Apple Aperture_Installing_Your_Software_f.pdf Apple sur FNAC.COM - Pour voir la liste complète des manuels APPLE, cliquez ici

 

 

TELECHARGER LE PDF : http://manuals.info.apple.com/fr/Aperture_Installing_Your_Software_f.pdf

 

 

Voir également d'autres Guides APPLE :

Apple-DVD_Studio_Pro_4_Installation_de_votre_logiciel

Apple-Windows_Services

Apple-Motion_3_New_Features_F

Apple-g4mdd-fw800-lowerfan

Apple-MacOSX10.3_Welcome

Apple-Print_Service

Apple-Xserve_Setup_Guide_F

Apple-PowerBookG4_17inch1.67GHzUG

Apple-iMac_Intel-based_Late2006

Apple-Installation_de_votre_logiciel

Apple-guide_des_fonctions_de_l_iPod_nano

Apple-Administration_de_serveur_v10.5

Apple-Mac-OS-X-Server-Premiers-contacts-Pour-la-version-10.3-ou-ulterieure

Apple-boot_camp_install-setup

Apple-iBookG3_14inchUserGuideMultilingual

Apple-mac_pro_server_mid2010_ug_f

Apple-Motion_Supplemental_Documentation

Apple-imac_mid2011_ug_f

Apple-iphone_guide_de_l_utilisateur

Apple-macbook_air_11inch_mid2011_ug_fr

Apple-NouvellesfonctionnalitesdeLogicExpress7.2

Apple-QT_Streaming_Server

Apple-Web_Technologies_Admin

Apple-Mac_Pro_Early2009_4707_UG

Apple-guide_de_l_utilisateur_de_Numbers08

Apple-Decouverte_d_Aperture_2

Apple-Guide_de_configuration_et_d'administration

Apple-mac_integration_basics_fr_106.

Apple-iPod_shuffle_4thgen_Guide_de_l_utilisateur

Apple-ARA_Japan

Apple-081811_APP_iPhone_Japanese_v5.4.pdf-Japan

Apple-Recycle_Contract120919.pdf-Japan

Apple-World_Travel_Adapter_Kit_UG

Apple-iPod_nano_6thgen_User_Guide

Apple-RemoteSupportJP

Apple-Mac_mini_Early2009_UG_F.pdf-Manuel-de-l-utilisateur

Apple-Compressor_3_Batch_Monitor_User_Manual_F.pdf-Manuel-de-l-utilisateur

Apple-Premiers__contacts_avec_iDVD_08

Apple-Mac_mini_Intel_User_Guide.pdf

Apple-Prise_en_charge_des_surfaces_de_controle_Logic_Express_8

Apple-mac_integration_basics_fr_107.pdf

Apple-Final-Cut-Pro-7-Niveau-1-Guide-de-preparation-a-l-examen

Apple-Logic9-examen-prep-fr.pdf-Logic-Pro-9-Niveau-1-Guide-de-preparation-a-l-examen

Apple-aperture_photography_fundamentals.pdf-Manuel-de-l-utilisateu

Apple-emac-memory.pdf-Manuel-de-l-utilisateur

Apple-Apple-Installation-et-configuration-de-votre-Power-Mac-G4

Apple-Guide_de_l_administrateur_d_Xsan_2.pdf

Apple-premiers_contacts_avec_imovie6.pdf

Apple-Tiger_Guide_Installation_et_de_configuration.pdf

Apple-Final-Cut-Pro-7-Level-One-Exam-Preparation-Guide-and-Practice-Exam

Apple-Open_Directory.pdf

Apple-Nike_+_iPod_User_guide

Apple-ard_admin_guide_2.2_fr.pdf

Apple-systemoverviewj.pdf-Japon

Apple-Xserve_TO_J070411.pdf-Japon

Apple-Mac_Pro_User_Guide.pdf

Apple-iMacG5_iSight_UG.pdf

Apple-premiers_contacts_avec_iwork_08.pdf

Apple-services_de_collaboration_2e_ed_10.4.pdf

Apple-iPhone_Bluetooth_Headset_Benutzerhandbuch.pdf

Apple-Guide_de_l_utilisateur_de_Keynote08.pdf

APPLE/Apple-Logic-Pro-9-Effectsrfr.pdf

Apple-Logic-Pro-9-Effectsrfr.pdf

Apple-iPod_shuffle_3rdGen_UG_F.pdf

Apple-iPod_classic_160Go_Guide_de_l_utilisateur.pdf

Apple-iBookG4GettingStarted.pdf

Apple-Administration_de_technologies_web_10.5.pdf

Apple-Compressor-4-User-Manual-fr

Apple-MainStage-User-Manual-fr.pdf

Apple-Logic_Pro_8.0_lbn_j.pdf

Apple-PowerBookG4_15inch1.67-1.5GHzUserGuide.pdf

Apple-MacBook_Pro_15inch_Mid2010_CH.pdf

Apple-LED_Cinema_Display_27-inch_UG.pdf

Apple-MacBook_Pro_15inch_Mid2009_RS.pdf

Apple-macbook_pro_13inch_early2011_f.pdf

Apple-iMac_Mid2010_UG_BR.pdf

Apple-iMac_Late2009_UG_J.pdf

Apple-iphone_user_guide-For-iOS-6-Software

Apple-iDVD5_Getting_Started.pdf

Apple-guide_des_fonctionnalites_de_l_ipod_touch.pdf

Apple_iPod_touch_User_Guide

Apple_macbook_pro_13inch_early2011_f

Apple_Guide_de_l_utilisateur_d_Utilitaire_RAID

Apple_Time_Capsule_Early2009_Setup_F

Apple_iphone_4s_finger_tips_guide_rs

Apple_iphone_upute_za_uporabu

Apple_ipad_user_guide_ta

Apple_iPod_touch_User_Guide

apple_earpods_user_guide

apple_iphone_gebruikershandleiding

apple_iphone_5_info

apple_iphone_brukerhandbok

apple_apple_tv_3rd_gen_setup_tw

apple_macbook_pro-retina-mid-2012-important_product_info_ch

apple_Macintosh-User-s-Guide-for-Macintosh-PowerBook-145

Apple_ipod_touch_user_guide_ta

Apple_TV_2nd_gen_Setup_Guide_h

Apple_ipod_touch_manual_del_usuario

Apple_iphone_4s_finger_tips_guide_tu

Apple_macbook_pro_retina_qs_th

Apple-Manuel_de_l'utilisateur_de_Final_Cut_Server

Apple-iMac_G5_de_lutilisateur

Apple-Cinema_Tools_4.0_User_Manual_F

Apple-Personal-LaserWriter300-User-s-Guide

Apple-QuickTake-100-User-s-Guide-for-Macintosh

Apple-User-s-Guide-Macintosh-LC-630-DOS-Compatible

Apple-iPhone_iOS3.1_User_Guide

Apple-iphone_4s_important_product_information_guide

Apple-iPod_shuffle_Features_Guide_F

Liste-documentation-apple

Apple-Premiers_contacts_avec_iMovie_08

Apple-macbook_pro-retina-mid-2012-important_product_info_br

Apple-macbook_pro-13-inch-mid-2012-important_product_info

Apple-macbook_air-11-inch_mid-2012-qs_br

Apple-Manuel_de_l_utilisateur_de_MainStage

Apple-Compressor_3_User_Manual_F

Apple-Color_1.0_User_Manual_F

Apple-guide_de_configuration_airport_express_4.2

Apple-TimeCapsule_SetupGuide

Apple-Instruments_et_effets_Logic_Express_8

Apple-Manuel_de_l_utilisateur_de_WaveBurner

Apple-Macmini_Guide_de_l'utilisateur

Apple-PowerMacG5_UserGuide

Disque dur, ATA parallèle Instructions de remplacement

Apple-final_cut_pro_x_logic_effects_ref_f

Apple-Leopard_Installationshandbok

Manuale Utente PowerBookG4

Apple-thunderbolt_display_getting_started_1e

Apple-Compressor-4-Benutzerhandbuch

Apple-macbook_air_11inch_mid2011_ug

Apple-macbook_air-mid-2012-important_product_info_j

Apple-iPod-nano-Guide-des-fonctionnalites

Apple-iPod-nano-Guide-des-fonctionnalites

Apple-iPod-nano-Guide-de-l-utilisateur-4eme-generation

Apple-iPod-nano-Guide-de-l-utilisateur-4eme-generation

Apple-Manuel_de_l_utilisateur_d_Utilitaire_de_reponse_d_impulsion

Apple-Aperture_2_Raccourcis_clavier

AppleTV_Setup-Guide

Apple-livetype_2_user_manual_f

Apple-imacG5_17inch_harddrive

Apple-macbook_air_guide_de_l_utilisateur

Apple-MacBook_Early_2008_Guide_de_l_utilisateur

Apple-Keynote-2-Guide-de-l-utilisateur

Apple-PowerBook-User-s-Guide-for-PowerBook-computers

Apple-Macintosh-Performa-User-s-Guide-5200CD-and-5300CD

Apple-Macintosh-Performa-User-s-Guide

Apple-Workgroup-Server-Guide

Apple-iPod-nano-Guide-des-fonctionnalites

Apple-iPad-User-Guide-For-iOS-5-1-Software

Apple-Boot-Camp-Guide-d-installation-et-de-configuration

Apple-iPod-nano-Guide-de-l-utilisateur-4eme-generation

Power Mac G5 Guide de l’utilisateur APPLE

Guide de l'utilisateur PAGE '08 APPLE

Guide de l'utilisateur KEYNOTE '09 APPLE

Guide de l'Utilisateur KEYNOTE '3 APPLE

Guide de l'Utilisateur UTILITAIRE RAID

Guide de l'Utilisateur Logic Studio

Power Mac G5 Guide de l’utilisateur APPLE

Guide de l'utilisateur PAGE '08 APPLE

Guide de l'utilisateur KEYNOTE '09 APPLE

Guide de l'Utilisateur KEYNOTE '3 APPLE

Guide de l'Utilisateur UTILITAIRE RAID

Guide de l'Utilisateur Logic Studio

Guide de l’utilisateur ipad Pour le logiciel iOS 5.1

PowerBook G4 Premiers Contacts APPLE

Guide de l'Utilisateur iphone pour le logiciel ios 5.1 APPLE

Guide de l’utilisateur ipad Pour le logiciel iOS 4,3

Guide de l’utilisateur iPod nano 5ème génération

Guide de l'utilisateur iPod Touch 2.2 APPLE

Guide de l’utilisateur QuickTime 7  Mac OS X 10.3.9 et ultérieur Windows XP et Windows 2000

Guide de l'utilisateur MacBook 13 pouces Mi 2010

Guide de l’utilisateur iPhone (Pour les logiciels iOS 4.2 et 4.3)

