2,785
edits
Changes
Jump to navigation
Jump to search
Line 1:
Line 1: − + − + − + + + + + − + Line 17:
Line 21: + + + − + Line 34:
Line 41: − + Line 59:
Line 66: − + Line 65:
Line 72: − + − + − + − + − − + Line 97:
Line 103: − + Line 112:
Line 118: − Line 141:
Line 146: − On devrait installer un certificat de sécurité SSL de Let's Encrypt.+ Line 252:
Line 257: − Line 454:
Line 458: − + Line 479:
Line 483: − + Line 527:
Line 531: − + Line 581:
Line 585: − + − + − + − + − + − + − + − + − + − + − + Line 668:
Line 672: − + − + Line 861:
Line 865: − + Line 876:
Line 880: − + − + Line 905:
Line 909: − Line 1,116:
Line 1,119: − + Line 1,126:
Line 1,129: − + Line 1,136:
Line 1,139: − − Line 1,270:
Line 1,271: − − − Line 1,335:
Line 1,333: − − − Line 1,748:
Line 1,743: − + − Line 1,770:
Line 1,764: − + − + Line 1,975:
Line 1,969: − + − + + + + + + Line 2,285:
Line 2,284: − + Line 2,332:
Line 2,331: − Line 2,350:
Line 2,348: − Line 2,356:
Line 2,353: − + Line 2,380:
Line 2,377: − Line 2,398:
Line 2,394: − Line 2,410:
Line 2,405: − Line 2,674:
Line 2,668: − + Line 2,754:
Line 2,748: − + Line 2,783:
Line 2,777: − + Line 2,928:
Line 2,922: − + Line 3,050:
Line 3,044: − − − Line 3,105:
Line 3,096: − + + + + − <center><span style="color:red">[[Image:015-IconeASurveiller_APT.png|40px]] <span style="font-size:125%">'''Seulement pour une installation sur un Serveur SME <u>connecté directement à l'Internet'''</u></span>.</span></center> − '''Description'''+ − Un certificat émis par l'autorité de certification Let's Encrypt vous permettra de chiffrer les connexions de notre serveur avec une clé TLS reconnue mondialement. Les usagers pourront utiliser http'''<u>s</u>'''. − Ce chapitre est inspiré de la Contrib '''Letsencrypt''' produite par: DanB35, Unnilennium, Mdo, Mercyh, RayMitchell et Gieres à l'URL: https://wiki.contribs.org/Letsencrypt. − + − Let's Encrypt est une autorité de certification (CA) lancée le 3 décembre 2015 ''(Bêta Version Publique)''. Cette autorité fournit des certificats gratuits X.509 pour le protocole cryptographique TLS au moyen d'un mécanisme automatisé destiné à se passer du processus complexe actuel impliquant la création manuelle, la validation, la signature, l'installation et le renouvellement des certificats pour la sécurisation des sites Internet.+ − '''Installation'''+ − On installe la Contrib smeserver-letsencrypt. − # yum install -y --enablerepo=smecontribs smeserver-letsencrypt − − Modules complémentaires chargés : fastestmirror, smeserver − ... | 3.4 kB 00:00 − Téléchargement des paquets : − (1/2): dehydrated-0.5.0-3.el6.sme.noarch.rpm | 28 kB 00:00 − (2/2): smeserver-letsencrypt-0.4-4.noarch.rpm | 27 kB 00:00 − -------------------------------------------------------------------------------------------- − Total 445 kB/s | 56 kB 00:00 − ... − Installé: − smeserver-letsencrypt.noarch 0:0.4-4 − − Dépendance(s) installée(s) : − dehydrated.noarch 0:0.5.0-3.el6.sme − − Terminé ! − − ============================================================== − WARNING: You now need to run BOTH of the following commands − to ensure consistent system state: − − <span style="color:red">signal-event post-upgrade; signal-event reboot</span> − − You should run these commands unless you are certain that − yum made no changes to your system. − ============================================================== − − − '''''Signalisation des changements''''' − − On applique les changements en signalant une mise à jour et un réamorçage. − # signal-event post-upgrade ; signal-event reboot − − [[Image:015-IconeASurveiller.png|25px]] Ne pas signaler les changements pourrait empêcher la Contrib de fonctionner correctement et vos certificats ne seront pas renouvelés. − − − '''''Mise à jour de la Contrib''''' − − Votre serveur installera les mises à jour disponibles dans le dépôt de logiciels smecontribs si elles sont disponibles. − − <span style="color:blue">Exemple:</span> − # yum update -y smeserver-letsencrypt dehydrated --enablerepo=smecontribs − − Modules complémentaires chargés : fastestmirror, smeserver − Configuration du processus de mise à jour − Loading mirror speeds from cached hostfile − * base: centos.ca-west.mirror.fullhost.io − * smeaddons: mirror.canada.pialasse.com − * smecontribs: mirror.canada.pialasse.com − * smeextras: mirror.canada.pialasse.com − * smeos: mirror.canada.pialasse.com − * smeupdates: mirror.canada.pialasse.com − * updates: centos.mirror.vexxhost.com − <span style="color:red">Aucun paquet marqué pour mise à jour</span> − − − '''''Signalisation des changements''''' − − Si vous avez fait une mise à jour, vous devez signaler les changements. − − <span style="color:blue">Exemple:</span> − # signal-event post-upgrade ; signal-event reboot − − − '''Configuration''' − − '''''Domaines''''' − − On affiche nos domaines. − # db domains show − − <span style="color:red">micronator-101.org</span>=domain − Content=Primary − Description=Primary domain − Nameservers=localhost − Removable=no − SystemPrimaryDomain=yes − − Pour chaque domaine que vous souhaitez inclure dans le certificat, exécutez la commande: − − <span style="color:blue">Exemple:</span> − {| class="wikitable" style="width: 80%; background-color:#FFEED9;" − |- style="vertical-align:top;font-family: Courier New;" − | # db <span style="color:red">domains</span> setprop <span style="color:purple">nom-du-domaine</span> letsencryptSSLcert enabled<br> − |} − − Pour chaque hôte que vous souhaitez inclure dans le certificat, exécutez la commande: − − <span style="color:blue">Exemple:</span> − {| class="wikitable" style="width: 80%; background-color:#FFEED9;" − |- style="vertical-align:top;font-family: Courier New;" − | # db <span style="color:red">hosts</span> setprop <span style="color:purple">nom-complet-de-l-hote</span> letsencryptSSLcert