus et dotés en standard d'une partie cliente SSL, Netscape Navigator/Communicator et Microsoft Explorer. Vous regardez (pour Netscape, dans le menu "Communicator->Informations sur la sécurité", et dans la fenêtre qui s'affiche, rubrique "Certificats", sous-rubrique "Signataires" ; et pour Explorer dans le menu "Affichage->Options Internet ", et dans la fenêtre qui s'affiche, onglet "Contenu", bouton "Organismes") quels sont les organismes de certification qu'ils citent tous les deux, vous ne retenez ensuite que ceux qui commercialisent les certificats. Je vous aide, il y a Verisign/RSA et Thawte. Le premier est de loin le plus connu, certainement car il est américain et qu'il travaille en étroite collaboration avec Netscape et avec Network Solutions, la société qui gère le service InterNIC (http://rs.internic.net/), celui qui assure l'enregistrement des domaines pour les TLD « net », « edu », « org » et bien entendu « com ».
Petite ombre au tableau, jusqu'en 1998, Verisign se refusait à vendre des certificats pour une utilisation avec Apache. Cela peut sembler singulier mais l'obtention d'un certificat dépend en partie du serveur HTTPS utilisé. Thawte pour sa part ne fait pas de discrimination. Cette compagnie sud-africaine a pour elle deux avantages complémentaires, ses certificats sont nettement plus abordables que ceux délivrés par Verisign et surtout elle pratique une politique de proximité en s'appuyant sur un réseau de revendeurs. Son représentant français est la société TBS-Internet (http://www.fr.thawte.com/). Un soin tout particulier a été apporté pour expliquer de façon claire avec des documents en français les démarches à mener tant du point de vue technique qu'administratif pour acquérir puis installer le certificat. Pour conclure sur ce tableau idyllique, j'ajouterai que vous pouvez même converser en français avec leur siège puisqu'une des employées est originaire de l'hexagone.
En ce qui concerne l'illégalité, elle touche Apache et constitue l'une de nos fameuses « exceptions culturelles ». Vous n'êtes pas sans savoir qu'un débat oppose depuis maintenant quelques années les défenseurs de l'utilisation libre du codage des données, essentiellement à des fins de commerce électronique, au Ministère de l'Intérieur qui considère ces procédés comme assimilés à des armes de guerre. Je ne rentrerai pas dans la polémique si ce n'est pour rappeler que seuls quelques rares pays sont aussi regardants quant à l'emploi de ces techniques. Malgré tout, trois ou quatre programmes de type serveur HTTPS sont depuis cette époque officiellement autorisés à exploiter sur le sol français le protocole SSL avec toutefois des clefs limitées à 40 bits (peut-être 56 au moment où vous lirez ces lignes). Il y a en tout premier le serveur de Netscape, puis celui de Microsoft et je crois un serveur d'IBM pour OS/2 (sans être tout à faire sûr pour ce dernier). Ce qui est malheureusement certain, c'est qu'Apache ne fait pas partie de la liste des heureux élus et qu'il y a fort à parier qu'il nen fera pas partie de sitôt. C'est la raison pour laquelle je mentionnais plus haut qu'il pouvait s'avérer utile d'envisager d'autres Unix que Linux ou FreeBSD pour pouvoir exploiter un serveur Netscape, même si des rumeurs circulent depuis fort longtemps quant à la disponibilité future de leurs serveurs Web sur ces environnements. En attendant, vous pouvez feindre de ne pas être au courant et employer Apache-ssl sur votre machine, mais souvenez-vous, nul n'est censé ignorer la loi.
L'étape suivante consiste à traiter les commandes enregistrées sur votre site et payées par carte bancaire. Vous pouvez recourir à la méthode manuelle en achetant ou en louant à votre banque un TPE/VAD (Terminal de Paiement Électronique/Vente À Distance) et en saisissant chaque règlement avec les informations communiquées par votre client. Seulement, un tel matériel coûte cher et vous oblige à tout valider à la main.