Guide-de-l-utilisateur-iPod-touch-pour-le-logiciel-ios-4-3-APPLE

Guide-de-l-utilisateur-iPad-2-pour-le-logiciel-ios-4-3-APPLE

Guide de déploiement en entreprise iPhone OS

Guide-de-l-administrateur-Apple-Remote-Desktop-3-1

Guide-de-l-utilisateur-Apple-Xserve-Diagnostics-Version-3X103

Guide-de-configuration-AirPort-Extreme-802.11n-5e-Generation

Guide-de-configuration-AirPort-Extreme-802-11n-5e-Generation

Guide-de-l-utilisateur-Capteur-Nike-iPod

Guide-de-l-utilisateur-iMac-21-5-pouces-et-27-pouces-mi-2011-APPLE

Guide-de-l-utilisateur-Apple-Qadministrator-4

Guide-d-installation-Apple-TV-3-eme-generation

User-Guide-iPad-For-ios-5-1-Software

1 Installation de votre logiciel Les informations suivantes sont destinées à vous familiariser avec Aperture le plus rapidement possible et traitent des rubriques présentées ci-dessous : Â À propos du disque d’installation d’Aperture (p. 2) Â Mise à niveau de Mac OS X (p. 2) Â Installation d’Aperture (p. 3) Â Enregistrement d’Aperture (p. 5) Â À propos des exemples de projets d’Aperture (p. 5) Â À propos de l’aide à l’écran (p. 5) Â Prise de contact avec l’assistance AppleCare (p. 8) Passez également en revue le document Avant d’installer Aperture se trouvant sur le disque d’installation d’Aperture. Pour accéder aux dernières informations sur Aperture, rendez-vous sur le site Web d’Aperture à l’adresse http://www.apple.com/fr/aperture.2 À propos du disque d’installation d’Aperture Le disque d’installation d’Aperture 1.5 contient les éléments suivants : Â Avant d’installer Aperture : ce document détaille la configuration requise et ce que vous devez faire avant d’installer Aperture et le contenu l’accompagnant. Â Programme d’installation d’Aperture : double-cliquez sur l’icône du programme d’installation d’Aperture pour lancer le processus d’installation. Â Dossier Documentation : ce dossier contient le document Installation de votre logiciel (en version PDF) et le Manuel de l’utilisateur d’Aperture. Ouvrez ce Manuel de l’utilisateur d’Aperture pour y retrouver de la documentation supplémentaire au format PDF concernant Aperture, dont les documents Programme d’ajustement d’image, Premiers contacts avec Aperture et Référence rapide d’Aperture. Â Dossier Sample Projects : ce dossier inclut des images servant d’exemples à visualiser dans Aperture, mais aussi un document concis reprenant des caractéristiques des exemples de projets. Remarque : le disque d’installation contient les fichiers requis pour installer Aperture 1.5 sur les ordinateurs Macintosh de type PowerPC ou à processeur Intel. Le processus d’installation est identique pour les deux types d’ordinateurs. Mise à niveau de Mac OS X Avant d’installer Aperture, mettez à jour votre logiciel système afin de vous assurer que vous disposez bien de la toute dernière version de Mac OS X sur votre machine. Important : vous devez faire l’acquisition de Mac OS X 10.4 Tiger ou ultérieur si vous mettez votre système à niveau de Mac OS X 10.3 Panther ou antérieur. Pour mettre à jour Mac OS X v10.4 à la dernière version disponible : 1 Choisissez le menu Pomme > « Mise à jour de logiciels ». Une zone de dialogue apparaît alors pour vous indiquer les logiciels nouveaux ou mis à jour, applicables à votre ordinateur. 2 Suivez les instructions à l’écran pour mettre à jour Mac OS X à la dernière version.3 Installation d’Aperture Lorsque vous installez Aperture, l’application se place dans le dossier Applications du disque dur précisé, généralement sur votre disque de démarrage. Par défaut, le programme d’installation d’Aperture installe l’application Aperture en tant que telle sur votre disque dur, mais aussi la documentation qui l’accompagne et un exemple de projet destiné à vous aider à débuter dans l’utilisation des divers outils mis à votre disposition dans Aperture pour la gestion, le traitement et la publication de vos photos. Remarque : avant de pouvoir installer Aperture, vous devez ouvrir une session sur votre ordinateur sous un compte d’administrateur en respectant les données de connexion. Pour en savoir plus, consultez l’Aide Mac. Pour installer Aperture et taper le numéro de série : 1 Insérez le disque d’installation d’Aperture dans le lecteur de DVD de l’ordinateur. 2 Double-cliquez sur l’icône du programme d’installation d’Aperture, puis suivez les instructions à l’écran. 3 Prenez connaissance du texte de bienvenue présenté dans l’introduction, puis cliquez sur Continuer. 4 Lisez le Contrat de licence du logiciel. Vous pouvez l’imprimer ou l’enregistrer en cliquant sur le bouton respectif Imprimer ou Enregistrer. Après l’avoir lu, cliquez sur Continuer, puis, si vous êtes d’accord avec les termes du Contrat, sur Accepter. 5 Sélectionnez le disque de démarrage, puis cliquez sur Continuer. Votre disque de démarrage doit disposer de la dernière version de Mac OS X v10.4. Avertissement : si le système ne satisfait pas la configuration requise, l’installation d’Aperture ne peut pas se faire. Reportez-vous au document Avant d’installer Aperture se trouvant sur le disque d’installation pour connaître les détails de cette configuration. 4 6 Dans la sous-fenêtre « Informations de l’utilisateur », saisissez vos nom et prénom. Préciser le nom de votre entreprise est facultatif. 7 Dans le champ Numéro de série, saisissez le numéro de série d’Aperture tel qu’il figure sur l’étiquette prévue à cet effet, collée au recto de la couverture de ce document, puis cliquez sur Continuer. Nous vous présentons ci-après quelques conseils pour saisir correctement votre numéro de série : Â Assurez-vous que le numéro de série que vous copiez est bien l’original se trouvant au recto de la couverture de ce document. Â Assurez-vous que vous tapez bien le numéro de série du logiciel et non pas le numéro d’identification pour bénéficier de l’assistance. Â Vérifiez que les caractères saisis correspondent bien à des zéros et non à la lettre O, et aux chiffres Un et non à la lettre L en minuscule, si votre numéro prévoit de tels chiffres. Â N’oubliez pas les tirets du numéro de série. Â N’ajoutez aucun espace avant ou après le numéro. 8 Vérifiez enfin que le numéro de série soit tapé correctement. 9 Cliquez sur Installer pour procéder à une installation standard d’Aperture. Pour personnaliser votre installation d’Aperture, cliquez sur Personnaliser, indiquez les options d’installation que vous désirez, puis cliquez enfin sur Installer. 10 Une zone de dialogue s’affiche pour vous authentifier grâce à vos nom et mot de passe. Cliquez sur OK lorsque vous avez fini. Remarque : à l’issue de trois tentatives échouées de saisie du numéro de saisie, le programme d’installation d’Aperture se ferme. Pour relancer le processus d’installation, retournez à l’étape 2. Le programme d’installation affiche une barre de progression pour vous indiquer où en est l’installation. Tapez votre nom (obligatoire). Tapez le nom de votre entreprise (organisation ; facultatif). Tapez votre numéro de série sans oublier les tirets (obligatoire).5 11 Lorsqu’elle est enfin terminée, cliquez sur Fermer. Une fois le logiciel installé, vous pouvez commencer à utiliser Aperture. Enregistrement d’Aperture La première fois que vous ouvrez Aperture, vous êtes invité à fournir des informations permettant l’enregistrement du produit. Par défaut, les données de votre fiche personnelle tirée de votre Carnet d’adresses sont automatiquement reprises dans les champs appropriés. Pour enregistrer Aperture sous un utilisateur autre que celui repris dans la fiche personnelle de votre Carnet d’adresses : 1 Remplissez les champs Nom, Adresse, Organisation et Adresse électronique. 2 Si vous désirez recevoir sur votre compte de messagerie des informations sur l’actualité et les mises à jour de logiciels Apple, cochez la case. 3 Si vous voulez prendre connaissance de l’Engagement de confidentialité Apple, cliquez sur Confidentialité. 4 Lorsque vous avez terminé, cliquez sur S’enregistrer. Aperture est à présent enregistré. Remarque : si vous optez pour le bouton « S’enregistrer plus tard », le système vous rappelle d’enregistrer Aperture toutes les cinq ouvertures de l’application. À propos des exemples de projets d’Aperture Aperture inclut plusieurs exemples de projets comprenant des images haute résolution. Lorsque vous ouvrez Aperture pour la première fois, une zone de dialogue vous demande si vous voulez installer un exemple de projet. D’autres exemples de projets sont également disponibles dans le dossier Sample Projects se trouvant sur le disque d’installation d’Aperture. Vous pouvez ainsi importer ces projets dans Aperture à partir du disque d’installation d’Aperture à tout moment après avoir installé l’application. À propos de l’aide à l’écran L’aide à l’écran, disponible à partir du menu Aide, vous permet d’afficher des informations au cours de vos manipulations dans Aperture. Vous retrouverez ainsi des liens vers des exemplaires de documents au format PDF traitant d’Aperture ainsi que des liens vers les sites Web du produit Aperture et sur son assistance dans le menu Aide.6 Pour obtenir les dernières informations sur Aperture, y compris de la documentation d’assistance non disponible à partir du menu Aide d’Aperture, rendez-vous sur le site Web de l’assistance Aperture en suivant une des procédures suivantes : m Dans Aperture, choisissez Aide > Assistance Aperture. m Rendez-vous à l’adresse http://www.apple.com/fr/support/aperture. Manuel de l’utilisateur d’Aperture Ce document contient des renseignements conceptuels, de référence et retraçant les tâches qu’impliquent Aperture. Pour accéder au Manuel de l’utilisateur d’Aperture : m Dans Aperture, choisissez Aide > Manuel de l’utilisateur d’Aperture. Programme d’ajustement d’image Ce document reprend les détails des instructions pour utiliser les fonctionnalités de réglage et les outils d’Aperture. Pour accéder au document « Programme d’ajustement d’image » : m Dans Aperture, choisissez Aide > « Programme d’ajustement d’image ». Informations de dernière minute Ce document contient des informations relatives aux problèmes que peuvent rencontrer du matériel et des logiciels de tierce partie ainsi que d’autres problèmes déjà connus. Remarque : vous devez pour cela être connecté à Internet pour pouvoir accéder à ce document. Pour accéder au document « Informations de dernière minute » : m Dans Aperture, choisissez Aide > « Informations de dernière minute ». Nouvelles fonctionnalités Ce document répertorie les fonctionnalités introduites à Aperture depuis Aperture 1.1. Remarque : vous devez pour cela être connecté à Internet pour pouvoir accéder à ce document. Pour accéder au document « Nouvelles fonctionnalités » : m Dans Aperture, choisissez Aide > Nouvelles fonctionnalités. Premiers contacts Ce document explique comment importer des images, leur appliquer un classement et des mots-clés, en rechercher, en exporter et en imprimer, le tout à partir d’Aperture. Ce document correspond à la version PDF du manuel imprimé Premiers contacts avec Aperture. Pour accéder au document « Premiers contacts » : m Dans Aperture, choisissez Aide > Premiers contacts.7 Référence rapide Ce document reprend les raccourcis clavier pour assurer les diverses tâches dans Aperture. Ce document correspond à la version PDF du volet imprimé Référence rapide d’Aperture. Pour accéder au document « Référence rapide » : m Dans Aperture, choisissez Aide > Référence rapide. Notions de base de la photographie numérique Ce document propose des informations de base sur le mode de fonctionnement des appareils photo numériques, sur l’apparence des photos numériques à l’écran ou imprimées et sur le mode de mesure de la résolution des images adopté par les appareils numériques. Pour accéder au document « Principes fondamentaux de la photographie numérique » : m Dans Aperture, choisissez Aide > « Principes fondamentaux de la photographie numérique ». Commande de livres et de tirages Ce document reprend des informations et les étapes nécessaires pour la commande de livres de qualité professionnelle pour vos images à travers le service de tirage d’Apple. Remarque : vous devez pour cela être connecté à Internet pour pouvoir accéder à ce document. Pour accéder au document « Commande de livres et de tirages » : m Dans Aperture, choisissez Aide > « Commande de livres et de tirages ». Créer un profil de gestion Dans certains cas où vous êtes amené à faire appel à l’assistance, AppleCare peut nécessiter des informations sur votre ordinateur et sur la configuration adoptée pour Aperture. La commande « Créer un profil de gestion » génère alors un fichier contenant les informations requises pour les envoyer à AppleCare sous forme de message électronique. N’utilisez pas cette fonctionnalité à moins qu’un représentant AppleCare ne vous le demande. Pour créer un profil de gestion : m Dans Aperture, choisissez Aide > « Créer un profil de gestion ». Prise de contact avec l’assistance AppleCare Des informations sur les options mises à votre disposition pour bénéficier de l’assistance Apple se trouvent dans votre coffret d’Aperture. Plusieurs niveaux d’assistance ont été mis en place. Quelque soit votre problème, il est bon de garder les informations suivantes à portée de main si vous devez contacter Apple pour obtenir de l’aide. Plus vous disposez de données à fournir aux agents du service d’assistance, plus vite ils sont à même de résoudre votre problème ou de vous aiguiller. Pensez donc aux points suivants : Â le numéro d’identification pour l’assistance sur Aperture (celui-ci se trouve au recto de la couverture de ce document ; Remarque : ce nombre de onze chiffres permettant de bénéficier de l’assistance diffère du numéro de série du produit permettant, lui, d’installer Aperture) ; Â la version de Mac OS X installée (pour connaître la version de Mac OS X, choisissez le menu Pomme > « À propos de ce Mac ») ; Â la version d’Aperture sur laquelle vous avez une question (pour retrouver la version d’Aperture installée sur votre ordinateur, choisissez Aperture > « À propos d’Aperture ») ; Â le modèle d’ordinateur que vous utilisez ; Â la quantité de mémoire RAM installée sur votre ordinateur (pour connaître la capacité de la RAM de votre ordinateur, choisissez le menu Pomme > « À propos de ce Mac ») ; Â le cas échéant, tout matériel de tierce partie branché à votre ordinateur ou qui y est installé, ainsi que le nom de leur fabricant (cela inclut les disques durs, les cartes graphiques, etc.). L’assistance AppleCare est joignable en ligne à l’adresse http://www.apple.com/fr/support. Vous y retrouverez des informations spécifiques sur l’assistance Aperture en cliquant sur le lien relatif à Aperture. Pour vous rendre sur le site Web d’assistance Aperture à partir de l’application Aperture même : m Choisissez Aide > Assistance Aperture. © 2006 Apple Computer, Inc. Tous droits réservés. Apple, le logo Apple, Mac, Macintosh, Mac OS et Panther sont des marques d’Apple Computer, Inc., déposées aux États-Unis et dans d’autres pays. Aperture et Tiger sont des marques d’Apple Computer Inc. AppleCare est une marque de service d’Apple Computer Inc., déposée aux États-Unis et dans d’autres pays. Intel et Intel Core sont des marques d’Intel Corp. aux États-Unis et dans d’autres pays. PowerPC et le logo PowerPC sont des marques d’International Business Machines Corporation, utilisés sous licence. Mac OS X Server Gestion des utilisateurs Pour version 10.4 ou ultérieureK Apple Computer, Inc. © 2005 Apple Computer, Inc. Tous droits réservés. Le propriétaire ou l’utilisateur autorisé d’un exemplaire enregistré du logiciel Mac OS X Server peut reproduire cette publication aux fins d’apprentissage du logiciel. Cette publication ne peut être reproduite ou transmise en tout ou partie à des fins commerciales, comme la vente de copies de cette publication ou la fourniture d’un service d’assistance payant. Tout a été mis en œuvre pour que les informations contenues dans ce manuel soient exactes. Apple Computer, Inc., n’est pas responsable des erreurs d’impression ou de typographie. Apple 1 Infinite Loop Cupertino, CA 95014-2084 408-996-1010 www.apple.com L’utilisation de ce logo à des fins commerciales via le clavier (Option-1) pourra constituer un acte de contrefaçon et/ou de concurrence déloyale. Apple, le logo Apple, AirPort, AppleShare, AppleTalk, FireWire, iBook, Trousseau, LaserWriter, Mac, Mac OS, Macintosh, PowerBook et QuickTime sont des marques d’Apple Computer, Inc. déposées aux États-Unis et dans d’autres pays. Gestionnaire d’extensions, Finder et SuperDrive sont des marques d’Apple Computer, Inc. Adobe et PostScript sont des marques d’Adobe Systems Incorporated. Java et tous les logos et marques dérivés de Java sont des marques ou des marques déposées de Sun Microsystems, Inc. aux États-Unis et dans d’autres pays. UNIX est une marque déposée aux États-Unis et dans d’autres pays, sous licence exclusive de X/Open Company Ltd. Tous les autres noms de produits sont des marques de leurs propriétaires respectifs. Les produits commercialisés par des entreprises tierces ne sont mentionnés qu’à titre d’information, sans aucune intention de préconisation ni de recommandation. Apple décline toute responsabilité quant à leur utilisation et à leur fonctionnement. F019-0170/03-24-05 F0170.book Page 2 Monday, May 2, 2005 12:37 PM 3 1 Table de matières Préface 13 À propos de ce guide 13 Nouveautés de la version 10.4 14 Contenu de ce guide 15 Utilisation de l’aide à l’écran 16 La suite Mac OS X Server 17 Informations complémentaires 17 Si vous êtes novice en gestion de serveur et de réseau 18 Si vous êtes un administrateur de serveur chevronné Chapitre 1 19 Vue d’ensemble de la gestion des utilisateurs 19 Outils de gestion des utilisateurs 19 Gestionnaire de groupe de travail 22 Admin Serveur 23 NetBoot 24 Installation en réseau 24 Comptes 25 Comptes d’administrateur 26 Utilisateurs et utilisateurs gérés 26 Utilisateurs invités 27 Groupes, groupes principaux et groupes de travail 28 Listes d’ordinateurs 28 Utilisation côté utilisateur 29 Authentification 31 Validation de l’identité 31 Contrôle de l’accès aux informations Chapitre 2 33 Introduction à la gestion des utilisateurs 33 Présentation générale de la configuration 40 Programmation de stratégies pour la gestion des utilisateurs 40 Analyse de votre environnement 40 Identification des besoins en matière de services de répertoire 41 Détermination des besoins en matière de serveur et de stockage 42 Utilisation de la gestion des clients F0170.book Page 3 Monday, May 2, 2005 12:37 PM4 Table des matières 42 Utilisation de comptes mobiles 42 Répertoires de départ portables 42 Élaboration d’une stratégie en matière de répertoire de départ 43 Identification des groupes 43 Détermination des besoins d’administrateur 44 Utilisation du Gestionnaire de groupe de travail 44 Utilisation d’ordinateurs de versions antérieures à la 10.4 à partir de serveurs de version 10.4 45 Ouverture du Gestionnaire de groupe de travail et authentification 46 Principales tâches dans le Gestionnaire de groupe de travail 47 Listage et recherche de comptes 47 Utilisation de listes de comptes dans le Gestionnaire de groupe de travail 48 Liste de comptes dans le domaine de répertoires local 48 Liste de comptes dans des domaines de répertoires de chemins de recherche 49 Liste de comptes dans des domaines de répertoires disponibles 49 Actualisation de listes de comptes 50 Recherche de comptes spécifiques dans une liste 50 Classement des listes d’utilisateurs et de groupes 51 Utilisation du bouton Rechercher de la barre d’outils 52 Raccourcis pour l’utilisation des comptes 52 Modification par lot 52 Utilisation de préréglages 53 Importation et exportation d’informations de compte 53 Sauvegarde et restauration des données de gestion des utilisateurs 53 Sauvegarde et restauration de fichiers de services de répertoires 53 Sauvegarde de comptes d’utilisateur root et administrateur Chapitre 3 55 Gestion des utilisateurs pour des clients mobiles 55 Configuration des clients mobiles 55 Configuration d’ordinateurs portables 56 Utilisation de comptes mobiles 57 Création d’un compte mobile 57 Suppression d’un compte mobile 58 Utilisation de comptes mobiles côté utilisateur 58 Répertoires de départ portables 59 Éléments à prendre en compte pour l’affectation du contenu à synchroniser 60 Gestion des clients mobiles 60 Ordinateurs portables Mac OS X inconnus 60 Ordinateurs portables Mac OS X pour utilisateurs locaux multiples 61 Ordinateurs portables Mac OS X pour utilisateur local principal 62 Utilisation de services sans fil 62 Questions de sécurité concernant les clients mobiles 62 Services de répertoire F0170.book Page 4 Monday, May 2, 2005 12:37 PMTable des matières 5 63 FileVault pour clients mobiles 63 Questions de sécurité concernant l’utilisation de répertoires de départ portables 63 Questions concernant la perte et la récupération des données Chapitre 4 65 Configuration des comptes d’utilisateur 65 À propos des comptes d’utilisateur 65 Emplacement de stockage des comptes d’utilisateur 66 Comptes d’utilisateur prédéfinis 67 Administration de comptes d’utilisateur 67 Création de comptes d’utilisateur Mac OS X Server 68 Création de comptes d’utilisateur LDAPv3 en lecture/écriture 68 Modification des informations de compte d’utilisateur 69 Modification simultanée de plusieurs utilisateurs 69 Modification des comptes dans un maître Open Directory 70 Utilisation de comptes d’utilisateur en lecture seule 71 Définition d’un utilisateur invité 71 Suppression d’un compte d’utilisateur 72 Désactivation d’un compte d’utilisateur 72 Utilisation de préréglages pour les comptes d’utilisateur 72 Création d’un préréglage pour des comptes d’utilisateur 73 Utilisation de préréglages pour créer des comptes 73 Renommer des préréglages 74 Modification de préréglages 74 Suppression de préréglages 74 Travail avec des réglages élémentaires pour utilisateurs 74 Définition de noms complets d’utilisateurs 75 Définition de noms abrégés d’utilisateurs 77 Choix de noms abrégés permanents 77 Eviter les doublons de noms 79 Mesures de prévention contre les doublons de noms abrégés 81 Définition d’identifiants d’utilisateur 82 Définition de mots de passe 82 Réglage des options de mot de passe pour les utilisateurs importés 82 Attribution de droits d’administrateur pour un serveur 83 Attributions de droits d’administrateur pour un domaine de répertoire 84 GUID 84 Travail avec des réglages avancés pour utilisateurs 84 Définition de réglages d’ouverture de session 86 Définition d’un type de mot de passe 86 Création d’une liste maîtresse de mots-clés 87 Application de mots-clés aux comptes d’utilisateur 87 Modification de commentaires 88 Travail avec les réglages de groupe pour utilisateurs F0170.book Page 5 Monday, May 2, 2005 12:37 PM6 Table des matières 88 Définition du groupe principal d’un utilisateur 89 Ajout d’un utilisateur à des groupes 90 Suppression d’un utilisateur dans un groupe 90 Vérification des différentes appartenances de groupe d’un utilisateur 91 Utilisation des réglages de répertoires de départ des utilisateurs 91 Utilisation des réglages de courrier des utilisateurs 91 Désactivation du service de courrier d’un utilisateur 92 Activation des options de compte de service de courrier 93 Faire suivre le courrier d’un utilisateur 93 Travail avec des réglages d’impression pour utilisateurs 94 Désactivation de l’accès d’un utilisateur aux files d’attente imposant des quotas 94 Activation l’accès d’un utilisateur aux files d’attente imposant des quotas 95 Suppression du quota d’impression d’un utilisateur pour une file spécifique 95 Réinitialisation du quota d’impression d’un utilisateur 96 Utilisation des réglages d’informations pour les utilisateurs 97 Choix de réglages pour les utilisateurs Windows Chapitre 5 99 Configuration des comptes de groupe 99 À propos des comptes de groupe 99 Administration de comptes de groupe 99 Emplacement de stockage des comptes de groupe 100 Comptes de groupe prédéfinis 101 Création de comptes de groupe Mac OS X Server 101 Création de comptes de groupe LDAPv3 en lecture/écriture 102 Création d’un préréglage pour des comptes de groupe 102 Modification des informations d’un compte de groupe 103 Création de groupes imbriqués 104 Mise à niveau de groupes hérités 104 Utilisation de comptes de groupe en lecture seule 105 Travail avec des réglages de membres pour groupes 105 Ajout d’utilisateurs à un groupe 106 Suppression d’utilisateurs d’un groupe 106 Attribution d’un nom à un groupe 107 Définition d’un identifiant de groupe 108 Travail avec les réglages du dossier de groupe 108 Option Pas de dossier de groupe 109 Création d’un dossier de groupe dans un point de partage existant 110 Création d’un dossier de groupe dans un nouveau point de partage 112 Création d’un dossier de groupe dans un sous-dossier d’un point de partage existant 114 Désignation d’un dossier de groupe destiné à plusieurs groupes 114 Suppression de comptes de groupe F0170.book Page 6 Monday, May 2, 2005 12:37 PMTable des matières 7 Chapitre 6 115 Configuration de listes d’ordinateurs 115 À propos des listes d’ordinateurs 116 Listes d’ordinateurs à usage spécial 116 Création d’une liste d’ordinateurs 118 Création d’un préréglage pour listes d’ordinateurs 119 Utilisation d’un préréglage de liste d’ordinateurs 119 Ajout d’ordinateurs à une liste d’ordinateurs existante 120 Modification d’informations sur un ordinateur 120 Déplacement d’un ordinateur vers une autre liste d’ordinateurs 121 Suppression d’ordinateurs d’une liste d’ordinateurs 121 Suppression d’une liste d’ordinateurs 122 Recherche de listes d’ordinateurs 122 Gestion des ordinateurs invités 124 Utilisation des réglages d’accès 124 Restriction de l’accès à des ordinateurs 125 Mise d’ordinateurs à la disposition de tous les utilisateurs 125 Utilisation de comptes d’utilisateur locaux Chapitre 7 127 Configuration des répertoires de départ 127 À propos des répertoires de départ 128 Évitez les espaces et les noms très longs dans les chemins d’accès aux répertoires de départ réseau 129 Répartition de répertoires de départ sur plusieurs serveurs 130 Spécification d’aucun répertoire de départ 131 Création d’un répertoire de départ pour un utilisateur local sur un serveur 133 Création d’un répertoire de départ de réseau 134 Création d’un répertoire de départ personnalisé 137 Configuration d’un point de partage AFP montable automatiquement pour des répertoires de départ 138 Configuration d’un point de partage NFS ou SMB montable automatiquement pour des répertoires de départ 140 Définition de quotas de disque 141 Définition de répertoires de départ par défaut à l’aide de préréglages 141 Déplacement de répertoires de départ 141 Suppression de répertoires de départ Chapitre 8 143 Vue d’ensemble de la gestion des clients 144 Utilisation de ressources visibles sur le réseau 145 Définition de préférences 146 La puissance des préférences 147 Niveaux de contrôle 150 Degrés de permanence 151 Configuration de l’environnement d’ouverture de session F0170.book Page 7 Monday, May 2, 2005 12:37 PM8 Table des matières 152 Qui peut ouvrir une session ? 153 Mise en mémoire cache des préférences 153 Aide aux utilisateurs pour trouver des applications 154 Aide aux utilisateurs pour trouver des dossiers de groupe 154 Installation et démarrage via le réseau 155 Administration quotidienne des clients Chapitre 9 157 Gestion des préférences 157 Mode de fonctionnement du Gestionnaire de groupe de travail avec les préférences Mac OS X 158 Gestion des préférences 159 À propos de la mémoire cache des préférences 159 Mises à jour régulières de la mémoire cache des préférences gérées 160 Mise à jour manuelle de la mémoire cache des préférences 161 Gestion des préférences d’utilisateur 161 Gestion des préférences de groupes 162 Gestion des préférences d’ordinateurs 163 Modification des préférences de plusieurs enregistrements 163 Désactivation de la gestion de préférences spécifiques 164 Gestion de l’accès aux applications 164 Création d’une liste d’applications accessibles pour les utilisateurs 165 Interdiction aux utilisateurs d’accéder à des applications situées sur des volumes locaux 166 Gestion de l’accès aux utilitaires 167 Contrôle du fonctionnement des outils UNIX 167 Gestion des préférences de Classic 168 Sélection des options de démarrage de Classic 169 Choix d’un dossier Système Classic 170 Autorisations d’actions spéciales au démarrage 170 Contrôle de l’accès aux éléments du menu Pomme de l’environnement Classic 171 Réglage des paramètres de suspension d’activité de Classic 172 Maintien de la cohérence des préférences d’utilisateurs pour l’environnement Classic 173 Gestion des préférences du Dock 173 Contrôle du Dock de l’utilisateur 174 Accès aisé aux dossiers de groupes 175 Ajout d’éléments au Dock d’un utilisateur 175 Interdiction aux utilisateurs d’ajouter ou de supprimer des éléments au Dock 176 Gestion des préférences de l’Économiseur d’énergie 176 Utilisation des réglages de suspension d’activité et de réactivation pour les ordinateurs de bureau 178 Utilisation des réglages de l’Économiseur d’énergie pour les ordinateurs portables 179 Affichage de l’état de la batterie pour les utilisateurs F0170.book Page 8 Monday, May 2, 2005 12:37 PMTable des matières 9 180 Programmation du démarrage, de l’extinction ou de la suspension d’activité automatiques 181 Gestion des préférences du Finder 181 Configuration du Finder simplifié 182 Masquage des disques et des serveurs sur le bureau de l’utilisateur 183 Contrôle du comportement des fenêtres du Finder 183 Masquage du message d’alerte présenté lorsque l’utilisateur veut vider la corbeille 184 Affichage des extensions de nom de fichier 184 Contrôle de l’accès des utilisateurs aux serveurs distants 185 Contrôle de l’accès des utilisateurs à un iDisk 185 Mesures contre l’éjection de disques par les utilisateurs 186 Masquage de la commande Graver le disque dans le Finder 186 Contrôle de l’accès des utilisateurs aux dossiers 187 Suppression des commandes Redémarrer et Éteindre du menu Pomme 187 Réglage de l’apparence et de la disposition des éléments du bureau 188 Réglage de l’apparence du contenu des fenêtres du Finder 189 Gestion des préférences Internet 189 Réglage des préférences de messagerie 190 Réglage des préférences du navigateur Web 191 Gestion des préférences d’ouverture de session 191 Spécification du mode d’ouverture de session de l’utilisateur 192 Ouverture automatique d’éléments après l’ouverture de session 194 Fourniture de l’accès au répertoire de départ réseau d’un utilisateur 194 Fourniture d’un accès aisé au point de partage de groupe 195 Interdiction de démarrer ou d’arrêter l’ordinateur lors de la connexion 196 Utilisation d’indices pour aider les utilisateurs à se souvenir de leur mot de passe 197 Activation de la prise en charge de plusieurs utilisateurs simultanés sur un ordinateur client 197 Activation de la fermeture de session automatique pour les utilisateurs inactifs 198 Scripts d’ouverture et de fermeture de session 199 Gestion des préférences d’accès aux données 199 Contrôle de l’accès aux CD, DVD et disques inscriptibles 200 Contrôle de l’accès aux disques durs et aux disques 201 Éjection automatique d’éléments à la fermeture de session de l’utilisateur 201 Gestion des préférences de mobilité 201 Gestion des préférences Réseau 201 Configuration des serveurs proxy par port 202 Gestion des préférences d’Impression 202 Attribution d’imprimantes aux utilisateurs 203 Méthode pour empêcher les utilisateurs de modifier la liste d’imprimantes 204 Restriction de l’accès aux imprimantes connectées à un ordinateur 204 Définition d’une imprimante par défaut 205 Restriction de l’accès aux imprimantes F0170.book Page 9 Monday, May 2, 2005 12:37 PM10 Table des matières 205 Gestion des préférences de mise à jour de logiciels 206 Gestion de l’accès aux préférences Système 207 Gestion des préférences Accès universel 207 Manipulation des réglages d’affichage pour l’utilisateur 208 Activation d’une alerte visuelle 209 Réglage de la réponse du clavier 210 Réglage du niveau de réponse de la souris et du pointeur 211 Activation des raccourcis d’Accès universel 211 Autorisation d’appareils d’aide pour les utilisateurs ayant des besoins particuliers 212 Utilisation de l’éditeur de préférences avec les manifestes de préférences 213 Ajout d’une préférence gérée en l’important depuis une application 213 Modification des valeurs de préférence d’une application 214 Suppression des valeurs de préférence via l’éditeur de préférences Chapitre 10 215 Gestion des présentations de réseau 216 Types de présentations de réseau gérées 216 Création d’un présentation de réseau gérée 217 Modification de présentations de réseau gérées 219 Définition de voisinages pour présentations de réseau gérées 219 Ajout de voisinages à des présentations de réseau gérées 220 Suppression de voisinages de présentations de réseau gérées 220 Définition d’ordinateurs pour présentations de réseau gérées 220 Affichage d’ordinateurs dans des présentations de réseau gérées 222 Suppression d’ordinateurs de présentations de réseau gérées 222 Définition de listes dynamiques pour présentations de réseau gérées 223 Ajout de listes dynamiques à des présentations de réseau gérées 224 Suppression de listes dynamiques de présentations de réseau gérées 224 Définition de l’utilisation des présentations de réseau gérées par des ordinateurs clients 224 Comment un ordinateur trouve-t-il ses présentations de réseau gérées 225 Activation de la visibilité des présentations de réseau gérées 226 Désactivation de la visibilité des présentations de réseau gérées 228 Définition de la fréquence de rafraîchissement d’une présentation de réseau gérée 228 Définition du comportement du Finder avec des présentations de réseau gérées Chapitre 11 229 Résolution des problèmes 229 Aide en ligne et site Web d’assistance et de service Apple 229 Résolution des problèmes liés aux comptes 229 Vous ne parvenez pas à modifier un compte à l’aide du Gestionnaire de groupe de travail 230 Vous ne voyez pas certains utilisateurs dans la fenêtre de connexion 230 Vous ne parvenez pas à déverrouiller un répertoire LDAP 231 Vous ne pouvez pas modifier le mot de passe Open Directory d’un utilisateur F0170.book Page 10 Monday, May 2, 2005 12:37 PMTable des matières 11 231 Vous ne pouvez pas changer le type de mot de passe d’un utilisateur en Open Directory 231 Vous ne parvenez pas à attribuer des autorisations d’administrateur de serveur 232 Les utilisateurs ne parviennent pas à se connecter ni à être authentifiés 233 Les utilisateurs dépendant d’un Serveur de mots de passe ne parviennent pas à se connecter 233 Les utilisateurs ne peuvent pas se connecter à l’aide de comptes dans un domaine de répertoire partagé 234 Les utilisateurs ne peuvent pas accéder à leur répertoire de départ 234 Certains utilisateurs ne peuvent pas changer leur mot de passe 234 Un utilisateur Mac OS X d’un domaine NetInfo partagé ne parvient pas à se connecter 234 Les utilisateurs ne peuvent pas s’authentifier à l’aide de la signature unique ou de Kerberos 235 Résolution des problèmes de gestion des préférences 236 Vous ne parvenez pas à appliquer les réglages Web par défaut 236 Vous ne parvenez pas à appliquer les réglages de courrier par défaut 236 Les utilisateurs ne voient pas de liste de groupes de travail lors de la connexion 236 Les utilisateurs ne parviennent pas à ouvrir des fichiers 237 Les utilisateurs ne parviennent pas à ajouter des imprimantes à la liste d’imprimantes 237 Les éléments d’ouverture ajoutés par un utilisateur ne s’ouvrent pas 238 Les éléments du Dock placés par un utilisateur sont manquants 238 Le Dock d’un utilisateur comporte des éléments en double 238 Un point d’interrogation apparaît dans le Dock des utilisateurs 239 Un message d’erreur inattendue est affiché à l’intention des utilisateurs Annexe A 241 Importation et exportation d’informations de compte 241 Quels sont les éléments que l’on peut exporter et importer 243 Utilisation du Gestionnaire de groupe de travail pour importer des utilisateurs et des groupes 244 Utilisation du Gestionnaire de groupe de travail pour exporter des utilisateurs et des groupes 245 Utilisation de dsimport pour importer des utilisateurs et des groupes 245 Utilisation de fichiers XML créés avec Mac OS X Server 10.1 ou antérieur 246 Utilisation de fichiers XML créés avec AppleShare IP 6.3 247 Utilisation de fichiers délimités par des caractères 247 Écriture d’une description d’enregistrement Annexe B 251 Autorisations de liste ACL et adhésions de groupe via GUID 251 Rôle des GUID 252 Les listes de contrôle d’accès ACL complètent les autorisations POSIX 252 Identifiants GUID et groupes F0170.book Page 11 Monday, May 2, 2005 12:37 PM12 Table des matières 253 Autorisations et synchronisation de fichiers 253 Interopérabilité des identifiants de sécurité SID et de Windows 253 Importation et exportation d’utilisateurs Glossaire 255 Index 267 F0170.book Page 12 Monday, May 2, 2005 12:37 PM 13 Préface À propos de ce guide Ce guide vous explique comment utiliser le Gestionnaire de groupe de travail pour configurer et gérer les répertoires de départ, les comptes, les préférences et les réglages de vos clients. Nouveautés de la version 10.4 • Répertoires de départ portables. Les utilisateurs équipés d’ordinateurs portables peuvent désormais bénéficier de versions synchronisées de leurs dossiers de répertoire de départ local et en réseau. Les répertoires de départ portables synchronisent le contenu sélectionné entre le répertoire de départ local et le répertoire de départ réseau, en prenant en compte la version la plus récente des fichiers. • Liaison de répertoire sécurisée. Les utilisateurs équipés d’ordinateurs portables peuvent utiliser la liaison sécurisée afin de s’assurer que les services auxquels ils accèdent lors de leurs déplacements sont sûrs. Une liaison approuvée offre à un ordinateur client un moyen de s’authentifier auprès d’un serveur LDAP et au serveur LDAP un moyen de s’authentifier auprès du client. Pour en savoir plus, consultez le chapitre 3, “Gestion des utilisateurs pour des clients mobiles” à la page 55. • Présentations de réseau gérées. Il est désormais possible de contrôler ce que les utilisateurs voient lorsqu’ils sélectionnent l’icône Réseau dans la barre latérale d’une fenêtre du Finder (ou choisissent Aller > Réseau). Une présentation de réseau gérée est constituée d’un ou plusieurs voisinages réseau, qui apparaissent dans le Finder sous forme de dossiers. Chaque dossier contient une liste de ressources que l’administrateur du serveur a associé au dossier. Les vues réseau gérées offrent un moyen efficace de présenter les ressources réseau. Vous pouvez créer plusieurs vues pour différents ordinateurs client. Étant donné que les présentations sont stockées avec Open Directory, le voisinage réseau d’un ordinateur est automatiquement disponible lorsqu’un utilisateur ouvre une session. Pour en savoir plus, consultez le chapitre 10, “Gestion des présentations de réseau” à la page 215. F0170.book Page 13 Monday, May 2, 2005 12:37 PM14 Préface À propos de ce guide • Manifestes de préférences et éditeur de préférences. Si vous souhaitez contrôler avec précision les réglages de préférences, vous pouvez utiliser le nouvel éditeur de préférences du Gestionnaire de groupe de travail qui peut utiliser des manifestes de préférences quand ils existent. Les manifestes de préférences sont des fichiers qui décrivent la structure et les valeurs des préférences d’une application ou d’un utilitaire. L’éditeur de préférences peut créer ou modifier n’importe quel fichier PLIST (fichier de préférences) ; il contient des manifestes de préférences qui décrivent avec précision les réglages de préférences qui personnalisent le comportement des applications et des utilitaires. Pour plus d’informations, consultez la section “Utilisation de l’éditeur de préférences avec les manifestes de préférences” à la page 212. • Informations de l’utilisateur. Vous pouvez saisir et modifier les données personnelles de chaque utilisateur, notamment son adresse, ses numéros de téléphone, ses noms iChat et l’adresse URL de sa page Web. L’application Carnet d’adresses peut accéder à ces informations. Pour plus d’informations, consultez la section “Utilisation des réglages d’informations pour les utilisateurs” à la page 96. Contenu de ce guide Ce guide est organisé comme suit : • le chapitre 1, “Vue d’ensemble de la gestion des utilisateurs” expose d’importants concepts, présente les outils de gestion des utilisateurs et vous indique où trouver des informations supplémentaires sur la gestion des utilisateurs et des sujets connexes ; • le chapitre 2, “Introduction à la gestion des utilisateurs” décrit comment utiliser des fonctions et des raccourcis afin d’obtenir une efficacité maximale lors de la configuration et de la maintenance des comptes et des préférences gérées ; • le chapitre 3, “Gestion des utilisateurs pour des clients mobiles” présente les éléments à prendre en compte pour gérer des ordinateurs portables ; • les chapitres 4, 5 et 6 décrivent l’utilisation du Gestionnaire de groupe de travail pour configurer les utilisateurs, les groupes et les listes d’ordinateurs ; • le chapitre 7, “Configuration des répertoires de départ” aborde la création des répertoires de départ ; • le chapitre 8, “Vue d’ensemble de la gestion des clients” présente les outils et les concepts de gestion de clients tels que la personnalisation de l’environnement de travail d’un utilisateur et l’accès aux ressources réseau ; • le chapitre 9, “Gestion des préférences” explique comment utiliser le Gestionnaire de groupe de travail pour contrôler les réglages de préférences des utilisateurs, des groupes et des ordinateurs qui utilisent Mac OS X ; • le chapitre 10, “Gestion des présentations de réseau” explique comment créer des présentations de réseau dans le Gestionnaire de groupe de travail pour personnaliser l’environnement de navigation de chaque ordinateur et contrôler le contenu du dossier Réseau situé dans le Finder de l’ordinateur concerné ; F0170.book Page 14 Monday, May 2, 2005 12:37 PMPréface À propos de ce guide 15 • le chapitre 11, “Résolution des problèmes” vous aide à résoudre les problèmes de création de compte, de maintenance des répertoires de départ, de gestion des préférences ou de configuration client, ainsi que les problèmes rencontrés par vos clients gérés ; • l’annexe A, “Importation et exportation d’informations de compte” fournit des informations utiles pour transférer les informations d’un compte de ou vers un fichier externe ; • l’annexe B, “Autorisations de liste ACL et adhésions de groupe via GUID” décrit un identifiant d’utilisateur disponible depuis la version 10.4 ; • le glossaire définit les termes utilisés dans ce guide. Remarque : étant donné qu’Apple publie régulièrement de nouvelles versions et mises à jour de ses logiciels, les illustrations de ce document peuvent être différentes de celles qui s’affichent à l’écran. Utilisation de l’aide à l’écran Si vous souhaitez manipuler des comptes, modifier des réglages de préférences, configurer de nouveaux répertoires de départ ou effectuer d’autres tâches d’administration quotidiennes, vous trouverez des instructions détaillées dans l’aide en ligne du Gestionnaire de groupe de travail. Bien que toutes ces tâches d’administration soient également décrites dans ce guide, il est parfois plus commode de les consulter à l’écran pendant que vous utilisez le serveur. Sur un ordinateur qui exécute Mac OS X Server, vous pouvez accéder à l’aide à l’écran après avoir ouvert le Gestionnaire de groupe de travail ou Admin Serveur. À partir du menu d’aide, sélectionnez l’une des options : • Aide Gestionnaire de groupe de travail ou Aide Admin Serveur affiche des informations sur l’application. • Aide Mac OS X Server affiche la page d’aide principale du serveur, à partir de laquelle vous pouvez rechercher des informations sur le serveur. • Documentation vous permet d’accéder au site www.apple.com/fr/server/documentation, à partir duquel vous pouvez télécharger la documentation du serveur. Vous pouvez également accéder à l’aide à l’écran à partir du Finder ou d’autres applications d’un serveur ou d’un ordinateur administrateur. Un ordinateur administrateur est un ordinateur Mac OS X sur lequel est installé un logiciel d’administration de serveur. Utilisez le menu Aide afin d’ouvrir Visualisation Aide, puis choisissez Bibliothèque > Aide Mac OS X Server. F0170.book Page 15 Monday, May 2, 2005 12:37 PM16 Préface À propos de ce guide Pour consulter les toutes dernières rubriques d’aide, assurez-vous que l’ordinateur serveur ou administrateur est connecté à Internet lorsque vous utilisez Visualisation Aide. Visualisation Aide extrait et met en cache automatiquement les toutes dernières rubriques d’aide sur Internet concernant le serveur. Lorsque vous n’êtes pas connecté à Internet, Visualisation Aide affiche les rubriques d’aide mises en cache. La suite Mac OS X Server La documentation de Mac OS X Server comprend une série de guides présentant les services offerts ainsi que les instructions relatives à leur configuration, leur gestion et leur dépannage. Tous les guides sont disponibles au format PDF via : www.apple.com/fr/server/documentation/ Ce guide … explique comment : Mac OS X Server Premiers contacts avec la version 10.4 ou ultérieure installer Mac OS X Server et le configurer pour la première fois. Mac OS X Server Mise à niveau et migration vers la version 10.4 ou ultérieure utiliser les données et réglages des services actuellement utilisés sur les versions antérieures du serveur. Mac OS X Server Gestion utilisateur pour la version 10.4 ou ultérieure créer et gérer les utilisateurs, groupes et listes d’ordinateurs ; configurer les préférences gérées des clients Mac OS X. Mac OS X Server Administration du service de fichiers pour la version 10.4 ou ultérieure partager des volumes ou dossiers de serveur sélectionnés parmi les clients du serveur via les protocoles suivants : AFP, NFS, FTP et SMB/CIFS. Mac OS X Server Administration du service d'impression pour la version 10.4 ou ultérieure héberger les imprimantes partagées et gérer les files d’attente et travaux d’impression associés. Mac OS X Server Administration de mises à jour de logiciels et d'images de système pour la version 10.4 ou ultérieure utiliser NetBoot et Installation en réseau pour créer des images disque à partir desquelles les ordinateurs Macintosh peuvent démarrer sur le réseau ; configurer un serveur de mise à jour de logiciels pour la mise à jour d’ordinateurs clients via le réseau. Mac OS X Server Administration du service de courrier pour la version 10.4 ou ultérieure installer, configurer et administrer les services de courrier sur le serveur. Mac OS X Server Administration de technologies Web pour la version 10.4 ou ultérieure configurer et gérer un serveur Web, dont WebDAV, WebMail, et les modules Web. Mac OS X Server Administration de services de réseaux pour la version 10.4 ou ultérieure installer, configurer et administrer DHCP, DNS, VPN, NTP, coupe-feu IP et services NAT sur le serveur. Mac OS X Server Administration d'Open Directory pour la version 10.4 ou ultérieure gérer les services de répertoires et d’authentification. F0170.book Page 16 Monday, May 2, 2005 12:37 PMPréface À propos de ce guide 17 Informations complémentaires La ressource suivante peut s’avérer utile quelle que soit votre expérience en tant qu’administrateur de réseau : Formation des clients Apple — cours en salle et autoformations afin de développer vos compétences en termes d’administration de serveur. train.apple.com/ Si vous êtes novice en gestion de serveur et de réseau Pour plus d’informations, consultez les ressources suivantes : Site Web de Mac OS X Server — passerelle vers des informations détaillées sur des produits et technologies. www.apple.com/fr/macosx/server/ Mac OS X Server Administration du Serveur Enchaînement QuickTime pour la version 10.4 ou ultérieure configurer et gérer les services d’enchaînement QuickTime. Mac OS X Server Administration des services Windows pour la version 10.4 ou ultérieure configurer et gérer des services tels que PDC, BDC, fichiers et impression pour les utilisateurs d’ordinateurs Windows. Mac OS X Server Migration à partir de Windows NT pour la version 10.4 ou ultérieure déplacer des comptes, des dossiers partagés et des services à partir de serveurs Windows NT vers Mac OS X Server. Mac OS X Server Administration du serveur d’applications Java pour la version 10.4 ou ultérieure configurer et administrer un serveur d’applications JBoss sur Mac OS X Server. Mac OS X Server Administration de la ligne de commande pour la version 10.4 ou ultérieure utiliser les commandes et les fichiers de configuration pour exécuter les tâches d’administration du serveur via l’interpréteur de commandes UNIX. Mac OS X Server Administration des services de collaboration pour la version 10.4 ou ultérieure configurer et gérer Weblog, iChat et d’autres services qui facilitent les interactions entre utilisateurs. Mac OS X Server Administration de la haute disponibilité pour la version 10.4 ou ultérieure gérer le basculement IP, l’agrégation des liens, l’équilibrage de charge et d’autres configurations matérielles et logicielles pour garantir la haute disponibilité des services Mac OS X Server. Mac OS X Server Administration d'Xgrid pour la version 10.4 ou ultérieure gérer des clusters de calcul Xserve à l’aide de l’application Xgrid. Mac OS X Server Glossaire : inclut la terminologie pour Mac OS X Server, Xserve, Xserve RAID et Xsan interpréter les termes utilisés pour les produits de serveur et les produits de stockage. Ce guide … explique comment : F0170.book Page 17 Monday, May 2, 2005 12:37 PM18 Préface À propos de ce guide Service & Support AppleCare — accédez à des centaines d’articles provenant de l’organisation d’assistance d’Apple. www.apple.com/fr/support/ Groupes de discussion Apple — moyen de partager des questions, des connaissances et des conseils avec d’autres administrateurs. discussions.info.apple.com/ Documents de référence,— publications telles que les titres ci-dessous. Ces ouvrages proposent des informations générales, des explications de concepts élémentaires et des idées pour tirer le meilleur parti de votre réseau : • Teach Yourself Networking Visually, de Paul Whitehead et Ruth Maran (Éd. IDG Books Worldwide, 1998). • Internet and Intranet Engineering, de Daniel Minoli (Éd. McGraw-Hill, 1997). Si vous êtes un administrateur de serveur chevronné Pour plus d’informations, consultez les ressources suivantes : Documents Ouvrez-moi—mises à jour importantes et informations spécifiques. Recherchez-les sur les disques du serveur. Site Web de Mac OS X Server — passerelle vers des informations détaillées sur des produits et technologies. www.apple.com/fr/macosx/server/ Service & Support AppleCare — accédez à des centaines d’articles provenant de l’organisation d’assistance d’Apple. www.apple.com/fr/support/ Groupes de discussion Apple — moyen de partager des questions, des connaissances et des conseils avec d’autres administrateurs. discussions. info.apple.com/ Répertoire de listes de diffusion Apple — abonnez-vous à des listes de diffusion afin de pouvoir communiquer par courrier électronique avec d’autres administrateurs. www.lists.apple.com/ Documents de référence — de nombreuses publications sont disponibles à partir de ressources en ligne telles que l’adresse suivante : www.ora.com Pour en savoir plus sur Apache, rendez-vous sur le site www.apache.org/. F0170.book Page 18 Monday, May 2, 2005 12:37 PM1 19 1 Vue d’ensemble de la gestion des utilisateurs Ce chapitre présente d’importants concepts de gestion des utilisateurs et décrit les applications que vous utiliserez pour gérer les comptes et les autorisations. La gestion des utilisateurs comprend toute une série de tâches allant de la configuration des comptes d’accès aux réseaux et la création de répertoires de départ à la gestion des préférences et des réglages d’utilisateur, de groupe et de liste d’ordinateurs. Mac OS X Server fournit les outils permettant d’exécuter l’ensemble de ces tâches. Outils de gestion des utilisateurs Parmi les principaux outils et applications de gestion des utilisateurs de Mac OS X Server, on trouve le Gestionnaire de groupe de travail, Admin Serveur, NetBoot et Installation en réseau. Gestionnaire de groupe de travail Le Gestionnaire de groupe de travail est un outil puissant qui offre toute une gamme de fonctions destinées à la gestion complète des clients Macintosh. Vous pouvez soit utiliser le Gestionnaire de groupe de travail directement à partir du serveur, soit l’installer indépendamment du logiciel Mac OS X Server sur un ordinateur client non serveur. Le Gestionnaire de groupe de travail fournit aux administrateurs de réseau une méthode centralisée pour gérer des stations de travail Mac OS X, contrôler l’accès aux logiciels et aux disques amovibles et garantir aux utilisateurs une expérience à la fois homogène et personnalisée, tant pour les élèves débutants d’une classe que pour des utilisateurs expérimentés travaillant dans une entreprise. F0170.book Page 19 Monday, May 2, 2005 12:37 PM20 Chapitre 1 Vue d’ensemble de la gestion des utilisateurs Le Gestionnaire de groupe de travail vous permet de créer des comptes d’utilisateur et de configurer des groupes afin d’offrir un accès aisé aux ressources. Il est possible d’ajouter et de configurer des listes d’ordinateurs afin d’autoriser ou de refuser à des utilisateurs ou des groupes l’accès à certains ordinateurs ou certaines imprimantes. Vous pouvez gérer les réglages d’utilisateur pour le courrier électronique, l’impression et les dossiers de départ. Le Gestionnaire de groupe de travail vous aide à configurer et à gérer les points de partage. Il est également possible d’utiliser les réglages de compte et les préférences gérées pour une flexibilité plus ou moins importante, en fonction du niveau de contrôle d’administration souhaité. Lorsque le Gestionnaire de groupe de travail est utilisé conjointement avec d’autres services Mac OS X Server, vous pouvez : • connecter les utilisateurs entre eux à l’aide de services tels que le courrier, le partage de fichiers, iChat et Weblog ; • partager des ressources système, telles qu’imprimantes et ordinateurs, en optimisant leur disponibilité lorsque les utilisateurs se déplacent et en veillant à ce que l’espace disque et l’utilisation des imprimantes soient partagés de façon équitable ; • personnaliser les environnements de travail, tels que les ressources de bureau et les fichiers personnels, des utilisateurs du réseau. Gestion des préférences Vous pouvez utiliser le Gestionnaire de groupe de travail de Mac OS X Server pour adapter les environnements de travail des clients Mac OS X. Les préférences que vous définissez pour des utilisateurs et des groupes individuels procurent un environnement uniforme de bureau, d’application et de réseau, quel que soit l’ordinateur Macintosh utilisé pour la connexion. Les préférences définies pour les listes d’ordinateurs permettent aux utilisateurs de disposer des mêmes conditions d’utilisation sur les ordinateurs de la liste. Pour en savoir plus sur les outils et les concepts de gestion des clients, lisez le chapitre 8, “Vue d’ensemble de la gestion des clients”. Répertoires de départ Un répertoire de départ est un dossier servant à stocker les fichiers et préférences d’un utilisateur. Les autres utilisateurs peuvent voir le répertoire de départ d’un utilisateur et lire des fichiers dans son dossier Public mais ils ne peuvent pas (par défaut) accéder à autre chose dans ce répertoire. Ceci est valable uniquement pour les utilisateurs dont les dossiers de départ figurent sur le même serveur ou point de partage. Lorsque vous créez un utilisateur dans un domaine de répertoire réseau, vous devez spécifier l’emplacement de son répertoire de départ sur le réseau. Cet emplacement est stocké dans le compte d’utilisateur et utilisé par divers services, dont la fenêtre d’ouverture de session et les services clients gérés par Mac OS X. F0170.book Page 20 Monday, May 2, 2005 12:37 PMChapitre 1 Vue d’ensemble de la gestion des utilisateurs 21 La fonctionnalité de répertoire de départ portable permet de synchroniser automatiquement (ou à la demande) le dossier de départ local et le dossier de départ réseau d’un utilisateur mobile. Il est possible également de contrôler la synchronisation via des préférences gérées. Pour plus d’informations sur les comptes mobiles, lisez le chapitre 3, “Gestion des utilisateurs pour des clients mobiles”. Réglages de courrier Pour créer le compte de service de courrier Mac OS X Server d’un utilisateur, configurez les réglages du courrier dans son compte d’utilisateur. Pour utiliser le compte de courrier électronique, il suffit à l’utilisateur de configurer un client de courrier à l’aide des réglages de courrier que vous spécifiez. Les réglages de compte de courrier vous permettent de contrôler l’accès d’un utilisateur aux services de courrier exécutés sur un ordinateur Mac OS X Server particulier. Vous pouvez également gérer des caractéristiques de compte, telles que le mode de gestion de la notification automatique des messages entrants, pour les comptes de courrier résidant sur les serveurs qui utilisent des versions de Mac OS X antérieures à 10.3. Pour plus de détails sur les réglages du service de courrier Mac OS X, consultez le guide d’administration du service de courrier. Utilisation de ressources Les quotas de disque, d’impression et de courrier peuvent être stockés dans un compte d’utilisateur. Les quotas de courrier et de disque limitent le nombre de méga-octets disponibles pour le courrier et les fichiers d’un utilisateur. Les quotas d’impression limitent le nombre de pages qu’un utilisateur peut imprimer à l’aide des services d’impression de Mac OS X Server. Les quotas d’impression peuvent également servir à désactiver complètement l’accès au service d’impression d’un utilisateur. Les réglages d’impression d’un utilisateur fonctionnent conjointement avec ceux du serveur d’impression décrits dans le guide d’administration du service d’impression. F0170.book Page 21 Monday, May 2, 2005 12:37 PM22 Chapitre 1 Vue d’ensemble de la gestion des utilisateurs Admin Serveur L’application Admin Serveur fournit l’accès à divers outils et services qui jouent un rôle dans la gestion du serveur. Ceci a un impact direct sur la gestion de l’utilisateur. Une fois que vous avez installé le logiciel Mac OS X Server, configuré les services de répertoire et mis en place votre réseau, vous pouvez commencer à créer et à gérer des comptes à l’aide du Gestionnaire de groupe de travail. Après avoir configuré des comptes et des répertoires de départ, vous pouvez utiliser Admin Serveur pour configurer des services supplémentaires et fournir le service de courrier, héberger des sites Web ou partager des imprimantes. Vous pouvez ensuite utiliser le Gestionnaire de groupe de travail pour créer des points de partage et autoriser les utilisateurs à partager des dossiers et des fichiers une fois le serveur configuré. Pour plus d’informations sur l’utilisation des outils Admin Serveur, reportez-vous aux documents figurant dans le tableau ci-dessous. Pour renseignez-vous sur dans le document attribuer des autorisations d’accès aux dossiers et fichiers d’un point de partage le gestionnaire de groupe de travail Administration des services de fichiers Mac OS X Server, version 10.4 ou ultérieure partager des imprimantes entre les utilisateurs le service d’impression Administration du service d’impression Mac OS X Server, version 10.4 ou ultérieure installer des sites Web ou la gestion WebDAV sur le serveur le service Web Administration des technologies Web de Mac OS X Server, version 10.4 ou ultérieure fournir des services de messagerie électronique aux utilisateurs le service de courrier Administration du service de courrier Mac OS X Server, version 10.4 ou ultérieure diffuser des données multimédias en temps r éel à partir du serveur le service d’enchaînement QuickTime Administration du Serveur Enchaînement QuickTime de Mac OS X Server, version 10.4 ou ultérieure fournir un système d’exploitation et des dossiers d’applications identiques aux ordinateurs clients l’Admin Serveur Mac OS X Server Administration de mises à jour de logiciels et d'images de système pour la version 10.4 ou ultérieure installer des applications sur l’ensemble d’un réseau l’installation en réseau Mac OS X Server Administration de mises à jour de logiciels et d'images de système pour la version 10.4 ou ultérieure partager des informations entre plusieurs ordinateurs Mac OS X Server ou Mac OS X les services de répertoires Administration d’Open Directory de Mac OS X Server, version 10.4 ou ultérieure F0170.book Page 22 Monday, May 2, 2005 12:37 PMChapitre 1 Vue d’ensemble de la gestion des utilisateurs 23 NetBoot Avec NetBoot, les ordinateurs Mac OS 9 et Mac OS X peuvent démarrer à partir d’une image disque système en réseau, ce qui permet de configurer rapidement et aisément des services, des salles de classe et des systèmes individuels, ainsi que de serveurs Web et d’applications sur l’ensemble d’un réseau. Lorsque vous mettez à jour des images NetBoot, tous les ordinateurs qui utilisent NetBoot ont immédiatement accès à la nouvelle configuration. Les clients Macintosh peuvent démarrer à partir d’une image disque système située sur Mac OS X Server au lieu du disque dur de l’ordinateur client. Vous pouvez configurer plusieurs images de disque NetBoot et ainsi faire démarrer des clients dans Mac OS 9 ou X, ou même personnaliser des environnements Macintosh pour différents groupes de clients. NetBoot peut simplifier l’administration et réduire la gestion normalement associée aux déploiements à grande échelle des systèmes Macintosh en réseau. NetBoot est la solution idéale pour les organisations dont bon nombre des ordinateurs client ont besoin d’être configurés de manière identique. NetBoot peut par exemple constituer une solution idéale pour un centre de données nécessitant plusieurs serveurs d’applications et serveurs Web configurés de manière identique. Avec NetBoot, les administrateurs peuvent configurer et mettre à jour les ordinateurs clients instantanément, en mettant simplement à jour une image de démarrage stockée sur le serveur. Chaque image contient le système d’exploitation et les dossiers d’application de tous les clients du serveur. Toutes les modifications apportées au serveur sont automatiquement reportées sur les clients lorsqu’ils redémarrent. Les systèmes endommagés ou altérés de quelque autre façon peuvent être restaurés de manière instantanée par simple redémarrage. Il existe plusieurs autres applications d’administration NetBoot : • NetBoot Desktop Admin (pour la modification des images Mac OS 9) • Utilitaire d’images de système (pour la création et la modification d’images Mac OS X) • DHCP et NetBoot (utilisés ensemble pour enregistrer des images NetBoot) Pour en savoir plus sur ces outils ou sur l’installation d’un système d’exploitation sur l’ensemble d’un réseau, lisez le guide d’administration des images système et de mise à jour de logiciels. F0170.book Page 23 Monday, May 2, 2005 12:37 PM24 Chapitre 1 Vue d’ensemble de la gestion des utilisateurs Installation en réseau L’application Installation en réseau est un service d’installation de logiciels de réseau centralisé. Grâce à elle, vous pouvez, de manière automatique et sélective, installer, restaurer ou mettre à jour des systèmes Macintosh en réseau, où que ce soit dans une structure. Utilisez PackageMaker (accès via Xcode) pour créer des paquets d’Installation en réseau. Les images d’installation peuvent contenir la dernière version de Mac OS X, une mise à jour de logiciels, des applications personnalisées ou dotées d’une licence de site et des scripts de configuration. • Installation en réseau est la solution idéale pour la migration de systèmes d’exploitation, l’installation de mises à jour de logiciels et de progiciels personnalisés, la restauration de salles d’informatique ainsi que pour réimager des ordinateurs de bureau ou portables. • Dans une structure, vous pouvez définir des images d’installation personnalisées pour divers départements :marketing, ingénierie et ventes par exemple. Avec Installation réseau, inutile d’insérer plusieurs CD pour configurer un système. L’ensemble des fichiers et des paquets d’installation se trouvent sur le serveur et sont installés en une fois sur l’ordinateur client. Installation réseau contient aussi des scripts de pré et post-installation servant à invoquer des actions avant ou après l’installation d’un ensemble de logiciels ou d’une image système. Pour en savoir plus sur l’utilisation d’Installation réseau, lisez le guide d’administration des images système et de mise à jour de logiciels. Comptes Vous pouvez configurer trois types de comptes à l’aide du Gestionnaire de groupe de travail : comptes d’utilisateur, comptes de groupe et listes d’ordinateurs. Lorsque vous définissez un compte d’utilisateur, vous devez fournir les informations nécessaires pour prouver l’identité de l’utilisateur : nom d’utilisateur, mot de passe et numéro d’identification d’utilisateur (ID utilisateur) D’autres informations de compte d’utilisateur sont requises par plusieurs services afin de déterminer ce que l’utilisateur a le droit de faire et de personnaliser éventuellement son environnement. Outre les comptes que vous créez, Mac OS X Server dispose de comptes d’utilisateur et de comptes de groupe prédéfinis, certains étant réservés au système Mac OS X. F0170.book Page 24 Monday, May 2, 2005 12:37 PMChapitre 1 Vue d’ensemble de la gestion des utilisateurs 25 Comptes d’administrateur Les utilisateurs dotés d’autorisations d’administration de serveur ou de domaine de répertoires sont appelés administrateurs. Un administrateur peut être administrateur de serveur ou de domaine ou les deux à la fois. Les autorisations d’administrateur de serveur déterminent si l’utilisateur est autorisé à accéder aux informations sur les réglages d’un serveur donné ou à modifier ces réglages. Les autorisations d’administrateur de domaine déterminent dans quelle mesure l’utilisateur est autorisé à voir ou à modifier les réglages de compte des utilisateurs, des groupes et des listes d’ordinateurs du domaine de répertoires. Administration du serveur Les autorisations d’administration de serveur déterminent les pouvoirs dont dispose un utilisateur lorsqu’il est connecté à un Mac OS X Server spécifique. Par exemple : • Un administrateur de serveur peut utiliser Admin Serveur et modifier la politique de recherche d’un serveur à l’aide de Format de répertoire. • Un administrateur de serveur ne voit pas seulement les points de partage, il peut également voir tous les répertoires AFP sur le serveur (depuis un ordinateur autre que le serveur). Lorsque vous attribuez des autorisations d’administration de serveur à un utilisateur, ce dernier est ajouté au groupe prédéfini appelé “admin” dans le domaine de répertoire local du serveur. De nombreuses applications Mac OS X, telles qu’Admin Serveur, Format de répertoire et Préférences Système, utilisent le groupe admin pour déterminer si un utilisateur donné peut réaliser certaines opérations d’administration à l’aide de l’une d’entre elles. Dans le répertoire local du serveur, l’identifiant d’utilisateur de l’administrateur principal (l’utilisateur admin) est 501. Administration d’ordinateurs Mac OS X locaux Quiconque appartenant au groupe “admin” du domaine de répertoires local de tout ordinateur Mac OS X bénéficie de droits d’administration sur cet ordinateur. Administration de domaines de répertoires Lorsque vous créez un domaine de répertoires dans Mac OS X Server, un compte d’administrateur de domaine est également créé et ajouté au groupe admin du domaine. L’identifiant d’utilisateur par défaut de l’administrateur de domaine est 1000 lorsque la zone de dialogue de création du compte s’affiche ; c’est également dans cette zone de dialogue que vous devez choisir vos nom et mot de passe. Le compte d’administrateur de domaine est également un compte d’administrateur de serveur, mais l’administrateur de serveur n’est pas un administrateur de domaine par défaut. Chaque répertoire dispose d’un compte d’administrateur de domaine indépendant et un administrateur de domaine peut créer des administrateurs supplémentaires dans le même domaine. F0170.book Page 25 Monday, May 2, 2005 12:37 PM26 Chapitre 1 Vue d’ensemble de la gestion des utilisateurs Vous pouvez autoriser certains utilisateurs à gérer des comptes spécifiques. Par exemple, vous pouvez faire d’un administrateur de réseau l’administrateur de tous les serveurs de votre salle de classe, mais donner à chaque professeur les autorisations pour gérer les comptes d’étudiant dans des domaines de répertoires spécifiques. Tout utilisateur disposant d’un compte d’utilisateur dans un domaine de répertoires peut être nommé administrateur de domaine de répertoires (administrateur de ce domaine). Vous pouvez contrôler dans quelle mesure un administrateur de domaine de répertoire peut modifier les données de compte stockées dans un domaine. Vous pouvez, par exemple, configurer des autorisations de domaine de répertoire afin que votre administrateur de réseau puisse ajouter et supprimer des comptes d’utilisateur, mais que d’autres utilisateurs puissent modifier les informations concernant des utilisateurs particuliers. Vous pouvez également désigner plusieurs administrateurs pour gérer différents groupes. Lorsque vous attribuez des autorisations d’administration de domaine de répertoires à un utilisateur, cet utilisateur est ajouté au groupe d’administration du serveur sur lequel est situé le domaine de répertoires. Utilisateurs et utilisateurs gérés En fonction de la configuration de votre serveur et de vos comptes d’utilisateur, les utilisateurs peuvent se connecter à l’aide d’ordinateurs Mac OS 9 et Mac OS X, Windows ou UNIX et être pris en charge par Mac OS X Server. La plupart des utilisateurs disposent d’un compte individuel qui sert à les authentifier et à contrôler leur accès aux services. Si vous souhaitez personnaliser l’environnement d’un utilisateur, vous devez définir des préférences d’utilisateur, de groupe ou d’ordinateur pour cet utilisateur. Le terme client géré ou utilisateur géré désigne un utilisateur dont les préférences associées à son compte sont contrôlées par un administrateur. Le terme client géré est également utilisé pour désigner des listes d’ordinateurs dont les préférences ont été définies. Lorsqu’un utilisateur géré ouvre une session, les préférences qui prennent effet sont une combinaison de ses préférences d’utilisateur et des préférences configurées pour tout groupe de travail ou toute liste d’ordinateurs auxquels il appartient. Pour obtenir des informations sur les utilisateurs gérés, consultez le chapitre 9, “Gestion des préférences”, à la page 157. Utilisateurs invités Vous serez amené à fournir des services à des personnes anonymes, qui ne peuvent être authentifiées car elles ne disposent pas d’un nom d’utilisateur et d’un mot de passe valides. Ces utilisateurs sont appelés utilisateurs invités. F0170.book Page 26 Monday, May 2, 2005 12:37 PMChapitre 1 Vue d’ensemble de la gestion des utilisateurs 27 Certains services, par exemple AFP, vous permettent de spécifier si vous souhaitez que les utilisateurs invités puissent accéder aux fichiers. Si vous permettez l’accès aux invités, les utilisateurs se connectant de façon anonyme ne pourront accéder qu’aux fichiers et dossiers dont les autorisations sont réglées sur Tous. Le compte d’utilisateur invité est utilisé lorsqu’aucun enregistrement d’utilisateur concordant n’est trouvé pendant l’authentification. Groupes, groupes principaux et groupes de travail Un groupe consiste simplement en un ensemble d’utilisateurs ayant des besoins similaires. Vous pouvez, par exemple, constituer un seul groupe avec tous vos professeurs d’anglais et lui donner des autorisations d’accès à certains fichiers ou dossiers d’un volume. Les groupes simplifient l’administration des ressources partagées. Plutôt que d’accorder individuellement l’accès de diverses ressources à chaque utilisateur qui en a besoin, vous pouvez tout simplement ajouter les utilisateurs à un groupe et accorder l’accès à tous les utilisateurs de ce groupe. Les informations des comptes de groupe sont utilisées pour aider à contrôler l’accès des utilisateurs aux répertoires et aux fichiers. Consultez “Accès par d’autres utilisateurs aux répertoires et fichiers” à la page 32 pour en savoir plus à ce sujet. Les groupes peuvent en outre être imbriqués dans d’autres groupes. Un groupe peut, par exemple, faire partie d’un autre groupe. Un groupe qui contient un autre groupe est appelé “groupe parent” ; le groupe inclus est appelé “groupe imbriqué”. Les groupes imbriqués permettent d’hériter d’autorisations d’accès et de préférences gérées à l’ouverture de session. Dossiers de groupe Lorsque vous définissez un groupe, vous pouvez également spécifier un dossier pour le stockage des fichiers que vous souhaitez voir partagés par les membres du groupe. L’emplacement du dossier est enregistré dans le compte du groupe. Vous pouvez attribuer à un utilisateur donné une autorisation en écriture sur un dossier de groupe ou l’autoriser à modifier les attributs d’un dossier de groupe dans le Finder. Goupes de travail Un groupe pour lequel vous définissez des préférences est appelé groupe de travail. Un groupe de travail vous permet de gérer l’environnement de travail des membres de ce groupe. Toute préférence définie pour un groupe de travail Mac OS X est stockée dans le compte de groupe. Pour obtenir une description des préférences de groupe de travail, consultez le chapitre 9, “Gestion des préférences”, à la page 157. F0170.book Page 27 Monday, May 2, 2005 12:37 PM28 Chapitre 1 Vue d’ensemble de la gestion des utilisateurs Listes d’ordinateurs Une liste d’ordinateurs comprend un ou plusieurs ordinateurs possédant les mêmes réglages de préférence et disponibles pour des utilisateurs et des groupes particuliers. Vous pouvez créer et modifier des listes d’ordinateurs dans le Gestionnaire de groupe de travail. Pour en savoir plus sur la configuration de listes d’ordinateurs pour des ordinateurs clients Mac OS X, consultez le chapitre 6, “Configuration de listes d’ordinateurs” Pour spécifier les préférences des listes d’ordinateurs Mac OS X, consultez le chapitre 9, “Gestion des préférences”. Ordinateurs hôtes La plupart des ordinateurs de votre réseau sont répertoriés dans une liste d’ordinateurs dotée d’un nom. Si un ordinateur inconnu (ne figurant pas sur une liste d’ordinateurs) se connecte à votre réseau et tente d’accéder à des services, il doit être traité en tant qu’ordinateur hôte. Les réglages choisis pour la liste d’ordinateurs hôtes s’appliquent à ces ordinateurs inconnus. Une liste d’ordinateurs hôtes est automatiquement créée pour un domaine de répertoires local de serveur. Si le serveur est un maître ou une réplique Open Directory, une liste d’ordinateurs hôtes est également créée pour son domaine de répertoires LDAP. Utilisation côté utilisateur Une fois que vous avez créé un compte d’utilisateur, ce dernier peut accéder aux ressources du serveur en fonction des autorisations que vous lui avez accordées. Pour la plupart des utilisateurs, le flux habituel d’événements allant de la connexion à la déconnexion se déroule comme suit : • Authentification L’utilisateur saisit un nom et un mot de passe. • Validation de l’identité Le nom d’utilisateur et le mot de passe sont vérifiés par les services de répertoires. • Ouverture de session L’utilisateur obtient le droit d’accéder au serveur et aux ressources réseau. • Accès L’utilisateur se connecte aux serveurs, aux points de partage et aux applications autorisés afin de les utiliser. • Fermeture de session La session de l’utilisateur est terminée. Les détails de l’expérience d’utilisateur peuvent varier selon le type d’utilisateur, les autorisations accordées, le type d’ordinateur client (Windows ou UNIX, par exemple) utilisé, le fait que l’utilisateur est membre d’un groupe ou non, ainsi que le niveau d’implémentation de la gestion des préférences (utilisateur, groupe ou ordinateur). F0170.book Page 28 Monday, May 2, 2005 12:37 PMChapitre 1 Vue d’ensemble de la gestion des utilisateurs 29 Vous trouverez des informations sur l’expérience d’utilisateur Mac OS X au chapitre 8, “Vue d’ensemble de la gestion des clients”. Les informations de base sur l’authentification, la validation du mot de passe et le contrôle de l’accès aux informations sont données dans les sections suivantes. Pour obtenir des informations détaillées sur ces sujets, lisez le guide d’administration des services de fichiers. Authentification Avant qu’un utilisateur ne puisse ouvrir une session ou se connecter sur un ordinateur Mac OS X, il doit entrer un nom et un mot de passe associés à un compte d’utilisateur identifiable par l’ordinateur. Un ordinateur Mac OS X peut situer des comptes d’utilisateur stockés dans un domaine de répertoires de la politique de recherche. • Un domaine de répertoire conserve des informations sur les utilisateurs et les ressources. Il est similaire à une base de données à laquelle la configuration d’un ordinateur prévoit un accès en vue de recueillir des informations de configuration. • Une politique de recherche est une liste de domaines de répertoires dans laquelle l’ordinateur procède à des recherches lorsqu’il a besoin d’informations de configuration, en commençant par le domaine de répertoires local situé sur l’ordinateur de l’utilisateur. Le guide d’administration Open Directory décrit les différents types de domaines de répertoires et explique la configuration des politiques de recherche sur tout ordinateur Mac OS X. Il détaille également différents types de méthodes et d’instructions d’authentification pour la configuration des options d’authentification de l’utilisateur. L’illustration suivante montre un utilisateur qui ouvre une session sur un ordinateur Mac OS X capable de situer le compte de cet utilisateur dans un domaine de répertoires de sa politique de recherche. Se connecter à Mac OS X Domaines de répertoires dans la politique de recherche F0170.book Page 29 Monday, May 2, 2005 12:37 PM30 Chapitre 1 Vue d’ensemble de la gestion des utilisateurs Après connexion, l’utilisateur peut se connecter à un ordinateur Mac OS X distant si son compte d’utilisateur peut être repéré dans la politique de recherche de cet ordinateur distant. Si Mac OS X localise un compte d’utilisateur contenant le nom saisi par l’utilisateur, il tente de valider le mot de passe associé au compte. Si le mot de passe est validé, l’utilisateur est authentifié et le processus de connexion terminé. Une fois sa session ouverte sur l’ordinateur Mac OS X, l’utilisateur peut accéder à l’ensemble des ressources définies dans les répertoires compris dans le chemin de recherche de son ordinateur, notamment les répertoires de départ, les imprimantes et les points de partage. Un point de partage est un disque dur (ou une partition de disque dur), un CD-ROM ou un dossier qui contient les fichiers que vous souhaitez voir partagés entre les utilisateurs. Les utilisateurs peuvent accéder à leur répertoire de départ en cliquant sur leur dossier de départ dans une fenêtre du Finder ou en choisissant Départ dans le menu Aller du Finder. L’utilisateur n’est toutefois pas obligé de se connecter à un serveur pour accéder aux ressources réseau. Par exemple, lorsqu’un utilisateur se connecte à un ordinateur Mac OS X, il peut accéder aux fichiers pour lesquels il dispose d’une autorisation d’accès sur l’ordinateur, même si le système de fichiers l’invite à saisir au préalable un nom et un mot de passe d’utilisateur. Lorsqu’un utilisateur accède aux ressources publiques d’un serveur sans avoir ouvert de session sur le serveur, c’est la politique de recherche de l’ordinateur de l’utilisateur qui est appliquée et non celle de l’ordinateur auquel l’utilisateur s’est connecté. Domaines de répertoires dans la politique de recherche Se connecter à Mac OS X Server F0170.book Page 30 Monday, May 2, 2005 12:37 PMChapitre 1 Vue d’ensemble de la gestion des utilisateurs 31 Validation de l’identité Lors de la procédure d’authentification d’un utilisateur, Mac OS X commence par repérer le compte de cet utilisateur, puis recourt à la stratégie de mot de passe désignée dans ce compte pour valider le mot de passe. Open Directory vous offre plusieurs options de validation du mot de passe d’un utilisateur. Pour obtenir des informations détaillées sur les options de validation de mot de passe, lisez le guide d’administration Open Directory. Contrôle de l’accès aux informations Voici les autorisations que vous pouvez spécifier pour chaque répertoire (dossier) ou fichier d’un ordinateur Mac OS X : • le propriétaire du fichier ; • le groupe du fichier ; • tous les autres. Mac OS X utilise une donnée particulière de compte d’utilisateur, l’identifiant d’utilisateur, pour effectuer le suivi des autorisations d’accès aux répertoires et aux fichiers. Compte de l'utilisateur Le mot de passe peut être validé à l'aide de la valeur stockée dans le compte de l'utilisateur ou dans la base de données d'authentification Open Directory. Le mot de passe peut également être validé à l'aide d'une autre autorité d'authentification. Centre de distribution de clés Kerberos Liaison LDAP Authentification Open Directory Possesseur 127 : lecture et écriture Groupe 2017 : lecture seulement Autres : aucun MonDoc F0170.book Page 31 Monday, May 2, 2005 12:37 PM32 Chapitre 1 Vue d’ensemble de la gestion des utilisateurs Accès de propriétaire à des répertoires et des fichiers Lorsqu’un répertoire ou un fichier est créé, le système de fichiers stocke l’identifiant de l’utilisateur qui l’a créé. Si un utilisateur doté de cet identifiant accède au répertoire ou au fichier, il dispose par défaut d’autorisations de lecture et d’écriture pour l’élément concerné. De plus, tous les processus initiés par le créateur disposent d’autorisations de lecture et d’écriture pour tous les fichiers associés à l’identifiant d’utilisateur du créateur. Si vous modifiez l’identifiant d’un utilisateur, ce dernier risque de ne plus pouvoir modifier ni même accéder aux fichiers et répertoires qu’il a créés. De même, si l’utilisateur ouvre une session avec un identifiant différent de celui qu’il a utilisé pour créer les fichiers et répertoires, il n’aura plus d’autorisations d’accès de propriétaire à ces derniers. Accès par d’autres utilisateurs aux répertoires et fichiers L’identifiant d’utilisateur, en association avec un identifiant de groupe, est également utilisé pour contrôler l’accès des utilisateurs membres de groupes particuliers ou de groupes parents. Chaque utilisateur appartient à un groupe principal. L’identifiant de groupe principal d’un utilisateur est enregistré dans le compte de l’utilisateur. Lorsqu’un utilisateur accède à un répertoire ou à un fichier dont il n’est pas le propriétaire, le système de fichiers vérifie les autorisations de groupe de ce fichier. • Si l’identifiant de groupe principal de l’utilisateur correspond à l’identifiant du groupe associé au fichier, l’utilisateur hérite des autorisations d’accès du groupe. • Si l’identifiant de groupe principal de l’utilisateur ne correspond pas à l’identifiant de groupe du fichier, Mac OS X recherche le compte de groupe qui possède des autorisations d’accès. Le compte de groupe contient une liste des noms abrégés des utilisateurs membres du groupe. Le système de fichiers fait correspondre chaque nom abrégé du compte de groupe à un identifiant d’utilisateur et, si l’identifiant de l’utilisateur correspond à l’identifiant d’un membre du groupe, l’utilisateur bénéficie des autorisations d’accès du groupe pour le fichier ou le répertoire. • Si l’identifiant de groupe principal de l’utilisateur (ou l’identifiant d’un groupe parent) correspond à l’identifiant du groupe associé au fichier (ou à un groupe parent), l’utilisateur hérite des autorisations d’accès de groupe. • Pour tous les autres cas, l’accès de l’utilisateur est réglé par défaut sur les autorisations génériques “tout le monde/monde”. Identifiants uniques globaux (GUID) Disponible depuis Mac OS X 10.4, l’identifiant universel appelé identifiant unique global (GUID) fournit à l’utilisateur et au groupe une identité pour les autorisations ACL. Le GUID associe également un utilisateur à des adhésions de groupe et de groupe imbriqué. Vous trouverez des informations sur les GUID et leurs implications à l’Annexe B. F0170.book Page 32 Monday, May 2, 2005 12:37 PM2 33 2 Introduction à la gestion des utilisateurs Ce chapitre fournit des informations sur la configuration d’un environnement de gestion des utilisateurs. Il contient des directives générales pour la planification, ainsi que des astuces pour l’utilisation du Gestionnaire de groupe de travail, le principal outil de gestion des utilisateurs : • Une présentation générale de la configuration est proposée ci-après. • La planification des stratégies de gestion des utilisateurs est décrite à partir de la page 40. • Les instructions d’utilisation du Gestionnaire de groupe de travail sont décrites à partir de la page 44. • Les instructions pour le listage et la recherche de comptes dans le Gestionnaire de groupe de travail sont décrites à partir de la page 47. • Les raccourcis pour l’utilisation de comptes sont décrits à partir de la page 52. • La sauvegarde et la restauration des fichiers de gestion des utilisateurs sont décrites à partir de la page 53. Présentation générale de la configuration Cette section fournit une présentation générale des tâches de configuration de la gestion des utilisateurs, afin de vous aider à comprendre l’ordre dans lequel un administrateur doit créer un environnement géré. Toutes les étapes décrites ne seront pas nécessaires dans tous les cas : • Étape 1 : Élaboration d’un programme avant de commencer • Étape 2 : Configuration de l’infrastructure du serveur • Étape 3 : Configuration d’un ordinateur administrateur • Étape 4 : Configuration d’un point de partage de répertoire de départ • Étape 5 : Création de comptes d’utilisateur et de répertoires de départ • Étape 6 : Configuration des ordinateurs clients • Étape 7 :Définition des préférences de comptes d’utilisateur • Étape 8 : Création des comptes de groupe et des dossiers de groupe • Étape 9 :Définition des préférences de comptes de groupe • Étape 10 :Définition des listes et des préférences d’ordinateurs • Étape 11 : Plan de maintenance continue des comptes F0170.book Page 33 Monday, May 2, 2005 12:37 PM34 Chapitre 2 Introduction à la gestion des utilisateurs Étape 1 : Élaboration d’un programme avant de commencer Analysez les besoins de vos utilisateurs pour déterminer la configuration de service de répertoires et la configuration de répertoire de départ appropriées. Consultez la section “Programmation de stratégies pour la gestion des utilisateurs” à la page 40. Étape 2 : Configuration de l’infrastructure du serveur Assurez-vous qu’un ou plusieurs serveurs Mac OS X Server sont configurés pour l’hébergement de comptes d’utilisateur, de comptes de groupe, de listes d’ordinateurs, de répertoires de départ, de dossiers de groupe et d’autres dossiers partagés. Les nouveaux serveurs sont livrés avec les logiciels Mac OS X Server préinstallés. Utilisez Assistant du serveur (situé dans /Applications/Server/) pour procéder à la configuration initiale du serveur. Si vous devez installer des logiciels de serveur, utilisez d’abord le guide Premiers contacts pour comprendre la configuration système requise et les options d’installation. Configurez le serveur pour qu’il héberge des domaines de répertoires partagés ou donne accès à ces derniers. Les domaines de répertoires partagés (appelés également répertoires partagés) contiennent les informations d’utilisateurs, de groupes et d’ordinateurs auxquelles vous souhaitez que de nombreux ordinateurs puissent accéder. Les utilisateurs dont les comptes se trouvent dans un répertoire partagé sont appelés utilisateurs réseau. Il existe différents types de répertoires partagés et différentes manières d’utiliser les informations qui y sont stockées. Vous pouvez utiliser le Gestionnaire de groupe de travail pour ajouter et modifier des comptes d’utilisateur et de groupe qui sont stockés dans le répertoire LDAP d’un maître Open Directory, dans un domaine NetInfo ou dans d’autres domaines de répertoires en lecture/écriture. Si vous utilisez des fichiers de configuration LDAPv2, LDAPv3 en lecture seule, BSD ou d’autres répertoires en lecture seule, assurez-vous qu’ils sont configurés pour gérer l’accès à Mac OS X Server et fournissent les données dont vous avez besoin pour les comptes d’utilisateur et de groupe. Il sera peut-être nécessaire d’ajouter, de modifier ou de réorganiser les informations dans un répertoire afin qu’elles soient au format requis. Le guide d’administration d’Open Directory contient des instructions pour la configuration d’un répertoire partagé sous Mac OS X Server ou la configuration de l’accès à un répertoire partagé sur un autre ordinateur. L’une des annexes du guide d’administration d’Open Directory décrit les formats de données de compte reconnus par Mac OS X (informations utiles si vous devez utiliser des répertoires qui ne résident pas sur des ordinateurs Mac OS X Server). F0170.book Page 34 Monday, May 2, 2005 12:37 PMChapitre 2 Introduction à la gestion des utilisateurs 35 Si certains de vos utilisateurs utilisent des ordinateurs Windows, consultez le guide d’administration des services Windows pour apprendre comment configurer le serveur pour la gestion d’utilisateurs, de groupes et d’ordinateurs Windows. Le guide d’administration des services Windows décrit, par exemple, comment configurer des comptes d’utilisateur dans un domaine de répertoires Mac OS X Server pour que le serveur puisse fournir des services de fichiers, la connexion au domaine et des répertoires de départ aux utilisateurs Windows. Open Directory offre plusieurs options d’authentification des utilisateurs (y compris des utilisateurs Windows) dont les comptes sont stockés dans des domaines de répertoires sur Mac OS X Server. Open Directory peut en outre accéder à des comptes qui se trouvent dans des répertoires existants sur votre réseau, tels qu’Active Directory sur un serveur Windows. Consultez le guide d’administration Open Directory pour obtenir des instructions sur la configuration. Mac OS X Server rend les ressources importantes visibles sur le réseau. Ces ressources comprennent les répertoires de départ réseau, les dossiers de groupe et d’autres dossiers partagés. Comme ces dossiers résident sur le serveur, les utilisateurs peuvent y accéder à partir de différents ordinateurs. Pour obtenir des informations sur la configuration des services de fichiers qui conviennent au partage de fichiers que vous souhaitez implémenter, consultez le guide d’administration des services de fichiers. Vous pouvez utiliser AFP ou NFS pour les répertoires de départ, AFP pour les dossiers de groupe et divers protocoles (AFP, Windows, NFS et FTP) pour les autres dossiers partagés. Étape 3 : Configuration d’un ordinateur administrateur Comme les serveurs sont installés dans un lieu sûr et verrouillé, les administrateurs effectuent les tâches de gestion d’utilisateurs à distance, à partir de n’importe quel ordinateur Mac OS X exécutant la version 10.4 ou ultérieure. Nous appellerons cet ordinateur l’ordinateur administrateur. Pour configurer un ordinateur administrateur : 1 Procurez-vous un ordinateur sur lequel Mac OS X 10.4 ou ultérieur est installé. Assurez-vous qu’il dispose d’au moins 256 Mo de mémoire RAM et de 1 Go d’espace disque disponible. 2 Introduisez le disque Mac OS X Server Administration Tools dans le lecteur, puis démarrez le programme d’installation (ServerAdmin.pkg). 3 Suivez les instructions à l’écran. F0170.book Page 35 Monday, May 2, 2005 12:37 PM36 Chapitre 2 Introduction à la gestion des utilisateurs 4 Si vous devez gérer des préférences qui utilisent des chemins d’accès spécifiques pour la recherche des fichiers (telles les préférences Classic et Dock), assurez-vous que l’ordinateur administrateur possède la même structure de système de fichiers que tous les ordinateurs clients gérés. En d’autres termes, les noms de dossiers, les disques, l’emplacement des applications, etc. devront être identiques. Pour pouvoir utiliser l’ordinateur administrateur afin de créer et gérer des comptes dans un répertoire partagé, vous devez disposer d’un compte d’utilisateur dans le répertoire partagé et vous devez être un administrateur de domaine. Un administrateur de domaine peut utiliser le Gestionnaire de groupe de travail pour ajouter et modifier des comptes qui se trouvent dans le répertoire LDAP d’un maître Open Directory, dans un domaine NetInfo ou dans un autre domaine de répertoires en lecture/écriture. Pour créer un compte d’administrateur de domaine : 1 Sur l’ordinateur administrateur, ouvrez Gestionnaire de groupe de travail, authentifiezvous comme l’administrateur créé lors de la configuration initiale du serveur. 2 Accédez au répertoire partagé en cliquant sur le globe qui se trouve au-dessus de la liste des comptes. Choisissez le répertoire souhaité. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Cliquez sur Nouvel utilisateur. 4 Cliquez sur Élémentaire pour fournir des informations élémentaires pour l’administrateur. 5 Pour attribuer d’autres responsabilités à l’administrateur de domaine, comme par exemple la configuration des services de fichiers pour la gestion des dossiers partagés, sélectionnez “L’utilisateur peut administrer ce domaine”. Une fois que vous avez coché la case, une zone de dialogue apparaît dans laquelle vous pouvez désactiver certaines autorisations pour le compte d’administrateur. Pour plus d’informations, consultez la section “Attributions de droits d’administrateur pour un domaine de répertoire” à la page 83. 