enabled<br> − |} − − − '''''Hôtes''''' − − Lorsqu'un domaine est ajouté à un Serveur SME, plusieurs noms d'hôtes sont créés automatiquement. Ceux-ci incluent: '''ftp'''.mon-domaine.com, '''mail'''.mon-domaine.com, '''nom-du-serveur'''.mon-domaine.com, '''proxy'''.mon-domaine.com, '''wpad'''.mon-domaine.com et '''www'''.mon-domaine.com. − − [[Image:015-IconeASurveiller.png|25px]] Lorsque Let's Encrypt lance les défis pour une liste de noms d'hôtes et qu'un de ceux-ci ne répond pas, le défi échoue et le certificat n'est pas généré. − − La cause principale des défis non relevés est qu'il n'existe pas d'enregistrements '''DNS A''' ou '''MX''' pour tous les noms d'hôtes ajoutés au certificat. La plupart des administrateurs de systèmes ne créent pas tous les enregistrements '''DNS''' nécessaires et le certificat n'est pas généré. − − Les noms d'hôtes chez le régistraire du domaine '''micronator-101.org'''. − − <center> − {| class="wikitable" style="width: 80%; background-color:#ffffff;" − |- style="vertical-align:top;" − |[[Image:0000-Odoo-11-Cname-A.png|center|top|450px|border]] − ||[[Image:0000-Odoo-11-Cname-B.png|center|top|450px|border]] − |} − </center> − − On affiche les noms d'hôtes sur notre Serveur SME. − # db hosts show | grep .org − − '''ftp'''.micronator-101.org=host − '''mail'''.micronator-101.org=host − '''odoo-11'''.micronator-101.org=host − '''proxy'''.micronator-101.org=host − '''wpad'''.micronator-101.org=host − '''www'''.micronator-101.org=host − − − '''''Choix des domaines et des hôtes''''' − − Si on veut obtenir un certificat pour tous ''(all)'' les domaines et tous les noms d'hôtes. − − <span style="color:blue">Exemple:</span> − {| class="wikitable" style="width: 80%; background-color:#FFEED9;" − |- style="vertical-align:top;font-family: Courier New;" − | # config setprop letsencrypt configure all<br> − |} − − La commande <code>config setprop letsencrypt configure all</code> est susceptible de provoquer une erreur de défi principalement à cause du nom du serveur i.e. <span style="color:red">odoo-11</span>.micronator-101.org. − − Pour inclure individuellement des hôtes ou des domaines, on commence par activer le paramètre <code>none</code> et ensuite on ajoute les domaines et les noms d'hôtes désirés. − # config setprop letsencrypt configure none − − − '''''Domaine''''' − − Nous voulons seulement le domaine '''micronator-101.org'''. − On inclut '''micronator-101.org'''. − # db domains setprop micronator-101.org letsencryptSSLcert enabled − − On vérifie. − # db domains show micronator-101.org − − <span style="color:blue">micronator-101.org</span>=domain − Content=Primary − Description=Primary domain − Nameservers=localhost − Removable=no − SystemPrimaryDomain=yes − letsencryptSSLcert=enabled − − − '''''Hôtes''''' − − Nous voulons seulement: '''ftp'''.micronator-101.org, '''mail'''.micronator-101.org, '''proxy'''.micronator-101.org, '''wpad'''.micronator-101.org et '''www'''.micronator-101.org. − − On inclut '''ftp'''.micronator-101.org. − # db hosts setprop '''ftp'''.micronator-101.org letsencryptSSLcert enabled − − On inclut '''mail'''.micronator-101.org. − # db hosts setprop '''mail'''.micronator-101.org letsencryptSSLcert enabled − − On inclut '''proxy'''.micronator-101.org. − # db hosts setprop '''proxy'''.micronator-101.org letsencryptSSLcert enabled − − On inclut '''wpad'''.micronator-101.org. − # db hosts setprop '''wpad'''.micronator-101.org letsencryptSSLcert enabled − − On inclut '''www'''.micronator-101.org. − # db hosts setprop '''www'''.micronator-101.org letsencryptSSLcert enabled − − − '''''Autres propriétés de configuration''''' − − Aucun autre paramètre n'est obligatoire cependant, il est recommandé de configurer une adresse courriel. Si un problème est rencontré lors du renouvellement de votre certificat, les serveurs de Let's Encrypt vous en informeront. − − − '''''Ajout d'une adresse courriel''''' − − Le domaine de messagerie spécifié n'a nul besoin de correspondre à l'un des domaines pour lesquels vous demandez un certificat. − # config setprop letsencrypt email admin@'''micronator.org''' − − − '''''Longueur de la clé privée''''' − − Si vous ne voulez pas la valeur par défaut de '''4096''' bits, vous pouvez également définir la longueur de la clé privée de votre certificat,. Ceci ne devrait pas être nécessaire dans la plupart des cas mais, si vous le souhaitez, utilisez la commande ci-dessous pour le faire. − − <span style="color:blue">Exemple:</span> − {| class="wikitable" style="width: 80%; background-color:#FFEED9;" − |- style="vertical-align:top;font-family: Courier New;" − | # config setprop letsencrypt keysize LONGUEUR-EN-BITS<br> − |} − − − '''Termes et conditions''' − − [[Image:015-IconeASurveiller.png|25px]] Veuillez d'abord lire les conditions d'utilisation de Let's Encrypt: https://letsencrypt.org/documents/LE-SA-v1.1.1-August-1-2016.pdf − − <u>Si vous acceptez les termes et conditions</u> de Let's Encrypt, lancez la commande ci-dessous. − # config setprop letsencrypt ACCEPT_TERMS '''yes''' − − − '''Activation du mode TEST''' − − L'étape suivante consiste à activer le mode '''TEST'''. − − Ce mode va obtenir des certificats du serveur de TEST de Let's Encrypt. Les limites 5/7 ''(5 certificats par 7 jours)'' ne s'appliqueront pas. Toutes erreurs ou autres problèmes rencontrés ne vous empêchera pas, plus tard, d'obtenir votre certificat de Production. − − On active le mode '''TEST'''. − # config setprop letsencrypt status test − − On signale les changements. ''(Peut prendre quelques secondes.)'' − # signal-event console-save − − − '''Vérification''' − − '''''Domaines et hôtes''''' − − # cat /etc/dehydrated/domains.txt − − <span style="color:blue">micronator-101.org</span> '''ftp'''.micronator-101.org '''mail'''.micronator-101.org '''proxy'''.micronator-101.org '''wpad'''.micronator-101.org '''www'''.micronator-101.org − − [[Image:016-IconeNote.png|25px]] Le certificat sera émis au nom du premier domaine de la ligne i.e. <span style="color:blue">micronator-101.org</span>. Pour cette raison, toujours débuter par l'ajout du/''(des)'' domaine''(s)'' et ensuite, ajouter les hôtes. − − [[Image:015-IconeASurveiller.png|25px]] Assurez-vous qu'il n'y ait qu'une seule ligne dans le fichier <code>domains.txt</code> car un certificat est créé pour chacune des lignes. Si vous avez plusieurs lignes, vous pourriez ainsi dépasser la limite de 5/7 pour une demande en <u>mode Production</u>. − − − '''''Adresse courriel''''' − # cat /etc/dehydrated/config | grep CONTACT_EMAIL − − CONTACT_EMAIL=<span style="color:red">admin@micronator.org</span> − − − '''Lancement du script dehydrated''' − − Vous pouvez maintenant exécuter le script <code>dehydrated</code> pour la première fois et vous assurer qu'il lui est possible de se connecter aux serveurs de Let's Encrypt, valider les noms d'hôtes que vous demandez et émettre le certificat. − − [[Image:015-IconeASurveiller.png|25px]] La commande est sur la première ligne seulement, après le premier dièse <span style="color:red">#</span>. La ligne avec le deuxième dièse <span style="color:blue">#</span> fait partie de la sortie de la commande, − <span style="color:red">#</span> dehydrated -c − − <span style="color:blue">#</span> INFO: Using main config file /etc/dehydrated/config − Processing micronator-101.org with alternative names: ftp.micronator-101.org mail.micronator-101.org proxy.micronator-101.org wpad.micronator- 101.org www.micronator-101.org − + Signing domains... − + Creating new directory /etc/dehydrated/certs/micronator-101.org ... − + Creating chain cache directory /etc/dehydrated/chains − + Generating private key... − + Generating signing request... − + <span style="color:red">Requesting challenge</span> for micronator-101.org... − + Requesting challenge for ftp.micronator-101.org... − + Requesting challenge for mail.micronator-101.org... − + Requesting challenge for proxy.micronator-101.org... − + Requesting challenge for wpad.micronator-101.org... − + Requesting challenge for www.micronator-101.org... − + <span style="color:red">Responding to challenge</span>Responding to challenge for micronator-101.org... − + Challenge is valid! − + Responding to challenge for ftp.micronator-101.org... − + Challenge is valid! − + Responding to challenge for mail.micronator-101.org... − + Challenge is valid! − + Responding to challenge for proxy.micronator-101.org... − + Challenge is valid! − + Responding to challenge for wpad.micronator-101.org... − + Challenge is valid! − + Responding to challenge for www.micronator-101.org... − + Challenge is valid! − + <span style="color:red">Requesting certificate</span>... − + Checking certificate... − + Done! − + Creating <span style="color:red">fullchain.pem</span>... − + Walking chain... − Set up <span style="color:blue">modSSL db keys</span> − <span style="color:blue">Signal events</span> − All complete − + <span style="color:red">'''''Done!'''''</span> − − − '''Vérification du certificat''' − − Si la commande fonctionne sans erreur, essayez de vous connecter à la page du gestionnaire du serveur. Vous devriez voir une erreur indiquant que le certificat de sécurité n'a pas été émis par une autorité de certification approuvée. C'est parfaitement normal. Cependant, il devrait incorporer tous les noms d'hôtes que vous avez inclus et être valide pour les quatre-vingt-dix prochains jours. − − [[Image:0000-Odoo-Verif-0.png|top|right|400px|border]] − Avec un Serveur SME branché directement à l'Internet, on peut utiliser le '''FQDN''' du domaine. − − Avec Firefox, on se connecte au gestionnaire. − − − <center> − {| class="wikitable" style="width: 80%; background-color:#ffffff;" − |- style="vertical-align:bottom;font-family: Courier New;" − |On clique le cadenas, puis <span style="color:red">></span>. − ||'''''Plus d'informations'''''. − ||'''''Afficher le certificat'''''. − |- style="vertical-align:top;" − |[[Image:0000-Odoo-Verif-1.png|center|top|330px|border]] − ||[[Image:0000-Odoo-Verif-2.png|center|top|330px|border]] − ||[[Image:0000-Odoo-Verif-3.png|center|top|330px|border]] − |} − </center> − − − <center> − {| class="wikitable" style="width: 80%; background-color:#ffffff;" − |- style="vertical-align:bottom;font-family: Courier New;" − |<nowiki>-</nowiki> Certificat de test car, émis par Fake LE Intermediate XI. − − - Détails. − ||<nowiki>-</nowiki> Nom alternatif du sujet du certificat. − − - Nos noms d'hôtes sont présents. − − || − − Valide pour 90 jours. − |- style="vertical-align:top;" − |[[Image:0000-Odoo-Verif-4.png|center|top|330px|border]] − ||[[Image:0000-Odoo-Verif-5.png|center|top|330px|border]] − ||[[Image:0000-Odoo-Verif-6.png|center|top|330px|border]] − |} − </center> − − − '''Mode Production''' − − Tout fonctionne correctement, on peut passer en mode '''Production''' et demander un certificat officiel. − − On active le mode Production. − # config setprop letsencrypt status enabled − − On signale les changements qui peut prendre quelques secondes. − # signal-event console-save − − − '''''Demande d'un certificat officiel''''' − − On fait la demande d'un certificat officiel. − − [[Image:016-IconeNote.png|25px]] Le paramètre <span style="color:red"><code>-x</code></span> est nécessaire pour forcer le <code>script dehydrated</code> à obtenir un nouveau certificat, même s'il est encore valide pour plus de 30 jours. − <span style="color:red">#</span> dehydrated -c -x − − <span style="color:blue">#</span> INFO: Using main config file /etc/dehydrated/config − + Generating account key... − + Registering account key with ACME server... − Processing micronator-101.org with alternative names: ftp.micronator-101.org mail.micronator-101.org proxy.micronator-101.org wpad.micronator-101.org www.micronator-101.org − + Checking domain name(s) of existing cert... unchanged. − + Checking expire date of existing cert... − + Valid till Sep 25 00:05:33 2018 GMT <span style="color:blue">(Longer than 30 days)</span>. <span style="color:red">Ignoring because renew was forced!