Un petit rappel utile en ce qui concerne les commissions prélevées sur chaque règlement, celles-ci ne sont pas fixées par un quelconque organisme central, elles sont établies arbitrairement par chaque groupe bancaire. En clair, cela peut aller de 2,50 % au Crédit Agricole par exemple à 0,35 % à la Banque Populaire. Il est important de savoir que les taux sont négociables auprès de certaines banques et que ça l'est d'autant plus facilement que vous conditionnerez l'ouverture d'un compte par rapport au contrat que l'on vous proposera. De même, les perceptions sur les règlements faits avec des cartes étrangères ne sont pas soumises aux mêmes taux et cela peut aussi jouer considérablement dans la discussion. J'ai ainsi pu ramener la commission de base de 2,50 % sur les paiements effectués avec des cartes étrangères à seulement 1 % sur un contrat signé au Crédit Mutuel.
Il faut souligner au sujet de ce dernier organisme qu'elle est probablement en France l'une des banques les plus impliquées dans le développement Internet. Elle a été l'une des premières à proposer bon nombre de services en ligne et s'est lancée depuis peu dans une offre sérieuse, abordable et bien pensée pour permettre aux sociétés d'aborder sereinement le commerce électronique (http://www.creditmutuel.fr/centre_commercial/vendez_sur_internet.html). L'idée principale est de ne vous décharger QUE de la partie règlement avec un abonnement mensuel raisonnable et sans commission venant s'ajouter à la perception de base, au contraire d'autres offres qui vous prennent littéralement à la gorge. Une économie supplémentaire avec ce service est qu'il vous épargne l'acquisition et la gestion d'un certificat SSL puisque c'est alors de leur ressort.
Et, vous pouvez ne pas me croire mais, ce n'est pas de la lèche. J'ai bien trop de griefs contre les banques pour leur faire le moindre cadeau.
Et puis de toute façon, ce n'est pas la panacée car plusieurs cartes bancaires, et non des moindres, ne sont pas représentées comme la Diner's Club / Carte Blanche, l'American Express, JCB, etc. De toute façon, en France tout au moins, ces organismes n'encouragent pas vraiment le paiement sur Internet, site sécurisé ou non. American Express stipule explicitement sur un avenant à son contrat spécifique à la VPC (Vente Par Correspondance) que les commandes doivent être confirmées exclusivement par télécopie ou courrier postal. Une directive de leur maison en Angleterre leur interdit de valider des contrats dès qu'il est question d'Internet.
Information supplémentaire pour les particuliers entreprenants, contrairement à ce qui se pratique dans certains autres pays, suivez mon regard, les banques françaises ne semblent pas accepter l'idée qu'un particulier puisse percevoir des règlements à l'aide de cartes bancaires.
Oui, je sais qu'il existe un nombre croissant de programmes assurant une interface graphique pour la configuration de la plupart des fichiers décrits dans cet article mais n'oubliez pas le postulat de base, nous parlons d'un serveur qui sera hébergé et sur lequel il sera très rassurant de pouvoir intervenir à l'aide de, qui sait, votre Pilot ou votre Psion avec son modem et son mini programme d'émulation de terminal VT-100, alors que vous serez au mariage de votre sœur, paumé dans le Périgord. Ce jour là, vous me bénirez.
Et s'il fallait me justifier encore plus, j'ajouterai que certains de ces « jolis » programmes ont une fâcheuse tendance à modifier des fichiers automatiquement et à notre insu. Même si cela peut s'avérer judicieux, il est toujours désagréable de ne pas être informé des conséquences liées au simple lancement d'un programme de configuration. C'est tellement fourbe que ça fait immédiatement penser aux pratiques de qui vous savez.
Un petit mot sur les documentations. À coup sûr, je vous recommanderai les ouvrages de chez O'Reilly sur les divers logiciels évoqués, en particulier le monstre sur sendmail. Pour Apache, j'estime qu'il y a trop peu de valeur ajoutée par rapport aux documentations électroniques disponibles sur le site et surtout les directives évoluent pour l'instant un peu trop rapidement pour s'attacher à une documentation papier. Pour le livre DNS and BIND, il faut sans aucun doute l'avoir mais avant tout, je vous recommande une expérience nettement plus enrichissante, tant le sujet nécessite au départ une explication de vive voix, qui est la journée de formation qu'offre l'association AFNIC (anciennement NIC France) quand vous signez une convention avec eux pour pouvoir enregistrer les noms de domaines dans le TLD « fr ». J'avoue y être allé avec beaucoup d'à priori et en être revenu très content d'y avoir rencontré non seulement des gens sympathiques mais qui m'ont aussi appris beaucoup. Même si l'investissement fait réfléchir et que la société qui vous héberge vous propose des conditions alléchantes pour l'enregistrement des domaines en « fr », la réactivité que vous procure une convention avec l'AFNIC vis à vis de vos clients est à prendre en considération.