6 Cliquer sur Enregistrer. Les étapes restantes peuvent être exécutées par l’administrateur de domaine à partir de l’ordinateur administrateur. Étape 4 : Configuration d’un point de partage de répertoire de départ Les répertoires de départ des comptes stockés dans des répertoires partagés peuvent résider dans un point de partage réseau auquel l’ordinateur de l’utilisateur peut accéder. Le point de partage doit être montable automatiquement, c’est-à-dire qu’il doit y avoir un enregistrement de montage de réseau dans le domaine de répertoires où réside le compte d’utilisateur. F0170.book Page 36 Monday, May 2, 2005 12:37 PMChapitre 2 Introduction à la gestion des utilisateurs 37 Un point de partage montable automatiquement garantit que le répertoire de départ est automatiquement visible dans /Network/Servers quand l’utilisateur se connecte à un ordinateur Mac OS X configuré pour pouvoir accéder au répertoire partagé. Il permet aussi à d’autres utilisateurs d’accéder au répertoire de départ à l’aide du raccourci ~ nom-répertoire-départ. Vous pouvez configurer des répertoires de départ réseau pour qu’ils soient accessibles via AFP ou NFS. Vous pouvez également configurer des répertoires de départ pour les utilisateurs Windows : • Pour obtenir des instructions sur la configuration de points de partage AFP ou NFS pour des répertoires de départ réseau destinés à des utilisateurs Macintosh, consultez le chapitre 7, “Configuration des répertoires de départ”. • Pour obtenir des informations sur la configuration de points de partage SMB/CIFS destinés à des répertoires de départ d’utilisateurs Windows, consultez le guide d’administration des services Windows. Étape 5 : Création de comptes d’utilisateur et de répertoires de départ Vous pouvez utiliser le Gestionnaire de groupe de travail pour créer des comptes d’utilisateur dans des répertoires qui résident sur un ordinateur Mac OS X Server et dans des répertoires non LDAP qui ne sont pas en lecture seule. Des instructions détaillées sont disponibles à divers endroits du présent guide : • Pour obtenir des informations sur la manière de créer des comptes d’utilisateur Mac OS X, consultez le chapitre 4, “Configuration des comptes d’utilisateur”. • Pour obtenir des informations sur la création de comptes d’utilisateur mobiles Mac OS X, consultez le chapitre 3, “Gestion des utilisateurs pour des clients mobiles”. • Pour obtenir des informations sur les répertoires de départ, consultez le chapitre 7, “Configuration des répertoires de départ”. • Pour obtenir des informations sur l’utilisation de comptes en lecture seule, consultez la section “Utilisation de comptes d’utilisateur en lecture seule” à la page 70. Vous pouvez également créer des comptes sous Mac OS X Server pour gérer des utilisateurs Windows et fournir la connexion aux domaines Windows, des profils d’utilisateurs itinérants, des répertoires de départ, le service de fichiers, le service de courrier, etc. Pour obtenir des instructions, consultez le guide d’administration des services Windows. Étape 6 : Configuration d’ordinateurs clients Mac OS X Server peut gérer des utilisateurs de Mac OS X, de Mac OS 9 ou d’ordinateurs clients Windows. F0170.book Page 37 Monday, May 2, 2005 12:37 PM38 Chapitre 2 Introduction à la gestion des utilisateurs Pour les ordinateurs Mac OS X, configurez la politique de recherche de l’ordinateur pour qu’il puisse localiser les domaines de répertoires partagés. Pour obtenir des instructions et des informations complémentaires sur les politiques de recherche dans l’aide à l’écran, consultez le guide d’administration d’Open Directory. Utilisez l’option d’authentification automatique si vous avez configuré un serveur DHCP pour identifier l’emplacement du répertoire partagé lorsqu’il fournit une adresse IP aux ordinateurs clients Mac OS X. Sinon, utilisez l’option Chemin personnalisé pour identifier le serveur qui héberge le répertoire partagé. Pour obtenir des instructions de configuration d’ordinateurs Mac OS X mobiles qui utilisent AirPort pour communiquer avec Mac OS X Server, consultez le document Création de réseaux AirPort Extreme (accessible à l’adresse www.apple.com/fr/airport/). Les stations de travail Windows qui sont utilisées pour la connexion aux domaines Windows doivent se connecter au contrôleur de domaine principal Mac OS X Server de la même manière que les stations de travail qui se connectent au domaine d’un serveur Windows NT, comme l’explique le guide d’administration des services Windows. Si vous devez configurer un grand nombre d’ordinateurs clients Macintosh, l’utilisation d’Installation en réseau vous permettra de créer une image système qui automatise la configuration des ordinateurs clients. Pour obtenir des options et des instructions, consultez le guide d’administration des images système et des mises à jour de logiciels. Étape 7 : Définition des préférences de comptes d’utilisateur La gestion de l’environnement de travail des utilisateurs Macintosh dont les comptes résident dans un domaine partagé s’effectue en définissant des préférences de compte d’utilisateur. Pour obtenir des informations sur les préférences d’utilisateur Mac OS X, consultez le chapitre 8, “Vue d’ensemble de la gestion des clients” et le chapitre 9, “Gestion des préférences”. Étape 8 : Création de comptes de groupe et de dossiers de groupe Utilisez le Gestionnaire de groupe de travail pour créer des comptes de groupe dans des répertoires qui résident sur un serveur Mac OS X Server et dans des domaines Open Directory non LDAP qui ne sont pas en lecture seule. Des instructions détaillées apparaissent à divers endroits du présent guide. • Pour obtenir des informations sur la manière de créer des comptes de groupe Mac OS X, consultez le chapitre 5, “Configuration des comptes de groupe”. Bien que certaines informations de groupe ne s’appliquent pas aux utilisateurs Windows, vous pouvez ajouter des utilisateurs Windows aux groupes que vous créez. Les procédures de gestion des comptes de groupe pour utilisateurs Windows sont identiques à celles des groupes qui ne contiennent que des utilisateurs Mac OS X. • Pour plus d’informations sur l’utilisation des comptes de groupe en lecture seule, consultez “Utilisation de comptes de groupe en lecture seule” à la page 104. F0170.book Page 38 Monday, May 2, 2005 12:37 PMChapitre 2 Introduction à la gestion des utilisateurs 39 Vous pouvez configurer un dossier de groupe destiné à être utilisé par les membres d’un groupe. Utilisez le Gestionnaire de groupe de travail pour définir un point de partage pour le dossier de groupe et associez le point de partage au groupe. Créez le dossier de groupe à l’aide de la commande CreateGroupFolder dans l’application Terminal. Pour obtenir des instructions, consultez la section “Travail avec les réglages du dossier de groupe” à la page 108. Pour les utilisateurs Mac OS X, utilisez des préférences de Dock ou d’ouverture de session, afin de faciliter la localisation du répertoire de groupe. Pour les utilisateurs Windows, partagez le point de partage du dossier de groupe via SMB/CIFS. Les utilisateurs peuvent aller dans Favoris réseau (ou Voisinage réseau) pour accéder au contenu du dossier de groupe. Étape 9 : Définition des préférences de comptes de groupe Vous pouvez gérer les préférences d’un groupe d’utilisateurs Macintosh. Un groupe dont les préférences sont gérées est appelé groupe de travail. Pour obtenir des informations sur les groupes de travail Mac OS X, consultez le chapitre 8, “Vue d’ensemble de la gestion des clients” et le chapitre 9, “Gestion des préférences”. Étape 10 : Définition de listes d’ordinateurs et de préférences Utilisez des listes d’ordinateurs pour gérer des ordinateurs clients Macintosh ou Windows. • Pour obtenir des informations sur la création de listes d’ordinateurs Mac OS X, consultez le chapitre 6, “Configuration de listes d’ordinateurs”. Pour obtenir des informations sur les préférences de listes d’ordinateurs, consultez le chapitre 8, “Vue d’ensemble de la gestion des clients” et le chapitre 9, “Gestion des préférences”. • Tout ordinateur Windows géré par le contrôleur de domaine principal Mac OS X Server doit figurer sur la liste d’ordinateurs Windows. Pour plus de détails, consultez le guide d’administration des services Windows. Étape 11 : Procédez à la maintenance des comptes Vous devrez mettre régulièrement à jour les informations de compte au fur et à mesure des allées et venues de vos utilisateurs et des modifications des besoins de vos serveurs : • Consultez les sections plus loin dans le chapitre, en commençant par “Listage et recherche de comptes” à la page 47, pour obtenir des informations sur la localisation des comptes et raccourcis existants en vue de leur maintenance. • Les informations du chapitre 3 au chapitre 6 vous aideront à réaliser des tâches courantes telles que la définition d’un compte d’invité, la désactivation de comptes d’utilisateur, l’ajout et la suppression d’utilisateurs dans des groupes et la suppression de comptes. • Pour obtenir des solutions aux problèmes courants, consultez le chapitre 11, “Résolution des problèmes”. F0170.book Page 39 Monday, May 2, 2005 12:37 PM40 Chapitre 2 Introduction à la gestion des utilisateurs Programmation de stratégies pour la gestion des utilisateurs Voici certaines des activités de planification à entreprendre avant de commencer l’implémentation de la gestion des utilisateurs. Analyse de votre environnement Vos réglages de gestion d’utilisateurs doivent tenir compte des particularités de votre environnement, notamment : • de la taille et de la distribution de votre réseau ; • du nombre d’utilisateurs qui accéderont à votre réseau ; • du type d’ordinateur que les utilisateurs vont utiliser (Mac OS 9, Mac OS X ou Windows) ; • de la façon dont les utilisateurs vont utiliser les ordinateurs clients ; • des ordinateurs qui sont des ordinateurs mobiles ; • des utilisateurs qui devront bénéficier d’autorisations d’administrateur ; • des utilisateurs qui devront avoir accès à certains ordinateurs particuliers ; • de quels services et ressources ont besoin les utilisateurs (courrier électronique, accès au stockage des données) ; • de la manière de diviser les utilisateurs en groupes (par exemple, par catégorie ou type d’emploi) ; • de la manière de grouper des ensembles d’ordinateurs (par exemple, tous les ordinateurs d’un laboratoire public). Identification des besoins en matière de services de répertoire Identifiez les répertoires dans lesquels vous stockerez les comptes d’utilisateur, les comptes de groupe et les listes d’ordinateurs. • Si vous disposez d’un serveur Active Directory ou LDAP déjà configuré, vous pourrez profiter des enregistrements de compte existants. Pour des détails sur l’accès à des répertoires existants, consultez le guide d’administration Open Directory. • Si vous disposez d’un serveur Apple de version antérieure, vous pouvez éventuellement migrer des enregistrements existants. Reportez-vous au guide de migration pour connaître les options disponibles. • Configurez un maître et des répliques Open Directory pour héberger des répertoires LDAP destinés à stocker d’autres comptes d’utilisateur, comptes de groupe et listes d’ordinateurs sur votre réseau. Pour obtenir des instructions et des informations complètes sur les options de traitement des mots de passe, consultez le guide d’administration d’Open Directory. F0170.book Page 40 Monday, May 2, 2005 12:37 PMChapitre 2 Introduction à la gestion des utilisateurs 41 Remarque : si certains domaines ne sont pas finalisés au moment d’ajouter des comptes d’utilisateur et de groupe, ajoutez simplement les comptes à un domaine de répertoires quelconque qui existe sur votre serveur. (Vous pouvez utiliser le domaine de répertoires local, toujours disponible.) Vous pourrez déplacer des utilisateurs et des groupes vers un autre domaine de répertoires à l’aide des fonctions d’exportation et d’importation de votre serveur décrites à l’Annexe A, “Importation et exportation d’informations de compte” ultérieurement. Détermination des besoins en matière de serveur et de stockage Ces besoins varient en fonction du nombre d’utilisateurs et d’ordinateurs : • Pour moins de 450 utilisateurs et moins de 150 ordinateurs, un seul serveur suffit pour la gestion des comptes et l’authentification, les répertoires de départ et les dossiers de groupe. (En comptant 1 Go d’espace de stockage par utilisateur et par module de disque sur un ordinateur Xserve.) Il est possible de fournir un espace de stockage plus important en ajoutant des modules de disque et/ou des disques RAID supplémentaires. • Pour 450 à 1000 utilisateurs et 150 à 450 ordinateurs, il faut un serveur dédié à la gestion des comptes et à l’authentification. Vous devez disposer d’un serveur de répertoires de départ et de dossiers de groupe par groupe de 150 ordinateurs. Le serveur doit disposer d’environ 180 Go d’espace de stockage. L’un des serveurs doit fonctionner comme maître Open Directory et doit également héberger des services principaux tels que les services DNS, DHCP et Web, en fonction de vos besoins. S’il vous faut plus de services dédiés, étudiez la possibilité d’utiliser des serveurs dédiés spécifiquement à certaines tâches telles que l’enchaînement QuickTime. Les dossiers de groupe sont souvent partagés simultanément entre plusieurs ordinateurs. Évitez les connexions simultanées de 150 à 300 ordinateurs à un même dossier de groupe, en créant plusieurs groupes de travail et en répartissant les utilisateurs sur plusieurs groupes de travail. • Pour plus de 1000 utilisateurs et plus de 450 ordinateurs, vous aurez besoin de plusieurs serveurs pour la gestion des comptes et l’authentification. Pour obtenir des directives générales en matière de réplication, consultez le guide d’administration d’Open Directory. Vous devez également disposer d’un serveur de répertoires de départ et de dossiers de groupe et de 180 Go d’espace de stockage par groupe de 150 ordinateurs connectés simultanément, si les utilisateurs disposent de répertoires de départ réseau. • N’utilisez pas plus de 3 points de partage montables automatiquement par serveur. Il se peut que vous deviez créer moins de points de partage avec des sous-dossiers destinés à répartir les utilisateurs de manière logique dans des ensembles de répertoires de départ. F0170.book Page 41 Monday, May 2, 2005 12:37 PM42 Chapitre 2 Introduction à la gestion des utilisateurs Utilisation de la gestion des clients Utilisez la gestion des clients Macintosh si vous souhaitez : • fournir aux utilisateurs une interface cohérente et contrôlée tout en leur permettant d’accéder à leurs fichiers à partir de n’importe quel ordinateur ; • utiliser des comptes mobiles ; • réserver certaines ressources à des groupes ou des individus spécifiques ; • sécuriser l’utilisation des ordinateurs dans des zones clés telles que les bureaux administratifs, les salles de cours ou les laboratoires ouverts. Déterminez les utilisateurs, groupes et ordinateurs dont vous souhaitez gérer les préférences. Pour obtenir des instructions de planification, consultez le chapitre 8, “Vue d’ensemble de la gestion des clients”, à la page 143 et le chapitre 9, “Gestion des préférences”, à la page 157. Utilisation de comptes mobiles Les comptes mobiles sont des comptes réseau qui ont été configurés pour être accessibles même lorsque l’utilisateur n’est pas connecté au serveur sur lequel le compte réside. Les utilisateurs de comptes mobiles reçoivent un répertoire de départ local sur le système auquel ils sont connectés. Cette fonctionnalité réduit le trafic réseau et améliore les performances générales. Déterminez si les comptes mobiles peuvent vous être utiles avant de les implémenter. Les comptes mobiles conviennent bien aux utilisateurs qui emportent leur ordinateur d’un endroit à l’autre. Il sont également pratiques pour les utilisateurs qui n’ont pas besoin d’un accès permanent au serveur pour leur travail quotidien. L’utilisation de comptes mobiles réduit le trafic réseau en minimisant le besoin de monter des ressources réseau (telles que les répertoires de départ réseau). Les comptes mobiles sont abordés au chapitre 3, “Gestion des utilisateurs pour des clients mobiles”. Répertoires de départ portables Un compte mobile peut être configuré pour utiliser un répertoires de départ portable (en anglais “Portable Home Directory” ou PHD). Les répertoires de départ portables répliquent les fichiers sur les répertoires de départ locaux et sur les répertoires de départ réseau. De la sorte, votre contenu vous suit partout et est toujours à jour. Les administrateurs peuvent choisir le contenu à répliquer utilisateur par utilisateur, groupe par groupe ou liste d’ordinateurs par liste d’ordinateurs. Élaboration d’une stratégie en matière de répertoire de départ Déterminez quels sont les utilisateurs ayant besoin de répertoires de départ et identifiez les ordinateurs sur lesquels vous souhaitez que se trouvent ces derniers. Afin de ne pas affaiblir les performances du serveur, évitez d’utiliser des répertoires de départ de réseau via les connexions réseau inférieures à 100 Mbps. F0170.book Page 42 Monday, May 2, 2005 12:37 PMChapitre 2 Introduction à la gestion des utilisateurs 43 Il n’est pas nécessaire que le répertoire de départ réseau d’un utilisateur soit stocké sur le même serveur que le répertoire contenant son compte d’utilisateur. De fait, la répartition des domaines de répertoires et des répertoires de départ sur plusieurs serveurs peut vous aider à équilibrer la charge de travail de votre réseau. “Répartition de répertoires de départ sur plusieurs serveurs” à la page 129 décrit plusieurs de ces scénarios. Vous pouvez par exemple stocker les répertoires de départ des utilisateurs dont le nom commence par les lettres A à F sur un ordinateur, ceux dont le nom commence par les lettres G à J sur un autre ordinateur, etc. Vous pouvez aussi stocker des répertoires de départ sur un Mac OS X Server mais stocker les comptes d’utilisateur et de groupe sur un serveur Active Directory ou LDAP. Les répertoires de départ portables incitent à d’autres considérations d’ordre stratégique, notamment la désignation des utilisateurs mobiles qui disposeront de comptes portables. Des restrictions supplémentaires à prendre en compte sont décrites dans la section “Répertoires de départ portables” à la page 58. Choisissez une stratégie avant de créer des utilisateurs. Vous pouvez déplacer des répertoires de départ, mais vous devrez alors éventuellement changer un grand nombre de fiches d’utilisateurs. Déterminez le protocole d’accès à utiliser pour les répertoires de départ. Vous utiliserez la plupart du temps le protocole AFP car il offre la plus grande sécurité. Mais vous pouvez également utiliser les protocoles NFS (utile pour les clients UNIX) et SMB/CIFS (pour les clients Windows). Identification des groupes Identifiez les utilisateurs qui ont des besoins similaires et regroupez-les. Consultez chapitre 5, “Configuration des comptes de groupe”. Détermination des besoins d’administrateur Choisissez quels sont les utilisateurs qui pourront administrer les comptes et assurezvous qu’ils disposent d’autorisations d’administrateur de domaine. L’administrateur de domaine dispose du niveau de contrôle le plus élevé sur les autres utilisateurs et sur leurs autorisations. L’administrateur de domaine peut créer des comptes d’utilisateur, des comptes de groupe, ainsi que des listes d’ordinateurs et leur affecter des réglages, des autorisations et des préférences gérées. Il peut également créer d’autres comptes d’administrateur ou attribuer à certains utilisateurs (par exemple des professeurs ou du personnel technique) des autorisations d’administration pour des domaines de répertoires spécifiques. F0170.book Page 43 Monday, May 2, 2005 12:37 PM44 Chapitre 2 Introduction à la gestion des utilisateurs Déterminez quels sont les utilisateurs qui devront avoir des autorisations d’administration de domaine. De même, de nombreuses autorisations d’administration peuvent être données aux utilisateurs gérés, ce qui leur permet de gérer des groupes d’utilisateurs spécifiques ou de modifier certains réglages de compte. Une hiérarchie convenablement planifiée d’administrateurs et d’utilisateurs dotés d’autorisations d’administration spéciales peut vous aider à répartir les tâches d’administration système et à optimiser les flux de production et la gestion système. Lorsque vous utilisez l’Assistant du serveur pour configurer votre serveur pour la première fois, spécifiez un mot de passe pour le propriétaire/l’administrateur. Ce dernier devient également le mot de passe racine de votre serveur. De nombreux administrateurs de serveur n’ont pas besoin de connaître le mot de passe root, mais ce dernier est parfois nécessaire pour exécuter des outils de ligne de commande (tels que CreateGroupFolder). Pour les administrateurs qui n’ont pas besoin d’un accès root, utilisez le Gestionnaire de groupe de travail pour créer un utilisateur administrateur avec un mot de passe différent du mot de passe root. Il est recommandé d’utiliser le mot de passe racine avec précaution et de le stocker dans un emplacement sécurisé. L’utilisateur racine bénéficie d’un accès illimité au système, y compris aux fichiers système. Le cas échéant, vous pouvez recourir au Gestionnaire de groupe de travail pour changer le mot de passe racine. Utilisation du Gestionnaire de groupe de travail Après avoir installé le logiciel Mac OS X Server, vous pouvez accéder au Gestionnaire de groupe de travail. La présente section contient une présentation de l’application. Utilisation d’ordinateurs de versions antérieures à la 10.4 à partir de serveurs de version 10.4 Les serveurs Mac OS X 10.3 et 10.2 peuvent être administrés à l’aide des outils d’administration de la version 10.4. Le Gestionnaire de groupe de travail sur un serveur de version 10.4 peut être utilisé pour gérer les clients Mac OS X qui exécutent Mac OS X 10.2.4 ou ultérieur. Une fois que vous avez modifié une fiche d’utilisateur à l’aide du Gestionnaire de groupe de travail en version 10.4, elle n’est accessible que par le Gestionnaire de groupe de travail en version 10.4. Les préférences des clients Mac OS 9 peuvent être gérées à partir d’un serveur de version 10.4 via le Gestionnaire Macintosh uniquement si vous procédez à une installation de mise à niveau avec la version 10.4 ; vous pouvez utiliser une installation de mise à niveau pour installer la version 10.4 sur des serveurs 10.2.8 ou 10.3. F0170.book Page 44 Monday, May 2, 2005 12:37 PMChapitre 2 Introduction à la gestion des utilisateurs 45 Ouverture du Gestionnaire de groupe de travail et authentification Le Gestionnaire de groupe de travail est installé dans /Applications/Server/ lors de l’installation du serveur ou de la configuration d’un ordinateur administrateur. Vous pouvez l’ouvrir à partir de ce dossier à l’aide du Finder. Vous pouvez également ouvrir le Gestionnaire de groupe de travail en cliquant sur son icône dans le Dock ou dans la barre d’outils de l’application Admin Serveur. • Pour utiliser des domaines de répertoires sur un serveur particulier, tapez l’adresse IP du serveur ou son nom DNS dans la fenêtre Se connecter du Gestionnaire de groupe de travail ou cliquez sur Parcourir pour la sélectionner dans la liste des serveurs disponibles. Tapez le nom d’utilisateur et le mot de passe d’un administrateur de domaine, puis cliquez sur Se connecter Seuls les administrateurs de domaine du serveur de domaine de répertoires disposeront d’autorisations d’administration de répertoire. • Vous pouvez voir un domaine de répertoires sans vous authentifier (en choisissant Serveur > Afficher les répertoires). Vous aurez un accès en lecture seule aux informations affichées dans le Gestionnaire de groupe de travail. Pour apporter des modifications à un répertoire, vous devez vous authentifier à l’aide d’un compte d’administrateur de domaine. Cette démarche est la plus indiquée lorsque vous administrez différents serveurs et travaillez avec divers domaines de répertoires. Après avoir ouvert le Gestionnaire de groupe de travail, vous pouvez ouvrir l’une de ses fenêtres pour un autre ordinateur en cliquant sur Se connecter dans la barre d’outils ou en choisissant Serveur > Se connecter. F0170.book Page 45 Monday, May 2, 2005 12:37 PM46 Chapitre 2 Introduction à la gestion des utilisateurs Principales tâches dans le Gestionnaire de groupe de travail Une fois la session ouverte, une fenêtre affiche la liste des comptes d’utilisateurs. Il s’agit initialement des comptes stockés dans le dernier domaine de répertoires figurant dans le chemin de recherche du serveur. Voici comment s’initier aux principales tâches possibles avec cette application : • Pour spécifier le ou les répertoires dans lesquels sont stockés les comptes que vous souhaitez utiliser, cliquez sur l’icône en forme de globe. Pour utiliser simultanément des comptes stockés dans différents répertoires ou utiliser différentes vues des comptes dans un même répertoire, ouvrez plusieurs fenêtres du Gestionnaire de groupe de travail en cliquant sur l’icône Nouvelle fenêtre dans la barre d’outils. • Pour administrer des comptes dans le répertoire sélectionné, cliquez sur l’icône Comptes dans la barre d’outils. Dans la partie gauche, cliquez sur le bouton Utilisateurs, Groupes ou Ordinateurs pour afficher la liste des comptes qui existent actuellement dans le ou les répertoires que vous utilisez. Pour filtrer la liste des comptes à l’écran, utilisez la liste de recherche déroulante qui se trouve au-dessus de la liste des comptes. • Pour travailler avec des préférences gérées, sélectionnez la liste de comptes souhaitée, puis cliquez sur l’icône Préférences dans la barre d’outils. • Pour travailler avec des points partagés, cliquez sur l’icône Partage dans la barre d’outils. Liste Comptes Tapez ici pour faire une recherche dans la liste ci-dessous ou la filtrer. Bouton Utilisateurs Cliquez sur le globe pour changer de répertoire. Bouton Groupes Bouton Listes d’ordinateurs Domaine actuellement sélectionné Cliquez pour vous authentifier. F0170.book Page 46 Monday, May 2, 2005 12:37 PMChapitre 2 Introduction à la gestion des utilisateurs 47 • Pour importer ou exporter des comptes d’utilisateurs et de groupes, choisissez Serveur > Importer ou Serveur > Exporter, respectivement. • Pour récupérer des informations en ligne, utilisez le menu Aide. Le menu Aide donne accès à de l’aide sur les tâches d’administration que le Gestionnaire de groupe de travail permet d’effectuer, ainsi que d’autres rubriques relatives à Mac OS X Server. • Pour ouvrir Admin Serveur afin de contrôler et utiliser des services sur des serveurs particuliers, cliquez sur l’icône Admin dans la barre d’outils. Lisez le guide Premiers contacts pour obtenir davantage d’informations sur l’application Admin Serveur. Listage et recherche de comptes La présente section décrit les différentes manières d’afficher des comptes d’utilisateur, des comptes de groupe et des listes d’ordinateurs dans le Gestionnaire de groupe de travail. Utilisation de listes de comptes dans le Gestionnaire de groupe de travail Dans le Gestionnaire de groupe de travail, les comptes d’utilisateur, les comptes de groupe et les listes d’ordinateurs sont affichés dans la partie gauche de la fenêtre de l’application. Plusieurs réglages influencent le contenu et l’apparence de la liste : • Les préférences de Gestionnaire de groupe de travail permettent de contrôler si les utilisateurs et les groupes système sont répertoriés et l’ordre dans lequel ils sont classés. Choisissez Gestionnaire de groupe de travail > Préférences, pour configurer les préférences du Gestionnaire de groupe de travail. • La liste reflète le ou les répertoires que vous avez sélectionnés à l’aide du globe qui se trouve au-dessus de la liste des comptes. Initialement, les comptes des domaines de répertoires parents ne sont répertoriés que si vous êtes connecté au réseau. Les domaines disponibles pour la sélection sont le répertoire local, tous les domaines de répertoires qui figurent dans le chemin de recherche du serveur et tous les domaines de répertoires disponibles (domaines auxquels la configuration du serveur lui permet d’accéder, qu’ils figurent ou non dans le chemin de recherche). Pour obtenir des instructions sur la configuration d’un serveur en vue d’accéder à des domaines de répertoires, consultez le guide d’administration d’Open Directory. Une fois que vous avez choisi des domaines de répertoires, tous les comptes qu’ils contiennent sont répertoriés. • Pour trier une liste, cliquez sur un en-tête de colonne. Une flèche indique l’ordre de classement (croissant ou décroissant) que vous pouvez inverser en cliquant de nouveau sur l’en-tête de colonne. • Vous pouvez filtrer la liste à l’aide de la liste de recherche déroulante qui se trouve au-dessus de la liste des comptes. F0170.book Page 47 Monday, May 2, 2005 12:37 PM48 Chapitre 2 Introduction à la gestion des utilisateurs • Vous pouvez rechercher des éléments spécifiques dans la liste en tapant quelques caractères dans le champ situé au-dessus de la liste des comptes. Pour travailler avec un ou plusieurs comptes répertoriés, faites votre choix. Les réglages des comptes sélectionnés apparaissent dans la fenêtre à droite de la liste. Les réglages disponibles dépendent de la sous-fenêtre affichée. Liste de comptes dans le domaine de répertoires local Les services et les programmes exécutés sur un serveur peuvent accéder au répertoire local du serveur. Les programmes exécutés sur un ordinateur client, comme par exemple la fenêtre d’ouverture de session de l’ordinateur client, ne peuvent pas accéder au répertoire local du serveur. Par conséquent, le service de fichiers d’un serveur peut authentifier les utilisateurs qui ont des comptes dans le répertoire local du serveur. Les comptes d’utilisateur du répertoire local du serveur ne peuvent pas être utilisés pour l’authentification dans la fenêtre d’ouverture de session des ordinateurs clients, car cette fenêtre est un processus exécuté sur l’ordinateur client. Pour répertorier les comptes d’un domaine de répertoires local d’un serveur : 1 Dans le Gestionnaire de groupe de travail, connectez-vous au serveur hébergeant le domaine, puis cliquez sur le globe situé au-dessus de la barre d’outils et choisissez Local. Le domaine local peut également être répertorié sous le nom /NetInfo/root/ ou ou /NetInfo/DefaultLocalNode. 2 Pour visualiser les comptes d’utilisateur, cliquez sur le bouton Utilisateurs (le bouton le plus à gauche au-dessus du champ de recherche). Cliquez sur le bouton Groupes (le bouton du milieu) pour afficher les comptes de groupe et cliquez sur le bouton Listes d’ordinateurs (le bouton de droite) pour afficher les listes d’ordinateurs. 3 Pour travailler avec un compte en particulier, sélectionnez-le. Pour modifier le compte, ce qui nécessite de disposer de privilèges d’administrateur, il se peut que vous deviez cliquer sur le verrou pour vous authentifier. Liste de comptes dans des domaines de répertoires de chemins de recherche Les domaines de répertoires de chemins de recherche sont ceux qui, dans la politique de recherche, sont définis pour l’ordinateur Mac OS X Server auquel vous êtes connecté. Le guide d’administration Open Directory vous indique comment établir des politiques de recherche. Pour répertorier des comptes dans des domaines de chemins de recherche pour votre serveur : 1 Dans le Gestionnaire de groupe de travail, connectez-vous à un serveur dont la politique de recherche contient les domaines de répertoires qui vous intéressent. 2 Cliquez sur le globe situé au-dessus de la barre d’outils, puis choisissez Chemin de recherche. F0170.book Page 48 Monday, May 2, 2005 12:37 PMChapitre 2 Introduction à la gestion des utilisateurs 49 3 Pour visualiser les comptes, cliquez sur le bouton Utilisateurs (le bouton le plus à gauche au-dessus du champ de recherche). Cliquez sur le bouton Groupes pour visualiser les comptes de groupe ou cliquez sur le bouton Listes des ordinateurs pour visualiser les listes d’ordinateurs. Liste de comptes dans des domaines de répertoires disponibles Vous pouvez utiliser le Gestionnaire de groupe de travail pour dresser la liste de tous les comptes d’utilisateur, comptes de groupe et listes d’ordinateurs résidant dans tout domaine de répertoires spécifique accessible depuis le serveur auquel vous êtes connecté. Sélectionnez le domaine dans une liste de tous les domaines de répertoires configurés pour être accessibles à partir du serveur que vous utilisez. Veillez à ne pas confondre les domaines de répertoires disponibles avec ceux d’une politique de recherche. Une politique de recherche est constituée des domaines de répertoires dans lesquels un serveur effectue des recherches à l’aide d’une routine, lorsqu’il doit par exemple récupérer un compte d’utilisateur. Toutefois, il se peut que ce même serveur soit configuré pour accéder aux domaines de répertoires n’ayant pas été ajoutés à sa politique de recherche. Pour apprendre comment configurer l’accès au domaines de répertoires, consultez le guide d’administration d’Open Directory. Pour répertorier des comptes dans des domaines de répertoires accessibles à partir d’un serveur : 1 Dans le Gestionnaire de groupe de travail, connectez-vous à un serveur à partir duquel les domaines de répertoires qui vous intéressent sont accessibles. 2 Cliquez sur le globe situé au-dessus de la liste des comptes, puis choisissez Autre. 3 Sélectionnez le ou les domaine dans la boîte de dialogue à l’écran, puis cliquez sur OK. Pour visualiser les comptes d’utilisateur résidant dans les domaines de répertoires sélectionnés, cliquez sur le bouton Utilisateurs (le bouton le plus à gauche au-dessus du champ de recherche). Cliquez sur le bouton Groupes pour visualiser les comptes de groupe ou cliquez sur le bouton Listes d’ordinateurs pour visualiser les listes d’ordinateurs. 4 Pour travailler avec un compte en particulier, sélectionnez-le. Pour modifier un compte qui nécessite de disposer d’autorisations d’administrateur de domaine, il se peut que vous deviez cliquer sur le cadenas pour vous authentifier. Actualisation de listes de comptes Si plus d’un administrateur peut apporter des modifications aux répertoires, actualisez les listes pour vous assurer que la liste (de comptes d’utilisateur, de comptes de groupe ou de listes d’ordinateurs) affichée est bien la plus récente. Pour actualiser les listes, vous pouvez : • cliquer sur Actualiser ; F0170.book Page 49 Monday, May 2, 2005 12:37 PM50 Chapitre 2 Introduction à la gestion des utilisateurs • saisir les termes de recherche dans le champ au-dessus de la liste pour obtenir une nouvelle liste filtrée ; • supprimer les termes du champ au-dessus de la liste pour afficher la liste originale non filtrée ; • cliquer sur le globe situé au-dessus de la barre d’outils, choisir un autre élément dans la liste, puis sélectionner à nouveau le ou les domaines avec lesquels vous étiez en train de travailler. Recherche de comptes spécifiques dans une liste Après avoir affiché une liste de comptes dans le Gestionnaire de groupe de travail, vous pouvez la filtrer afin de localiser des utilisateurs ou des groupes présentant un intérêt particulier. Pour filtrer des éléments dans la liste des comptes : 1 Après avoir répertorier les comptes, cliquez sur le bouton Utilisateurs, Groupes ou Listes d’ordinateurs. 2 Dans le menu local au-dessus de la liste des comptes (identifié par une loupe), sélectionnez une option pour décrire ce que vous souhaitez trouver, puis saisissez des termes de recherche dans le champ texte. La liste d’origine est remplacée par des éléments répondant à vos critères de recherche. Si vous entrez un nom d’utilisateur, tant les noms entiers qu’abrégés d’utilisateurs ou de groupes sont recherchés. 3 Choisissez Gestionnaire de groupe de travail > Préférences pour rendre la recherche de comptes plus pratique lorsque les domaines avec lesquels vous travaillez contiennent des milliers de comptes. Pour éviter de répertorier des comptes tant que vous n’avez pas spécifié de filtre, sélectionnez “Limiter les résultats aux fiches requises”. Lorsque le champ de filtrage est vide, aucun compte n’est répertorié. Pour répertorier tous les comptes des domaines sélectionnés dans le menu local À, tapez “*” dans le champ de filtrage. Pour répertorier les comptes des domaines qui correspondent aux critères de filtrage, sélectionnez une option dans le menu local en regard du champ de filtrage, puis tapez la chaîne de caractères avec laquelle vous souhaitez filtrer les comptes. Pour spécifier le nombre maximum de comptes à répertorier, sélectionnez “Répertorier un maximum de”, puis tapez un nombre inférieur à 25 000. Gestionnaire de groupe de travail peut afficher jusqu’à 25 000 comptes. Classement des listes d’utilisateurs et de groupes Après avoir affiché une liste de comptes dans le Gestionnaire de groupe de travail, cliquez sur un en-tête de colonne pour trier les entrées selon les valeurs de cette colonne. Cliquez de nouveau sur cet en-tête pour inverser l’ordre des entrées de la liste. F0170.book Page 50 Monday, May 2, 2005 12:37 PMChapitre 2 Introduction à la gestion des utilisateurs 51 Utilisation du bouton Rechercher de la barre d’outils Vous pouvez utiliser le bouton Rechercher, dans les sous-fenêtres Comptes ou Préférences, pour localiser des utilisateurs ou des groupes spécifiques en recherchant des valeurs de champ déterminées. Pour localiser des utilisateurs ou des groupes spécifiques via les sous-fenêtres Comptes ou Préférences : 1 Après avoir sélectionné la sous-fenêtre dans laquelle vous souhaitez travailler, cliquez sur Rechercher dans la barre d’outils. 2 Le champ dans lequel vous souhaitez faire la recherche avec les conditions d’application dans la zone de dialogue Recherche. 3 Tapez le texte à rechercher et d’éventuelles conditions supplémentaires. 4 Vous pouvez choisir d’enregistrer, de renommer ou de supprimer des préréglages à l’aide du menu local Préréglages de la recherche. Vous pouvez également effectuer des modifications par lot sur les résultats de la recherche. Si vous cochez cette option, vous avez le choix entre “Afficher un aperçu et modifier les résultats de la recherche avant d’appliquer des changements” et “Afficher le rendu des modifications et des erreurs”. 5 Cliquez sur Rechercher une fois que vos critères de recherche sont définis. Une fois que les résultats de la recherche sont affichés à l’écran, vous pouvez soir effacer les critères de recherche pour revenir à l’affichage par défaut, soit modifier les critères de recherche pour les affiner. Toute recherche peut être enregistrée sous la forme d’un préréglage si vous souhaitez la réutiliser. F0170.book Page 51 Monday, May 2, 2005 12:37 PM52 Chapitre 2 Introduction à la gestion des utilisateurs Raccourcis pour l’utilisation des comptes Il existe plusieurs techniques permettant de gérer les comptes avec une plus grande efficacité. Vous pouvez : • modifier plusieurs comptes simultanément ; • utiliser des préréglages comme modèles pour la création de nouveaux comptes ; • importer des informations de compte d’utilisateur et de groupe à partir d’un fichier. Modification par lot Vous pouvez modifier les réglages de plusieurs comptes d’utilisateur, comptes de groupe ou listes d’ordinateurs à la fois. On appelle la modification simultanée de plusieurs comptes la modification par lot. Maintenez la touche Maj enfoncée, puis cliquez pour sélectionner une plage de comptes et/ou maintenez la touche Commande enfoncée, puis cliquez pour sélectionner des comptes individuellement. Vous pouvez aussi choisir Édition > Tout sélectionner, puis maintenir la touche Commande enfoncée et cliquer sur des comptes individuels pour les désélectionner un à un. La modification par lot peut notamment vous faire gagner du temps lorsque vous devez modifier les préférences d’un grand nombre de comptes. Consultez la section “Modification des préférences de plusieurs enregistrements” à la page 163. Utilisation de préréglages Vous pouvez sélectionner des réglages de compte d’utilisateur, de compte de groupe ou de liste d’ordinateurs, puis les enregistrer sous la forme d’un préréglage. Les préréglages fonctionnent comme des modèles et permettent d’appliquer des réglages prédéfinis à un nouveau compte. Grâce aux préréglages, vous pouvez configurer en toute simplicité plusieurs comptes de façon similaire. Vous ne pouvez utiliser les préréglages que lors de la création d’un compte. Vous ne pouvez pas utiliser de préréglage pour modifier un compte existant. Vous pouvez utiliser des préréglages lorsque vous créez des comptes manuellement ou lorsque vous en importez à partir d’un fichier. Si vous modifiez un préréglage après son utilisation pour la création d’un compte, les comptes déjà créés à l’aide de ce préréglage ne sont pas mis à jour pour reproduire ces changements. Pour plus d’informations, consultez la section “Création d’un préréglage pour des comptes d’utilisateur” à la page 72. F0170.book Page 52 Monday, May 2, 2005 12:37 PMChapitre 2 Introduction à la gestion des utilisateurs 53 Importation et exportation d’informations de compte Vous pouvez utiliser des fichiers XML ou des fichiers de texte délimités par des caractères pour importer et exporter des informations de compte d’utilisateur ou de groupe. Cette méthode d’importation facilite la configuration rapide d’un grand nombre de comptes. L’exportation d’informations dans un fichier peut s’avérer utile pour archiver ou sauvegarder les données d’utilisateur. Pour plus d’informations, voir l’Annexe A, “Importation et exportation d’informations de compte”. Sauvegarde et restauration des données de gestion des utilisateurs Sauvegarde et restauration de fichiers de services de répertoires Pour obtenir des informations sur la sauvegarde et la restauration de domaines de répertoires et de fichiers de base de données d’authentification, consultez l’aide à l’écran. Sauvegarde de comptes d’utilisateur root et administrateur Les fichiers système sont la propriété des identifiants des administrateurs système et des utilisateurs root existant au moment de leur création. Si vous devez restaurer des fichiers système, les mêmes identifiants doivent exister sur le serveur afin que les autorisations d’origine soient conservées. Pour vous assurer de pouvoir recréer ces identifiants d’utilisateur, exportez régulièrement les informations sur les utilisateurs et les groupes du serveur vers un fichier, comme décrit à l’Annexe A, “Importation et exportation d’informations de compte”. F0170.book Page 53 Monday, May 2, 2005 12:37 PMF0170.book Page 54 Monday, May 2, 2005 12:37 PM3 55 3 Gestion des utilisateurs pour des clients mobiles Ce chapitre contient des suggestions pour la gestion d’ordinateurs portables utilisés par un ou plusieurs utilisateurs. Configuration des clients mobiles Si vous possédez un certain nombre d’ordinateurs portables destinés à être distribués à des utilisateurs ou groupes d’utilisateurs donnés, vous pouvez mettre en œuvre un éventail de techniques de gestion pour personnaliser l’environnement de l’utilisateur et contrôler le niveau d’accès d’un utilisateur aux ressources locales et réseau. Configuration d’ordinateurs portables Lors de la préparation des ordinateurs portables à utiliser sur votre réseau, suivez les instructions ci-après. Étape 1 : Installez le système d’exploitation, les applications et les utilitaires. La plupart des ordinateurs sont livrés avec un système d’exploitation installé. Toutefois, si vous devez en installer un nouveau, assurez-vous que l’ordinateur répond aux configurations requises minimum pour l’installation du système d’exploitation Mac OS X ou Mac OS et des autres applications et utilitaires souhaités. Étape 2 : Création de comptes locaux sur les ordinateurs Mac OS X. Créez au moins un compte d’administrateur local et autant de comptes d’utilisateur locaux que nécessaire. Veillez à éviter toute confusion entre le nom et le mot de passe de compte local et le nom et le mot de passe réseau d’un utilisateur. Étape 3 : Configuration de listes d’ordinateurs sur votre serveur Pour les ordinateurs Mac OS X, utilisez le Gestionnaire de groupe de travail afin d’ajouter des ordinateurs à une liste d’ordinateurs et d’activer la gestion des préférences au niveau de l’ordinateur. Vous pouvez aussi définir des réglages de préférences au niveau utilisateur pour le compte réseau de l’utilisateur. F0170.book Page 55 Monday, May 2, 2005 12:37 PM56 Chapitre 3 Gestion des utilisateurs pour des clients mobiles Vous trouverez plus de détails sur la configuration des services de répertoires dans le guide d’administration Open Directory. Pour plus d’informations sur l’utilisation des listes d’ordinateurs, consultez le chapitre 6, “Configuration de listes d’ordinateurs”. Pour en savoir plus sur l’utilisation des réglages de préférences gérées, consultez le chapitre 9, “Gestion des préférences”. Utilisation de comptes mobiles Un compte mobile, sous Mac OS X Server, est un compte d’utilisateur synchronisé avec un ordinateur (généralement portable) local. L’utilisateur peut ouvrir une session sur l’ordinateur portable en utilisant le nom et le mot de passe d’un compte réseau, même si l’ordinateur n’est pas connecté au réseau. Cette fonctionnalité est utile à la fois pour les systèmes portables et pour les autres cas de déploiement “un à un” dans lesquels un utilisateur est affecté à un seul et unique ordinateur. Elle s’avère également utile dans les situations où le fait d’avoir des répertoires de départ locaux améliore les performances comme, par exemple, dans la production vidéo. Lorsqu’un utilisateur de compte mobile se connecte au réseau, les données du compte (c’est-à-dire les nom, le mot de passe et les préférences gérées du compte) sont synchronisées automatiquement avec le compte du serveur afin que les deux emplacements contiennent des données identiques. Quand l’ordinateur est déconnecté du réseau, les réglages de préférences gérées restent en vigueur. Le répertoire de départ d’un compte mobile réside dans l’ordinateur de l’utilisateur, celui d’un compte de réseau sur le serveur. Quand l’ordinateur est connecté au réseau, l’utilisateur s’authentifie directement auprès du compte réseau sans que le compte mobile ne soit pris en compte, mais en utilisant toujours un répertoire de départ local. Lorsque le répertoire de départ local d’un compte mobile est configuré pour la synchronisation avec un répertoire de départ réseau, il devient un répertoire de départ portable qui permet à un utilisateur réseau de travailler sur une copie de son contenu réseau hors connexion. Le contenu peut être synchronisé entre les deux répertoires de départ, en fonction de la manière dont le compte mobile est configuré. Un répertoire de départ portable peut être configuré pour synchroniser le contenu modifié d’un utilisateur lors de la connexion en arrière-plan, via le réseau et lors de la déconnexion. La synchronisation de certains contenus peut également être lancée manuellement afin que le contenu modifié d’un emplacement soit accessible immédiatement partout. F0170.book Page 56 Monday, May 2, 2005 12:37 PMChapitre 3 Gestion des utilisateurs pour des clients mobiles 57 Si les utilisateurs disposent de répertoires de départ AFP, leur répertoire de départ réseau est créé la première fois qu’ils tentent d’accéder à leur répertoire de départ réseau. Si certains de vos utilisateurs de compte mobile accèdent à un serveur hébergeant des répertoires de départ réseau non-AFP, vous devez créer les répertoires de départ réseau manuellement (voir “Création d’un répertoire de départ personnalisé” à la page 134). Création d’un compte mobile Une fois qu’un compte mobile a été créé, il est affiché dans la liste des comptes située dans les Préférences Système Comptes. Le type de compte est qualifié de Mobile et la plupart des éléments du volet Comptes sont grisés à sa sélection. Vous pouvez utiliser le Gestionnaire de groupe de travail pour créer automatiquement un compte mobile à l’ouverture d’une session. Pour créer un compte mobile à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez un compte d’utilisateur, puis cliquez sur Préférences. 3 Cliquez sur Mobilité, puis définissez les réglages de gestion sur Toujours. 4 Sélectionnez “Créer un compte mobile lors de l’ouverture de session” et sélectionnez la case “Synchroniser le compte pour l’utilisation hors connexion”. 5 Sélectionnez l’option Exiger une confirmation avant de créer un compte mobile si vous souhaitez laisser à l’utilisateur le choix de créer ou non un compte mobile à sa connexion. Si cette option est sélectionnée, une boîte de dialogue de confirmation s’affiche à l’ouverture de session de l’utilisateur. Ce dernier peut alors cliquer sur Créer pour créer immédiatement le compte mobile ou sur Continuer pour se connecter en tant qu’utilisateur du réseau sans création. 6 Cliquez sur Appliquer. Vous pouvez utiliser le Gestionnaire de groupe de travail pour modifier à votre gré le compte de serveur correspondant. Toutes les modifications apportées au compte mobile prennent effet la prochaine fois que l’ordinateur se connecte au réseau. Suppression d’un compte mobile Si un utilisateur n’a plus besoin d’un compte mobile, vous pouvez supprimer le compte individuel sur l’ordinateur client. Cette action supprime le compte mobile et son répertoire de départ local. La suppression d’un compte mobile ne peut être effectuée que par un administrateur local ou un administrateur de domaine doté des autorisations nécessaires pour gérer la liste d’ordinateurs à laquelle le système appartient, car l’opération doit être effectuée localement sur l’ordinateur sur lequel réside le compte. L’administrateur ne peut pas utiliser la console d’administration du Gestionnaire de groupe de travail pour effectuer cette opération à distance. F0170.book Page 57 Monday, May 2, 2005 12:37 PM58 Chapitre 3 Gestion des utilisateurs pour des clients mobiles Pour supprimer un compte mobile : 1 Ouvrez les Préférences Système de l’ordinateur client. 2 Cliquez sur Comptes, puis sélectionnez l’utilisateur dans la liste. 3 Sélectionner le compte que vous souhaitez supprimer. Le compte mobile est reconnaissable par le terme Mobile qui apparaît dans la colonne Type. 4 Cliquez sur le bouton Supprimer (–), puis sur OK. 5 Dans la zone de dialogue qui apparaît, choisissez soit d’Archiver, soit de Supprimer le répertoire de départ. Utilisation de comptes mobiles côté utilisateur Si l’ordinateur est configuré pour afficher une liste d’utilisateurs lors d’une ouverture de session, le compte mobile est affiché avec les utilisateurs locaux. L’utilisateur sélectionne son compte, puis saisit son mot de passe pour achever l’ouverture de session. Quant aux clients gérés, si l’administrateur réseau a spécifié la création de comptes mobiles à l’ouverture de session, la liste des comptes de la fenêtre d’ouverture de session affiche tous les utilisateurs. Une fois que l’utilisateur a sélectionné son compte et saisi correctement son mot de passe, une copie locale du compte réseau est immédiatement créée et devient le compte mobile. Le compte mobile devient permanent sur ce système lorsque l’utilisateur ferme sa session ou se déconnecte du réseau. L’utilisateur peut se déconnecter du réseau et poursuivre sa session avec ce compte sur ce système. Répertoires de départ portables Un compte mobile est un compte d’utilisateur dont l’enregistrement de compte est synchronisé avec un compte d’utilisateur réseau sur un ordinateur Mac OS X Server. L’utilisateur peut ouvrir une session à l’aide du nom et du mot de passe d’un compte réseau, même si son ordinateur n’est pas connecté au réseau. Les utilisateurs finaux qui sont des administrateurs peuvent créer des comptes mobiles à partir de la sous-fenêtre Comptes des Préférences Système après avoir saisi un nom et un mot de passe d’administrateur. Les administrateurs de serveur peuvent empêcher un utilisateur de créer un compte mobile soit en désélectionnant la case “Synchroniser le compte pour l’utilisation hors connexion” dans la sous-fenêtre Mobilité/Synchronisation du Gestionnaire de groupe de travail, soit en désactivant les Préférences Système Comptes dans la sous-fenêtre Préférences Système du Gestionnaire de groupe de travail. F0170.book Page 58 Monday, May 2, 2005 12:37 PMChapitre 3 Gestion des utilisateurs pour des clients mobiles 59 Un utilisateur final (à l’aide de la sous-fenêtre Comptes des Préférences Système) ou un administrateur de serveur (à l’aide du Gestionnaire de groupe de travail) peut configurer le répertoire de départ local d’un compte mobile pour qu’il soit synchronisé avec le répertoire de départ réseau, créant ainsi un répertoire de départ portable. Un administrateur de serveur contrôle les réglages de synchronisation du répertoire de départ portable d’un utilisateur via la sous-fenêtre Mobilité/Règles du Gestionnaire de groupe de travail. La synchronisation d’un répertoire de départ portable est effectuée à l’ouverture de session, directement après la création du compte mobile. Après la première synchronisation, les synchronisations suivantes se font en arrière-plan ou lorsque l’utilisateur sélectionne Synchroniser, dans la sous-fenêtre Comptes des Préférences Système, ou Synchroniser Départ, dans le supplément du menu de synchronisation de répertoire de départ. Notez que toute synchronisation requiert une connexion au serveur du répertoire de départ réseau de l’utilisateur. La synchronisation n’est pas effectuée si l’ordinateur de l’utilisateur n’est pas connecté au réseau ou si le serveur du répertoire de départ de l’utilisateur n’est pas disponible. Éléments à prendre en compte pour l’affectation du contenu à synchroniser Il est recommandé aux administrateurs de serveur d’évaluer les avantages et les inconvénients des différents types de mécanismes de création de comptes mobiles et des réglages de synchronisation de répertoires de départ portables. Le Gestionnaire de groupe de travail permet le contrôle à base de règles de la synchronisation en arrièreplan ainsi que de la synchronisation à la connexion et à la déconnexion. La sous-fenêtre Comptes des Préférences Système ne permet que le contrôle de la synchronisation en arrière-plan des dossiers de départ du niveau supérieur. Les opérations de synchronisation en arrière-plan sont effectuées soit régulièrement, soit à la demande lorsque l’utilisateur sélectionne Synchroniser Départ dans le supplément du menu de synchronisation de répertoire de départ. La synchronisation affecte également les fichiers ouverts ou affichés à l’écran, mais ne rallonge pas la durée de connexion ou de déconnexion. Une synchronisation à la connexion ou à la déconnexion copie tous les fichiers avant et après leur modification par l’utilisateur, mais rallonge la durée de la connexion ou de la déconnexion en fonction du nombre de fichiers à vérifier ainsi que de la taille et du nombre de fichiers à copier pour effectuer la synchronisation. F0170.book Page 59 Monday, May 2, 2005 12:37 PM60 Chapitre 3 Gestion des utilisateurs pour des clients mobiles Gestion des clients mobiles Une fois les ordinateurs portables ou dédiés configurés, de nombreuses fonctions du Gestionnaire de groupe de travail vous permettent d’appliquer des restrictions ou d’autoriser les utilisateurs à accéder aux services réseau. Si un utilisateur possède un compte réseau et si son ordinateur se lie à Open Directory, il peut se connecter à l’aide du nom et du mot de passe de son compte réseau pour accéder aux ressources disponibles. Pour en savoir plus sur la liaison d’un ordinateur au service Open Directory, consultez le guide d’administration d’Open Directory. Pour les utilisateurs sans comptes réseau qui disposent d’ordinateurs portables personnels mais requièrent toutefois un accès à vos ressources réseau, vous pouvez utiliser les fonctions du Gestionnaire de groupe de travail pour appliquer des réglages aux ordinateurs inconnus ou invités. Ordinateurs portables Mac OS X inconnus Pour gérer les utilisateurs d’ordinateurs portables fonctionnant sous Mac OS X, vous pouvez utiliser le compte Ordinateurs invités afin d’appliquer la gestion au niveau de l’ordinateur à des ordinateurs inconnus ou invités en réseau. Si ces utilisateurs se connectent via un compte d’utilisateur de Mac OS X Server, les préférences gérées d’utilisateurs et de groupes ainsi que les réglages de comptes s’appliquent également. Pour plus d’informations sur la configuration du compte Ordinateurs invités pour les utilisateurs de Mac OS X, consultez la section “Gestion des ordinateurs invités” à la page 122. Ordinateurs portables Mac OS X pour utilisateurs locaux multiples Les iBook d’un laboratoire mobile sans fil constituent un exemple de partage d’ordinateurs. Ce type de laboratoire contient 10 à 15 iBook pour les étudiants (et un iBook supplémentaire pour le professeur), une Borne d’Accès AirPort et une imprimante, le tout sur un chariot mobile. Le chariot permet de distribuer les ordinateurs aux utilisateurs (par exemple d’une salle de cours à l’autre). Pour gérer les iBook de votre chariot, créez des comptes locaux d’utilisateur, identiques sur chaque ordinateur (par exemple, l’ensemble des comptes peut utiliser Math comme nom d’utilisateur et Étudiant comme mot de passe). Vous pouvez créer des comptes locaux génériques distincts à d’autres fins, par exemple pour dédier l’un d’eux aux cours d’histoire, un autre aux cours de biologie, etc. Chaque compte doit avoir un répertoire de départ local et ne disposer d’aucune autorisation d’administration. Utilisez un compte d’administrateur local séparé sur chaque ordinateur afin de permettre aux administrateurs de serveur (ou autres) de procéder à des tâches de maintenance et à des mises à niveau, d’installer des logiciels et de gérer les comptes d’utilisateur locaux. F0170.book Page 60 Monday, May 2, 2005 12:37 PMChapitre 3 Gestion des utilisateurs pour des clients mobiles 61 Une fois les comptes d’utilisateur locaux créés, ajoutez les ordinateurs à une liste et gérez les préférences pour celle-ci. Comme plusieurs utilisateurs peuvent stocker des éléments dans le répertoire de départ local du compte générique, il est recommandé, dans le cadre de tâches routinières d’entretien, de vider régulièrement ce dossier. Vous pouvez également créer des comptes mobiles pour les utilisateurs ou recourir à la gestion des préférences du Gestionnaire de groupe de travail pour créer automatiquement un compte mobile quand un utilisateur ouvre une session. Ordinateurs portables Mac OS X pour utilisateur local principal Deux méthodes vous permettent de configurer les ordinateurs portables d’un utilisateur n’employant pas de compte mobile. • L’utilisateur ne dispose pas d’autorisations d’administrateur mais possède un compte local. Configurez un compte d’administrateur local sur votre ordinateur (ne divulguez aucune information sur ce compte à l’utilisateur), puis un compte local pour l’utilisateur. Les utilisateurs possédant des comptes locaux sans autorisation d’administration ne peuvent pas installer de logiciel : ils peuvent uniquement ajouter ou supprimer des éléments de leurs propres répertoires de départ. Un utilisateur local peut partager des éléments avec d’autres via le dossier Public situé dans son répertoire de départ. Si cet utilisateur dispose d’un compte mobile, celui-ci doit fonctionner comme un compte local mais ne peut pas être géré comme un compte de réseau. Si l’utilisateur possède un compte de réseau, vous pouvez modifier les réglages de préférences gérées de manière à créer un compte mobile durant sa première ouverture de session. De plus, si la synchronisation est activée pour cet utilisateur (PHD), le contenu de son répertoire de départ est également synchronisé lorsqu’il est connecté au réseau. • L’utilisateur est l’administrateur de l’ordinateur. Mac OS X 10.4 permet d’autoriser ou de refuser aux administrateurs la possibilité de désactiver la gestion durant la connexion. Remarque : il arrive souvent que l’administrateur local puisse encore annuler les réglages de gestion. Si l’utilisateur dispose également d’un compte d’utilisateur Mac OS X Server et si le réseau est accessible, il peut toutefois choisir d’ouvrir une session à l’aide du compte local pour ne pas encombrer le réseau. Il peut se connecter à son propre répertoire de départ (pour stocker ou extraire des documents, par exemple) à l’aide de la commande Aller au dossier du menu Aller situé dans le Finder. Les éléments à prendre en compte sont différents selon qu’il s’agit d’un compte mobile avec des répertoires de départ portables et d’un compte mobile qui est également un administrateur. F0170.book Page 61 Monday, May 2, 2005 12:37 PM62 Chapitre 3 Gestion des utilisateurs pour des clients mobiles Utilisation de services sans fil Vous pouvez fournir aux clients gérés des services réseau sans fil à l’aide d’AirPort, par exemple. Lorsqu’un utilisateur d’ordinateur portable quitte la zone sans fil ou change de serveur de répertoires réseau (en passant d’une zone sans fil à une autre), les réglages de gestion des clients peuvent varier. L’utilisateur peut s’apercevoir que certains services réseau, comme les serveurs de fichiers, les imprimantes, les volumes de groupes partagés, etc., ne sont pas disponibles à partir du nouvel emplacement. Il peut alors purger ces ressources en se déconnectant, puis en se reconnectant. Pour plus d’informations sur l’utilisation d’AirPort, consultez la documentation s’y rapportant ou visitez le site Web à l’adresse suivante : www.apple.com/fr/airport/. Questions de sécurité concernant les clients mobiles Vous pouvez protéger davantage les clients mobiles en exigeant des mots de passe alphanumériques régulièrement renouvelés. Les économiseurs d’écran doivent être réglés sur un délai d’activation minimum et un mot de passe doit être demandé pour la reprise d’activité. Il est recommandé de restreindre la création d’images de disque dur et le démarrage à froid directement sur le disque à l’aide du mode disque cible. Pour en savoir plus sur la configuration de mots de passe de programmes internes ouverts, consultez l’article 106482 du site Web d’assistance et de service Apple, à l’adresse docs.info.apple.com/article.html?artnum=106482. Assurez-vous que SSH est désactivé pour empêcher toute connexion d’utilisateurs non gérés. Un utilisateur connecté via SSH ne sera pas affecté par les préférences gérées modifiant ses autorisations. La connexion à distance et tout autre type d’accès externe tel que FTP et AFP ne doivent être activés que si vous en avez réellement besoin. Apple Remote Desktop peut être utilisé pour fournir un accès à distance sécurisé et permettre la gestion des ordinateurs. Services de répertoire Il est recommandé de désactiver la liaison DHCP sans restriction pour les clients mobiles car l’ordinateur fera implicitement confiance à tout répertoire trouvé sur d’autres réseaux. La liaison de répertoire authentifiée offre la meilleure sécurité, mais exige la configuration individuelle de chaque ordinateur. La liaison de répertoire statique peut s’avérer plus simple mais n’est pas aussi sûre. Le guide d’administration d’Open Directory contient des informations détaillées sur les différents mécanismes de liaison de répertoires. F0170.book Page 62 Monday, May 2, 2005 12:37 PMChapitre 3 Gestion des utilisateurs pour des clients mobiles 63 FileVault pour clients mobiles Mac OS X permet d’activer FileVault pour les comptes mobiles. Activez d’abord le compte mobile, puis connectez-vous à l’aide du compte mobile (qui sera alors créé). Une fois connecté, activez FileVault dans les Préférences Système. Vous devez disposer d’autorisations d’administrateur local et définir un mot de passe maître. Questions de sécurité concernant l’utilisation de répertoires de départ portables Les répertoires de départ portables permettent aux clients mobiles d’emporter des versions locales (ou portables) de leur répertoire de départ réseau, de travailler sur des fichiers hors connexion et de les synchroniser lorsqu’ils se reconnectent au réseau. Toutes les questions de sécurité qui concernent les comptes de réseau concernent également les clients mobiles qui utilisent des répertoires de départ portables. Les clients mobiles peuvent modifier leurs autorisations d’accès sur le répertoire de départ réseau afin que ce dernier soit plus ouvert. Par conséquent, les questions de sécurité concernant les répertoires de départ portables font partie des questions de sécurité concernant les utilisateurs réseau. Remarque : il est possible de disposer d’un compte mobile sans répertoire de départ portable. C’est le cas si vous disposez, par exemple, d’un répertoire de départ réseau non synchronisé avec le répertoire de départ du compte local ou d’un compte réseau sans aucun répertoire de départ réseau. Connexions VPN La création d’un nouveau compte mobile ou la configuration d’un compte mobile pour la synchronisation doit se faire en étant connecté directement au réseau, pas en étant connecté via VPN. La première fois que vous vous connectez à un compte mobile et à un répertoire de départ portable, il se synchronise automatiquement avec le répertoire de départ réseau. Une fois que le compte mobile a été créé, vous pouvez ouvrir une session hors connexion, établir une connexion VPN, puis lancer une synchronisation manuelle. Questions concernant la perte et la récupération des données N’utilisez pas les répertoires de départ portables à la place d’un système de sauvegarde systématique. Les répertoires de départ portables ne synchronisent que les nouveaux fichiers créés, les fichiers modifiés et les préférences gérées modifiées depuis la dernière synchronisation. Une synchronisation ne constitue jamais une image fidèle de l’environnement d’un utilisateur. Ce n’est qu’une partie du contenu modifié parmi l’ensemble du contenu désigné par l’administrateur. De plus, contrairement aux solutions de sauvegarde spécialisées, les répertoires de départ portables ne vous permettent pas de récupérer spécifiquement tout contenu synchronisé avant la dernière synchronisation. F0170.book Page 63 Monday, May 2, 2005 12:37 PMF0170.book Page 64 Monday, May 2, 2005 12:37 PM4 65 4 Configuration des comptes d’utilisateur Ce chapitre vous explique comment configurer, modifier et gérer des comptes d’utilisateur. À propos des comptes d’utilisateur Un compte d’utilisateur stocke les données dont Mac OS X Server a besoin pour valider l’identité de l’utilisateur et lui fournir des services. Cette section propose une vue d’ensemble des comptes d’utilisateur. Emplacement de stockage des comptes d’utilisateur Les comptes d’utilisateur, les comptes de groupe et les listes d’ordinateurs peuvent être stockés dans n’importe quel domaine Open Directory accessible depuis tout ordinateur Mac OS X. Un domaine de répertoire peut résider soit sur un ordinateur Mac OS X (le répertoire LDAP d’un maître Open Directory, un domaine NetInfo ou tout autre domaine de répertoire en lecture/écriture, par exemple), soit sur un serveur non Apple (un serveur LDAP ou Active Directory par exemple). Vous pouvez utiliser le Gestionnaire de groupe de travail pour travailler avec des comptes dans tous les types de domaines de répertoires, sachant toutefois qu’il permet de ne mettre à jour que le répertoire LDAP d’un maître Open Directory, d’un domaine NetInfo ou de tout autre domaine de répertoire en lecture/écriture. Pour obtenir des informations complètes sur les différents types de domaines Open Directory reportez-vous au guide d’administration Open Directory. F0170.book Page 65 Monday, May 2, 2005 12:37 PM66 Chapitre 4 Configuration des comptes d’utilisateur Comptes d’utilisateur prédéfinis Le tableau suivant fournit une description de certains comptes d’utilisateur créés automatiquement lorsque vous installez Mac OS X Server (sauf indication contraire). Pour obtenir la liste complète, ouvrez le Gestionnaire de groupe de travail et choisissez Présentation > Afficher les utilisateurs et groupes du système. Nom d’utilisateur prédéfini Nom abrégé Identifiant d’utilisateur Utilisation Utilisateur FTP anonyme ftp 98 Le nom d’utilisateur attribué à quiconque utilise FTP en tant qu’utilisateur anonyme. Cet utilisateur est créé au moment du premier accès au serveur FTP si ce dernier est activé, si l’accès FTP anonyme est activé et si l’utilisateur anonyme ftp n’existe pas encore. Utilisateur du Gestionnaire Macintosh mmuser -17 L’utilisateur créé par le serveur Gestionnaire Macintosh lorsque l’application est lancée pour la première fois sur un serveur particulier. Il ne dispose d’aucun répertoire de départ et son mot de passe est régulièrement modifié. Serveur My SQL mysql 74 L’utilisateur que le serveur de base de données MySQL utilise pour les processus qui traitent les requêtes. Utilisateur Sendmail smmsp 25 Utilisateur sous lequel sendmail est exécuté. sshd (séparation des autorisations) sshd 75 Utilisateur pour les processus enfants sshd qui traitent les données réseau. Administrateur système root 0 Utilisateur ayant le plus de pouvoirs. Services système daemon 1 Utilisateur UNIX hérité. Utilisateur inconnu unknown 99 Utilisateur employé lorsque le système ne connaît pas le disque dur. F0170.book Page 66 Monday, May 2, 2005 12:37 PMChapitre 4 Configuration des comptes d’utilisateur 67 Administration de comptes d’utilisateur Cette section explique comment administrer les comptes d’utilisateur stockés dans différents types de domaines de répertoires. Création de comptes d’utilisateur Mac OS X Server Pour créer un compte d’utilisateur dans un domaine de répertoires particulier, vous devez disposer d’autorisations d’administration sur ce domaine. Pour créer un compte d’utilisateur : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Assurez-vous que les services de répertoire du Mac OS X Server que vous utilisez ont été configurés pour accéder au domaine qui vous intéresse. Pour obtenir des instructions, reportez-vous au guide de l’administrateur Open Directory. 3 Cliquez sur le petit globe situé sous la liste des comptes, puis choisissez le domaine dans lequel vous voulez que le compte d’utilisateur réside. Local, /NetInfo/root/ et /NetInfo/DefaultLocalNode, par exemple, se réfèrent tous au domaine de répertoire local. /NetInfo/root se réfère à un domaine NetInfo partagé si le serveur est configuré pour accéder à un tel domaine ; sinon, /NetInfo/root constitue le domaine local. 4 Pour être authentifié, cliquez sur le cadenas. 5 Choisissez Serveur > Nouvel utilisateur ou cliquez sur Nouvel utilisateur dans la barre d’outils. 6 Spécifiez des réglages pour l’utilisateur dans les onglets fournis. Consultez “Définition de noms complets d’utilisateurs” à la page 74 et “Faire suivre le courrier d’un utilisateur” à la page 93 pour plus de détails. Utilisateur sans autorisation nobody -2 À l’origine, cet utilisateur a été créé de manière à ce que les services système n’aient pas à être exécutés en tant qu’administrateur système. À présent toutefois, les utilisateurs spécifiques aux services, le serveur Web notamment, sont souvent utilisés à cette fin. Serveur World Wide Web www 70 L’utilisateur sans autorisation qu’Apache utilise pour les processus qui traitent les requêtes. Nom d’utilisateur prédéfini Nom abrégé Identifiant d’utilisateur Utilisation F0170.book Page 67 Monday, May 2, 2005 12:37 PM68 Chapitre 4 Configuration des comptes d’utilisateur Pour créer un utilisateur, vous pouvez également utiliser un préréglage ou un fichier d’importation. Remarque : le Gestionnaire de groupe de travail ne peut pas être utilisé pour créer des utilisateurs, des groupes ou des ordinateurs dans un domaine Active Directory standard. Le système Active Directory doit être étendu pour permettre la création d’utilisateurs, de groupes ou d’ordinateurs. Pour plus de détails, consultez les sections “Utilisation de préréglages pour créer des comptes” à la page 73 et “Utilisation du Gestionnaire de groupe de travail pour importer des utilisateurs et des groupes” à la page 243. Création de comptes d’utilisateur LDAPv3 en lecture/écriture Vous pouvez créer un compte d’utilisateur sur un serveur LDAPv3 non Apple s’il a été configuré pour un accès en écriture. Pour créer un compte d’utilisateur LDAPv3 : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Assurez-vous que les services de répertoire du Mac OS X Server que vous utilisez ont été configurés pour employer le serveur LDAP pour les comptes d’utilisateur. Le guide d’administration Open Directory propose des informations sur les attributs standards des comptes d’utilisateur et des instructions sur le mappage des attributs. Pour en savoir plus sur les éléments du compte d’utilisateur qui peuvent nécessiter un mappage, consultez l’Annexe A, “Importation et exportation d’informations de compte”. 3 Cliquez sur le petit globe situé au-dessus de la liste des comptes, puis choisissez le domaine LDAPv3 dans lequel vous souhaitez faire résider le compte d’utilisateur. 4 Pour être authentifié, cliquez sur le cadenas. 5 Choisissez Serveur > Nouvel utilisateur ou cliquez sur Nouvel utilisateur dans la barre d’outils. 6 Spécifiez des réglages pour l’utilisateur dans les onglets fournis. Pour plus de détails, lisez la section “Travail avec des réglages élémentaires pour utilisateurs” à la page 74 jusqu’à “Travail avec des réglages d’impression pour utilisateurs” à la page 93. Pour créer un utilisateur, vous pouvez également utiliser un préréglage ou un fichier d’importation. Pour plus de détails, consultez les sections “Utilisation de préréglages pour créer des comptes” à la page 73 et “Utilisation du Gestionnaire de groupe de travail pour importer des utilisateurs et des groupes” à la page 243. Modification des informations de compte d’utilisateur Le Gestionnaire de groupe de travail permet de modifier un compte d’utilisateur qui réside dans le répertoire LDAP d’un maître Open Directory, d’un domaine NetInfo ou de tout autre domaine de répertoire. F0170.book Page 68 Monday, May 2, 2005 12:37 PMChapitre 4 Configuration des comptes d’utilisateur 69 Pour apporter des modifications à un compte d’utilisateur : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Assurez-vous que les services de répertoire du Mac OS X Server que vous utilisez ont été configurés pour accéder au domaine de répertoire qui vous intéresse. 3 Pour obtenir des instructions, reportez-vous au guide d’administration Open Directory. Cliquez sur le petit globe situé au-dessus de la liste des comptes, puis choisissez le domaine dans lequel réside le compte d’utilisateur. 4 Pour être authentifié, cliquez sur le cadenas. 5 Cliquez sur le bouton Utilisateurs et sélectionnez l’utilisateur. 6 Modifiez les réglages de l’utilisateur dans les onglets fournis. Pour plus de détails, lisez la section “Travail avec des réglages élémentaires pour utilisateurs” à la page 74 jusqu’à “Travail avec des réglages d’impression pour utilisateurs” à la page 93. Modification simultanée de plusieurs utilisateurs Vous pouvez utiliser le Gestionnaire de groupe de travail pour apporter simultanément les mêmes modifications à plusieurs comptes d’utilisateur qui résident dans le répertoire LDAP d’un maître Open Directory, d’un domaine NetInfo ou de tout autre domaine de répertoire. Pour modifier plusieurs utilisateurs : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez les comptes d’utilisateur à modifier. Cliquez sur l’icône en forme de globe située sous la barre d’outils, choisissez le domaine de répertoire, puis cliquez sur chaque utilisateur tout en maintenant la touche Commande enfoncée. 3 Pour être authentifié, cliquez sur le cadenas. 4 Cliquez pour afficher la sous-fenêtre à utiliser, puis procédez à vos modifications dans les champs que le Gestionnaire de groupe de travail vous autorise à mettre à jour. Modification des comptes dans un maître Open Directory Vous pouvez modifier les comptes du répertoire LDAP d’un Open Directory si vous êtes autorisé à administrer le maître de domaine de répertoire mais pas le serveur lui-même. L’option “L’utilisateur peut administrer ce domaine de répertoire” de la sous-fenêtre Élémentaire de Comptes, dans Gestionnaire de groupe de travail, doit être cochée. F0170.book Page 69 Monday, May 2, 2005 12:37 PM70 Chapitre 4 Configuration des comptes d’utilisateur Si vous ne disposez pas de cette autorisation, vous devez vous authentifier auprès du domaine de répertoire via le compte d’administrateur de répertoire créé dans Mac OS X Server lorsque vous spécifiez que votre serveur est un répertoire maître dans l’utilitaire Admin Serveur. L’identifiant d’utilisateur UID, le nom d’utilisateur et le mot de passe du compte d’administrateur de répertoire (par défaut, l’identifiant d’utilisateur modifiable est 1000 et le nom d’utilisateur, “diradmin”) sont définis par l’administrateur du serveur lors de la création du répertoire. Pour modifier des comptes : 1 Utilisez un ordinateur administrateur configuré (via la sous-fenêtre Services de Format de répertoire) pour accéder au serveur hébergeant le maître Open Directory. 2 Ouvrez le Gestionnaire de groupe de travail sur l’ordinateur administrateur. 3 Une fois la fenêtre d’ouverture de session affichée, choisissez Serveur > Afficher les répertoires. 4 Cliquez sur l’icône en forme de petit globe située au-dessus de la liste des comptes et choisissez Autre dans le menu local. 5 Ouvrez le domaine de répertoire à administrer et cliquez sur le cadenas pour être authentifié en tant qu’administrateur du domaine. Ces instructions sont valables pour un seul et unique administrateur de domaine. Si plusieurs comptes d’administrateur de domaine ont été créés dans le domaine de répertoire, vous pouvez utiliser indifféremment l’un de ces comptes pour déverrouiller le répertoire. Utilisation de comptes d’utilisateur en lecture seule Vous pouvez utiliser le Gestionnaire de groupe de travail pour consulter des informations sur les comptes d’utilisateur stockés dans des domaines de répertoire en lecture seule. Les domaines de répertoires en lecture seule incluent les domaines LDAPv2, les domaines LDAPv3 non configurés pour l’accès en écriture et les fichiers de configuration BSD Pour travailler avec un compte d’utilisateur de type “lecture seule” : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Assurez-vous que les services de répertoire de Mac OS X Server que vous utilisez ont été configurés pour accéder au domaine de répertoire dans lequel réside le compte. Pour plus d’informations sur l’utilisation de Format de répertoire pour configurer des connexions serveur, reportez-vous au guide d’administration Open Directory. Pour en savoir plus sur les éléments du compte d’utilisateur qui nécessitent un mappage, consultez l’Annexe A, “Importation et exportation d’informations de compte”. 3 Cliquez sur le petit globe situé au-dessus de la liste des comptes, puis choisissez le domaine de répertoire dans lequel réside le compte d’utilisateur. 4 Utilisez les onglets fournis pour passer en revue les réglages du compte de l’utilisateur. F0170.book Page 70 Monday, May 2, 2005 12:37 PMChapitre 4 Configuration des comptes d’utilisateur 71 Pour plus de détails, lisez la section “Travail avec des réglages élémentaires pour utilisateurs” à la page 74 jusqu’à “Travail avec des réglages d’impression pour utilisateurs” à la page 93. Définition d’un utilisateur invité Vous pouvez configurer certains services en vue de gérer les utilisateurs “anonymes”. Il s’agit des utilisateurs qui ne peuvent être authentifiés car ils ne disposent pas d’un nom d’utilisateur ou d’un mot de passe valides. Les services suivants peuvent être configurés pour gérer les utilisateurs anonymes : • Services Windows (voir le guide des services Windows pour toute information sur la configuration de l’accès en invité) • Service de fichiers Apple (voir le guide d’administration des services de fichiers pour toute information sur la configuration de l’accès en invité) • Service FTP (voir le guide d’administration des services de fichiers pour toute information sur la configuration de l’accès en invité) • Service Web (voir le guide d’administration des technologies Web pour toute information sur la configuration de l’accès en invité) L’accès des utilisateurs qui se connectent de manière anonyme à un serveur est limité aux fichiers, dossiers et sites Web dont les autorisations sont réglées sur Tous. Il existe un autre type d’utilisateurs invités : les utilisateurs gérés que vous pouvez définir pour permettre une configuration simplifiée d’ordinateurs publics (ou kiosques informatiques). Pour plus d’informations sur ce type d’utilisateurs, consultez le chapitre 9, “Gestion des préférences”, à la page 157. Suppression d’un compte d’utilisateur Le Gestionnaire de groupe de travail permet de supprimer un compte d’utilisateur stocké dans le répertoire LDAP d’un maître Open Directory ou d’un domaine NetInfo. Pour supprimer un compte d’utilisateur à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte d’utilisateur à supprimer. Pour trouver le compte, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte, puis sélectionnez l’utilisateur. 3 Pour être authentifié, cliquez sur le cadenas. 4 Choisissez Serveur > Effacer l’utilisateur sélectionné ou cliquez sur l’icône Supprimer de la barre d’outils. Avertissement : cette action est irréversible. F0170.book Page 71 Monday, May 2, 2005 12:37 PM72 Chapitre 4 Configuration des comptes d’utilisateur Désactivation d’un compte d’utilisateur Pour désactiver un compte d’utilisateur, vous pouvez : • Décocher l’option “L’utilisateur peut se connecter” dans la sous-fenêtre Élémentaire du Gestionnaire de groupe de travail. • Supprimer le compte. • Remplacer le mot de passe d’utilisateur par une valeur inconnue. • Définir une stratégie de mot de passe qui désactive l’ouverture de session (pour un compte d’utilisateur disposant d’un mot de passe de type Open Directory). Utilisation de préréglages pour les comptes d’utilisateur Les préréglages fonctionnent comme des modèles vous permettant de définir les attributs automatiquement appliqués aux nouveaux comptes d’utilisateur et de groupe. Création d’un préréglage pour des comptes d’utilisateur Vous pouvez créer un ou plusieurs préréglages à choisir lors de la création de nouveaux comptes d’utilisateur dans un domaine de répertoire particulier. Pour créer un préréglage pour des comptes d’utilisateurs : 1 Ouvrez le Gestionnaire de groupe de travail sur le serveur à partir duquel vous créez les comptes d’utilisateur. Assurez-vous que le serveur a été configuré pour accéder au domaine de répertoire Mac OS X ou LDAPv3 non Apple sur lequel le préréglage sera utilisé pour créer de nouveaux comptes. Pour passer d’un domaine à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. 2 Cliquez sur Comptes. 3 Pour créer un préréglage à l’aide de données stockées dans un compte d’utilisateur existant, ouvrez le compte. Pour créer un préréglage à l’aide d’un compte d’utilisateur vide, créez un compte d’utilisateur. 4 Remplissez les champs avec les valeurs que vous souhaitez voir héritées par les nouveaux comptes d’utilisateur. Supprimez les valeurs que vous ne souhaitez pas inclure dans les préréglages si vous prenez comme point de départ un compte existant. Les attributs suivants peuvent être définis dans un préréglage de compte d’utilisateur :réglages de mot de passe, autorisations d’administrateur, réglages de répertoire de départ, quotas, shell par défaut, identifiant de groupe principal, liste des membres du groupe, commentaire, réglages d’ouverture de session, réglages d’impression et réglages de courrier. 5 Cliquez sur Préférences, configurez les réglages que vous souhaitez inclure dans le préréglage, puis puis cliquez sur Comptes. Après avoir configuré les préférences d’un préréglage, vous devez retourner aux réglages de Comptes pour enregistrer le préréglage. F0170.book Page 72 Monday, May 2, 2005 12:37 PMChapitre 4 Configuration des comptes d’utilisateur 73 6 Choisissez Enregistrer le préréglage dans le menu local Préréglages, tapez un nom pour le préréglage, puis cliquez sur OK. Le préréglage est enregistré dans le domaine de répertoire actuel. Utilisation de préréglages pour créer des comptes Les préréglages constituent un moyen rapide pour appliquer des réglages à un nouveau compte. Après avoir appliqué le préréglage, vous pouvez si nécessaire continuer à modifier les réglages du nouveau compte. Pour créer un compte à l’aide d’un préréglage : 1 Ouvrez le Gestionnaire de groupe de travail sur un serveur configuré pour accéder au domaine de répertoire Mac OS X ou LDAPv3 non Apple dans lequel le préréglage sera utilisé pour créer le nouveau compte. 2 Cliquez sur Comptes. 3 Cliquez sur le petit globe situé au-dessus de la liste des comptes, puis choisissez le domaine de répertoire dans lequel vous souhaitez faire résider le nouveau compte. 4 Pour être authentifié, cliquez sur le cadenas. 5 Choisissez un élément dans le menu local Préréglages. Si vous comptez importer un fichier, choisissez un préréglage dans la zone de dialogue des options d’importation. 6 Créez un compte de manière interactive ou à l’aide d’un fichier d’importation. Si un réglage est spécifié à la fois dans le préréglage et dans le fichier d’importation, la valeur dans le fichier est utilisée. Si un réglage est spécifié dans le préréglage mais pas dans le fichier d’importation, la valeur du préréglage est utilisée. 7 Si nécessaire, ajoutez ou mettez à jour des valeurs d’attribut de manière interactive ou à l’aide d’un fichier d’importation. Renommer des préréglages Attribuez un nom à vos préréglages pour vous aider à vous souvenir des réglages modèles ou à identifier le type de compte d’utilisateur, de compte de groupe ou de liste d’ordinateurs auquel ce préréglage convient le mieux. Il est possible de renommer les préréglages si nécessaire. Pour renommer un préréglage : 1 Ouvrez le Gestionnaire de groupe de travail sur le serveur où le préréglage a été défini. 2 Cliquez sur Comptes. 3 Choisissez Renommer le préréglage dans le menu local Préréglages. 4 Saisissez le nouveau nom et cliquez sur OK. F0170.book Page 73 Monday, May 2, 2005 12:37 PM74 Chapitre 4 Configuration des comptes d’utilisateur Modification de préréglages Lorsque vous modifiez un préréglage, les comptes existants qu’il a contribué à créer ne sont pas mis à jour pour refléter vos modifications. Pour modifier un préréglage : 1 Ouvrez le Gestionnaire de groupe de travail sur le serveur où le préréglage a été défini. 2 Cliquez sur Comptes. 3 Choisissez un élément dans le menu local Préréglages. 4 Après avoir terminé vos modifications, choisissez Enregistrer le préréglage dans le menu local Préréglages. Vous pouvez également modifier un préréglage tout en l’utilisant pour créer un compte : il vous suffit alors de changer tout champ défini par le préréglage, puis de l’enregistrer. Suppression de préréglages Vous pouvez supprimer les préréglages dont vous n’avez plus besoin. Pour supprimer un préréglage : 1 Ouvrez le Gestionnaire de groupe de travail sur le serveur où le préréglage a été défini. 2 Cliquez sur Comptes. 3 Choisissez Supprimer le préréglage dans le menu local Préréglages. 4 Sélectionnez le préréglage à supprimer, puis cliquez sur Supprimer. Travail avec des réglages élémentaires pour utilisateurs Les réglages élémentaires sont un ensemble d’attributs devant être définis pour tous les utilisateurs. Dans le Gestionnaire de groupe de travail, utilisez la sous-fenêtre Élémentaire de la fenêtre du compte d’utilisateur pour utiliser des réglages élémentaires. Définition de noms complets d’utilisateurs Le nom d’utilisateur correspond au nom complet d’un utilisateur, comme par exemple Jeanne Dubois ou Dr Pierre Martin (il est parfois appelé nom réel). Les utilisateurs peuvent se connecter à l’aide du nom d’utilisateur ou du nom abrégé associés à leur compte. Les noms complets d’utilisateur sont sensibles à la casse dans la fenêtre d’ouverture de session, de sorte que l’ouverture de session échoue si un utilisateur tape MARIE DUPONT au lieu de Marie Dupont. Les noms d’utilisateur ne sont toutefois pas sensibles à la casse lorsqu’ils sont utilisés pour authentifier un utilisateur afin de lui accorder l’accès à un serveur de fichiers ou pour ouvrir une session à partir de clients Mac OS 9 Gestionnaire Macintosh. F0170.book Page 74 Monday, May 2, 2005 12:37 PMChapitre 4 Configuration des comptes d’utilisateur 75 Un nom complet d’utilisateur ne peut pas contenir plus de 255 octets. Comme les noms complets d’utilisateur gèrent plusieurs jeux de caractères, le nombre maximal de caractères peut varier de 255 caractères romains à 85 caractères (pour les jeux de caractères qui occupent jusqu’à 3 octets). Le Gestionnaire de groupe de travail permet de modifier le nom d’utilisateur d’un compte stocké dans le répertoire LDAP d’un maître Open Directory, d’un domaine NetInfo ou de tout autre domaine de répertoire en lecture/écriture. Vous pouvez également utiliser le Gestionnaire de groupe de travail pour revoir les noms d’utilisateur de tout domaine de répertoire accessible à partir du serveur que vous utilisez. Pour travailler avec le nom d’utilisateur à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte à utiliser. Pour cela, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte, puis sélectionnez l’utilisateur dans la liste des utilisateurs. 3 Pour être authentifié, cliquez sur le cadenas. 4 Dans le champ Nom de la sous-fenêtre Élémentaire, vérifiez le nom d’utilisateur et modifiez-le si nécessaire. La valeur initiale du nom d’utilisateur correspond à “Sans titre ”. Après la modification du nom, le Gestionnaire de groupe de travail ne vérifie pas si celui-ci est unique. Évitez d’attribuer le même nom à plusieurs utilisateurs. Bien que le Gestionnaire de groupe de travail ne vous permette pas d’attribuer le même nom à plusieurs utilisateurs d’un domaine particulier ou de tout domaine qui se trouve dans le chemin de recherche (politique de recherche) du serveur que vous utilisez, il n’a aucun moyen de détecter la présence éventuelle de doublons dans les autres domaines. Définition de noms abrégés d’utilisateurs Un nom abrégé correspond à la version abrégée d’un utilisateur, comme par exemple ebrown ou arnoldsmith. Les utilisateurs peuvent se connecter à l’aide du nom abrégé ou du nom d’utilisateur associé à leur compte. Le nom abrégé est utilisé par Mac OS X pour les répertoires de départ et les groupes : • Lorsque Mac OS X crée automatiquement un répertoire de départ (local ou AFP en réseau) pour un utilisateur, il lui donne le nom abrégé de l’utilisateur. Pour plus d’informations sur les répertoires de départ, consultez le chapitre 7, “Configuration des répertoires de départ”. F0170.book Page 75 Monday, May 2, 2005 12:37 PM76 Chapitre 4 Configuration des comptes d’utilisateur • Lorsque Mac OS X vérifie si un utilisateur appartient à un groupe autorisé à accéder à un fichier particulier, il utilise des noms abrégés pour retrouver les identifiants d’utilisateur des membres du groupe. Pour obtenir un exemple, reportez-vous à la section “Mesures de prévention contre les doublons de noms abrégés” à la page 79. Vous pouvez associer jusqu’à 16 noms abrégés à un compte d’utilisateur. Ces noms abrégés peuvent par exemple servir d’alias pour les comptes de courrier. Le premier nom abrégé étant le nom utilisé pour les répertoires de départ et les listes des membres du groupe, ne l’attribuez pas à nouveau après avoir enregistré le compte d’utilisateur. Un nom abrégé d’utilisateur peut contenir jusqu’à 255 caractères romains. Toutefois, pour les clients qui utilisent Mac OS X 10.1.5 et versions antérieures, le premier nom abrégé d’utilisateur ne peut contenir plus de 8 caractères. N’utilisez que les caractères ci-après pour le premier nom abrégé d’utilisateur (les noms abrégés suivants peuvent contenir n’importe quel caractère romain) : • de a à z • de a à z • de 0 à 9 • _ (trait de soulignement) Les noms abrégés contiennent généralement huit caractères au maximum. Le Gestionnaire de groupe de travail permet de modifier le nom abrégé d’un compte stocké dans le répertoire LDAP d’un maître Open Directory, d’un domaine NetInfo ou de tout autre domaine de répertoire en lecture/écriture. Vous pouvez également utiliser le Gestionnaire de groupe de travail pour revoir les noms abrégés de tout domaine de répertoire accessible à partir du serveur que vous utilisez. Pour travailler avec un nom abrégé d’utilisateur à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte que vous souhaitez utiliser. Pour sélectionner le compte, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte, puis sélectionnez le compte d’utilisateur. 3 Pour être authentifié, cliquez sur le cadenas. 