</span> − + Signing domains... − + Generating private key... − + Generating signing request... − + Requesting challenge for micronator-101.org... − + Requesting challenge for ftp.micronator-101.org... − + Requesting challenge for mail.micronator-101.org... − + Requesting challenge for proxy.micronator-101.org... − + Requesting challenge for wpad.micronator-101.org... − + Requesting challenge for www.micronator-101.org... − + Responding to challenge for micronator-101.org... − + Challenge is valid! − + Responding to challenge for ftp.micronator-101.org... − + Challenge is valid! − + Responding to challenge for mail.micronator-101.org... − + Challenge is valid! − + Responding to challenge for proxy.micronator-101.org... − + Challenge is valid! − + Responding to challenge for wpad.micronator-101.org... − + Challenge is valid! − + Responding to challenge for www.micronator-101.org... − + Challenge is valid! − + Requesting certificate... − + Checking certificate... − + Done! − + Creating fullchain.pem... − + Walking chain... − Set up modSSL db keys − Signal events − All complete − + <span style="color:red">Done!</span> − − Si cette demande a réussie, félicitations! Vous avez obtenu un certificat TLS officiel et valide qui se renouvellera automatiquement à perpétuité. − − − Si vous recevez l'erreur ci-dessus, simplement relancer la demande. − # INFO: Using main config file /etc/dehydrated/config − <span style="color:red">ERROR: Problem connecting to server</span> (get for https://acme-v01.api.letsencrypt.org/directory; <span style="color:red">curl returned with 6</span>) − − − '''''Vérification''''' − − Une fois que vous avez obtenu votre certificat, testez-le en vous rendant chez '''Qualsys SSLLabs''', https://www.ssllabs.com/ssltest/ et soumettez votre FQDN ''(ex: <span style="color:blue">micronator-101.org</span>)'' pour vous assurer que tout fonctionne correctement. − − <center> − {| class="wikitable" style="width: 80%; background-color:#ffffff;" − |- style="vertical-align:top;" − |[[Image:0000-Odoo-11-Qualsys-A.png|center|top|450px|border]] − ||[[Image:0000-Odoo-11-Qualsys-B.png|center|top|450px|border]] − |} − </center> − − <center> − {| style="width: 80%; background-color:#FFFFFF;" − |- style="vertical-align:middle;" − | <div style="text-align:right;">La remarque ci-dessous peut être ignorée car, le Serveur SME ne supporte pas '''Forward Secrecy'''.</div> − |} − </center> − <center> − {| class="wikitable" style="width: 80%; background-color:#FFEED9;" − |- style="vertical-align:top;font-family: Courier New;text-align: center;" − |This server does not support Forward Secrecy with the reference browsers. Grade capped to B. − |} − </center> − − − <center><span style="font-size:125%">'''La Contrib Let's Encrypt est installée et fonctionne parfaitement.'''</span></center> − − − <span style="font-size:120%">'''Désintallation d'Odoo'''</span> − − [[Image:016-IconeNote.png|caption|32px]] Vu que le Serveur SME ne sert uniquement qu'à rouler Odoo, il n'y a pas de désinstallation.<br> − − − <hr style="width:66%; margin: 0 auto;"> − − − <span style="font-size:120%">'''Prochainement'''</span> − − <span style="font-size:110%">'''SME-9.2 / Odoo-11 & HTTPS'''</span> − − Cette marche à suivre fera suite à celle-ci et décrira les étapes pour assurer une connexion sécuritaire à Odoo-11 roulant sur un Serveur SME local ou sur une machine virtuelle. Cette dernière pouvant servir comme système de test et développement. − − [[Image:0000-Odoo-11-ButFinal-LetsEncrypt.png|top|center|700px]] Line 3,565:
Line 3,118: + − [[Image:Odoo-11-BanniereDeLaVictoire-APT.png|caption|36px]] Victoire totale, hissons la bannière de la victoire.+ − + − <br>+ + + +
RC-002 // Pour inclure les modèles "ParticulariteDeCeDocument" et "SME-101-Transclusion" au bas de la page // 2018-11-20 @ 13h01 HNE
<!--__NOTOC__ -->
<!-- ########################################################################### -->
__TOC__
{| style="float: left; margin-right:20px;margin-bottom:10px;"
|-
| style="vertical-align: top;" |
<div style="float:right">__TOC__</div>
|}
<!-- ########################################################################### -->
<center>
<center>
{| class="wikitable" style="width: 80%; background-color:#FFEED9;border:2px dotted red"
{| class="wikitable" style="width: 60%; background-color:#FFEED9;border:2px dotted red"
|- style="vertical-align:top;"
|- style="vertical-align:top;"
|[[Image:015-IconeASurveiller_APT.png|25px]] <span style="font-size:120%">'''Mise en garde:'''</span><br>
|[[Image:015-IconeASurveiller_APT.png|25px]] <span style="font-size:120%">'''Mise en garde:'''</span><br>
Cette marche à suivre décrit l'installation d'Odoo-11 sur un Serveur SME-9.2.
Cette marche à suivre décrit l'installation d'Odoo-11 sur un Serveur SME-9.2.
* ''Conventions'': [[#Particularités de ce document]].
'''Le logiciel Odoo'''
'''Le logiciel Odoo'''
''Référence'': [http://fr.wikipedia.org/wiki/Odoo http://fr.wikipedia.org/wiki/Odoo]
''Référence'': http://fr.wikipedia.org/wiki/Odoo
Odoo, anciennement OpenERP et Tiny ERP, est initialement un progiciel LIBRE de gestion intégrée comprenant de très nombreux modules permettant de simplifier la gestion d'une société dans son ensemble. Le logiciel est utilisé par plus de deux millions d’utilisateurs pour gérer leur entreprise à travers le monde. Odoo est le système ERP LIBRE le plus populaire.