Pour en revenir aux documentations, et c'est là une des richesses de Linux, on dispose d'une quantité impressionnante de textes rédigés et, pour un nombre croissant d'entre eux, traduits, qui sont accessibles dans un grand nombre de formats informatiques ou même sur papier (« Linux Undercover » par exemple). Même les plus blasés d'entre nous fait peuvent y puiser régulièrement de nouvelles informations. Leur lecture est une source constante d'enrichissement et de découvertes.
Quelques sites utiles.
Pour LINUX :
Pour NEXTSTEP/OPENSTEP :
Pour Solaris x86 :
Pour Irix :
Pour HP-UX :
Additionnal DESIGN 10, avenue du Québec Parc d'Activité Silic 522 91946 Courtabœuf Cedex 01 69 59 15 30 01 69 07 86 74 axis&agix 35-37, rue des Abondances 92100 Boulogne 01 46 03 37 75 01 46 04 60 18 Asialand Bâtiment 8K Garonor B.P. 608 93611 Aulnay-sous-Bois Cedex 01 49 39 03 00 01 49 39 07 51 Clarten 32, avenue de l'Europe 78143 Vélizy cedex 01 34 58 21 00 01 34 58 21 01 Data Recording Instruments 655, avenue Roland Garros B.P. 68 78534 Buc Cedex 01 30 97 40 00 01 30 97 40 19 Elan Systems 85, rue Galliéni 95170 Deuil la Barre 01 39 83 28 52 01 34 28 37 74 Imaginet 21, rue de la Fontaine au Roi 75011 Paris 01 53 36 66 00 01 43 38 42 62 INFODIP 125, avenue Louis Roche 92230 Gennevilliers 01 40 85 77 30 01 47 99 88 54 International Computer Equipment Parc d'Activité des Petits Carreaux 2, avenue des Marguerites 94380 Bonneuil-sur-Marne 01 43 99 28 88 01 43 39 44 88 |
LCD International 199/207, rue des Pyrénées 75020 Paris 01 43 15 02 03 01 43 15 02 06 Link International 16, avenue du Québec 91962 Courtabœuf Cedex 01 60 92 18 18 01 62 29 08 38 Magic OnLine 45, rue de la Procession 75015 Paris 01 53 69 54 59 01 53 69 54 56 MCE France 1, rue du Général Rapp 67450 Mundolsheim 03 88 33 91 91 03 88 33 77 79 Mémodis 29, rue du Marché Rollay 94506 Champigny-sur-Marne Cedex 01 48 81 17 17 01 48 81 28 91 Morex 49, route Principale du Port 92361 Gennevilliers Cedex 01 47 94 24 28 01 47 94 34 70 Oléane Les Collines de l'Arche Immeuble Opéra C 92057 Paris La Défense Cedex 01 47 67 77 77 01 47 67 77 99 Omnium Promotion 124, boulevard de Verdun 92411 Courbevoie Cedex 01 41 99 10 96 01 41 99 10 88 |
Spring 8, avenue de l'Île Saint-Martin 92737 Nanterre Cedex 01 46 49 73 00 01 46 49 06 95 Sun Valley Les Algorithmes Bâtiment Sophocle 141, rue Michel Carré 95100 Argenteuil 01 34 26 44 99 01 30 76 59 97 Syred 32, rue Planchât 75020 Paris 01 44 93 10 60 01 44 93 10 61 Tekelec 5, rue Carle Vernet 92315 Sèvres Cedex 01 46 23 24 25 01 45 07 21 91 TWC 51-53, chemin des Vignes Z.I. Les Vignes 93000 Bobigny 01 49 15 92 88 01 48 40 64 72 West Modem SILIC 1 1, rue des Vergers 69760 Limonest 04 72 52 97 97 04 72 52 19 20 Wintix Immeuble Oslo 19, rue de Norvège Z.A. de Courtabœuf 91953 Les Ulis Cedex 01 69 59 13 00 01 64 46 76 55 |