4 Dans le champ Noms abrégés de la sous-fenêtre Élémentaire, vérifiez les noms abrégés ou modifiez-les si nécessaire. La valeur initiale du nom abrégé correspond à “Sans titre”. Si vous spécifiez plusieurs noms abrégés, ils doivent être sur des lignes différentes. F0170.book Page 76 Monday, May 2, 2005 12:37 PMChapitre 4 Configuration des comptes d’utilisateur 77 Évitez d’attribuer le même nom abrégé à plusieurs utilisateurs. Bien que le Gestionnaire de groupe de travail ne vous permette pas d’attribuer le même nom abrégé à plusieurs utilisateurs d’un domaine particulier ou de tout domaine qui se trouve dans le chemin de recherche (politique de recherche) du serveur que vous utilisez, il n’a aucun moyen de détecter la présence éventuelle de doublons dans les autres domaines. Une fois le compte d’utilisateur enregistré, vous ne pouvez plus modifier le premier nom abrégé, mais vous pouvez en revanche modifier les autres dans une liste de noms abrégés. Choix de noms abrégés permanents Lorsque vous créez des groupes, Mac OS X identifie les utilisateurs qui en font partie par leur premier nom abrégé, qui ne peut être modifié. Si vous devez absolument modifier un nom abrégé, vous pouvez créer pour l’utilisateur un compte (dans le même domaine de répertoire) qui contient le nouveau nom abrégé mais conserve toutes les autres informations (identifiant d’utilisateur, groupe principal, répertoire de départ, etc.). Vous pouvez ensuite désactiver l’ouverture de session pour l’ancien compte d’utilisateur. Désormais, l’utilisateur peut se connecter à l’aide du nom modifié, tout en continuant à disposer du même accès aux fichiers et autres ressources de réseaux qu’auparavant. (Pour plus d’informations sur la désactivation d’un compte de connexion, consultez la section “Désactivation d’un compte d’utilisateur” à la page 72.) Eviter les doublons de noms Si des comptes d’utilisateur différents portent le même nom (nom d’utilisateur ou nom abrégé) sur un ordinateur Mac OS X, la fenêtre d’ouverture de session affichera la liste des utilisateurs afin que vous puissiez choisir. Il s’agit d’une nouvelle fonctionnalité de Mac OS X 10.4 qui n’est pas prise en charge par les versions antérieures. F0170.book Page 77 Monday, May 2, 2005 12:37 PM78 Chapitre 4 Configuration des comptes d’utilisateur Prenons l’exemple de trois domaines de répertoire partagés après la création de leurs utilisateurs. Tony Smith a un compte dans le domaine Étudiants et Tom Smith un compte dans le domaine racine. Aux deux comptes sont associés le nom abrégé “tsmith” et le mot de passe “smitty”. Lorsque Tony ouvre une session sur son ordinateur avec le nom d’utilisateur “tsmith” et le mot de passe “smitty”, la fenêtre d’ouverture de session affiche les deux utilisateurs dont les comptes disposent des mêmes nom abrégé et mot de passe (Tony Smith et Tom Smith). Si Tony sélectionne le nom de Tom, il peut se connecter en tant que Tom et accéder aux fichiers de Tom, ce qui n’est pas l’effet recherché. À présent, admettons que Tony et Tom ont le même nom abrégé mais des mots de passe différents. / Étudiants Faculté Ordinateur de Tony Tony Smith (tsmith,smitty) Tom Smith (tsmith,smitty) Ordinateur de Tom / Étudiants Faculté Ordinateur de Tony Tony Smith (tsmith, tony) Tom Smith (tsmith,smitty) Ordinateur de Tom F0170.book Page 78 Monday, May 2, 2005 12:37 PMChapitre 4 Configuration des comptes d’utilisateur 79 Si Tom tente d’ouvrir une session sur l’ordinateur de Tony à l’aide du nom abrégé “tsmith” et de son propre mot de passe (smitty), Mac OS X trouve “tsmith” dans les deux domaines et propose à Tom de choisir le nom d’utilisateur sous lequel il souhaite être authentifié. Sa seule option est de s’authentifier auprès de son enregistrement d’utilisateur dans le domaine root, avec son propre mot de passe. Si Tony dispose, dans son domaine de répertoire local, d’un enregistrement d’utilisateur comprenant les mêmes nom et mot de passe que son enregistrement dans le domaine Étudiants, il peut toujours choisir l’identifiant d’utilisateur sous lequel il souhaite se connecter. Le domaine local de Tony devrait offrir une combinaison nom/mot de passe le distinguant de l’enregistrement du domaine Étudiants. Si le domaine Étudiants n’est pas accessible (lorsque Tony travaille chez lui, par exemple), il ne peut s’y connecter que si son compte est configuré comme un compte mobile. Dans ce cas, il peut utiliser les fichiers de son ordinateur créés sous l’utilisateur mobile. Tony pourra toujours choisir dans la fenêtre d’ouverture de session le nom d’utilisateur sous lequel il souhaite s’authentifier si son identifiant d’utilisateur est le même dans le domaine local et dans le domaine Étudiants. Les doublons de noms abrégés peuvent avoir des effets indésirables dans les enregistrements de groupe (voir section suivante). Mesures de prévention contre les doublons de noms abrégés Les noms abrégés étant utilisés pour trouver les identifiants d’utilisateur des membres de groupe, si des noms abrégés sont dupliqués, l’accès aux fichiers peut être accordé à des groupes auxquels vous ne souhaitiez pas autoriser l’accès. F0170.book Page 79 Monday, May 2, 2005 12:37 PM80 Chapitre 4 Configuration des comptes d’utilisateur Reportez-vous à l’exemple de Tony et Tom Smith, qui sont tous deux dotés du même nom abrégé. Supposons que l’administrateur ait créé un groupe dans le domaine racine auquel tous les étudiants appartiennent. Le groupe - Touslesétudiants - a un identifiant de groupe de 2017. Maintenant, supposons qu’un fichier, MonDoc, soit situé sur un ordinateur accessible à Tony et Tom. Le fichier a pour propriétaire un utilisateur dont l’identifiant est 127. Il dispose d’autorisations d’accès en lecture seule pour Touslesétudiants. Tony, et non Tom, a été ajouté au groupe Touslesétudiants, mais comme la liste des membres d’un groupe est constituée de noms abrégés plutôt que d’identifiants d’utilisateur et que le nom abrégé tsmith est répertorié comme membre de Touslesétudiants, Tony et Tom seront tous deux membres effectifs de Touslesétudiants. Si Tom tente d’accéder à MonDoc, Mac OS X détermine que les autorisations de possesseur ne s’appliquent pas à Tom et poursuit pour vérifier si les autorisations de groupe peuvent être appliquées à Tom. Mac OS X recherche dans la hiérarchie d’ouverture de session les enregistrements d’utilisateur dont les noms abrégés correspondent à ceux associés à Touslesétudiants. L’enregistrement d’utilisateur de Tom est trouvé (nom abrégé tsmith), car il est situé dans la hiérarchie d’ouverture de session, et l’identifiant d’utilisateur de l’enregistrement est comparé à l’identifiant d’ouverture de session de Tom. Etant donné qu’ils se correspondent, Tom est autorisé à lire MonDoc, même s’il n’est pas membre de Touslesétudiants. / Étudiants Faculté Ordinateur de Tony Tony Smith (tsmith,smitty, UID 3000) Tom Smith (tsmith,smitty, UID 2000) Touslesétudiants (tsmith, GID 2017) Ordinateur de Tom MonDoc Possesseur 127 : lecture et écriture Groupe 2017 : lecture seulement Autres : aucun F0170.book Page 80 Monday, May 2, 2005 12:37 PMChapitre 4 Configuration des comptes d’utilisateur 81 Définition d’identifiants d’utilisateur Un identifiant d’utilisateur est un chiffre qui permet d’identifier un utilisateur de manière unique. Les ordinateurs Mac OS X utilisent l’identifiant d’utilisateur pour assurer le suivi des répertoires et fichiers que possède un utilisateur. Lorsqu’un utilisateur crée un répertoire ou un fichier, l’identifiant d’utilisateur est stocké en tant qu’identifiant du créateur. Un utilisateur doté de cet identifiant dispose par défaut d’autorisations en lecture et écriture pour le répertoire ou le fichier créé. L’identifiant doit consister en une chaîne unique de chiffres compris entre 500 et 2 147 483 648. L’affectation du même identifiant à différents utilisateurs est risquée car deux utilisateurs dotés du même identifiant disposent des mêmes autorisations d’accès aux répertoires et aux fichiers. L’identifiant d’utilisateur 0 est réservé à l’utilisateur root. Les identifiants inférieurs à 100 sont réservés au système ; les utilisateurs portant ces identifiants ne peuvent être supprimés ou modifiés, sauf pour changer le mot de passe de l’utilisateur root. En règle générale, vous ne devez plus modifier les identifiants d’utilisateur une fois qu’ils ont été attribués et que les utilisateurs ont commencé à créer des fichiers et des répertoires sur un réseau. Vous pourriez cependant être amené à transgresser cette règle si vous fusionnez des utilisateurs créés sur des serveurs différents en un seul serveur ou groupe de serveurs. Il se peut alors qu’un même identifiant d’utilisateur ait été associé à un autre utilisateur sur le serveur précédent. Lorsque vous créez un compte d’utilisateur dans un domaine de répertoire partagé quelconque, le Gestionnaire de groupe de travail affecte automatiquement un identifiant d’utilisateur. La valeur attribuée correspond à un identifiant inutilisé (1 025 ou plus) dans le chemin de recherche du serveur. (Les nouveaux utilisateurs créés à l’aide de la sous-fenêtre des préférences de comptes des ordinateurs Mac OS X reçoivent des identifiants qui commencent à 501.) Le Gestionnaire de groupe de travail permet de modifier l’identifiant d’un compte stocké dans le répertoire LDAP d’un maître Open Directory ou d’un domaine NetInfo. Vous pouvez également utiliser le Gestionnaire de groupe de travail pour examiner l’identifiant d’utilisateur dans tout domaine de répertoire accessible à partir du serveur que vous utilisez. Pour changer un identifiant d’utilisateur dans le Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte que vous souhaitez utiliser. Pour sélectionner un compte, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte d’utilisateur, puis sélectionnez l’utilisateur. F0170.book Page 81 Monday, May 2, 2005 12:37 PM82 Chapitre 4 Configuration des comptes d’utilisateur 3 Pour être authentifié, cliquez sur le cadenas. 4 Dans la sous-fenêtre Élémentaire, spécifiez une valeur dans le champ “Id. d’utilisateur”. Cette valeur doit être unique dans la politique de recherche (chemin de recherche) des ordinateurs auxquels l’utilisateur se connectera. Définition de mots de passe Pour plus d’informations sur la définition des mots de passe, consultez le guide d’administration Open Directory. Réglage des options de mot de passe pour les utilisateurs importés Lorsque vous exportez des utilisateurs à l’aide de Gestionnaire de groupe de travail, les informations des mots de passe ne sont pas exportées. Pour définir des mots de passe, vous pouvez soit modifier le fichier d’exportation avant de l’importer, soit définir des mots de passe après l’importation. Il est également possible de créer manuellement un fichier d’importation délimité par du texte et d’y insérer des mots de passe. Pour apprendre comment utiliser des fichiers d’importation, reportez-vous à l’annexe A. Pour définir des options de mot de passe après l’importation : 1 Importez les utilisateurs à l’aide du Gestionnaire de groupe de travail ou de l’outil de ligne de commande dsimport. 2 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 3 Ouvrez le répertoire contenant les utilisateurs importés. 4 Sélectionnez les utilisateurs dont vous souhaitez définir les options de mot de passe. 5 Cliquez sur Avancé. 6 Assurez-vous que le Type du mot de passe est réglé sur Open Directory, cliquez sur Options, définissez les options de mot de passe et cliquez sur OK. 7 Cliquez sur Enregistrer. Pour en savoir plus sur l’importation des utilisateurs, consultez l’annexe A. Pour plus d’informations sur les mots de passe Open Directory, reportez-vous au guide d’administration Open Directory. Attribution de droits d’administrateur pour un serveur Un utilisateur disposant d’autorisations d’administration de serveur peut contrôler la plupart des réglages de configuration du serveur et utiliser des applications, telles qu’Admin Serveur, qui requièrent que l’utilisateur soit membre du groupe d’administration du serveur. F0170.book Page 82 Monday, May 2, 2005 12:37 PMChapitre 4 Configuration des comptes d’utilisateur 83 Le Gestionnaire de groupe de travail permet d’attribuer des autorisations d’administrateur de serveur au répertoire LDAP d’un maître Open Directory ou d’un domaine NetInfo. Vous pouvez également utiliser le Gestionnaire de groupe de travail pour revoir les autorisations d’administrateur de serveur de tout domaine de répertoire accessible à partir du serveur que vous utilisez. Pour définir des autorisations d’administrateur de serveur dans le Gestionnaire de groupe de travail : 1 Connectez-vous au Gestionnaire de groupe de travail en spécifiant le nom ou l’adresse IP du serveur pour lequel vous souhaitez attribuer des autorisations d’administration. 2 Cliquez sur Comptes. 3 Cliquez sur le petit globe situé au-dessus de la liste des comptes, puis choisissez le domaine de répertoire dans lequel réside le compte d’utilisateur. 4 Pour être authentifié, cliquez sur le cadenas. 5 Dans la sous-fenêtre Élémentaire, sélectionnez l’option “L’utilisateur peut administrer le serveur” afin d’accorder des autorisations d’administration de serveur. Attributions de droits d’administrateur pour un domaine de répertoire Un utilisateur disposant d’autorisations d’administration pour un domaine de répertoire Apple peut, à l’aide du Gestionnaire de groupe de travail, modifier les comptes d’utilisateur, les comptes de groupe et les listes d’ordinateurs stockés dans ce domaine. Les modifications que peut apporter l’utilisateur sont limitées à celles que vous spécifiez. Le Gestionnaire de groupe de travail permet d’attribuer des autorisations d’administration de domaine de répertoire à un compte stocké dans le répertoire LDAP d’un maître Open Directory ou d’un domaine NetInfo. Vous pouvez également utiliser le Gestionnaire de groupe de travail pour revoir ces autorisations dans tout domaine de répertoire accessible à partir du serveur que vous utilisez. Pour définir des autorisations d’administration de domaine de répertoire dans le Gestionnaire de groupe de travail : 1 Assurez-vous que l’utilisateur possède un compte dans le répertoire de domaine. 2 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 3 Sélectionnez le compte d’utilisateur. Pour cela, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte d’utilisateur, puis sélectionnez le compte. 4 Pour être authentifié, cliquez sur le cadenas. 5 Dans la sous-fenêtre Élémentaire, sélectionnez l’option L’utilisateur peut administrer ce domaine de répertoire. F0170.book Page 83 Monday, May 2, 2005 12:37 PM84 Chapitre 4 Configuration des comptes d’utilisateur 6 Pour spécifier ce que l’utilisateur pourra administrer dans le domaine, cliquez sur Autorisations. Par défaut, l’utilisateur ne dispose pas d’autorisations de domaine de répertoire. 7 Cliquez sur le bouton Utilisateurs, Groupes ou Listes d’ordinateurs et effectuez vos réglages. Si vous ne cochez aucune case (telle que L’administrateur peut modifier les préférences d’utilisateur), l’utilisateur pourra voir les informations de compte ou les préférences dans le Gestionnaire de groupe de travail, mais il ne pourra pas les modifier. Pour ajouter un élément à la zone des éléments “ci-dessous” (située à droite), faites-le glisser à partir de la liste Disponible (située à gauche). Pour supprimer un élément, sélectionnez-le, puis appuyez sur la touche de suppression du clavier. GUID Disponible depuis Mac OS X 10.4, l’identifiant universel appelé identifiant unique global (GUID) fournit à l’utilisateur et au groupe une identité pour les autorisations ACL. Le GUID associe également un utilisateur à des abonnements de groupe et de groupe imbriqué. Vous trouverez des informations sur les GUID et leurs implications à l’Annexe B. Travail avec des réglages avancés pour utilisateurs Les réglages avancés comprennent les réglages d’ouverture de session, les mots de passe, la politique de validation de mot de passe et un champ de commentaire. Dans le Gestionnaire de groupe de travail, utilisez la sous-fenêtre Avancé située dans la fenêtre du compte d’utilisateur pour utiliser des réglages avancés. Définition de réglages d’ouverture de session En spécifiant des réglages d’ouverture de session pour l’utilisateur, vous pouvez : • Contrôler si l’utilisateur peut être authentifié à l’aide du compte. • Autoriser ou empêcher un utilisateur géré de se connecter simultanément à plusieurs ordinateurs gérés. • Indiquer si l’utilisateur d’un ordinateur géré peut ou doit sélectionner un groupe de travail lors de l’ouverture de session ou si vous souhaitez éviter d’afficher les groupes de travail lorsque l’utilisateur ouvre sa session. • Identifier le shell par défaut, tel que /bin/csh ou /bin/bash (valeur par défaut), employé par l’utilisateur pour les interactions de ligne de commande avec Mac OS X. Ce shell est utilisé par l’application Terminal de l’ordinateur sur lequel l’utilisateur s’est connecté, mais la préférence de Terminal vous permet de l’écraser. Le shell par défaut est utilisé par SSH (Secure Shell) ou Telnet lorsque l’utilisateur se connecte à un ordinateur Mac OS X distant. F0170.book Page 84 Monday, May 2, 2005 12:37 PMChapitre 4 Configuration des comptes d’utilisateur 85 Le Gestionnaire de groupe de travail permet de définir les réglages de connexion d’un compte stocké dans le répertoire LDAP d’un maître Open Directory, d’un domaine NetInfo ou de tout autre domaine de répertoire en lecture/écriture. Vous pouvez également utiliser le Gestionnaire de groupe de travail pour revoir les réglages de connexion de tout domaine de répertoire accessible à partir du serveur que vous utilisez. Pour utiliser des réglages de connexion à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte que vous souhaitez utiliser. Pour cela, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte, puis sélectionnez l’utilisateur dans la liste des utilisateurs. 3 Pour être authentifié, cliquez sur le cadenas. 4 Cliquez sur Avancé. 5 Sélectionnez Autoriser les ouvertures de session simultanées pour permettre à un utilisateur de se connecter à plusieurs ordinateurs gérés à la fois. Remarque : les ouvertures de session simultanées sont généralement déconseillées. Il est préférable de les réserver à l’équipe technique, aux professeurs ou à d’autres utilisateurs disposant d’autorisations d’administrateur. (Les utilisateurs qui disposent d’un répertoire de départ réseau stockent leurs préférences d’applications et leurs documents dans cet emplacement. Les ouvertures de session simultanées risquent de modifier ces éléments ; de nombreuses applications ne permettent pas ce type de modifications lorsqu’elles sont ouvertes.) Vous ne pouvez pas désactiver les ouvertures de session simultanées pour les utilisateurs disposant de répertoires de départ NFS. 6 Pour spécifier le shell par défaut de l’utilisateur lors de sa connexion sur un ordinateur Mac OS X computer, choisissez un shell dans le menu local Shell d’accès. Remarque : il existe dans Terminal une préférence qui permet à utilisateur de redéfinir le shell par défaut. Pour introduire un shell ne figurant pas dans la liste, cliquez sur Personnalisé. Pour s’assurer qu’un utilisateur ne peut pas accéder au serveur à distance via une ligne de commande, choisissez Aucun. F0170.book Page 85 Monday, May 2, 2005 12:37 PM86 Chapitre 4 Configuration des comptes d’utilisateur Définition d’un type de mot de passe Pour plus d’informations sur la configuration et la gestion des mots de passe, consultez le guide d’administration Open Directory. Création d’une liste maîtresse de mots-clés Vous pouvez définir des mots-clés qui permettent le tri et la recherche rapides d’utilisateurs. L’utilisation de mots-clés peut simplifier des tâches telles que créer des groupes ou modifier plusieurs utilisateurs. Avant de commencer à ajouter des mots-clés aux enregistrements d’utilisateur, vous devez créer une liste maîtresse de mots-clés. La liste de mots-clés affichées dans le panneau Avancé d’un utilisateur sélectionné ne s’applique qu’à cet utilisateur. Pour modifier la liste maîtresse de mots-clés : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte que vous souhaitez utiliser. Pour cela, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte puis sélectionnez l’utilisateur dans la liste des utilisateurs. 3 Pour être authentifié, cliquez sur le cadenas. 4 Cliquez sur Avancé. 5 Cliquez sur le bouton Modifier (crayon) pour afficher la liste maîtresse de mots-clés. La liste maîtresse présente tous les termes utilisables comme mots-clés. Vous pouvez y accéder et la modifier à partir de n’importe quel compte d’utilisateur sélectionné. 6 Pour ajouter un mot-clé à la liste, cliquez sur (+) et saisissez le mot-clé dans le champ. 7 Pour supprimer un mot-clé de la liste et de tous les enregistrements d’utilisateur où il apparaît, sélectionnez-le, choisissez Supprimer les mots-clés effacés des utilisateurs, puis cliquez sur (–). Pour supprimer un mot-clé uniquement de la liste, assurez-vous que l’option “Supprimer les mots-clés effacés des utilisateurs” n’est pas activée, sélectionnez le mot-clé à supprimer, puis cliquez sur (–). 8 Une fois que vous avez terminé de modifier la liste maîtresse, cliquez sur OK. F0170.book Page 86 Monday, May 2, 2005 12:37 PMChapitre 4 Configuration des comptes d’utilisateur 87 Application de mots-clés aux comptes d’utilisateur Il est impossible d’ajouter des mots-clés à plusieurs utilisateurs à la fois, mais vous pouvez toutefois, si nécessaire, supprimer un mot-clé de tous les utilisateurs marqués par ce mot-clé. Pour manipuler les mots-clés d’un compte d’utilisateur individuel : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte que vous souhaitez utiliser. Pour cela, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte puis sélectionnez l’utilisateur dans la liste des utilisateurs. 3 Pour être authentifié, cliquez sur le cadenas. 4 Cliquez sur Avancé. 5 Pour ajouter un mot-clé au compte sélectionné, cliquez sur (+) pour afficher la liste des mots-clés disponibles. Sélectionnez un ou plusieurs termes dans la liste, puis cliquez sur OK. 6 Pour supprimer le mot-clé d’un utilisateur spécifique, sélectionnez le terme à supprimer et cliquez sur (–). 7 Une fois que vous avez terminé d’ajouter ou de supprimer des mots-clés pour l’utilisateur sélectionné, cliquez sur Enregistrer. Modification de commentaires Vous pouvez sauvegarder un commentaire dans le compte d’un utilisateur afin de fournir des informations susceptibles d’aider à l’administration de cet utilisateur. Les commentaires peuvent comporter jusqu’à 32 676 caractères. Le Gestionnaire de groupe de travail permet de définir le commentaire d’un compte stocké dans le répertoire LDAP d’un maître Open Directory, d’un domaine NetInfo ou de tout autre domaine de répertoire en lecture/écriture. Vous pouvez également utiliser le Gestionnaire de groupe de travail pour revoir les commentaires dans tout domaine de répertoire accessible à partir du serveur que vous utilisez. Pour utiliser des commentaires à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte que vous souhaitez utiliser. Pour cela, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte puis sélectionnez l’utilisateur dans la liste des utilisateurs. 3 Pour être authentifié, cliquez sur le cadenas. 4 Cliquez sur Avancé. 5 Modifiez ou passer en revue le contenu du champ Commentaire. F0170.book Page 87 Monday, May 2, 2005 12:37 PM88 Chapitre 4 Configuration des comptes d’utilisateur Travail avec les réglages de groupe pour utilisateurs Les réglages de groupe identifient les groupes dont un utilisateur est membre. Dans Gestionnaire de groupe de travail, utilisez la sous-fenêtre Groupes située dans la fenêtre du compte d’utilisateur pour utiliser les réglages de groupe. Pour obtenir des informations sur l’administration de groupes, consultez le chapitre 5, “Configuration des comptes de groupe”. Définition du groupe principal d’un utilisateur Un utilisateur appartient par défaut à un groupe principal. Vous pouvez faire appartenir le groupe principal à un autre groupe ou imbriquer des groupes dans le groupe principal. Cependant, les préférences définies pour le groupe principal remplacent les préférences définies pour ses groupes imbriqués ou parents. L’identifiant du groupe principal est utilisé par le système de fichiers lorsque l’utilisateur accède à un fichier dont il n’est pas le possesseur. Le système de fichiers vérifie les autorisations de groupe du fichier et, si l’identifiant du groupe principal de l’utilisateur correspond à l’identifiant du groupe associé au fichier, l’utilisateur hérite des autorisations d’accès du groupe. Le groupe principal constitue la manière la plus rapide de déterminer si un utilisateur dispose d’autorisations de groupe pour un fichier. L’identifiant du groupe principal doit être une chaîne de chiffres unique. Sa valeur par défaut est 20 (identifiant du groupe staff), mais vous pouvez la modifier. Sa valeur maximale est 2.147.483.648. Le Gestionnaire de groupe de travail permet de définir l’identifiant de groupe principal d’un compte stocké dans le répertoire LDAP d’un maître Open Directory, d’un domaine NetInfo ou de tout autre domaine de répertoire en lecture/écriture. Vous pouvez également utiliser le Gestionnaire de groupe de travail pour revoir les informations de groupe principal dans tout domaine de répertoire accessible à partir du serveur que vous utilisez. Pour travailler avec un identifiant de groupe principal à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte que vous souhaitez utiliser. Pour cela, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte puis sélectionnez l’utilisateur dans la liste des utilisateurs. 3 Pour être authentifié, cliquez sur le cadenas. 4 Cliquez sur le bouton Groupes. F0170.book Page 88 Monday, May 2, 2005 12:37 PMChapitre 4 Configuration des comptes d’utilisateur 89 5 Modifiez ou passez en revue le contenu du champ Id. du groupe principal. Le Gestionnaire de groupe de travail affiche les noms complet et abrégé du groupe après la saisie d’un identifiant de groupe principal si le groupe existe et s’il est accessible dans le chemin de recherche du serveur auquel vous êtes connecté. Ajout d’un utilisateur à des groupes Ajoutez des utilisateurs à des groupes si vous souhaitez que plusieurs utilisateurs bénéficient des mêmes autorisations d’accès aux fichiers ou si vous souhaitez gérer leurs préférences Mac OS X au moyen de groupes de travail ou de listes d’ordinateurs. Cela pourrait servir, par exemple, à interdire l’accès d’une imprimante à un groupe d’étudiants ou à donner à une équipe de contrôle de la qualité l’accès aux rapports internes de différents groupes. Le Gestionnaire de groupe de travail permet d’ajouter un utilisateur à un groupe si les comptes de l’utilisateur et du groupe se trouvent dans le répertoire LDAP d’un maître Open Directory ou d’un domaine NetInfo. Si le répertoire est implémenté via NFS, tenez compte du fait que l’architecture NFS limite les groupes à 16. Remarque : un utilisateur peut appartenir à un nombre de groupes illimité. Pour ajouter un utilisateur à un groupe à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte d’utilisateur que vous souhaitez utiliser. Pour cela, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte, puis sélectionnez l’utilisateur dans la liste des utilisateurs. 3 Pour être authentifié, cliquez sur le cadenas. 4 Cliquez sur le bouton Groupes. 5 Cliquez sur le bouton Ajouter (+) pour ouvrir un tiroir dans lequel sont affichés les groupes définis dans le domaine de répertoire avec lequel vous travaillez. (Pour insérer des groupes système dans la liste, choisissez Préférences dans le menu Gestionnaire de groupe de travail, puis sélectionnez Afficher utilisateurs et groupes système.) 6 Sélectionnez le groupe, puis faites-le glisser dans la liste Autres groupes de la sousfenêtre Groupes. Vous pouvez également ajouter des utilisateurs à un groupe via le panneau Membres des comptes de groupe. Remarque : si un utilisateur est membre direct de plusieurs groupes, l’obtention des préférences gérées d’un groupe autre que le groupe principal ne pourra avoir lieu qu’à l’ouverture de session. F0170.book Page 89 Monday, May 2, 2005 12:37 PM90 Chapitre 4 Configuration des comptes d’utilisateur Suppression d’un utilisateur dans un groupe Le Gestionnaire de groupe de travail permet de supprimer un utilisateur d’un groupe si les comptes de l’utilisateur et du groupe se trouvent dans le répertoire LDAP d’un maître Open Directory ou d’un domaine NetInfo. Pour supprimer un utilisateur dans un groupe à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte que vous souhaitez utiliser. Pour cela, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte, puis sélectionnez l’utilisateur dans la liste des utilisateurs. 3 Pour être authentifié, cliquez sur le cadenas. 4 Cliquez sur le bouton Groupes. 5 Sélectionnez le ou les groupes dans lesquels vous souhaitez supprimer l’utilisateur, puis cliquez sur le bouton Supprimer (–). Vous pouvez également ajouter des utilisateurs à un groupe via le panneau Membres des comptes de groupe. Vérification des différentes appartenances de groupe d’un utilisateur Vous pouvez employer le Gestionnaire de groupe de travail pour revoir les groupes auxquels un utilisateur appartient, si le compte de ce dernier réside dans un domaine de répertoire accessible à partir du serveur que vous utilisez. Pour revoir les appartenances de groupes à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte que vous souhaitez utiliser. Pour cela, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte, puis sélectionnez l’utilisateur dans la liste des utilisateurs. 3 Pour être authentifié, cliquez sur le cadenas. 4 Cliquez sur le bouton Groupes. Le groupe principal auquel l’utilisateur appartient s’affiche et les autres groupes d’appartenance sont répertoriés dans la liste Autres groupes. F0170.book Page 90 Monday, May 2, 2005 12:37 PMChapitre 4 Configuration des comptes d’utilisateur 91 Utilisation des réglages de répertoires de départ des utilisateurs Les réglages de répertoires de départ décrivent les attributs de répertoires de départ d’un utilisateur. Pour obtenir des informations sur l’utilisation et la configuration de répertoires de départ, lisez le chapitre 7, “Configuration des répertoires de départ”. Utilisation des réglages de courrier des utilisateurs Vous pouvez créer un compte de messagerie Mac OS X Server pour un utilisateur en spécifiant des réglages de courrier dans le compte de cet utilisateur. Pour utiliser le compte, l’utilisateur doit configurer un client de courrier pour l’identification du nom d’utilisateur, du mot de passe, du service et du protocole de courrier que vous avez spécifiés dans les réglages du courrier. Dans le Gestionnaire de groupe de travail, utilisez la sous-fenêtre Courrier située dans la fenêtre du compte d’utilisateur pour définir les réglages de courrier de l’utilisateur. Pour obtenir des informations sur la configuration et la gestion du service de courrier Mac OS X Server, lisez le guide d’administration du service de courrier. Désactivation du service de courrier d’un utilisateur Le Gestionnaire de groupe de travail permet de désactiver le service de courrier des utilisateurs dont les comptes sont stockés dans le répertoire LDAP d’un maître Open Directory, d’un domaine NetInfo ou de tout autre domaine de répertoire en lecture/écriture. Pour désactiver le service de courrier d’un utilisateur à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte que vous souhaitez utiliser. Pour cela, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte, puis sélectionnez l’utilisateur dans la liste des utilisateurs. 3 Pour être authentifié, cliquez sur le cadenas. 4 Cliquez sur Courrier. 5 Sélectionnez Aucun. F0170.book Page 91 Monday, May 2, 2005 12:37 PM92 Chapitre 4 Configuration des comptes d’utilisateur Activation des options de compte de service de courrier Le Gestionnaire de groupe de travail permet d’activer le service de courrier et de définir des options de courrier pour un utilisateur dont le compte est stocké dans le répertoire LDAP d’un maître Open Directory, d’un domaine NetInfo ou de tout autre domaine de répertoire en lecture/écriture. Vous pouvez également utiliser le Gestionnaire de groupe de travail pour revoir les réglages de courrier des comptes stockés dans tout domaine de répertoire accessible à partir du serveur que vous utilisez. Pour utiliser des options de compte de service de courrier d’un utilisateur à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte que vous souhaitez utiliser. Pour cela, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte, puis sélectionnez l’utilisateur dans la liste des utilisateurs. 3 Pour être authentifié, cliquez sur le cadenas. 4 Cliquez sur Courrier. 5 Pour permettre à l’utilisateur d’utiliser le service de courrier, sélectionnez Activé. 6 Saisissez un nom ou une adresse de serveur de courrier valide dans les champs Serveur de courrier pour le nom DNS ou l’adresse IP du serveur vers lequel les messages de l’utilisateur seront dirigés. Le Gestionnaire de groupe de travail ne vérifie pas ces informations. 7 Saisissez une valeur dans le champ Quota de courrier pour spécifier le nombre maximal de méga-octets autorisés pour la boite à lettres de l’utilisateur. La valeur 0 (zéro) ou un champ vide signifient qu’aucun quota n’est appliqué. Lorsque l’espace réservé aux messages de l’utilisateur approche ou dépasse le quota de courrier spécifié, le service de courrier affiche une invite afin que l’utilisateur supprime des messages pour libérer de l’espace. Le message affiche les informations de quota en kilo-octets (Ko) ou en méga-octets (Mo). 8 Sélectionnez un réglage d’Accès au courrier pour identifier le protocole utilisé pour le compte de courrier de l’utilisateur. Post Office Protocol (POP) et/ou Internet Message Access Protocol (IMAP). 9 Les fonctions suivantes ne sont gérées que pour les comptes de courrier résidant sur un serveur qui utilise un logiciel Mac OS X Server antérieur à la version 10.3. Sélectionnez un réglage Options pour déterminer les caractéristiques de boîte de courrier entrant pour les comptes accédant au courrier via POP et IMAP. Utiliser des boîtes POP et IMAP séparées crée des boîtes de réception distinctes pour le courrier POP et pour le courrier IMAP. L’option Afficher la boîte POP dans la liste de dossiers IMAP permet d’afficher un dossier IMAP appelé “boîte POP”. F0170.book Page 92 Monday, May 2, 2005 12:37 PMChapitre 4 Configuration des comptes d’utilisateur 93 Sélectionnez Activer NotifyMail pour notifier automatiquement à l’application de courrier de l’utilisateur la réception de nouveaux messages. L’adresse IP à laquelle est envoyée la notification peut être soit la dernière adresse IP de connexion de l’utilisateur, soit une adresse que vous spécifiez. Faire suivre le courrier d’un utilisateur Le Gestionnaire de groupe de travail permet de configurer le transfert du courrier pour des utilisateurs dont les comptes sont stockés dans le répertoire LDAP d’un maître Open Directory ou d’un domaine NetInfo. Pour faire suivre les messages d’un utilisateur à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte que vous souhaitez utiliser. Pour cela, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte, puis sélectionnez l’utilisateur dans la liste des utilisateurs. 3 Pour être authentifié, cliquez sur le cadenas. 4 Cliquez sur Courrier. 5 Sélectionnez Faire suivre et saisissez l’adresse électronique de réacheminement dans le champ Faire suivre à. Veillez à saisir l’adresse correcte. Le Gestionnaire de groupe de travail ne vérifie pas l’existence de l’adresse. Travail avec des réglages d’impression pour utilisateurs Les réglages d’impression associés au compte d’un utilisateur définissent la possibilité pour cet utilisateur d’imprimer sur des files d’attente accessibles d’un Mac OS X Server, alors que le service d’impression impose des quotas d’impression. Le guide d’administration du service d’impression vous explique comment configurer des files d’attente d’impression appliquant des quotas. Dans le Gestionnaire de groupe de travail, utilisez la sous-fenêtre Quota d’impression située dans la fenêtre du compte d’utilisateur pour définir les quotas d’impression d’un utilisateur : • Pour désactiver l’accès d’un utilisateur aux files d’attente imposant des quotas d’impression, sélectionnez Aucun (option par défaut). • Pour permettre à un utilisateur de lancer des impressions vers toutes les files d’attente accessibles imposant des quotas, sélectionnez Toutes les files d’attente. • Pour permettre à un utilisateur de lancer des impressions vers des files d’attente spécifiques imposant des quotas, sélectionnez Par file d’attente. F0170.book Page 93 Monday, May 2, 2005 12:37 PM94 Chapitre 4 Configuration des comptes d’utilisateur Désactivation de l’accès d’un utilisateur aux files d’attente imposant des quotas Vous pouvez employer le Gestionnaire de groupe de travail pour empêcher un utilisateur de lancer des impressions vers une file d’attente accessible d’un Mac OS X imposant des quotas. Pour utiliser le Gestionnaire de groupe de travail, il faut que le compte de l’utilisateur soit stocké dans le répertoire LDAP d’un maître Open Directory ou d’un domaine NetInfo. Pour désactiver l’accès d’un utilisateur aux files d’attente imposant des quotas : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte que vous souhaitez utiliser. Pour cela, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte, puis sélectionnez l’utilisateur dans la liste des utilisateurs. 3 Pour être authentifié, cliquez sur le cadenas. 4 Cliquez sur Quota d’impression. 5 Sélectionnez Aucun. Activation l’accès d’un utilisateur aux files d’attente imposant des quotas Vous pouvez utiliser le Gestionnaire de groupe de travail pour autoriser un utilisateur à lancer des impressions vers tout ou partie des files d’attente accessibles d’un Mac OS X imposant des quotas. Pour utiliser le Gestionnaire de groupe de travail, il faut que le compte de l’utilisateur soit stocké dans le répertoire LDAP d’un maître Open Directory ou d’un domaine NetInfo. Pour définir le quota d’impression d’un utilisateur pour les files d’attente imposant des quotas : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte que vous souhaitez utiliser. Pour cela, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte, puis sélectionnez l’utilisateur dans la liste des utilisateurs. 3 Pour être authentifié, cliquez sur le cadenas. 4 Cliquez sur Quota d’impression. Pour configurer un quota à appliquer à toutes les files d’attente, suivez l’étape 5. Pour quelques files d’attente, suivez plutôt l’étape 6. 5 Cliquez sur Toutes les files d’attente, puis spécifiez le nombre maximal de pages que l’utilisateur doit pouvoir imprimer pendant un nombre de jours donné via une file d’attente quelconque imposant des quotas. F0170.book Page 94 Monday, May 2, 2005 12:37 PMChapitre 4 Configuration des comptes d’utilisateur 95 6 Cliquez sur Par file d’attente, puis déroulez le menu local Nom de la file afin de sélectionner la file d’attente pour laquelle vous souhaitez définir un quota à l’attention des utilisateurs. Si la file d’attente que vous souhaitez rechercher ne figure pas dans le menu local “Nom de la file”, cliquez sur Ajouter pour entrer son nom, puis spécifiez, dans le champ Serveur d’impression, l’adresse IP ou le nom DNS du serveur sur lequel cette file d’attente est définie. Pour donner à l’utilisateur des droits d’impression illimités sur la file, cliquez sur “Impression illimitée”. Sinon, spécifiez le nombre maximal de pages qu’il peut imprimer pendant un nombre de jours donné. Cliquez sur Enregistrer. Suppression du quota d’impression d’un utilisateur pour une file spécifique Si vous ne voulez plus appliquer un quota d’impression à une file d’attente particulière, vous pouvez le supprimer pour des utilisateurs spécifiques. Pour supprimer le quota d’impression d’un utilisateur à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte d’utilisateur que vous souhaitez utiliser. Pour cela, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte, puis sélectionnez l’utilisateur dans la liste. 3 Pour être authentifié, cliquez sur le cadenas. 4 Cliquez sur Quota d’impression. 5 Pour désactiver l’accès d’un utilisateur à une file d’attente, identifiez-la en utilisant le menu local Nom de la file ainsi que le champ Serveur d’impression. 6 Cliquez sur Supprimer. Réinitialisation du quota d’impression d’un utilisateur Il arrive parfois qu’un utilisateur ayant déjà dépassé son quota d’impression ait besoin d’imprimer des pages supplémentaires. Un administrateur peut, par exemple, avoir un manuel de 200 pages à imprimer alors que son quota ne lui en autorise que 150. Ou encore, un étudiant qui a dépassé son quota en imprimant un rapport peut devoir imprimer une copie révisée du rapport. Le Gestionnaire de groupe de travail vous permet de réinitialiser le quota d’impression d’un utilisateur et d’autoriser ce dernier à effectuer d’autres impressions. F0170.book Page 95 Monday, May 2, 2005 12:37 PM96 Chapitre 4 Configuration des comptes d’utilisateur Pour redémarrer le quota d’impression d’un utilisateur à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte que vous souhaitez utiliser. Pour cela, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte, puis sélectionnez l’utilisateur dans la liste des utilisateurs. 3 Pour être authentifié, cliquez sur le cadenas. 4 Cliquez sur Quota d’impression. 5 Si l’utilisateur est configuré pour utiliser toutes les files d’attente gérant les quotas, cliquez sur Redémarrer Quota d’impression. Si les quotas d’impression d’un utilisateur sont propres à certaines files d’attente, déroulez le menu local Nom de la file et le champ Serveur d’impression afin d’identifier une file d’attente, puis cliquez sur Redémarrer Quota d’impression. Vous pouvez également augmenter le nombre de pages d’un utilisateur sans réinitialiser la période de quota, en modifiant le nombre de pages allouées à cet utilisateur. Ainsi, la période du quota demeure inchangée et n’est pas réinitialisée, mais le nombre de pages que l’utilisateur peut imprimer au cours de cette période est réévalué à la fois pour la période de quota en cours et pour les périodes futures. Pour augmenter ou diminuer la limite de pages d’un utilisateur, tapez une nouvelle valeur dans le champ “Limiter à ___ pages”, puis cliquez sur Enregistrer. Utilisation des réglages d’informations pour les utilisateurs Si le compte d’un utilisateur réside dans un domaine de répertoire LDAPv3, il peut contenir des informations qui peuvent être importées par le Carnet d’adresses. Les attributs de cette sous-fenêtre comprennent actuellement le numéro de téléphone, l’adresse de courrier électronique, ainsi que les adresses URL du journal Web et de la page Web. Remarque : il n’existe qu’un seul attribut de téléphone qui prend, par défaut, la valeur du numéro de téléphone de travail figurant dans le Carnet d’adresses. Pour utiliser les réglages d’informations : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Assurez-vous que les services de répertoire du Mac OS X Server que vous utilisez ont été configurés pour accéder au domaine de répertoire qui vous intéresse. F0170.book Page 96 Monday, May 2, 2005 12:37 PMChapitre 4 Configuration des comptes d’utilisateur 97 3 Pour obtenir des instructions, reportez-vous au guide d’administration Open Directory. Cliquez sur le petit globe situé au-dessus de la liste des comptes, puis choisissez le domaine dans lequel réside le compte d’utilisateur. 4 Pour être authentifié, cliquez sur le cadenas. 5 Cliquez sur le bouton Utilisateurs et sélectionnez l’utilisateur. 6 Cliquez sur Informations, saisissez vos valeurs ou modifiez-les, puis cliquez sur Enregistrer. Choix de réglages pour les utilisateurs Windows Les ordinateurs utilisant le système d’exploitation Windows peuvent être intégrés à votre réseau Mac OS X Server. Vous pouvez utiliser la sous-fenêtre Windows du Gestionnaire de groupe de travail pour configurer des comptes d’utilisateur et sélectionner des réglages pour les individus qui doivent accéder à des ordinateurs Windows. Pour obtenir des informations détaillées sur l’utilisation des réglages destinés aux utilisateurs ayant accès à des ordinateurs Windows, consultez le guide d’administration des services Windows. F0170.book Page 97 Monday, May 2, 2005 12:37 PMF0170.book Page 98 Monday, May 2, 2005 12:37 PM5 99 5 Configuration des comptes de groupe Un compte de groupe permet de gérer facilement un ensemble d’utilisateurs aux besoins similaires. Ce chapitre explique comment configurer et gérer des comptes de groupe. À propos des comptes de groupe Les comptes de groupe stockent les identités des utilisateurs qui appartiennent à un groupe ainsi que des informations vous permettant de personnaliser l’environnement de travail des membres de ce groupe. Un groupe pour lequel sont définies des préférences est un groupe de travail. Un groupe principal correspond au groupe par défaut de l’utilisateur. Les groupes principaux peuvent accélérer la vérification effectuée par le système de fichiers Mac OS X lorsqu’un utilisateur accède à un fichier. Administration de comptes de groupe Cette section expose l’administration des comptes de groupe stockés dans divers types de domaines de répertoires. Emplacement de stockage des comptes de groupe Les comptes de groupe, ainsi que les comptes d’utilisateur et les listes d’ordinateurs, peuvent être stockés dans tout domaine Open Directory. Un domaine de répertoires peut résider sur un ordinateur Mac OS X (par exemple, le répertoire LDAP d’un maître Open Directory ou un domaine NetInfo) ou sur un serveur non Apple (par exemple, un serveur LDAP ou Active Directory). L’utilisation du Gestionnaire de groupe de travail vous permet de travailler avec des comptes dans tous les types de domaines de répertoires. Pour obtenir des informations complètes sur les différents types de domaines Open Directory, reportez-vous au guide d’administration Open Directory. F0170.book Page 99 Monday, May 2, 2005 12:37 PM100 Chapitre 5 Configuration des comptes de groupe Comptes de groupe prédéfinis Le tableau suivant fournit une description des comptes de groupe créés automatiquement lorsque vous installez Mac OS X Server. Pour une liste complète, ouvrez le Gestionnaire de groupe de travail et choisissez Présentation > Afficher les utilisateurs et groupes du système. Nom de groupe prédéfini Id. de groupe Utilisation admin 80 Le groupe auquel appartiennent les utilisateurs dotés d’autorisations d’administrateur. bin 7 Un groupe possédant tous les fichiers binaires. daemon 1 Groupe utilisé par les services système. dialer 68 Groupe permettant de contrôler l’accès aux modems sur un serveur. guest 31 kmem 2 Un groupe antérieur utilisé pour contrôler l’accès à la lecture de la mémoire noyau. mail 6 Le groupe utilisé par le passé pour accéder au courrier UNIX local. mysql 74 Le groupe que le serveur de base de données MySQL utilise pour ceux de ses processus qui traitent les requêtes. network 69 Ce groupe ne revêt aucune signification particulière. nobody -2 Groupe utilisé par les services système. nogroup -1 Groupe utilisé par les services système. operator 5 Ce groupe ne revêt aucune signification particulière. smmsp 25 Le groupe utilisé par sendmail. sshd 75 Le groupe utilisé pour les processus enfants sshd qui traitent des données réseau. staff 20 Le groupe par défaut dans lequel les utilisateurs UNIX sont traditionnellement placés. sys 3 Ce groupe ne revêt aucune signification particulière. tty 4 Un groupe possédant des fichiers spéciaux, tels que le fichier de périphérique associé à un utilisateur SSH ou Telnet. unknown 99 Le groupe utilisé lorsque le système ne reconnaît pas le disque dur. utmp 45 Le groupe contrôlant ce qui peut mettre à jour la liste du système des utilisateurs connectés. uucp 66 Le groupe utilisé pour contrôler l’accès aux fichiers d’attente UUCP. wheel 0 Un autre groupe (s’ajoutant au groupe admin) auquel les utilisateurs disposant d’autorisations d’administration appartiennent. www 70 Le groupe sans autorisation qu’Apache utilise pour ceux de ses processus qui traitent les requêtes. F0170.book Page 100 Monday, May 2, 2005 12:37 PMChapitre 5 Configuration des comptes de groupe 101 Création de comptes de groupe Mac OS X Server Pour créer un compte de groupe dans un domaine de répertoires, vous devez disposer d’autorisations d’administration pour ce dernier. Pour créer un compte de groupe : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Assurez-vous que les services de répertoire du Mac OS X Server que vous utilisez ont été configurés pour accéder au domaine qui vous intéresse. Pour obtenir des instructions, reportez-vous au guide de l’administrateur Open Directory. 3 Cliquez sur le globe au-dessus de la barre d’outils et ouvrez le domaine dans lequel vous souhaitez faire résider le compte de groupe. 4 Cliquez sur le verrou pour être authentifié comme administrateur de domaine de répertoires. 5 Cliquez sur la sous-fenêtre Groupes. 6 Cliquez sur Nouveau groupe, puis spécifiez les réglages du groupe dans les onglets affichés. Vous pouvez également utiliser un préréglage ou un fichier d’importation pour créer un nouveau groupe. Pour plus de détails, consultez la section “Création d’un préréglage pour des comptes de groupe” et l’Annexe A, “Importation et exportation d’informations de compte”. Création de comptes de groupe LDAPv3 en lecture/écriture Vous pouvez créer un compte de groupe sur un serveur LDAPv3 non Apple s’il a été configuré pour un accès en écriture. Pour créer un compte de groupe LDAPv3 : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Assurez-vous que les services de répertoires de Mac OS X Server que vous utilisez ont été configurés de manière à utiliser le serveur LDAP des comptes de groupe. Pour obtenir des informations sur l’utilisation de Format de répertoire pour configurer une connexion LDAP, consultez le guide d’administration d’Open Directory. Pour obtenir des informations sur les éléments de compte de groupe qu’il faudra éventuellement mapper, consultez l’Annexe A, “Importation et exportation d’informations de compte”. 3 Cliquez sur le globe au-dessus de la barre d’outils et ouvrez le domaine LDAPv3 dans lequel vous souhaitez faire résider le compte de groupe. 4 Pour vous authentifier, cliquez sur le cadenas. 5 Choisissez Serveur > Nouveau groupe. 6 Spécifiez des réglages pour le groupe dans les onglets affichés. F0170.book Page 101 Monday, May 2, 2005 12:37 PM102 Chapitre 5 Configuration des comptes de groupe Pour plus de détails, consultez les sections “Travail avec des réglages de membres pour groupes” à la page 105 et “Travail avec les réglages du dossier de groupe” à la page 108. Vous pouvez également utiliser un préréglage ou un fichier d’importation pour créer un nouveau groupe. Pour plus de détails, consultez la section “Création d’un préréglage pour des comptes de groupe” ci-dessous et l’Annexe A, “Importation et exportation d’informations de compte”. Création d’un préréglage pour des comptes de groupe Les préréglages des comptes de groupe peuvent être utilisés pour appliquer des réglages prédéterminés à un nouveau compte de groupe. Pour créer un préréglage pour des comptes de groupe : 1 Ouvrez le Gestionnaire de groupe de travail sur le serveur à partir duquel vous créez les comptes de groupe. 2 Cliquer sur Comptes. 3 Assurez-vous que le serveur a été configuré pour accéder au domaine de répertoire Mac OS X ou LDAPv3 non Apple sur lequel le préréglage sera utilisé pour créer de nouveaux comptes. 4 Pour créer un préréglage à l’aide de données stockées dans un compte de groupe existant, ouvrez le compte. Pour créer un préréglage à l’aide d’un compte de groupe vide, créez un compte de groupe. 5 Remplissez les champs avec les valeurs que vous souhaitez voir héritées par les nouveaux groupes d’utilisateurs. Supprimez les valeurs que vous ne souhaitez pas inclure dans les préréglages si vous prenez comme point de départ un compte existant. 6 Cliquez sur Préférences, configurez les réglages que vous souhaitez inclure dans le préréglage, puis cliquez sur Comptes. Après avoir configuré les préférences d’un préréglage, vous devez retourner aux réglages de Comptes pour enregistrer le préréglage. 7 Choisissez Enregistrer le préréglage dans le menu local Préréglages, tapez un nom pour le préréglage, puis cliquez sur OK. Modification des informations d’un compte de groupe Vous pouvez utiliser le Gestionnaire de groupe de travail pour modifier un compte de groupe se trouvant dans le répertoire LDAP d’un maître Open Directory, dans un domaine NetInfo ou dans tout autre domaine de répertoires en lecture/écriture. Pour modifier un compte de groupe : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Assurez-vous que les services de répertoire du Mac OS X Server que vous utilisez ont été configurés pour accéder au domaine de répertoire qui vous intéresse. Pour obtenir des instructions, reportez-vous au guide de l’administrateur Open Directory. F0170.book Page 102 Monday, May 2, 2005 12:37 PMChapitre 5 Configuration des comptes de groupe 103 3 Cliquez sur le globe au-dessus de la liste des comptes, puis ouvrez le domaine dans lequel le compte de groupe réside. 4 Pour vous authentifier, cliquez sur le cadenas. 5 Cliquez sur la sous-fenêtre Groupes, puis sélectionnez le groupe avec lequel vous souhaitez travailler. 6 Modifiez les réglages du groupe dans les onglets affichés. Pour plus de détails, consultez les sections “Travail avec des réglages de membres pour groupes” à la page 105 et “Travail avec les réglages du dossier de groupe” à la page 108. Création de groupes imbriqués Un groupe imbriqué est un groupe qui est membre d’un autre groupe. Chaque groupe peut avoir ses propres préférences gérées qui sont héritées par tous les utilisateurs membres de ce groupe. Si vous définissez des préférences pour un groupe ou pour un de ses groupes imbriqués, les préférences appliquées lorsqu’un membre du groupe se connecte sont celles qui sont définies pour le groupe de travail que l’utilisateur choisit après la connexion. Pour créer un compte de groupe imbriqué : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Assurez-vous que les services de répertoire du Mac OS X Server que vous utilisez ont été configurés pour accéder au domaine de répertoire qui vous intéresse. Pour obtenir des instructions, reportez-vous au guide de l’administrateur Open Directory. 3 Cliquez sur le globe au-dessus de la liste des comptes, puis ouvrez le domaine dans lequel vous souhaitez faire résider le compte de groupe. 4 Pour vous authentifier, cliquez sur le cadenas. 5 Cliquez sur le bouton Groupes, puis créez un nouveau groupe. 6 Cliquez sur le bouton Ajouter (+) pour imbriquer le groupe dans le groupe sélectionné. Faites glisser le groupe depuis le tiroir vers la liste Membres. Tous les membres de ce groupe deviennent eux aussi des membres enfants du groupe parent. 7 Cliquer sur Enregistrer. Les groupes créés à l’aide des versions de serveur antérieures à la version 10.4 ne peuvent pas contenir de groupes imbriqués, à moins que vous ne les convertissiez conformément aux instructions de la section “Mise à niveau de groupes hérités”. Si vous faites une mise à niveau avec la version 10.4 à partir de la version 10.3 ou d’une version antérieure, les groupes restent des groupes hérités et continuent à fonctionner comme par le passé. Par contre, les groupes créés dans Mac OS X 10.4 sont considérés comme des groupes mis à niveau et peuvent contenir des groupes et d’autres objets imbriqués comme membres, ainsi que des enregistrements d’utilisateur. F0170.book Page 103 Monday, May 2, 2005 12:37 PM104 Chapitre 5 Configuration des comptes de groupe Mise à niveau de groupes hérités Lorsque vous procédez à une mise à niveau du serveur avec la version 10.4 ou que vous importez des groupes créés avant la version 10.4, les groupes existants ne peuvent pas contenir de groupes imbriqués, à moins que vous ne les convertissiez d’abord. Pour mettre à niveau un compte de groupe hérité : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Assurez-vous que les services de répertoire du Mac OS X Server que vous utilisez ont été configurés pour accéder au domaine de répertoire qui vous intéresse. Pour obtenir des instructions, reportez-vous au guide de l’administrateur Open Directory. 3 Cliquez sur le globe au-dessus de la liste des comptes, puis ouvrez le domaine dans lequel le compte de groupe réside. 4 Pour vous authentifier, cliquez sur le cadenas. 5 Cliquez sur le bouton Groupes, puis sélectionnez le groupe hérité que vous souhaitez mettre à niveau. 6 Cliquez sur le bouton Mettre à niveau le groupe hérité. 7 Cliquer sur Enregistrer. Utilisation de comptes de groupe en lecture seule Le Gestionnaire de groupe de travail vous permet de consulter des informations sur les comptes de groupe stockés dans des domaines de répertoires en lecture seule. Les domaines de répertoires en lecture seule incluent les domaines LDAPv2, les domaines LDAPv3 non configurés pour l’accès en écriture et les fichiers de configuration BSD. Pour travailler avec un compte de groupe en lecture seule : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Assurez-vous que les services de répertoire de Mac OS X Server que vous utilisez ont été configurés pour accéder au domaine de répertoire dans lequel réside le compte. Pour obtenir des informations sur l’utilisation de Format de répertoire pour configurer des connexions serveur, consultez le guide d’administration d’Open Directory. Pour obtenir des informations sur les éléments de compte de groupe qu’il faudra mapper, consultez l’Annexe A, “Importation et exportation d’informations de compte”. 3 Cliquez sur le globe au-dessus de la liste des comptes, puis ouvrez le domaine de répertoires dans lequel le compte de groupe réside. 4 Servez-vous des onglets affichés pour observer les réglages de compte de groupe. Pour obtenir des détails, consultez la section “Travail avec des réglages de membres pour groupes” ci-dessous et “Travail avec les réglages du dossier de groupe” à la page 108. F0170.book Page 104 Monday, May 2, 2005 12:37 PMChapitre 5 Configuration des comptes de groupe 105 Travail avec des réglages de membres pour groupes Les réglages de membres incluent les noms d’un groupe, son identifiant et une liste des utilisateurs qui en sont membres. Dans le Gestionnaire de groupe de travail, la sous-fenêtre Membres située dans la fenêtre du compte de groupe vous permet d’utiliser les réglages de membres. Lorsque le nom d’un utilisateur apparaît en italique dans la liste Membres, le groupe correspond au groupe principal de l’utilisateur. Ajout d’utilisateurs à un groupe Ajoutez des utilisateurs à un groupe si vous souhaitez que plusieurs utilisateurs disposent des mêmes autorisations d’accès aux fichiers ou pour en faire des utilisateurs gérés. Lorsque vous créez un compte d’utilisateur et attribuez un groupe principal au nouvel utilisateur, ce dernier est automatiquement ajouté au groupe spécifié. Sinon, ajoutez vous-même des utilisateurs au groupe. Vous pouvez utiliser le Gestionnaire de groupe de travail pour ajouter des utilisateurs à un groupe si les comptes d’utilisateur et de groupe se trouvent dans le répertoire LDAP d’un maître Open Directory ou dans un domaine NetInfo. Pour ajouter des utilisateurs à un groupe à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte de groupe avec lequel vous souhaitez travailler. Pour sélectionner un compte, cliquez sur le globe au-dessus de la liste des comptes, ouvrez le domaine de répertoires dans lequel le compte réside, cliquez sur la sousfenêtre Groupes, puis sélectionnez le groupe. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Cliquer sur Membres. 5 Cliquez sur le bouton Ajouter (+) pour ouvrir un tiroir répertoriant les utilisateurs définis dans le domaine de répertoires avec lequel vous travaillez. 6 Pour inclure les utilisateurs système dans la liste, choisissez Gestionnaire de groupe de travail > Préférences, puis sélectionnez l’option “Afficher utilisateurs et groupes système”. Assurez-vous que le compte de groupe réside bien dans un domaine de répertoires spécifié dans la politique de recherche (chemin de recherche) des ordinateurs auxquels l’utilisateur va se connecter. 7 Sélectionnez l’utilisateur, puis glissez-le dans la liste Membres de la sous-fenêtre Membres. F0170.book Page 105 Monday, May 2, 2005 12:37 PM106 Chapitre 5 Configuration des comptes de groupe Suppression d’utilisateurs d’un groupe Vous pouvez utiliser le Gestionnaire de groupe de travail pour supprimer un utilisateur d’un groupe ne correspondant pas au groupe principal de l’utilisateur si ce dernier et les comptes de groupe résident dans le répertoire LDAP d’un maître Open Directory ou dans un domaine NetInfo. Pour supprimer un utilisateur dans un groupe à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte de groupe avec lequel vous souhaitez travailler. Pour sélectionner un compte, cliquez sur le globe au-dessus de la liste des comptes, ouvrez le domaine de répertoires dans lequel le compte réside, cliquez sur la sousfenêtre Groupes, puis sélectionnez le groupe. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Cliquer sur Membres. 5 Sélectionnez le ou les utilisateurs à supprimer du groupe, puis cliquez sur le bouton Supprimer (–). Attribution d’un nom à un groupe Un groupe possède deux noms : un nom complet et un nom abrégé. • Le nom de groupe complet (par exemple, Étudiants de la Faculté d’anglais) ne sert qu’à des fins d’affichage et ne doit pas dépasser 255 octets. Étant donné que les noms de groupe complets prennent en charge plusieurs jeux de caractères, ils peuvent contenir un maximum de 255 caractères romains (85 seulement pour les jeux dont les caractères occupent jusqu’à 3 octets). • Un nom de groupe abrégé peut contenir jusqu’à 255 caractères romains. Néanmoins, pour les clients qui utilisent Mac OS X version 10.1.5 et antérieure, le nom de groupe abrégé ne peut contenir au plus que 8 caractères. Dans un nom de groupe abrégé, n’utilisez que les caractères suivants : • de a à z • de a à z • de 0 à 9 • _ (trait de soulignement) Le nom abrégé, généralement constitué de huit caractères maximum, peut être utilisé par Mac OS X pour rechercher les identifiants d’utilisateurs membres d’un groupe afin de savoir si un utilisateur peut accéder à un fichier en tant que membre du groupe. Pour plus de détails, consultez l’Annexe B. F0170.book Page 106 Monday, May 2, 2005 12:37 PMChapitre 5 Configuration des comptes de groupe 107 Vous pouvez utiliser le Gestionnaire de groupe de travail pour modifier le nom d’un compte de groupe stocké dans le répertoire LDAP d’un maître Open Directory, dans un domaine NetInfo ou dans tout autre domaine de répertoires en lecture/écriture. Vous pouvez aussi utiliser le Gestionnaire de groupe de travail pour consulter les noms stockés dans tout domaine de répertoires accessible depuis le serveur que vous utilisez. Pour travailler avec des noms de groupes à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte de groupe avec lequel vous souhaitez travailler. Pour sélectionner un compte, cliquez sur le globe au-dessus de la liste des comptes, ouvrez le domaine de répertoires dans lequel le compte réside, cliquez sur la sousfenêtre Groupes, puis sélectionnez le groupe. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Dans le champ Nom ou Nom abrégé (dans la sous-fenêtre Membres), vérifiez ou modifiez les noms. Avant d’enregistrer un nouveau nom, le Gestionnaire de groupe de travail vérifie qu’il est unique. Définition d’un identifiant de groupe L’identifiant d’un groupe consiste en une chaîne de chiffres ASCII identifiant un groupe de façon unique. Sa valeur maximale est 2.147.483.648. Vous pouvez utiliser le Gestionnaire de groupe de travail pour modifier l’identifiant d’un compte de groupe stocké dans le répertoire LDAP d’un maître Open Directory ou dans un domaine NetInfo ou pour revoir l’identifiant de groupe dans tout domaine de répertoires accessible du serveur que vous utilisez. L’identifiant de groupe est associé à des autorisations de groupe. Pour travailler avec un identifiant de groupe à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte de groupe avec lequel vous souhaitez travailler. Pour sélectionner un compte, cliquez sur le globe au-dessus de la liste des comptes, ouvrez le domaine de répertoires dans lequel le compte réside, cliquez sur la sousfenêtre Groupes, puis sélectionnez le groupe. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Dans le champ ID du groupe (dans la sous-fenêtre Membres), vérifiez ou modifiez l’identifiant. Avant d’enregistrer un nouvel identifiant de groupe, le Gestionnaire de groupe de travail vérifie qu’il est unique dans le domaine de répertoires que vous utilisez. F0170.book Page 107 Monday, May 2, 2005 12:37 PM108 Chapitre 5 Configuration des comptes de groupe Travail avec les réglages du dossier de groupe Les dossiers de groupe permettent d’organiser les documents et applications qui présentent un intérêt particulier pour les membres d’un groupe et peuvent être utilisés par ces derniers pour échanger des informations entre eux. Les dossiers de groupe ne sont pas liés directement à la gestion de groupe de travail, mais il est possible d’améliorer la gestion des accès et des flux de travaux en utilisant des dossiers de groupe pour les clients dotés réglages de groupe de travail. Pour configurer un dossier de groupe : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte de groupe avec lequel vous souhaitez travailler. Pour sélectionner un compte, cliquez sur le globe au-dessus de la liste des comptes, ouvrez le domaine de répertoires dans lequel le compte réside, cliquez sur la sousfenêtre Groupes, puis sélectionnez le groupe. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Cliquez sur le bouton Groupes, puis sélectionnez un groupe. 5 Cliquez sur Dossier de groupe. 6 Pour configurer un dossier de groupe situé dans un sous-dossier de point de partage, cliquez sur le bouton Ajouter (+) ou Dupliquer (icône de copie). Pour obtenir des instructions, consultez la section “Création d’un dossier de groupe dans un sous-dossier d’un point de partage existant” à la page 112. Option Pas de dossier de groupe Vous pouvez utiliser le Gestionnaire de groupe de travail pour qu’un compte de groupe possédant un dossier de groupe n’en ait plus. Par défaut, un nouveau groupe ne dispose d’aucun répertoire de départ. Pour ne définir aucun dossier de groupe : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte de groupe avec lequel vous souhaitez travailler. Pour sélectionner un compte, cliquez sur le globe au-dessus de la liste des comptes, ouvrez le domaine de répertoires dans lequel le compte réside, cliquez sur la sousfenêtre Groupes, puis sélectionnez le groupe. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Cliquez sur la sous-fenêtre Groupes, puis sélectionnez un groupe. 5 Cliquez sur Dossier de groupe. 6 Sélectionnez (Aucun) dans la liste. F0170.book Page 108 Monday, May 2, 2005 12:37 PMChapitre 5 Configuration des comptes de groupe 109 Création d’un dossier de groupe dans un point de partage existant Vous pouvez créer un dossier de groupe soit pour un groupe à n’importe quel point de partage existant, soit dans le dossier /Groups (point de partage prédéfini). Pour configurer un dossier de groupe dans le dossier /Groups ou tout autre point de partage existant : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte de groupe avec lequel vous souhaitez travailler. Pour sélectionner un compte de groupe, connectez-vous au serveur sur lequel il réside. Cliquez sur le globe au-dessus de la liste des comptes, ouvrez le domaine de répertoires dans lequel le compte réside, cliquez sur la sous-fenêtre Groupes, puis sélectionnez le groupe. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Cliquez sur Dossier de groupe. 5 Pour ajouter un point de partage existant à la liste, cliquez sur Ajouter (+), puis saisissez les informations requises. Dans le champ URL, entrez l’URL complète du point de partage dans lequel doit résider le dossier de groupe. Par exemple, tapez AFP://monserveur.exemple.com/SchoolGroups pour identifier un point de partage AFP nommé SchoolGroups sur un serveur dont le nom DNS est “monserveur.exemple.com”. Si vous n’utilisez pas de DNS, remplacez le nom DNS du serveur hébergeant le dossier de groupe pas son adresse IP : “AFP://192.168.2.1/SchoolGroups”. Dans le champ Chemin, entrez le chemin du point de partage au dossier de groupe, en incluant ce dernier mais en excluant le point de partage. Ne placez pas de barre oblique (/) au début ni à la fin du chemin. Par exemple, si le point de partage est SchoolGroups et que le chemin complet menant au dossier de groupe est SchoolGroups/StudentGroups/SecondGrade, tapez StudentGroups/SecondGrade dans le champ Chemin. Remarque : configurer un point de partage de dossier de groupe pour disposer d’un enregistrement de montage réseau ne permet pas de monter automatiquement le dossier de groupe lorsqu’un membre du groupe se connecte. Vous pouvez fournir un accès aisé à un dossier de groupe en gérant les préférences de Dock ou d’ouverture de session pour le groupe. 6 Dans le champ Possesseur, entrez le nom de l’utilisateur auquel le dossier de groupe doit appartenir afin qu’il puisse intervenir en tant qu’administrateur du dossier de ce groupe. Cliquez sur le bouton Parcourir (…) pour choisir un propriétaire dans la liste des utilisateurs du domaine de répertoires activé. Le possesseur du dossier de groupe pourra y accéder en lecture/écriture. F0170.book Page 109 Monday, May 2, 2005 12:37 PM110 Chapitre 5 Configuration des comptes de groupe 7 Cliquer sur Enregistrer. 8 Pour créer le dossier, utilisez la commande CreateGroupFolder dans Terminal. Vous devez être connecté en tant qu’utilisateur root pour pouvoir utiliser cette commande. Pour en savoir plus, tapez “man CreateGroupFolder” dans Terminal pour afficher la page man de cette commande. Le dossier de groupe prend le nom abrégé du groupe auquel il est associé. Vous pouvez automatiser l’accès au dossier d’un membre du groupe quand celui-ci a ouvert une session : • Vous pouvez configurer les préférences du Dock pour rendre le dossier de groupe visible dans le Dock. Pour obtenir des instructions, consultez la section “Accès aisé aux dossiers de groupes” à la page 174. • Vous pouvez aussi configurer des préférences d’ouverture de session de sorte que les utilisateurs puissent cliquer sur Ordinateur dans le Finder et voir le point de partage du dossier de groupe et les dossiers de groupe qui s’y trouvent. Pour obtenir des instructions, consultez la section “Fourniture d’un accès aisé au point de partage de groupe” à la page 194. Lorsque vous utilisez ces préférences, assurez-vous que le groupe est défini dans un domaine partagé dans la politique de recherche de l’ordinateur du membre du groupe. Consultez le guide d’administration Open Directory pour obtenir des instructions sur la configuration de la politique de recherche d’un ordinateur. Si vous n’automatisez pas l’accès aux dossiers de groupe, les membres des groupes peuvent utiliser la commande Se connecter au serveur dans le menu Aller du Finder pour localiser le serveur où réside le dossier de groupe et y accéder. Création d’un dossier de groupe dans un nouveau point de partage Vous pouvez utiliser le Gestionnaire de groupe de travail pour créer un dossier de groupe dans un nouveau point de partage. Pour créer un dossier de groupe dans un nouveau point de partage : 1 Sur le serveur où vous souhaitez que réside le dossier de groupe, créez un dossier qui servira de point de partage à ce dossier de groupe. 2 Dans le Gestionnaire de groupe de travail, connectez-vous au serveur de l’étape 1, puis cliquez sur Partage. 3 Cliquez sur Tout (au-dessus de la liste à gauche) et sélectionnez le dossier créé pour le point de partage. 4 Dans la fenêtre générale, sélectionnez Partager cet élément et son contenu. F0170.book Page 110 Monday, May 2, 2005 12:37 PMChapitre 5 Configuration des comptes de groupe 111 5 Réglez les autorisations de Groupe sur Lecture et écriture et celles de Tous sur Lecture seule, puis renommez le groupe en tapant admin dans le champ Groupe. Ignorez les autorisations du propriétaire pour le moment. 6 Cliquer sur Enregistrer. 7 Cliquez sur Comptes, puis sélectionnez le compte de groupe avec lequel vous souhaitez travailler. Pour sélectionner un compte de groupe, connectez-vous au serveur sur lequel il réside. Cliquer sur Comptes. Cliquez sur le globe au-dessus de la liste des comptes, puis ouvrez le domaine de répertoires dans lequel le compte de groupe réside. Cliquez sur la sousfenêtre Groupes, puis sélectionnez le groupe. 8 Pour vous authentifier, cliquez sur le cadenas. 9 Dans le champ Possesseur, entrez le nom de l’utilisateur auquel le dossier de groupe doit appartenir afin qu’il puisse intervenir en tant qu’administrateur du dossier de ce groupe. Cliquez sur le bouton Parcourir (…) pour choisir un propriétaire dans la liste des utilisateurs du domaine de répertoires activé. Le possesseur du dossier de groupe pourra y accéder en lecture/écriture. 10 Pour créer le dossier, utilisez la commande CreateGroupFolder dans Terminal. Vous devez être connecté en tant qu’utilisateur root pour pouvoir utiliser cette commande. Pour en savoir plus, tapez “man CreateGroupFolder” dans Terminal pour afficher la page man. Le dossier de groupe prend le nom abrégé du groupe auquel il est associé. Le dossier de groupe prend le nom abrégé du groupe auquel il est associé. Vous pouvez automatiser l’accès au dossier d’un membre du groupe quand celui-ci a ouvert une session : • Vous pouvez configurer les préférences du Dock pour rendre le dossier de groupe visible dans le Dock. Pour obtenir des instructions, consultez la section “Accès aisé aux dossiers de groupes” à la page 174. • Vous pouvez aussi configurer des préférences d’ouverture de session de sorte que les utilisateurs puissent cliquer sur Ordinateur dans le Finder et voir le point de partage du dossier de groupe et les dossiers de groupe qui s’y trouvent. Pour obtenir des instructions, consultez la section “Fourniture d’un accès aisé au point de partage de groupe” à la page 194. Lorsque vous utilisez ces préférences, assurez-vous que le groupe est défini dans un domaine partagé dans la politique de recherche de l’ordinateur du membre du groupe. Consultez le guide d’administration Open Directory pour obtenir des instructions sur la configuration de la politique de recherche d’un ordinateur. F0170.book Page 111 Monday, May 2, 2005 12:37 PM112 Chapitre 5 Configuration des comptes de groupe Si vous n’automatisez pas l’accès aux dossiers de groupe, les membres des groupes peuvent utiliser la commande Se connecter au serveur dans le menu Aller du Finder pour localiser le serveur où réside le dossier de groupe et y accéder. Création d’un dossier de groupe dans un sous-dossier d’un point de partage existant Dans le Gestionnaire de groupe de travail, vous pouvez créer des dossiers de groupe ne se trouvant pas immédiatement sous un point de partage. Par exemple, vous pouvez organiser des dossiers de groupe en plusieurs sous-dossiers au sein d’un point de partage que vous avez défini. Si Groups est le point de partage, vous pouvez placer les dossiers du groupe des étudiants dans /Groups/StudentGroups et ceux du groupe des professeurs dans /Groups/TeacherGroups. Le chemin complet d’un dossier de groupe pour des étudiants du second degré pourrait être /Groups/StudentGroups/SecondGrade. La procédure détaillée ici implique l’existence du point de partage. Si le point de partage n’existe pas, suivez les instructions décrites dans la section “Création d’un dossier de groupe dans un nouveau point de partage” à la page 110 sans créer le dossier à la dernière étape. Suivez ensuite les étapes ci-après. Pour configurer un dossier de groupe dans un sous-dossier d’un point de partage existant : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte de groupe avec lequel vous souhaitez travailler. Pour sélectionner un compte de groupe, connectez-vous au serveur sur lequel il réside. Cliquez sur le globe au-dessus de la liste des comptes, ouvrez le domaine de répertoires dans lequel le compte réside, cliquez sur la sous-fenêtre Groupes, puis sélectionnez le groupe. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Cliquez sur Dossier de groupe. 5 Cliquez sur le bouton Ajouter (+) pour ajouter un emplacement de dossier de groupe personnalisé ou sur Dupliquer (icône de copie) pour copier un emplacement existant. Pour supprimer un emplacement de dossier de groupe, sélectionnez-le, puis cliquez sur le bouton Supprimer (–). Vous ne pouvez supprimer que les emplacements ajoutés à l’aide du bouton Ajouter ou Dupliquer. 6 Dans le champ URL, entrez l’URL complète du point de partage dans lequel doit résider le dossier de groupe. Par exemple, entrez AFP://monserveur.exemple.com/SchoolGroups pour identifier un point de partage AFP nommé SchoolGroups sur un serveur dont le nom DNS est monserveur.exemple.com. Si vous n’utilisez pas de DNS, remplacez le nom DNS du serveur hébergeant le dossier de groupe pas son adresse IP :AFP://192.168.2.1/SchoolGroups. F0170.book Page 112 Monday, May 2, 2005 12:37 PMChapitre 5 Configuration des comptes de groupe 113 7 Dans le champ Chemin, entrez le chemin du point de partage au dossier de groupe, en incluant ce dernier mais en excluant le point de partage. Par exemple, si le point de partage est SchoolGroups et que le chemin complet menant au dossier de groupe est SchoolGroups/StudentGroups/SecondGrade, tapez StudentGroups/SecondGrade dans le champ Chemin. Ne placez pas de barre oblique (/) au début ni à la fin du chemin. 8 Cliquez sur OK. 9 Dans le champ Possesseur, entrez le nom de l’utilisateur auquel le dossier de groupe doit appartenir afin qu’il puisse intervenir en tant qu’administrateur du dossier de ce groupe. Cliquez sur le bouton Parcourir (…) pour choisir un propriétaire dans la liste des utilisateurs du domaine de répertoires activé. Le possesseur du dossier de groupe pourra y accéder en lecture/écriture. 10 Pour créer le dossier, utilisez la commande CreateGroupFolder dans Terminal. Vous devez être connecté en tant qu’utilisateur root pour pouvoir utiliser cette commande. Pour en savoir plus, tapez “man CreateGroupFolder” dans Terminal pour afficher la page man. Le dossier de groupe prend le nom abrégé du groupe auquel il est associé. 11 Configurez l’accès au dossier de groupe pour les utilisateurs qui ouvrent une session en tant que membres du groupe. • Vous pouvez automatiser l’accès au dossier d’un membre du groupe quand l’utilisateur se connecte. • Vous pouvez configurer les préférences du Dock pour rendre le dossier de groupe visible dans le Dock. Pour obtenir des instructions, consultez la section “Accès aisé aux dossiers de groupes” à la page 174. • Vous pouvez également configurer des préférences d’ouverture de session de sorte que les utilisateurs puissent cliquer sur Ordinateur dans le Finder pour voir le point de partage du dossier de groupe et les dossiers de groupe qui s’y trouvent. Pour obtenir des instructions, consultez la section “Fourniture d’un accès aisé au point de partage de groupe” à la page 194. Lorsque vous utilisez ces préférences, assurez-vous que le groupe est défini dans un domaine partagé dans la politique de recherche de l’ordinateur du membre du groupe. Consultez le guide d’administration Open Directory pour obtenir des instructions sur la configuration de la politique de recherche d’un ordinateur. Si vous n’automatisez pas l’accès aux dossiers de groupe, les membres des groupes peuvent utiliser la commande Se connecter au serveur dans le menu Aller du Finder pour localiser le serveur où réside le dossier de groupe et y accéder. F0170.book Page 113 Monday, May 2, 2005 12:37 PM114 Chapitre 5 Configuration des comptes de groupe Désignation d’un dossier de groupe destiné à plusieurs groupes Pour rendre un dossier de groupe accessible à plusieurs groupes, identifiez le dossier pour chaque groupe séparément. Pour configurer plusieurs groupes afin qu’ils utilisent le même dossier de groupe : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le premier compte de groupe devant utiliser le dossier. Pour sélectionner un compte de groupe, connectez-vous au serveur sur lequel il réside. Cliquez sur le globe au-dessus de la liste des comptes, ouvrez le domaine de répertoires dans lequel le compte réside, cliquez sur la sous-fenêtre Groupes, puis sélectionnez le groupe. 3 Cliquez sur Dossier de groupe, sélectionnez le dossier que le groupe doit utiliser, puis cliquez sur Enregistrer. 4 Répétez l’opération pour chaque groupe devant utiliser le même dossier de groupe. Suppression de comptes de groupe Vous pouvez utiliser le Gestionnaire de groupe de travail pour supprimer un compte de groupe stocké dans le répertoire LDAP d’un maître Open Directory, dans un domaine NetInfo ou dans tout autre domaine de répertoires en lecture/écriture. Pour supprimer un compte de groupe à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionner le compte de groupe que vous souhaitez supprimer. Pour sélectionner le compte, cliquez sur le globe au-dessus de la liste des comptes, ouvrez le domaine de répertoires dans lequel le compte réside, cliquez sur la sousfenêtre Groupes, puis sélectionnez le groupe. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Choisissez Serveur > Effacer le groupe sélectionné ou cliquez sur l’icône Supprimer dans la barre d’outils. Avertissement : cette action est irréversible. F0170.book Page 114 Monday, May 2, 2005 12:37 PM6 115 6 Configuration de listes d’ordinateurs Ce chapitre explique comment configurer et gérer des groupes d’ordinateurs. À propos des listes d’ordinateurs Une liste d’ordinateurs comprend un ou plusieurs ordinateurs possédant les mêmes réglages de préférences et disponibles pour des utilisateurs et des groupes particuliers. La création et la modification des listes d’ordinateurs s’effectue dans le Gestionnaire de groupe de travail. Il existe deux listes d’ordinateurs préconfigurées : Ordinateurs hôtes et Ordinateurs Windows. Ces deux listes, ainsi que les listes d’ordinateurs que vous configurez, apparaissent dans la partie gauche de la fenêtre du Gestionnaire de groupe de travail. Les réglages apparaissent dans les volets Liste, Accès et Cache situés dans la partie droite de la fenêtre. Avant de configurer une liste d’ordinateurs, déterminez les noms et les adresses des ordinateurs qui y figureront. On utilise généralement le nom d’ordinateur spécifié dans les préférences de partage des ordinateurs. Vous pouvez, si vous préférez, utiliser un nom descriptif que vous jugez plus approprié. L’adresse de l’ordinateur doit correspondre à l’adresse Ethernet intégrée, propre à chaque ordinateur. (L’adresse Ethernet, ou identifiant Ethernet, d’un ordinateur est aussi appelé adresse MAC). Vous pouvez naviguer à la recherche d’un ordinateur et le Gestionnaire de groupe de travail saisira l’adresse Ethernet et le nom de l’ordinateur à votre place. Un ordinateur client utilise ces données pour rechercher les informations de préférences lorsqu’un utilisateur se connecte. Remarque : pour les listes d’ordinateurs Windows, vous devez connaître le nom NetBIOS de chaque ordinateur client Windows. Tapez ce nom dans le champ Nom de l’ordinateur Windows. Vous ne devez pas connaître l’adresse Ethernet des ordinateurs clients Windows. F0170.book Page 115 Monday, May 2, 2005 12:37 PM116 Chapitre 6 Configuration de listes d’ordinateurs Lorsqu’un ordinateur client démarre, les services de répertoire vérifient s’il existe une liste d’ordinateurs contenant l’adresse Ethernet de cet ordinateur et utilisent les informations de préférences de cette liste d’ordinateurs. En l’absence d’un tel enregistrement, l’ordinateur client utilise les informations de préférences de la liste d’ordinateurs Ordinateurs hôtes. Pour modifier des listes d’ordinateurs ou des préférences de liste d’ordinateurs, vous devez disposer d’autorisations d’administration de domaine. Vous pouvez disposer d’autorisations d’administration pour toutes les listes d’ordinateurs ou pour une partie d’entre elles. Pour plus d’informations sur l’affectation d’autorisations d’administration, consultez le chapitre 4, “Configuration des comptes d’utilisateur”. Listes d’ordinateurs à usage spécial Le Gestionnaire de groupe de travail utilise, par défaut, un ensemble de listes d’ordinateurs préexistantes dédiées chacune à un usage spécial. Ces listes sont les suivantes : • Ordinateurs hôtes : les ordinateurs qui ne figurent dans aucune liste sont ajoutés automatiquement à la liste d’ordinateurs hôtes. Vous pouvez faire hériter des préférences pour les ordinateurs hôtes ou les définir individuellement. • Ordinateurs Windows : la liste Ordinateurs Windows est créée automatiquement dans le répertoire local du serveur et dans le répertoire LDAP d’un maître ou d’une réplique Open Directory. Les administrateurs ne peuvent ni créer ni supprimer une liste Ordinateurs Windows. Pour obtenir des informations et des instructions sur la gestion de la liste Ordinateurs Windows et sur la configuration de Mac OS X Server en tant que contrôleur de domaine principal ou secondaire (PDC ou BDC). • Tous les ordinateurs : cette liste contient tous les enregistrements d’ordinateur, qu’ils figurent déjà dans une liste ou non. Les ordinateurs qui figurent déjà sur l’une ou l’autre liste se trouvent également dans cette liste. Cette liste sert d’emplacement de référence pratique. Création d’une liste d’ordinateurs Une liste d’ordinateurs est un groupe d’ordinateurs dotés des mêmes réglages de préférences et accessibles pour les mêmes utilisateurs et groupes. Vous pouvez utiliser une liste d’ordinateurs pour affecter les mêmes autorisations et préférences à plusieurs ordinateurs. Vous pouvez ajouter jusqu’à 2 000 ordinateurs à une liste d’ordinateurs. Un ordinateur ne peut pas figurer sur plus d’une liste et vous ne pouvez pas ajouter des ordinateurs à la liste Ordinateurs hôtes. F0170.book Page 116 Monday, May 2, 2005 12:37 PMChapitre 6 Configuration de listes d’ordinateurs 117 Pour configurer une liste d’ordinateurs : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Cliquez sur le globe au-dessus de la liste des comptes et choisissez le domaine de répertoires dans lequel vous souhaitez stocker la nouvelle liste d’ordinateurs. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Cliquez sur le bouton Listes d’ordinateurs (à gauche), puis sur Liste (à droite). 5 Choisissez Serveur > Nouvelle liste d’ordinateurs (ou cliquez sur Nouvelle liste d’ordinateurs dans la barre d’outils), puis tapez le nom de la liste d’ordinateurs. 6 Pour utiliser un préréglage, choisissez-en un dans le menu local Préréglages. 7 Pour ajouter un ordinateur à la liste, cliquez sur le bouton Ajouter (+), puis tapez l’adresse Ethernet et le nom de l’ordinateur. Ou bien, cliquez sur le bouton Parcourir (…), puis choisissez un ordinateur. Le Gestionnaire de groupe de travail saisira alors l’adresse Ethernet et le nom de l’ordinateur pour vous. L’adresse de l’ordinateur doit correspondre à l’adresse Ethernet intégrée unique, même si le client est connecté au réseau via AirPort. (L’adresse Ethernet, ou identifiant Ethernet, d’un ordinateur est aussi appelé adresse MAC). Si vous ajoutez un ordinateur manuellement, veillez à utiliser l’adresse Ethernet intégrée pour chaque client. 8 Ajoutez un commentaire (facultatif). Les commentaires sont utiles car ils permettent d’ajouter des informations sur l’emplacement d’un ordinateur, sa configuration (s’il s’agit par exemple d’un ordinateur configuré pour une personne ayant des besoins particuliers) ou les périphériques qui y sont connectés. Vous pouvez également utiliser les commentaires pour ajouter des informations d’identification, telles que le modèle ou le numéro de série de l’ordinateur. 9 Continuez à ajouter des ordinateurs jusqu’à ce que la liste soit complète. 10 Saisissez les informations requises dans les sous-fenêtres Accès et Cache. 11 Enregistrez la liste d’ordinateurs. Une fois que vous avez configuré une liste d’ordinateurs, vous pouvez, si vous le souhaitez, en gérer les préférences. Pour plus d’informations sur l’utilisation des préférences gérées, consultez la section “Définition de préférences” à la page 145 et le chapitre 9, “Gestion des préférences”. F0170.book Page 117 Monday, May 2, 2005 12:37 PM118 Chapitre 6 Configuration de listes d’ordinateurs Création d’un préréglage pour listes d’ordinateurs Vous pouvez sélectionner des réglages pour une liste d’ordinateurs et les enregistrer sous la forme d’un préréglage. Les préréglages fonctionnent comme des modèles ; ils permettent d’appliquer des réglages et des informations présélectionnés à une nouvelle liste d’ordinateurs. Grâce aux préréglages, vous pouvez configurer en toute simplicité plusieurs ordinateurs de façon similaire. L’utilisation des préréglages est limitée à la création de listes d’ordinateurs. Vous ne pouvez pas utiliser de préréglages pour modifier des listes d’ordinateurs existantes. Les réglages de la sous-fenêtre Liste sont spécifiques aux différentes listes d’ordinateurs et ne s’appliquent pas aux préréglages. Pour configurer un préréglage pour des listes d’ordinateurs : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Cliquez sur le globe au-dessus de la liste des comptes et choisissez le domaine de répertoires dans lequel vous souhaitez créer une liste d’ordinateurs à l’aide de préréglages. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Cliquez sur le bouton Listes d’ordinateurs (à gauche), puis sur Liste (à droite). 5 Pour créer un tout nouveau préréglage, créez d’abord une liste d’ordinateurs en cliquant sur Nouvelle liste d’ordinateurs. Pour créer un préréglage à l’aide de données figurant dans une liste d’ordinateurs existante, sélectionnez cette dernière (à gauche). 6 Saisissez les informations requises dans les sous-fenêtres Accès et Cache. 7 Dans le menu local Préréglages, choisissez Enregistrer préréglage. Une fois le préréglage créé, vous ne pouvez plus changer ses réglages, mais vous pouvez le supprimer ou le renommer. Pour modifier le nom d’un préréglage, sélectionnez le préréglage dans le menu local Préréglages, puis cliquez sur Renommer préréglage. Pour supprimer un préréglage, sélectionnez-le dans le menu local Préréglages, puis cliquez sur Supprimer préréglage. F0170.book Page 118 Monday, May 2, 2005 12:37 PMChapitre 6 Configuration de listes d’ordinateurs 119 Utilisation d’un préréglage de liste d’ordinateurs Lorsque vous créez une nouvelle liste d’ordinateurs, vous pouvez sélectionner n’importe quel préréglage dans le menu local Préréglages pour appliquer les réglages initiaux. Il est possible de modifier ultérieurement les réglages de la liste d’ordinateurs avant d’enregistrer la liste. Une fois la liste d’ordinateurs enregistrée, vous ne pouvez plus utiliser le menu Préréglage pour cette liste (pour, par exemple, changer à nouveau de préréglage). Pour utiliser un préréglage pour des listes d’ordinateurs : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Cliquez sur le globe au-dessus de la liste des comptes et choisissez le domaine de répertoires dans lequel vous souhaitez stocker la nouvelle liste d’ordinateurs. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Cliquez sur le bouton Listes d’ordinateurs (à gauche), puis sur Liste (à droite). 5 Dans le menu local Préréglages, choisissez un préréglage. 6 Créez une nouvelle liste (cliquez sur Nouvelle liste d’ordinateurs). 7 Ajoutez ou mettez à jour les réglages nécessaires, puis enregistrez la liste. Ajout d’ordinateurs à une liste d’ordinateurs existante Il est facile ajouter plusieurs ordinateurs à une liste existante. Vous ne pouvez toutefois pas ajouter d’ordinateurs à la liste Ordinateurs hôtes, car cette dernière est prédéfinie pour contenir tous les ordinateurs qui ne figurent sur aucune autre liste d’ordinateurs. Pour ajouter des ordinateurs à une liste : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez la liste d’ordinateurs. Pour sélectionner la liste, cliquez sur le globe au-dessus de la barre d’outils, choisissez le domaine de répertoires qui contient la liste, cliquez sur le bouton Listes d’ordinateurs, puis sélectionnez la liste. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Cliquez sur Liste. 5 Pour utiliser un préréglage, choisissez-en un dans le menu local Préréglages. 6 Cliquez sur le bouton Ajouter (+) et saisissez les informations requises. Ou bien, cliquez sur le bouton Parcourir (…), puis sélectionnez l’ordinateur souhaité. Le Gestionnaire de groupe de travail saisira alors l’adresse Ethernet et le nom de l’ordinateur pour vous. L’adresse de l’ordinateur doit correspondre à l’adresse Ethernet intégrée, propre à chaque ordinateur. (L’adresse Ethernet, ou identifiant Ethernet, d’un ordinateur est aussi appelé adresse MAC). F0170.book Page 119 Monday, May 2, 2005 12:37 PM120 Chapitre 6 Configuration de listes d’ordinateurs 7 Ajoutez un commentaire (facultatif). Les commentaires sont utiles car ils permettent d’ajouter des informations supplémentaires concernant l’emplacement d’un ordinateur, sa configuration (s’il s’agit d’un ordinateur configuré pour une personne ayant des besoins particuliers) ou les périphériques qui y sont connectés. Vous pouvez également utiliser les commentaires pour ajouter des informations d’identification, telles que le modèle ou le numéro de série de l’ordinateur. 8 Cliquer sur Enregistrer. 9 Ajoutez des ordinateurs et des informations jusqu’à ce que votre liste soit complète. Modification d’informations sur un ordinateur Une fois que vous avez ajouté un ordinateur à une liste d’ordinateurs, vous pouvez modifier ses informations chaque fois que c’est nécessaire. Pour modifier les informations d’ordinateur : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez la liste sur laquelle figure l’ordinateur. Pour sélectionner la liste, cliquez sur le globe au-dessus de barre d’outils, choisissez le domaine de répertoires qui contient l’ordinateur à modifier, cliquez sur le bouton Listes d’ordinateurs, puis sélectionnez la liste. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Dans la sous-fenêtre Liste, sélectionnez l’ordinateur dont vous souhaitez modifier les informations, puis cliquez sur le bouton Modifier (crayon). Ou bien, double-cliquez sur l’adresse, la description ou le commentaire d’un ordinateur dans la liste pour modifier les informations directement dans la liste. 5 Modifiez les informations selon vos besoins, puis cliquez sur Enregistrer. Déplacement d’un ordinateur vers une autre liste d’ordinateurs Il peut s’avérer parfois nécessaire de regrouper les ordinateurs différemment. Il est facile de déplacer des ordinateurs d’une liste à l’autre. Remarque : un ordinateur ne peut figurer que sur une seule liste. Vous ne pouvez pas ajouter d’ordinateurs à la liste Ordinateurs hôtes. Pour transférer un ordinateur d’une liste à l’autre : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez la liste sur laquelle l’ordinateur figure. Pour sélectionner la liste, cliquez sur le globe au-dessus de barre d’outils, choisissez le domaine de répertoires qui contient la liste d’ordinateurs à modifier, cliquez sur le bouton Listes d’ordinateurs, puis sélectionnez la liste. F0170.book Page 120 Monday, May 2, 2005 12:37 PMChapitre 6 Configuration de listes d’ordinateurs 121 3 Pour vous authentifier, cliquez sur le cadenas. 4 Dans la sous-fenêtre Liste, sélectionnez l’ordinateur à déplacer, puis cliquez sur le bouton Modifier (crayon). 