Odoo, anciennement OpenERP et Tiny ERP, est initialement un progiciel LIBRE de gestion intégrée comprenant de très nombreux modules permettant de simplifier la gestion d'une société dans son ensemble. Le logiciel est utilisé par plus de deux millions d’utilisateurs pour gérer leur entreprise à travers le monde. Odoo est le système ERP LIBRE le plus populaire.
=== Étapes ===
=== Étapes ===
[[Image:Contrib_Odoo-11_2018-07-16_20h05.png|top|right|700px]]
[[Image:Contrib_Odoo-11_2018-07-16_20h05.png|top|right|600px]]
* Installer le serveur de bases de données PostgreSQL-10.
* Installer le serveur de bases de données PostgreSQL-10.
* Installer la Collection RH-Python36, pour ne pas interférer avec la version de Python fourni par défaut avec le Serveur SME.
* Installer la Collection RH-Python36, pour ne pas interférer avec la version de Python fourni par défaut avec le Serveur SME.
<center>
<center>
{| class="wikitable" style="width: 80%;"
{| class="wikitable" style="width: 50%;"
|- style="vertical-align:bottom;font-family: Courier New;text-align: center;"
|- style="vertical-align:bottom;font-family: Courier New;text-align: center;"
|Mode de fonctionnement:<br>Serveur uniquement.
|Mode de fonctionnement:<br>Serveur uniquement.
||Configuration du serveur DHCP: Désactivé.
||Configuration du serveur DHCP: Désactivé.
|- style="vertical-align:top;"
|- style="vertical-align:top;"
|[[Image:0000-Odoo-11-ModeDeFonctionnement.png|center|top|325px|border]]
|[[Image:0000-Odoo-11-ModeDeFonctionnement.png|center|top|250px|border]]
||[[Image:0000-Odoo11-LisaisonDeCanaux.png|center|top|325px|border]]
||[[Image:0000-Odoo11-LisaisonDeCanaux.png|center|top|250px|border]]
||[[Image:0000-Odoo-11-ServeurDHCP.png|center|top|325px|border]]
||[[Image:0000-Odoo-11-ServeurDHCP.png|center|top|250px|border]]
|}
|}
</center>
</center>
<br clear=all>
<span style="font-size:125%">'''Configuration des paramètres d'Accès à distance'''</span>
<span style="font-size:125%">'''Configuration des paramètres d'Accès à distance'''</span>
{|style="width: 100%;"
{| style="width: 100%;"
|- style="vertical-align:top;"
|- style="vertical-align:top;"
| '''''Gestion à distance'''''
| '''''Gestion à distance'''''
<span style="font-size:125%">'''Paramètres FTP'''</span>
<span style="font-size:125%">'''Paramètres FTP'''</span>
{|style="width: 100%;"
{| style="width: 100%;"
|- style="vertical-align:top;"
|- style="vertical-align:top;"
|
|
|[[Image:0000-Odoo-11-AccesADistance-B.png|top|right|600px|border]]
|[[Image:0000-Odoo-11-AccesADistance-B.png|top|right|600px|border]]
|}
|}
<span style="font-size:125%">'''Serveur DNS du domaine'''</span>
<span style="font-size:125%">'''Serveur DNS du domaine'''</span>
<span style="font-size:125%">'''Certificat Let's Encrypt'''</span>
<span style="font-size:125%">'''Certificat Let's Encrypt'''</span>
[[Image:016-IconeNote.png|25px]] Dans la prochaine marche à suivre, nous installerons un certificat Let's Encrypt pour pouvoir nous connecter de manière sécuritaire à Odoo mais, sans perdre notre connexion au gestionnaire Server Manager.
<span style="color:blue">Users=strong</span><br>
<span style="color:blue">Users=strong</span><br>
|}
|}
'''''Changement du mot de passe par l'utilisateur lui-même'''''
'''''Changement du mot de passe par l'utilisateur lui-même'''''
PublicAccess=global
PublicAccess=global
Removable=no
Removable=no
<span style="color:purple">UploadMaxFilesize</span>e=52M=50M
<span style="color:purple">UploadMaxFilesize</span>e=50M
UserAccess=wr-admin-rd-group
UserAccess=wr-admin-rd-group
'''''Lien du dépôt PostgreSQL'''''
'''''Lien du dépôt PostgreSQL'''''
[[Image:Odoo-11-PostgreSQL.png|right|top|300px|border]]
[[Image:Odoo-11-PostgreSQL.png|right|top|300px|border]]
Pour connaître le lien URL du dépôt ''(repository)'' de la dernière version de PostgreSQL, on se rends au site suivant: [http://yum.postgresql.org/repopackages.php#pg10 http://yum.postgresql.org/repopackages.php#pg10].<br>
Pour connaître le lien URL du dépôt ''(repository)'' de la dernière version de PostgreSQL, on se rends au site suivant: http://yum.postgresql.org/repopackages.php#pg10.<br>
On importe la clé.
On importe la clé.
#<nowiki></nowiki> rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-PGDG-10
#<nowiki/> rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-PGDG-10
|- style="vertical-align:top;font-family: Courier New;"
|- style="vertical-align:top;font-family: Courier New;"
|Verrou /var/run/yum.pid existant : une autre copie est lancée avec le pid 2322.<br>
|Verrou /var/run/yum.pid existant : une autre copie est lancée avec le pid 2322.<br>
<nowiki></nowiki> Une autre application verrouille actuellement l'utilisation de yum ; <span style="color:red">attente de déverrouillage...</span><br>
<nowiki/> Une autre application verrouille actuellement l'utilisation de yum ; <span style="color:red">attente de déverrouillage...</span><br>
<nowiki></nowiki> L'autre application est : yum<br>
<nowiki/> L'autre application est : yum<br>
<nowiki></nowiki> Mémoire : 20 M RSS (765 MB VSZ)<br>
<nowiki/> Mémoire : 20 M RSS (765 MB VSZ)<br>
<nowiki></nowiki> Débuté : il y a Wed May 30 08:28:45 2018 - 00:04<br>
<nowiki/> Débuté : il y a Wed May 30 08:28:45 2018 - 00:04<br>
<nowiki></nowiki> État : Mise en attente, pid : 2322<br>
<nowiki/> État : Mise en attente, pid : 2322<br>
<nowiki></nowiki> Une autre application verrouille actuellement l'utilisation de yum ; <span style="color:red">attente de déverrouillage...</span><br>
<nowiki/> Une autre application verrouille actuellement l'utilisation de yum ; <span style="color:red">attente de déverrouillage...</span><br>
<nowiki></nowiki> L'autre application est : yum<br>
<nowiki/> L'autre application est : yum<br>
<nowiki></nowiki> Mémoire : 20 M RSS (765 MB VSZ)<br>
<nowiki/> Mémoire : 20 M RSS (765 MB VSZ)<br>
<nowiki></nowiki> Débuté : il y a Wed May 30 08:28:45 2018 - 00:06<br>
<nowiki/> Débuté : il y a Wed May 30 08:28:45 2018 - 00:06<br>
<nowiki></nowiki> État : Mise en attente, pid : 2322<br>
<nowiki/> État : Mise en attente, pid : 2322<br>
<nowiki></nowiki> ...<br>
<nowiki/> ...<br>
|}
|}
'''''Pour en savoir un peu plus'''''
'''''Pour en savoir un peu plus'''''
Consulter l'URL: [http://www.ird.fr/us191/spip.php?article16 http://www.ird.fr/us191/spip.php?article16].
Consulter l'URL: http://www.ird.fr/us191/spip.php?article16.
= Premiers pas avec PostgreSQL =
= Premiers pas avec PostgreSQL =
<br>
<br>
''Référence'': Cette section s'est inspirée de l'article suivant: [https://wiki.postgresql.org/wiki/First_steps https://wiki.postgresql.org/wiki/First_steps]. Elle démontre quelques commandes à la console <code>psql</code>.
''Référence'': Cette section s'est inspirée de l'article suivant: https://wiki.postgresql.org/wiki/First_steps. Elle démontre quelques commandes à la console <code>psql</code>.
On se connecte au Serveur SME en tant que <span style="color:red">root</span> puis, on change d'usager pour devenir le super-utilisateur <span style="color:red">postgres</span>.
On se connecte au Serveur SME en tant que <span style="color:red">root</span> puis, on change d'usager pour devenir le super-utilisateur <span style="color:red">postgres</span>.
=== Sécurité ===
=== Sécurité ===
''Référence'': [https://www.odoo.com/documentation/11.0/setup/deploy.html https://www.odoo.com/documentation/11.0/setup/deploy.html].
''Référence'': https://www.odoo.com/documentation/11.0/setup/deploy.html.
'''''Sécurité de base'''''
'''''Sécurité de base'''''
* Maintenez les installations à jour en installant régulièrement les dernières versions, soit via GitHub, soit en téléchargeant la dernière version de https://www.odoo.com/page/download ou http://nightly.odoo.com.
* Maintenez les installations à jour en installant régulièrement les dernières versions, soit via GitHub, soit en téléchargeant la dernière version de https://www.odoo.com/page/download ou http://nightly.odoo.com.
* Configurez votre serveur en mode multiprocessus1 avec des limites adaptées à votre utilisation habituelle ''(mémoire/CPU/délais d'attente)''. Voir Builtin server sur la page de référence.
* Configurez votre serveur en mode multiprocessus1 avec des limites adaptées à votre utilisation habituelle ''(mémoire/CPU/délais d'attente)''. Voir Builtin server sur la page de référence.
* Exécutez Odoo derrière un serveur Web fournissant une connexion HTTPS avec Certificat SSL valide, afin d'empêcher l'écoute clandestine des communications, en texte clair. De nos jours, les Certificats SSL ne sont plus aussi dispendieux qu'autrefois et, de nombreuses options gratuites existent ''(Let's Encrypt - voir: https://www.micronator.org/affaires/produit/micronator-101-cahier-4certificat-lets-encrypt/)''.
* Exécutez Odoo derrière un serveur Web fournissant une connexion HTTPS avec Certificat SSL valide, afin d'empêcher l'écoute clandestine des communications, en texte clair. De nos jours, les Certificats SSL ne sont plus aussi dispendieux qu'autrefois et, de nombreuses options gratuites existent ''(Let's Encrypt - voir: https://www.micronator.org/affaires/produit/micronator-101-cahier-4certificat-lets-encrypt/<nowiki/>)''.
* Configurez le mandataire ''(proxy)'' Web pour limiter la taille des demandes, définissez des délais d'attente appropriés puis, activez le mode du mandataire. Voir HTTPS server sur la page de référence.
* Configurez le mandataire ''(proxy)'' Web pour limiter la taille des demandes, définissez des délais d'attente appropriés puis, activez le mode du mandataire. Voir HTTPS server sur la page de référence.
* Si vous devez autoriser l'accès SSH à distance à vos serveurs, veillez à définir un mot de passe robuste pour tous les comptes et non pas seulement pour root.
* Si vous devez autoriser l'accès SSH à distance à vos serveurs, veillez à définir un mot de passe robuste pour tous les comptes et non pas seulement pour root.
* Il est fortement recommandé de désactiver complètement l'authentification par mot de passe et d'autoriser uniquement l'authentification par clé publique. Envisagez également de restreindre l'accès via un VPN, en autorisant uniquement les adresses IP approuvées dans le pare-feu et/ou en installant un système de détection d'attaque de force brute tel que Fail2ban ou équivalent. ''(Voir: https://www.micronator.org/affaires/produit/sme-9-x8-x-fail2ban/.)''
* Il est fortement recommandé de désactiver complètement l'authentification par mot de passe et d'autoriser uniquement l'authentification par clé publique. Envisagez également de restreindre l'accès via un VPN, en autorisant uniquement les adresses IP approuvées dans le pare-feu et/ou en installant un système de détection d'attaque de force brute tel que Fail2ban ou équivalent. ''(Voir: https://www.micronator.org/affaires/produit/sme-9-x8-x-fail2ban/<nowiki/>.)''
* Dans la mesure du possible, hébergez vos instances de démo/test sur des machines différentes de celles de production et leur appliquer les mêmes précautions de sécurité que celles pour les serveurs en production.
* Dans la mesure du possible, hébergez vos instances de démo/test sur des machines différentes de celles de production et leur appliquer les mêmes précautions de sécurité que celles pour les serveurs en production.
* Si vous hébergez plusieurs clients, isolez les données des clients et leurs fichiers les uns des autres en utilisant des conteneurs ou des techniques appropriées de "jail".