5 Sélectionnez une liste dans le menu local “Déplacer dans la liste”, puis cliquez sur OK. 6 Cliquer sur Enregistrer. Suppression d’ordinateurs d’une liste d’ordinateurs Une fois que vous avez supprimé un ordinateur d’une liste d’ordinateurs, ce dernier est géré à l’aide de la liste Ordinateurs hôtes. Pour supprimer un ordinateur d’une liste : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez la liste sur laquelle l’ordinateur figure. Pour sélectionner la liste, cliquez sur le globe au-dessus de barre d’outils, choisissez le domaine de répertoires qui contient la liste d’ordinateurs à modifier, cliquez sur le bouton Listes d’ordinateurs, puis sélectionnez la liste. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Dans la sous-fenêtre Liste, sélectionnez un ou plusieurs ordinateurs. 5 Cliquez sur le bouton Supprimer (-), puis sur Enregistrer. Suppression d’une liste d’ordinateurs Si vous n’avez plus besoin des ordinateurs qui figurent dans une liste d’ordinateurs, vous pouvez supprimer la liste entière. Vous ne pouvez pas supprimer la liste Ordinateurs hôtes ni la liste Ordinateurs Windows. Pour supprimer une liste d’ordinateurs : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez la liste. Pour sélectionner la liste, cliquez sur le globe au-dessus de barre d’outils, choisissez le domaine de répertoires qui contient la liste d’ordinateurs à supprimer, cliquez sur le bouton Listes d’ordinateurs, puis sélectionnez la liste. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Choisissez Serveur > Effacer la liste d’ordinateurs sélectionnée ou cliquez sur Supprimer dans la barre d’outils. Avertissement : cette action est irréversible. F0170.book Page 121 Monday, May 2, 2005 12:37 PM122 Chapitre 6 Configuration de listes d’ordinateurs Recherche de listes d’ordinateurs Le Gestionnaire de groupe de travail est doté d’une fonction de recherche permettant de localiser rapidement des listes d’ordinateurs spécifiques. Vous pouvez lancer la recherche au sein d’un domaine sélectionné et filtrer les résultats. Pour rechercher une liste d’ordinateurs : 1 Dans Gestionnaire de groupe de travail, cliquez sur Comptes, sur le bouton Listes d’ordinateurs (à gauche), puis sur Liste (à droite). 2 Pour restreindre votre recherche, cliquez sur le globe au-dessus de la liste des comptes et choisissez un domaine de répertoires : Local : pour rechercher des listes d’ordinateurs dans le domaine de répertoires local. Chemin de recherche : pour rechercher des listes d’ordinateurs dans tous les répertoires qui figurent dans le chemin de recherche du serveur (par exemple, monserveur.mondomaine.com). Autre : pour naviguer et sélectionner le domaine de répertoires dans lequel rechercher les listes d’ordinateurs. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Vous pouvez sélectionner un filtre supplémentaire dans le menu local situé en regard du champ de recherche. 5 Tapez des termes de recherche dans le champ correspondant. Gestion des ordinateurs invités Tout ordinateur inconnu (c’est-à-dire ne figurant sur aucune liste d’ordinateurs) qui se connecte à votre réseau et tente d’accéder à des services est traité comme un ordinateur “hôte”. Les réglages définis pour la liste Ordinateurs hôtes s’appliquent à ces ordinateurs inconnus ou “hôtes”. Une liste Ordinateurs hôtes est créée automatiquement pour le domaine de répertoire local d’un serveur. Si le serveur est un maître ou une réplique Open Directory, une liste Ordinateurs hôtes est également créée pour son domaine de répertoire LDAP. La liste Ordinateurs hôtes n’est pas recommandée pour gérer un grand nombre d’ordinateurs ; la plupart des ordinateurs devraient figurer sur les listes d’ordinateurs normales. Remarque : vous ne pouvez pas ajouter des ordinateurs à la liste Ordinateurs hôtes, déplacer des ordinateurs vers cette dernière ni modifier le nom de la liste. F0170.book Page 122 Monday, May 2, 2005 12:37 PMChapitre 6 Configuration de listes d’ordinateurs 123 Pour configurer une liste d’ordinateurs hôtes : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Cliquez sur le globe au-dessus de la liste des comptes et choisissez le domaine de répertoires qui contient la liste Ordinateurs hôtes à modifier. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Cliquez sur le bouton Listes d’ordinateurs (à gauche), puis sélectionnez Ordinateurs hôtes dans la liste. 5 Cliquez sur Liste (à droite), puis sélectionnez un réglage pour les préférences. Pour configurer des préférences gérées, sélectionnez “Définir ici les préférences de l’ordinateur hôte”. Si vous sélectionnez cette option, cliquez sur Enregistrer et passez à l’étape suivante. Pour que des ordinateurs hôtes aient les mêmes réglages de préférences gérées que le serveur parent (un serveur dont le répertoire LDAP ou le répertoire NetInfo partagé est répertorié dans la politique de recherche du serveur que vous configurez), sélectionnez “Hériter des préférences pour les ordinateurs hôtes”. Si vous sélectionnez cette option, cliquez sur Enregistrer (l’étape suivante n’est pas nécessaire). Remarque : vous devez soit créer des listes de comptes d’ordinateur uniques, soit avoir configuré les ordinateurs hôtes pour définir les préférences dans le chemin de recherche. Sinon, les réglages de gestion ne seront pas placés en mémoire cache sur l’ordinateur local. Les systèmes clients pourraient alors ne plus être gérés une fois déconnectés du réseau. 6 Si vous avez sélectionné Définir, cliquez sur Accès puis sélectionnez les réglages que vous voulez utiliser. Cliquez sur Cache, définissez une fréquence d’effacement de la mémoire cache des préférences, puis cliquez sur Enregistrer. Une fois la liste d’ordinateurs Ordinateurs hôtes configurée, vous pouvez gérer les préférences que vous souhaitez pour cette liste. Pour plus d’informations sur l’utilisation des préférences gérées, consultez la section “Définition de préférences” à la page 145 et le chapitre 9, “Gestion des préférences”. Si vous ne sélectionnez aucun réglage ni aucune préférence pour la liste d’ordinateurs Ordinateurs hôtes, cette dernière n’est pas gérée. Toutefois, si l’utilisateur d’un ordinateur dispose d’un compte d’utilisateur Mac OS X Server avec des préférences de groupe ou d’utilisateur gérés, ces réglages s’appliquent lorsque la personne se connecte avec ce compte d’utilisateur. Si l’utilisateur possède un compte d’administrateur dans le répertoire local de l’ordinateur client, l’utilisateur peut choisir de ne pas être géré à la connexion. Les utilisateurs non gérés peuvent recourir à la commande Aller au dossier pour accéder à un répertoire de départ situé sur le réseau. F0170.book Page 123 Monday, May 2, 2005 12:37 PM124 Chapitre 6 Configuration de listes d’ordinateurs Utilisation des réglages d’accès Les réglages du volet Accès vous permettent de rendre les ordinateurs d’une liste disponibles pour les utilisateurs de groupes. Vous pouvez soit n’autoriser que certains groupes à accéder aux ordinateurs d’une liste, soit autoriser tous les groupes (donc tous les utilisateurs) à accéder aux ordinateurs d’une liste. Vous pouvez également contrôler certains aspects de l’accès des utilisateurs locaux. Restriction de l’accès à des ordinateurs Il est possible de réserver l’accès de certains ordinateurs à des utilisateurs spécifiques. S’il existe par exemple deux ordinateurs équipés de matériel et de logiciels de montage vidéo, vous pouvez les réserver aux utilisateurs qui font de la production vidéo. Créez d’abord une liste d’ordinateurs avec ces ordinateurs, assurez-vous que les utilisateurs disposent de comptes d’utilisateur, ajoutez les utilisateurs à un groupe nommé “Production vidéo”, par exemple, et limlitez l’accès à la liste d’ordinateurs Production vidéo à ce groupe. Remarque : tout utilisateur disposant d’un compte d’administrateur dans le répertoire local d’un ordinateur client pourra toujours se connecter. Pour réserver un ensemble d’ordinateurs pour certains groupes : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez la liste d’ordinateurs. Pour sélectionner la liste, cliquez sur le globe au-dessus de barre d’outils, choisissez le domaine de répertoires qui contient la liste d’ordinateurs, cliquez sur le bouton Listes d’ordinateurs, puis sélectionnez la liste. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Dans la sous-fenêtre Liste, tapez des enregistrements d’ordinateur avec leurs identifiants Ethernet. Vous pouvez utiliser des listes pour restreindre la connexion à certains ordinateurs. Vous pouvez également utiliser la fonction de présentations de réseau pour effectuer cette tâche avec plus de souplesse. (Voir le chapitre 10.) 5 Cliquez sur Accès. 6 Sélectionnez l’option Limiter aux groupes ci-dessous. 7 Cliquez sur le bouton Ajouter (+), puis sélectionnez un ou plusieurs groupes dans le tiroir et faites-les glisser vers la liste de la sous-fenêtre Accès. Pour supprimer un groupe autorisé, sélectionnez-le, puis cliquez sur le bouton Supprimer (–). 8 Cliquer sur Enregistrer. Dans la fenêtre de connexion, seuls les utilisateurs du ou des groupes autorisés apparaîtront ou seront capables de se connecter. F0170.book Page 124 Monday, May 2, 2005 12:37 PMChapitre 6 Configuration de listes d’ordinateurs 125 Mise d’ordinateurs à la disposition de tous les utilisateurs Vous pouvez mettre les ordinateurs d’une liste à la disposition de tout utilisateur provenant de l’un quelconque des groupes que vous avez définis. Pour mettre des ordinateurs à la disposition de tous les utilisateurs : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez la liste d’ordinateurs. Pour sélectionner la liste, cliquez sur le globe au-dessus de barre d’outils, choisissez le domaine de répertoires qui contient la liste d’ordinateurs, cliquez sur le bouton Listes d’ordinateurs, puis sélectionnez la liste. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Cliquez sur le bouton Listes d’ordinateurs, puis sélectionnez une ou plusieurs listes d’ordinateurs. 5 Dans la sous-fenêtre Liste, cochez les enregistrements d’ordinateur souhaités ou saisissez-en un s’il n’en existe pas encore. 6 Cliquez sur la sous-fenêtre Accès. 7 Sélectionnez “Tous les groupes peuvent utiliser l’ordinateur” et “Autoriser les administrateurs d’ordinateur à désactiver la gestion”. 8 Cliquez sur la sous-fenêtre Cache et assurez-vous que le réglage de mise à jour de la mémoire cache des préférences est réglé sur une durée appropriée. Ne réglez pas l’actualisation de la mémoire cache sur 0, sinon la mémoire cache ne pourra pas être créée. Les ordinateurs ne seraient plus gérés une fois déconnectés du réseau. 9 Cliquer sur Enregistrer. Utilisation de comptes d’utilisateur locaux Un compte d’utilisateur local est un compte d’utilisateur défini dans le domaine de répertoire local d’un ordinateur client. Les comptes locaux servent aussi bien aux ordinateurs fixes que portables, qu’ils soient utilisés par une ou plusieurs personne(s). Toute personne dotée d’un compte d’administrateur local sur un ordinateur client peut créer des comptes d’utilisateur local via le volet Comptes dans les préférences Système. Les utilisateurs locaux sont authentifiés en local. Si vous comptez fournir des ordinateurs portables (iBook, par exemple) à plusieurs personnes, vous pouvez attribuer à chaque utilisateur la fonction d’administrateur local de l’ordinateur en sa possession. Un administrateur local dispose d’autorisations plus étendues qu’un utilisateur local ou réseau. Par exemple, un administrateur local peut ajouter des imprimantes, changer des réglages de réseau ou choisir de ne pas être géré. F0170.book Page 125 Monday, May 2, 2005 12:37 PM126 Chapitre 6 Configuration de listes d’ordinateurs La manière la plus simple de gérer les préférences des utilisateurs locaux d’un ordinateur particulier consiste à gérer les préférences de la liste d’ordinateurs à laquelle appartient l’ordinateur et de s’assurer que vous autorisez bien les utilisateurs qui ne disposent que de comptes locaux à utiliser les ordinateurs de la liste d’ordinateurs. Pour autoriser l’accès aux utilisateurs dotés de comptes locaux : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez une liste d’ordinateurs qui prend en charge les ordinateurs avec des utilisateurs locaux. Pour sélectionner une liste, cliquez sur le globe au-dessus de barre d’outils, choisissez le domaine de répertoires qui contient la liste d’ordinateurs, cliquez sur le bouton Listes d’ordinateurs, puis sélectionnez la liste. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Cliquez sur Accès. 5 Sélectionnez “Limiter aux groupes ci-dessous” pour déterminer les groupes de travail qui sont affichés lorsqu’un utilisateur local se connecte. Les comptes d’utilisateur locaux ne peuvent pas être réglés pour restreindre l’accès à des groupes de travail spécifiques. Si vous avez créé des groupes de travail qui doivent être limités à des comptes spécifiques, vous devez créer une liste de comptes d’ordinateur qui ne contient que les groupes de travail disposant d’un accès commun. Pour que la liste des groupes de travail disponibles s’affiche lors de la connexion de l’utilisateur, sélectionnez “Tous les groupes peuvent utiliser l’ordinateur”. Pour n’afficher que certains groupes de travail (dans le cas de comptes non locaux), sélectionnez “Limiter aux groupes ci-dessous”, puis faites glisser des groupes du tiroir vers la liste de la sous-fenêtre Accès. 6 Assurez-vous que l’option Autoriser les utilisateurs de comptes exclusivement locaux est sélectionnée. 7 Cliquer sur Enregistrer. F0170.book Page 126 Monday, May 2, 2005 12:37 PM7 127 7 Configuration des répertoires de départ Mac OS X utilise le répertoire de départ, un dossier réservé à l’usage exclusif d’un utilisateur, pour stocker des préférences système et des réglages gérés. Ce chapitre décrit les principes généraux de configuration et de gestion des répertoires de départ. À propos des répertoires de départ Vous pouvez configurer des répertoires de départ de manière à les rendre accessibles à l’aide soit du protocole AFP (Apple Filing Protocol), soit du système NFS (Network File System) : • Il est préférable d’utiliser le protocole AFP, car il offre une sécurité d’accès par authentification. L’utilisateur doit ouvrir une session avec un nom et un mot de passe valides pour pouvoir accéder aux fichiers. • L’accès aux fichiers NFS n’étant pas basé sur l’authentification des utilisateurs mais sur les adresses IP client, c’est un protocole généralement moins sûr que AFP. N’utilisez NFS que si vous avez besoin de fournir des répertoires de départ à de nombreux utilisateurs travaillant avec des stations de travail UNIX. Pour configurer le répertoire de départ d’un utilisateur dans le Gestionnaire de groupe de travail, utilisez la sous-fenêtre Départ de la fenêtre Comptes. Vous pouvez aussi importer des réglages de répertoire de départ d’utilisateur à partir d’un fichier. Pour savoir comment travailler avec des fichiers d’importation, consultez la section “Importation et exportation d’informations de compte”. Il n’est pas nécessaire que le répertoire de départ d’un utilisateur soit stocké sur le même serveur que le domaine de répertoires contenant son compte d’utilisateur. D’ailleurs, répartir les domaines de répertoires et les répertoires de départ sur plusieurs serveurs peut vous aider à équilibrer la charge de travail entre différents serveurs. “Répartition de répertoires de départ sur plusieurs serveurs” à la page 129 décrit plusieurs de ces scénarios. F0170.book Page 127 Monday, May 2, 2005 12:37 PM128 Chapitre 7 Configuration des répertoires de départ Le répertoire de départ que vous désignez dans la sous-fenêtre Départ peut être utilisé lors de la connexion à partir d’une station de travail Windows ou d’un ordinateur Mac OS X. Cela peut s’avérer pratique pour les utilisateurs dont le compte réside sur un serveur qui fonctionne comme contrôleur de domaine principal Windows. Consultez le guide d’administration des services Windows pour plus d’informations sur la configuration des répertoires de départ pour les utilisateurs de stations de travail Windows. La longueur maximale de chemin de 89 caractères pour les répertoires de départ et les autres points de partage à montage automatique est réduite d’un nombre variable de caractères en fonction de la version de Mac OS X utilisée sur les clients : • 10.2 - 10.2.8 : (marge de 89-24) = 65 caractères max. • 10.3 - 10.3.4 : (marge de 89-38) = 51 caractères max. • 10.3.5 et les versions plus récentes de 10.3 : (marge de 89-24) = 65 caractères max. • 10.4 Tiger : (marge de 89-16) = 73 caractères max. Pour en savoir plus, consultez l’article du site Web d’assistance et de service Apple intitulé “Avoid Spaces and Long Names in Network Home Directory Name, Path”, à l’adresse docs.info.apple.com/article.html?artnum=107695. Évitez les espaces et les noms très longs dans les chemins d’accès aux répertoires de départ réseau Si le chemin absolu du client au répertoire de départ réseau sur le serveur contient des espaces ou plus de 89 caractères, certains types de clients ne peuvent pas se connecter. Un client utilisant, par exemple, le montage automatique avec un répertoire de départ AFP basé sur LDAP ne pourra probablement pas accéder à son répertoire de départ. Pour résoudre ou éviter le problème, assurez-vous que le chemin complet au répertoire de départ réseau ne contient pas d’espaces et ne comporte pas plus de 89 caractères. La barre oblique (/) compte comme caractère. F0170.book Page 128 Monday, May 2, 2005 12:37 PMChapitre 7 Configuration des répertoires de départ 129 Répartition de répertoires de départ sur plusieurs serveurs L’illustration ci-dessous montre un serveur Mac OS X Server destiné au stockage de comptes d’utilisateur et deux autres pour stocker des répertoires de départ AFP. Lorsqu’un utilisateur se connecte, il est authentifié à l’aide d’un compte stocké dans le domaine de répertoires partagé sur le serveur de comptes. L’emplacement du répertoire de départ de l’utilisateur, stocké dans le compte, sert à monter le répertoire de départ qui réside physiquement sur l’un des deux serveurs de répertoires de départ. Les étapes ci-dessous permettent de configurer ce scénario pour les répertoires de départ AFP : Étape 1 : Créez un domaine partagé pour les comptes d’utilisateur sur le serveur de comptes. La création d’un domaine de répertoires LDAP partagé s’effectue en configurant un maître Open Directory conformément aux instructions incluses dans le guide d’administration d’Open Directory. Étape 2 : Configurez un point de partage montable automatiquement pour les répertoires de départ sur chaque serveur. Pour obtenir des instructions sur la manière de configurer des points de partage montables automatiquement, consultez la section “Configuration d’un point de partage AFP montable automatiquement pour des répertoires de départ” à la page 137. Répertoires de départ A à M Serveurs Mac OS X Server Répertoires de départ N à Z Comptes d'utilisateurs F0170.book Page 129 Monday, May 2, 2005 12:37 PM130 Chapitre 7 Configuration des répertoires de départ Étape 3 : Créez les comptes d’utilisateur dans le domaine partagé sur le serveur de comptes. Ce chapitre décrit plus en avant la configuration des comptes de sorte que les répertoires de départ soient stockés dans l’un ou l’autre des points de partage montables automatiquement. Reportez-vous aux instructions de la section “Création de comptes d’utilisateur Mac OS X Server” à la page 67 pour savoir comment configurer les attributs des comptes d’utilisateur, ainsi que celles des sections ultérieures de ce chapitre pour obtenir des détails spécifiques sur la configuration des répertoires de départ. Étape 4 : Configurez les services de répertoire des ordinateurs clients afin que leur politique de recherche inclue le domaine de répertoire partagé sur le serveur de comptes. Consultez le guide d’administration Open Directory pour plus d’informations sur la configuration des politiques de recherche. Quand un utilisateur redémarre son ordinateur, puis ouvre une session en utilisant le compte du domaine partagé, le répertoire de départ est automatiquement créé (si ce n’est déjà fait) sur le serveur approprié et visible sur l’ordinateur de l’utilisateur. Remarque : les répertoires de départ ne sont créés automatiquement, lors de la connexion initiale d’un utilisateur, que sur les points de partage servis par un serveur AFP. Les répertoires de départ NFS doivent être créés manuellement. Spécification d’aucun répertoire de départ Vous pouvez utiliser le Gestionnaire de groupe de travail pour qu’un compte d’utilisateur doté d’un répertoire de départ n’en ait plus. Par défaut, les nouveaux utilisateurs ne disposent d’aucun répertoire de départ. Pour ne définir aucun répertoire de départ : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Ouvrez le domaine de répertoires dans lequel réside le compte d’utilisateur et authentifiez-vous comme administrateur du domaine. Pour ouvrir un domaine de répertoires, cliquez sur le globe au-dessus de la liste des comptes, puis faites votre choix dans le menu local. Pour vous authentifier, cliquez sur le cadenas. 3 Cliquez sur le bouton Utilisateurs, puis sélectionnez un ou plusieurs comptes d’utilisateur. 4 Cliquez sur Départ, puis sélectionnez (Aucun) dans la liste. 5 Cliquer sur Enregistrer. F0170.book Page 130 Monday, May 2, 2005 12:37 PMChapitre 7 Configuration des répertoires de départ 131 Création d’un répertoire de départ pour un utilisateur local sur un serveur Vous pouvez utiliser le Gestionnaire de groupe de travail pour définir des répertoires de départ aux utilisateurs dont les comptes sont stockés dans un domaine de répertoires local du serveur. Vous avez aussi la possibilité d’utiliser des comptes d’utilisateur locaux sur des serveurs autonomes (non accessibles à partir d’un réseau) et des comptes d’administrateur sur un serveur. Ces comptes sont destinés aux utilisateurs qui ouvrent une session directement sur le serveur. Ils ne sont pas destinés aux utilisateurs réseau. Les répertoires de départ des utilisateurs locaux doivent être stockés dans des points de partage AFP, sur le serveur dans lequel résident leurs comptes. Il n’est pas nécessaire que ces points de partage soient montables automatiquement (aucun enregistrement de montage de réseau n’est requis). Pour créer un répertoire de départ pour un compte d’utilisateur local : 1 Assurez-vous qu’un point de partage pour le répertoire de départ existe sur le serveur où réside le compte d’utilisateur local. Vous pouvez utiliser le point de partage prédéfini /Users ou tout autre point de partage AFP préalablement défini sur le serveur. Une autre solution consiste à établir votre propre point de partage. Pour utiliser un point de partage existant, passez à l’étape 4. Pour définir un nouveau point de partage, continuez avec les étapes 2 et 3. Étant donné le principe des quotas de disques de répertoires de départ, vous pouvez configurer les points de partage de répertoire de départ sur une partition différente des autres points de partage. Pour plus d’informations, consultez la section “Définition de quotas de disque” à la page 140. 2 À l’aide du Finder, créez, le cas échéant, le dossier que vous souhaitez utiliser comme point de partage. 3 Dans le Gestionnaire de groupe de travail, connectez-vous au serveur sur lequel réside le compte d’utilisateur local, puis cliquez sur Partage pour configurer le dossier comme point de partage AFP. Cliquez sur Tous (à gauche au-dessus de la liste), puis sélectionnez le dossier. Cliquez sur Général et sélectionnez Partager cet élément et son contenu. Spécifiez les noms du possesseur du point de partage et du groupe en saisissant leur nom dans les champs correspondants ou en y faisant glisser les noms depuis le Finder qui s’ouvre après avoir cliqué sur Utilisateurs et groupes. Réglez les autorisations du Propriétaire sur Lecture et écriture et les autorisations du Groupe et de Tous sur Lecture seule. Cliquer sur Enregistrer. F0170.book Page 131 Monday, May 2, 2005 12:37 PM132 Chapitre 7 Configuration des répertoires de départ 4 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes, puis sélectionnez le compte d’utilisateur avec lequel vous souhaitez travailler. Pour sélectionner un compte d’utilisateur local, cliquez sur le globe au-dessus de la liste des comptes, ouvrez le domaine de répertoires local, cliquez sur le bouton Utilisateurs, puis sélectionnez l’utilisateur dans la liste. 5 Cliquez sur le cadenas et authentifiez-vous en tant qu’administrateur du domaine de répertoires local. 6 Cliquez sur Départ pour configurer le répertoire de départ de l’utilisateur sélectionné. 7 Dans la liste des points de partage, sélectionnez celui que vous souhaitez utiliser. La liste affiche tous les points de partage AFP du serveur auquel vous êtes connecté. 8 Saisissez un quota de disque et spécifiez s’il s’agit de méga-octets (Mo) ou de gigaoctets (Go) (facultatif). 9 Cliquez sur Créer Départ puis sur Enregistrer. Si vous ne cliquez pas sur Créer Départ avant de cliquer sur Enregistrer, le répertoire de départ sera créé la prochaine fois que l’utilisateur redémarrera l’ordinateur client et se connectera à distance. Toutefois, seuls certains clients peuvent se connecter à des serveurs qui hébergent des points de partage dans le domaine local. Pour obtenir des instructions sur la configuration d’un point de partage pour des clients Mac OS X, consultez la section “Création d’un répertoire de départ de réseau” à la page 133. Le nom du répertoire du départ est identique au premier nom abrégé de l’utilisateur. 10 Assurez-vous que le service AFP est actif sur le serveur où réside le répertoire de départ de l’utilisateur local. Pour vérifier l’état du service AFP, ouvrez Admin Serveur et connectez-vous au serveur sur lequel réside le compte d’utilisateur local. Sélectionnez AFP dans la liste Ordinateurs et services, puis cliquez sur Vue d’ensemble. Si l’état indique que le service AFP est arrêté, choisissez Serveur > Démarrer le service ou cliquez sur Démarrer le service dans la barre d’outils. F0170.book Page 132 Monday, May 2, 2005 12:37 PMChapitre 7 Configuration des répertoires de départ 133 Création d’un répertoire de départ de réseau Dans le Gestionnaire de groupe de travail, vous pouvez configurer un répertoire de départ réseau pour un compte d’utilisateur stocké dans un domaine de répertoires partagé. Le répertoire de départ d’un utilisateur peut résider dans tout point de partage AFP ou NFS auquel peut accéder l’ordinateur de l’utilisateur. Le point de partage doit être montable automatiquement. Un point de partage montable automatiquement garantit que le répertoire de départ est automatiquement visible dans /Network/Servers quand l’utilisateur se connecte à un ordinateur Mac OS X configuré pour pouvoir accéder au domaine partagé. Il permet aussi à d’autres utilisateurs d’accéder au répertoire de départ à l’aide du raccourci ~nom-répertoire-départ. Vous pouvez utiliser le Gestionnaire de groupe de travail pour définir un répertoire de départ réseau pour un utilisateur dont le compte est stocké dans le répertoire LDAP d’un maître Open Directory ou dans un autre domaine de répertoires en lecture/écriture accessible depuis le serveur que vous utilisez. Vous pouvez aussi utiliser le Gestionnaire de groupe de travail pour consulter les informations relatives à un répertoire de départ dans tout domaine de répertoires accessible en lecture seule. Pour créer un répertoire de départ de réseau dans un point de partage AFP ou NFS : 1 Assurez-vous que le point de partage existe sur le serveur où vous souhaitez que réside le répertoire de départ et que celui-ci dispose d’un enregistrement de montage de réseau configuré pour les répertoires de départ. Pour obtenir des instructions, consultez la section “Configuration d’un point de partage AFP montable automatiquement pour des répertoires de départ” à la page 137 ou “Configuration d’un point de partage NFS ou SMB montable automatiquement pour des répertoires de départ” à la page 138. 2 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes, puis sélectionnez le compte d’utilisateur avec lequel vous souhaitez travailler. Pour sélectionner un compte, connectez-vous au serveur sur lequel il réside. Cliquez sur le globe au-dessus de la liste des comptes, puis ouvrez le domaine de répertoires dans lequel le compte d’utilisateur réside. Cliquez sur le bouton Utilisateurs, puis sélectionnez l’utilisateur dans la liste des utilisateurs. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Cliquez sur Départ pour configurer le répertoire de départ de l’utilisateur sélectionné. F0170.book Page 133 Monday, May 2, 2005 12:37 PM134 Chapitre 7 Configuration des répertoires de départ 5 Dans la liste des points de partage, sélectionnez celui que vous souhaitez utiliser. La liste affiche l’ensemble des points de partage montables automatiquement et visibles sur le réseau dans le chemin de recherche du serveur auquel vous êtes connecté. Si le point de partage que vous voulez sélectionner ne figure pas dans la liste, cliquez sur Actualiser. S’il n’apparaît toujours pas, c’est qu’il n’est peut-être pas montable automatiquement. Dans ce cas, vous devez configurer un point de partage avec un enregistrement de montage de réseau, configuré pour les répertoires de départ comme décrit à l’étape 1. 6 Saisissez un quota de disque et spécifiez s’il s’agit de méga-octets (Mo) ou de gigaoctets (Go) (facultatif). 7 Cliquez sur Créer Départ puis sur Enregistrer. Si vous ne cliquez pas sur Créer Départ avant de cliquer sur Enregistrer, le répertoire de départ sera créé la prochaine fois que l’utilisateur redémarre l’ordinateur client et qu’il se connecte à distance. Le nom du répertoire du départ est identique au premier nom abrégé de l’utilisateur. 8 Assurez-vous que l’utilisateur redémarre son ordinateur client pour y rendre visible le point de partage. Notez que lorsqu’un utilisateur ouvre une session à l’aide de SSH pour obtenir un accès au serveur par ligne de commande, son répertoire de départ n’est pas monté et il ne peut y accéder qu’en qualité d’invité. Si vous souhaitez déterminer l’emplacement de stockage du répertoire de départ de l’utilisateur dans un point de partage précis et choisir la manière dont il est nommé, cliquez sur le bouton Ajouter (+) ou Dupliquer (icône de copie) pour créer un répertoire de départ personnalisé. Pour obtenir des instructions, consultez “Création d’un répertoire de départ personnalisé”. Création d’un répertoire de départ personnalisé Dans le Gestionnaire de groupe de travail, vous pouvez personnaliser les réglages du répertoire de départ d’un utilisateur. Cette personnalisation s’avère nécessaire lorsque : • Vous souhaitez que le répertoire de départ de l’utilisateur réside dans des répertoires qui ne sont pas situés immédiatement sous le point de partage du répertoire de départ. Par exemple, vous pouvez organiser des répertoires de départ en plusieurs sous-répertoires au sein d’un point de partage. Si Homes correspond au point de partage du répertoire de départ, vous pouvez placer les répertoires de départ des professeurs sous Homes/Teachers et ceux des étudiants sous Homes/Students. F0170.book Page 134 Monday, May 2, 2005 12:37 PMChapitre 7 Configuration des répertoires de départ 135 • Spécifiez un nom de répertoire de départ différent du premier nom abrégé de l’utilisateur. Vous pouvez utiliser le Gestionnaire de groupe de travail pour définir un répertoire de départ personnalisé pour un utilisateur dont le compte est stocké dans un domaine de répertoires local du serveur ou dans un domaine de répertoires partagé accessible depuis le serveur que vous utilisez. Le domaine de répertoires partagé peut être le répertoire LDAP d’un maître Open Directory ou un autre domaine de répertoires en lecture/écriture. Vous pouvez aussi utiliser le Gestionnaire de groupe de travail pour consulter les informations relatives à un répertoire de départ dans tout domaine de répertoires accessible en lecture seule. Pour créer un répertoire de départ personnalisé à l’aide du Gestionnaire de groupe de travail : 1 Assurez-vous que le point de partage existe et qu’il est correctement configuré. Le point de partage destiné au répertoire de départ d’un utilisateur local doit résider dans un point de partage AFP sur le serveur où se trouve le compte de l’utilisateur. Il n’est pas nécessaire que ce point de partage soit montable automatiquement (aucun enregistrement de montage de réseau n’est requis). Le point de partage destiné au répertoire de départ d’un compte d’utilisateur dans un domaine de répertoires partagé peut résider dans un point de partage AFP ou NFS, à condition que l’ordinateur de l’utilisateur puisse y accéder. Le point de partage doit être montable automatiquement, c’est-à-dire qu’il doit y avoir un enregistrement de montage de réseau dans le répertoire. Pour obtenir des instructions, consultez la section “Configuration d’un point de partage AFP montable automatiquement pour des répertoires de départ” à la page 137 ou “Configuration d’un point de partage NFS ou SMB montable automatiquement pour des répertoires de départ” à la page 138. 2 Si vous voulez que le répertoire de départ se trouve dans un dossier du point de partage, utilisez le Finder pour créer tous les dossiers nécessaires dans le chemin entre le point de partage et l’emplacement de stockage du répertoire de départ. 3 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes, puis sélectionnez le compte d’utilisateur avec lequel vous souhaitez travailler. Pour sélectionner un compte, connectez-vous au serveur sur lequel il réside. Cliquez sur le globe au-dessus de la liste des comptes, puis ouvrez le domaine de répertoires dans lequel le compte d’utilisateur réside. Cliquez sur le bouton Utilisateurs, puis sélectionnez l’utilisateur. F0170.book Page 135 Monday, May 2, 2005 12:37 PM136 Chapitre 7 Configuration des répertoires de départ 4 Pour vous authentifier, cliquez sur le cadenas. 5 Cliquez sur Départ pour configurer le répertoire de départ de l’utilisateur sélectionné. 6 Cliquez sur le bouton Ajouter (+) pour ajouter un répertoire de départ personnalisé ou Dupliquer (icône de copie) pour copier un répertoire de départ personnalisé existant. Vous pouvez supprimer un emplacement de répertoire de départ en le sélectionnant, puis en cliquant sur le bouton Supprimer (–). Vous ne pouvez supprimer que les emplacements ajoutés à l’aide du bouton Ajouter ou Dupliquer. 7 Dans le champ URL, vous pouvez soit saisir l’URL complète d’un point de partage AFP existant montable automatiquement et dans lequel vous souhaitez stocker le répertoire de départ, soit ne rien entrer pour un point de partage NFS. Par exemple, si le point de partage AFP est Homes et que vous utilisez DNS, vous pouvez saisir AFP://serveur.exemple.com/Homes. Si vous n’utilisez pas DNS, remplacez le nom DNS du serveur hébergeant le répertoire de départ pas son adresse IP : AFP://192.168.2.1/Homes.” Vous pouvez utiliser ou omettre la barre oblique (/) à la fin de l’URL. 8 Dans le champ Chemin, vous pouvez soit saisir le chemin allant du point de partage AFP au répertoire de départ, en incluant ce dernier mais en excluant le point de partage, soit ne rien entrer pour un point de partage NFS. Par exemple, vous pouvez saisir Teachers/SecondGrade/Smith. Ne placez pas de barre oblique (/) au début ni à la fin du chemin. 9 Dans le champ Départ, entrez le chemin complet du répertoire de départ, en terminant par ce dernier. Insérez une barre oblique (/) au début, mais pas à la fin. Exemple pour un compte d’utilisateur local :/Users/Teachers/SecondGrade/Smith Exemple pour un compte d’utilisateur dans un domaine de répertoires partagé : /Network/Servers/myServer/Homes/Teachers/SecondGrade/Smith Le nom saisi après /Network/Servers/ doit être le nom d’hôte entré lors de la configuration initiale du serveur. Si vous ne le connaissez pas, ouvrez l’application Terminal, tapez nom de domaine et appuyez sur Entrée pour afficher le nom. 10 Cliquez sur OK. 11 Saisissez un quota de disque et spécifiez s’il s’agit de méga-octets (Mo) ou de gigaoctets (Go) (facultatif). F0170.book Page 136 Monday, May 2, 2005 12:37 PMChapitre 7 Configuration des répertoires de départ 137 12 Cliquez sur Créer Départ puis sur Enregistrer. Le nom du répertoire de départ est celui spécifié à l’étape 8. Si vous ne cliquez pas sur Créer Départ avant de cliquer sur Enregistrer, le répertoire de départ sera créé la prochaine fois que l’utilisateur redémarre l’ordinateur client et qu’il se connecte à distance. Remarque : les répertoires de départ ne sont créés automatiquement la première fois qu’un utilisateur se connecte que sur les points de partage servis par un serveur AFP. Les répertoires de départ NFS doivent être créés manuellement. 13 Pour un compte d’utilisateur dans un domaine de répertoires partagé, assurez-vous que l’utilisateur redémarre son ordinateur client afin d’y rendre visible le point de partage. Configuration d’un point de partage AFP montable automatiquement pour des répertoires de départ Vous pouvez utiliser le Gestionnaire de groupe de travail pour configurer des points de partage AFP pour des répertoires de départ. Les répertoires de départ de comptes d’utilisateur stockés dans des domaines de répertoire partagés, comme le répertoire LDAP d’un maître Open Directory, peuvent résider dans tout point de partage AFP accessible par l’ordinateur de l’utilisateur. Ce point de partage doit être montable automatiquement, c’est-à-dire qu’il doit y avoir un enregistrement de montage de réseau dans le domaine de répertoires où réside le compte d’utilisateur. Un point de partage montable automatiquement garantit que le répertoire de départ est automatiquement visible dans /Network/Servers quand l’utilisateur se connecte à un ordinateur Mac OS X configuré pour pouvoir accéder au domaine partagé. Il permet aussi à d’autres utilisateurs d’accéder au répertoire de départ à l’aide du raccourci ~nom-répertoire-départ. Pour configurer un point de partage AFP montable automatiquement pour des répertoires de départ : 1 Sur le serveur où vous souhaitez que résident les répertoires de départ, créez un dossier qui servira de point de partage à ces répertoires de départ. Étant donné le principe des quotas de disques de répertoires de départ, vous pouvez configurer les points de partage de répertoire de départ sur une partition différente des autres points de partage. Pour plus de détails, consultez la rubrique “Définition de quotas de disque” à la page 140. 2 Dans le Gestionnaire de groupe de travail, connectez-vous au serveur de l’étape 1, puis cliquez sur Partage. 3 Cliquez sur Tout (au-dessus de la liste à gauche) et sélectionnez le dossier créé pour le point de partage. F0170.book Page 137 Monday, May 2, 2005 12:37 PM138 Chapitre 7 Configuration des répertoires de départ 4 Dans la fenêtre générale, sélectionnez Partager cet élément et son contenu. 5 Spécifiez les noms du possesseur du point de partage et du groupe en saisissant leur nom dans les champs correspondants ou en y faisant glisser les noms depuis le Finder qui s’ouvre après avoir cliqué sur Utilisateurs et groupes. 6 Réglez les permissions du possesseur sur Lecture et écriture, les autorisations du groupe et de tous sur Lecture seule, puis cliquez sur Enregistrer. 7 Cliquez sur Montage de réseau, et authentifiez-vous comme administrateur du domaine de répertoires dans lequel réside le compte d’utilisateur. Utilisez le menu local Emplacement pour choisir le domaine de répertoires dans lequel réside le compte d’utilisateur. Cliquez ensuite sur le verrou et authentifiez-vous comme administrateur du domaine de répertoires. 8 Sélectionnez Créer un enregistrement de montage pour ce point de partage et Utiliser pour les répertoires de départ des utilisateurs. 9 Assurez-vous que le menu local Protocole est réglé sur AFP, puis cliquez sur Enregistrer. 10 Configurez le point de partage pour pouvoir y accéder en invité, de sorte que les utilisateurs dont les répertoires de départ sont situés sur des serveurs différents puissent accéder au répertoire de départ à l’aide du raccourci ~nom-répertoire-depart/Public. Cliquez sur Protocoles, choisissez Réglages de fichiers Apple dans le menu local, puis veillez à bien sélectionner Partager cet élément via AFP et Autoriser l’accès comme invité AFP. (Options sélectionnées par défaut.) Dans Admin Serveur, assurez-vous que l’option Accès comme invité AFP est activée. Connectez-vous au serveur du répertoire de départ et sélectionnez AFP dans la liste Ordinateurs et services. Cliquez sur Réglages puis sur Accès, et assurez-vous que l’option Autoriser l’accès en invité est sélectionnée. Vérifiez aussi que le service AFP est bien actif. Configuration d’un point de partage NFS ou SMB montable automatiquement pour des répertoires de départ Bien qu’il soit préférable d’utiliser le protocole AFP pour accéder aux répertoires de départ en raison du niveau de sécurité offert, vous pouvez employer le Gestionnaire de groupe de travail pour configurer un point de partage NFS de réseau pour les répertoires de départ. Les points de partage NFS ou SMB peuvent être utilisés pour des répertoires de départ d’utilisateurs définis dans des domaines de répertoires partagés, comme le répertoire LDAP d’un maître Open Directory ou d’un domaine Open Directory. Le point de partage doit être montable automatiquement, c’est-à-dire qu’il doit y avoir un enregistrement de montage de réseau dans le domaine de répertoires où réside le compte d’utilisateur. F0170.book Page 138 Monday, May 2, 2005 12:37 PMChapitre 7 Configuration des répertoires de départ 139 Un point de partage montable automatiquement garantit que le répertoire de départ est automatiquement visible dans /Network/Servers quand l’utilisateur se connecte à un ordinateur Mac OS X configuré pour pouvoir accéder au domaine partagé. Il permet aussi à d’autres utilisateurs d’accéder au répertoire de départ à l’aide du raccourci ~nom-répertoire-départ. Pour configurer un point de partage NFS ou SMB montable automatiquement pour des répertoires de départ : 1 Sur le serveur où vous souhaitez que résident les répertoires de départ, créez un dossier qui servira de point de partage à ces répertoires de départ. Étant donné le principe des quotas de disques de répertoires de départ, vous pouvez configurer les points de partage de répertoire de départ sur une partition différente des autres points de partage. Pour plus de détails, consultez la rubrique “Définition de quotas de disque” à la page 140. 2 Dans le Gestionnaire de groupe de travail, connectez-vous au serveur de l’étape 1, puis cliquez sur Partage. 3 Cliquez sur Tout (au-dessus de la liste à gauche) et sélectionnez le dossier créé pour le point de partage. 4 Cliquez sur Général et sélectionnez Partager cet élément et son contenu. 5 Spécifiez les noms du possesseur du point de partage et du groupe en saisissant leur nom dans les champs correspondants ou en y faisant glisser les noms depuis le Finder qui s’ouvre après avoir cliqué sur Utilisateurs et groupes. 6 Réglez les permissions du possesseur sur Lecture et écriture, les autorisations du groupe et de tous sur Lecture seule, puis cliquez sur Enregistrer. 7 Cliquez sur Protocoles, puis sélectionnez Réglages d’exportation NFS ou SMB dans le menu local. 8 Sélectionnez Exporter cet élément et son contenu vers et veillez à bien choisir l’option Client dans le menu local qui s’affiche dessous. 9 Ajoutez les ordinateurs clients dont vous souhaitez autoriser l’accès au point de partage. Cliquez sur Ajouter et entrez l’adresse IP ou le nom d’hôte du client que vous souhaitez ajouter à la liste d’ordinateurs. Cliquez sur Supprimer pour supprimer l’adresse sélectionnée de la liste. 10 Configurez les autorisations du point de partage. Sélectionnez Régler Utilisateur root sur aucun et décochez les cases restantes. 11 Cliquez sur Montage de réseau, et authentifiez-vous comme administrateur du domaine de répertoires dans lequel réside le compte d’utilisateur. F0170.book Page 139 Monday, May 2, 2005 12:37 PM140 Chapitre 7 Configuration des répertoires de départ Utilisez le menu local Emplacement pour choisir le domaine de répertoires dans lequel réside le compte d’utilisateur. Cliquez ensuite sur le verrou et authentifiez-vous comme administrateur du domaine de répertoires. 12 Sélectionnez Créer un enregistrement de montage pour ce point de partage et Utiliser pour les répertoires de départ des utilisateurs. 13 Choisissez NFS ou SMB dans le menu local Protocole, puis cliquez sur Enregistrer. Définition de quotas de disque Vous pouvez limiter l’espace disque qu’un utilisateur peut utiliser pour stocker des fichiers qu’il possède dans la partition où se trouve son répertoire de départ. Ce quota ne s’applique pas au point de partage du répertoire de départ ni à ce dernier, mais à l’ensemble de la partition dans laquelle le point de partage du répertoire de départ et ce dernier résident. Pour cette raison, lorsqu’un utilisateur place des fichiers dans le dossier d’un autre utilisateur, cela peut avoir des conséquences au niveau du quota de disque de l’utilisateur : • Quand vous copiez un fichier dans la boîte de dépôt AFP d’un utilisateur, le propriétaire de cette dernière devient propriétaire du fichier. • Dans NFS cependant, lorsque vous copiez un fichier dans un autre dossier, vous en restez le propriétaire et l’opération de copie diminue votre quota de disque sur une partition spécifique. F0170.book Page 140 Monday, May 2, 2005 12:37 PMChapitre 7 Configuration des répertoires de départ 141 Pour configurer un quota de disque pour un point de partage du répertoire de départ à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte d’utilisateur avec lequel vous souhaitez travailler. Pour sélectionner un compte, connectez-vous au serveur sur lequel le compte réside, cliquez sur le globe au-dessus de la liste des comptes, ouvrez le domaine de répertoires dans lequel le compte d’utilisateur réside, cliquez sur le bouton Utilisateurs, puis sélectionnez l’utilisateur. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Cliquez sur Départ. 5 Spécifiez le quota de disque à l’aide du champ correspondant et du menu local adjacent. 6 Assurez-vous que les quotas de disque sont actifs pour le volume sur lequel réside le point de partage. 7 Cliquez sur Partage, sélectionnez le volume dans la liste Tous, puis choisissez Activer des quotas de disque sur ce volume. Définition de répertoires de départ par défaut à l’aide de préréglages Vous pouvez prédéfinir les réglages du répertoire de départ par défaut des nouveaux utilisateurs au moyen d’un préréglage. Pour obtenir des informations sur la définition et l’utilisation de préréglages, consultez la section “Utilisation de préréglages pour créer des comptes” à la page 73. Déplacement de répertoires de départ Si vous devez déplacer un répertoire de départ, créez-en un nouveau et copiez le contenu de l’ancien dans le nouveau avant de supprimer l’ancien. Suppression de répertoires de départ Lorsque vous supprimez un compte d’utilisateur, le répertoire de départ associé n’est pas automatiquement supprimé. L’administrateur doit supprimer le dossier de départ manuellement en le faisant glisser dans la Corbeille. F0170.book Page 141 Monday, May 2, 2005 12:37 PMF0170.book Page 142 Monday, May 2, 2005 12:37 PM8 143 8 Vue d’ensemble de la gestion des clients Le présent chapitre contient une introduction à la gestion des clients dans Mac OS X. La gestion des clients consiste à administrer de manière centralisée l’environnement informatique de vos utilisateurs. Elle est généralement mise en place en : • gérant l’accès aux imprimantes réseau et aux répertoires de départ résidant sur des serveurs, aux répertoires de groupe et à d’autres dossiers ; • personnalisant l’environnement de travail de l’ordinateur des différents utilisateurs, groupes et ordinateurs via la définition des préférences des comptes d’utilisateur, des comptes de groupe et des listes d’ordinateurs. Vous pouvez également exploiter deux options supplémentaires en matière de gestion des clients : l’installation et le démarrage des ordinateurs clients via le réseau (à l’aide de NetBoot et d’Installation en réseau) et l’administration quotidienne des ordinateurs (à l’aide d’Apple Remote Desktop). Le présent chapitre décrit brièvement chacun de ces sujets dans la mesure où ils s’appliquent à des utilisateurs d’ordinateurs Mac OS X. Ordinateurs et bureaux Gestion du client Applications, dossiers et fichiers Imprimantes et volumes Utilisateurs et groupes F0170.book Page 143 Monday, May 2, 2005 12:37 PM144 Chapitre 8 Vue d’ensemble de la gestion des clients Utilisation de ressources visibles sur le réseau Mac OS X Server permet de rendre diverses ressources visibles sur le réseau, afin que les utilisateurs puissent y accéder à partir d’ordinateurs et d’emplacement différents. Il existe plusieurs ressources importantes visibles sur le réseau : • Répertoires de départ réseau. Un répertoire de départ, souvent appelé également dossier de départ, est un emplacement dans lequel chaque utilisateur Mac OS X peut conserver des fichiers personnels. Les utilisateurs qui possèdent des enregistrements dans un répertoire Open Directory partagé peuvent disposer d’un répertoire de départ réseau, souvent situé sur le serveur où réside leur compte d’utilisateur. Un répertoire de départ contient plusieurs dossiers, tels que les dossiers Bureau, Documents et Public, pour faciliter l’organisation des informations. Une fois connecté, un utilisateur peut accéder à son répertoire de départ réseau en cliquant simplement sur l’icône du dossier de départ dans le Finder. • Dossiers de groupe. Lorsque vous configurez un compte de groupe pour des utilisateurs réseau, vous pouvez associer un dossier de groupe au groupe. Le dossier de groupe est un emplacement dans lequel les membres d’un groupe peuvent échanger des informations électroniques. Un dossier de groupe contient trois dossier par défaut : Documents, Bibliothèque et Public, ce dernier contenant un dossier Boîte de dépôt. Résidant sur le serveur pour permettre un accès aisé via le réseau, le dossier de groupe peut être affiché dans le Dock pour permettre à l’utilisateur d’accéder facilement au réseau chaque fois qu’il veut travailler sur des activités de groupe. F0170.book Page 144 Monday, May 2, 2005 12:37 PMChapitre 8 Vue d’ensemble de la gestion des clients 145 • Autres dossiers partagés. Vous pouvez configurer d’autres dossiers sur le serveur pour permettre aux utilisateurs d’accéder à des applications, de la documentation interne, des annonces, des calendriers et d’autres informations. • Images de démarrage et d’installation. Vous pouvez utiliser des images de démarrage et d’installation situées sur le serveur pour automatiser la configuration des ordinateurs des utilisateurs réseau. L’ordinateur d’un utilisateur peut démarrer à partir d’une image de démarrage stockée sur le serveur. En fait, vous pouvez utiliser le même ordinateur pour un laboratoire de science lorsqu’il démarre à partir d’une image et pour un cours d’anglais lorsqu’il démarre à partir d’une autre image. À chaque nouveau démarrage de l’ordinateur de laboratoire, le système reflète l’état original de l’image de démarrage sélectionnée, indépendamment de ce que les étudiants précédents ont fait sur l’ordinateur. Une image d’installation installe automatiquement des logiciels sur des ordinateurs d’utilisateurs, ce qui rend très facile le déploiement à distance et sans interactions de l’utilisateur du système d’exploitation, d’applications supplémentaires et même de réglages d’ordinateur personnalisés. Définition de préférences Les environnements de travail d’un utilisateur réseau sont gérés en définissant des préférences, c’est-à-diredes réglages qui personnalisent et contrôlent l’environnement informatique d’un utilisateur. La sous-fenêtre Préférences comporte deux onglets : Vue d’ensemble et Détails. L’onglet Vue d’ensemble permet de gérer les préférences système prédéfinies tandis que l’onglet Détails peut être utilisé pour gérer les préférences de toute application ou de tout utilitaire qui se comporte correctement dans Mac OS X. L’onglet Vue d’ensemble est identique pour les utilisateurs et les groupes : Un élément supplémentaire, “Économiseur d’énergie”, apparaît pour les listes d’ordinateurs. F0170.book Page 145 Monday, May 2, 2005 12:37 PM146 Chapitre 8 Vue d’ensemble de la gestion des clients De nombreux facteurs, notamment les responsabilités de l’utilisateur et les problèmes de sécurité, déterminent l’environnement de travail informatique à présenter à un utilisateur. Dans certains cas, l’établissement de directives informelles d’utilisation peut être autorisée. Dans d’autres cas, il peut s’avérer nécessaire de contrôler strictement l’utilisation de l’ordinateur, en définissant et en verrouillant tous les réglages système et en contrôlant toutes les applications. Les préférences que vous définissez doivent implémenter des fonctionnalités système qui répondent au mieux aux besoins de vos utilisateurs et de votre organisation. La puissance des préférences De nombreuses préférences, telles que celles du Dock et du Finder, sont utilisées pour personnaliser l’apparence des bureaux. Vous pouvez par exemple configurer les préférences du Dock et du Finder pour que l’environnement de travail soit très simplifié. D’autres préférences sont utilisées pour gérer les éléments accessibles et contrôlables par l’utilisateur. Vous pouvez par exemple configurer les préférences Accès aux supports pour empêcher les utilisateurs de graver des CD et des DVD ou d’apporter des modifications au disque interne d’un ordinateur. Voici un résumé de la manière dont les préférences affectent l’apparence du bureau et les activités qu’un utilisateur peut effectuer : Cette préférence Adapte l’environnement de travail Limite l’accès et le contrôle En vous laissant gérer Applications x Les applications qu’un utilisateur peut ouvrir Classic x Le démarrage de l’environnement Classic Dock x L’apparence et le contenu du Dock Économiseur d’énergie x Les réglages relatifs au démarrage, à l’extinction, à la réactivation, à la suspension de l’activité et aux performances Le Finder x x L’apparence des icônes du bureau et des éléments du Finder Internet x Les réglages de courrier et Web par défaut F0170.book Page 146 Monday, May 2, 2005 12:37 PMChapitre 8 Vue d’ensemble de la gestion des clients 147 Niveaux de contrôle Vous pouvez définir des préférences pour les comptes d’utilisateur, les comptes de groupe et les listes d’ordinateurs qui sont définis dans un domaine de répertoires partagé. Un utilisateur dont le compte dispose de préférences est appelé un utilisateur géré. Un ordinateur affecté à une liste d’ordinateurs pour laquelle des préférences ont été définies est appelé un ordinateur géré. Un groupe pour lequel des préférences ont été définies est appelé un groupe de travail. Les préférences Économiseur d’énergie et les réglages relatifs à la fenêtre d’ouverture de session ne peuvent être définis que pour des listes d’ordinateurs, mais les autres préférences peuvent être définies pour des utilisateurs, des groupes de travail et /ou des listes d’ordinateurs. Ouverture de session x L’environnement d’ouverture de session Accès aux données x La possibilité d’utiliser des supports enregistrables Mobilité x La création de comptes mobiles Réseau x x Les serveurs proxy à utiliser ou à contourner Impression x Les imprimantes qu’un utilisateur peut utiliser Mise à jour de logiciels x Le serveur à utiliser pour les mises à jour Préférences Système x Les préférences système activées sur l’ordinateur de l’utilisateur Accès universel x Les réglages matériels destinés aux utilisateurs ayant des besoins particuliers en matière de vision, d’audition ou autres Cette préférence Adapte l’environnement de travail Limite l’accès et le contrôle En vous laissant gérer F0170.book Page 147 Monday, May 2, 2005 12:37 PM148 Chapitre 8 Vue d’ensemble de la gestion des clients L’illustration ci-après montre comment les préférences gérées interagissent lorsque les mêmes préférences sont définies à plusieurs niveaux : • Les préférences d’impression, d’ouverture de session, d’applications et certaines préférences du Dock (les éléments qui apparaissent dans le Dock) sont combinées. Par exemple, si vous définissez des préférences d’impression pour des utilisateurs et des ordinateurs, la liste des imprimantes d’un utilisateur contiendra des imprimantes configurées pour l’utilisateur et pour l’ordinateur qu’il utilise. Remarque : on dit que les préférences système gérées sont combinées parce que différents réglages définis dans le Gestionnaire de groupe de travail agissent de manière collective à l’ouverture de session. • D’autres réglages de préférences définis à plusieurs niveaux peuvent être redéfinis à l’ouverture de session. Lorsqu’un utilisateur ouvre une session sur un ordinateur géré et choisit un groupe de travail, les préférences d’utilisateur remplacent les préférences d’ordinateur redondantes et les préférences d’ordinateur remplacent à leur tour les préférences de groupe de travail. Imaginons par exemple que vous souhaitiez empêcher tous les étudiants d’utiliser les périphériques d’enregistrement reliés à un ordinateur de l’université, à l’exception des étudiants qui font office d’assistants. Vous pourriez configurer des préférences Accès aux données pour des groupes de travail ou des listes d’ordinateurs afin de limiter l’accès de tous les élèves, mais remplacer ces restrictions pour les assistants à l’aide de réglages Accès aux données définis au niveau de leur compte d’utilisateur. • Les préférences héritées sont des préférences qui ne sont définies qu’à un seul niveau. Supposons que vous placiez le Dock à gauche de l’écran pour le groupe de travail A, en bas pour la liste d’ordinateurs contenant l’ordinateur 2 et à droite pour l’utilisateur Alice. Si Alice ouvre une session sur l’ordinateur 2 et choisit le groupe de travail A, le Dock apparaîtra à droite sur son écran. Préférences Combinées Redéfinies Héritées Groupe (G) Ordinateur (O) Utilisateur (U) G + O + U F0170.book Page 148 Monday, May 2, 2005 12:37 PMChapitre 8 Vue d’ensemble de la gestion des clients 149 Imaginons maintenant que vous décidiez d’arrêter de gérer les réglages Affichage du Dock pour Alice (vous sélectionnez Jamais dans la sous-fenêtre Affichage du Dock d’Alice). Si Alice ouvre une session sur l’ordinateur 2 et choisit le groupe de travail A, le Dock apparaîtra en bas de l’écran. Dans certains cas, il peut s’avérer plus commode et utile de ne définir certaines préférences qu’à un seul niveau. Vous pouvez, par exemple, définir des préférences d’imprimantes uniquement pour des ordinateurs ; des préférences d’applications uniquement pour des groupes de travail ; et des préférences de Dock uniquement pour des utilisateurs. Dans ce cas, il n’y a ni remplacement ni combinaison de préférences et l’utilisateur hérite des préférences sans qu’il y ait de compétition entre ces dernières. La plupart du temps, vous utiliserez des références au niveau du groupe de travail et de l’ordinateur. • Les préférences de groupe de travail sont particulièrement adaptées pour personnaliser l’environnement de travail (comme, par exemple, la visibilité des applications) de certains groupes d’utilisateurs ou pour utiliser des dossiers de groupe. Par exemple, un étudiant peut appartenir au groupe “Classe 2011” pour des raisons administratives et au groupe de travail “Étudiants” pour limiter ses choix en matière d’applications et lui fournir un dossier partagé de groupe pour qu’il puisse remettre ses travaux. On pourrait imaginer un autre groupe de travail appelé “Enseignants” utilisé pour fournir aux membres du corps enseignant l’accès à des dossiers et des applications destinés à leur usage exclusif. • Les préférences d’ordinateur sont pratiques lorsqu’il s’agit de gérer des préférences pour des utilisateurs indépendamment de leur appartenance à des groupes. Au niveau de l’ordinateur, vous pourriez, par exemple, souhaiter limiter l’accès aux préférences système, gérer des réglages d’économie d’énergie, afficher certains utilisateurs dans la fenêtre d’ouverture de session et empêcher l’enregistrement de fichiers et d’applications sur des disques enregistrables. Les préférences d’ordinateur offrent également un moyen de gérer les préférences des utilisateurs qui ne disposent pas d’un compte réseau, mais qui peuvent ouvrir une session sur un ordinateur Mac OS X à l’aide d’un compte local. (Le compte local, défini à l’aide de la sous-fenêtre Comptes des Préférences Système, réside sur l’ordinateur de l’utilisateur). Vous devriez configurer une liste d’ordinateurs qui gère les comptes exclusivement locaux. Les préférences associées à la liste d’ordinateurs et à tout groupe de travail qu’un utilisateur sélectionne à l’ouverture de session prennent effet. Vous trouverez d’autres informations sur la gestion de l’environnement d’ouverture de session ci-après. F0170.book Page 149 Monday, May 2, 2005 12:37 PM150 Chapitre 8 Vue d’ensemble de la gestion des clients Degrés de permanence Lorsque vous définissez des préférences, vous pouvez choisir de les gérer Toujours ou Une fois. Par défaut, elles ne sont Jamais gérées. • Toujours : cette option permet de maintenir l’application des préférences jusqu’à ce que vous les modifiez sur le serveur. Les applications Mac OS X bien conçues désactiveront également le réglage des préférences Toujours par l’utilisateur. Vous pouvez, par exemple, utiliser l’option Toujours pour vous assurer que les utilisateurs ne peuvent pas ajouter ni supprimer des éléments du Dock. • Une fois : cette option est disponible pour certaines préférences. Il s’agit d’une manière simple et rapide de configurer des préférences par défaut sans les gérer. Vous pourriez, par exemple, configurer un groupe d’ordinateurs pour afficher le Dock d’une certaine manière la première fois que les utilisateurs ouvrent une session. Un utilisateur peut modifier les préférences que vous avez réglées sur Une fois et les modifications sélectionnées s’appliqueront toujours à cet utilisateur. Il est impossible de régler les préférences suivantes sur “Une fois” dans la sous-fenêtre de préférences Vue d’ensemble :Applications, Finder (commandes), Comptes mobiles, Impression, Préférences Système, Ouverture de session (Scripts, Fenêtre d’ouverture de session et Options) et Économiseur d’énergie. Pour ces préférences, vous avez seulement le choix entre Toujours et Jamais. • Souvent : cette option ne s’applique qu’à l’Éditeur de préférences (mode de présentation Détails). Les réglages Souvent sont identiques aux réglages Une fois, sauf qu’ils sont appliqués à chaque ouverture de session et à chaque connexion (ou déconnexion) de l’ordinateur au réseau. Ils sont surtout pratiques pour les réglages d’application qui ne désactivent pas l’interface humaine pour les préférences Toujours. • Jamais : cette option permet à un utilisateur de contrôler ses propres préférences. La modification de certains réglages de préférences, tels que Comptes et Date et heure, nécessitent toutefois le nom et le mot de passe d’un administrateur local. L’option Jamais signifie également que les préférences ne sont pas gérées au niveau de ce compte, mais qu’elles peuvent être gérées à un niveau supérieur de la hiérarchie. F0170.book Page 150 Monday, May 2, 2005 12:37 PMChapitre 8 Vue d’ensemble de la gestion des clients 151 Configuration de l’environnement d’ouverture de session Vous pouvez configurer les préférences d’ouverture de session des listes d’ordinateurs afin de contrôler l’apparence de la fenêtre d’ouverture de session. Si vous configurez, par exemple, les options suivantes pour la fenêtre d’ouverture de session dans le Gestionnaire de groupe de travail : … la fenêtre prendra l’apparence suivante : Le premier utilisateur est, dans ce cas, l’administrateur de l’ordinateur local. Les trois utilisateurs suivants sont des utilisateurs qui disposent de comptes sur le serveur, l’un d’entre eux disposant d’un compte mobile. F0170.book Page 151 Monday, May 2, 2005 12:37 PM152 Chapitre 8 Vue d’ensemble de la gestion des clients Pour ouvrir une session, l’utilisateur sélectionne son nom d’utilisateur dans la liste (si la fenêtre d’ouverture de session est configurée dans ce sens), puis tape un mot de passe lorsqu’il y est invité. Si l’utilisateur fait partie de plusieurs groupes de travail (dans le cas où il s’agit d’un utilisateur réseau ou d’un utilisateur local qui reçoit ses groupes de travail de la liste d’ordinateurs), une liste de groupes de travail est affichée pour qu’il puisse sélectionner l’environnement qui l’intéresse. Notez qu’un utilisateur peut appartenir à un groupe qui n’apparaît pas dans la liste ; seuls les groupes de travail (c’est-à-dire les groupes qui ont des préférences gérées et uniquement les groupes de travail qui appartiennent également aux groupes de travail de la liste d’ordinateurs) sont affichés. Si l’ordinateur est associé à une liste d’ordinateurs qui gère des utilisateurs uniquement locaux, tous les groupes de travail qui ont reçu l’accès à l’ordinateur via la liste d’ordinateurs sont affichés lorsqu’un utilisateur local ouvre une session. L’utilisateur peut sélectionner n’importe lequel d’entre eux. Toutes les préférences associées à l’utilisateur, au groupe de travail choisi et à l’ordinateur utilisé entrent en vigueur immédiatement. Qui peut ouvrir une session ? Mac OS X permet de contrôler l’identité des utilisateurs autorisés à ouvrir une session sur un ordinateur. Cela couvre tous les utilisateurs qui figurent dans la liste d’accès de l’ordinateur. Cette dernière est filtrée car, si à ce moment précis, l’utilisateur a son accès désactivé dans le serveur de mots de passe, il ne figure pas non plus dans la liste. F0170.book Page 152 Monday, May 2, 2005 12:37 PMChapitre 8 Vue d’ensemble de la gestion des clients 153 Mise en mémoire cache des préférences Les préférences peuvent être mises en mémoire cache sur les ordinateurs Mac OS X afin qu’elles restent en vigueur même lorsque l’ordinateur est déconnecté du réseau : • Les préférences d’ordinateur et les préférences de tous les groupes de travail qui peuvent utiliser l’ordinateur sont mises en mémoire cache. • Les préférences d’utilisateur sont toujours mises en mémoire cache pour les utilisateurs qui disposent de comptes mobiles. Lorsqu’un ordinateur client est déconnecté du réseau, seuls les utilisateurs qui disposent de comptes locaux ou les utilisateurs réseau qui disposent de comptes mobiles sur cet ordinateur peuvent se connecter. Aide aux utilisateurs pour trouver des applications Les applications peuvent être stockées localement sur le disque dur de l’ordinateur d’un utilisateur ou sur un serveur dans un point de partage. Si les applications sont stockées localement, les utilisateurs peuvent les trouver dans le dossier Applications. Si des applications sont stockées sur un serveur, l’utilisateur doit se connecter au serveur (en choisissant Aller > Se connecter au serveur, dans le Finder) pour localiser et utiliser les applications. Les applications peuvent également être rendues disponibles à l’aide d’un point de partage monté automatiquement en tant qu’enregistrement de montage /Network/Applications. Pour faciliter la localisation de certaines applications locales, vous pouvez utiliser les préférences Éléments du Dock pour placer dans le Dock de l’utilisateur un alias pointant vers le dossier Mes applications. Le dossier Mes applications contient les alias des applications qu’un utilisateur est autorisé à ouvrir. Cela risque de ralentir l’ouverture de session des utilisateurs gérés car Mac OS X doit effectuer une recherche sur les disques disponibles pour établir cette liste chaque fois que vous vous connectez. La gestion de l’accès des utilisateurs aux applications locales s’effectue en créant des listes d’applications approuvées dans les préférences Applications. Pour établir une liste d’applications approuvées, consultez la section “Création d’une liste d’applications accessibles pour les utilisateurs” à la page 164. Que vous choisissiez d’utiliser l’environnement d’utilisateur du Finder simplifié ou celui du Finder normal, cette liste d’applications approuvées détermine ce que vont trouver les utilisateurs dans le dossier Mes applications situé dans le Dock. Pour plus d’informations sur l’utilisation du Finder simplifié ou du Finder normal, consultez la section “Masquage du message d’alerte présenté lorsque l’utilisateur veut vider la corbeille” à la page 183. Pour placer un alias dans le dossier Mes applications et d’autres dossiers du Dock d’un utilisateur, consultez la section “Ajout d’éléments au Dock d’un utilisateur” à la page 175. F0170.book Page 153 Monday, May 2, 2005 12:37 PM154 Chapitre 8 Vue d’ensemble de la gestion des clients Aide aux utilisateurs pour trouver des dossiers de groupe Si vous avez configuré un dossier de groupe, vous pouvez configurer un accès rapide à ce dernier lorsqu’un utilisateur se connecte au groupe de travail auquel le dossier de groupe est associé. Pour ce faire, utilisez les préférences Éléments du Dock. Pour en savoir plus, consultez la section “Accès aisé aux dossiers de groupes” à la page 174. Pour offrir un accès au disque de groupe contenant le dossier public et la boîte de dépôt du groupe, consultez la section “Fourniture d’un accès aisé au point de partage de groupe” à la page 194. Installation et démarrage via le réseau L’utilisation d’images Installation en réseau et NetBoot résidant sur Mac OS X Server constitue la clé pour une configuration initiale rapide de plusieurs ordinateurs d’utilisateur et une actualisation instantanée des ordinateurs. Les ordinateurs d’utilisateur démarrent à l’aide de ces images automatiquement. Utilisez des images Installation en réseau lorsque vous souhaitez installer des logiciels sur des ordinateurs d’utilisateur. Utilisez des images NetBoot lorsque vous souhaitez actualiser l’environnement des ordinateurs d’utilisateur à chaque démarrage. Mac OS X Server Images Installation en réseau Images NetBoot F0170.book Page 154 Monday, May 2, 2005 12:37 PMChapitre 8 Vue d’ensemble de la gestion des clients 155 L’utilisation d’une image de démarrage en réseau offre de nombreux avantages par rapport au démarrage à partir d’un disque dur local : • L’image NetBoot est verrouillée du point de vue de l’utilisateur. Elle ne peut donc pas être endommagée par accident ou par malveillance. Dans un laboratoire informatique où les étudiants peuvent faire des erreurs ou pendant un cours d’informatique où la protection système ne peut pas être utilisée car des outils de programmation sont utilisés, une image NetBoot permet de redémarrer les ordinateurs afin de rétablir leur état d’origine après chaque utilisation. L’image revient à son état d’origine à chaque démarrage, quelles que soient les modifications apportées au système par l’étudiant précédent. • L’administrateur réseau chargé des tâches de maintenance n’est pas obligé de transporter une valise pleine de CD de diagnostic. Il peut faire démarrer un système à l’aide d’une image réseau qui contient tous les outils de diagnostic et de réparation. • Plusieurs images peuvent être publiées sur le réseau à partir d’un même serveur et plusieurs serveurs peuvent être utilisés pour fournir une même image à un débit optimal. Le serveur peut héberger jusqu’à 25 images différentes ; vous pouvez donc maintenir un ensemble de configurations logicielles personnalisées pour différents groupes de travail et ordinateurs. Vous pouvez, par exemple, utiliser une image pour installer les applications les plus récentes requises par certains utilisateurs et une autre image pour faire démarrer les ordinateurs qui se trouvent dans certaines salles de classe, bureaux ou laboratoires. Administration quotidienne des clients L’administration d’ordinateurs en réseau implique la tenue d’archives, des opérations de service d’assistance et des mises à jour mineures pendant que les utilisateurs sont connectés et travaillent. Pour accomplir ces tâches et d’autres tâches quotidiennes, vous pouvez utiliser Apple Remote Desktop (ARD). ARD fournit un environnement de gestion à distance qui simplifie la configuration, la surveillance et la maintenance d’ordinateurs d’utilisateur : • Observation de l’écran. Affichez les écrans des utilisateurs sur votre ordinateur pour surveiller leurs activités. • Contrôle de l’écran. Montrez aux utilisateurs comment effectuer certaines tâches en contrôlant leurs écrans à partir de votre ordinateur. • Partage d’écrans. Affichez votre écran sur l’écran d’un utilisateur à des fins de formation et de démonstration. • Verrouillage d’écran. Empêchez les utilisateurs d’utiliser leurs ordinateurs. • Communications de texte. Échangez des messages avec un ou plusieurs utilisateurs et collectez les questions et les requêtes provenant de différents utilisateurs. • Gestion du matériel et des logiciels. Examinez les informations sur le matériel et les logiciels installés. Recherchez des fichiers et des dossiers spécifiques sur les ordinateurs des utilisateurs. F0170.book Page 155 Monday, May 2, 2005 12:37 PM156 Chapitre 8 Vue d’ensemble de la gestion des clients • Distribution de logiciels et démarrage. Identifiez les images NetBoot ou Installation en réseau que les ordinateurs d’utilisateur doivent utiliser. Effectuez des installations en réseau et contrôlez le démarrage et l’extinction des ordinateurs de vos utilisateurs. Utilisez ARD pour déployer des fichiers d’installation d’application ou de nouvelles mises à jour système plutôt que d’exécuter Mise à jour de logiciels sur chaque ordinateur. • Dépannage. Effectuez des tâches de dépannage réseau élémentaires en vérifiant les performances du trafic réseau pour toutes vos stations de travail et tous vos serveurs. F0170.book Page 156 Monday, May 2, 2005 12:37 PM9 157 9 Gestion des préférences Ce chapitre fournit des informations sur la gestion des préférences des utilisateurs, des groupes de travail et des ordinateurs. Mode de fonctionnement du Gestionnaire de groupe de travail avec les préférences Mac OS X Le Gestionnaire de groupe de travail vous permet de définir et verrouiller certains réglages système pour les utilisateurs sur le réseau. Vous pouvez soit définir des préférences initiales, puis autoriser les utilisateurs à les modifier, soit maintenir un contrôle administratif permanent sur les préférences (vous pouvez également choisir de n’imposer aucune préférence). Outre les divers réglages d’utilisateurs, de groupes et de listes d’ordinateurs, Gestionnaire de groupe de travail contrôle la plupart des préférences système et d’application principales. L’éditeur de préférences contrôle les autres applications qui requièrent une gestion. Volet des préférences Ce que vous pouvez gérer Applications Applications disponibles pour les utilisateurs Classic Réglages de démarrage Classic, réglages de suspension d’activité et accès aux éléments Classic, tels que les tableaux de bord Dock Emplacement, comportement et éléments du Dock Économiseur d’énergie Options de performances pour les ordinateurs clients et serveurs Mac OS X, utilisation de la batterie pour les ordinateurs portables et options de suspension de l’activité ou de réactivation. Le Finder Comportement du Finder, éléments et apparence du bureau et accès aux commandes du menu Finder Internet Préférences de compte de courrier et de navigateur Web Ouverture de session Présentation de la fenêtre d’ouverture de session, volumes montés et éléments ouverts automatiquement lorsque l’utilisateur ouvre une session F0170.book Page 157 Monday, May 2, 2005 12:37 PM158 Chapitre 9 Gestion des préférences Gestion des préférences Dans Gestionnaire de groupe de travail, les informations sur les utilisateurs, les groupes et les listes d’ordinateurs sont intégrées aux services de répertoires. Après avoir configuré les comptes, vous pouvez gérer leurs préférences. La gestion des préférences implique le contrôle des réglages de certaines préférences Système ainsi que le contrôle de l’accès des utilisateurs aux préférences Système, applications, imprimantes et supports amovibles. Les informations concernant les réglages et les préférences figurant dans les enregistrements d’utilisateurs, de groupes ou d’ordinateurs sont stockées dans un domaine de répertoire auquel le Gestionnaire de groupe de travail peut accéder, tel qu’un répertoire LDAP ou un maître Open Directory. Toutes les préférences sont stockées dans un enregistrement (d’utilisateurs, de groupes ou d’ordinateurs). À l’ouverture de session, le client MCX place ces enregistrements dans un emplacement où la liste de gestion combinée finale est appliquée à l’environnement de l’utilisateur. Une fois les comptes d’utilisateur et de groupe ainsi que les listes d’ordinateurs créés, vous pouvez commencer à gérer leurs préférences via la sous-fenêtre Préférences de Gestionnaire de groupe de travail. Pour gérer les préférences de clients Mac OS X, assurez-vous que chacun dispose d’un répertoire de départ en réseau ou local. Pour obtenir des informations sur la configuration d’un volume de groupe ou de répertoires de départ à l’attention des utilisateurs, consultez le chapitre 4, “Configuration des comptes d’utilisateur”. Accès aux données Réglages pour CD, DVD et disques inscriptibles et réglages pour disques internes et externes, tels que les disques durs ou les disquettes Mobilité Création d’un compte mobile à l’ouverture d’une session Réseau Configuration de serveurs proxy et de réglages spécifiques pour les hôtes et les domaines à ignorer Impression Imprimantes disponibles et accès aux imprimantes Mise à jour de logiciels Serveur spécifique à utiliser pour le service de mise à jour de logiciels Préférences Système Préférences Système accessibles aux utilisateurs Accès universel Réglages permettant de contrôler le comportement de la souris et du clavier, d’améliorer les réglages d’affichage et d’ajuster le son ou la synthèse vocale pour les utilisateurs ayant des besoins particuliers Volet des préférences Ce que vous pouvez gérer F0170.book Page 158 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 159 Remarque : lorsque vous gérez les préférences d’un utilisateur, d’un groupe ou d’un ordinateur, une icône en forme de flèche apparaît en regard de la préférence gérée dans le panneau Préférences, afin d’indiquer l’état de gestion. Vous pouvez sélectionner plusieurs utilisateurs, groupes ou ordinateurs afin d’examiner leurs préférences gérées. Si l’icône de flèche est estompée, les réglages de préférences gérées sont mélangés pour les éléments sélectionnés. À propos de la mémoire cache des préférences La mémoire cache des préférences enregistre les préférences de la liste d’ordinateurs à laquelle appartient l’ordinateur concerné, les préférences des groupes associés à cet ordinateur et les préférences des utilisateurs qui ont récemment ouvert une session sur cet ordinateur. La mémoire cache est utilisée par les utilisateurs réseau mais également par les groupes de travail des comptes mobiles. Les préférences enregistrées peuvent influencer le mode de gestion hors connexion d’un utilisateur et l’emploi de la mémoire cache des préférences peut améliorer les performances. Les préférences en mémoire cache peuvent vous aider à gérer les comptes d’utilisateur locaux sur ordinateurs portables même s’ils ne sont pas connectés à un réseau. Vous pouvez par exemple créer une liste d’ordinateurs à gérer, puis gérer les préférences de la liste d’ordinateurs. Rendez ensuite ces ordinateurs disponibles aux groupes et gérez les préférences des groupes. Enfin, configurez des comptes d’utilisateur locaux sur les ordinateurs. Si un utilisateur décide de travailler hors ligne ou se déconnecte du réseau, il continue d’être géré par les préférences de l’ordinateur et du groupe en mémoire cache. Si vous effectuez une modification qui affecte les informations en cache d’un compte, le Gestionnaire de groupe de travail place un indicateur dans Open Directory pour signaler cette modification. Dès qu’un utilisateur ouvre une session, le client est automatiquement mis à jour. Remarque : la mémoire cache des préférences est automatiquement actualisée si vous modifiez un réglage de compte ou de préférence. Les nouvelles préférences prennent effet lors de l’ouverture ou de la fermeture de session suivante de l’utilisateur. Si ce dernier a déjà ouvert une session mais ne se trouve pas sur le réseau, il doit fermer la session puis l’ouvrir à nouveau afin de mettre à jour la mémoire cache des préférences. Mises à jour régulières de la mémoire cache des préférences gérées Vous pouvez régulièrement mettre à jour la mémoire cache des préférences gérées d’un ordinateur. L’ordinateur contrôle, sur le serveur, les préférences mises à jour en fonction du calendrier que vous avez défini. La mémoire cache est également mise à jour automatiquement chaque fois qu’un changement est apporté à l’une des préférences gérées dans le Gestionnaire de groupe de travail. Si vous gérez des services de répertoires à l’aide d’un autre outil, vous pouvez toujours utiliser le Gestionnaire de groupe de travail pour actualiser la mémoire cache à intervalle régulier. F0170.book Page 159 Monday, May 2, 2005 12:37 PM160 Chapitre 9 Gestion des préférences Pour définir une fréquence de mise à jour de la mémoire cache des préférences gérées : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Cliquez sur le bouton Listes d’ordinateurs et sélectionnez une ou plusieurs listes d’ordinateurs. 4 Cliquez sur Cache. 5 Entrez un chiffre correspondant à la fréquence à laquelle vous souhaitez mettre à jour la mémoire cache, puis choisissez une unité de mise à jour (secondes, minutes, heures, jours ou semaines) à partir du menu local. Par exemple, vous pouvez opter pour une mise à jour tous les 5 jours. 6 Cliquez sur Enregistrer. Remarque : si vous réglez la mise à jour sur “0”, la mémoire cache est désactivée. N’oubliez pas que sans mémoire cache, les préférences gérées ne fonctionnent pas si l’ordinateur est déconnecté du réseau. Mise à jour manuelle de la mémoire cache des préférences Le cas échéant, vous pouvez mettre à jour manuellement la mémoire cache des préférences gérées de chaque ordinateur d’une liste d’ordinateurs donnée. Pour mettre à jour la mémoire cache des préférences gérées : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Cliquez sur le bouton Listes d’ordinateurs et sélectionnez une ou plusieurs listes d’ordinateurs. 4 Cliquez sur la sous-fenêtre Accès et vérifiez (ou ajoutez) les informations demandées. 5 Cliquez sur Cache, sur Mettre à jour le cache, puis sur Enregistrer. Vous pouvez également effectuer la mise à jour directement sur l’ordinateur client. Maintenez la touche Option enfoncée lorsque vous ouvrez une session sur l’ordinateur client (à l’aide d’un nom et d’un mot de passe d’administrateur local), puis cliquez sur Rafraîchir les préférences dans la zone de dialogue affichée. Remarque : si vous exécutez cette action alors que l’ordinateur est déconnecté du réseau, la mémoire cache des préférences est supprimée et l’ordinateur n’est plus géré. F0170.book Page 160 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 161 Gestion des préférences d’utilisateur Vous pouvez gérer les préférences d’utilisateurs individuels selon leurs besoins. Toutefois, si vous disposez d’un grand nombre d’utilisateurs, il peut s’avérer plus efficace de gérer la majorité des préférences par groupe et par ordinateur. Vous réserverez alors la gestion des préférences au niveau de l’utilisateur à des cas spécifiques, tels que pour les administrateurs de domaine de répertoire, les professeurs ou le personnel technique. Il est conseillé de déterminer les préférences dont vous souhaitez laisser le contrôle à l’utilisateur. Si, par exemple, le choix de l’emplacement du Dock de l’utilisateur vous est égal, réglez la gestion de l’affichage du Dock sur Jamais ou sur Une fois. Pour gérer les préférences d’utilisateur : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Cliquez sur le bouton Utilisateurs et sélectionnez un ou plusieurs comptes d’utilisateur dans la liste. 4 Cliquez sur l’icône de la préférence que vous souhaitez gérer. 5 Dans chaque sous-fenêtre de préférence, choisissez un réglage de gestion. Dans certains cas (Impression et Accès aux supports, par exemple), le réglage de gestion est appliqué à toutes les préférences plutôt qu’à certaines sous-fenêtres de préférence uniquement. 6 Sélectionnez des réglages de préférence ou saisissez les informations à utiliser. Certains réglages de gestion ne sont pas disponibles pour préférences données, tout comme certaines préférences ne sont pas disponibles pour des types de comptes. 7 Une fois que vous avez terminé, cliquez sur Appliquer. Gestion des préférences de groupes Les préférences d’un groupe sont partagées par tous les utilisateurs de ce groupe. La définition des préférences au niveau du groupe plutôt que pour chaque utilisateur permet de gagner du temps, notamment si vous disposez d’un nombre important d’utilisateurs gérés. Les utilisateurs pouvant sélectionner un groupe de travail lorsqu’ils se connectent, ils peuvent choisir un groupe doté de réglages gérés approprié à la tâche en cours, à l’emplacement ou à l’environnement utilisé. Il peut s’avérer plus judicieux de définir les préférences une seule fois pour un groupe unique plutôt que de définir des préférences pour chaque membre du groupe, au cas par cas. F0170.book Page 161 Monday, May 2, 2005 12:37 PM162 Chapitre 9 Gestion des préférences Pour gérer les préférences de groupe : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Cliquez sur le bouton Groupes et sélectionnez un ou plusieurs comptes de groupe dans la liste. 4 Cliquez sur l’icône de la préférence que vous souhaitez gérer. 5 Dans chaque sous-fenêtre de préférence, choisissez un réglage de gestion. Dans certains cas (Impression et Accès aux supports, par exemple), le réglage de gestion est appliqué à toutes les préférences plutôt qu’à certaines sous-fenêtres de préférence uniquement. 6 Sélectionnez des réglages de préférence ou saisissez les informations à utiliser. Certains réglages de gestion ne sont pas disponibles pour préférences données, tout comme certaines préférences ne sont pas disponibles pour des types de comptes. 7 Cliquez sur Appliquer. Gestion des préférences d’ordinateurs Les préférences d’ordinateurs sont partagées par tous les ordinateurs d’une liste. Dans certains cas, il peut s’avérer plus utile de gérer des préférences pour des ordinateurs plutôt que pour des utilisateurs ou des groupes. Pour gérer les préférences d’ordinateurs : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Cliquez sur le bouton Listes d’ordinateurs et sélectionnez une ou plusieurs listes d’ordinateurs. Si vous effectuez le réglage des préférences pour le compte Ordinateurs hôtes, vous devez sélectionner le bouton Définir les préférences des ordinateurs hôtes. 4 Cliquez sur l’icône de la préférence que vous souhaitez gérer. 5 Dans chaque sous-fenêtre de cette préférence, choisissez un réglage de gestion. Dans certains cas (Impression et Accès aux supports, par exemple), le réglage de gestion est appliqué à toutes les préférences plutôt qu’à certaines sous-fenêtres de préférence uniquement. F0170.book Page 162 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 163 6 Sélectionnez les réglages des préférences ou entrez les informations que vous souhaitez utiliser. Certains réglages de gestion ne sont pas disponibles pour préférences données, tout comme certaines préférences ne sont pas disponibles pour des types de comptes. 7 Cliquez sur Appliquer. Modification des préférences de plusieurs enregistrements Vous pouvez modifier simultanément les préférences de plusieurs comptes d’utilisateur, comptes de groupe ou listes d’ordinateur. Si certains réglages diffèrent entre plusieurs comptes, une réglette “d’état mixte”, un bouton radio, une case à cocher, un champ texte ou encore une liste peut apparaître. Pour les réglettes, les boutons radio et les cases à cocher, un tiret indique que les réglages ne sont pas identiques pour l’ensemble des comptes sélectionnés. Pour les champs de texte, le terme “Varié” indique un état mixte. Les listes affichent une combinaison d’éléments pour l’ensemble des comptes sélectionnés. Si vous procédez à un réglage mixte, le nouveau réglage sélectionné s’applique à chaque compte. Par exemple, vous sélectionnez trois comptes de groupe dont les réglages de taille du Dock diffèrent. Lorsque vous examinez la sous-fenêtre des préférences de l’affichage du Dock pour ces trois comptes, le curseur de la taille du Dock est centré et comporte un tiret. Si vous déplacez le curseur de la taille du Dock pour l’agrandir, tous les comptes sélectionnés seront dotés de Docks de grande taille. Désactivation de la gestion de préférences spécifiques Après avoir configuré les préférences gérées d’un compte, vous pouvez désactiver la gestion de sous-fenêtres de préférences spécifiques en choisissant Jamais. Remarque : les réglages Une fois et Souvent conservent la dernière valeur appliquée sur l’ordinateur client. Pour désactiver la gestion des préférences au cas par cas : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur l’icône d’une préférence en cours de gestion. F0170.book Page 163 Monday, May 2, 2005 12:37 PM164 Chapitre 9 Gestion des préférences 5 Cliquez sur un bouton pour afficher la sous-fenêtre contenant les réglages de préférence que vous ne souhaitez plus gérer. Dans certains cas (Impression et Accès aux supports, par exemple), vous pouvez ignorer cette étape car les réglages de gestion sont appliqués à toutes les sous-fenêtres de préférence. 6 Sélectionnez Jamais. 7 Cliquez sur Appliquer. Remarque : si les préférences sont gérées à un niveau de hiérarchie plus élevé, le réglage de la gestion sur Jamais n’entraîne pas forcément des préférences non gérées. Lorsque vous changez les réglages de gestion des préférences, le nouveau réglage s’applique à l’ensemble des éléments figurant dans la sous-fenêtre des préférences actif. Pour désactiver totalement la gestion d’une préférence individuelle (comme celle du Dock par exemple), assurez-vous qu’elle est réglée sur Jamais dans chaque sous-fenêtre de cette préférence. Gestion de l’accès aux applications Les réglages du panneau Applications vous permettent d’offrir aux utilisateurs l’accès aux applications. Vous pouvez créer des listes d’applications “approuvées” que les utilisateurs ont le droit d’ouvrir et autoriser ces derniers à ouvrir des éléments sur les volumes locaux. Vous pouvez également empêcher les applications d’ouvrir certaines applications interdites. Remarque : les applications sont identifiées par leur identifiant de groupe (bundle). Comme il est possible pour un utilisateur de modifier cet identifiant afin de contourner l’interdiction d’accès, cette interdiction doit être considérée comme une politique plutôt qu’une barrière infranchissable. Création d’une liste d’applications accessibles pour les utilisateurs Il existe deux méthodes pour contrôler l’accès d’un utilisateur aux applications. Vous pouvez soit fournir l’accès à un ensemble d’applications “approuvées” que les utilisateurs sont autorisés à ouvrir, soit interdire l’accès à des applications “non approuvées”. Si vous créez une liste d’applications approuvées, les utilisateurs peuvent uniquement ouvrir les applications de cette liste. (Vous pouvez toutefois autoriser les applications à ouvrir des utilitaires qui ne figurent pas sur la liste.) Si vous créez une liste d’applications non approuvées, les utilisateurs peuvent ouvrir toutes les applications qui ne figurent pas dans la liste. F0170.book Page 164 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 165 Pour établir la liste des applications accessibles : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Applications. 5 Définissez le réglage de gestion sur Toujours. 6 Sélectionnez “L’utilisateur ne peut ouvrir que ces applications” ou “L’utilisateur peut ouvrir toutes les applications à l’exception de celles-ci”. 7 Ajoutez et supprimez des éléments dans la liste. Pour rechercher une application, cliquez sur Ajouter. Pour sélectionner plusieurs éléments, maintenez la touche Commande enfoncée. 8 Une fois la liste des applications créée, cliquez sur Appliquer. Interdiction aux utilisateurs d’accéder à des applications situées sur des volumes locaux Lorsque les utilisateurs ont accès à des volumes locaux, ils sont également en mesure d’accéder non seulement aux applications situées sur le disque dur local de l’ordinateur, mais également aux applications approuvées sur des CD, des DVD ou d’autres disques externes. Si vous souhaitez interdire ce type d’accès, vous pouvez désactiver l’accès au volume local. Pour empêcher l’accès aux applications locales : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Applications. 5 Définissez le réglage de gestion sur Toujours. 6 Désélectionnez l’option “L’utilisateur peut également ouvrir les applications sur des volumes locaux”. 7 Cliquez sur Appliquer. F0170.book Page 165 Monday, May 2, 2005 12:37 PM166 Chapitre 9 Gestion des préférences Gestion de l’accès aux utilitaires Certaines applications utilisent parfois des utilitaires qui effectuent certaines tâches à leur place. Par exemple, si un utilisateur tente d’ouvrir un lien Web contenu dans un message électronique, l’application de messagerie peut faire appel à un navigateur Web pour afficher la page visée par ce lien. Lorsque vous autorisez des utilisateurs, des groupes ou des listes d’ordinateurs à accéder à un ensemble d’applications, il est recommandé d’ajouter à la liste les utilitaires les plus courants. Si vous autorisez les utilisateurs à ouvrir une application de messagerie par exemple, il est utile d’ajouter également un navigateur Web, un logiciel permettant de lire des fichiers PDF et un visualiseur d’images pour éviter tout problème d’ouverture et de visualisation du contenu ou des pièces jointes des messages électroniques. Lorsque vous configurez une liste d’applications approuvées, vous pouvez choisir d’autoriser ces applications à faire appel à certains utilitaires ne figurant pas sur cette liste. Pour gérer l’accès aux utilitaires : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Applications. 