* Si vous hébergez plusieurs clients, isolez les données des clients et leurs fichiers les uns des autres en utilisant des conteneurs ou des techniques appropriées de "jail".
| python -c 'import base64, os; print(base64.b64encode(os.urandom(24)))'<br>
| python -c 'import base64, os; print(base64.b64encode(os.urandom(24)))'<br>
|}
|}
<center><span style="font-size:125%">'''PostgreSQL est parfaitement fonctionnel et prêt à recevoir les requêtes d'Odoo.'''</span></center>
<center><span style="font-size:125%">'''PostgreSQL est parfaitement fonctionnel et prêt à recevoir les requêtes d'Odoo.'''</span></center>
'''''npm'''''
'''''npm'''''
''Référence'': [https://fr.wikipedia.org/wiki/Npm https://fr.wikipedia.org/wiki/Npm].
''Référence'': https://fr.wikipedia.org/wiki/Npm.
L'utilitaire <code>npm</code> est le gestionnaire officiel des paquets de '''Node.js'''. Depuis la version 0.6.3 de Node.js, npm fait partie de l'environnement et est donc automatiquement installé par défaut. L'utilitaire npm fonctionne avec un terminal et gère les dépendances pour les applications. Il permet également d'installer les applications Node.js disponibles dans le dépôt npm.
L'utilitaire <code>npm</code> est le gestionnaire officiel des paquets de '''Node.js'''. Depuis la version 0.6.3 de Node.js, npm fait partie de l'environnement et est donc automatiquement installé par défaut. L'utilitaire npm fonctionne avec un terminal et gère les dépendances pour les applications. Il permet également d'installer les applications Node.js disponibles dans le dépôt npm.
|<span style="color:red">'''Style error'''</span>
|<span style="color:red">'''Style error'''</span>
The style compilation failed, see the error below. Your recent actions may be the cause, please try reverting the changes you made.<br>
The style compilation failed, see the error below. Your recent actions may be the cause, please try reverting the changes you made.<br>
(b'', b'The "--no-js" argument is deprecated, as inline JavaScript is disabled by default. Use "--js" to enable inline JavaScript (not recommended).<br>
(b'', b'The "--no-js" argument is deprecated, as inline JavaScript is disabled by default. Use "--js" to enable inline JavaScript (not recommended).<br>''
[TypeError: Object function Object() { [native code] } has no method 'assign']')This error occured while compiling the bundle 'web.assets_common' containing:<br>
[TypeError: Object function Object() { [native code] } has no method 'assign']')This error occured while compiling the bundle 'web.assets_common' containing:<br>
<nowiki> - /web/static/lib/bootstrap/less/variables.less</nowiki><br>
<nowiki> - /web/static/lib/bootstrap/less/variables.less</nowiki><br>
Les versions disponibles se trouvent à l'URL: https://nodejs.org/download/release/
Les versions disponibles se trouvent à l'URL: https://nodejs.org/download/release/
Dans le répertoire de travail on entre <code>wget</code> suivi d'un espace puis, on colle le lien copié ci-dessus.
Dans le répertoire de travail on entre <code>wget</code> suivi d'un espace puis, on colle le lien copié ci-dessus.
On copie le lien depuis: https://centos.pkgs.org/6/centos-i386/pychart-1.39-10.1.el6.noarch.rpm.html
On copie le lien depuis: https://centos.pkgs.org/6/centos-i386/pychart-1.39-10.1.el6.noarch.rpm.html
<center>
<center>
{| class="wikitable"
{| class="wikitable"
|-style="vertical-align:top;text-align: center;"
|- style="vertical-align:top;text-align: center;"
|[[Image:001-Finalisation.png|center|top|450px|border]]||
|[[Image:001-Finalisation.png|center|top|450px|border]]||
<span style="font-size:125%">'''Lien de redirection dans l'i-bay Primary'''</span>
<span style="font-size:125%">'''Lien de redirection dans l'i-bay Primary'''</span>
{|style="border-spacing:0;"
{| style="border-spacing:0;"
|-style="vertical-align:top;"
|- style="vertical-align:top;"
|Si nous n'avons aucun site Web dans l'i-bay Primary et que nous spécifions seulement [http://192.168.1.11/ http://][http://192.168.1.11/ 192.168.1.11] sans spécifier le port 8069, nous verrons s'afficher le contenu du fichier par défaut, <code>index.htm</code>, contenu dans le répertoire <code>/home/e-smith/files/ibays/Primary/html</code>.
|Si nous n'avons aucun site Web dans l'i-bay Primary et que nous spécifions seulement [http://192.168.1.11/ http://][http://192.168.1.11/ 192.168.1.11] sans spécifier le port 8069, nous verrons s'afficher le contenu du fichier par défaut, <code>index.htm</code>, contenu dans le répertoire <code>/home/e-smith/files/ibays/Primary/html</code>.
||[[Image:003-SME-Index.htm-par-defaut.png|center|top|400px|border]]
||[[Image:003-SME-Index.htm-par-defaut.png|center|top|400px|border]]
Dans le gestionnaire Server Manager: '''Server-Manager > Utilisateurs > '''vis-à-vis odoo, cliquer '''Réinitialiser le mot de passe > '''entrer le nouveau mot de passe '''>''' confirmer le nouveau mot de passe '''>''' '''Enregistrer'''.
Dans le gestionnaire Server Manager: '''Server-Manager > Utilisateurs > '''vis-à-vis odoo, cliquer '''Réinitialiser le mot de passe > '''entrer le nouveau mot de passe '''>''' confirmer le nouveau mot de passe '''>''' '''Enregistrer'''.
On arrête et on relance le démon Odoo.
<nowiki># /etc/rc.d/init.d/odoo restart</nowiki>
<nowiki>*</nowiki> On réamorce PostgreSQL.
# /etc/init.d/postgresql-10 restart
<nowiki>*</nowiki> On réamorce Odoo.
# /etc/rc.d/init.d/odoo restart
[[Image:015-IconeASurveiller.png|25px]] Après un changement de mot de passe, on supprime l'historique du fureteur Internet, on se connecte à Odoo et on vérifie quelques pages.
[[Image:015-IconeASurveiller.png|25px]] Après un changement de mot de passe, on supprime l'historique du fureteur Internet, on se connecte à Odoo et on vérifie quelques pages.
<center>
<center>
{| class="wikitable" style="width: 80%; background-color:#ffffff;"
{| class="wikitable" style="width: 80%; background-color:#ffffff;"
|- style="vertical-align:top;"
|- style="vertical-align:top;"
|[[Image:0000-Odoo-11-Courriel-A.png|center|top|300px|border]]
|[[Image:0000-Odoo-11-Courriel-A.png|center|top|300px|border]]
||[[Image:0000-Odoo-11-Courriel-B.png|center|top|700px|border]]
||[[Image:0000-Odoo-11-Courriel-B.png|center|top|700px|border]]
|}
|}
</center>
</center>
<center>
<center>
|}
|}
</center>
</center>
<center>
<center>
|- style="vertical-align:bottom;font-family: Courier New;"
|- style="vertical-align:bottom;font-family: Courier New;"
| Enregistrer.
| Enregistrer.
|-style="vertical-align:top;"
|- style="vertical-align:top;"
||[[Image:009-Sauvegarde-E.png|center|top|500px|border]]
||[[Image:009-Sauvegarde-E.png|center|top|500px|border]]
|}
|}
|}
|}
</center>
</center>
<center>
<center>
|}
|}
</center>
</center>
<center>
<center>
|}
|}
</center>
</center>
<center>
<center>
'''Récupération du fichier odoo-11.zip de la sauvegarde SME'''
'''Récupération du fichier odoo-11.zip de la sauvegarde SME'''
On se logue dans le gestionnaire du Serveur SME avec l'usager '''admin''' et le mot de passe de '''root'''. [https://192.168.1.11/server-manager https://192.168.1.11/server-manager]
On se logue dans le gestionnaire du Serveur SME avec l'usager '''admin''' et le mot de passe de '''root'''. https://192.168.1.11/server-manager
# Sauvegarde et restauration > Restauration sélective de fichier depuis un ordinateur distant > Exécuter.
# Sauvegarde et restauration > Restauration sélective de fichier depuis un ordinateur distant > Exécuter.
'''Restauration manuelle'''
'''Restauration manuelle'''
''Référence'': [https://linuxize.com/post/how-to-setup-automatic-odoo-backup/ https://linuxize.com/post/how-to-setup-automatic-odoo-backup/].
''Référence'': https://linuxize.com/post/how-to-setup-automatic-odoo-backup/.
On lance la restauration.
On lance la restauration.
* Après une mise à jour d'Odoo, on met à jour la base de données d'Odoo afin d'utiliser le code le plus récent.
* Après une mise à jour d'Odoo, on met à jour la base de données d'Odoo afin d'utiliser le code le plus récent.
Voir: [https://www.odoo.yenthevg.com/update-odoo-environment-github/ https://www.odoo.yenthevg.com/update-odoo-environment-github/].
Voir: https://www.odoo.yenthevg.com/update-odoo-environment-github/.
|<span style="color:red">'''Style error'''</span>
|<span style="color:red">'''Style error'''</span>
The style compilation failed, see the error below. Your recent actions may be the cause, please try reverting the changes you made.<br>
The style compilation failed, see the error below. Your recent actions may be the cause, please try reverting the changes you made.<br>
(b'', b'The "--no-js" argument is deprecated, as inline JavaScript is disabled by default. Use "--js" to enable inline JavaScript (not recommended).<br>
(b'', b'The "--no-js" argument is deprecated, as inline JavaScript is disabled by default. Use "--js" to enable inline JavaScript (not recommended).<br>''
[TypeError: Object function Object() { [native code] } has no method 'assign']')This error occured while compiling the bundle 'web.assets_common' containing:<br>
[TypeError: Object function Object() { [native code] } has no method 'assign']')This error occured while compiling the bundle 'web.assets_common' containing:<br>
<nowiki> - /web/static/lib/bootstrap/less/variables.less</nowiki><br>
<nowiki> - /web/static/lib/bootstrap/less/variables.less</nowiki><br>
Présentement pour nous, c'est la version 0.12.5 et le lien est: http://github.com/wkhtmltopdf/wkhtmltopdf/releases/download/0.12.5/wkhtmltox-0.12.5-1.centos6.x86_64.rpm
Présentement pour nous, c'est la version 0.12.5 et le lien est: http://github.com/wkhtmltopdf/wkhtmltopdf/releases/download/0.12.5/wkhtmltox-0.12.5-1.centos6.x86_64.rpm
= Certificat Let's Encrypt =
= Désintallation d'Odoo =
[[Image:016-IconeNote.png|caption|32px]] Vu que le Serveur SME ne sert uniquement qu'à rouler Odoo, il n'y a pas de désinstallation.<br>
<br>
<br>
<br>
<hr style="width:66%; margin: 0 auto;" />
''Référence'': https://fr.wikipedia.org/wiki/Let's_Encrypt.
<span style="font-size:120%">'''Suite de cette marche à suivre'''</span>
La marche à suivre https://wiki.contribs.org/Odoo-11_%26_HTTPS est la suite de celle-ci et décrit l'installation d'un certificat Let's Encrypt et les étapes pour assurer une connexion sécuritaire SSL/TLS à Odoo-11 roulant sur un Serveur SME.
[[Image:Odoo-11-HTTPS-001-ButFinal.png|top|center|700px]]
<span style="font-size:120%">'''Mot de la fin'''</span>
<span style="font-size:120%">'''Mot de la fin'''</span>
Une fois que vous maîtrisez tous les aspects de: Fail2ban, Let's Encrypt, Odoo, BackupPC et VirtualBox, vous pouvez créer un réseau de Production incluant un serveur Odoo, un serveur de sauvegardes et un serveur de développement; ce qui est le but ultime que nous vous souhaitons!
Une fois que vous maîtrisez tous les aspects de: Fail2ban, Let's Encrypt, Odoo, BackupPC et VirtualBox, vous pouvez créer un réseau de Production incluant un serveur Odoo, un serveur de sauvegardes et un serveur de développement; ce qui est le but ultime que nous vous souhaitons!
Pour la suite de cette marche à suivre, voir: https://wiki.contribs.org/Odoo-11_%26_HTTPS.
<br>
<!-- ########################################################################### -->
{{ParticularitesDeCeDocument}}
<!-- ########################################################################### -->
{{SME-101-Transclusion}}
----
----
<references/>
<references/>
[[Category:Howto]] [[Category:Howto/fr]]
[[Category:Howto]] [[Category:Howto/fr]]