5 Définissez le réglage de gestion sur Toujours. 6 Sélectionnez L’utilisateur ne peut ouvrir que ces applications. 7 Si vous n’avez pas encore créé de liste d’applications approuvées, faites-le (n’oubliez pas d’inclure les utilitaires). Pour rechercher une application, cliquez sur Ajouter. 8 Pour permettre l’accès aux utilitaires, sélectionnez “Autoriser les applications approuvées à lancer celles non approuvées”. 9 Cliquez sur Appliquer. F0170.book Page 166 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 167 Contrôle du fonctionnement des outils UNIX Il arrive que certaines applications, ou le système d’exploitation, requièrent l’utilisation d’outils tels que le convertisseur d’images QuickTime. Il n’est pas possible d’accéder directement à ces outils et ils fonctionnent généralement en arrière-plan, à l’insu de l’utilisateur. Vous pouvez toutefois les activer à l’aide d’une interface de ligne de commande telle que Terminal. Si vous choisissez de ne pas autoriser l’accès à ce type d’outils, certaines applications risquent de ne pas pouvoir fonctionner correctement. L’autorisation améliore la compatibilité entre applications et assure un fonctionnement efficace de ces dernières ; ne l’accordez pas si vous voulez maintenir un niveau de sécurité très élevé. Pour autoriser l’accès aux outils UNIX : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Applications. 5 Définissez le réglage de gestion sur Toujours. 6 Sélectionnez Permettre aux outils Unix de s’exécuter. 7 Cliquez sur Appliquer. Gestion des préférences de Classic Les préférences Classic permettent de définir les options de démarrage de l’environnement Classic, d’en sélectionner le Dossier Système, d’en définir les options de suspension d’activité et de mettre certains éléments du menu Pomme à la disposition des utilisateurs. Le tableau ci-dessous décrit la fonction des réglages du panneau Classic. Panneau des préférences Classic Ce que vous pouvez contrôler Démarrage Le dossier système Classic et les actions au démarrage de Classic Avancé Les éléments du menu Apple, les réglages de suspension de l’activité de Classic et la possibilité pour l’utilisateur de désactiver les extensions ou de reconstruire le fichier du bureau Classic lors du démarrage F0170.book Page 167 Monday, May 2, 2005 12:37 PM168 Chapitre 9 Gestion des préférences Sélection des options de démarrage de Classic Le Gestionnaire de groupe de travail offre plusieurs méthodes pour contrôler le mode et le moment du démarrage de l’environnement Classic. Si les utilisateurs ont souvent besoin de travailler avec des applications fonctionnant avec Classic, il peut s’avérer opportun de programmer le démarrage immédiat de Classic lorsqu’ils se connectent. Si vos utilisateurs n’ont que rarement recours à Classic, vous pouvez faire en sorte que le démarrage de Classic ne se produise que lorsqu’un utilisateur ouvre une application Classic ou un document qui nécessite ce type d’application. Vous pouvez également choisir d’afficher un message signalant le démarrage de Classic et donnant aux utilisateurs la possibilité d’annuler ce démarrage. Pour utiliser les différentes options de démarrage de Classic : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Classic. 5 Cliquez sur Démarrage. 6 Définissez le réglage de gestion sur Toujours. 7 Sélectionnez Démarrer Classic à l’ouverture de session sur cet ordinateur pour démarrer Classic dès qu’un utilisateur ouvre sa session. Lorsque Classic démarre à l’ouverture de session, la fenêtre de démarrage est masquée et l’utilisateur ne peut pas annuler l’opération. Si vos utilisateurs n’ont que rarement recours à Classic, vous pouvez désélectionner cette option afin que Classic ne démarre automatiquement que si un utilisateur ouvre une application ou un document nécessitant cet environnement. Dans ce cas, la fenêtre de démarrage Classic sera visible pour les utilisateurs et ils pourront annuler l’opération. 8 Sélectionnez Avertir au démarrage de Classic pour afficher un message signalant le démarrage de Classic si ce dernier est lancé uniquement lorsqu’un utilisateur tente d’ouvrir une application ou un document Classic. Les utilisateurs peuvent choisir soit de laisser le démarrage de Classic se poursuivre, soit d’annuler la procédure. Désélectionnez cette option si vous ne souhaitez pas que les utilisateurs puissent interrompre le démarrage de Classic. 9 Cliquez sur Appliquer. F0170.book Page 168 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 169 Choix d’un dossier Système Classic Il n’existe le plus souvent qu’un seul Dossier Système Mac OS 9 par ordinateur qui se trouve sur le disque de démarrage Mac OS X. Il n’est donc pas nécessaire de spécifier un Dossier Système Classic. Si un ordinateur possède plusieurs dossiers Système Mac OS 9 sur le disque de démarrage et que vous n’avez pas défini un chemin d’accès spécifique vers l’un de ces dossiers, les utilisateurs verront apparaître un message d’erreur et ne pourront pas utiliser Classic. S’il existe plusieurs dossiers Système Mac OS 9 sur le disque de démarrage d’un ordinateur ou si vous souhaitez utiliser un Dossier Système Mac OS 9 qui se trouve sur un autre disque, vous devez désigner un dossier spécifique à utiliser lorsque Classic est en service. Il est important de spécifier un chemin d’accès au Dossier Système Mac OS 9, lequel doit se trouver au même emplacement relatif sur les disques durs de tous les clients. Si plusieurs dossiers Système Mac OS 9 sont disponibles et que vous n’avez défini aucun réglage dans le panneau Démarrage des préférences Classic, les utilisateurs peuvent choisir parmi les dossiers Système Mac OS 9 disponibles s’ils ont accès aux Préférences Système Classic. Pour choisir un Dossier Système de Classic spécifique : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Classic. 5 Cliquez sur Démarrage. 6 Définissez le réglage de gestion sur Toujours. 7 Saisissez le chemin d’accès au dossier Système Classic que vous souhaitez utiliser, tel que :/Volumes//dossier Système/ ou cliquez sur Choisir pour rechercher le dossier souhaité. Assurez-vous que le chemin d’accès au Dossier Système Classic sur l’ordinateur client est identique au chemin du Dossier Système Classic sur l’ordinateur administrateur. 8 Cliquez sur Appliquer. F0170.book Page 169 Monday, May 2, 2005 12:37 PM170 Chapitre 9 Gestion des préférences Autorisations d’actions spéciales au démarrage Si des utilisateurs gérés ont accès aux Préférences Système Classic, ils peuvent cliquer sur le bouton Démarrer/Redémarrer du panneau Classic pour démarrer ou redémarrer l’environnement Classic. Vous pouvez autoriser les utilisateurs à effectuer des actions spéciales, notamment désactiver des extensions ou reconstruire le fichier du bureau Classic, lorsqu’ils démarrent ou redémarrent Classic à partir de la sous-fenêtre Avancé des Préférences Système Classic. Il est recommandé de n’accorder ces autorisations qu’à certains utilisateurs, comme les membres de votre équipe technique. Pour autoriser des actions spéciales lors du démarrage : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Classic. 5 Cliquez sur Avancé. 6 Définissez le réglage de gestion sur Toujours. 7 Sélectionnez Autoriser modes de démarrage spéciaux. 8 Sélectionnez “Autoriser l’utilisateur à reconstruire le Bureau” pour permettre aux utilisateurs de reconstruire le fichier du bureau Classic. La désactivation de cette option a pour effet d’estomper le bouton Reconstruire le Bureau qui se trouve dans la sous-fenêtre Avancé des Préférences Système Classic. 9 Cliquez sur Appliquer. Contrôle de l’accès aux éléments du menu Pomme de l’environnement Classic Les options de préférences gérées de Classic permettent de contrôler l’accès à certains éléments du menu Pomme de Classic, y compris les tableaux de bord Mac OS 9, le Sélecteur et l’Explorateur réseau. Vous pouvez choisir d’afficher ou de masquer la totalité, certains ou aucun de ces éléments dans le menu Pomme. Les utilisateurs ne peuvent accéder aux éléments masqués à partir du menu Pomme, mais il existe des solutions alternatives telles que lancer le Sélecteur via le Dossier Système Mac OS 9. Pour restreindre davantage l’accès des utilisateurs à ces éléments, vous pouvez utiliser les préférences Applications du Gestionnaire de groupe de travail et déterminer les applications que les utilisateurs peuvent ou ne peuvent pas ouvrir. Pour plus d’informations, consultez la section “Gestion de l’accès aux applications” à la page 164. F0170.book Page 170 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 171 Remarque : interdire l’accès au Sélecteur risque d’affecter ce qui se passe lorsqu’un utilisateur tente d’imprimer à partir de l’environnement Classic si la gestion de l’impression est également en vigueur. Si les utilisateurs ne peuvent pas accéder au Sélecteur, il leur est impossible de configurer de nouvelles imprimantes ou de changer de type d’imprimante (passer d’une imprimante postscript à une non postscript par exemple). Pour masquer ou afficher des éléments du menu Pomme : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Classic. 5 Cliquez sur Avancé, puis définissez les réglages de gestion sur Toujours. 6 Sélectionnez Masquer Tableaux de bord pour supprimer cet élément du menu Pomme. Désélectionnez cette option pour afficher cet élément 7 Sélectionnez Masquer le Sélecteur et l’Explorateur réseau pour supprimer ces deux éléments du menu Pomme. Désélectionnez cette option pour afficher ces éléments. 8 Sélectionnez Masquer autres éléments du menu Apple pour masquer le reste des éléments du menu Pomme. Ce groupe comprend des éléments comme la calculatrice, les touches et les applications récentes. Désélectionnez cette option pour afficher ces éléments du menu Pomme. 9 Cliquez sur Appliquer. Réglage des paramètres de suspension d’activité de Classic Lorsqu’aucune application Classic n’est ouverte, Classic suspend son activité afin de réduire l’utilisation des ressources du système. Vous pouvez régler la durée du délai qui s’écoule entre la fermeture de la dernière application Classic utilisée et la suspension d’activité de l’environnement Classic. Lorsque l’activité de Classic est suspendue, l’ouverture d’une application Classic peut prendre un peu plus de temps. Vous pouvez être amené, dans certaines situations, à utiliser des applications qui fonctionnent à l’arrière-plan, à l’insu de l’utilisateur ou sans interaction avec ce dernier. Si une application est utilisée à l’arrière-plan au moment où l’environnement Classic passe en mode de suspension d’activité, cette application suspendra également son activité. Pour permettre à cette application de fonctionner sans interruption, vous pouvez régler l’option de suspension d’activité de Classic sur Jamais. F0170.book Page 171 Monday, May 2, 2005 12:37 PM172 Chapitre 9 Gestion des préférences Pour procéder aux réglages de suspension d’activité de Classic : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Classic. 5 Cliquez sur Avancé, puis définissez les réglages de gestion sur Toujours. 6 À l’aide de la réglette, définissez la durée avant laquelle Classic passe en veille. Si vous ne souhaitez pas que Classic suspende son activité, glissez le curseur sur Jamais. 7 Cliquez sur Appliquer. Maintien de la cohérence des préférences d’utilisateurs pour l’environnement Classic Classic recherche généralement les données de préférences Mac OS 9 d’un utilisateur particulier dans le Dossier Système Mac OS 9. Si un utilisateur se sert de plusieurs ordinateurs ou si divers utilisateurs travaillent sur le même ordinateur, vous devez vous assurer que Classic utilise les préférences qui se trouvent dans le dossier de départ situé dans ~/Bibliothèque/Classic, afin que chaque utilisateur dispose de ses propres préférences. Si vous choisissez de ne pas utiliser les préférences du dossier de départ personnel de l’utilisateur, sachez que les données Mac OS 9 d’un utilisateur sont enregistrées dans le Dossier Système Mac OS 9 et sont mélangées aux autres données d’utilisateurs. Les utilisateurs disposent par conséquent de préférences partagées et toute modification effectuée par le dernier utilisateur sera appliquée à la connexion de l’utilisateur suivant. Pour choisir l’emplacement de stockage des préférences d’utilisateurs de l’environnement Classic : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Classic. 5 Cliquez sur Avancé, puis définissez les réglages de gestion sur Toujours. F0170.book Page 172 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 173 6 Sélectionnez Utiliser les préférences du dossier de départ pour maintenir des préférences Classic individuelles pour chaque utilisateur. Désélectionnez cette option pour utiliser le dossier Système Mac OS 9 local pour toutes les préférences d’utilisateurs Classic. 7 Cliquez sur Appliquer. Gestion des préférences du Dock Les réglages du Dock permettent de définir le comportement du Dock et de spécifier les éléments devant y apparaître. Le tableau ci-dessous décrit la fonction des réglages du panneau Dock. Contrôle du Dock de l’utilisateur Les réglages du Dock permettent de configurer la position du Dock sur le bureau et de modifier la taille du Dock. Vous pouvez également contrôler les animations du Dock. Pour définir l’apparence et le comportement du Dock : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Dock. 5 Cliquez sur Affichage du Dock. 6 Sélectionnez un réglage de gestion (Une seule fois ou Toujours). 7 Glissez le curseur Taille du Dock afin d’agrandir ou de réduire le Dock. 8 Si vous souhaitez que les éléments du Dock soient agrandis lorsque l’utilisateur place le pointeur dessus, cochez la case Agrandissement, puis positionnez le curseur. L’agrandissement présente de l’intérêt lorsque le Dock comprend de nombreux éléments. 9 Si vous ne souhaitez pas que le Dock soit visible en permanence, sélectionnez Masquage/affichage automatique. Le Dock apparaît alors automatiquement lorsque l’utilisateur place le pointeur sur le bord de l’écran où est situé le Dock. 10 Choisissez de placer le Dock à gauche, à droite ou en bas du bureau. Panneau des préférences du Dock Ce que vous pouvez contrôler Éléments du Dock Les éléments et leur emplacement dans le Dock d’un utilisateur Affichage du Dock L’emplacement et le comportement du Dock F0170.book Page 173 Monday, May 2, 2005 12:37 PM174 Chapitre 9 Gestion des préférences 11 Sélectionnez un effet à appliquer lors du masquage du Dock. 12 Pour ne pas utiliser d’icônes animées dans le Dock à l’ouverture d’une application, désélectionnez Animation à l’ouverture des applications. 13 Cliquez sur Appliquer. Accès aisé aux dossiers de groupes Après avoir configuré un volume de groupe, vous pouvez simplifier l’accès des utilisateurs au répertoire du groupe en plaçant un alias dans leur Dock. Le répertoire du groupe contient le dossier Bibliothèque, le dossier Documents et le dossier Public (incluant une boîte de dépôt) du groupe. Pour obtenir de l’aide sur la configuration d’un point de partage de groupe, lisez la section “Travail avec les réglages du dossier de groupe” à la page 108. Si le répertoire du groupe n’est pas disponible lorsque l’utilisateur clique sur l’icône du dossier de groupe, l’utilisateur doit fournir un nom et un mot de passe pour se connecter au serveur et ouvrir le répertoire. Remarque : ce réglage de préférence ne s’applique qu’aux groupes. Vous ne pouvez pas gérer ce réglage pour les utilisateurs ou les ordinateurs. Pour ajouter un élément du Dock au répertoire de groupe : 1 Si vous n’avez pas encore configuré un point de partage pour le groupe, faites-le avant de continuer. 2 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 3 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 4 Cliquez sur le bouton Groupes et sélectionnez un ou plusieurs comptes de groupe dans la liste. 5 Cliquez sur Dock. 6 Cliquez sur Éléments du Dock. 7 Sélectionnez un réglage de gestion (Une seule fois ou Toujours). Si vous sélectionnez Une fois, l’icône du dossier de groupe apparaît initialement dans le Dock de l’utilisateur, mais ce dernier ne pourra pas la supprimer. 8 Sélectionnez Ajouter un dossier de groupe. 9 Cliquez sur Appliquer. Si vous changez l’emplacement du point de partage du groupe, veillez à utiliser le Gestionnaire de groupe de travail pour mettre à jour l’élément de Dock correspondant pour le groupe. F0170.book Page 174 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 175 Ajout d’éléments au Dock d’un utilisateur Vous pouvez ajouter des applications, des dossiers ou des documents au Dock d’un utilisateur pour en faciliter l’accès. Pour ajouter des éléments au Dock : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Dock. 5 Cliquez sur Éléments du Dock. 6 Sélectionnez un réglage de gestion (Une seule fois ou Toujours). 7 Pour ajouter des applications, des dossiers normaux et des documents au Dock, cliquez sur Ajouter, afin de naviguer et sélectionner l’élément souhaité. Pour supprimer un élément du Dock, sélectionnez-le, puis cliquez sur Supprimer. Vous pouvez réordonner les éléments du Dock qui se trouvent dans la liste en les glissant dans l’ordre d’apparition souhaité. Les applications sont toujours rassemblées d’un côté du Dock, les fichiers et dossiers se trouvant de l’autre côté. 8 Sélectionnez Mes applications, Documents ou Départ du réseau pour ajouter un ou plusieurs de ces éléments au Dock de l’utilisateur. Le dossier Mes applications contient les alias des applications disponibles. Le dossier Documents correspond au dossier Documents qui se trouve dans le répertoire de départ de l’utilisateur. Le dossier de départ réseau est le répertoire de départ de l’utilisateur du compte mobile hébergé sur le serveur. 9 Une fois l’ajout d’éléments du Dock terminé, cliquez sur Appliquer. Interdiction aux utilisateurs d’ajouter ou de supprimer des éléments au Dock Les utilisateurs peuvent habituellement ajouter des éléments à leur propre Dock, mais il est possible de les en empêcher. Si Toujours (Gérer ces réglages) est sélectionné, ils ne pourront pas supprimer les éléments que vous ajoutez au Dock. Pour empêcher les utilisateurs d’ajouter des éléments à leur Dock : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. F0170.book Page 175 Monday, May 2, 2005 12:37 PM176 Chapitre 9 Gestion des préférences Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Dock. 5 Cliquez sur Éléments du Dock, puis définissez les réglages de gestion sur Toujours. 6 Désélectionnez L’utilisateur peut ajouter ou supprimer des éléments du Dock. 7 Cliquez sur Appliquer. Gestion des préférences de l’Économiseur d’énergie Les réglages des préférences de l’Économiseur d’énergie vous aide à économiser l’énergie et la batterie en gérant le moment de la suspension d’activité, de la réactivation et du redémarrage des serveurs et des ordinateurs clients. Le tableau ci-dessous résume ce que vous pouvez contrôler à l’aide des réglages de chaque sous-fenêtre de l’Économiseur d’énergie. Utilisation des réglages de suspension d’activité et de réactivation pour les ordinateurs de bureau La suspension de l’activité d’un ordinateur permet d’économiser l’énergie car elle provoque l’extinction de l’écran et l’arrêt du disque dur. La réactivation d’un ordinateur après une suspension d’activité est un processus plus rapide que le démarrage. Vous pouvez utiliser les réglages des préférences de l’Économiseur d’énergie du Gestionnaire de groupe de travail pour suspendre automatiquement l’activité des ordinateurs après une période d’inactivité spécifiée. D’autres réglages vous permettent de réactiver ou de redémarrer l’ordinateur lorsque certains événements se produisent. Panneau des préférences Économiseur d’énergie Ce que vous pouvez contrôler Bureau La suspension de l’activité de l’ordinateur, de l’écran et du ou des disques durs, ainsi que les options de réactivation et de redémarrage de Mac OS X et de Mac OS X Server Portable Le réglage des performances du processeur, la suspension d’activité similaire à celle d’un ordinateur de bureau, ainsi que les options de réactivation et de redémarrage des sources d’alimentation Adaptateur et Batterie Menu Batterie L’affichage à l’écran d’un indicateur d’état de la batterie Planification La planification quotidienne du démarrage, de l’extinction ou de la suspension de l’activité F0170.book Page 176 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 177 Pour définir des réglages de suspension d’activité et de réactivation : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Économiseur d’énergie. 5 Cliquez sur Bureau. 6 Choisissez soit Mac OS X, soit Mac OS X Server dans le menu local OS, puis réglez la gestion sur Toujours. 7 Pour définir les réglages de suspension d’activité, choisissez Veille dans le menu local Réglages. Faites glisser le curseur pour définir le délai d’attente précédant la suspension d’activité de l’ordinateur. Le réglage par défaut est 1 heure. L’ordinateur ne suspend pas son activité si le curseur est réglé sur Jamais. Si vous souhaitez fixer un délai différent pour l’écran de l’ordinateur, sélectionnez “Suspendre l’activité du moniteur si inactif depuis” et faites glisser le curseur. Le délai choisi ne peut être supérieur au délai adopté pour la suspension d’activité de l’ordinateur. Pour suspendre l’activité de l’ordinateur dès que vous ne l’utilisez plus, sélectionnez “Suspendre l’activité du ou des disques durs dès que possible”. 8 Pour définir des réglages de suspension d’activité et de réactivation, choisissez Options dans le menu local Réglages. Pour réactiver l’ordinateur dès que le modem est activé, sélectionnez “Réactiver quand le modem détecte une sonnerie”. Pour réactiver l’ordinateur dès qu’un administrateur tente d’y accéder à distance, sélectionnez “Réactiver pour permettre l’accès à l’administrateur du réseau Ethernet”. Pour que l’ordinateur redémarre après une panne de courant, sélectionnez Redémarrer automatiquement après une panne de courant. Pour désactiver le redémarrage automatique, désélectionnez cette option. 9 Cliquez sur Appliquer. Pour réactiver manuellement un ordinateur ou un écran en veille, les utilisateurs peuvent cliquer sur le bouton de la souris ou appuyer sur une touche du clavier. F0170.book Page 177 Monday, May 2, 2005 12:37 PM178 Chapitre 9 Gestion des préférences Utilisation des réglages de l’Économiseur d’énergie pour les ordinateurs portables Les réglages d’économiseur d’énergie pour portable vous permettent de varier les conditions de suspension d’activité et de réactivation ainsi que les performances du processeur en fonction de la source d’alimentation utilisée par un ordinateur portable (adaptateur secteur ou batterie). Vous pouvez également faire redémarrer l’ordinateur automatiquement en cas de panne de courant soudaine. Encouragez les utilisateurs à se servir de l’adaptateur secteur de l’ordinateur dès que possible afin d’économiser la batterie. Pour gérer les réglages d’ordinateur portable : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Économiseur d’énergie. 5 Cliquez sur Portable. 6 Choisissez soit Adaptateur, soit Batterie dans le menu local Source d’alimentation, puis réglez la gestion sur Toujours. 7 Pour définir les réglages de suspension d’activité, choisissez Veille dans le menu local Réglages. Faites glisser le curseur pour définir le délai d’attente précédant la suspension d’activité de l’ordinateur. Le réglage par défaut est 1 heure. L’ordinateur ne suspend pas son activité si le curseur est réglé sur Jamais. Pour fixer un délai différent pour l’écran de l’ordinateur, sélectionnez “Suspendre l’activité du moniteur si inactif depuis” et faites glisser le curseur. Le délai choisi ne peut être supérieur à celui adopté pour la suspension d’activité de l’ordinateur. Pour mettre l’ordinateur en veille dès que vous ne l’utilisez plus, sélectionnez Suspendre l’activité du ou des disques durs dès que possible. 8 Pour définir des réglages de suspension d’activité, de réactivation et de performances du processeur, choisissez Options dans le menu local Réglages. Pour réactiver l’ordinateur dès que le modem est activé, sélectionnez “Réactiver quand le modem détecte une sonnerie”. Pour réactiver l’ordinateur dès qu’un administrateur tente d’y accéder à distance, sélectionnez “Réactiver pour permettre l’accès à l’administrateur du réseau Ethernet”. F0170.book Page 178 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 179 Pour que l’ordinateur redémarre après une panne de courant, sélectionnez Redémarrer automatiquement après une panne de courant. Pour désactiver le redémarrage automatique, désélectionnez cette option. Sélectionnez Maximale, Automatique ou Faible dans le menu local Performance du processeur. Le réglage recommandé pour les ordinateurs utilisant un adaptateur est Maximale. Pour les ordinateurs fonctionnant avec une batterie, il est recommandé d’adopter le réglage Automatique. 9 Cliquez sur Appliquer. Pour réactiver manuellement un ordinateur ou un écran en veille, les utilisateurs peuvent cliquer sur le bouton de la souris ou appuyer sur une touche du clavier. Affichage de l’état de la batterie pour les utilisateurs Les ordinateurs portables utilisent une batterie comme source d’énergie directe ou de réserve lorsqu’ils ne sont pas connectés au secteur. L’ordinateur suspend automatiquement son activité pour économiser l’énergie dès que le niveau de charge de la batterie devient trop faible. Il suffit que l’utilisateur reconnecte l’ordinateur à une source d’alimentation directe (en insérant une batterie chargée ou en le connectant un adaptateur secteur) pour réactiver l’ordinateur et se remettre à travailler. Encouragez les utilisateurs à surveiller l’état de leur batterie lorsqu’ils utilisent leur ordinateur en déplacement et à utiliser un adaptateur secteur dès qu’ils en ont la possibilité afin de conserver une batterie totalement chargée. Pour afficher l’état de la batterie dans la barre des menus : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Économiseur d’énergie. 5 Cliquez sur Menu Batterie et définissez les réglages de gestion sur Toujours. 6 Sélectionnez Afficher l’état de la batterie dans la barre des menus pour afficher le menu de la batterie. Pour désactiver le menu de la batterie, désélectionnez cette option. 7 Cliquez sur Appliquer. F0170.book Page 179 Monday, May 2, 2005 12:37 PM180 Chapitre 9 Gestion des préférences Programmation du démarrage, de l’extinction ou de la suspension d’activité automatiques Vous pouvez choisir de suspendre l’activité des ordinateurs ou de les démarrer ou les éteindre à des moments spécifiques du jour ou de la semaine. La programmation de l’arrêt ou de la suspension d’activité peut vous aider à économiser l’énergie pendant des périodes prévues d’inactivité telles que le soir après la journée de travail, pendant les week-ends ou à la fin d’un cours. La programmation du démarrage automatique permet de préparer une classe ou un laboratoire afin que le travail puisse commencer immédiatement. Pour programmer des actions automatiques : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Économiseur d’énergie. 5 Cliquez sur Planification. 6 Choisissez soit Mac OS X, soit Mac OS X Server dans le menu local OS, puis réglez la gestion sur Toujours. 7 Pour programmer le démarrage automatique, sélectionnez Démarrer l’ordinateur, puis choisissez un jour ou une période (en semaine, le week-end ou tous les jours) dans le menu local. Tapez ensuite une heure dans le champ prévu à cet effet. Pour désactiver le démarrage programmé, désélectionnez cette option. 8 Pour programmer la suspension d’activité ou l’extinction automatique, cochez la case et choisissez Suspendre l’activité ou Éteindre dans le menu local. Choisissez ensuite un jour ou une période (en semaine, le week-end ou tous les jours) dans le menu local. Tapez ensuite une heure dans le champ prévu à cet effet. Pour désactiver la suspension d’activité ou l’arrêt programmé, désélectionnez cette option. 9 Cliquez sur Appliquer. F0170.book Page 180 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 181 Gestion des préférences du Finder Vous pouvez contrôler divers aspects des menus et des fenêtres du Finder. Le tableau ci-dessous résume ce que vous pouvez contrôler dans chaque sous-fenêtre des préférences du Finder. Configuration du Finder simplifié Vous pouvez sélectionner le Finder classique ou le Finder simplifié comme environnement d’utilisateur. La présentation et le comportement du Finder normal sont identiques à ceux du bureau Mac OS X standard. Le Finder simplifié offre une interface de navigation plus facile (les dossiers Documents et Mes applications, par exemple, sont affichés dans le Dock de l’utilisateur). Les Préférences Système permettent également de configurer le Finder simplifié sur un ordinateur client (localement). Si vous utilisez Gestionnaire de groupe de travail pour appliquer l’environnement Finder simplifié et que cette fonctionnalité n’est pas activée sur l’ordinateur local, seul le Finder du client est affecté ; les réglages de l’accès au Dock et aux applications doivent être gérés individuellement. Vous pouvez configurer le Finder simplifié sur l’ordinateur local et utiliser les fonctions de gestion du Dock et des applications du Gestionnaire de groupe de travail pour ajouter des éléments de Dock et des accès aux applications. Important : pour les ordinateurs clients utilisant Mac OS X version 10.2 à 10.2.8, n’activez pas le Finder simplifié pour les utilisateurs qui se connectent à un groupe de travail disposant de son propre dossier de groupe (répertoire). Ces utilisateurs ne peuvent pas utiliser d’application car le Finder simplifié empêche l’accès au répertoire de groupe. Panneau des préférences du Finder Ce que vous pouvez contrôler Préférences Le comportement de la fenêtre Finder, Le Finder simplifié, l’affichage d’éléments ouverts sur le bureau, l’affichage des extensions de nom de fichier et l’affichage du message de confirmation de la suppression du contenu de Corbeille Commandes Grâce aux commandes des menus du Finder et du menu Pomme, les utilisateurs peuvent, entre autres, se connecter aisément aux serveurs ou de redémarrer l’ordinateur. Dans certains cas, il peut être préférable de limiter l’accès des utilisateurs à ces commandes. Les réglages de la sous-fenêtre Commandes vous permettent de contrôler la disponibilité de certaines commandes pour les utilisateurs. Présentations Les présentations du Finder vous permettent de modifier la disposition et l’apparence des éléments qui se trouvent sur le bureau d’un utilisateur, dans les fenêtres du Finder et dans le répertoire du premier niveau de l’ordinateur. F0170.book Page 181 Monday, May 2, 2005 12:37 PM182 Chapitre 9 Gestion des préférences Pour activer le Finder simplifié : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Finder. 5 Cliquez sur Préférences, puis sélectionnez un réglage de gestion (Toujours). 6 Si vous sélectionnez Toujours, vous pouvez sélectionner soit “Utiliser le Finder normal”, soit “Utiliser le Finder simplifié” pour limiter l’accès à cet ordinateur. Si vous sélectionnez Une fois, seule l’option “Utiliser le Finder normal” est disponible. 7 Cliquez sur Appliquer. Masquage des disques et des serveurs sur le bureau de l’utilisateur En règle générale, lorsqu’un utilisateur insère un disque, l’icône de ce disque apparaît sur le bureau. Les icônes des disques durs locaux ou des partitions de disques ainsi que celles des volumes de serveurs montés apparaissent également sur le bureau. Si vous ne souhaitez pas que les utilisateurs voient ces éléments sur leur bureau, vous pouvez les masquer. Ces éléments continuent d’apparaître dans le répertoire du niveau supérieur lorsqu’un utilisateur clique sur l’icône Ordinateur figurant dans une barre d’outils du Finder. Pour masquer les icônes de disques et de serveurs sur le bureau : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Finder. 5 Cliquez sur Préférences, puis sélectionnez un réglage de gestion (Une fois ou Toujours). 6 Sous la mention Afficher ces éléments sur le bureau, sélectionnez les éléments que vous souhaitez masquer. 7 Cliquez sur Appliquer. F0170.book Page 182 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 183 Contrôle du comportement des fenêtres du Finder Vous pouvez sélectionner le répertoire à afficher lorsqu’un utilisateur ouvre une nouvelle fenêtre du Finder. Vous êtes également en mesure de définir le contenu devant s’afficher dans les dossiers à leur ouverture. Pour définir des préférences pour les fenêtres du Finder : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Finder. 5 Cliquez sur Préférences, puis sélectionnez un réglage de gestion (Une fois ou Toujours). 6 Sous La nouvelle fenêtre de Finder affiche, spécifiez les éléments à afficher. Sélectionnez Départ pour afficher les éléments du répertoire de départ de l’utilisateur. Sélectionnez Ordinateur pour afficher le répertoire du premier niveau, qui comprend les disques locaux et les volumes montés. 7 Sélectionnez Toujours ouvrir les dossiers dans une nouvelle fenêtre pour afficher le contenu d’un dossier dans une fenêtre séparée lorsqu’il est ouvert par l’utilisateur. Les utilisateurs Mac OS X peuvent normalement parcourir plusieurs dossiers à partir d’une seule fenêtre de Finder. 8 Sélectionnez Ouvrir les fenêtres en présentation par colonne pour une présentation cohérente de l’ensemble des fenêtres. 9 Cliquez sur Appliquer. Masquage du message d’alerte présenté lorsque l’utilisateur veut vider la corbeille Un message d’alerte s’affiche normalement lorsqu’un utilisateur veut vider la corbeille. Si vous ne voulez pas que ce message soit présenté aux utilisateurs, désactivez-le. Pour masquer le message d’avertissement de la corbeille : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Finder. F0170.book Page 183 Monday, May 2, 2005 12:37 PM184 Chapitre 9 Gestion des préférences 5 Cliquez sur Préférences, puis sélectionnez un réglage de gestion (Une fois ou Toujours). 6 Désélectionnez l’option Avertir avant de vider la corbeille. 7 Cliquez sur Appliquer. Affichage des extensions de nom de fichier Une extension de nom de fichier apparaît généralement à la fin d’un nom de fichier (par exemple “.txt” ou “.jpg”) Cette extension permet aux applications d’identifier le type de fichier concerné. Pour afficher les extensions de nom de fichier : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Finder. 5 Sélectionnez un réglage de gestion (Une seule fois ou Toujours). 6 Sélectionnez Toujours afficher les extensions de fichier. 7 Cliquez sur Appliquer. Contrôle de l’accès des utilisateurs aux serveurs distants Les utilisateurs peuvent se connecter à des serveurs distants en sélectionnant la commande Se connecter au serveur du menu Go du Finder, puis en saisissant le nom du serveur ou son adresse IP. Si vous ne souhaitez pas que les utilisateurs visualisent cet élément de menu, vous pouvez masquer la commande. Pour masquer la commande Se connecter au serveur : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Finder. 5 Cliquez sur Commandes, puis définissez les réglages de gestion sur Toujours. 6 Désélectionnez Se connecter au serveur. 7 Cliquez sur Appliquer. F0170.book Page 184 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 185 Contrôle de l’accès des utilisateurs à un iDisk Pour se connecter à un iDisk, les utilisateurs peuvent utiliser la commande Accès à l’iDisk dans le menu Go du Finder. Si vous ne souhaitez pas que les utilisateurs visualisent cet élément de menu, vous pouvez masquer la commande. Pour masquer la commande Accès à l’iDisk : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Finder. 5 Cliquez sur Commandes, puis définissez les réglages de gestion sur Toujours. 6 Désélectionnez Aller à l’iDisk. 7 Cliquez sur Appliquer. Mesures contre l’éjection de disques par les utilisateurs Si vous ne voulez pas que les utilisateurs puissent éjecter des disques (tels que les CD, DVD, disquettes ou disques FireWire), vous pouvez masquer la commande Éjecter du menu Fichier du Finder. Pour masquer la commande Éjecter : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Finder. 5 Cliquez sur Commandes, puis définissez les réglages de gestion sur Toujours. 6 Désélectionnez Éjecter. 7 Cliquez sur Appliquer. F0170.book Page 185 Monday, May 2, 2005 12:37 PM186 Chapitre 9 Gestion des préférences Masquage de la commande Graver le disque dans le Finder Les ordinateurs équipés du matériel adéquat permettent le gravage de disques (écriture d’informations sur des CD ou DVD inscriptibles). Si vous ne voulez pas que les utilisateurs bénéficient de cette possibilité, vous pouvez masquer la commande Graver le disque du menu Fichier du Finder. Pour masquer la commande Graver le disque : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Finder. 5 Cliquez sur Commandes, puis définissez les réglages de gestion sur Toujours. 6 Désélectionnez Graver le disque. 7 Cliquez sur Appliquer. Pour empêcher l’utilisation ou le gravage de CD ou DVD inscriptibles, utilisez les réglages des volets d’accès aux données. Seuls les ordinateurs équipés d’un graveur de CD-RW, d’une unité combinée ou d’un graveur Superdrive permettent de graver des CD. La commande de gravage de disques fonctionne uniquement avec des disques CD-R, CD-RW ou DVD-R. Seul un graveur Superdrive permet de graver des DVD. Contrôle de l’accès des utilisateurs aux dossiers Les utilisateurs peuvent ouvrir un dossier spécifique en sélectionnant la commande Aller au dossier du menu Go du Finder, puis en indiquant le chemin d’accès à ce dossier. Si vous ne souhaitez pas que les utilisateurs disposent de cette autorisation, vous pouvez masquer la commande. Pour masquer la commande Aller au dossier : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Finder. 5 Cliquez sur Commandes, puis définissez les réglages de gestion sur Toujours. F0170.book Page 186 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 187 6 Désélectionnez Aller au dossier. 7 Cliquez sur Appliquer. Suppression des commandes Redémarrer et Éteindre du menu Pomme Pour empêcher les utilisateurs de redémarrer ou d’éteindre leurs ordinateurs, vous pouvez supprimer les commandes Redémarrer et Éteindre du menu Pomme. Pour masquer les commandes Redémarrer et Éteindre : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Finder. 5 Cliquez sur Commandes, puis définissez les réglages de gestion sur Toujours. 6 Désélectionnez Redémarrer et Éteindre. 7 Cliquez sur Appliquer. Une mesure préventive supplémentaire consiste à utiliser les réglages de préférences d’ouverture de session pour rendre les boutons Redémarrer et Éteindre indisponibles (estompés) dans la fenêtre d’ouverture de session. Pour obtenir des instructions, consultez la section “Gestion des préférences d’ouverture de session” à la page 191. Réglage de l’apparence et de la disposition des éléments du bureau Les éléments situés sur le bureau d’un utilisateur se présentent sous forme d’icônes. Vous pouvez contrôler la taille et la disposition des icônes du bureau. Pour définir des préférences pour la présentation du bureau : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Finder. 5 Cliquez sur Présentations, puis sélectionnez un réglage de gestion (Une seule fois ou Toujours). Ce réglage s’applique aux options des trois modes de présentation. F0170.book Page 187 Monday, May 2, 2005 12:37 PM188 Chapitre 9 Gestion des préférences 6 Cliquez sur Bureau. 7 Réglez la taille d’icône à l’aide du curseur. 8 Pour maintenir les éléments alignés en rangs et en colonnes, sélectionnez Aligner sur la grille. Pour trier les éléments en fonction de critères tels que leur nom ou leur type (par exemple, tous les dossiers regroupés ensemble), sélectionnez Garder rangé par, puis choisissez une méthode dans le menu local. 9 Cliquez sur Appliquer. Réglage de l’apparence du contenu des fenêtres du Finder Les éléments des fenêtres de Finder peuvent être présentés par liste ou par icônes. Vous pouvez contrôler certains aspects de la présentation de ces éléments et décider d’afficher ou non la barre d’outils dans une fenêtre du Finder. Les réglages de Présentation par défaut permettent de contrôler l’apparence générale de toutes les fenêtres du Finder. Les réglages de présentation de l’ordinateur permettent de contrôler la présentation du répertoire du premier niveau de l’ordinateur, dans lequel sont affichés les disques durs et les partitions, les disques durs externes, les volumes montés et les supports amovibles tels que les CD ou les disquettes. Pour définir les préférences pour les présentations par défaut et de l’ordinateur : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Finder. 5 Cliquez sur Présentations, puis sélectionnez un réglage de gestion (Une seule fois ou Toujours). Ce réglage s’applique aux options des trois présentations. 6 Cliquez sur Par défaut. 7 Réglez la taille d’icône à l’aide du curseur. 8 Sélectionnez le type de disposition souhaité. Sélectionnez Aucune pour permettre aux utilisateurs de placer librement les icônes sur le bureau. Sélectionnez Aligner sur la grille, pour maintenir les éléments alignés en rangs et en colonnes. F0170.book Page 188 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 189 Sélectionnez Garder rangé pour choisir un mode de disposition dans le menu local. Vous pouvez ranger les éléments par leur nom, leur date de création ou de modification, leur taille ou leur type (vous pouvez, par exemple, regrouper tous les dossiers). 9 Procédez aux réglages de la présentation par liste pour la présentation par défaut. Si vous sélectionnez Utiliser les dates relatives, la date de création ou de modification d’un élément est indiquée par le terme “Aujourd’hui” et non par “3/24/05”, par exemple. Si vous sélectionnez Taille des dossiers, l’ordinateur calcule la taille totale de chaque dossier affiché dans une fenêtre du Finder. Cela risque de prendre beaucoup de temps pour les dossiers de très grande taille. Choisissez une taille pour les icônes de la liste. 10 Cliquez sur Ordinateur, puis procédez aux réglages de la présentation des icônes et de la présentation par liste pour la présentation de l’ordinateur. Les réglages disponibles sont similaires à ceux de la présentation par défaut décrite aux étapes 5 à 9. 11 Cliquez sur Appliquer. Gestion des préférences Internet Les préférences Internet vous permettent de définir les options de messagerie électronique et de navigateur Web. Il se peut que certains navigateurs Internet ou applications de messagerie ne gèrent pas ces réglages. Le tableau ci-dessous décrit la fonction de chacun des réglages du panneau Internet. Réglage des préférences de messagerie Les préférences de messagerie vous permettent de désigner une application de messagerie par défaut et de fournir les informations nécessaires pour votre adresse électronique, le serveur de courrier entrant et le serveur de courrier sortant. Remarque : il se peut que certaines applications de courrier électronique ignorent ces réglages. Pour définir des préférences de messagerie : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Sous-fenêtre des préférences Internet Ce que vous pouvez contrôler Message électronique l’application de courrier électronique par défaut et les données de la messagerie électronique Web le navigateur Web par défaut et les adresses URL de la page d’accueil et de la page de recherche F0170.book Page 189 Monday, May 2, 2005 12:37 PM190 Chapitre 9 Gestion des préférences Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Internet. 5 Cliquez sur Courrier, puis sélectionnez un réglage de gestion (Une seule fois ou Toujours). 6 Pour définir le logiciel de messagerie par défaut, cliquez sur Définir, puis choisissez votre application de messagerie préférée. 7 Tapez les données nécessaires pour l’adresse électronique, le serveur de courrier entrant et le serveur de courrier sortant. 8 Sélectionnez un type de compte de messagerie (POP ou IMAP). 9 Cliquez sur Appliquer. Réglage des préférences du navigateur Web Pour spécifier un navigateur Web par défaut et un emplacement de stockage des fichiers téléchargés, utilisez les réglages Web des préférences Internet. Vous pouvez également choisir une adresse URL de départ pour votre navigateur à l’aide de l’emplacement Page de départ. L’emplacement Page de recherche vous permet de spécifier l’adresse URL d’un moteur de recherche. Remarque : il se peut que certains navigateurs Web ignorent ces réglages. Pour définir des préférences Web : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Internet. 5 Cliquez sur Web, puis sélectionnez un réglage de gestion (Une seule fois ou Toujours). 6 Pour définir le navigateur Web par défaut, cliquez sur Définir et choisissez l’application de navigateur Web que vous préférez. 7 Tapez une adresse URL pour la page de départ. Il s’agit de la première page qui s’affiche lors de l’ouverture du navigateur. 8 Tapez une adresse URL pour la page de recherche. 9 Entrez un emplacement de dossier pour stocker les fichiers téléchargés ou cliquez sur Définir pour rechercher un dossier. 10 Cliquez sur Appliquer. F0170.book Page 190 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 191 Gestion des préférences d’ouverture de session Utilisez les préférences d’ouverture de session pour définir des options d’ouverture de session pour l’utilisateur, fournir des indices de mot de passe et contrôler la capacité de l’utilisateur à redémarrer et à éteindre l’ordinateur à partir de l’écran d’ouverture de session. Vous pouvez également faire automatiquement monter un volume de groupe ou ouvrir des applications à l’ouverture de session de l’utilisateur. Le tableau ci-dessous résume ce que vous pouvez contrôler à l’aide des réglages de chaque sous-fenêtre Ouverture de session. Les scripts, la fenêtre d’ouverture de session et les options ne peuvent être gérés que pour les ordinateurs, pas pour les utilisateurs ou les groupes. Les préférences gérées concernées sont détaillées ci-dessous. Spécification du mode d’ouverture de session de l’utilisateur Selon les options que vous choisissez, l’utilisateur verra s’afficher dans la fenêtre d’ouverture de session soit des champs de nom et de mot de passe, soit une liste d’utilisateurs. Ces réglages s’appliquent uniquement aux listes d’ordinateurs. Pour configurer le mode d’ouverture de session d’un utilisateur : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez une ou plusieurs listes d’ordinateurs. 4 Cliquez sur Ouverture de session. 5 Cliquez sur Fenêtre d’ouverture de session et réglez la gestion sur Toujours. Sous-fenêtre des préférences d’ouverture de session Ce que vous pouvez contrôler Éléments d’ouverture L’accès au volume de groupe, le choix des applications à ouvrir automatiquement pour l’utilisateur, l’autorisation pour l’utilisateur de gérer l’ouverture des éléments Scripts La spécification d’un script à exécuter à l’ouverture ou à la fermeture de session, l’exécution ou la désactivation des scripts LoginHook ou LogoutHook de l’ordinateur du client Fenêtre d’ouverture de session Uniquement pour les listes d’ordinateurs : l’apparence et la fonction des éléments de la fenêtre d’ouverture de session, l’identité des utilisateurs figurant sur la liste si une liste d’utilisateurs est spécifiée Options Uniquement pour les listes d’ordinateurs : la permutation rapide d’utilisateur. Le nombre de minutes d’inactivité entraînant la déconnexion de l’utilisateur F0170.book Page 191 Monday, May 2, 2005 12:37 PM192 Chapitre 9 Gestion des préférences 6 Pour exiger un nom et un mot de passe à l’utilisateur, sélectionnez Champs de saisie Nom et Mot de passe. 7 Pour permettre à l’utilisateur de sélectionner son nom dans une liste, choisissez Liste d’utilisateurs de cet ordinateur. Si vous optez pour l’utilisation d’une liste d’utilisateurs, sélectionnez les catégories d’utilisateurs à afficher dans cette liste. Pour vous assurer qu’un type d’utilisateur particulier ne figure pas dans la liste, désélectionnez le réglage correspondant. Pour autoriser les utilisateurs inconnus, vous pouvez sélectionner Afficher autres utilisateurs. Remarque : si la case “Autoriser les utilisateurs de comptes exclusivement locaux” est décochée (dans Gestionnaire de groupe de travail/Comptes/Listes d’ordinateurs/Accès), les utilisateurs locaux non administrateurs ne peuvent plus ouvrir de session. La case “administrateurs d’ordinateur” s’applique à tous les administrateurs d’ordinateur, qu’il s’agisse de comptes locaux ou réseau. La liste complète qui s’affiche à l’ouverture de session contient uniquement les utilisateurs autorisés à se connecter, c’est-à-dire ceux qui figurent dans la sous-fenêtre d’accès à l’ordinateur. Les utilisateurs disposant de comptes désactivés n’apparaissent pas dans cette liste (voir Réglages de politique de mot de passe). 8 Il est recommandé d’empêcher les utilisateurs d’ouvrir une session à l’aide de la console Darwin (interface de ligne de commande) dans le but de contourner le contrôle. Pour désactiver l’ouverture de session via la console Darwin, décochez l’option Autoriser les utilisateurs à ouvrir une session via >console. 9 Pour désactiver l’ouverture de session automatique en tant qu’utilisateur spécifique dès le démarrage de l’ordinateur, décochez la case “Activer le réglage d’ouverture de session client automatique”. Si vous décidez d’utiliser ce réglage, vous devez régler l’ouverture de session automatique sur l’ordinateur client. Ouvrez Préférences Système, cliquez sur Comptes, cliquez sur Fenêtre d’ouverture de session, sélectionnez Activer le réglage d’ouverture de session client automatique, choisissez un utilisateur dans le menu local, puis saisissez le mot de passe de ce compte. 10 Une fois la sélection des réglages d’ouverture de session gérée terminée, cliquez sur Appliquer. Ouverture automatique d’éléments après l’ouverture de session Vous pouvez faire ouvrir automatiquement les éléments fréquemment utilisés par un utilisateur. Vous pouvez également masquer les éléments qui s’ouvrent automatiquement afin d’éviter l’encombrement de l’écran, tout en gardant l’élément aisément accessible. F0170.book Page 192 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 193 Les éléments s’ouvrent selon leur ordre d’apparition dans les préférences d’Éléments d’ouverture (vous pouvez spécifier cet ordre). À l’ouverture, les éléments s’empilent les uns sur les autres, le dernier élément ouvert étant situé tout en haut de l’écran. Par exemple, si vous ouvrez trois éléments et qu’aucun d’entre eux n’est masqué, l’utilisateur voit la barre des menus du dernier élément ouvert. Si les fenêtres d’une application sont ouvertes, elles peuvent se chevaucher avec les fenêtres d’autres applications. L’utilisateur peut empêcher l’ouverture automatique des éléments en maintenant enfoncée la touche Maj pendant l’ouverture de session jusqu’à ce que le Finder s’affiche sur le bureau ; il est possible de désactiver cette fonctionnalité. Pour qu’un élément s’ouvre automatiquement : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Ouverture de session. 5 Cliquez sur Ouverture à la connexion, puis sélectionnez un réglage de gestion (Une seule fois ou Toujours). 6 Pour ajouter un élément à la liste, cliquez sur Ajouter. 7 Si vous souhaitez qu’un utilisateur ne visualise pas immédiatement un élément, cochez la case Masquer correspondante. L’application reste ouverte, mais ses fenêtres et sa barre de menus demeurent masquées jusqu’à ce que l’utilisateur active l’application (en cliquant sur son icône dans le Dock par exemple). 8 Pour empêcher l’utilisateur de disposer de cette fonction, désélectionnez l’option L’utilisateur peut ajouter et supprimer des éléments supplémentaires. (Cette case est disponible uniquement si les préférences Éléments d’ouverture sont toujours gérées.) Les utilisateurs ne peuvent supprimer que les éléments qu’ils ont ajoutés eux-mêmes à cette liste et non ceux ajoutés par un administrateur. 9 Pour interdire aux utilisateurs d’empêcher l’ouverture automatique d’applications à l’ouverture de session, désélectionnez l’option “L’utilisateur peut appuyer sur Maj pour empêcher les éléments de s’ouvrir”. (Cette case est disponible uniquement si les préférences des éléments d’ouverture sont toujours gérées.) 10 Cliquez sur Appliquer. F0170.book Page 193 Monday, May 2, 2005 12:37 PM194 Chapitre 9 Gestion des préférences Fourniture de l’accès au répertoire de départ réseau d’un utilisateur Ce réglage concerne principalement les comptes mobiles. Si un utilisateur ouvre une session alors qu’il est connecté au réseau, le point de partage contenant son répertoire de départ d’origine (situé sur le serveur) est monté sur le bureau. Remarque : si vous utilisez des répertoires de départ portables avec des comptes mobiles, l’accès direct au dossier de départ réseau n’est recommandé que pour les utilisateurs avancés. En effet, les autres utilisateurs pourraient se tromper de dossier étant donné qu’ils sont nombreux et qu’ils portent tous leur nom d’utilisateur. En outre, ils contiennent tous des dossiers intitulés Documents, Musique, etc., dont certains sont susceptibles de renfermer le même contenu. Pour monter automatiquement le dossier de départ réseau : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un compte d’utilisateur mobile dans la liste des comptes. 4 Cliquez sur Ouverture de session. 5 Cliquez sur Éléments d’ouverture. 6 Sélectionnez un réglage de gestion (Une seule fois ou Toujours). 7 Sélectionnez Aj. point de part. de départ de réseau. 8 Cliquez sur Appliquer. Fourniture d’un accès aisé au point de partage de groupe Après avoir configuré un point de partage de groupe, vous pouvez simplifier la recherche de répertoires de groupes pour les utilisateurs en leur permettant d’accéder automatiquement au point de partage dès l’ouverture de session. (Pour obtenir des informations sur la configuration d’un point de partage de groupe, lisez “Travail avec les réglages du dossier de groupe” à la page 108.) Remarque : ce réglage de préférence ne s’applique qu’aux groupes. Vous ne pouvez pas gérer ce réglage pour les utilisateurs ou les ordinateurs. Pour ajouter un élément d’ouverture au point de partage de groupe : 1 Si vous n’avez pas encore configuré un point de partage pour le groupe ainsi qu’un dossier de groupe, faites-le avant de continuer. 2 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. F0170.book Page 194 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 195 3 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 4 Cliquez sur le bouton Groupes et sélectionnez un ou plusieurs comptes de groupe dans la liste 5 Cliquez sur Ouverture de session. 6 Cliquez sur Éléments d’ouverture. 7 Définissez le réglage de gestion sur Toujours. 8 Sélectionnez Ajouter un point de partage de groupe. 9 Dans la liste sous “Ouvrir automatiquement ces éléments lorsque l’utilisateur ouvre une session”, sélectionnez le point de partage de groupe que vous venez d’ajouter. Si vous ne souhaitez pas que ce point de partage apparaisse dans le Dock, cochez la case Masquer. 10 Assurez-vous que l’option “Monter avec un nom et mot de passe utilisateur” est sélectionnée. 11 Cliquez sur Appliquer. Lorsque l’utilisateur ouvre sa session, l’ordinateur se connecte au point de partage de groupe à l’aide du nom d’utilisateur et du mot de passe donné à l’ouverture de session. Si vous gérez les préférences du Finder et choisissez de ne pas afficher les serveurs connectés, l’icône du volume de groupe n’apparaît pas sur le bureau. L’utilisateur peut toutefois trouver le volume en cliquant sur Ordinateur dans une fenêtre du Finder. Si vous changez l’emplacement du point de partage du groupe, veillez à mettre à jour l’élément d’ouverture correspondant pour le groupe dans le Gestionnaire de groupe de travail. Interdiction de démarrer ou d’arrêter l’ordinateur lors de la connexion Les boutons Redémarrer et Éteindre sont normalement affichés dans le fenêtre d’ouverture de session. Si vous ne voulez pas que l’utilisateur puisse redémarrer ou éteindre l’ordinateur, vous pouvez désactiver ces boutons. Vous pouvez également supprimer les commandes Redémarrer et Éteindre dans le menu Finder. (Pour obtenir des instructions, consultez la section “Gestion des préférences du Finder” à la page 181.) Vérifiez la sous-fenêtre Commandes des préférences Finder et assurez-vous que les boutons Redémarrer et Éteindre ne sont pas sélectionnés. F0170.book Page 195 Monday, May 2, 2005 12:37 PM196 Chapitre 9 Gestion des préférences Remarque : les réglages de la fenêtre d’ouverture de session sont disponibles uniquement pour les listes d’ordinateurs. Pour désactiver les boutons Redémarrer et Éteindre : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Cliquez sur le bouton Listes d’ordinateurs et sélectionnez un ou plusieurs comptes. 4 Cliquez sur Ouverture de session. 5 Cliquez sur Fenêtre d’ouverture de session et réglez la gestion sur Toujours. 6 Désélectionnez les options “Afficher le bouton Redémarrer dans la fenêtre d’ouverture de session” et “Afficher le bouton Éteindre dans la fenêtre d’ouverture de session”. 7 Cliquez sur Appliquer. Utilisation d’indices pour aider les utilisateurs à se souvenir de leur mot de passe Vous pouvez utiliser un “indice” afin d’aider les utilisateurs à se rappeler leur mot de passe. Au bout de trois tentatives consécutives d’ouverture de session à l’aide d’un mot de passe incorrect, une zone de dialogue affiche l’indice généré. Les indices de mot de passe créés pour les utilisateurs locaux sont toujours affichés après trois tentatives, même si l’option d’affichage n’est pas sélectionnée. Les indices de mot de passe ne sont pas utilisés pour les comptes d’utilisateur en réseau. Pour afficher un indice de mot de passe : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Cliquez sur le bouton Listes d’ordinateurs et sélectionnez un ou plusieurs comptes. 4 Cliquez sur Ouverture de session. 5 Cliquez sur Fenêtre d’ouverture de session et réglez la gestion sur Toujours. 6 Sélectionnez Afficher l’indice de mot de passe après 3 tentatives. 7 Cliquez sur Appliquer. F0170.book Page 196 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 197 Activation de la prise en charge de plusieurs utilisateurs simultanés sur un ordinateur client La fonction de changement rapide d’utilisateur vous permet de rendre disponible simultanément plusieurs comptes sur un même ordinateur. La liste des comptes actifs actuels (authentifiés) s’affiche dans un menu situé dans la partie droite de la barre des menus du Finder. Pour basculer sur le compte qui vous intéresse, sélectionnez-le. Si les utilisateurs doivent s’identifier pour basculer sur leur compte, l’utilisateur précédent n’est pas obligé pour autant de fermer sa session. Le changement rapide d’utilisateur s’avère utile pour les ordinateurs utilisés par de petits groupes stables d’utilisateurs. Cependant, il est possible que cette fonction ne marche pas entre des utilisateurs disposant de répertoires de départ réseau ou dont l’accès aux supports est régi par des préférences. Pour activer le changement rapide d’utilisateur : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Cliquez sur le bouton Listes d’ordinateurs et sélectionnez un ou plusieurs comptes. 4 Cliquez sur Ouverture de session. 5 Cliquez sur Options puis définissez les réglages de gestion sur Toujours. 6 Sélectionnez Activer le changement rapide d’utilisateur pour autoriser les utilisateurs à employer cette fonction. Pour désactiver cette option, désélectionnez-la. 7 Cliquez sur Appliquer. Activation de la fermeture de session automatique pour les utilisateurs inactifs Vous pouvez réduire la charge sur vos serveurs et rendre les comptes d’utilisateur plus sûrs en activant la fermeture de session automatique après un délai d’inactivité. Une fois le délai d’inactivité fixé dépassé, la session de l’utilisateur est fermée et la fenêtre d’ouverture de session est à l’écran. Remarque : cette fonctionnalité concerne les clients qui exécutent Mac OS X 10.3 et ultérieur. Pour fermer automatiquement la session d’un utilisateur : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. F0170.book Page 197 Monday, May 2, 2005 12:37 PM198 Chapitre 9 Gestion des préférences Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Cliquez sur le bouton Listes d’ordinateurs et sélectionnez un ou plusieurs comptes. 4 Cliquez sur Ouverture de session. 5 Cliquez sur Fermeture automatique, puis réglez la gestion sur Toujours. 6 Faites glisser le curseur pour fixer le délai pendant lequel l’utilisateur peut demeurer inactif avant que sa session ne soit fermée automatiquement. 7 Cliquez sur Appliquer. Scripts d’ouverture et de fermeture de session Les scripts d’ouverture de session vous permettent d’exécuter un script chaque fois qu’un utilisateur ouvre une session sur un ordinateur particulier. Les scripts d’ouverture et de fermeture de session sont très performants car ils sont exécutés en tant que root. Veillez cependant à ce qu’ils n’altèrent pas les réglages du système ni les fichiers des utilisateurs. Il existe deux méthodes pour ajouter un script d’ouverture de session à un ordinateur. Vous pouvez ajouter un script LoginHook à un ordinateur spécifique ou appliquer un script d’ouverture de session à une liste d’ordinateurs via le Gestionnaire de groupe de travail. Cette section décrit la configuration des scripts d’ouverture de session pour listes d’ordinateurs dans le Gestionnaire de groupe de travail. De la même manière, vous pouvez ajouter des scripts de fermeture de session afin de personnaliser la fermeture de session. Pour configurer un script d’ouverture ou de fermeture de session, exécutez les commandes suivantes sur chaque client : 1 Réglez la clé “EnableMCXLoginScripts” située dans ~root/Library/Preferences/com.apple.loginwidow.plist sur TRUE. $ sudo defaults write com.apple.loginwindow.plist EnableMCXLoginScripts - bool TRUE 2 Si vous le souhaitez, réglez la clé MCXScriptTrust située dans ~root/Library/Preferences/com.apple.loginwidow.plist sur une chaîne TRUST valide. $ sudo defaults write com.apple.loginwindow.plist MCXScriptTrust -string PartialTrust Si cette clé n’est pas définie, elle devient une chaîne TRUST invalide. Le niveau de confiance “FullTrust” est requis pour exécuter les scripts disponibles dans la sousfenêtre Scripts des Préférences Système d’Ouverture de session ci-dessus. F0170.book Page 198 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 199 Les chaînes TRUST correctes peuvent être classées par ordre de confiance “Anonymous”, “DHCP”, “Encryption”, “Authenticated”, “PartialTrust”, “FullTrust”. La spécification d’une chaîne TRUST autorise également les valeurs de confiance supérieures à cette chaîne TRUST. “Anonymous” autorise donc tous les niveaux de confiance ; “PartialTrust” autorise “PartialTrust” et “Full Trust”. Notez que la plupart des nœuds Active Directory prennent en charge “PartialTrust” et non “FullTrust”. Après avoir effectué les deux étapes précédentes, ajoutez le script d’ouverture ou de fermeture de session à la liste d’ordinateurs de votre choix à l’aide de Gestionnaire de groupe de travail. Notez que la taille du script ne peut être supérieure à 30 Ko. Gestion des préférences d’accès aux données Les préférences d’accès aux supports permettent de contrôler les réglages de CD, DVD, disque dur local et disques externes (par exemple, disquettes et lecteurs FireWire), ainsi que le mode d’accès à ces éléments. Le tableau ci-dessous décrit ce que vous pouvez contrôler à l’aide des réglages de chaque sous-fenêtre Accès aux supports. Contrôle de l’accès aux CD, DVD et disques inscriptibles Dans le cas d’un ordinateur pouvant lire ou enregistrer des CD ou des DVD, vous pouvez faire en sorte que les utilisateurs aient accès ou non aux éléments (musique, films, etc.) enregistrés sur ces disques. Il est impossible d’autoriser l’accès à des disques ou des éléments de disque particuliers. Dans le cas d’un ordinateur équipé du matériel approprié, vous pouvez faire en sorte que les utilisateurs puissent ou non graver des disques, c’est-à-dire écrire des informations sur un disque inscriptible tel qu’un CD-R, un CD-RW ou un DVD-R. Il est possible de graver des CD sur tout ordinateur équipé d’un graveur de CD-RW, d’une unité combinée ou d’un graveur Superdrive. Seuls les ordinateurs équipés d’un graveur Superdrive permettent de graver des DVD. Pour contrôler l’accès aux supports disque : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Sous-fenêtre des préférences d’Accès aux supports Ce que vous pouvez contrôler Support disque Les réglages de CD, de DVD et de disque inscriptible (tels que les CD-R, CD-RW ou DVD-R). Les ordinateurs qui ne sont pas équipés du matériel approprié pour utiliser des CD, DVD ou disques inscriptibles ne sont pas affectés par ces options. Autres supports Les disques durs internes et les disques externes autres que les CD et les DVD F0170.book Page 199 Monday, May 2, 2005 12:37 PM200 Chapitre 9 Gestion des préférences Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Accès aux supports. 5 Définissez le réglage de gestion sur Toujours. Ce réglage s’applique à l’ensemble des options de préférences d’accès aux données. 6 Cliquez sur Supports disque et sélectionnez les options souhaitées. 7 Cliquez sur Appliquer. Contrôle de l’accès aux disques durs et aux disques Vous pouvez contrôler l’accès aux lecteurs de disque internes ou externes tels que les lecteurs de disquettes, les lecteurs Zip et les lecteurs FireWire. Remarque : le comportement relatif aux disques durs internes peut légèrement varier en fonction de la version de Mac OS X dont dispose le client (version 10.2, Jaguar ou 10.3, Panther). Pour obtenir des résultats plus fiables, vous pouvez définir des autorisations d’accès aux disques durs internes et aux partitions de disques sur les ordinateurs clients à l’aide des réglages Propriétaire et Autorisations du Finder. Pour restreindre l’accès aux disques internes et externes : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Accès aux supports. 5 Définissez le réglage de gestion sur Toujours. Ce réglage s’applique à l’ensemble des options de préférences d’accès aux données. 6 Cliquez sur Autres Supports et sélectionnez les options souhaitées. Si vous cochez la case Lecture seule, les utilisateurs peuvent visualiser le contenu d’un disque, mais ils n’ont pas le droit de modifier ou d’enregistrer des fichiers sur ce disque. 7 Cliquez sur Appliquer. F0170.book Page 200 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 201 Éjection automatique d’éléments à la fermeture de session de l’utilisateur Si vous autorisez les utilisateurs à accéder à des CD, DVD ou disques externes tels que des disques Zip ou FireWire sur des ordinateurs partagés, il est conseillé d’activer l’éjection automatique des supports amovibles à la fermeture de session de l’utilisateur. Pour éjecter automatiquement les supports enregistrables : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Accès aux supports. 5 Définissez le réglage de gestion sur Toujours. Ce réglage s’applique à l’ensemble des options de préférences d’accès aux données. 6 Cliquez sur Autres supports. 7 Sélectionnez Éjecter tous les disques amovibles à la fermeture de session. 8 Cliquez sur Appliquer. Gestion des préférences de mobilité Si un utilisateur requiert un compte mobile, vous pouvez faire en sorte qu’un tel compte soit automatiquement créé lors de la prochaine ouverture de session de l’utilisateur. Pour en savoir plus sur les comptes mobiles, notamment sur la manière d’utiliser les réglages des préférences de mobilité, lisez le chapitre 3, “Gestion des utilisateurs pour des clients mobiles”. Gestion des préférences Réseau Les préférences Réseau vous permettent de sélectionner et de configurer les serveurs proxy utilisables par les utilisateurs et les groupes. Vous pouvez également spécifier les hôtes et les domaines pour lesquels il est nécessaire d’ignorer les réglages proxy. L’avantage de ce système provient du fait que les utilisateurs et les groupes gérés bénéficient d’une expérience de navigation personnalisée. Configuration des serveurs proxy par port Il est possible de configurer des types spécifiques de proxy réservés à certains utilisateurs ou groupes et de spécifier le port à utiliser. Voici les types de serveurs proxy modifiables individuellement : FTP, Web (HTTP), Web sécurisé (HTTPS), Diffusion en continu (RTSP), SOCKS, Gopher et Configuration de proxy automatique. F0170.book Page 201 Monday, May 2, 2005 12:37 PM202 Chapitre 9 Gestion des préférences L’administrateur système désigne les utilisateurs ou groupes auxquels sont affectés ces proxy et spécifie le proxy auquel ils peuvent accéder dans la sous-fenêtre Préférences de Gestionnaire de groupe de travail. Vous ne pouvez spécifier qu’un type de serveur proxy pour un utilisateur ou un groupe. Pour configurer des serveurs proxy pour un utilisateur ou un groupe : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Réseau. 5 Sélectionnez le type précis de proxy à configurer (FTP, Web, etc.). 6 Spécifiez une adresse URL et un port en respectant la forme suivante :serveurproxy.apple.com:8080/. 7 Cliquez sur Appliquer. Gestion des préférences d’Impression Les préférences d’Impression vous permettent de créer des listes d’imprimantes et de gérer l’accès aux imprimantes. Le tableau ci-dessous décrit la fonction de chacun des réglages du panneau Impression. Attribution d’imprimantes aux utilisateurs Pour fournir aux utilisateurs l’accès aux imprimantes, commencez par configurer une liste d’imprimantes. Vous pouvez ensuite autoriser des utilisateurs ou des groupes spécifiques à employer les imprimantes de la liste. Vous pouvez également rendre les imprimantes disponibles aux ordinateurs. La liste finale d’imprimantes d’un utilisateur consiste en une combinaison d’imprimantes auxquelles lui-même, le groupe sélectionné à la connexion et l’ordinateur en cours d’utilisation peuvent accéder. Pour créer une liste d’imprimantes pour les utilisateurs : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. Sous-fenêtre des préférences d’Impression Ce que vous pouvez contrôler Liste d’imprimantes Les imprimantes disponibles et la possibilité pour l’utilisateur d’ajouter des imprimantes ou d’accéder à une imprimante directement connectée à un ordinateur Accès L’imprimante par défaut et l’accès à des imprimantes spécifiques F0170.book Page 202 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 203 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Impression. 5 Définissez le réglage de gestion sur Toujours. Ce réglage s’applique à l’ensemble des options de préférences d’impression. 6 Cliquez sur Liste des imprimantes. 7 La liste des imprimantes disponibles est générée à partir de la liste des imprimantes réseau disponibles dans Utilitaire de configuration d’imprimante. Sélectionnez une imprimante dans la liste des imprimantes disponibles, puis cliquez sur Ajouter à la liste afin qu’elle soit figure dans la liste des imprimantes de l’utilisateur. Si l’imprimante souhaitée n’apparaît pas dans la liste Imprimantes disponibles, cliquez sur Ouvrir configuration d’imprimante, puis ajoutez l’imprimante à la liste d’imprimantes d’Utilitaire de configuration d’imprimante. 8 Cliquez sur Appliquer. Méthode pour empêcher les utilisateurs de modifier la liste d’imprimantes Il est possible d’empêcher les utilisateurs de modifier la liste des imprimantes disponibles (ajout ou suppression d’imprimantes). Pour restreindre l’accès à la liste des imprimantes : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Impression. 5 Définissez le réglage de gestion sur Toujours. Ce réglage s’applique à l’ensemble des options de préférences d’impression. 6 Cliquez sur Liste des imprimantes. 7 Pour que seul l’administrateur soit autorisé à modifier la liste d’imprimantes, décochez la case Permettre à l’utilisateur de modifier la liste d’imprimantes. 8 Cliquez sur Appliquer. F0170.book Page 203 Monday, May 2, 2005 12:37 PM204 Chapitre 9 Gestion des préférences Restriction de l’accès aux imprimantes connectées à un ordinateur Il est recommandé, dans certaines situations, de n’autoriser que quelques utilisateurs à imprimer via une imprimante connectée directement à leur ordinateur. Dans le cas, par exemple, d’une salle de classe équipée d’un ordinateur connecté à une imprimante, vous pouvez choisir de réserver l’usage de l’imprimante au professeur en lui créant un compte d’administrateur, puis en exigeant la saisie d’un nom et d’un mot de passe d’administrateur pour pouvoir utiliser l’imprimante. Pour limiter l’accès à une imprimante connectée à un ordinateur spécifique : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Impression. 5 Définissez le réglage de gestion sur Toujours. Ce réglage s’applique à l’ensemble des options de préférences d’impression. 6 Si vous souhaitez que l’ordinateur client ait accès à une imprimante réseau, cliquez sur Liste d’imprimantes, sélectionnez l’imprimante et cliquez sur Ajouter à la liste. 7 Pour interdire l’accès des utilisateurs aux imprimantes locales, désélectionnez l’option “Permettre l’utilisation des imprimantes connectées directement à l’ordinateur”. Pour exiger un mot de passe d’administrateur pour utiliser l’imprimante, sélectionnez Requiert un mot de passe d’administrateur. 8 Cliquez sur Appliquer. Définition d’une imprimante par défaut Une fois que vous avez configuré une liste d’imprimantes, vous pouvez désigner l’imprimante qui sera utilisée par défaut. Dès qu’un utilisateur tente d’imprimer un document, l’imprimante choisie apparaît par défaut dans la zone de dialogue d’impression de l’application. Pour définir l’imprimante par défaut : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. F0170.book Page 204 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 205 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Impression. 5 Définissez le réglage de gestion sur Toujours. Ce réglage s’applique à l’ensemble des options de préférences d’impression. 6 Cliquez sur Accès. 7 Choisissez une imprimante dans la liste des imprimantes de l’utilisateur, puis cliquez sur Par défaut. 8 Cliquez sur Appliquer. Restriction de l’accès aux imprimantes Vous pouvez exiger la saisie d’un nom et d’un mot de passe d’administrateur pour l’utilisation de certaines imprimantes. Pour restreindre l’accès à une imprimante spécifique : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Impression. 5 Définissez le réglage de gestion sur Toujours. Ce réglage s’applique à l’ensemble des options de préférences d’impression. 6 Cliquez sur Accès. 7 Sélectionnez une imprimante dans la liste des imprimantes de l’utilisateur, puis sélectionnez Requiert un mot de passe d’administrateur. 8 Cliquez sur Appliquer. Gestion des préférences de mise à jour de logiciels Vous pouvez spécifier un serveur de mise à jour de logiciels par utilisateur ou par groupe. Mac OS X Server vous permet de mettre en place vos propres mises à jour de logiciels à partir d’un serveur local pour des utilisateurs spécifiques. Cela vous permet de libérer de la bande passante sur le réseau externe tout en laissant la possibilité à l’administrateur système de désactiver ou de forcer l’installation de certaines mises à jour. F0170.book Page 205 Monday, May 2, 2005 12:37 PM206 Chapitre 9 Gestion des préférences Pour gérer l’accès à la mise à jour de logiciels : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Mise à jour de logiciels. 5 Définissez le réglage de gestion sur Toujours. 6 Spécifiez une adresse URL en respectant la forme suivante : serveurquelconque.apple.com:8080/. 7 Cliquez sur Appliquer. Gestion de l’accès aux préférences Système Vous pouvez spécifier quelles sont les Préférences Système qui doivent être visibles pour les utilisateurs et quelles sont celles qu’ils sont autorisés à modifier. Les utilisateurs peuvent ouvrir n’importe quel élément des Préférences Système, mais ne peuvent pas forcément en modifier les réglages. Certaines préférences, notamment celles du disque de démarrage, exigent un nom et un mot de passe d’administrateur. Les préférences affichées dans le Gestionnaire de groupe de travail correspondent à celles qui sont installées sur l’ordinateur que vous utilisez. Si votre ordinateur administrateur ne dispose pas de certaines Préférences Système, installez-les ou utilisez Gestionnaire de groupe de travail sur un ordinateur administrateur disposant de ces préférences. Pour gérer l’accès aux préférences Système : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Préférences Système. 5 Définissez le réglage de gestion sur Toujours. 6 Décochez la case Afficher pour chaque élément ne devant pas apparaître dans les Préférences Système d’un utilisateur. 7 Cliquez sur Appliquer. F0170.book Page 206 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 207 Gestion des préférences Accès universel Les réglages Accès universel peuvent améliorer l’expérience de certains utilisateurs. Si, par exemple, un utilisateur souffrant d’un handicap éprouve des difficultés à utiliser un ordinateur ou souhaite modifier son mode de travail, vous pouvez choisir des réglages qui lui permettront de travailler de manière plus efficace. Utilisez le Gestionnaire de groupe de travail pour configurer et gérer les réglages Accès universel pour des groupes de travail ou d’ordinateurs spécifiques destinés aux utilisateurs ayant des besoins particuliers. Le tableau ci-dessous décrit la fonction de chacun des réglages du panneau Accès universel. Manipulation des réglages d’affichage pour l’utilisateur Les préférences Vue du Gestionnaire de groupe de travail permettent aux utilisateurs de régler l’apparence de l’écran. L’utilisateur peut aisément effectuer un zoom avant ou arrière sur le bureau à l’aide de raccourcis clavier (combinaisons de touches spécifiques). Le remplacement des couleurs par des niveaux de gris ou l’utilisation d’un affichage négatif (blanc sur noir) peut faciliter la lecture du texte à l’écran. Remarque : si les réglages d’affichage sont gérés une seule fois, les utilisateurs peuvent alterner entre les options de zoom et de couleurs à l’aide de raccourcis clavier. Si la gestion est réglée sur Toujours, les utilisateurs ne peuvent pas naviguer entre ces options. Pour gérer les préférences Vue : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. Sous-fenêtre des préférences Accès universel Ce que vous pouvez contrôler Vue L’affichage à l’écran et le niveau de zoom du bureau Écoute L’alerte visuelle destinée aux utilisateurs Clavier La vitesse de réaction du clavier lorsque l’utilisateur appuie sur des touches et des combinaisons de touches Souris La réaction du pointeur et la possibilité pour les utilisateurs d’utiliser le pavé numérique au lieu de la souris Options Les combinaisons de touches de raccourci, l’utilisation de périphériques d’aide et la lecture de texte par l’ordinateur dans la sous-fenêtre des préférences Accès universel F0170.book Page 207 Monday, May 2, 2005 12:37 PM208 Chapitre 9 Gestion des préférences 4 Cliquez sur Accès universel. 5 Cliquez sur Vue, puis sélectionnez un réglage de gestion (Une seule fois ou Toujours). 6 Effectuez vos modifications. 7 Pour effectuer un réglage plus précis du zoom, cliquez sur Options de zoom. Faites glisser les curseurs pour fixer un Zoom maximum et un Zoom minimum. Pour afficher une zone d’aperçu, sélectionnez l’option Afficher un rectangle d’aperçu lors d’un zoom arrière. Pour améliorer l’apparence des images agrandies, déselectionnez l’option Lisser les images. 8 Cliquez sur Appliquer. Pour personnaliser davantage l’affichage, vous pouvez utiliser les préférences de présentation du Finder afin de contrôler la taille des icônes des fenêtre du Finder et les préférences d’affichage du Dock pour agrandir les icônes du Dock de l’utilisateur. Si vous comptez gérer des ordinateurs dédiés, vous pourrez utiliser les préférences d’affichage pour modifier la résolution de votre écran et le nombre de couleurs affichées. Pour conserver les préférences d’affichage locales telles que définies, il est recommandé de supprimer l’élément Moniteur de la liste des préférences système disponibles en utilisant les préférences Applications du Gestionnaire de groupe de travail. Pour autoriser l’utilisation d’un périphérique d’aide (tel qu’un lecteur d’écran) sur un ordinateur spécifique, cliquez sur Préférences, sélectionnez une liste d’ordinateurs, cliquez sur Préférences Système, cliquez sur Accès universel, cliquez sur Options, cliquez sur Toujours et enfin, sélectionnez Activer l’accès aux périphériques d’aide. Activation d’une alerte visuelle Il est possible, pour les utilisateurs ayant du mal à entendre les sons d’alerte (tels que le son émis à l’arrivée d’un message ou lorsqu’une erreur survient), de faire clignoter l’écran. Pour activer une alerte visuelle : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Accès universel. 5 Cliquez sur Écoute, puis sélectionnez un réglage de gestion (Une fois ou Toujours). 6 Sélectionnez Faire clignoter l’écran dès qu’un signal d’alerte retentit. 7 Cliquez sur Appliquer. F0170.book Page 208 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 209 Réglage de la réponse du clavier Pour les utilisateurs qui éprouvent des difficultés à appuyer sur plusieurs touches à la fois, vous pouvez utiliser la fonction Touches à auto-maintien pour permettre au clavier d’interpréter une séquence de frappes de touche individuelles comme combinaison de touches. L’ordinateur peut afficher chaque touche activée à l’écran, puis diffuser un son d’alerte dès que la combinaison de touches est terminée. Remarque : si vous activez les raccourcis clavier d’Accès universel, un utilisateur pourra activer ou désactiver les touches à auto-maintien en appuyant cinq fois de suite sur la touche Maj. Si le clavier s’avère trop réactif pour certains utilisateurs qui éprouvent des problèmes avec les frappes répétitives, vous pouvez utiliser la fonction Touches lentes pour augmenter le délai de réponse d’une touche activée. L’ordinateur peut, afin de fournir un “feedback” à l’utilisateur, émettre un “clic” lorsque les touches sont enfoncées. Pour définir la manière dont le clavier réagit aux frappes : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Accès universel. 5 Cliquez sur Clavier, puis sélectionnez un réglage de gestion (Une fois ou Toujours). 6 Sélectionnez Oui pour activer les touches à auto-maintien. Pour désactiver l’alerte de combinaison de touches, désélectionnez Émettre un son lors de la définition d’une touche de modification. Pour désactiver l’affichage à l’écran des touches activées, désélectionnez Afficher les touches appuyées à l’écran. Si ces options ne sont pas sélectionnées, certains utilisateurs peuvent éprouver des difficultés à savoir si une combinaison de touches est terminée ou en cours de saisie. 7 Sélectionnez Oui pour activer les touches lentes. 8 Si vous ne voulez pas que l’ordinateur réagisse aux frappes de touches par un clic, désélectionnez Émettre un son à chaque touche appuyée. 9 Faites glisser le curseur pour fixer le délai entre le moment où une touche est activée et celui où l’ordinateur la reconnaît. 10 Cliquez sur Appliquer. F0170.book Page 209 Monday, May 2, 2005 12:37 PM210 Chapitre 9 Gestion des préférences Réglage du niveau de réponse de la souris et du pointeur La fonction Souris permet aux utilisateurs qui éprouvent des difficultés à utiliser une souris ou qui préfèrent ne pas s’en servir d’utiliser le pavé numérique. Les touches du pavé numérique correspondent aux directions et aux actions de la souris, ce qui permet à l’utilisateur de déplacer le pointeur, de cliquer sur le bouton de la souris, de le maintenir enfoncé ou de le relâcher. Remarque : si vous activez les raccourcis clavier d’Accès universel, un utilisateur pourra activer ou désactiver les Touches de souris en appuyant cinq fois de suite sur la touche Option. Si le pointeur se déplace trop rapidement pour certains utilisateurs, vous pouvez régler sa vitesse de réaction et de déplacement. Pour contrôler les réglages de la souris et du pointeur : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Accès universel. 5 Cliquez sur Souris, puis sélectionnez un réglage de gestion (Une fois ou Toujours). 6 Sélectionnez Oui pour activer les Touches de souris. 7 Pour contrôler la vitesse de réaction du pointeur, faites glisser le curseur Délai initial. 8 Pour contrôler la vitesse de déplacement du pointeur, faites glisser le curseur Vitesse maximale. 9 Cliquez sur Appliquer. F0170.book Page 210 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 211 Activation des raccourcis d’Accès universel Les raccourcis d’Accès universel sont des combinaisons de touches qui permettent d’activer une fonction disponible d’Accès universel telle que le zoom sur l’écran ou les touches à auto-maintien. Si vous décidez de ne pas autoriser les raccourcis d’Accès universel, vos utilisateurs ne pourront peut-être pas utiliser des fonctions telles que le zoom et désactiver les fonctions activées telles que les touches à auto-maintien. Pour autoriser les raccourcis d’Accès universel : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Accès universel. 5 Cliquez sur Options, puis sélectionnez un réglage de gestion (Une seule fois ou Toujours). 6 Sélectionnez Autoriser les raccourcis d’Accès Universel. 7 Cliquez sur Appliquer. Autorisation d’appareils d’aide pour les utilisateurs ayant des besoins particuliers Vous pouvez, si nécessaire, autoriser les utilisateurs gérés à activer des périphériques d’aide tels qu’un lecteur d’écran. Pour autoriser l’utilisation de périphériques d’aide : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Accès universel. 5 Cliquez sur Options, puis sélectionnez le réglage de gestion Toujours. 6 Sélectionnez Autoriser l’accès pour les périphériques d’aide. 7 Cliquez sur Appliquer. F0170.book Page 211 Monday, May 2, 2005 12:37 PM212 Chapitre 9 Gestion des préférences Utilisation de l’éditeur de préférences avec les manifestes de préférences L’éditeur de préférences permet de contrôler les applications, utilitaires ou préférences système Mac OS X bien conçus, qui ne se trouvent pas dans la sous-fenêtre de préférences Vue d’ensemble de Gestionnaire de groupe de travail. Il permet également d’effectuer des tâches d’administration. Certains éditeurs d’applications fournissent des manifestes de préférences qui facilitent le déchiffrage et la modification des préférences de l’application à l’aide de l’éditeur de préférences. Il est possible de modifier les valeurs de clé des préférences d’une application même si celle-ci ne dispose pas d’un manifeste de préférences. Si vous disposez d’une application dotée d’un manifeste de préférences et que vous ouvrez l’éditeur de préférences intégré au Gestionnaire de groupe de travail pour modifier une des valeurs de clé, vous obtiendrez une meilleure description de clés et la modification sera plus facile. Si vous utilisez l’éditeur de préférences avec Safari, par exemple, qui contient un manifeste de préférences, vous pouvez facilement trouver et modifier la page d’accueil affichée lorsqu’un groupe ouvre l’application. Grâce au manifeste de préférences, l’éditeur de préférences est à même de fournir des descriptions précises des clés et des actions qu’elles produisent ; il ne se contente pas d’afficher les noms des valeurs de clé, qui ne sont pas toujours très clairs. Les manifestes de préférences peuvent être stockés dans des groupes (bundle) d’application (dans /Contents/Resources) ou constituer des fichiers autonomes. En tant qu’administrateur, ces manifestes vous aident à modifier et à régler les préférences gérées (en fournissant les noms et les descriptions et en indiquant quelles sont les préférences gérées et quelle est leur méthode de réglage). Ils vous permettent de connaître les valeurs de clé de l’éditeur de préférences prises en compte par une application et vous indiquent comment régler ces clés pour atteindre votre objectif. Les manifestes de préférences permettent tout simplement de mieux visualiser l’éditeur de préférences et ils sont pris en compte automatiquement lorsqu’ils sont associés à une application. Les réglages et modifications apportés aux clés d’une application sont stockés dans les services de répertoire. Lorsque vous modifiez les valeurs de clé des préférences d’une application dans l’éditeur de préférences, tous les utilisateurs, groupes ou listes d’ordinateurs sélectionnés sont alors dotés de ces préférences gérées. F0170.book Page 212 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 213 Ajout d’une préférence gérée en l’important depuis une application Il est possible d’importer des clés et des valeurs de préférence via les fichiers de préférences de n’importe quelle application. Cela vous permet de donner à un utilisateur un environnement d’application particulière identique au vôtre. Pour importer un fichier de préférences dans des préférences gérées : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences puis sur Détails. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié, puis sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 3 Cliquez sur Ajouter. 4 Sélectionnez com.apple..plist dans la zone de dialogue et cliquez sur Ajouter. Si l’application dispose d’un manifeste de préférences, il apparaît dans la liste de Gestionnaire de groupe de travail (au format Texte). Les préférences gérées qui ne disposent pas d’un manifeste de préférences sont affichées en italique. Même si une application ne dispose pas d’un manifeste de préférences, vous pouvez utiliser l’éditeur de préférences pour importer et ajouter des préférences existantes (situées dans ~/Bibliothèque/Préférences/) aux services de répertoire et faire en sorte que les préférences des utilisateurs finaux soient conformes à ces préférences. Ainsi, toute application utilisant des préférences Mac OS X peut être gérée. Modification des valeurs de préférence d’une application Une application bien conçue respecte les réglages du manifeste de préférences. Si ce manifeste n’existe pas, c’est à vous, en tant qu’administrateur, de veiller à ce que ces réglages (modifiables dans l’éditeur de préférences) soient appliqués. La gestion des préférences est généralement plus efficace en mode Souvent. En mode Toujours, la préférence peut continuer à être appliquée, mais l’application autorisera probablement qu’elle soit modifiée par l’utilisateur final. Pour modifier les valeurs de préférence d’une application : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences puis sur Détails. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié puis sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 3 Double-cliquez sur un élément de la liste (ou sélectionez l’élément et cliquez sur Modifier). F0170.book Page 213 Monday, May 2, 2005 12:37 PM214 Chapitre 9 Gestion des préférences 4 Repérez les valeurs à modifier et effectuez vos modifications. 5 Cliquez sur Appliquer puis sur Terminé. Si vous réglez la clé sur une valeur différente de la valeur du manifeste de préférences d’une application, l’éditeur de préférences vous le signale dans l’écran de modification de la clé. Ce type de modification n’est pas interdit, mais il est recommandé de ne pas l’effectuer. Suppression des valeurs de préférence via l’éditeur de préférences Il est possible de supprimer les préférences de vos applications. En d’autres termes, vous pouvez supprimer les valeurs de préférence modifiées de toute application incluse dans les services de répertoire. Cela n’entraînera pas la suppression de vos manifestes de préférences éventuels. Pour effacer les valeurs de préférence d’une application : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences puis sur Détails. 2 Sélectionnez l’application ou l’identifiant de groupe (bundle) (cette opération ne peut être effectuée que pour une seule application à la fois). 3 Cliquez sur Supprimer. Remarque : aucun manifeste de préférences n’est supprimé, seules les valeurs (existantes) enregistrées dans les services de répertoire via l’éditeur de préférences sont supprimées. F0170.book Page 214 Monday, May 2, 2005 12:37 PM10 215 10 Gestion des présentations de réseau Le présent chapitre fournit des informations sur la gestion des ressources réseau que les utilisateurs peuvent voir et auxquelles ils peuvent accéder. Grâce aux présentations de réseau gérées, vous pouvez contrôler ce que les utilisateurs d’un ordinateur particulier voient lorsqu’ils cliquent sur l’icône Réseau de la barre latérale d’une fenêtre du Finder ou lorsqu’ils choisissent Aller > Réseau dans le Finder. Une présentation de réseau gérée est une liste de ressources réseau que vous personnalisez pour améliorer l’environnement de navigation et de détection des ressources de l’utilisateur. Vous pouvez ajouter des ressources réseau à ce qu’un utilisateur voit déjà ou spécifier exactement les éléments visibles pour l’utilisateur. Vous pouvez personnaliser des présentations de réseau pour un ordinateur individuel, un groupe d’ordinateurs ou tout un sous-réseau. Vous pouvez créer des présentations de réseau gérées qui contiennent un ou plusieurs des composants suivants : • Un voisinage réseau, c’est-à-dire un ensemble de ressources réseau regroupées pour un accès aisé. Un voisinage réseau prend la forme d’un dossier dans une présentation de réseau. Un voisinage peut contenir des ordinateurs, d’autres voisinages et des listes dynamiques. • Un ordinateur, c’est-à-dire tout ordinateur connecté au réseau. Vous pouvez ajouter directement des ordinateurs à une présentation de réseau ou les ajouter à un voisinage situé au sein d’une présentation de réseau. • Une liste dynamique permet de générer automatiquement une liste de ressources réseau à afficher dans un voisinage. Vous pouvez par exemple définir un voisinage appelé Marketing et y afficher tout ordinateur actif sur le sous-réseau du service marketing. F0170.book Page 215 Monday, May 2, 2005 12:37 PM216 Chapitre 10 Gestion des présentations de réseau Types de présentations de réseau gérées Vous pouvez créer trois types de présentations de réseau : • Présentation nommée. Une présentation nommée, personnalisée pour répondre à des besoins spécifiques d’utilisateur, n’est visible que sur des ordinateurs clients spécifiques. Pour associer la présentation à un ordinateur, vous devez l’identifier dans l’enregistrement d’ordinateur ou la nommer à l’aide d’une adresse Ethernet, d’une adresse IP ou d’une chaîne de sous-réseau. Le répertoire dans lequel la présentation nommée est stockée doit se trouver dans le chemin de recherche de l’ordinateur client. • Présentation par défaut. Une présentation nommée par défaut est visible sur un ordinateur client si le répertoire dans lequel la présentation est stockée se trouve dans le chemin de recherche et qu’aucune présentation nommée n’a été affectée à l’ordinateur. • Présentation publique. Une présentation nommée publique est visible sur un ordinateur client si le répertoire dans lequel la présentation est stockée ne fournit pas encore de présentation de réseau à l’ordinateur. Le répertoire peut être n’importe quel répertoire auquel un ordinateur est autorisé à accéder, qu’il se trouve ou non dans son chemin de recherche. Si aucune présentation publique n’est détectée dans l’un de ces répertoires, mais qu’une présentation par défaut s’y trouve, c’est cette dernière qui est affichée. Création d’un présentation de réseau gérée Lorsque vous créez une présentation de réseau, vous associez des voisinages réseau, des ordinateurs et des listes dynamiques à la présentation. Vous devez également définir des informations propres au client, telles que l’identité des ordinateurs clients qui doivent utiliser la présentation. Pour créer une présentation de réseau : 1 Ouvrez le Gestionnaire de groupe de travail, puis cliquez sur Réseau. 2 Cliquez sur le globe au-dessus de la liste Présentations de réseau et choisissez le répertoire de réseau dans lequel vous souhaitez faire résider la présentation. 3 Cliquez sur le cadenas pour vous authentifier en tant qu’administrateur de domaine pour le répertoire. 4 Choisissez Serveur > Nouvelle présentation de réseau, sélectionnez le type de présentation à créer, puis cliquez sur Créer. 5 Si vous définissez une présentation nommée, tapez le nom de la présentation dans la sous-fenêtre Présentation. Si vous souhaitez que la présentation nommée soit utilisée par tous les ordinateurs d’un sous-réseau particulier, donnez-lui comme nom l’identifiant de sous-réseau (10.201.42.0/22). F0170.book Page 216 Monday, May 2, 2005 12:37 PMChapitre 10 Gestion des présentations de réseau 217 Si vous souhaitez que la présentation nommée soit visible par un certain ordinateur, vous pouvez lui donner comme nom l’adresse IP ou l’adresse Ethernet de l’ordinateur. Vous pouvez également spécifier le nom de la présentation dans certains enregistrements d’ordinateur (voir “Activation de la visibilité des présentations de réseau gérées” à la page 225.) 6 Dans la sous-fenêtre Présentation, ajoutez des voisinages, des ordinateurs et des listes dynamiques à la présentation. Pour obtenir des instructions, consultez les sections “Ajout de voisinages à des présentations de réseau gérées” à la page 219, “Affichage d’ordinateurs dans des présentations de réseau gérées” à la page 220 et “Ajout de listes dynamiques à des présentations de réseau gérées” à la page 223. 7 Finalisez la hiérarchie des voisinages. Faites glisser des éléments vers le haut ou vers le bas dans la liste de la sous-fenêtre Présentation pour les ajouter à des voisinages ou les supprimer de voisinages. Les éléments de la liste sont affichés dans l’ordre alphabétique, comme dans le Finder. Si votre présentation contient des ordinateurs et des listes dynamiques que vous n’avez pas placés dans un voisinage, faites-le. L’affichage de toutes les ressources d’un voisinage vous permet d’affecter un nom descriptif à un ensemble de ressources. 8 Configurez des réglages d’ordinateur client pour la présentation à l’aide de la sousfenêtre Réglages. Pour obtenir des instructions, consultez la section “Définition de l’utilisation des présentations de réseau gérées par des ordinateurs clients” à la page 224. 9 Si vous souhaitez rendre la présentation de réseau visible immédiatement sur des ordinateurs clients, cliquez sur Présentation, puis sélectionnez la case Activé. 10 Cliquez sur Enregistrer. Modification de présentations de réseau gérées Une fois que vous avez créé une présentation de réseau gérée, vous pouvez en modifier les attributs et l’activer ou la désactiver. Pour modifier une présentation de réseau : 1 Ouvrez le Gestionnaire de groupe de travail, puis cliquez sur Réseau. 2 Cliquez sur le globe au-dessus de la liste Présentations de réseau et choisissez le répertoire de réseau dans lequel la présentation réside. 3 Cliquez sur le cadenas pour vous authentifier en tant qu’administrateur de domaine pour le répertoire. 4 Dans la liste Présentations de réseau, sélectionnez la présentation que vous souhaitez modifier. F0170.book Page 217 Monday, May 2, 2005 12:37 PM218 Chapitre 10 Gestion des présentations de réseau 5 Suivez les étapes 6 à 9 pour apporter des modifications aux objets de la présentation à l’aide de la sous-fenêtre Présentation. 6 Pour renommer la présentation, tapez le nouveau nom dans le champ Nom. 7 Utilisez la case Activé pour activer ou désactiver la disponibilité de la présentation. 8 Modifiez les objets dans la hiérarchie de la présentation comme vous le souhaitez. Cliquez sur le bouton Ajouter (+) pour ajouter un voisinage, un ordinateur ou une liste dynamique à la présentation. Faites glisser le nouvel objet vers l’emplacement de la hiérarchie de la présentation où vous souhaitez qu’il soit visible. Pour supprimer un objet de la présentation, sélectionnez-le, puis cliquez sur Supprimer (–). Pour modifier un objet de la présentation, sélectionnez-le, puis cliquez sur le bouton Modifier. 9 Pour réorganiser les objets dans la hiérarchie de la présentation, faites-les glisser vers les emplacements de la hiérarchie de la présentation où vous souhaitez qu’ils soient visibles. 10 Cliquez sur Réglages pour utiliser des réglages de client, puis suivez les étapes 11 et 12 en fonction de vos besoins. 11 Modifiez en fonction de vos besoins la liste des ordinateurs clients sur laquelle la présentation est visible. Cliquez sur Ajouter (+) pour rendre la présentation visible sur d’autres ordinateurs clients. À l’aide de la liste déroulante, vous pouvez créer un nouvel enregistrement d’ordinateur ou ouvrir le tiroir d’enregistrement d’ordinateur à partir duquel vous pouvez faire glisser des ordinateurs dans la liste des ordinateurs clients. Pour ne pas afficher la présentation sur un ordinateur client, sélectionnez l’ordinateur, puis cliquez sur Supprimer (–). Pour modifier la présentation qu’un ordinateur peut voir, sélectionnez l’ordinateur, puis cliquez sur le bouton Modifier. Sélectionnez une présentation dans la liste déroulante Présentation de réseau, puis cliquez sur Enregistrer. 12 Accessoirement, modifiez la fréquence à laquelle les ordinateurs clients doivent vérifier si la présentation a été modifiée. 13 Accessoirement, modifiez la manière dont le Finder affiche la présentation. 14 Cliquez sur Enregistrer pour enregistrer vos modifications ou cliquez sur Revenir pour revenir à la dernière présentation de réseau enregistrée. F0170.book Page 218 Monday, May 2, 2005 12:37 PMChapitre 10 Gestion des présentations de réseau 219 Définition de voisinages pour présentations de réseau gérées Vous devez créer des voisinages réseau pour organiser et présenter de manière logique les ressources réseau. Dans la présentation de réseau, un voisinage réseau ressemble à un dossier. Le voisinage peut contenir d’autres voisinages, des ordinateurs et des listes dynamiques. Ajout de voisinages à des présentations de réseau gérées Vous pouvez ajouter autant de voisinages que vous le souhaitez à une présentation de réseau. Les voisinages permettent de regrouper des ressources réseau d’une manière logique et d’organiser la présentation de vos ressources réseau. Pour ajouter un voisinage à une présentation de réseau existante : 1 Ouvrez le Gestionnaire de groupe de travail, puis cliquez sur Réseau. 2 Cliquez sur le globe au-dessus de la liste Présentations de réseau et choisissez le répertoire de réseau dans lequel la présentation réside. 3 Cliquez sur le cadenas pour vous authentifier en tant qu’administrateur de domaine pour le répertoire. 4 Dans la liste Présentations de réseau, sélectionnez la présentation avec laquelle vous souhaitez travailler. 5 Dans la sous-fenêtre Présentation, cliquez sur le bouton Ajouter (+), puis choisissez Nouveau voisinage. 6 Tapez le nom du voisinage, puis cliquez sur Enregistrer. Remarque : il se peut que le Finder ne puisse pas afficher les noms de présentation de réseau gérée étendus (plus de 256 caractères) à cause de problèmes liés à la longueur des noms de fichier/dossier dans le système de fichiers. 7 Ajoutez au moins un ordinateur, une liste dynamique ou un autre voisinage au voisinage. Cliquez sur le bouton Ajouter, puis choisissez l’objet que vous souhaitez ajouter au voisinage. Faites-le ensuite glisser vers le voisinage. 8 Répétez les étapes 5 à 7, si nécessaire. 9 Cliquer sur Enregistrer. F0170.book Page 219 Monday, May 2, 2005 12:37 PM220 Chapitre 10 Gestion des présentations de réseau Suppression de voisinages de présentations de réseau gérées Les voisinages que vous supprimez d’une présentation de réseau gérée sont supprimés de la liste de ressources visibles dans la présentation. Soyez prudent lorsque vous supprimez des voisinages car vous ne serez pas averti s’ils contiennent des éléments. Pour supprimer un voisinage d’une présentation de réseau : 1 Ouvrez le Gestionnaire de groupe de travail, puis cliquez sur Réseau. 2 Cliquez sur le globe au-dessus de la liste Présentations de réseau et choisissez le répertoire de réseau dans lequel la présentation réside. 3 Cliquez sur le cadenas pour vous authentifier en tant qu’administrateur de domaine pour le répertoire. 4 Dans la liste Présentations de réseau, sélectionnez la présentation avec laquelle vous souhaitez travailler. 5 Dans la sous-fenêtre Présentation, sélectionnez le voisinage à supprimer. 6 Cliquez sur le triangle d’affichage pour afficher tout ce que le voisinage contient et confirmez que vous souhaitez bien le supprimer ainsi que tout ce qu’il contient. Faites glisser des objets de voisinage hors du voisinage si vous souhaitez qu’ils restent associés à la présentation. 7 Cliquez sur le bouton Supprimer (–) ou choisissez Serveur > Supprimer. 8 Si vous pensez avoir supprimé des objets par inadvertance, cliquez sur Revenir. Sinon, cliquez sur Enregistrer. Définition d’ordinateurs pour présentations de réseau gérées Vous devez ajoutez des ordinateurs à une définition de présentation de réseau gérée si vous souhaitez fournir à des utilisateurs l’accès à des ordinateurs spécifiques de la présentation. Affichage d’ordinateurs dans des présentations de réseau gérées Vous pouvez afficher un ordinateur dans une présentation de réseau s’il possède un enregistrement d’ordinateur dans le répertoire où réside présentation de réseau. Il se peut que l’enregistrement d’ordinateur existe déjà, sinon, définissez-en un nouveau. Il se peut qu’un enregistrement d’ordinateur existe déjà parce que : • l’ordinateur est géré à l’aide de préférences de liste d’ordinateurs ; • l’ordinateur est déjà associé à une autre présentation de réseau gérée ; • l’ordinateur a été configuré pour utiliser une autre présentation de réseau gérée du répertoire. F0170.book Page 220 Monday, May 2, 2005 12:37 PMChapitre 10 Gestion des présentations de réseau 221 Pour ajouter un ordinateur à une présentation de réseau : 1 Ouvrez le Gestionnaire de groupe de travail, puis cliquez sur Réseau. 2 Cliquez sur le globe au-dessus de la liste Présentations de réseau et choisissez le répertoire de réseau dans lequel la présentation réside. 3 Cliquez sur le cadenas pour vous authentifier en tant qu’administrateur de domaine pour le répertoire. 4 Dans la liste Présentations de réseau, sélectionnez la présentation à utiliser, puis assurez-vous que la sous-fenêtre Présentation est bien sélectionnée. 5 Pour ajouter un ordinateur pour lequel il existe déjà un enregistrement d’ordinateur dans le répertoire actuel, allez à l’étape 6. Pour créer un nouvel enregistrement d’ordinateur, allez à l’étape 7. Pour naviguer à la recherche d’un ordinateur, qu’il dispose ou non d’un enregistrement d’ordinateur, allez à l’étape 8. 6 Pour utiliser un enregistrement d’ordinateur existant, cliquez sur le bouton Ajouter (+), puis sélectionnez Afficher les ordinateurs. Faites glisser un ordinateur depuis le tiroir qui apparaît dans la sous-fenêtre Présentation. 7 Pour créer un nouvel enregistrement d’ordinateur, cliquez sur le bouton Ajouter (+), puis choisissez Nouvel ordinateur. Dans la zone de dialogue qui apparaît, saisissez des informations dans deux champs. Dans le champ Nom, tapez le nom que vous souhaitez utiliser pour identifier l’ordinateur lorsqu’il est affiché dans la présentation. Dans le champ URL, tapez une ou plusieurs adresses URL par lesquelles on peut accéder à l’ordinateur. 8 Vous pouvez cliquez sur le bouton Parcourir pour naviguer et identifier un ordinateur à ajouter. Le serveur lance une recherche sur la base de l’URL pour retrouver des services avec les types de services de fichiers standard (AFP, SMB/CIFS, FTP et NFS). Vous pouvez naviguer à travers tous les ordinateurs que vous voyez normalement sous /Réseau. Sélectionnez un ordinateur dans la liste. Si l’ordinateur que vous sélectionnez dispose déjà d’un enregistrement d’ordinateur, un avertissement apparaît et l’ordinateur n’est pas ajouté à la présentation. Pour ajouter l’ordinateur, utilisez l’étape 6. Si l’ordinateur que vous sélectionnez ne dispose pas encore d’un enregistrement d’ordinateur, un enregistrement d’ordinateur est créé et l’ordinateur est ajouté à la présentation. 9 Cliquer sur Enregistrer. F0170.book Page 221 Monday, May 2, 2005 12:37 PM222 Chapitre 10 Gestion des présentations de réseau Suppression d’ordinateurs de présentations de réseau gérées Lorsque vous supprimez un ordinateur d’une présentation de réseau gérée, il est supprimé de la liste de ressources visibles dans la présentation. Pour supprimer un ordinateur d’une présentation de réseau : 1 Ouvrez le Gestionnaire de groupe de travail, puis cliquez sur Réseau. 2 Cliquez sur le globe au-dessus de la liste Présentations de réseau et choisissez le répertoire de réseau dans lequel la présentation réside. 3 Cliquez sur le cadenas pour vous authentifier en tant qu’administrateur de domaine pour le répertoire. 4 Dans la liste Présentations de réseau, sélectionnez la présentation avec laquelle vous souhaitez travailler. 5 Dans la sous-fenêtre Présentation, sélectionnez l’enregistrement d’ordinateur que vous souhaitez supprimer de la présentation. Pour pouvoir voir l’ordinateur dans la liste, il se peut que vous deviez afficher le contenu des voisinages en cliquant sur les triangles d’affichage. 6 Cliquez sur le bouton Supprimer (–) ou choisissez Serveur > Supprimer. 7 Si vous pensez avoir supprimé un ordinateur par inadvertance, cliquez sur Revenir. Sinon, cliquez sur Enregistrer. 8 Pour supprimer d’autres ordinateurs, répétez les étapes 4 à 6. Vous pouvez supprimer plus d’un ordinateur à la fois en appuyant sur la touche Commande lorsque vous sélectionnez des ordinateurs dans une présentation de réseau. Définition de listes dynamiques pour présentations de réseau gérées Vous pouvez associer des listes dynamiques de ressources réseau à une présentation de réseau. Mac OS X Server génère ces listes de manière dynamique lorsqu’elles sont sélectionnées par un utilisateur, à l’aide de protocoles de détection de services pour lesquels le serveur a été configuré (dans Format de répertoire). F0170.book Page 222 Monday, May 2, 2005 12:37 PMChapitre 10 Gestion des présentations de réseau 223 Ajout de listes dynamiques à des présentations de réseau gérées Vous pouvez automatiser l’affichage de listes de ressources réseau dans une présentation gérée en utilisant des listes dynamiques. Mac OS X et Mac OS X Server peuvent utiliser Open Directory pour détecter les services réseau, tels que les serveurs de fichiers, qui se font connaître via les protocoles de détection de services AppleTalk, SLP ou SMB/CIFS. Vous devez utiliser Format de répertoire sur le serveur hébergeant les présentations de réseau pour activer ou désactiver les différents protocoles de détection de services à utiliser pour fournir des listes dynamiques. Pour ajouter une liste dynamique à une présentation de réseau : 1 Ouvrez le Gestionnaire de groupe de travail, puis cliquez sur Réseau. 2 Cliquez sur le globe au-dessus de la liste Présentations de réseau et choisissez le répertoire de réseau dans lequel la présentation réside. 3 Cliquez sur le cadenas pour vous authentifier en tant qu’administrateur de domaine pour le répertoire. 4 Dans la liste Présentations de réseau, sélectionnez la présentation avec laquelle vous souhaitez travailler. 5 Dans la sous-fenêtre Présentation, cliquez sur le bouton Ajouter (+), puis choisissez Ajouter une liste dynamique. 6 Dans la liste qui apparaît, sélectionnez un emplacement de détection de services. Vous pouvez sélectionner plusieurs emplacements en maintenant la touche Commande enfoncée lorsque vous les sélectionnez. 7 Cliquer sur Ajouter. 8 Cliquer sur Enregistrer. F0170.book Page 223 Monday, May 2, 2005 12:37 PM224 Chapitre 10 Gestion des présentations de réseau Suppression de listes dynamiques de présentations de réseau gérées Lorsque vous supprimez une liste dynamique d’une présentation de réseau gérée, elle est supprimée de la liste de ressources visibles dans la présentation. Pour supprimer une liste dynamique d’une présentation de réseau : 1 Ouvrez le Gestionnaire de groupe de travail, puis cliquez sur Réseau. 2 Cliquez sur le globe au-dessus de la liste Présentations de réseau et choisissez le répertoire de réseau dans lequel la présentation réside. 3 Cliquez sur le cadenas pour vous authentifier en tant qu’administrateur de domaine pour le répertoire. 4 Dans la liste Présentations de réseau, sélectionnez la présentation avec laquelle vous souhaitez travailler. 5 Dans la sous-fenêtre Présentation, sélectionnez la liste dynamique que vous souhaitez supprimer de la présentation. Il se peut que vous deviez afficher le contenu de voisinages à l’aide des triangles d’affichage pour voir la liste. 6 Cliquez sur le bouton Supprimer (–) ou choisissez Serveur > Supprimer. 7 Si vous pensez avoir supprimé une liste par inadvertance, cliquez sur Revenir. Si non, cliquez sur Enregistrer. 8 Pour supprimer d’autres listes dynamiques, répétez les étapes 4 à 7. Vous pouvez supprimer plus d’une liste dynamique à la fois en appuyant sur la touche Commande lorsque vous sélectionnez des ordinateurs dans une présentation de réseau. Définition de l’utilisation des présentations de réseau gérées par des ordinateurs clients Plusieurs techniques sont disponibles pour configurer des ordinateurs afin qu’ils affichent des présentations de réseau gérées et contrôler le comportement des présentations sur les ordinateurs clients. Comment un ordinateur trouve-t-il ses présentations de réseau gérées Lorsqu’un ordinateur Mac OS X démarre, il effectue une recherche dans les répertoires qui se trouvent dans son chemin de recherche. S’il trouve un enregistrement d’ordinateur qui lui est destiné dans un des répertoires et si cet enregistrement est associé à une présentation de réseau gérée, il utilise cette présentation et arrête la recherche. F0170.book Page 224 Monday, May 2, 2005 12:37 PMChapitre 10 Gestion des présentations de réseau 225 Si l’ordinateur ne trouve pas d’enregistrement d’ordinateur associé à une présentation de réseau, il recherche dans les répertoires qui se trouvent dans son chemin de recherche, une présentation de réseau dont le nom répond à l’un des critères suivants (dans l’ordre indiqué) : • l’adresse Ethernet de l’ordinateur ; • l’adresse IP de l’ordinateur ; • la chaîne de sous-réseau de l’ordinateur. S’il trouve une présentation de réseau répondant à l’un de ces critères, l’ordinateur utilise cette présentation et arrête la recherche. S’il n’a toujours pas trouvé de présentation de réseau à ce stade, l’ordinateur cherche alors dans les répertoires qui se trouvent dans son chemin de recherche une présentation par défaut. La première présentation par défaut trouvée est utilisée. Après avoir exploré tous ses chemins de recherche, l’ordinateur client effectue sa recherche dans tous les répertoires auxquels il est autorisé à accéder, aussi bien dans son chemin de recherche qu’en dehors de ce dernier. Pour chaque répertoire, s’il trouve une présentation de réseau publique, il l’affiche dans un dossier portant le nom du serveur hébergeant le répertoire. S’il ne trouve pas de présentation publique mais bien une présentation par défaut, cette dernière est affichée dans un dossier nommé. Activation de la visibilité des présentations de réseau gérées Utilisez l’une des techniques suivantes pour rendre une présentation de réseau nommée visible sur un ordinateur client : • nommez la présentation à l’aide d’un identifiant de sous-réseau comprenant l’ordinateur ; • nommez la présentation d’après l’adresse Ethernet ou l’adresse IP de l’ordinateur ; • nommez la présentation autrement et identifiez-la dans un enregistrement d’ordinateur pour l’ordinateur. Assurez-vous ensuite que le chemin de recherche de l’ordinateur est configuré pour accéder au répertoire dans lequel la présentation est stockée. Les présentations publiques et par défaut sont accessibles sur tout ordinateur client qui est configuré pour accéder aux répertoires dans lesquels elles sont stockées. Pour identifier une présentation de réseau gérée dans un enregistrement d’ordinateur : 1 Ouvrez le Gestionnaire de groupe de travail, puis cliquez sur Réseau. 2 Cliquez sur le globe au-dessus de la liste Présentations de réseau et choisissez le répertoire de réseau dans lequel la présentation réside. 3 Cliquez sur le cadenas pour vous authentifier en tant qu’administrateur de domaine pour le répertoire. F0170.book Page 225 Monday, May 2, 2005 12:37 PM226 Chapitre 10 Gestion des présentations de réseau 4 Dans la liste Présentations de réseau, sélectionnez la présentation souhaitée, puis cliquez sur Réglages. 5 Pour affecter la présentation à un ordinateur pour lequel il existe déjà un enregistrement d’ordinateur dans le répertoire actuel, allez à l’étape 6. Pour affecter la présentation à un ordinateur pour lequel il n’existe pas d’enregistrement d’ordinateur dans le répertoire actuel, allez à l’étape 7. Pour naviguer à la recherche d’un ordinateur, qu’il dispose ou non d’un enregistrement d’ordinateur, allez à l’étape 8. 6 Pour affecter la présentation à un ordinateur qui possède un enregistrement d’ordinateur, cliquez sur le bouton Ajouter (+), puis sélectionnez Afficher les ordinateurs. Faites glisser un ordinateur depuis le tiroir qui est affiché dans la sous-fenêtre Réglages. 7 Pour affecter la présentation à un ordinateur dans un nouvel enregistrement d’ordinateur, cliquez sur le bouton Ajouter (+), puis sélectionnez Nouvel ordinateur. Dans la zone de dialogue qui apparaît, saisissez des informations dans deux champs. Dans le champ Nom, tapez le nom que vous souhaitez utiliser pour identifier l’ordinateur. Dans le champ ID Ethernet, tapez l’adresse Ethernet de l’ordinateur. 8 Vous pouvez cliquez sur le bouton Parcourir pour rechercher un ordinateur auquel vous souhaitez affecter la présentation. Le serveur recherche les ordinateurs qui possèdent le type de service “station de travail”. Il s’agit d’ordinateurs qui sont généralement affichés dans /Network/My Network. Si l’ordinateur que vous sélectionnez dispose d’un enregistrement d’ordinateur, un avertissement apparaît et l’ordinateur n’est pas ajouté à la liste des réglages. Pour ajouter l’ordinateur, utilisez l’étape 6. Si l’ordinateur que vous sélectionnez ne dispose pas d’un enregistrement d’ordinateur, un enregistrement d’ordinateur est créé et l’ordinateur est ajouté à la liste. 9 Cliquer sur Enregistrer. Désactivation de la visibilité des présentations de réseau gérées Si vous ne souhaitez plus qu’un ordinateur utilise un certaine présentation de réseau, vous pouvez : • désactiver la présentation ; • supprimer la présentation ; • dissocier la présentation de l’enregistrement d’ordinateur correspondant ; • changer la présentation associée à l’enregistrement d’ordinateur. F0170.book Page 226 Monday, May 2, 2005 12:37 PMChapitre 10 Gestion des présentations de réseau 227 Si vous avez nommé une présentation d’après un identifiant de sous-réseau et que vous ne souhaitez plus afficher la présentation sur l’un des ordinateurs du sous-réseau, affectez une autre présentation à un enregistrement d’ordinateur de cet ordinateur. Cette autre présentation peut être une autre présentation nommée ou une présentation par défaut. Pour désactiver la visibilité d’une présentation de réseau : 1 Ouvrez le Gestionnaire de groupe de travail, puis cliquez sur Réseau. 2 Cliquez sur le globe au-dessus de la liste Présentations de réseau et choisissez le répertoire de réseau dans lequel la présentation réside. 3 Cliquez sur le cadenas pour vous authentifier en tant qu’administrateur de domaine pour le répertoire. 4 Dans la liste Présentations de réseau, sélectionnez la présentation. 5 Pour désactiver la présentation, allez à l’étape 6. Pour supprimer la présentation, allez à l’étape 7. Pour dissocier la présentation d’un enregistrement d’ordinateur, allez à l’étape 8. Pour changer la présentation affectée à un enregistrement d’ordinateur, allez à l’étape 9. 6 Pour désactiver la présentation, utilisez la sous-fenêtre Présentation. Désélectionnez la case Activé, puis cliquez sur Enregistrer. Aucun des ordinateurs configurés pour utiliser la présentation ne pourra voir la présentation. 7 Pour supprimer la présentation de réseau, choisissez Serveur > Supprimer. 8 Pour supprimer la présentation d’un enregistrement d’ordinateur, utilisez la sous-fenêtre Réglages. Sélectionnez dans la liste l’ordinateur (ou les ordinateurs) dont vous souhaitez désactiver la visibilité de la présentation. Cliquez ensuite sur le bouton Supprimer (–), puis sur le bouton Enregistrer. 9 Pour remplacer la présentation affectée à un enregistrement d’ordinateur par une autre présentation située dans le même répertoire, utilisez la sous-fenêtre Réglages. Sélectionnez l’ordinateur dans la liste, puis cliquez sur le bouton Modifier. Sélectionnez la nouvelle présentation dans la liste déroulante Présentation de réseau, puis cliquez sur Enregistrer. Pour affecter une présentation provenant d’un autre répertoire, cliquez sur le globe audessus de la liste Présentations de réseau pour choisir le répertoire et vous authentifier en tant qu’administrateur de domaine pour le répertoire. Sélectionnez la présentation, puis utilisez la sous-fenêtre Réglages pour associer un enregistrement d’ordinateur de l’ordinateur à la présentation de réseau. F0170.book Page 227 Monday, May 2, 2005 12:37 PM228 Chapitre 10 Gestion des présentations de réseau Définition de la fréquence de rafraîchissement d’une présentation de réseau gérée Vous pouvez actualiser l’affichage d’une présentation de réseau selon une fréquence définie en minutes, heures ou jours. Pour définir la fréquence de rafraîchissement d’une présentation : 1 Ouvrez le Gestionnaire de groupe de travail, puis cliquez sur Réseau. 2 Cliquez sur le globe au-dessus de la liste Présentations de réseau et choisissez le répertoire de réseau dans lequel la présentation réside. 3 Cliquez sur le cadenas pour vous authentifier en tant qu’administrateur de domaine pour le répertoire. 4 Dans la liste Présentations de réseau, sélectionnez la présentation. 5 Dans la sous-fenêtre Réglages, indiquez l’intervalle de rafraîchissement que vous souhaitez appliquer à la présentation. 6 Cliquer sur Enregistrer. Définition du comportement du Finder avec des présentations de réseau gérées Vous pouvez afficher une présentation de réseau gérée dans le Finder d’un ordinateur client soit pour remplacer la liste des ressources réseau du Finder, soit en complément de cette dernière. Pour définir le comportement d’affichage des présentations de réseau gérées dans le Finder : 1 Ouvrez le Gestionnaire de groupe de travail, puis cliquez sur Réseau. 2 Cliquez sur le globe au-dessus de la liste Présentations de réseau et choisissez le répertoire de réseau dans lequel la présentation réside. 3 Cliquez sur le cadenas pour vous authentifier en tant qu’administrateur de domaine pour le répertoire. 4 Dans la liste Présentations de réseau, sélectionnez la présentation. 5 Dans la sous-fenêtre Réglages, sélectionnez “ajouter à la présentation de réseau” pour garder l’affichage par défaut des ressources réseau dans le Finder. Sélectionnez “remplacer la présentation de réseau” pour n’afficher que la présentation de réseau gérée dans le Finder. 6 Cliquer sur Enregistrer. F0170.book Page 228 Monday, May 2, 2005 12:37 PM11 229 11 Résolution des problèmes Ce chapitre peut vous apporter des solutions aux éventuels problèmes lors de l’utilisation du Gestionnaire de groupe de travail. Aide en ligne et site Web d’assistance et de service Apple Si vous ne trouvez pas la réponse à une question dans ces lignes, reportez-vous à l’aide en ligne de Mac OS X Server. Vous pouvez également consulter le site Web d’assistance et de service Apple pour y rechercher des informations et des solutions : docs.info.apple.com/article.html?artnum=75178 Résolution des problèmes liés aux comptes En cas de problèmes relatifs à l’administration de comptes d’utilisateur et de groupe, suivez les suggestions figurant dans cette section. Vous ne parvenez pas à modifier un compte à l’aide du Gestionnaire de groupe de travail Pour pouvoir modifier un compte à l’aide du Gestionnaire de groupe de travail : • Le domaine de répertoire doit être un répertoire LDAP d’un maître Open Directory, d’un domaine NetInfo ou de tout autre domaine de répertoire en lecture/écriture. Seuls ces derniers peuvent être mis à jour à l’aide du Gestionnaire de groupe de travail. • Vous devez être authentifié en tant qu’administrateur du domaine de répertoires. Pour vous authentifier, cliquez sur le cadenas (vers le bas de la fenêtre du Gestionnaire de groupe de travail). F0170.book Page 229 Monday, May 2, 2005 12:37 PM230 Chapitre 11 Résolution des problèmes Vous ne voyez pas certains utilisateurs dans la fenêtre de connexion Lorsque vous procédez à la mise à jour avec Mac OS X 10.4 et à la migration des utilisateurs existants vers un répertoire partagé sur le nouveau serveur, il se peut que certains utilisateurs n’apparaissent pas dans la fenêtre d’ouverture de connexion. Cette fenêtre n’affiche pas les utilisateurs qui possèdent un identifiant d’utilisateur inférieur à 500, mais ces derniers peuvent tout de même ouvrir une session en fournissant leur nom et leur mot de passe. Pour configurer la fenêtre d’ouverture de session d’un ordinateur Mac OS X afin d’afficher les utilisateurs réseau : 1 Configurez un répertoire partagé sur Mac OS X Server. 2 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 3 Sélectionnez une liste d’ordinateurs qui résident dans le répertoire partagé. 4 Sélectionnez “Définir ici les préférences de l’ordinateur hôte”, puis cliquez sur Enregistrer. 5 Cliquez sur Préférences, Ouvrir une session, puis sur Fenêtre d’ouverture de session. 6 Sélectionnez “Liste des utilisateurs de cet ordinateur” et “Afficher les utilisateurs du réseau”. Cliquez sur Appliquer. 7 Configurez un ordinateur Mac OS X 10.4 associé à la liste d’ordinateurs pour qu’il utilise le répertoire partagé. Vous ne parvenez pas à déverrouiller un répertoire LDAP Pour apporter des modifications à un domaine de répertoires quelconque, vous devez vous authentifier à l’aide du nom et du mot de passe d’un administrateur de ce répertoire. Par conséquent, pour modifier une entrée dans un répertoire LDAPv3 partagé, vous devez vous authentifier dans le Gestionnaire de groupe de travail à l’aide du nom et du mot de passe d’un compte d’administrateur de ce répertoire LDAPv3. (Vous ne pouvez pas utiliser un compte d’administrateur situé dans /Netinfo/root, le répertoire local de l’ordinateur, pour vous authentifier en tant qu’administrateur d’un répertoire LDAP partagé). F0170.book Page 230 Monday, May 2, 2005 12:37 PMChapitre 11 Résolution des problèmes 231 Vous ne pouvez pas modifier le mot de passe Open Directory d’un utilisateur Pour modifier le mot de passe d’un utilisateur dont le type de mot de passe est Open Directory, vous devez être un administrateur du domaine de répertoire dans lequel l’enregistrement de l’utilisateur réside. De plus, votre compte d’utilisateur doit posséder un mot de passe de type Open Directory. Le compte d’utilisateur spécifié lors de la configuration du maître Open Directory (à l’aide d’Assistant du serveur ou des réglages de services Open Directory dans Admin Serveur) possède un mot de passe Open Directory. Ce compte peut être utilisé pour configurer d’autres comptes d’utilisateur en tant qu’administrateur de domaine de répertoire avec des mots de passe Open Directory. Vous ne pouvez pas changer le type de mot de passe d’un utilisateur en Open Directory Pour changer le mot de passe d’un utilisateur en authentification Open Directory, vous devez être un administrateur du domaine de répertoire dans lequel l’enregistrement de l’utilisateur réside. De plus, votre compte d’utilisateur doit être configuré pour une authentification Open Directory. Le compte d’utilisateur spécifié lors de la configuration du maître Open Directory (à l’aide d’Assistant du serveur ou des réglages de services Open Directory dans Admin Serveur) possède un mot de passe Open Directory. Ce compte peut être utilisé pour configurer d’autres comptes d’utilisateur en tant qu’administrateur de domaine de répertoire avec des mots de passe Open Directory. Vous ne parvenez pas à attribuer des autorisations d’administrateur de serveur Pour affecter des autorisations d’administrateur de serveur à un utilisateur, commencez par vous connecter au serveur concerné dans le Gestionnaire de groupe de travail. Sélectionnez le compte d’utilisateur (ou créez un nouveau compte pour l’utilisateur) dans un domaine de répertoires sur ce serveur, puis sélectionnez “L’utilisateur peut administrer le serveur” dans la sous-fenêtre Élémentaire. F0170.book Page 231 Monday, May 2, 2005 12:37 PM232 Chapitre 11 Résolution des problèmes Les utilisateurs ne parviennent pas à se connecter ni à être authentifiés Testez les techniques suivantes pour déterminer si l’origine du problème d’authentification se situe au niveau de la configuration ou du mot de passe lui-même : • Réinitialisez le mot de passe sur une valeur connue, puis déterminez si le problème persiste. Essayez d’utiliser un mot de passe ASCII sur 7 bits, supporté par la plupart des clients. • Assurez-vous que les caractères contenus dans le mot de passe sont supportés par le protocole d’authentification. Les espaces en début, en milieu et en fin de chaîne, ainsi que les caractères spéciaux (par exemple, option + 8) ne sont pas supportés par tous les protocoles. Par exemple, les espaces en début de chaîne fonctionnent avec POP ou AFP, mais pas avec IMAP. • Assurez-vous que le clavier utilisé par l’utilisateur peut générer tous les caractères qui figurent dans son mot de passe. • L’authentification élémentaire ne gère pas beaucoup de méthodes d’authentification. Pour augmenter la probabilité de prise en charge des applications clientes d’un utilisateur, réglez le type de mot de passe de l’utilisateur sur Open Directory ou suggérez à l’utilisateur d’essayer une autre application. • Si le compte de l’utilisateur réside dans un domaine de répertoires qui n’est pas disponible, vous pouvez créer un compte d’utilisateur dans un domaine de répertoires disponible. • Vérifiez que le logiciel client code le mot de passe afin d’être correctement reconnu. Par exemple, Open Directory reconnaît des chaînes codées UTF-8 pouvant ne pas être envoyées par certains clients. • Assurez-vous que l’application et le système d’exploitation utilisés par l’utilisateur gèrent bien la longueur du mot de passe de l’utilisateur. Les applications Windows qui utilisent la méthode d’authentification Gestionnaire LAN, par exemple, ne gère que les mots de passe de 14 caractères, un mot de passe plus long, même géré par le service Windows de Mac OS X Server, entraînant alors un échec de l’authentification. • Si vous désactivez des méthodes d’authentification du serveur de mots de passe Open Directory, telles que APOP ou CRAM-MD5, les applications de l’utilisateur ne pourront plus s’authentifier à l’aide des méthodes désactivées. Le guide d’administration d’Open Directory explique comment désactiver et activer des méthodes d’authentification à l’aide d’un outil de ligne de commande. Après avoir activé ou désactivé des méthodes d’authentification du serveur de mots de passe Open Directory, il se peut que vous deviez réinitialiser le mot de passe de l’utilisateur. • Pour connaître des astuces permettant de résoudre les problèmes liés à Kerberos, consultez la section “Les utilisateurs ne peuvent pas s’authentifier à l’aide de la signature unique ou de Kerberos” à la page 234. F0170.book Page 232 Monday, May 2, 2005 12:37 PMChapitre 11 Résolution des problèmes 233 • Si un ordinateur Mac OS 8.1 à 8.6 ne parvient pas à s’authentifier pour le service de fichiers Apple, il se peut que le logiciel AppleShare Client de l’ordinateur nécessite une mise à niveau. • Les ordinateurs Mac OS 8.6 doivent utiliser la version 3.8.8 d’AppleShare Client. • Les clients Mac OS 8.1 à 8.5 doivent utiliser la version 3.8.6 d’AppleShare Client. • Les ordinateurs clients Mac OS 8.1 à 8.6 pour lesquels des volumes du serveur de fichiers sont automatiquement montés au démarrage doivent utiliser la version 3.8.3 d’AppleShare Client avec le module DHX UAM (User Authentication Module). Le module DHX UAM est livré avec le logiciel d’installation AppleShare Client 3.8.3. Les utilisateurs dépendant d’un Serveur de mots de passe ne parviennent pas à se connecter Si votre réseau contient un serveur sous Mac OS X Server 10.2, il peut être configuré pour obtenir l’authentification d’un serveur de mots de passe Open Directory hébergé par un autre serveur. Si l’ordinateur du Serveur de mots de passe est déconnecté du réseau, par exemple parce que vous avez débranché la câble du port Ethernet de l’ordinateur, les utilisateurs dont les mots de passe sont validés à l’aide du Serveur de mots de passe ne peuvent pas se connecter parce que son adresse IP n’est pas accessible. Les utilisateurs peuvent se connecter à Mac OS X Server si vous rebranchez l’ordinateur du Serveur de mots de passe au réseau. Pendant que l’ordinateur du serveur de mots de passe est hors ligne, les utilisateurs peuvent se connecter avec des comptes d’utilisateur dont le type de mot de passe est un mot de passe crypté ou un mot de passe Shadow. Les utilisateurs ne peuvent pas se connecter à l’aide de comptes dans un domaine de répertoire partagé Les utilisateurs ne peuvent pas se connecter à l’aide de comptes dans un domaine de répertoire partagé si le serveur hébergeant le répertoire n’est pas accessible. Un serveur peut devenir inaccessible à cause d’un problème lié au réseau, au logiciel de serveur ou au matériel du serveur. Les problèmes liés au matériel ou au logiciel du serveur affectent les utilisateurs qui tentent de se connecter à des ordinateurs Mac OS X et les utilisateurs qui tentent de se connecter au domaine Windows d’un PDC Mac OS X Server. Les problèmes liés au réseau peuvent affecter certains utilisateurs et pas d’autres, en fonction de là où se situe le problème lié au réseau. Les utilisateurs qui disposent de comptes d’utilisateur mobiles peuvent toujours se connecter aux ordinateurs Mac OS X qu’ils utilisaient précédemment. Et les utilisateurs affectés par ces problèmes peuvent se connecter à l’aide d’un compte d’utilisateur local défini sur l’ordinateur, comme, par exemple, le compte d’utilisateur créé pendant la configuration initiale, après l’installation de Mac OS X. F0170.book Page 233 Monday, May 2, 2005 12:37 PM234 Chapitre 11 Résolution des problèmes Les utilisateurs ne peuvent pas accéder à leur répertoire de départ Vérifiez que les utilisateurs ont accès aussi bien au point de partage où sont situés leurs répertoires de départ qu’aux répertoires proprement dits. Les utilisateurs ont besoin d’un accès en lecture pour le point de partage et d’un accès en lecture et en écriture pour leurs répertoires d’accueil. Certains utilisateurs ne peuvent pas changer leur mot de passe Les utilisateurs qui disposent de comptes dans le répertoire LDAP du serveur et qui ont un mot de passe de type “Mot de passe crypté” ne peuvent pas changer leur mot de passe après s’être connecté à partir d’un ordinateur client sous Mac OS X 10.3. Ces utilisateurs peuvent changer leur mot de passe si vous utilisez la sous-fenêtre Avancé de Gestionnaire de groupe de travail pour changer le réglage Type du mot de passe de leur compte en Open Directory. Lorsque vous apportez cette modification, vous devez aussi saisir un nouveau mot de passe. Expliquez ensuite aux utilisateurs qu’ils doivent se connecter à l’aide de ce nouveau mot de passe et le changer dans la sous-fenêtre Comptes des Préférences Système. Un utilisateur Mac OS X d’un domaine NetInfo partagé ne parvient pas à se connecter Ce problème survient lorsqu’un utilisateur tente de se connecter sur un ordinateur Mac OS X via un compte de domaine NetInfo partagé, alors que le serveur hébergeant ce domaine n’est pas accessible. L’utilisateur peut se connecter à l’ordinateur Mac OS X en utilisant le compte d’utilisateur local créé automatiquement lors de la configuration de l’ordinateur en vue d’utiliser un compte NetInfo. Le nom d’utilisateur “Administrateur” est proposé par défaut (ainsi que le nom abrégé “admin”), bien que vous puissiez modifier ces deux noms lorsque l’identifiant d’utilisateur et le mot de passe sont créés au moment de la création du compte. Les utilisateurs ne peuvent pas s’authentifier à l’aide de la signature unique ou de Kerberos En cas d’échec de l’authentification d’un utilisateur ou d’un service utilisant Kerberos, essayez les solutions suivantes : • L’authentification Kerberos est basée sur des horodatages cryptés. S’il existe un écart de plus de 5 minutes entre le centre de distribution de clés, l’ordinateur client et l’ordinateur du service, l’authentification peut échouer. Assurez-vous que les horloges de tous les ordinateurs sont synchronisées à l’aide du service Network Time Protocol (NTP) de Mac OS X Server ou de tout autre serveur horloge de réseau. Pour obtenir des informations sur le service NTP de Mac OS X, consultez le network services administration guide. • Assurez-vous que l’authentification Kerberos est activée pour le service en question. F0170.book Page 234 Monday, May 2, 2005 12:37 PMChapitre 11 Résolution des problèmes 235 • Si un serveur Kerberos servant à la validation de mot de passe est indisponible, réinitialisez le mot de passe de l’utilisateur afin de recourir à un serveur disponible. • Assurez-vous que le serveur fournissant le service Kerberos dispose bien d’un accès direct aux domaines de répertoires contenant les comptes des utilisateurs authentifiés via Kerberos. Les services AFP, de courrier ainsi que d’autres services kerbérisés de Nomdeproduit ont toujours accès aux comptes d’utilisateur qui se trouvent dans le domaine de répertoires local et dans tout domaine de répertoires LDAP éventuel du serveur. Pour obtenir des informations sur la configuration de l’accès à des domaines de répertoire sur d’autres serveurs, consultez le guide d’administration d’Open Directory. • Pour obtenir des informations susceptibles de aider à résoudre certains problèmes, consultez l’historique du centre de distribution de clés (kdc.log). Des informations de configuration incorrectes, comme des noms de fichiers de configuration incorrects, peuvent être détectées à l’aide de ces historiques. • Si des utilisateurs ne peuvent pas s’authentifier à l’aide de la signature unique ou de Kerberos pour des services fournis par un serveur connecté à un domaine Kerberos d’un maître Open Directory, l’enregistrement d’ordinateur du serveur est peut-être mal configuré dans le répertoire LDAP du maître Open Directory. En particulier, le nom du serveur qui figure dans la liste d’ordinateurs doit correspondre au nom DNS complet du serveur et pas simplement au nom d’hôte du serveur. Par exemple, le nom pourrait être serveur2.exemple.com, mais pas juste serveur2. Pour reconfigurer un enregistrement d’ordinateur d’un serveur pour la signature unique et pour l’authentification Kerberos : 1 Supprimez le serveur de la liste d’ordinateurs du répertoire LDAP. 2 Ajoutez à nouveau le serveur à la liste d’ordinateurs. 3 Déléguez à nouveau l’autorité pour connecter le serveur au domaine Kerberos du maître Open Directory. 4 Liez à nouveau le serveur au maître Open Directory pour la signature unique et pour l’authentification Kerberos. Pour des instructions détaillées, consultez la section “Ajout d’ordinateurs à une liste d’ordinateurs existante” à la page 119, “Suppression d’ordinateurs d’une liste d’ordinateurs” à la page 121 et le guide d’administration d’Open Directory. Résolution des problèmes de gestion des préférences Cette section décrit certains des problèmes que vous pouvez rencontrer en utilisant le Gestionnaire de groupe de travail pour configurer des comptes ou gérer des clients Mac OS X. Elle fournit également des conseils de dépannage et des solutions possibles. Si le problème que vous rencontrez ne trouve pas de solution ici, reportez-vous aux rubriques de l’aide en ligne du Gestionnaire de groupe de travail ou consultez le site Web d’assistance et de service Apple (www.apple.com/fr/support/). F0170.book Page 235 Monday, May 2, 2005 12:37 PM236 Chapitre 11 Résolution des problèmes Vous ne parvenez pas à appliquer les réglages Web par défaut Si vous gérez des préférences Internet à l’aide du Gestionnaire de groupe de travail et configurez un navigateur Web par défaut, une page d’accueil ou de recherche par défaut ou un emplacement spécifique destiné à conserver les fichiers téléchargés, certaines applications risquent de ne pas accepter ces réglages. Vous devrez peut-être configurer une page d’accueil par défaut en utilisant plutôt les réglages de préférences de l’application. Vous ne parvenez pas à appliquer les réglages de courrier par défaut Si vous gérez des préférences Internet à l’aide du Gestionnaire de groupe de travail et configurez un lecteur de messages, une adresse de courrier ou des serveurs de courrier par défaut, certaines applications risquent de ne pas accepter ces réglages. Il vous faudra peut-être utiliser les préférences de l’application de messagerie de l’ordinateur client. Les utilisateurs ne voient pas de liste de groupes de travail lors de la connexion Si l’utilisateur d’un compte réseau ne voit pas une liste de groupes de travail lorsqu’il se connecte : • Il se peut que cet utilisateur appartienne à un ou aucun groupe. Maintenez la touche Option enfoncée pendant la connexion pour afficher la liste des groupes de travail. • Il se peut que l’ordinateur de l’utilisateur n’appartienne à aucune liste d’ordinateurs. Ajoutez-le à une liste d’ordinateurs ou à la liste Ordinateurs hôtes. Si l’utilisateur d’un compte local ne voit pas une liste de groupes de travail lorsqu’il se connecte : • L’ordinateur de cet utilisateur n’est peut-être associé à aucun groupe de travail. Affectez un ou plusieurs groupes à la liste d’ordinateurs (ou à la liste Ordinateurs hôtes) dont fait partie l’ordinateur. • Il se peut que l’ordinateur de l’utilisateur n’appartienne à aucune liste d’ordinateurs. Ajoutez-le à une liste d’ordinateurs ou à la liste Ordinateurs hôtes. Les utilisateurs ne parviennent pas à ouvrir des fichiers Généralement, lorsque les utilisateurs double-cliquent sur un fichier dans le Finder ou sélectionnent un fichier à ouvrir à l’aide du menu Fichier du Finder, une application par défaut appropriée ouvre le fichier. Si les utilisateurs travaillent dans un environnement géré, cette méthode peut ne pas fonctionner. Supposons par exemple que l’application Aperçu soit désignée par défaut pour lire les fichiers PDF. Un utilisateur se connecte, puis double-clique sur un fichier PDF qui se trouve sur son bureau. Si les réglages de gestion appliqués à cet utilisateur ne prévoient pas l’accès à Aperçu, le fichier ne pourra pas être ouvert de cette manière. Si l’utilisateur est autorisé à accéder à une autre application capable de lire les fichiers PDF, il pourra lancer cette application afin d’ouvrir le fichier. F0170.book Page 236 Monday, May 2, 2005 12:37 PMChapitre 11 Résolution des problèmes 237 Pour vous assurer que les applications les plus utilisées sont accessibles aux utilisateurs, groupes ou listes d’ordinateurs, utilisez le Gestionnaire de groupe de travail pour ajouter l’application à la liste de la sous-fenêtre Applications des préférences. Les utilisateurs ne parviennent pas à ajouter des imprimantes à la liste d’imprimantes Les utilisateurs peuvent ajouter des imprimantes à la liste d’imprimantes de Configuration d’imprimante si vous sélectionnez Toujours comme option de gestion pour les préférences d’imprimante, puis choisissez Autoriser l’utilisateur à ajouter des imprimantes à la liste. Toutefois, si l’utilisateur tente d’imprimer un document à partir d’une application, il ne verra pas les imprimantes qu’il a ajoutées dans la liste des imprimantes disponibles. Le Gestionnaire de groupe de travail permet aux administrateurs d’interdire l’accès à des imprimantes ou de mettre un nombre quelconque d’imprimantes à la disposition d’utilisateurs, de groupes ou de listes d’ordinateurs spécifiques à l’aide de la sousfenêtre Liste d’imprimantes des préférences Imprimante. Remarque : si l’option Autoriser l’utilisateur à ajouter des imprimantes à la liste n’est pas sélectionnée, un mot de passe d’administrateur est nécessaire pour ajouter ou retirer des imprimantes de Configuration d’imprimante. Les éléments d’ouverture ajoutés par un utilisateur ne s’ouvrent pas Le Gestionnaire de groupe de travail vous permet d’utiliser des réglages d’éléments d’ouverture pour spécifier les éléments qui seront ouverts automatiquement lors de la connexion d’un utilisateur. L’ensemble des éléments qui s’ouvrent à la connexion dépend de ceux spécifiés par l’utilisateur, de l’ordinateur utilisé et du groupe choisi lors de la connexion. Un utilisateur peut ajouter des éléments d’ouverture supplémentaires s’il en a reçu l’autorisation. Toutefois, si vous sélectionnez Une fois comme option de gestion pour les éléments d’ouverture, tout élément ajouté par l’utilisateur sera supprimé à sa prochaine connexion. L’utilisateur pourra par la suite ajouter d’autres éléments d’ouverture s’il est autorisé à le faire. F0170.book Page 237 Monday, May 2, 2005 12:37 PM238 Chapitre 11 Résolution des problèmes Les éléments du Dock placés par un utilisateur sont manquants Le Gestionnaire de groupe de travail vous permet d’utiliser des réglages d’éléments du Dock pour spécifier les éléments qui apparaissent dans le Dock d’un utilisateur. L’ensemble des éléments du Dock d’un utilisateur dépend des éléments spécifiés par l’utilisateur, de l’ordinateur utilisé et du groupe choisi lors de la connexion. Un utilisateur peut ajouter des éléments supplémentaires à son Dock s’il en a reçu l’autorisation. Toutefois, si vous sélectionnez Une fois comme option de gestion pour les éléments du Dock, tout élément ajouté par l’utilisateur sera supprimé lors de sa prochaine connexion. L’utilisateur pourra par la suite placer des éléments supplémentaires dans le Dock s’il est autorisé à le faire. Le Dock d’un utilisateur comporte des éléments en double Lorsque vous utilisez le Gestionnaire de groupe de travail pour configurer les mêmes préférences d’élément de Dock pour plusieurs types de compte (utilisateur, groupe ou ordinateur), il se peut que le Dock d’un utilisateur géré contienne des éléments en double. Il peut arriver, par exemple, qu’une icône d’application soit affichée plusieurs fois dans le Dock de l’utilisateur. Cela n’a pas d’incidence sur les éléments du Dock ; tous fonctionnent parfaitement. Vous pouvez corriger ce problème en supprimant les réglages d’élément de Dock de tous les comptes affectés, puis en les redéfinissant. Un point d’interrogation apparaît dans le Dock des utilisateurs Vous pouvez utiliser le Gestionnaire de groupe de travail pour contrôler les éléments qu’un utilisateur peut voir dans son Dock. Les éléments du Dock sont en fait des alias qui renvoient à des éléments originaux stockés ailleurs, comme sur le disque dur ou sur un serveur distant par exemple. Si les éléments d’origine sont situés sur un serveur distant et que l’utilisateur n’est pas connecté à ce serveur, les éléments correspondants du Dock apparaîtront sous forme de points d’interrogation. L’utilisateur peut cliquer sur un point d’interrogation pour se reconnecter à un serveur (le serveur invitera éventuellement l’utilisateur à saisir un mot de passe). Une fois l’utilisateur connecté au serveur contenant les éléments orignaux, les icônes de son Dock retrouvent leur aspect normal et il est possible de cliquer dessus pour ouvrir l’élément correspondant. F0170.book Page 238 Monday, May 2, 2005 12:37 PMChapitre 11 Résolution des problèmes 239 Un message d’erreur inattendue est affiché à l’intention des utilisateurs Si vous gérez les préférences Classic et que vous essayez d’utiliser les tableaux de bord des applications Gestionnaire d’extensions, Partage de fichiers et Mise à jour de logiciels, il se peut qu’un message du type L’opération n’a pu être effectuée en raison d’un erreur inopinée (code d’erreur 1016) soit affiché. Ce message indique qu’un administrateur a restreint l’accès à l’élément auquel l’utilisateur tente d’accéder, en interdisant par exemple l’ouverture d’une application spécifique par cet utilisateur. Les utilisateurs ne sont pas autorisés à accéder aux tableaux de bord mentionnés cidessus lorsque les préférences Classic sont gérées. Ce type de message peut également être envoyé aux utilisateurs si vous avez choisi Masquer le Sélecteur et l’Explorateur réseau et qu’ils essaient d’utiliser le Sélecteur. Le message apparaît également si un utilisateur tente d’ouvrir une application non approuvée (ne figurant pas dans le panneau Éléments des préférences Applications du Gestionnaire de groupe de travail) soit sous l’environnement Classic, soit sous Mac OS X. F0170.book Page 239 Monday, May 2, 2005 12:37 PMF0170.book Page 240 Monday, May 2, 2005 12:37 PM 241 A Annexe A Importation et exportation d’informations de compte L’annexe A fournit des instructions pour l’importation et l’exportation d’informations de compte. Plusieurs outils, comme le Gestionnaire de groupe de travail et dsimport, sont disponibles pour exporter et importer des comptes. Quels sont les éléments que l’on peut exporter et importer Mac OS X Server contient des fonctionnalités d’exportation intégrées à Gestionnaire de groupe de travail. L’exportation est désormais un processus en deux étapes effectué à partir de l’une ou l’autre des trois sous-fenêtres Comptes de Gestionnaire de groupe de travail : Utilisateurs, Groupes et Listes d’ordinateurs. Il est possible d’exporter toute information que vous pouvez mettre en surbrillance dans les Comptes de Gestionnaire de groupe de travail en sélectionnant simplement Serveur > Exporter. Cela vaut pour un ou plusieurs utilisateurs dans la sous-fenêtre Utilisateurs, un ou plusieurs groupes dans la sous-fenêtre Groupes ou un ou plusieurs ordinateurs ou listes dans la sousfenêtre Listes d’ordinateurs des Comptes de Gestionnaire de groupe de travail. Le guide d’administration d’Open Directory répertorie de nombreux types d’enregistrements et leurs attributs les plus connus et décrit comment afficher et modifier les attributs autorisés pour chaque type d’enregistrement dans un répertoire LDAP particulier. F0170.book Page 241 Monday, May 2, 2005 12:37 PM242 Annexe A Importation et exportation d’informations de compte Vous pouvez importer tous les types d’enregistrements répertoriés dans Gestionnaire de groupe de travail, y compris mais sans s’y limiter, les types d’enregistrements suivants : utilisateurs, groupes, listes d’ordinateurs, ordinateurs, etc. À partir de Mac OS X 10.4, vous pouvez même importer des attributs partiels d’enregistrements individuels, tels que les attributs UserName, UserData, FirstName, MiddleName, LastName, AllNames, ENetAddress, NetDomains, NetGroups, HostServices, People, Locations, SharePoints, etc. Vous pouvez même combiner des attributs provenant de différents enregistrements pour importer tout ensemble d’informations que vous pouvez générer manuellement. Vous pouvez utiliser l’outil dsimport pour importer un nombre quelconque d’enregistrements à partir d’un fichier de texte avec séparateurs utilisant n’importe quels attributs définis dans le fichier suivant : /System/Library/Frameworks/DirectoryService.framework/Headers/DirServicesConst.h Le seul attribut obligatoire dans un enregistrement est le nom de l’enregistrement. Remarque : vous devrez redéfinir le mot de passe des comptes d’utilisateur dont le type de mot de passe est Open Directory. L’importation de mots de passe ne fonctionne généralement que si le mot de passe est stocké sous la forme d’une chaîne de texte dans le fichier d’importation, car le format de mot de passe stocké dans les fichiers de mot de passe standard ne peut pas être récupéré à partir de la forme cryptée dans laquelle il est enregistré. Le guide d’administration d’Open Directory décrit comment les attributs de compte d’utilisateur et de groupe que vous pouvez importer varient en fonction du type de fichier d’importation, comme par exemple : • Fichiers XML créés avec Mac OS X Server version 10.1 ou antérieures • Fichiers XML créés avec AppleShare IP 6.3 • Fichiers délimités par des caractères Vous ne pouvez pas utiliser de fichier d’importation pour modifier les utilisateurs prédéfinis suivants : daemon, root, nobody, unknown ou www, ni pour modifier les groupes prédéfinis suivants : admin, bin, daemon, dialer, mail, network, nobody, nogroup, operator, staff, sys, tty unknown, utmp, uucp, wheel ou www. Vous pouvez toutefois ajouter des utilisateurs aux groupes wheel et admin. Remarque : les mots de passe ne peuvent pas être exportés à l’aide de Gestionnaire de groupe de travail ni par aucune autre méthode. Si vous importez des comptes d’utilisateur à partir d’un fichier exporté, n’oubliez pas de définir les mots de passe manuellement ou de donner à l’attribut du mot de passe une valeur par défaut connue qui pourra être modifiée ultérieurement. F0170.book Page 242 Monday, May 2, 2005 12:37 PMAnnexe A Importation et exportation d’informations de compte 243 Utilisation du Gestionnaire de groupe de travail pour importer des utilisateurs et des groupes Vous pouvez utiliser le Gestionnaire de groupe de travail pour importer des comptes d’utilisateur et de groupe dans le répertoire LDAP d’un maître Open Directory ou dans un domaine NetInfo. Quand un fichier est importé, le Gestionnaire de groupe de travail identifie automatiquement le format d’enregistrement. Pour obtenir des informations sur la création de fichiers à importer, consultez les sections suivantes : • “Utilisation de fichiers XML créés avec Mac OS X Server 10.1 ou antérieur” à la page 245 • “Utilisation de fichiers XML créés avec AppleShare IP 6.3” à la page 246 • “Utilisation de fichiers délimités par des caractères” à la page 247 Pour importer des comptes à l’aide du Gestionnaire de groupe de travail : 1 Créez un fichier délimité par des caractères ou XML contenant les comptes à importer, puis placez-le de manière à ce qu’il soit accessible du serveur sur lequel vous utilisez le Gestionnaire de groupe de travail. Le répertoire LDAP d’un maître Open Directory prend en charge jusqu’à 100 000 enregistrements. Pour les bases de données NetInfo locales, veillez à ce que le fichier ne contienne pas plus de 10 000 enregistrements. 2 Dans Gestionnaire de groupe de travail, cliquez sur Comptes, puis sur l’icône de globe située sous la barre d’outils et choisissez le domaine de répertoires dans lequel vous souhaitez importer les comptes. 3 Cliquez sur le cadenas pour vous authentifier en tant qu’administrateur de domaine. 4 Facultativement, vous pouvez définir un préréglage de compte d’utilisateur dans le répertoire LDAP du serveur. Lorsque vous créez un préréglage pour l’importation de comptes d’utilisateur, définissez des options de mot de passe afin que les utilisateurs soient forcés de changer leur mot de passe lors de leur prochaine connexion. De la sorte, il n’est pas nécessaire de spécifier des mots de passe individuels pour chacun des utilisateurs dans le fichier d’exportation ou dans Gestionnaire de groupe de travail après l’importation des utilisateurs. Pour accéder aux options de mot de passe, cliquez sur Avancé, puis sur Options. Consultez la section “Création d’un préréglage pour des comptes d’utilisateur” à la page 72. 5 Vous pouvez également définir un préréglage de compte de groupe dans le répertoire LDAP du serveur. Consultez la section “Création d’un préréglage pour des comptes de groupe” à la page 102. 6 Choisissez Importation dans le menu Serveur, puis sélectionnez le fichier d’importation. 7 Sélectionnez l’une des options Gestion des doublons pour spécifier la marche à suivre si le nom abrégé d’un compte en cours d’importation est identique à celui d’un compte existant. F0170.book Page 243 Monday, May 2, 2005 12:37 PM244 Annexe A Importation et exportation d’informations de compte L’option Écraser enregistrement existant permet de supprimer tout enregistrement existant dans le domaine de répertoires. L’option Ignorer nouvel enregistrement ignore un compte situé dans le fichier d’importation. L’option Ajouter aux champs vides fusionne les données du fichier d’importation dans le compte existant lorsque les données correspondent à un attribut auquel n’est attribuée aucune valeur. L’option Ajouter à l’enregistrement existant ajoute des données aux données déjà présentes dans le compte attribut particulier à plusieurs valeurs situé dans le compte existant. Il n’y a pas création de doublons. Cette option peut par exemple être utilisée pour importer de nouveaux membres dans un groupe existant. 8 Si vous le souhaitez, choisissez un préréglage utilisateur et/ou préréglage de groupe dans les menus locaux de préréglages pour utilisateurs ou de préréglages pour groupes. 9 Dans le champ ID du premier utilisateur, vous pouvez entrer l’identifiant d’utilisateur à partir duquel commencer l’affectation d’identifiants aux nouveaux comptes d’utilisateur pour lesquels le fichier d’importation ne contient pas identifiant d’utilisateur. 10 Dans le champ ID du groupe principal, vous pouvez entrer l’identifiant de groupe à affecter aux nouveaux comptes d’utilisateur pour lesquels le fichier d’importation ne contient pas d’identifiant de groupe principal. 11 Cliquez sur Importation pour lancer l’opération d’importation. Utilisation du Gestionnaire de groupe de travail pour exporter des utilisateurs et des groupes Avec le Gestionnaire de groupe de travail, vous pouvez exporter des comptes d’utilisateur et de groupe à partir du répertoire LDAP d’un maître Open Directory ou d’un domaine NetInfo vers un fichier délimité par des caractères, lequel peut à son tour être importé dans un domaine NetInfo ou LDAP différent. Pour exporter des comptes à l’aide du Gestionnaire de groupe de travail : 1 Dans Gestionnaire de groupe de travail, cliquez sur Comptes, puis sur l’icône représentant un globe sous la barre d’outils et choisissez le domaine de répertoires à partir duquel vous souhaitez exporter des comptes. 2 Cliquez sur le cadenas pour vous authentifier en tant qu’administrateur de domaine. 3 Cliquez sur le bouton Utilisateurs pour exporter des utilisateurs ou sur le bouton Groupes pour exporter des groupes. F0170.book Page 244 Monday, May 2, 2005 12:37 PMAnnexe A Importation et exportation d’informations de compte 245 4 Pour exporter l’ensemble des comptes de la liste, sélectionnez-les tous. Pour exporter un compte spécifique, sélectionnez-le. Pour exporter plusieurs comptes, sélectionnezles en maintenant enfoncée la touche Commande ou Maj. 5 Choisissez Exporter dans le menu Serveur. 6 Spécifiez le nom à attribuer au fichier d’exportation ainsi que son emplacement. 7 Cliquez sur Exporter. Utilisation de dsimport pour importer des utilisateurs et des groupes Vous pouvez utiliser l’outil de ligne de commande dsimport pour importer des comptes d’utilisateur et de groupe dans un répertoire. dsimport permet la journalisation à trois niveaux grâce à l’option -l. Pour obtenir des instructions, consultez la page man ou le guide d’administration de la ligne de commande. Utilisation de fichiers XML créés avec Mac OS X Server 10.1 ou antérieur Vous pouvez utiliser Admin Serveur pour créer un fichier d’exportation à partir des versions 10.1 ou antérieures de Mac OS X Server, puis importer ce fichier dans le répertoire LDAP d’un maître Open Directory ou dans un domaine NetInfo à l’aide du Gestionnaire de groupe de travail ou de dsimport. Les attributs d’utilisateurs ci-dessous sont exportés dans ces fichiers XML. Les attributs entre chevrons (<>) sont obligatoires et génèrent un message d’erreur s’ils sont absents lorsque vous utilisez le fichier en tant que fichier d’importation : • indication signalant si un utilisateur peut se connecter • indication signalant si un utilisateur est un administrateur de serveur • • shell • commentaire • et • données de courrier Apple • ara (Apple Remote Access ; cette donnée est ignorée) F0170.book Page 245 Monday, May 2, 2005 12:37 PM246 Annexe A Importation et exportation d’informations de compte Les attributs de comptes ci-après peuvent figurer dans ces fichiers XML : • • noms abrégés d’autres membres Utilisation de fichiers XML créés avec AppleShare IP 6.3 Vous pouvez utiliser l’application Admin Web et Fichier pour créer un fichier d’exportation sur un serveur AppleShare IP 6.3, puis importer ce fichier dans le répertoire LDAP d’un maître Open Directory ou dans un domaine NetInfo à l’aide du Gestionnaire de groupe de travail ou de dsimport. Les attributs d’utilisateurs ci-dessous sont exportés dans ces fichiers XML. Les attributs entre chevrons (<>) sont obligatoires et génèrent un message d’erreur s’ils sont absents lorsque vous utilisez le fichier en tant que fichier d’importation : • (associé à un nom complet) • inetAlias (associé à un nom abrégé) • commentaire • indication signalant si un utilisateur peut se connecter • et • données de courrier Apple • indicateur signalant si l’utilisateur est un administrateur de serveur, si le mot de passe a changé et permettant de forcer la modification du mot de passe (ces données sont ignorées). L’outil dsimport génère des identifiants d’utilisateur lorsque vous importez ce fichier XML à l’aide du paramètre -s pour déterminer l’identifiant d’utilisateur de départ et incrémente l’identifiant d’utilisateur de chaque nouveau compte importé par la suite d’une unité. Il génère des ID de groupe principal à l’aide du paramètre -r. Lorsque vous procédez à une importation à l’aide du Gestionnaire de groupe de travail, les identifiants d’utilisateur et les identifiants de groupe principal sont générés au moment spécifié dans la boîte de dialogue. Les attributs de comptes ci-après peuvent figurer dans ces fichiers XML : • • noms abrégés d’autres membres F0170.book Page 246 Monday, May 2, 2005 12:37 PMAnnexe A Importation et exportation d’informations de compte 247 L’outil dsimport génère des identifiants de groupe lorsque vous importez ce fichier XML à l’aide du paramètre -r pour déterminer l’identifiant de groupe de départ et incrémenter l’identifiant de groupe de chaque nouveau compte importé par la suite d’une unité. Lorsque vous procédez à une importation à l’aide du Gestionnaire de groupe de travail, les identifiants de groupe sont générés à l’aide des informations fournies pour ceux de groupe principal dans la boîte de dialogue d’importation. Utilisation de fichiers délimités par des caractères Vous pouvez créer un fichier délimité par des caractères à l’aide du Gestionnaire de groupe de travail ou de dsimport afin d’exporter des comptes vers un fichier dans le répertoire LDAP d’un maître Open Directory ou dans un domaine NetInfo. Vous pouvez également créer un fichier délimité par des caractères soit manuellement, soit en utilisant une application de base de données ou de tableur. Le premier enregistrement du fichier doit être représentatif du format de chaque compte du fichier. Il existe trois options : • écrire une description d’enregistrement complète ; • utiliser le raccourci StandardUserRecord ; • utiliser le raccourci StandardGroupRecord. Les autres enregistrements du fichier décrivent les comptes d’utilisateur et de groupe, encodés au format décrit par le premier enregistrement. Écriture d’une description d’enregistrement Une description d’enregistrement identifie les champs de chaque enregistrement que vous souhaitez importer à partir d’un fichier délimité par des caractères, indique comment les enregistrements, les champs et les valeurs sont séparées et décrit le caractère d’échappement qui précède les caractères spéciaux dans un enregistrement. Encodez la description d’enregistrement à l’aide des éléments suivants dans l’ordre spécifié, en les séparant par un espace : • indicateur de fin d’enregistrement (en notation hexa) ; • caractère d’échappement (en notation hexa) ; • séparateur de champ (en notation hexa) ; • séparateur de valeur (en notation hexa) ; • type de comptes du fichier (DSRecTypeStandard:Users ou DSRecTypeStandard:Groups) ; • nombre d’attributs par compte ; • liste des attributs. F0170.book Page 247 Monday, May 2, 2005 12:37 PM248 Annexe A Importation et exportation d’informations de compte Pour les comptes d’utilisateur, la liste d’attributs doit, pour être complète, posséder un nom d’enregistrement et contenir les informations suivantes : • RecordName (nom abrégé de l’utilisateur) • RealName (nom complet de l’utilisateur) • Répertoire d’accueil NFS • Password • UniqueID (identifiant d’utilisateur)1 • PrimaryGroupID1 De plus, vous pouvez inclure : • UserShell (le shell par défaut) • NFSHomeDirectory (le chemin d’accès au répertoire de départ de l’utilisateur sur son ordinateur) • D’autres types de données d’utilisateur décrits dans le guide d’administration d’Open Directory Pour les compte de groupe, la liste d’attributs doit contenir les attributs suivants : • RecordName (le nom du groupe) • PrimaryGroupID (l’identifiant de groupe) • GroupMembership Voici un exemple de description d’enregistrement : 0x0A 0x5C 0x3A 0x2C dsRecTypeStandard:Users 7 RecordName Password UniqueID PrimaryGroupID RealName NFSHomeDirectory UserShell Voici un exemple d’enregistrement encodé à l’aide de la description : jim:Adl47E$:408:20:J. Dupont, Jean:/Network/Servers/somemac/Homes/jim:/bin/ csh Un enregistrement est composé de valeurs délimitées par des deux-points. Utilisez un double deux-points (::) pour indiquer qu’il manque une valeur. Lorsque vous importez des mots de passe d’utilisateur, vous pouvez insérer les informations suivantes dans la liste des attributs pour régler le type de mot de passe de l’utilisateur sur Open Directory : dsAttrTypeStandard:AuthMethod 1. Vous pouvez omettre ces derniers si vous spécifiez un identifiant d’utilisateur de départ et un identifiant de groupe principal par défaut lorsque vous importez le fichier. F0170.book Page 248 Monday, May 2, 2005 12:37 PMAnnexe A Importation et exportation d’informations de compte 249 La méthode permettant de régler le type de mot de passe d’un utilisateur importé sur Open Directory nécessite que les données importées possèdent une valeur pour le mot de passe. Si la valeur de mot de passe est absente pour un utilisateur, l’enregistrement d’utilisateur correspondant sera créé avec un type de mot de passe crypté ou shadow. Insérez ensuite les informations suivantes dans l’enregistrement formaté (dans notre exemple, le mot de passe de l’utilisateur est “mdp”) : dsAuthMethodStandard\:dsAuthClearText:mdp Remarque : dans cet exemple, le deux-points (:) constitue le séparateur de champs. Comme il y a un deux-points dans la description de cet attribut, il faut utiliser le caractère d’échappement pour indiquer que le deux-points ne doit pas être traité comme un délimiteur. Le caractère d’échappement dans cet exemple est la barre oblique inverse ( \ ). Si le séparateur de champs est un caractère différent du deuxpoints, il n’est pas nécessaire d’utiliser de caractère d’échappement. Voici un exemple d’en-tête provenant d’un fichier d’importation d’utilisateurs standard contenant des utilisateurs qui utilisent le serveur de mots de passe. Il doit être saisi sous la forme d’une ligne de texte dans laquelle les éléments sont séparés par des espaces et sans sauts de ligne, comme ci-dessous. Même si votre navigateur adapte le texte aux dimensions de l’écran, vous pouvez constater que la ligne ne contient pas de sauts de ligne si vous la copiez et la collez dans un éditeur de texte dans lequel le renvoi automatique à la ligne est désactivé : 0x0A 0x5C 0x3A 0x2C dsRecTypeStandard:Users 8 dsAttrTypeStandard:RecordName dsAttrTypeStandard:AuthMethod dsAttrTypeStandard:Password dsAttrTypeStandard:UniqueID dsAttrTypeStandard:PrimaryGroupID dsAttrTypeStandard:Comment dsAttrTypeStandard:RealName dsAttrTypeStandard:UserShell Voici un exemple d’enregistrement formaté avec les valeurs et les attributs suivants : : Nom de l’enregistrement (nom abrégé) : jdupont Méthode d’authentification : dsAuthClearText Mot de passe : mdp1 Identifiant unique : 1242 Identifiant de groupe principal : 20 Commentaires : Nom réel (nom complet) : Jean Dupont Shell utilisateur : /bin/tcsh jdupont:dsAuthMethodStandard\:dsAuthClearText:mdp1:1242:20::Jean Dupont:/ bin/tcsh F0170.book Page 249 Monday, May 2, 2005 12:37 PM250 Annexe A Importation et exportation d’informations de compte Remarque : dans cet exemple, les deux-points (:) sont également utilisés comme séparateurs de champs et la barre oblique inverse (\) comme caractère d’échappement. Comme ces exemples l’illustrent, vous pouvez soit utiliser le préfixe dsAttrTypeStandard: si vous faites référence à un attribut, soit l’omettre. Lorsque vous utilisez Gestionnaire de groupe de travail pour exporter des fichiers délimités par des caractères, il utilise le préfixe dans le fichier généré. F0170.book Page 250 Monday, May 2, 2005 12:37 PM 251 B Annexe B Autorisations de liste ACL et adhésions de groupe via GUID Mac OS X Server 10.4 fournit un nouvel attribut d’utilisateur et de groupe pour la détermination des autorisations et de l’adhésion aux groupes du système de fichiers. Mac OS X 10.4 s’écarte ainsi des pratiques historiques du système UNIX qui consistaient à : • ne baser les autorisations de système de fichiers que sur les attributs UID et GID ; • baser l’adhésion de groupe sur le nom abrégé d’utilisateur. Ce changement permet à Mac OS X 10.4 d’ajouter des listes ACL aux autorisations POSIX standard du système de fichiers. Il permet également à Mac OS X 10.4 de maintenir les adhésions de groupe lors du changement des noms abrégés d’utilisateur et de gérer les adhésions de groupe imbriquées. Cette amélioration des fonctionnalités ne supprime ni ne modifie les autorisations POSIX et n’affecte pas l’interopérabilité de Mac OS X avec les systèmes UNIX hérités ou d’autres systèmes d’exploitation. Important : après la mise à niveau avec Mac OS X Server 10.4 ou la migration de votre serveur vers ce système, il est vivement recommandé de créer une nouvelle copie de sauvegarde en exportant les comptes d’utilisateur et de groupe existants qui disposent désormais d’attributs GUID. Si vous devez restaurer des comptes utilisateur ou de groupe ultérieurement, ce nouveau fichier d’exportation vous permettra d’importer les utilisateurs et les groupes en conservant leur nouveau GUID. Rôle des GUID À partir de Mac OS X 10.4, un identifiant universel appelé identifiant GUID (de l’anglais “Globally Unique Identifier”, prononcez “gou-id”) fournit l’identité d’utilisateur et de groupe pour les autorisations ACL. Le GUID associe également un utilisateur à des adhésions de groupe et de groupes imbriqués. F0170.book Page 251 Monday, May 2, 2005 12:37 PM252 Annexe B Autorisations de liste ACL et adhésions de groupe via GUID Les outils d’administration de Mac OS X Server 10.2 et ultérieur affectent déjà automatiquement un nouvel identifiant GUID à chaque nouveau compte d’utilisateur et à chaque compte d’utilisateur importé, mais Mac OS X 10.4 est la première version à utiliser les GUID et à les incorporer dans les fichiers d’exportation. L’identifiant GUID est un attribut masqué. Pour afficher l’attribut GUID, utilisez l’Inspecteur du Gestionnaire de groupe de travail. Désormais, si deux utilisateurs peuvent avoir des noms étendus, noms abrégés, identifiants d’utilisateur et identifiants de groupe identiques, ils possèdent néanmoins des identifiants GUID différents. Ils pourront donc avoir des autorisations ACL différentes et appartenir à des groupes différents. Comme l’identifiant GUID est une valeur de 128 bits, la probabilité d’obtenir des doublons est extrêmement faible. En tant qu’administrateur, vous devez maintenant vous assurer qu’il est possible de restaurer des comptes d’utilisateur en conservant les GUID. La restauration des comptes d’utilisateur avec leurs identifiants UID, GID et leur nom abrégé, mais sans leur identifiant GUID ne permet pas de restaurer les autorisations ACL ni l’adhésion de groupe sous Mac OS X 10.4 ou ultérieur. Les listes de contrôle d’accès ACL complètent les autorisations POSIX Une liste ACL est une liste d’entrées de contrôle d’accès (en anglais “Access Control Entry” ou ACE), qui spécifient les autorisations d’accès à un dossier et à son contenu données ou refusées à un groupe ou un utilisateur. Les listes ACL spécifient également la manière dont leurs autorisations sont propagées à travers les hiérarchies de fichiers. Vous pouvez définir des autorisations ACL en plus des autorisations POSIX standard. Tout fichier ou dossier dispose toujours d’autorisations POSIX. À moins qu’un administrateur n’attribue des autorisations ACL, les autorisations POSIX continuent de déterminer l’accès dont bénéficient les utilisateurs dans un système Mac OS X 10.4. Si vous attribuez des autorisations ACL, elles auront priorité sur les autorisations POSIX standard. Pour en savoir plus sur les autorisations ACL et POSIX, consultez les guide des services de fichiers. Identifiants GUID et groupes Mac OS X 10.4 vérifie l’adhésion de groupe et de groupes imbriqués à l’aide des identifiants GUID. L’identifiant GUID d’un groupe est également utilisé par les listes ACL du système de fichiers et est stocké sur disque dans l’entrée ACE. Le nom abrégé d’utilisateur hérité n’est utilisé que s’il n’y a pas d’identifiant GUID dans l’enregistrement de groupe. F0170.book Page 252 Monday, May 2, 2005 12:37 PMAnnexe B Autorisations de liste ACL et adhésions de groupe via GUID 253 Autorisations et synchronisation de fichiers Pour que des fichiers synchronisés sur deux ordinateurs aient les mêmes autorisations POSIX, il faut que leurs identifiants UID soient identiques sur les deux ordinateurs. Pour avoir les mêmes autorisations ACL sur les deux ordinateurs, il faut que les identifiants GUID correspondent également. Cela peut se faire à l’aide de Gestionnaire de groupe de travail, d’outils de ligne de commande d’édition de répertoire ou, plus simplement, en partageant le même répertoire entre les deux ordinateurs. Les répertoires de départ portables PHD (Portable Home Directories) obligent l’utilisateur à disposer du même identifiant GUID dans le compte d’utilisateur local sur l’ordinateur de l’utilisateur et dans le compte d’utilisateur réseau sur un serveur Open Directory. Cela permet de s’assurer que les autorisations de fichiers sont identiques que l’utilisateur se connecte à l’aide du compte d’utilisateur local (lorsqu’il est déconnecté du réseau) ou du compte d’utilisateur réseau. Pour obtenir des information sur l’implémentation des identifiants GUID dans des répertoires, consultez le guide d’administration d’Open Directory. Interopérabilité des identifiants de sécurité SID et de Windows Les identifiants de sécurité SID (Security identifiers) pour systèmes Windows possèdent des fonctions semblables aux identifiants GUID pour systèmes Mac OS X. Chaque fois que Mac OS X affecte un identifiant GUID à un processus ou à un fichier, un identifiant SID est affecté également. Cela permet aux systèmes Mac OS X de fonctionner de manière transparente avec les systèmes Windows. Importation et exportation d’utilisateurs La possession d’un fichier d’exportation contenant un identifiant GUID pour chaque utilisateur et groupe vous permet de restaurer rapidement des utilisateurs et des groupes en conservant intactes leurs autorisations de fichiers ni leurs adhésions de groupe. L’attribut GUID est automatiquement inclus lors de l’exportation des enregistrements d’utilisateur à partir de Gestionnaire de groupe de travail ou de la ligne de commande sous Mac OS X Server 10.4. Si vous perdez des comptes d’utilisateur et créez de nouveaux comptes portant les mêmes identifiants d’utilisateur UID, identifiants de groupe GID et noms abrégés que les comptes perdus, les nouveaux comptes recevront de nouveaux identifiants GUID. Le nouvel identifiant GUID d’un utilisateur ne sera pas identique à l’identifiant GUID précédent et l’utilisateur ne conservera donc pas les anciennes autorisations ACL ou adhésions de groupe. De même, si vous importez des utilisateurs ou des groupes à partir d’un fichier ne contenant pas d’attribut GUID, Mac OS X Server affectera de nouveaux identifiants GUID à chaque utilisateur et groupe importé. F0170.book Page 253 Monday, May 2, 2005 12:37 PMF0170.book Page 254 Monday, May 2, 2005 12:37 PM 255 Glossaire Glossaire Ce glossaire définit les termes et les abréviations apparaissant dans l’aide en ligne ou les différents manuels de référence de Mac OS X Server. Les références à des termes définis ailleurs dans ce glossaire apparaissent en italiques. administrateur Utilisateur disposant d’autorisations d’administration de serveur ou de domaine de répertoires. Les administrateurs sont toujours membres du groupe “admin” prédéfini. adresse IP dynamique Adresse IP attribuée pour une durée limitée ou jusqu’à ce que l’ordinateur client n’en ait plus besoin. adresse IP statique Adresse IP affectée de manière permanente à un ordinateur ou un périphérique. AFP Apple Filing Protocol. Protocole client/serveur utilisé par le service de fichiers Apple sur les ordinateurs compatibles Macintosh pour partager des services de fichiers et de réseau. AFP utilise TCP/IP et d’autres protocoles pour les communications entre ordinateurs d’un réseau. attribut d’autorité d’authentification Valeur qui identifie le système de validation de mot de passe spécifié pour un utilisateur et fournit, si nécessaire, des informations supplémentaires. autorisations Droit d’accéder à des zones restreintes d’un système ou d’effectuer certaines tâches (telles que des tâches de gestion) dans le système. BIND Berkeley Internet Name Domain Programme inclus dans Mac OS X Server et qui implémente le service DNS. Ce programme est également appelé démon lorsqu’il est en cours d’exécution. boîte de dépôt Dossier partagé dont les privilèges permettent à d’autres utilisateurs d’écrire des données dans son contenu, mais pas de le lire. Seul le propriétaire de la boîte peut y accéder sans restriction. Les boîtes de dépôt ne doivent être créées qu’à l’aide d’AFP. Lorsqu’un dossier est partagé via AFP, l’appartenance d’un élément placé dans la boîte est automatiquement transférée au propriétaire du dossier qui peut alors accéder sans restriction et contrôler tous les éléments de la boîte de dépôt. F0170.book Page 255 Monday, May 2, 2005 12:37 PM256 Glossaire BSD Berkeley System Distribution. Version d’UNIX sur laquelle repose le logiciel Mac OS X. cache des préférences Emplacement de stockage servant à héberger les préférences de l’ordinateur et celles des groupes associés à cet ordinateur. Les préférences mises en cache vous aident à gérer des comptes d’utilisateurs locaux sur des ordinateurs portables. caractère générique Plage de valeurs possibles pour tout segment d’une adresse IP. CGI Common Gateway Interface. Script ou programme permettant d’ajouter des fonctions dynamiques à un site Web. Un script CGI transmet les informations entre un site Web et une application au service du site. chemin de recherche Voir politique de recherche. client géré Utilisateur, groupe ou ordinateur dont les autorisations d’accès et/ou les préférences sont sous le contrôle d’un administrateur. client sans système Ordinateur sur le disque dur duquel aucun système d’exploitation n’est installé. Les ordinateurs sans système peuvent démarrer à partir d’une image disque installée sur un serveur NetBoot. compte d’ordinateur Voir liste d’ordinateurs. comptes prédéfinis Comptes d’utilisateurs créés automatiquement lorsque vous installez Mac OS X. Certains comptes de groupes sont également prédéfinis. coupe-feu Logiciel destiné à protéger les applications réseau exécutées sur votre serveur. Le service de coupe-feu IP, intégré au logiciel Mac OS X Server, examine les paquets IP entrants et les refuse ou les accepte en fonction des filtres établis. délai de bail Période limitée durant laquelle les adresses IP sont affectées. Avec des baux courts, DHCP peut réaffecter des adresses IP sur des réseaux comptant plus d’ordinateurs que d’adresses disponibles. démon nfsd Processus de serveur NFS tournant en permanence en arrière-plan et traitant les requêtes de lecture et d’écriture provenant des clients. Plus il y a de démons disponibles et plus nombreux sont les clients qui peuvent être servis simultanément. DHCP Dynamic Host Configuration Protocol. Protocole utilisé pour la répartition dynamique d’adresses IP entre les ordinateurs clients. Chaque fois qu’un ordinateur client démarre, le protocole recherche un serveur DHCP et demande une adresse IP au serveur DHCP rencontré. Ce serveur cherche une adresse IP disponible et l’envoie à l’ordinateur client accompagnée d’un délai de bail—période pendant laquelle l’ordinateur client est autorisé à utiliser l’adresse. F0170.book Page 256 Monday, May 2, 2005 12:37 PMGlossaire 257 DNS Domain Name System. Base de données distribuée qui fait correspondre des adresses IP à des noms de domaines. Un serveur DNS, appelé également serveur de noms, conserve la liste des noms et des adresses IP associées à chaque nom. DNS en multidiffusion Protocole développé par Apple pour la détection automatique d’ordinateurs, de périphériques et de services sur les réseaux IP. Ce protocole standard Internet à l’état de proposition est parfois également appelé “ZeroConf”. Pour plus d’informations, consultez le site www.apple.fr ou www.zeroconf.org. Pour voir comment ce protocole est utilisé dans Mac OS X Server, voir nom d’hôte local. domaine de répertoire Base de données spécialisée qui stocke des informations de référence sur les utilisateurs et les ressources réseau nécessaires au logiciel système et aux applications. La base de données est optimisée pour gérer de nombreuses requêtes d’informations et trouver et obtenir rapidement ces informations. Le domaine de répertoires peut également être appelé nœud de répertoire ou simplement répertoire. domaine local Domaine de répertoires accessible uniquement à partir de l’ordinateur sur lequel il réside. dossier de groupe Répertoire servant à organiser les documents et les applications d’un intérêt particulier pour les membres d’un groupe et leur permettant d’échanger des informations. enfant Ordinateur dont les informations de configuration proviennent du domaine de répertoire partagé d’un parent. enregistrement MX Enregistrement Mail Exchange. Entrée d’un tableau DNS qui détermine l’ordinateur gérant le courrier pour un domaine Internet. Lorsqu’un serveur de courrier doit remettre des messages à un domaine Internet, il demande l’enregistrement MX du domaine concerné. Le serveur envoie les messages à l’ordinateur spécifié dans l’enregistrement MX. étendue Groupe de services. Une étendue peut consister en regroupements logiques d’ordinateurs, tels que tous les ordinateurs utilisés par le département de production ou en regroupements physiques, tels que tous les ordinateurs situés au premier étage d’un bâtiment. Vous pouvez définir une étendue en tant que partie ou ensemble de votre réseau. exportation Dans le système NFS (Network File System), moyen de partager un répertoire avec des clients sur un réseau. À définir pour le contexte RAID. FAI Fournisseur d’accès à Internet. Entreprise qui commercialise l’accès à Internet et fournit généralement un service d’hébergement de sites Web pour le commerce électronique, ainsi que des services de courrier. F0170.book Page 257 Monday, May 2, 2005 12:37 PM258 Glossaire file d’attente d’impression Zone dans laquelle les tâches d’impression attendent qu’une imprimante soit disponible. Le service d’impression de Mac OS X Server utilise les files d’attente d’impression sur le serveur pour faciliter la gestion. filtre Méthode de “filtrage” utilisée pour contrôler l’accès à un serveur. Un filtre est constitué d’une adresse IP, d’un masque de sous-réseau et parfois d’un numéro de port et d’un type d’accès. L’adresse IP et le masque de sous-réseau déterminent la plage d’adresses IP à laquelle s’applique le filtre. Finder simplifié Environnement utilisateur comportant tableaux et grandes icônes et qui offre aux débutants une interface conviviale et simple. Les volumes ou disques montés auxquels les utilisateurs ont accès apparaissent dans des tableaux plutôt que sur le bureau standard. FTP File Transfer Protocol. Protocole permettant aux ordinateurs de transférer des fichiers sur un réseau. Les clients FTP dont le système d’exploitation gère le protocole FTP peuvent se connecter à un serveur de fichiers et télécharger des fichiers, en fonction des autorisations d’accès dont ils bénéficient. La plupart des navigateurs Internet et bon nombre d’applications gratuites peuvent être utilisés pour accéder à un serveur FTP. groupe Ensemble d’utilisateurs ayant les mêmes besoins. Les groupes simplifient l’administration des ressources partagées. groupe de travail Ensemble d’utilisateurs pour lesquels vous définissez des préférences et des autorisations de groupe. Toutes les préférences que vous définissez pour un groupe sont stockées dans le compte de groupe. groupe principal Groupe par défaut d’un utilisateur. Le système de fichiers utilise l’identifiant du groupe principal lorsqu’un utilisateur accède à un fichier dont il n’est pas le possesseur. hiérarchie de domaine de répertoire Mode d’organisation des domaines de répertoires partagés et locaux. Une hiérarchie possède une structure arborescente inversée, le domaine racine (root) étant placé en haut et les domaines locaux en bas. hôte de courrier Ordinateur qui fournit le service de courrier. HTML Hypertext Markup Language. Ensemble de symboles ou de codes insérés dans un fichier à afficher par un navigateur Web. Le balisage indique au navigateur Web comment afficher les mots et images d’une page Web pour l’utilisateur. HTTP Hypertext Transfer Protocol. Protocole client/serveur pour le Web. Le protocole HTTP constitue pour un navigateur Web un moyen d’accès à un serveur Web et de requête de documents hypermedia HTML. IANA Internet Assigned Numbers Authority. Organisation chargée d’attribuer des adresses IP et des paramètres de protocole, ainsi que de gérer des noms de domaines. F0170.book Page 258 Monday, May 2, 2005 12:37 PMGlossaire 259 ICMP Internet Control Message Protocol. Protocole dédié au contrôle des messages et à la génération de rapports d’erreurs, utilisé entre serveurs hôtes et passerelles. Par exemple, certaines applications Internet utilisent le protocole ICMP pour envoyer un paquet en aller-retour entre deux hôtes, déterminer ainsi la durée requise par le trajet et détecter ainsi d’éventuels problèmes sur le réseau. Id. Util. Identifiant d’utilisateur. Numéro qui identifie un utilisateur de manière unique dans un système de fichiers. Les ordinateurs Mac OS X utilisent les identifiants d’utilisateurs pour contrôler l’appartenance de répertoires et de fichiers à un utilisateur. identifiant de groupe principal Numéro unique identifiant un groupe principal. IGMP Internet Group Management Protocol. Protocole Internet utilisé par les hôtes et les routeurs pour envoyer des paquets à des listes d’hôtes volontaires, dans le cadre d’un processus appelé multidiffusion. Le Serveur Enchaînement QuickTime (QTSS) utilise l’adressage multidiffusion, de même que le protocole SLP (Service Location Protocol). image disque Fichier qui, une fois ouvert, crée sur un bureau Mac OS une icône dont la présentation et le comportement sont similaires à ceux d’un véritable disque ou volume. Les ordinateurs clients peuvent, à l’aide de NetBoot, démarrer via le réseau à partir d’une image disque basée sur un serveur et contenant un logiciel système. Les fichiers d’image disque présentent l’extension .img ou .dmg. Les deux formats d’image sont similaires et sont représentés par la même icône dans le Finder. Le format .dmg ne peut pas être utilisé sur les ordinateurs qui exécutent Mac OS 9. image fantôme Fichier créé par le processus démon NetBoot pour chaque client utilisant NetBoot, pour lequel les applications qui s’exécutent sur le client peuvent écrire des données temporaires. IMAP Internet Message Access Protocol. Protocole client/serveur de courrier permettant aux utilisateurs de stocker leur courrier sur le serveur de courrier plutôt que de le télécharger sur l’ordinateur local. Le courrier demeure sur le serveur jusqu’à ce que l’utilisateur décide de l’effacer. IP Internet Protocol. Également désigné par IPv4. Méthode utilisée conjointement avec le protocole TCP (Transmission Control Protocol) pour envoyer des données d’un ordinateur à un autre via un réseau local ou via Internet. Le protocole IP envoie les paquets de données, alors que le protocole TCP se charge de leur suivi. Kerberos Système d’authentification réseau sécurisé. Kerberos utilise des tickets, délivrés pour un utilisateur, un service et une période déterminés. Une fois l’utilisateur authentifié, celui-ci peut accéder à des services supplémentaires sans devoir resaisir de mot de passe (signature unique) pourvu que ces services aient été configurés pour accepter les tickets Kerberos. Mac OS X Server utilise Kerberos v5. F0170.book Page 259 Monday, May 2, 2005 12:37 PM260 Glossaire LDAP Lightweight Directory Access Protocol. Protocole client/serveur standard pour accéder à un domaine de répertoires. liste d’ordinateurs Liste d’ordinateurs partageant les mêmes réglages de préférences et accessibles par les mêmes utilisateurs et groupes. LPR Line Printer Remote. Protocole standard d’impression via TCP/IP. maître Open Directory Serveur qui fournit le service de répertoire LDAP, le service d’authentification Kerberos et le serveur de mots de passe Open Directory. MBONE Multicast Backbone. Réseau virtuel gérant la multidiffusion IP. Un réseau MBONE utilise le même support physique qu’Internet, sauf qu’il est conçu pour réassembler les paquets de données de multidiffusion afin qu’ils s’apparentent à des paquets de données de diffusion individuelle. MIB Management Information Base. Base de données virtuelle permettant de surveiller un périphérique à l’aide d’applications SNMP. MIME Multipurpose Internet Mail Extensions. Standard Internet utilisé pour spécifier comment un navigateur Web doit traiter un fichier possédant certaines caractéristiques. L’extension du fichier indique son type. Vous pouvez déterminer la façon dont un serveur doit réagir lorsqu’il reçoit des fichiers portant certains suffixes. Chaque suffixe et la réponse qui lui correspond constituent une association de type MIME. MTA Mail Transfer Agent. Service de courrier qui envoie le courrier sortant, reçoit le courrier entrant à l’attention des destinataires locaux et fait suivre le courrier entrant des destinataires non locaux vers d’autres MTA. multi-adressage Capacité à gérer plusieurs connexions réseau. Lorsque plusieurs connexions sont disponibles, Mac OS X sélectionne celle adéquate en fonction de l’ordre spécifié dans les préférences réseau. NetBIOS Network Basic Input/Output System. Programme permettant aux applications situées sur différents ordinateurs de communiquer au sein d’un réseau local. NetInfo L’un des protocoles Apple d’accès à un domaine de répertoires. NFS Network File System. Protocole client/serveur utilisant le protocole IP (Internet Protocol) pour permettre aux utilisateurs distants d’accéder à des fichiers comme s’ils se trouvaient sur leur disque. Le service NFS exporte les volumes partagés vers les ordinateurs en fonction de l’adresse IP, plutôt que du nom et mot de passe utilisateur. nœud de répertoire Voir domaine de répertoire. nom abrégé Abréviation du nom d’un utilisateur. Le nom abrégé est utilisé par Mac OS X pour les répertoires de départ, l’authentification et les adresses électroniques. F0170.book Page 260 Monday, May 2, 2005 12:37 PMGlossaire 261 nom canonique Nom “réel” d’un serveur, si vous lui avez attribué un “surnom” ou un alias. Le serveur courrier.apple.com, par exemple, peut avoir comme nom canonique SrvCourrier473.apple.com. nom complet Forme longue d’un nom d’utilisateur ou de groupe. Voir aussi nom d’utilisateur. nom complet Voir nom long. nom d’hôte local Nom qui désigne un ordinateur sur un sous-réseau local. Il peut être utilisé sans système DNS global afin de résoudre les noms en adresses IP. Il est constitué de lettres minuscules, de chiffres et de traits d’union (sauf en tant que dernier caractère), et se termine par “.local” (par exemple, factures-ordinateur.local). Bien que le nom soit défini par défaut à partir du nom d’ordinateur, l’utilisateur peut définir ce nom dans la sous-fenêtre Réseau des Préférences Système. Il peut être modifié facilement et utilisé partout où un nom DNS ou un nom de domaine complet est utilisé. Il peut uniquement être résolu sur le même sous-réseau que l’ordinateur qui l’utilise. nom d’utilisateur Nom complet d’un utilisateur, parfois qualifié de réel. Voir aussi nom abrégé. Open Directory Architecture des services de répertoires Apple qui peut accéder à des informations de référence sur les utilisateurs et les ressources réseau à partir de domaines de répertoires utilisant les protocoles LDAP, NetInfo, ou Active Directory, les fichiers de configuration BSD et les services de réseau. ORBS Open Relay Behavior-modification System. Service Internet qui répertorie dans une liste noire les serveurs connus pour être des relais ouverts ou supposés comme tels pour les expéditeurs de courrier indésirable. Les serveurs ORBS sont également appelés serveurs “trou noir”. ordinateur administrateur Ordinateur Mac OS X sur lequel vous avez installé les applications de serveur situées sur le CD Serveur Mac OS X Server Admin. ordinateur invité Ordinateur inconnu ne figurant dans aucune liste d’ordinateurs de votre serveur. parent Ordinateur dont le domaine de répertoires partagé fournit des informations de configuration à un autre ordinateur. PHP PHP Hypertext Preprocessor (à l’origine Personal Home Page). Langage de script incorporé au langage HTML et utilisé pour créer des pages Web dynamiques. point de partage Dossier, disque dur (ou partition de disque dur) ou CD accessible via le réseau. Un point de partage constitue le point d’accès situé au premier niveau d’un groupe d’éléments partagés. Les points de partage peuvent être partagés à l’aide des protocoles AFP, Windows SMB, NFS (exportation) ou FTP. F0170.book Page 261 Monday, May 2, 2005 12:37 PM262 Glossaire point de relais Voir relais ouvert. politique de recherche Liste des domaines de répertoire parmi lesquels un ordinateur Mac OS X effectue ses recherches lorsqu’il a besoin d’informations de configuration. Désigne également l’ordre dans lequel les domaines sont pris en compte lors de la recherche. Parfois appelé “chemin de recherche”. POP Post Office Protocol. Protocole destiné à récupérer le courrier entrant. Une fois qu’un utilisateur a récupéré son courrier POP, ce dernier est stocké sur l’ordinateur de l’utilisateur et, généralement, supprimé automatiquement du serveur de courrier. préférences gérées Préférences Système ou d’applications sous le contrôle d’un administrateur. Le Gestionnaire de groupe de travail permet aux administrateurs de contrôler les réglages de certaines préférences système pour les clients gérés Mac OS X. préréglages Attributs d’origine par défaut que vous spécifiez pour les nouveaux comptes créés à l’aide du Gestionnaire de groupe de travail. Vous ne pouvez utiliser les préréglages que lors de la création d’un compte. profil d’utilisateur Ensemble de réglages personnels relatifs au bureau et aux préférences, que Windows enregistre pour un utilisateur et applique chaque fois que ce dernier se connecte. propriétaire Le propriétaire d’un élément peut définir des autorisations de Lecture et écriture, Lecture seule ou Accès interdit pour le Propriétaire, le groupe et les Autres. Le propriétaire peut également attribuer la propriété d’un élément à un autre utilisateur et affecter des autorisations de groupe à un autre groupe. Par défaut, le propriétaire dispose d’autorisations Lecture et écriture. QTSS QuickTime Streaming Server. Technologie permettant de diffuser des données en temps réel sur Internet. relais Dans QuickTime Streaming Server, un relais reçoit un flux entrant et le réexpédie vers un serveur de diffusion en continu ou plus. Les relais permettent de réduire la consommation de bande passante Internet et sont très utiles pour les diffusions avec de nombreux spectateurs dans différents emplacements. En terme de courrier électronique Internet, un relais est un petit serveur SMTP de courrier électronique qui envoie le courrier entrant à un autre serveur SMTP plutôt qu’à sa destination finale. relais ouvert Serveur recevant et transférant automatiquement le courrier vers un autre serveur. Les émetteurs de courrier indésirable exploitent les serveurs relais ouverts, afin que leurs propres serveurs de courrier ne figurent pas sur les listes noires référençant les sources de courrier indésirable. répartition de la charge Processus qui consiste à répartir sur plusieurs services les demandes de services réseau effectuées par les ordinateurs clients, afin d’optimiser les performances. F0170.book Page 262 Monday, May 2, 2005 12:37 PMGlossaire 263 répertoire de départ Dossier destiné à l’usage personnel d’un utilisateur. Entre autres, Mac OS X utilise également le répertoire de départ pour stocker des Préférences Système et des réglages d’utilisateur gérés pour les utilisateurs Mac OS X. répertoire de départ local Répertoire de départ résidant sur le disque dur de l’ordinateur auquel est connecté un utilisateur. Il n’est accessible que par ouverture de session directe sur l’ordinateur où il réside, sauf si vous ouvrez une session sur l’ordinateur via SSH. réseau géré Éléments que les clients gérés sont autorisés à “voir” lorsqu’ils cliquent sur l’icône Réseau dans une fenêtre du Finder. Les administrateurs contrôlent ce réglage à l’aide du Gestionnaire de groupe de travail. Également appelé “présentation de réseau”. ROM de démarrage Instructions sur les exigences matérielles utilisées par un ordinateur au cours des premières étapes du démarrage. royaume À définir ; terme général avec plusieurs applications. Voir royaume WebDAV, royaume Kerberos. royaume Kerberos Domaine d’authentification comprenant les utilisateurs et les services enregistrés auprès du même serveur Kerberos. Les services et utilisateurs enregistrés font confiance au serveur Kerberos pour vérifier l’identité de chacun. royaume WebDAV Région d’un site Web, généralement un dossier ou un répertoire, réservé aux utilisateurs et groupes WebDAV. RTP Real-Time Transport Protocol. Protocole de transport réseau de bout en bout adapté aux applications qui transmettent des données en temps réel (audio, vidéo ou simulation) par l’intermédiaire de services réseau en multi ou monodiffusion. RTSP Real Time Streaming Protocol. Protocole de niveau applicatif servant à contrôler la transmission des données ayant des propriétés de temps réel. Ce protocole RTSP propose une structure extensible qui permet de transmettre les données en temps réel sous contrôle et sur demande, des données audio ou vidéo par exemple. Les sources de données peuvent inclure aussi bien des données en direct que des clips enregistrés. SDP Session Description Protocol. Fichier texte utilisé avec un serveur d’enchaînement QuickTime pour fournir des informations sur le format, la synchronisation et la paternité d’une diffusion en direct, ainsi qu’indiquer à l’utilisateur comment effectuer la syntonisation. serveur de noms Serveur d’un réseau qui tient à jour une liste des noms de domaines et des adresses IP associées à chaque nom. Voir aussi DNS, WINS. serveur NetBoot Serveur Mac OS X sur lequel le logiciel NetBoot est installé et configuré pour autoriser les clients à démarrer à partir d’images disque situées sur le serveur. F0170.book Page 263 Monday, May 2, 2005 12:37 PM264 Glossaire serveur proxy Serveur placé entre une application cliente, telle qu’un navigateur Web, et un serveur réel. Le serveur proxy intercepte toutes les requêtes destinées au serveur réel pour vérifier s’il ne peut y répondre lui-même. Si tel n’est pas le cas, il fait suivre la requête au serveur réel. services de répertoire Services fournissant au logiciel système et aux applications un accès uniforme aux domaines de répertoire et autres sources d’informations sur les utilisateurs et les ressources. SLP DA Service Location Protocol Directory Agent. Protocole utilisé pour répertorier les services disponibles sur un réseau, afin de permettre aux utilisateurs d’y accéder facilement. Lorsqu’un service est ajouté au réseau, il utilise le protocole SLP pour s’enregistrer sur le réseau. SLP/DA conserve les services de réseau enregistrés dans un emplacement centralisé. SMB/CIFS Server Message Block/Common Internet File System. Protocole permettant à des ordinateurs clients d’accéder à des fichiers et à des services de réseau. Il peut être utilisé via TCP/IP, Internet ou d’autres protocoles. Les services Windows utilisent le protocole SMB/CIFS pour fournir l’accès aux serveurs, imprimantes et autres ressources réseau. SMTP Simple Mail Transfer Protocol. Protocole utilisé pour envoyer et transférer du courrier. Sa capacité à placer les messages entrants en file d’attente étant limitée, il n’est généralement utilisé que pour envoyer des messages, POP ou IMAP étant utilisés pour les recevoir. SNMP Simple Network Management Protocol. Ensemble de protocoles standard utilisés pour gérer et contrôler des périphériques réseau sur plusieurs plates-formes. sous-réseau Regroupement d’ordinateurs clients faisant partie du même réseau, structuré en fonction de l’emplacement physique (les différents étages d’un bâtiment, par exemple) ou de l’utilisation (tous les élèves d’une même classe par exemple). L’utilisation de sous-réseaux permet de simplifier les tâches d’administration. Voir aussi sous-réseau IP. sous-réseau IP Partie d’un réseau IP, pouvant être un segment de réseau physiquement indépendant, partageant une adresse réseau avec d’autres parties du réseau et identifiée par un numéro de sous-réseau. spam Courrier non sollicité, indésirable. SSL Secure Sockets Layer. Protocole permettant d’envoyer sur Internet des informations cryptées et authentifiées. Les versions plus récentes de SSL sont appelées TLS (Transport Level Security). F0170.book Page 264 Monday, May 2, 2005 12:37 PMGlossaire 265 TCP Transmission Control Protocol. Méthode utilisée avec le protocole IP (Internet Protocol) pour envoyer, via Internet, des données sous forme d’unités de messages entre ordinateurs. Le protocole IP se charge de gérer le transfert des données, alors que le protocole TCP effectue le suivi individuel des unités de données (paquets). Chaque message est fractionné en plusieurs unités afin d’assurer un routage efficace via Internet. Tomcat Implémentation de référence officielle de Java Servlet 2.2 et JavaServer Pages 1.1, deux technologies complémentaires développées dans le cadre de Java Community Process. tous Tout utilisateur pouvant se connecter à un serveur de fichiers : utilisateur référencé ou invité, utilisateur FTP anonyme ou visiteur d’un site Web. TTL Time-to-live, ou durée de vie. Durée spécifiée pendant laquelle les informations DNS sont stockées en cache. Lorsqu’une paire nom de domaine/adresse IP se trouve en cache depuis plus longtemps que la durée TTL spécifiée, l’entrée est supprimée du cache du serveur de noms (mais pas du serveur DNS principal). UDP User Datagram Protocol. Méthode de communication utilisant le protocole IP pour envoyer une unité de données (datagramme) d’un ordinateur à un autre sur un réseau. Les applications réseau devant échanger de toutes petites unités de données peuvent utiliser le protocole UDP à la place de TCP. Unicode Standard affectant un nombre unique à chaque caractère, sans tenir compte de la langue ou du système d’exploitation utilisé pour afficher la langue. USB Universal Serial Bus. Standard de communication entre un ordinateur et des périphériques externes utilisant un câble de connexion directe bon marché. utilisateur inactif Utilisateur connecté au serveur, mais qui n’en sollicite plus le volume depuis un certain de temps. utilisateur invité Utilisateur pouvant se connecter à votre serveur sans fournir de nom ni de mot de passe. utilisateur virtuel Autre adresse électronique (nom abrégé) d’un utilisateur. Similaire à un alias, mais impliquant la création d’un nouveau compte d’utilisateur. valide Uniform Resource Locator. Adresse d’un ordinateur, d’un fichier ou d’une ressource accessible sur un réseau local ou sur Internet. L’adresse URL se compose du nom du protocole utilisé pour accéder à la ressource, du nom de domaine qui identifie un ordinateur spécifique sur Internet et de la description hiérarchique de l’emplacement du fichier sur l’ordinateur. F0170.book Page 265 Monday, May 2, 2005 12:37 PM266 Glossaire VPN Virtual Private Network. Réseau privé virtuel utilisant le cryptage ainsi que d’autres technologies pour fournir des communications sécurisées sur un réseau public, en général Internet. Ces réseaux sont généralement moins onéreux que des réseaux privés réels qui recourent à des lignes privées, mais s’appuient sur le même système de cryptage aux deux extrémités de la ligne. Le cryptage peut être réalisé par des logiciels de coupe-feu ou par des routeurs. WebDAV Web-based Distributed Authoring and Versioning. Environnement de création en direct permettant aux utilisateurs clients d’extraire des pages Web d’un site, de les modifier, puis de les replacer sur le site sans que ce dernier ne cesse de fonctionner. WINS Windows Internet Naming Service. Service de résolution de noms utilisé par les ordinateurs Windows pour faire correspondre les noms des clients avec des adresses IP. Un serveur WINS peut se trouver soit sur le réseau local, soit sur Internet. F0170.book Page 266 Monday, May 2, 2005 12:37 PM267 Index Index A accès à des ordinateurs 124 au point de partage de groupe 194 au répertoire de départ 194 aux applications 164, 166 aux dossiers 186 aux dossiers de groupes(ajouter un élément au Dock) 174 aux éléments de menu (Redémarrer, Éteindre) 187 aux éléments du menu (Classic) 170 aux icônes de disque et de serveur 182 aux iDisk 185 aux outils UNIX 167 aux serveurs distants 184 aux supports 199 administrateur de domaine 43 administrateurs de serveur autorisations 82 adresses ajout pour les utilisateurs 14 AFP (Apple Filing Protocol) configuration de points de partage à l’aide de 137 aide 15 AirPort 62 applications gestion de l’accès 164–167 authentification 45, 48 résolution de problèmes 232 autorisations 32, 53, 71, 80–89, 105, 111, 131, 200 administrateur de serveur 83 administration de domaine de répertoire 83 B bouton Groupes 46 bouton Listes des ordinateurs 46 bouton Utilisateurs 46 bureau apparence des éléments du bureau 187 autoriser l’utilisateur à reconstruire 170 C cache des préférence comment la vider 160 cache des préférences mise à jour 159 Carnet d’adresses 14 changement rapide d’utilisateur 197 clients mobiles 55–62 commande Graver le disque 186 commentaires modification 87 compte d’administrateur de domaine 36 comptes actualisation de la liste 49 personnalisation de la liste 38 recherche de comptes spécifiques 50 Voir aussi comptes d’utilisateur, comptes de groupe, listes d’ordinateurs, comptes d’invités 37 comptes d’utilisateur commentaires 87 création 67 création de comptes LDAPv3 en lecture/ écriture 68 désactivation 72 groupe par défaut 88 lecture seule 70 locaux 125 modification 68 modification des 69 mots-clés 87 préréglages 72–74 suppression 71 utilisateurs invités 70 comptes d’utilisateurs invités 71 comptes de groupe ajout d’utilisateurs 89, 105 à propos des 27, 99 attribution du nom 106 création 101 création de préréglages 102 définition d’identifiants 107 définition du groupe principal d’un utilisateur 88 en lecture seule 104 F0170.book Page 267 Monday, May 2, 2005 12:37 PM268 Index gestion des préférences 161 modification 102, 103, 104 suppression 114 suppression d’utilisateurs 90, 106 vérification des groupes auxquels appartient un utilisateur 90 connexion résolution de problèmes 232, 233, 234 D dépannage 229–239 utilisateurs et groupes 229 Dock ajout d’éléments 175 contrôle des éléments 175 données ajout d’informations personnelles pour les utilisateurs 14 sauvegarde et restauration 53 données d’utilisateurs ajout de données personnelles 14 dossiers pour groupes 38 dossiers de groupe accessible à plusieurs groupes 114 à propos des 27 configuration 108 dans un nouveau point de partage 110 dans un point de partage existant 109 dans un sous-dossier d’un point de partage 112 option pas de dossier de groupe 108 dossier Système spécification pour Classic 169 dsimport importation d’utilisateurs et de groupes 245 paramètres d’importation 245 duplication de réglages Voir préréglages E éjection de disques 185, 201 état de la batterie 179 exportation d’utilisateurs et de groupes 47 exportation de point de partage NFS 138 extensions désactivation (Classic) 170 extensions de nom de fichier 184 F Fenêtres du Finder 188 fermeture de session automatique 197 fermeture de session pour les utilisateurs inactifs 197 Finder simplifié 181 G gestion des clients, Mac OS X résolution des problèmes 235–239 gestion de serveur informations supplémentaires 18 gestion des préférences, Mac OS X désactivation 163 icône d’indication 159 modification de plusieurs enregistrements 163 navigateurs 190 préférences Accès aux données 199 préférences Accès universel 207 préférences Autres supports d’Accès aux données 199 préférences avancées de Classic 167 préférences Classic 167 préférences d’applications 164 préférences d’impression 202 préférences d’ordinateur 162 préférences d’ouverture de session 191 préférences d’utilisateur 161 préférences de groupe 161 préférences de l’Économiseur d’énergie 176 préférences du Dock 173 préférences du Finder 181 préférences Internet 189 réglages Classic 169 réglages Commandes du Finder 181 réglages d’affichage du Dock 173 réglages d’impression Liste d’imprimantes 202 réglages de courrier électronique via Internet 189 réglages des éléments du Dock 173 réglages Disques de données d’Accès aux données 199 réglages Éléments d’ouverture 191 réglages Présentations du Finder 181 réglages Web Internet 190 Gestionnaire de groupe de travail exportation d’utilisateurs et de groupes dans 244 importation d’utilisateurs et de groupes dans 243 préférences système et 157 résolution des problèmes 229 utilisation 46 vue d’ensemble 19 gestions des clients, Mac OS X gestion des préférences 158 groupes de travail description 27 I identifiants d’utilisateur 81 importation d’utilisateurs et de groupes 47 importation et exportation à partir du Gestionnaire de groupe de travail 244 avec le Gestionnaire de groupe de travail 243 F0170.book Page 268 Monday, May 2, 2005 12:37 PMIndex 269 création de fichiers délimités par des caractères 247 création de fichiers XML à l’aide d’Admin Serveur 245 création de fichiers XML à l’aide d’AppleShare IP 246 formats de fichier pris en charge 242 impression gestion 93–96, 202–205 informations 14 K Kerberos résolution de problèmes 234 L listes d’ordinateurs ajout d’ordinateurs 119 à propos des 28, 115 création 116 création d’un préréglage 118 déplacement d’ordinateurs 120 pour les ordinateurs Windows 115 recherche 122 suppression d’ordinateurs 121 M Mac OS X Server informations supplémentaires 17 menus contrôle de l’accès (Classic) 170 messagerie préférences 189 mots-clés 86–87 mots de passe 82 indices 196 modification impossible 231 mots de passe Open Directory résolution de problèmes 231 N NFS (Network File System) configuration de points de partage via 138 noms iChat 14 numéros de téléphone ajout pour les utilisateurs 14 O Open Directory 31, 34, 60, 65 ordinateur administrateur 35 ordinateurs gestion des préférences 162 modification d’informations 120 ordinateurs hôtes 122 ordinateurs portables configuration 55 réglages de l’Économiseur d’énergie 178 Voir aussi clients mobiles ordinateurs Windows 35, 38, 97 outils UNIX contrôle de l’accès 167 P points de partage 46 AFP 137 NFS 138 préférences Classic 167–173 préférences d’accès universel 207–211 préférences d’écoute 208 préférences d’ouverture de session 191–198 préférences d’utilisateur gestion, Mac OS X 161 préférences de clavier 209 préférences de l’économiseur d’énergie 176–180 préférences de la souris 210 préférences du Dock 173–176 préférences du Finder 181–189 préférences du navigateur 190 préférences du navigateur Web 190 préférences gérées Voir gestion des préférences préférences Système 205, 206 préférences vue 207 préréglages pour comptes de groupe 102 pour les comptes d’utilisateur 72–74 pour listes d’ordinateurs 115–120 R recherche comptes 47–51 réglages d’ouverture de session 84 réglages de courrier 91–93 réglages de membres 105–107 Réglages de suspension de l’activité 176 réglages du démarrage et de l’extinction 180 répertoires de départ à propos des 20, 127 configuration 127 création pour des utilisateurs locaux 131 dans un point de partage AFP 137 dans un point de partage NFS 138 déplacement 141 personnalisation 134 pour ordinateurs Windows 128 réglages de quotas de disque des 140 répartition sur plusieurs serveurs 129 réseau 133 résolution des problèmes 234 spécification d’aucun répertoire de départ 130 F0170.book Page 269 Monday, May 2, 2005 12:37 PM270 Index suppression 141 ressources Mac OS X Server 17 S service sans fil gestion des clients 62 site Web d’Apache 18 Sous-fenê 14 Suppression 121 synchronisation données de compte mobile 56 U utilisateurs définition de noms 74–82 utilisateurs et groupes résolution des problèmes 229 utilitaires 166 F0170.book Page 270 Monday, May 2, 2005 12:37 PM Mac OS X Server Administration des services réseau Pour la version 10.4 ou ultérieure Apple Computer, Inc. © 2005 Apple Computer, Inc. Tous droits réservés. Le détenteur ou l’utilisateur autorisé d’une copie valide du logiciel de Mac Os X Server peut reproduire cette publication dans le but d’apprendre à utiliser le logiciel. Cette publication ne peut être reproduite ou transmise en tout ou partie à des fins commerciales, comme la vente de copies de cette publication ou la fourniture d’un service d’assistance payant. Tout a été mis en œuvre pour que les informations contenues dans ce manuel soient exactes. Apple Computer, Inc., n’est pas responsable des erreurs d’impression ou de typographie. Apple 1 Infinite Loop Cupertino, CA 95014-2084 408-996-1010 www.apple.com L’utilisation du logo “clavier” d’Apple (Option + Maj + K) à des fins commerciales, sans le consentement préalable écrit d’Apple, pourra constituer un acte de contrefaçon et/ou de concurrence déloyale, contraire aux lois en vigueur. Apple, le logo Apple, AirPort, AppleScript, AppleShare, AppleTalk, Mac, Mac OS, Macintosh, Power Mac, Power Macintosh, QuickTime, Sherlock et WebObjects sont des marques déposées d’Apple Computer, Inc., aux États-Unis et dans d’autres pays. Java et tous les logos et marques dérivés de Java sont des marques ou des marques déposées de Sun Microsystems, Inc. aux États-Unis et dans d’autres pays. UNIX est une marque déposée aux États-Unis et dans d’autres pays, sous licence exclusive de X/Open Company Ltd. Tous les autres noms de produits sont des marques de leurs propriétaires respectifs. Les produits commercialisés par des entreprises tierces ne sont mentionnés qu’à titre d’information, sans aucune intention de préconisation ni de recommandation. Apple ne se porte pas garant de ces produits et décline toute responsabilité quant à leur utilisation et à leur fonctionnement. F019-0165/3-24-05 3 1 Table des matières Préface 9 À propos de ce guide 9 Nouveautés de la version 10.4 9 Contenu de ce guide 10 Utilisation de ce guide 10 Utilisation de l’aide à l’écran 11 La suite Mac OS X Server 13 Obtenir des mises à jour de documentation 13 Informations complémentaires Chapitre 1 15 Connecter votre réseau à Internet 15 Comprendre Assistant réglages de passerelle 16 Utilisation de l’Assistant réglages de passerelle 17 Exemples de configurations 17 Connexion d’un réseau local câblé à Internet 19 Connexion d’un réseau local câblé et des clients sans fil à Internet 21 Connexion d’un réseau local sans fil à Internet Chapitre 2 23 Service DHCP 23 Avant de configurer le service DHCP 24 Création de sous-réseaux 24 Affectation dynamique d’adresses IP 24 Utilisation d’adresses IP statiques 25 Localisation du serveur DHCP 25 Interaction avec d’autres serveurs DHCP 25 Utilisation de plusieurs serveurs DHCP sur un réseau 25 Affectation d’adresses IP réservées 26 Complément d’informations sur le processus DHCP 26 Configuration initiale du service DHCP 27 Gestion du service DHCP 27 Démarrage et arrêt du service DHCP 27 Création de sous-réseaux dans le service DHCP 28 Modification des réglages des sous-réseaux dans le service DHCP 28 Suppression de sous-réseaux du service DHCP4 Table des matières 28 Désactivation temporaire des sous-réseaux 29 Modification de la durée du bail des adresses IP d’un sous-réseau 29 Réglage du serveur DNS pour un sous-réseau DHCP 30 Configuration des options LDAP pour un sous-réseau 30 Configuration des options WINS pour un sous-réseau 31 Affectation d’adresses IP statiques à l’aide de DHCP 32 Suppression ou modification de mappages d’adresses statiques 32 Contrôle du service DHCP 32 Affichage de la vue d’ensemble de l’état du service DHCP 33 Réglage du niveau de détail de l’historique du service DHCP 33 Visualisation des entrées d’historique du service DHCP 33 Visualisation de la liste des clients DHCP 34 Configurations réseau courantes qui utilisent DHCP 37 Autres sources d’informations Chapitre 3 39 Service DNS 40 Avant de configurer le service DNS 40 DNS et BIND 40 Configuration de plusieurs serveurs de noms 41 Configuration initiale du service DNS 43 Gestion du service DNS 43 Démarrage et arrêt du service DNS 44 Activation ou désactivation des transferts de zone 44 Activation ou désactivation de la récursion 45 Gestion de zones DNS 46 Ajout d’une zone principale 47 Ajout d’une zone secondaire 47 Duplication d’une zone 48 Modification d’une zone 48 Suppression d’une zone 48 Utilisation d’un fichier de zone 49 Gestion d’enregistrements d’ordinateur DNS 50 Ajout d’un enregistrement d’ordinateur à une zone DNS 51 Modification d’un enregistrement d’ordinateur dans une zone DNS 52 Suppression d’un enregistrement d’ordinateur d’une zone DNS 52 Contrôle du DNS 52 Affichage de l’état du service DNS 53 Affichage des entrées d’historique DNS 53 Modification du niveau de détail de l’historique DNS 53 Modification de l’emplacement du fichier d’historique DNS 54 Sécurisation du serveur DNS 54 DNS Spoofing 55 Exploration de donnéesTable des matières 5 55 Profilage du service DNS 56 Déni de service (en anglais “Denial of Service” ou “DoS”) 56 “Service Piggybacking” 57 Tâches courantes d’administration du réseau utilisant le service DNS 57 Configuration des enregistrements MX 60 Configuration d’un espace de noms derrière une passerelle NAT 60 Répartition de la charge du réseau (ou permutation circulaire) 61 Configuration d’un réseau TCP/IP privé 62 Hébergement de plusieurs services Internet à une seule adresse IP 62 Hébergement de plusieurs domaines sur le même serveur 63 Autres sources d’informations Chapitre 4 65 Service de coupe-feu IP 66 Pratiques élémentaires en matière de coupe-feu 68 Démarrage du coupe-feu 68 Comprendre les règles de coupe-feu 69 Une règle de coupe-feu, qu’est-ce que c’est ? 71 Utilisation de plages d’adresses 71 Mécanisme et ordre de priorité des règles 72 Adresses IP multiples 72 Configuration initiale du service de coupe-feu 74 Gestion du service de coupe-feu 74 Gestion de coupe-feu Panther Server 10.3 avec Admin Serveur de Tiger Server 10.4 74 Démarrage et arrêt du service de coupe-feu 74 Création d’un groupe d’adresses 75 Modification ou suppression d’un groupe d’adresses 76 Duplication d’un groupe d’adresses 76 Ouverture du coupe-feu pour les services standard 77 Ajout de ports personnalisés à la liste des services 78 Modification ou suppression d’éléments dans la liste des services 78 Création d’une règle de coupe-feu IP avancée 79 Modification ou suppression de règles de coupe-feu IP avancées 80 Modification de l’ordre des règles de coupe-feu IP avancées 80 Activation du mode furtif 81 Initialisation d’un serveur injoignable 81 Contrôle du service de coupe-feu 82 Comprendre le panneau Règles actives 82 Affichage de la vue d’ensemble de l’état du coupe-feu 82 Affichage des règles de règles de coupe-feu actives 83 Configuration des historiques du service de coupe-feu 83 Affichage de l’historique du coupe-feu 84 Affichage des paquets refusés 85 Affichage des paquets consignés par des règles de coupe-feu6 Table des matières 85 Dépannage de règles de coupe-feu IP avancées 86 Exemples pratiques 86 Utilisation d’un coupe-feu IP avec la traduction d’adresses de réseau 87 Blocage de l’accès Web à des utilisateurs Internet 88 Consignation de l’accès à Internet par les utilisateurs du réseau local 88 Blocage du courrier indésirable 89 Client autorisé à accéder au serveur de fichiers Apple 90 Tâches courantes d’administration réseau utilisant le service de coupe-feu 90 Prévention des attaques par déni de service (DoS) 90 Contrôle ou autorisation de l’utilisation du réseau en peer-to-peer 91 Contrôle ou activation de l’utilisation des jeux en réseau 92 Références de ports 97 Autres sources d’informations Chapitre 5 99 Service NAT 99 Utilisation de la traduction d’adresses de réseau avec d’autres services réseau 100 Vue d’ensemble de la configuration d’un réseau local avec traduction des adresses de réseau 101 Démarrage et arrêt du service NAT 101 Configuration du service NAT 102 Création d’une passerelle sans traduction d’adresses de réseau 103 Configuration de la réexpédition de port 104 Exemples de réexpédition du trafic du port 105 Contrôle du service NAT 105 Affichage de la vue d’ensemble de l’état NAT 106 Tâches d’administration réseau courantes qui utilisent la traduction d’adresses de réseau 106 Liaison d’un réseau local à Internet via une adresse IP 108 Configuration d’un tournoi de jeux en réseau 109 Configuration de serveurs virtuels 111 Autres sources d’informations Chapitre 6 113 Service VPN 114 VPN et sécurité 114 Protocoles de transport 114 Méthode d’authentification 115 Avant de configurer le service VPN 116 Configuration d’autres services réseau pour VPN 116 Gestion du service VPN 116 Démarrage ou arrêt du service VPN 116 Activation et configuration du protocole de transport L2TP 117 Activation et configuration du protocole de transport PPTP 118 Configuration de réglages réseau supplémentaires pour les clients VPNTable des matières 7 118 Configuration des définitions de routage réseau VPN 120 Limitation de l’accès VPN à certains utilisateurs ou groupes 121 Limitation de l’accès VPN à certains adresses IP entrantes 122 Instructions de configuration supplémentaires 124 Contrôle du service VPN 124 Affichage de la vue d’ensemble de l’état du VPN 124 Configuration du niveau de détail de l’historique du service VPN 124 Affichage de l’historique du VPN 125 Affichage des connexions client VPN 125 Tâches d’administration réseau courantes qui utilisent le VPN 125 Liaison d’un ordinateur d’un réseau local avec un réseau distant 127 Accès à un élément de parc informatique situé derrière le coupe-feu du réseau distant 128 Liaison de deux sites réseau distants ou plus 132 Autres sources d’informations Chapitre 7 133 Service NTP 133 Fonctionnement du service NTP 134 Utilisation du service NTP sur votre réseau 134 Configuration du service NTP 135 Configuration de NTP sur des clients 135 Autres sources d’informations Chapitre 8 137 Prise en charge des réseaux locaux virtuels 137 Comprendre les réseaux locaux virtuels 137 Configuration de l’adhésion des clients à un réseau local virtuel 138 Autres sources d’informations Chapitre 9 139 Gestion IPv6 140 Services compatibles IPv6 140 Adresses IPv6 dans Admin Serveur 140 Adresses IPv6 140 Notation 141 Adresses réservées IPv6 141 Modèle d’adressage IPv6 141 Types d’adresse IPv6 142 Autres sources d’informations Glossaire 143 Index 157 9 Préface À propos de ce guide Le présent guide explique comment configurer et administrer les services réseau de Mac OS X Server. Nouveautés de la version 10.4 La version 10.4 de Nomdeproduit comporte de nombreuses améliorations et nouvelles fonctionnalités par rapport à la version 10.3. Parmi celles-ci, citons les suivantes : • Nouvel Assistant réglages de passerelle • Interface DNS revue et améliorée • Mappage d’adresses IP statiques via DHCP • Interface de coupe-feu revue et améliorée • Aide sur VPN étendue • Aide sur NAT étendue • Informations sur la prise en charge de VLAN Contenu de ce guide Ce guide comporte neuf chapitres et un glossaire : • Le chapitre 1, “Connecter votre réseau à Internet”, à la page 15 explique comment utiliser Assistant réglages de passerelle pour connecter votre réseau à Internet. • Le chapitre 2, “Service DHCP”, à la page 23 explique comment configurer et utiliser DHCP pour affecter des adresses IP sur votre réseau. • Le chapitre 3, “Service DNS”, à la page 39 explique comment utiliser Nomdeproduit en tant que serveur de noms de domaine. • Le chapitre 4, “Service de coupe-feu IP”, à la page 65 explique comment maintenir la sécurité d’un réseau à l’aide d’un coupe-feu. • Le chapitre 5, “Service NAT”, à la page 99 explique comment configurer et utiliser la traduction d’adresses de réseau pour connecter plusieurs ordinateurs à Internet avec une seule adresse IP publique. • Le chapitre 6, “Service VPN”, à la page 113 explique comment configurer et utiliser VPN pour permettre à des utilisateurs distants d’accéder en toute sécurité à votre réseau local privé.10 Préface À propos de ce guide • Le chapitre 7, “Service NTP”, à la page 133 explique comment faire de votre serveur un serveur d’horloge. • Le chapitre 8, “Prise en charge des réseaux locaux virtuels”, à la page 137 contient des informations utiles sur la prise en charge de VLAN pour certaines configurations matérielles de serveur. • Le chapitre 9, “Gestion IPv6”, à la page 139 contient des informations utiles sur IPv6 et sur les services qui prennent en charge l’adressage IPv6. • Le “Glossaire” à la page 143 contient des définitions des principaux termes utilisés dans ce guide. Utilisation de ce guide Chaque chapitre couvre un service réseau particulier. Lisez le chapitre qui correspond au service que vous prévoyez de fournir à vos utilisateurs. Vous y trouverez des informations sur le fonctionnement du service, son utilité, les stratégies d’utilisation, sa configuration initiale et son administration dans le temps. Lisez également les chapitres qui traitent des services avec lesquels vous n’êtes pas familiarisé. Vous constaterez peut-être que certains des services que vous n’aviez pas utilisés jusqu’à présent peuvent vous permettre de gérer votre réseau de manière plus efficace et d’en améliorer les performances pour vos utilisateurs. La plupart des chapitres se terminent par une section appelée “Autres sources d’informations”. Cette section vous dirige vers des sites Web et des documents de référence contenant davantage d’informations sur le service concerné. Utilisation de l’aide à l’écran Vous pouvez afficher des instructions et d’autres informations utiles sur la suite serveur en utilisant l’aide à l’écran. Sur un ordinateur qui exécute Mac OS X Server, vous pouvez accéder à l’aide à l’écran après avoir ouvert le Gestionnaire de groupe de travail ou Admin Serveur. À partir du menu d’aide, sélectionnez l’une des options : • Aide Gestionnaire de groupe de travail ou Aide Admin Serveur affiche des informations sur l’application. • Aide Mac OS X Server affiche la page d’aide principale du serveur, à partir de laquelle vous pouvez rechercher des informations sur le serveur. • Documentation vous permet d’accéder au site www.apple.com/fr/server/documentation, à partir duquel vous pouvez télécharger la documentation du serveur.Préface À propos de ce guide 11 Vous pouvez également accéder à l’aide à l’écran à partir du Finder ou d’autres applications d’un serveur ou d’un ordinateur administrateur. Un ordinateur administrateur est un ordinateur Mac OS X sur lequel est installé un logiciel d’administration de serveur. Utilisez le menu Aide afin d’ouvrir Visualisation Aide, puis choisissez Bibliothèque > Aide Mac OS X Server. Pour consulter les toutes dernières rubriques d’aide, assurez-vous que l’ordinateur serveur ou administrateur est connecté à Internet lorsque vous utilisez Visualisation Aide. Visualisation Aide extrait et met en cache automatiquement les toutes dernières rubriques d’aide sur Internet concernant le serveur. Lorsque vous n’êtes pas connecté à Internet, Visualisation Aide affiche les rubriques d’aide mises en cache. La suite Mac OS X Server La documentation de Mac OS X Server comprend une série de guides présentant les services offerts ainsi que les instructions relatives à leur configuration, leur gestion et leur dépannage. Tous les guides sont disponibles au format PDF via : www.apple.com/fr/server/documentation/ Ce guide ... explique comment : Mac OS X Server Premiers contacts pour la version 10.4 ou ultérieure installer Mac OS X Server et le configurer pour la première fois. Mac OS X Server Mise à niveau et migration vers la version 10.4 ou ultérieure utiliser les données et réglages des services actuellement utilisés sur les versions antérieures du serveur. Mac OS X Server Gestion des utilisateurs pour la version 10.4 ou ultérieure créer et gérer les utilisateurs, groupes et listes d’ordinateurs ; configurer les préférences gérées des clients Mac OS X. Mac OS X Server Administration des services de fichiers pour la version 10.4 ou ultérieure partager des volumes ou dossiers de serveur sélectionnés parmi les clients du serveur via les protocoles suivants : AFP, NFS, FTP et SMB/CIFS. Mac OS X Server Administration du service d'impression pour la version 10.4 ou ultérieure héberger les imprimantes partagées et gérer les files d’attente et travaux d’impression associés. Mac OS X Server Administration des images système et de la mise à jour de logiciels pour la version 10.4 ou ultérieure utiliser NetBoot et Installation en réseau pour créer des images disque à partir desquelles les ordinateurs Macintosh peuvent démarrer sur le réseau ; configurer un serveur de mise à jour de logiciels pour la mise à jour d’ordinateurs clients via le réseau. Mac OS X Server Administration du service de messagerie pour la version 10.4 ou ultérieure installer, configurer et administrer les services de courrier sur le serveur. Mac OS X Server Administration des technologies Web pour la version 10.4 ou ultérieure configurer et gérer un serveur Web, dont WebDAV, WebMail, et les modules Web.12 Préface À propos de ce guide Mac OS X Server Administration des services réseau pour la version 10.4 ou ultérieure installer, configurer et administrer les services DHCP, DNS, VPN, NTP, de coupe-feu IP et NAT sur le serveur. Mac OS X Server Administration d'Open Directory pour la version 10.4 ou ultérieure gérer les services de répertoires et d’authentification. Mac OS X Server Administration de QuickTime Streaming Server 5.5 pour la version 10.4 ou ultérieure configurer et gérer les services d’enchaînement QuickTime. Mac OS X Server Administration des services Windows pour la version 10.4 ou ultérieure configurer et gérer des services tels que PDC, BDC, fichiers et impression pour les utilisateurs d’ordinateurs Windows. Mac OS X Server Migration à partir de Windows NT pour la version 10.4 ou ultérieure déplacer des comptes, des dossiers partagés et des services à partir de serveurs Windows NT vers Mac OS X Server. Mac OS X Server Administration du serveur d’applications Java pour la version 10.4 ou ultérieure configurer et administrer un serveur d’applications JBoss sur Mac OS X Server. Mac OS X Server Administration de la ligne de commande pour la version 10.4 ou ultérieure utiliser les commandes et les fichiers de configuration pour exécuter les tâches d’administration du serveur via l’interpréteur de commandes UNIX. Mac OS X Server Administration des services de collaboration pour la version 10.4 ou ultérieure configurer et gérer Weblog, la discussion en ligne et d’autres services qui facilitent les interactions entre utilisateurs. Mac OS X Server Administration de la haute disponibilité pour la version 10.4 ou ultérieure gérer le basculement IP, l’agrégation des liens, l’équilibrage de charge et d’autres configurations matérielles et logicielles pour garantir la haute disponibilité des services de Nomdeproduit. Mac OS X Server Administration Xgrid pour la version 10.4 ou ultérieure gérer des clusters de calcul Xserve à l’aide de l’application Xgrid. Mac OS X Server Glossaire : Contient la terminologie relative à Mac OS X Server, Xserve, Xserve RAID et Xsan interpréter les termes utilisés pour les produits de serveur et les produits de stockage. Ce guide ... explique comment :Préface À propos de ce guide 13 Obtenir des mises à jour de documentation Apple publie régulièrement de nouvelles rubriques d’aide à l’écran, des guides révisés et des documents de solutions. Les nouvelles rubriques d’aide incluent des mises à jour des guides les plus récents. • Pour afficher de nouvelles rubriques d’aide à l’écran, assurez-vous que votre ordinateur serveur ou administrateur est connecté à Internet et cliquez sur le lien Informations de dernière minute dans la page d’aide principale de Mac OS X Server. • Pour télécharger les guides et documents de solutions les plus récents au format PDF, rendez-vous à la page Web de documentation de Mac OS X Server : www.apple.com/fr/server/documentation. Informations complémentaires Pour plus d’informations, consultez les ressources suivantes : Documents Ouvrez-moi : mises à jour importantes et informations spécifiques. Recherchez-les sur les disques du serveur. Site Web de Mac OS X Server : passerelle vers des informations détaillées sur des produits et technologies. www.apple.com/fr/macosx/server/ Site Web Service & Support AppleCare : accès à des centaines d’articles provenant de l’organisation d’assistance d’Apple. www.apple.com/fr/support/ Formation des clients Apple : cours en salle et autoformations afin de développer vos compétences en termes d’administration de serveur. train.apple.com Groupes de discussion Apple : moyen de partager des questions, des connaissances et des conseils avec d’autres administrateurs. discussions.info.apple.com Répertoire de liste de diffusion Apple : abonnez-vous à des listes de diffusion afin de pouvoir communiquer par courrier électronique avec d’autres administrateurs. www.lists.apple.com 1 15 1 Connecter votre réseau à Internet Utilisez Assistant réglages de passerelle pour connecter votre réseau à Internet. Il vous guide lors de la configuration initiale d’un serveur destiné à servir de passerelle entre votre réseau privé et Internet. Comprendre Assistant réglages de passerelle Assistant réglages de passerelle vous aide à configurer rapidement et aisément un serveur sous Mac OS X Server 10.4 pour partager votre connexion à Internet avec votre réseau local (LAN). Après vous avoir fait faire quelques choix en matière de configuration, l’assistant enregistre tous les réglages nécessaires au partage de la connexion du serveur. En fonction des choix réalisés en matière de configuration, l’Assistant exécute les tâches suivantes : • Affecter au serveur une adresse IP statique par interface réseau interne. L’adresse affectée est 192.168.x.1. Le numéro utilisé pour x est déterminé par l’ordre de l’interface réseau dans la sous-fenêtre des Préférences Système Réseau. Par exemple, pour la première interface, x est égal à 0, pour la seconde interface de la liste, x est égal à 1. • Autoriser DHCP à allouer des adresses sur le réseau interne, en supprimant les sousréseaux DHCP existants. • Réserver certaines adresses internes (192.168.x.x) pour DHCP. Lorsque VPN n’est pas activé, chaque interface peut allouer les adresses 192.168.x.2-192.168.x.254. • Activer VPN (facultatif) pour autoriser les clients externes autorisés à se connecter au réseau local. Comme VPN L2TP est activé, vous devez saisir le secret partagé que les connexions client doivent utiliser. • Réserver certaines adresses internes (192.168.x.x) pour VPN. Si VPN est sélectionné, la moitié des adresses IP allouées dans la plage DHCP est réservée pour les connexions VPN. Les adresses 192.168.x.128-192.168.x.254 sont allouées aux connexions VPN.16 Chapitre 1 Connecter votre réseau à Internet • Activer le coupe-feu IP pour sécuriser le réseau interne. Des groupes d’adresses sont ajoutées pour chaque interface de réseau interne, tout le trafic étant autorisé à partir des plages d’adresses DHCP créées vers toute adresse de destination. • Activer la traduction d’adresses de réseau sur le réseau interne et ajouter une règle de détournement NAT au coupe-feu IP pour diriger le trafic réseau vers l’ordinateur approprié. Cela protège également le réseau interne des connexions externes non sollicitées. • Activer DNS sur le serveur configuré pour mettre les recherches en mémoire pour améliorer les temps de réponse DNS pour les clients internes. Vous aurez l’occasion de passer en revue les modifications proposées avant que ces réglages ne soient activés. Les réglages existants seront écrasés par ceux configurés dans l’assistant. Vous pouvez apporter des modifications supplémentaires à la configuration des services à l’aide d’Admin Serveur. Pour plus d’instructions sur l’un ou l’autre service réseau, consultez la section correspondante dans ce guide. Si vous exécutez à nouveau l’Assistant réglages de passerelle, il écrasera tous les réglages manuels que vous avez définis. Utilisation de l’Assistant réglages de passerelle Vous pouvez accéder à l’Assistant réglages de passerelle de deux manières différentes. Vous pouvez : • ouvrir /Applications/Server/Assistant réglages de passerelle ou • choisir Présentation > Assistant réglages de passerelle dans Admin Serveur Suivez les instructions de l’assistant et cliquez sur Continuer après chaque page. Lisez avec attention les informations de sortie finales et assurez-vous que la configuration vous convient avant de finaliser les réglages. Avertissement : bien qu’Assistant réglages de passerelle puisse être utilisé pour configurer des serveurs distants, vous pourriez vous priver accidentellement de votre accès administratif au serveur distant.Chapitre 1 Connecter votre réseau à Internet 17 Exemples de configurations La section qui suit contient quelques exemples de configurations réalisées à l’aide d’Assistant réglages de passerelle. Toutes ces configurations partent du principe que les informations fictives suivantes sont utilisées : • Vous disposez d’une adresse IP statique allouée par votre FAI (fournisseur d’accès à Internet) qui sera utilisée par le serveur. • Le serveur est un XServe G5 équipé de 2 ports Ethernet intégrés en tant qu’interfaces réseau, Ethernet 1 (en0) et Ethernet 2 (en1), sauf indication contraire. • Les adresses IP à utiliser sur votre réseau local interne sont les adresses IP pour réseau local internes standard : 192.168.x.x Connexion d’un réseau local câblé à Internet Vous pouvez utiliser Assistant réglages de passerelle pour connecter un réseau local (LAN) câblé à Internet. Votre réseau local peut comporter un nombre quelconque d’ordinateurs connectés entre eux par des concentrateurs et commutateurs Ethernet, mais doit disposer d’un point de contact avec Internet ; la passerelle. Au terme de ce processus, tous les ordinateurs du réseau local : • peuvent faire configurer des adresses IP et des réglages de réseau par DHCP ; • peuvent accéder à Internet (tant que la connexion de la passerelle à Internet est présente) ; • ne sont pas accessibles par les connexions réseau non autorisées provenant d’Internet ; • sont accessibles aux clients VPN autorisés par Internet (si cela est configuré) ; • bénéficient de la mise en mémoire cache des recherches DNS sur la passerelle, ce qui accélère la résolution DNS. Pour connecter un réseau local câblé à Internet : 1 Branchez la connexion à Internet dans le port Ethernet 1 (en0) intégré du XServe. 2 Branchez la connexion à votre réseau local dans le port Ethernet 2 (en1) intégré du XServe. 3 Ouvrez Assistant réglages de passerelle. Vous pouvez l’ouvrir à partir du dossier /Applications/Server/ ou via le menu Présentation d’Admin Serveur. Tapez l’adresse, le nom et le mot de passe de l’administrateur du serveur que vous souhaitez configurer. 4 Désignez Ethernet intégré 1 comme votre interface WAN (Internet).18 Chapitre 1 Connecter votre réseau à Internet 5 Désignez Ethernet intégré 2 comme votre interface LAN (partage). Votre interface LAN est généralement celle qui est connectée à votre réseau local. Tous les ordinateurs sur le réseau local vont partager la connexion Internet du serveur via l’interface WAN du serveur. Si votre serveur dispose de plus d’une interface disponible à ce stade (Ethernet 2 ou Ethernet 3, etc.), choisissez celles à activer. 6 Choisissez de faire ou non de cette passerelle un point d’entrée VPN dans votre LAN. Si vous choisissez d’activer VPN, vous devez disposer d’un “secret partagé”. Un secret partagé est une phrase clé que tous les utilisateurs doivent saisir pour établir une connexion sécurisée avec la passerelle VPN. Il est recommandé d’utiliser une phrase clé très sûre plutôt que le mot de passe d’un utilisateur ou administrateur sur le serveur de passerelle. Pour en savoir plus sur VPN, consultez le chapitre 6, “Service VPN”, à la page 113. 7 Vérifiez et confirmez les modifications. Options : Vous pouvez affiner divers réglages de cette configuration élémentaire. Le reste de la configuration se fait à l’aide d’Admin Serveur. Par exemple, vous pouvez utiliser Admin Serveur pour configurer l’affectation automatique de certaines adresses IP à des ordinateurs spécifiques. Vous devez ajouter des mappages d’adresses statiques dans l’onglet Réglages de la section DHCP. Pour plus de détails, consultez le chapitre 2, “Service DHCP”. Vous pouvez en outre modifier les réglages relatifs au coupe-feu IP pour autoriser certaines connexions d’Internet vers le réseau local. Vous devez modifier les réglages relatifs au coupe-feu en ouvrant les ports IP souhaités et configurer le renvoi de ports (en éditant des fichiers UNIX à partir de l’invite de la ligne de commande) pour désigner l’ordinateur du réseau local qui acceptera le trafic entrant.Chapitre 1 Connecter votre réseau à Internet 19 Connexion d’un réseau local câblé et des clients sans fil à Internet Vous pouvez utiliser Assistant réglages de passerelle pour connecter un réseau local câblé et des clients sans fil à Internet. Votre réseau local peut comporter un nombre quelconque d’ordinateurs connectés entre eux par des concentrateurs et commutateurs Ethernet, mais doit disposer d’un point de contact avec Internet : la passerelle. Votre réseau local doit aussi comporter une borne d’accès AirPort pour connecter les ordinateurs sans fil au reste du réseau câblé. Tous vos clients sans fil doivent pouvoir se connecter au réseau sans fil de la borne d’accès AirPort pour être reliés au réseau local câblé. Au terme de ce processus, les ordinateurs du réseau local et ceux connectés à la borne d’accès AirPort : • peuvent faire configurer des adresses IP et des réglages de réseau par DHCP ; • peuvent accéder à Internet (tant que la connexion de la passerelle à Internet est présente) ; • ne sont pas accessibles par les connexions réseau non autorisées provenant de la connexion câblée vers Internet ; • sont accessibles aux clients VPN autorisés par Internet (si cela est configuré) ; • bénéficient de la mise en mémoire cache des recherches DNS sur la passerelle, ce qui accélère la résolution DNS. Pour connecter un réseau local câblé et des clients sans fil à Internet : 1 Branchez la connexion à Internet dans le port Ethernet 1 (en0) intégré du XServe. 2 Branchez la connexion à votre réseau local dans le port Ethernet 2 (en1) intégré du XServe. 3 Connectez le port de la borne d’accès AirPort (le port WAN s’il y en a deux) au réseau câblé. 4 À l’aide d’Utilitaire Admin AirPort (ou d’Assistant réglages AirPort), configurez la borne d’accès pour se connecter à l’aide d’Ethernet pour obtenir sa propre adresse par DHCP. 5 Dans le panneau Réseau, vérifiez que la case “Distribuer les adresses IP” est désélectionnée. 6 Cliquez sur Mise à jour pour modifier les réglages de la borne d’accès. 7 Ouvrez le Assistant réglages de passerelle. Vous pouvez l’ouvrir à partir du dossier /Applications/Server/ ou via le menu Présentation d’Admin Serveur. Tapez l’adresse, le nom et le mot de passe de l’administrateur du serveur que vous souhaitez configurer. 8 Désignez Ethernet intégré 1 comme votre interface WAN (Internet).20 Chapitre 1 Connecter votre réseau à Internet 9 Désignez Ethernet intégré 2 comme votre interface LAN (partage). Votre interface LAN est généralement celle qui est connectée à votre réseau local. Tous les ordinateurs sur le réseau local vont partager la connexion Internet du serveur via l’interface WAN du serveur. Si votre serveur dispose de plus d’une interface disponible à ce stade (Ethernet 2 ou Ethernet 3, etc.), choisissez celles à activer. 10 Choisissez de faire ou non de cette passerelle un point d’entrée VPN dans votre LAN. Si vous choisissez d’activer VPN, vous devrez disposer d’un “secret partagé”. Un secret partagé est une phrase clé que tous les utilisateurs doivent fournir pour établir une connexion sécurisée avec la passerelle VPN. Il est recommandé d’utiliser une phrase clé très sûre plutôt que le mot de passe d’un utilisateur ou administrateur sur le serveur de passerelle. Pour en savoir plus sur VPN, consultez le chapitre 6, “Service VPN”, à la page 113. 11 Vérifiez et confirmez les modifications. Options : Vous pouvez affiner divers réglages de cette configuration élémentaire. Le reste de la configuration se fait à l’aide d’Admin Serveur. Par exemple, vous pouvez utiliser Admin Serveur pour configurer l’affectation automatique de certaines adresses IP à des ordinateurs spécifiques. Vous devez ajouter des mappages d’adresses statiques dans l’onglet Réglages de la section DHCP. Pour plus de détails, consultez le chapitre 2, “Service DHCP”. Vous pouvez en outre modifier les réglages relatifs au coupe-feu IP pour autoriser certaines connexions d’Internet vers le réseau local. Vous devez modifier les réglages relatifs au coupe-feu en ouvrant les ports IP souhaités et configurer le renvoi de ports dans le panneau NAT pour désigner l’ordinateur du réseau local qui acceptera le trafic entrant.Chapitre 1 Connecter votre réseau à Internet 21 Connexion d’un réseau local sans fil à Internet Connecter vos clients sans fil à Internet par une passerelle Mac OS X Server offre quelques avantages par rapport à l’utilisation des fonctions intégrées de la borne d’accès. La passerelle peut fournir un contrôle de coupe-feu IP avancé, l’affectation DHCP des adresses IP statiques, la mise en mémoire cache DNS et des connexions VPN entrantes vers le réseau local. Si vous ne souhaitez pas utiliser ces fonctions avancées ou que vous n’en n’avez pas besoin, vous pouvez utiliser la borne d’accès AirPort pour connecter vos clients sans fil à Internet, sans mettre de serveur Mac OS X Server entre les bornes d’accès et Internet. Pour bénéficier des fonctionnalités de la passerelle, utilisez la borne d’accès comme un pont entre vos clients sans fil et la passerelle. Chaque client se connecte à la borne d’accès qui envoie le trafic réseau par la passerelle. Tous vos clients sans fil doivent pouvoir se connecter au réseau sans fil de la borne d’accès AirPort pour être reliés à la passerelle. Au terme de ce processus, les ordinateurs connectés à la borne d’accès AirPort : • peuvent faire configurer des adresses IP et des réglages de réseau par DHCP ; • peuvent accéder à Internet (tant que la connexion de la passerelle à Internet est présente) ; • ne sont pas accessibles par les connexions réseau non autorisées provenant de la connexion câblée vers Internet ; • sont accessibles aux clients VPN autorisés par Internet (si cela est configuré) ; • bénéficient de la mise en mémoire cache des recherches DNS sur la passerelle, ce qui accélère la résolution DNS. Pour connecter un réseau local câblé et des clients sans fil à Internet : 1 Branchez la connexion à Internet dans le port Ethernet 1 (en0) intégré du XServe. 2 Connectez le port de la borne d’accès AirPort (le port WAN, s’il y en a deux) au port Ethernet intégré 2 (en1) du XServe. 3 À l’aide d’Utilitaire Admin AirPort (ou d’Assistant réglages AirPort), configurez la borne d’accès pour se connecter à l’aide d’Ethernet pour obtenir sa propre adresse par DHCP. 4 Dans le panneau Réseau, vérifiez que la case “Distribuer les adresses IP” est désélectionnée. 5 Cliquez sur Mise à jour pour modifier les réglages de la borne d’accès. 6 Ouvrez l’Assistant réglages de passerelle. Vous pouvez l’ouvrir à partir du dossier /Applications/Server/ ou via le menu Présentation d’Admin Serveur. Tapez l’adresse, le nom et le mot de passe de l’administrateur du serveur que vous souhaitez configurer.22 Chapitre 1 Connecter votre réseau à Internet 7 Désignez Ethernet intégré 1 comme votre interface WAN (Internet). 8 Désignez Ethernet intégré 2 comme votre interface LAN (partage). Votre interface LAN est généralement celle qui est connectée à votre réseau local. Tous les ordinateurs sur le réseau local vont partager la connexion Internet du serveur via l’interface WAN du serveur. Si votre serveur dispose de plus d’une interface disponible à ce stade (Ethernet 2 ou Ethernet 3, etc.), choisissez celles à activer. 9 Choisissez de faire ou non de cette passerelle un point d’entrée VPN dans votre LAN. Si vous choisissez d’activer VPN, vous devrez disposer d’un “secret partagé”. Un secret partagé est une phrase clé que tous les utilisateurs doivent fournir pour établir une connexion sécurisée avec la passerelle VPN. Il est recommandé d’utiliser une phrase clé très sûre plutôt que le mot de passe d’un utilisateur ou administrateur sur le serveur de passerelle. Pour en savoir plus sur VPN, consultez le chapitre 6, “Service VPN”, à la page 113. 10 Vérifiez et confirmez les modifications. Options : Vous pouvez affiner divers réglages de cette configuration élémentaire. Le reste de la configuration se fait à l’aide d’Admin Serveur. Par exemple, vous pouvez utiliser Admin Serveur pour configurer l’affectation automatique de certaines adresses IP à des ordinateurs spécifiques. Vous devez ajouter des mappages d’adresses statiques dans l’onglet Réglages de la section DHCP. Pour plus de détails, consultez le chapitre 2, “Service DHCP”. Vous pouvez en outre modifier les réglages relatifs au coupe-feu IP pour autoriser certaines connexions d’Internet vers le réseau local. Vous devez modifier les réglages relatifs au coupe-feu en ouvrant les ports IP souhaités et configurer le renvoi de ports dans le panneau NAT pour désigner l’ordinateur du réseau local qui acceptera le trafic entrant.2 23 2 Service DHCP Le service DHCP (Dynamic Host Configuration Protocol) vous permet d’administrer les adresses IP et de les distribuer à des ordinateurs clients à partir de votre serveur. Lors de la configuration du serveur DHCP, vous affectez un bloc d’adresses IP qui peuvent être mises à la disposition des clients. Chaque fois qu’un ordinateur client configuré pour utiliser le service DHCP démarre, il recherche le serveur DHCP sur votre réseau. S’il en détecte un, l’ordinateur client demande alors une adresse IP. Le serveur DHCP recherche une adresse IP disponible et l’envoie à l’ordinateur client en indiquant une “période de bail” (durée pendant laquelle l’ordinateur client pourra utiliser cette adresse) et les informations relatives à la configuration. Vous pouvez utiliser le module DHCP d’Admin Serveur pour : • Configurer et administrer le service DHCP. • Créer et administrer des sous-réseaux. • Configurer les options DNS, LDAP et WINS pour des ordinateurs clients. • Visualiser la durée de bail des adresses DHCP. Si votre organisation compte plus d’ordinateurs clients que d’adresses IP, vous avez avantage à utiliser le service DHCP. Les adresses IP sont affectées au cas par cas et lorsqu’elles ne sont pas nécessaires, elles sont mises à la disposition des autres clients. Si nécessaire, vous pouvez utiliser une combinaison d’adresses IP statiques et dynamiques pour votre réseau. Pour plus de détails sur l’affectation statique et dynamique d’adresses IP, consultez la section suivante. Les organisations peuvent profiter des fonctions du service DHCP, telles que la possibilité de définir les options DNS (Domain Name System) et LDAP (Lightweight Directory Access Protocol) pour des ordinateurs clients sans autre configuration nécessaire sur l’ordinateur client. Avant de configurer le service DHCP Avant d’installer le service DHCP, lisez la présente section pour obtenir des informations sur la création de sous-réseaux, l’affectation d’adresses IP statiques et dynamiques, la localisation de votre serveur sur le réseau et la possibilité d’ignorer des adresses IP réservées.24 Chapitre 2 Service DHCP Création de sous-réseaux Les sous-réseaux sont des regroupements d’ordinateurs se trouvant sur le même réseau afin de simplifier leur administration. Vous pouvez organiser des sous-réseaux à votre convenance. Par exemple, vous pouvez créer des sous-réseaux pour divers groupes dans votre organisation ou différents étages d’un immeuble. Une fois que vous avez regroupé les ordinateurs clients en sous-réseaux, vous pouvez configurer des options pour tous les ordinateurs d’un sous-réseau en une seule fois plutôt que de définir des options pour chaque ordinateur client individuellement. Chaque sous-réseau doit disposer d’un mode de connexion aux autres sous-réseaux. Un périphérique appelé routeur permet généralement de relier les sous-réseaux. Affectation dynamique d’adresses IP Avec l’affectation dynamique, une adresse IP est affectée pour une durée limitée (la durée de bail), ou jusqu’à ce que l’ordinateur client n’ait plus besoin de l’adresse IP, selon le cas qui se présente en premier. En utilisant des délais courts, le protocole DHCP peut réaffecter des adresses IP sur les réseaux ayant plus d’ordinateurs que d’adresses IP. Les délais sont renouvelés automatiquement si l’adresse n’est pas utilisée par un autre ordinateur. Les adresses affectées aux clients d’un réseau VPN (Virtual Private Network) sont distribuées de la même manière que les adresses DHCP, mais ne proviennent pas de la même plage d’adresses qu’elles. Si vous prévoyez d’utiliser un réseau VPN, veillez à laisser quelques adresses DHCP non affectées pour le réseau VPN. Pour en savoir plus sur le réseau VPN, reportez-vous au chapitre 6, “Service VPN”, à la page 113. Utilisation d’adresses IP statiques Les adresses IP statiques sont affectées à un ordinateur ou à un périphérique une seule fois et ne changent pas. Vous pouvez en affecter à des ordinateurs devant assurer une présence Internet continue, tels que les serveurs Web. Les autres périphériques qui doivent être continuellement disponibles pour les utilisateurs du réseau, comme les imprimantes, peuvent également profiter des adresses IP statiques. Les adresses IP statiques peuvent être configurées soit en saisissant manuellement l’adresse IP sur l’ordinateur ou le périphérique qui est affecté à l’adresse, soit en configurant DHCP pour fournir la même adresse à un ordinateur ou périphérique spécifique à chaque demande. Les adresses affectées par DHCP permettent des modifications de la configuration des adresses sur le serveur DHCP plutôt que sur les différents clients. Les adresses IP statiques configurées manuellement permettent d’éviter les problèmes que certains services peuvent rencontrer avec les adresses DHCP et d’éviter le délai nécessaire à l’affectation des adresses DHCP. N’incluez pas des plages d’adresses IP affectées manuellement dans la plage d’adresses distribuées par DHCP.Chapitre 2 Service DHCP 25 Il est possible de configurer DHCP pour toujours affecter la même adresse à un ordinateur, ce qui vous permet de profiter à la fois des avantages des adresses statiques et des avantages de la configuration réseau centralisée. Pour plus de détails, consultez la section “Affectation d’adresses IP statiques à l’aide de DHCP” à la page 31. Localisation du serveur DHCP Lorsqu’un ordinateur client recherche un serveur DHCP, il diffuse un message. Si votre serveur DHCP se trouve sur un sous-réseau différent de celui de l’ordinateur client, vous devez vérifier que les routeurs qui connectent vos sous-réseaux peuvent réexpédier les diffusions du client et les réponses du serveur DHCP. Tout agent ou routeur relais de votre réseau pouvant relayer des communications BootP fonctionnera avec le serveur DHCP. Si vous ne disposez d’aucun moyen pour relayer les communications BootP, vous devez placer le serveur DHCP sur le même sous-réseau que votre ordinateur client. Interaction avec d’autres serveurs DHCP Votre réseau peut comporter d’autres serveurs DHCP, tels que les bornes d’accès AirPort. Mac OS X Server peut cohabiter avec d’autres serveurs DHCP tant que chacun d’eux utilise un pool unique d’adresses IP. Toutefois, vous pouvez souhaiter que votre serveur DHCP fournisse une adresse de serveur LDAP pour la configuration automatique de l’ordinateur client dans les environnements gérés. Les bornes d’accès AirPort ne peuvent pas fournir d’adresse de serveur LDAP. Pour utiliser la fonction de configuration automatique, vous devez donc configurer les bornes d’accès AirPort en mode pont Ethernet et régler Mac OS X Server pour qu’il fournisse le service DHCP. Si les bornes d’accès AirPort se trouvent sur des sous-réseaux distincts, vos routeurs doivent être configurés pour réexpédier les diffusions des clients et les réponses du serveur DHCP comme décrit précédemment. Si vous souhaitez proposer le service DHCP avec les bornes d’accès AirPort, vous ne pouvez pas utiliser la fonction de configuration automatique de l’ordinateur client et devez donc saisir manuellement les adresses du serveur LDAP sur les stations de travail clientes. Utilisation de plusieurs serveurs DHCP sur un réseau Plusieurs serveurs DHCP peuvent se trouver sur le même réseau. Toutefois, il est important qu’ils soient correctement configurés pour éviter toute interférence entre eux. Chaque serveur doit disposer d’un fonds unique d’adresses IP à distribuer. Affectation d’adresses IP réservées Certaines adresses IP ne peuvent pas être affectées à des hôtes individuels. Il s’agit d’adresses réservées pour des boucles et pour diffusion. Votre FAI ne peut vous affecter des adresses de ce type. Si vous essayez de configurer votre serveur DHCP pour utiliser ce type d’adresses, vous recevrez un avertissement vous indiquant que ces adresses ne sont pas valides, et il vous faudra saisir des adresses valides.26 Chapitre 2 Service DHCP Complément d’informations sur le processus DHCP Mac OS X Server utilise un processus démon appelé “bootpd”, qui est responsable de l’affectation des adresses du service DHCP. Pour plus d’informations sur bootpd et ses options de configuration avancées, vous pouvez accéder à la page man bootpd en tapant la commande suivante dans Terminal : man bootpd Configuration initiale du service DHCP Si vous avez utilisé l’Assistant réglages pour configurer des ports sur votre serveur au moment de l’installation de Mac OS X Server, certaines données DHCP sont déjà configurées. Pour terminer la configuration du service DHCP, vous devez suivre les instructions indiquées dans cette section. Pour chaque étape, vous trouverez un complément d’information sur les réglages à la section “Gestion du service DHCP” à la page 27. Étape 1 : Création de sous-réseaux Les instructions suivantes expliquent comment créer un pool d’adresses IP partagées par les ordinateurs clients sur votre réseau. Vous créez une plage d’adresses partagées pour chaque sous-réseau. Ces adresses sont affectées par le serveur DHCP lorsqu’un client émet une requête. Consultez la section “Création de sous-réseaux dans le service DHCP” à la page 27. Étape 2 : Définition des historiques pour le service DHCP Vous pouvez consigner l’activité et les erreurs du service DHCP afin de contrôler les requêtes et identifier les problèmes de votre serveur. Le service DHCP enregistre des messages de diagnostic dans le fichier historique du système. Pour éviter que ce fichier ne devienne trop volumineux, vous pouvez supprimer la plupart des messages en modifiant les réglages de l’historique dans la fenêtre Consignation des réglages du service DHCP. Pour en savoir plus sur la configuration des historiques pour le service DHCP, consultez la section “Réglage du niveau de détail de l’historique du service DHCP” à la page 33. Étape 3 : Démarrage du service DHCP Consultez la section “Démarrage et arrêt du service DHCP” à la page 27.Chapitre 2 Service DHCP 27 Gestion du service DHCP Cette section explique comment configurer et gérer le service DHCP sur Mac OS X Server. Cela comprend le démarrage du service, la création de sous-réseaux et la définition de réglages facultatifs tels que LDAP ou DNS pour un sous-réseau. Démarrage et arrêt du service DHCP Procédez comme suit pour démarrer ou arrêter le service DHCP. Au moins un sous-réseau doit être créé et activé. Pour démarrer ou arrêter le service DHCP : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Vérifiez qu’au moins une interface réseau et sous-réseau est configurée et sélectionnée. 3 Cliquez sur Démarrer le service ou Arrêter le service. Lorsque le service est activé, le bouton Arrêter le service est disponible. Création de sous-réseaux dans le service DHCP Les sous-réseaux sont des regroupements d’ordinateurs clients sur le même réseau, qui peuvent être organisés par emplacement (différents étages d’un immeuble, par exemple) ou par utilisation (tous les élèves de 3e, par exemple). Chaque sous-réseau possède au moins une plage d’adresses IP. Pour créer un sous-réseau : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Sous-réseaux. 4 Cliquez sur le bouton Ajouter ( + ). 5 Sélectionnez l’onglet Général. 6 Saisissez un nom descriptif pour le nouveau sous-réseau (facultatif). 7 Saisissez une adresse IP de début et de fin pour la plage de ce sous-réseau. Les adresses doivent être contiguës et ne peuvent empiéter sur les plages d’autres sous-réseaux. 8 Saisissez le masque de sous-réseau pour la plage d’adresses du réseau. 9 Choisissez l’Interface du réseau dans le menu local. 10 Saisissez l’adresse IP du routeur de ce sous-réseau. Si le serveur que vous êtes en train de configurer est le routeur du sous-réseau, saisissez l’adresse IP interne LAN de ce serveur comme adresse du routeur. 11 Définissez la durée du bail en heures, jours, semaines ou mois.28 Chapitre 2 Service DHCP 12 Si vous souhaitez définir des informations DNS, LDAP ou WINS pour ce sous-réseau, saisissez-les maintenant. Pour plus d’informations, consultez les sections “Réglage du serveur DNS pour un sousréseau DHCP” à la page 29, “Configuration des options LDAP pour un sous-réseau” à la page 30 et “Configuration des options WINS pour un sous-réseau” à la page 30. 13 Cliquez sur Enregistrer. Modification des réglages des sous-réseaux dans le service DHCP Utilisez Admin Serveur pour modifier les réglages d’un sous-réseau DHCP existant. Vous pouvez modifier la plage d’adresses IP, le masque de sous-réseau, l’interface réseau, le routeur ou la durée du bail. Pour modifier les réglages du sous-réseau : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Sous-réseaux. 4 Sélectionnez un sous-réseau. 5 Cliquez sur le bouton Modifier ( / ). 6 Effectuez les changements souhaités. Ces changements peuvent inclure l’ajout d’informations sur DNS, LDAP ou WINS. Vous pouvez également redéfinir des plages d’adresses ou rediriger l’interface réseau qui répond aux requêtes DHCP. 7 Cliquer sur Enregistrer. Suppression de sous-réseaux du service DHCP Vous pouvez supprimer des sous-réseaux et des plages d’adresses IP de sous-réseaux qui ne seront plus distribuées aux clients. Pour supprimer des sous-réseaux ou des plages d’adresses : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez un sous-réseau. 4 Cliquez sur le bouton Supprimer ( - ). 5 Cliquez sur Enregistrer pour confirmer la suppression. Désactivation temporaire des sous-réseaux Vous pouvez suspendre temporairement un sous-réseau sans perdre ses réglages. Cela signifie qu’aucune adresse IP de la plage du sous-réseau ne sera distribuée à un client sur l’interface sélectionnée.Chapitre 2 Service DHCP 29 Pour désactiver un sous-réseau : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Sous-réseaux. 4 Désélectionnez la case “Activer” à côté du sous-réseau que vous souhaitez désactiver. Modification de la durée du bail des adresses IP d’un sous-réseau Vous pouvez modifier la durée pendant laquelle les adresses IP d’un sous-réseau sont disponibles pour les ordinateurs clients. Pour changer la durée de bail d’une plage d’adresses de sous-réseau : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Sous-réseaux. 4 Sélectionnez une plage de sous-réseaux, puis cliquez sur le bouton Modifier ( / ). 5 Sélectionnez l’onglet Général. 6 Sélectionnez une échelle de temps dans le menu local Durée du bail (heures, jours, semaines ou mois). 7 Saisissez un nombre dans le champ Durée du bail. 8 Cliquer sur Enregistrer. Réglage du serveur DNS pour un sous-réseau DHCP Vous pouvez choisir les serveurs DNS et le nom du domaine par défaut qu’un sous-réseau doit utiliser. Le service DHCP fournit ces informations aux ordinateurs clients du sous-réseau. Pour définir des options DNS pour un sous-réseau : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Sous-réseaux. 4 Sélectionnez une sous-réseau, puis cliquez sur le bouton Modifier ( / ). 5 Sélectionnez l’onglet DNS. 6 Saisissez le domaine par défaut du sous-réseau. 7 Saisissez les adresses IP des serveurs de noms principal et secondaire que vous souhaitez que les clients DHCP utilisent. 8 Cliquer sur Enregistrer.30 Chapitre 2 Service DHCP Configuration des options LDAP pour un sous-réseau Vous pouvez utiliser DHCP pour fournir à vos clients des informations sur le serveur LDAP au lieu d’effectuer une configuration manuelle pour chacun d’eux. L’ordre d’apparition des serveurs LDAP détermine l’ordre de recherche dans la règle de recherche automatique Open Directory. Si vous utilisez actuellement Mac OS X Server comme serveur maître LDAP, les options LDAP contiennent déjà les informations de configuration nécessaires. Si votre serveur maître LDAP est une autre machine, vous devez connaître le nom de domaine ou l’adresse IP de la base de données LDAP que vous souhaitez utiliser. Vous devez également connaître la base de recherche LDAP. Pour définir les options LDAP d’un sous-réseau : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Sous-réseaux. 4 Sélectionnez une sous-réseau, puis cliquez sur le bouton Modifier ( / ). 5 Cliquez sur l’onglet LDAP. 6 Saisissez le nom de domaine ou l’adresse IP du serveur LDAP pour ce sous-réseau. 7 Saisissez la base de recherche pour les recherches LDAP. 8 Saisissez le numéro de port LDAP, si vous utilisez un port non standard. 9 Sélectionnez LDAP via SSL, si nécessaire. 10 Cliquer sur Enregistrer. Configuration des options WINS pour un sous-réseau Vous pouvez fournir des informations complémentaires aux ordinateurs clients exécutant Windows dans un sous-réseau en ajoutant les réglages spécifiques de Windows aux données de configuration du réseau DHCP. Ces réglages spécifiques de Windows permettent aux clients Windows de parcourir leur Voisinage réseau. Vous devez connaître le nom de domaine ou l’adresse IP des serveurs principal et secondaire WINS/NBNS (il s’agit généralement de l’adresse IP du serveur DHCP), ainsi que le type de nœud NBT (qui est généralement “diffusion”). Le serveur NBDD et l’identifiant (ID) d’étendue NetBIOS ne sont généralement pas utilisés, mais vous pouvez en avoir besoin, selon la configuration de vos ordinateurs clients Windows et de l’infrastructure réseau de Windows.Chapitre 2 Service DHCP 31 Pour définir les options WINS pour un sous-réseau : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Sous-réseaux. 4 Sélectionnez une sous-réseau, puis cliquez sur le bouton Modifier ( / ). 5 Cliquez sur l’onglet WINS. 6 Saisissez le nom de domaine ou l’adresse IP des serveurs principal et secondaire WINS/NBNS pour ce sous-réseau. 7 Saisissez le nom de domaine ou l’adresse IP du serveur NBDD pour ce sous-réseau. 8 Choisissez le type de nœud NBT dans le menu local. 9 Saisissez l’identifiant (ID) d’étendue NetBIOS. 10 Cliquer sur Enregistrer. Affectation d’adresses IP statiques à l’aide de DHCP Vous pouvez affecter les mêmes adresses à des ordinateurs, si vous le souhaitez. Cela vous permet de conserver la facilité de configuration de DHCP tout en ayant des serveurs ou des services statiques. Pour affecter la même adresse IP à un ordinateur, vous devez connaître l’adresse Ethernet de l’ordinateur (on l’appelle parfois également l’adresse MAC ou l’adresse matérielle). Chaque interface réseau dispose de sa propre adresse Ethernet. N’oubliez pas qu’un ordinateur qui passe d’un réseau câblé à un réseau sans fil utilise deux adresses Ethernet différentes, l’une pour la connexion câblée, l’autre pour la connexion sans fil. Pour affecter des adresses IP statiques : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Cliquez sur Cartes statiques. 4 Cliquez sur le bouton Ajouter ( + ). 5 Saisissez l’adresse Ethernet de l’ordinateur qui doit recevoir une adresse statique. 6 Saisissez l’adresse IP que vous souhaitez lui affecter. 7 Saisissez le nom de l’ordinateur. 8 Cliquez sur OK. 9 Cliquer sur Enregistrer.32 Chapitre 2 Service DHCP Suppression ou modification de mappages d’adresses statiques Vous pouvez modifier ou supprimer les mappages statiques comme vous le souhaitez. Pour modifier ou supprimer un mappage d’adresses statiques : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Cliquez sur Cartes statiques. 4 Sélectionnez le mappage à modifier ou supprimer. 5 Cliquez sur le bouton Modifier ( / ) ou Supprimer ( - ). 6 Si vous modifiez le mappage, apportez les modifications souhaitées, puis cliquez sur OK. 7 Cliquer sur Enregistrer. Contrôle du service DHCP Vous aurez besoin de contrôler le service DHCP. Vous avez deux possibilités pour contrôler le service DHCP. D’abord vous pouvez afficher la liste des clients, ensuite vous pouvez surveiller les fichiers d’historique générés par le service. Vous pouvez utiliser les historiques du service pour vous aider à résoudre des problèmes de réseau. Les sections suivantes traitent de ces modes de contrôle du service DHCP. Affichage de la vue d’ensemble de l’état du service DHCP La vue d’ensemble de l’état du service DHCP propose un récapitulatif sommaire de ce dernier. Elle indique si le service est actif, le nombre de clients qu’il comporte et l’heure à laquelle il a démarré. Il indique également le nombre d’adresses IP affectées de manière statique depuis vos sous-réseaux, ainsi que la date de la dernière mise à jour de la base de données clients. Pour afficher la vue d’ensemble : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur le bouton Vue d’ensemble.Chapitre 2 Service DHCP 33 Réglage du niveau de détail de l’historique du service DHCP Vous pouvez choisir le niveau de détail souhaité pour les historiques du service DHCP. • “Faible (erreurs uniquement)” indiquera les cas où vous devez intervenir immédiatement (par exemple, si le serveur DHCP ne démarre pas). Ce niveau correspond au rapport de bootpd en mode “quiet” (silencieux), identifié par l’indicateur “-q”. • “Moyen (erreurs et messages)” peut vous avertir lorsque des données sont incohérentes, mais que le serveur DHCP peut encore fonctionner. Ce niveau correspond au rapport par défaut de bootpd. • “Élevé (tous les événements)” enregistre toute l’activité du service DHCP, y compris les fonctions routines. Ce niveau correspond au rapport de bootpd en mode “verbose” (maximal), identifié par l’indicateur “-v”. Pour configurer le niveau de détail de l’historique : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Consignation. 4 Choisissez l’option de consignation souhaitée. 5 Cliquer sur Enregistrer. Visualisation des entrées d’historique du service DHCP Si vous avez activé la consignation pour le service DHCP, vous pouvez consulter l’historique système pour connaître les erreurs DHCP. L’affichage d’historique est le fichier .log système filtré pour “bootpd”. Vous pouvez encore restreindre les règles à l’aide du champ de filtrage de texte. Pour afficher des entrées d’historique DHCP : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur Historique. Visualisation de la liste des clients DHCP La fenêtre Clients DHCP fournit les informations suivantes pour chaque client : • l’adresse IP fournie au client ; • le nombre de jours restant pour la durée du bail tant qu’il n’est pas inférieur à 24 heures, et ensuite, le nombre d’heures et de minutes ; • l’identifiant du client DHCP qui correspond en général, mais pas systématiquement, à l’adresse matérielle ; • le nom de l’ordinateur ; • l’identifiant Ethernet.34 Chapitre 2 Service DHCP Pour afficher la liste des clients DHCP : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur Clients. Cliquez sur un en-tête de colonne pour trier la liste selon divers critères. Configurations réseau courantes qui utilisent DHCP La section qui suit contient des exemples de configurations DHCP pour différentes utilisations du réseau. Lorsque vous configurez un réseau privé, vous devez choisir vos adresses IP parmi les blocs d’adresses que l’IANA (Internet Assigned Numbers Authority) réserve aux réseaux privés (Intranets) : • 10.0.0.0 à –10.255.255.255 (préfixe 10/8) • 172.16.0.0 à –172.31.255.255 (préfixe 172.16/12) • 192.168.0.0–192.168.255.255 (préfixe 192.168/16) Utilisation de DHCP pour la fourniture d’adresses IP derrière une passerelle NAT Utilisez DHCP pour fournir des adresses IP aux ordinateurs qui se trouvent derrière une passerelle NAT. Bien que cela ne soit pas absolument nécessaire (la traduction d’adresses de réseau peut être utilisée avec des adresses IP statiques plutôt qu’avec DHCP), cela permet une configuration aisée des ordinateurs clients. Pour plus de détails, consultez la section “Liaison d’un réseau local à Internet via une adresse IP” à la page 106. Configuration Groupe de travail Imaginons que vous ayez un petit groupe de travail qui dispose de son propre groupe d’adresses DHCP. Vous avez également une imprimante connectée par IP, un serveur de fichiers et un serveur Open Directory (sur le réseau ou pas) à des fins de gestion des utilisateurs. Pour utiliser DHCP dans cette configuration, vous devez disposer d’un : • Coupe-feu opérationnel et configuré qui autorise les connections LDAP et d’imprimante (impression IP). Pour plus de détails, consultez le chapitre 4, “Service de coupe-feu IP”. • Serveur Open Directory ou LDAP opérationnel et configuré sur lequel des utilisateurs sont définis. Pour en savoir plus, consultez les guides “Mac OS X Server Administration d'Open Directory pour la version 10.4 ou ultérieure” et “Mac OS X Server Gestion utilisateur pour la version 10.4 ou ultérieure”.Chapitre 2 Service DHCP 35 La configuration de DHCP, dans cet exemple, implique l’utilisation du mappage d’adresses IP statiques et des réglages réseau supplémentaires sur les clients. Vous pourriez configurer cela de la manière suivante : • Pour une imprimante qui doit recevoir une adresse IP statique, vérifiez que la plage d’adresses DHCP affectée ne contient pas l’adresse IP statique de l’imprimante. Si celle-ci peut être configurée pour accepter une adresse via DHCP, ne vous souciez pas d’un éventuel chevauchement. Pour plus de détails, consultez la section “Utilisation d’adresses IP statiques” à la page 24. • Pour un serveur de fichiers qui doit toujours recevoir la même adresse, utilisez le mappage IP statique de Mac OS X Server pour toujours affecter la même adresse IP à son adresse Ethernet. Pour plus de détails, consultez la section “Affectation d’adresses IP statiques à l’aide de DHCP” à la page 31. • Pour la configuration de DHCP, activez les options LDAP pour les clients DHCP. Cela donne automatiquement aux clients les informations de répertoire dont ils ont besoin. Pour plus de détails, consultez la section “Configuration des options LDAP pour un sous-réseau” à la page 30. • Pour la configuration des clients Mac OS X, vérifiez que la méthode de configuration IPv4 dans la sous-fenêtre Réseau des Préférences Système est réglée sur “DHCP”. Cette configuration permet aux ordinateurs sur le réseau d’être gérés par un serveur LDAP ou Open Directory et d’obtenir l’ensemble de leur configuration de mise en réseau de DHCP. Ils peuvent avoir accès à une adresse IP statique ou aux adresses IP affectées de manière constante sur le même réseau. Vous bénéficiez en outre de la configuration centralisée pour tous les ordinateurs clients. Configuration Laboratoire d’étudiants La configuration Laboratoire d’étudiants est semblable à la configuration Groupe de travail, mais ajoute un service supplémentaire qui utilise DHCP : Netboot. En plus de DHCP pour la configuration de mise en réseau centralisée, Netboot standardise les environnements de démarrage en faisant démarrer tous les ordinateurs clients à partir d’une image disque qui se trouve sur un serveur NetBoot central. Cette configuration est identique à la “Configuration Groupe de travail” à la page 34, mais avec les exceptions suivantes : • Il peut y avoir des ressources d’adresses statiques ou pas. Cela dépend de la composition du laboratoire, bien entendu. Vous pouvez avoir une imprimante ou un serveur de fichiers de classe, mais si vous utilisez un chariot mobile que vous déplacez de classe en classe, vous n’allez pas emmener un serveur et une imprimante avez vous.36 Chapitre 2 Service DHCP • NetBoot est activé et configuré, ainsi que les réglages de coupe-feu pour le prendre en charge. Tout client sur le réseau peut être configuré pour démarrer à partir du serveur NetBoot. De nouveaux ordinateurs peuvent être déployés en définissant l’image NetBoot comme disque de démarrage de l’ordinateur. Aucune autre configuration n’est nécessaire et il est aisé de modifier ultérieurement l’usage auquel les ordinateurs sont destinés car le disque dur peut ne pas être modifié. Cette configuration permet aux ordinateurs sur le réseau d’être gérés par un serveur LDAP ou Open Directory et d’obtenir l’ensemble de leur configuration de mise en réseau de DHCP. L’environnement informatique est également configuré de manière centralisée pour tous les ordinateurs clients. Les nouveaux clients peuvent être ajoutés ou remplacés sans efforts. Configuration Bistrot La configuration Bistrot ne concerne pas nécessairement un bistrot. Il s’agit d’un type de configuration destiné à un environnement d’adressage entièrement dynamique, sans gestion des utilisateurs et sans autre service fourni que l’accès à Internet, l’accès à un DNS et, éventuellement, l’un ou l’autre service. Elle se caractérise par un grand nombre d’utilisateurs mobiles de passage qui utilisent l’accès à Internet, puis repartent. Cette configuration pourrait être utilisée dans des situations réelles, comme, par exemple, pour un réseau sans fil dans un établissement d’enseignement supérieur ou un bureau commun destiné aux consultants de passage. Pour utiliser DHCP dans cette configuration, vous devez disposer d’un : • Coupe-feu opérationnel et configuré qui autorise uniquement le trafic sortant vers le Web et les recherches sortantes DNS. Vous pouvez placer ce réseau en dehors de votre coupe-feu et vérifier que le trafic réseau des adresses IP affectées par DHCP est parfaitement contrôlé et surveillé. Pour plus de détails, consultez le chapitre 4, “Service de coupe-feu IP”. Vous pouvez configurer le service DHCP comme suit : • Rendez la configuration de mise en réseau automatique. Configurez les clients DHCP pour recevoir le plus de configuration réseau possible via DHCP. • Ne donnez pas aux clients DHCP des options qu’ils ne sont pas censés avoir. Ne leur donnez pas d’informations supplémentaires sur votre organisation via des informations LDAP. Vous pouvez donner aux clients Windows des options réseau supplémentaires. Pour plus de détails, consultez la section “Configuration des options WINS pour un sous-réseau” à la page 30. Avertissement : vérifiez que les éventuelles informations sensibles qui se trouvent sur votre réseau local sont bien protégées derrière un coupe-feu supplémentaire sur un autre réseau si vous hébergez des utilisateurs temporaires non authentifiés.Chapitre 2 Service DHCP 37 • Limitez l’usage des ressources. Un grand nombre d’utilisateurs peut entraîner l’utilisation de beaucoup de bande passante. Vous pourriez réduire le nombre de clients DHCP pouvant se connecter simultanément en autorisant uniquement l’affectation d’un nombre réduit d’adresses. Pour plus de détails, consultez la section “Création de sous-réseaux dans le service DHCP” à la page 27. • Gardez un rythme de réaffectation des adresses élevé. Vous souhaiterez rendre la durée de bail des adresses aussi courte que possible. De la sorte, comme les utilisateurs vont et viennent sur le réseau, les adresses peuvent être réaffectées aussi rapidement que possible. Pour plus de détails, consultez la section “Création de sous-réseaux dans le service DHCP” à la page 27. • Surveillez le trafic. Gardez un œil sur les connexion et les clients DHCP, la connexion des paquets de règles du coupe-feu ou d’autres outils de surveillance. Les points d’accès ouverts peuvent constituer un danger s’ils ne sont pas gardés avec vigilance. Autres sources d’informations Les documents RFC (Request for Comments) offrent un aperçu d’un protocole ou service et présentent de manière détaillée comment le protocole doit se comporter. Si vous êtes administrateur serveur débutant, vous trouverez probablement certaines informations utiles dans les RFC. Si vous êtes administrateur serveur expérimenté, vous trouverez tous les détails techniques sur un protocole particulier dans le document RFC correspondant. Vous pouvez rechercher des documents RFC par numéro sur le site : www.ietf.org/rfc.html Pour des informations détaillées sur le service DHCP, consultez le RFC 2131. Pour en savoir plus sur bootpd et ses options de configuration avancées, consultez la page man de bootpd dans le Terminal en tapant : man bootpd3 39 3 Service DNS Lorsque vos clients cherchent à se connecter à une ressource réseau, telle qu’un serveur Web ou un serveur de fichiers, ils utilisent en général son nom de domaine (comme www.exemple.com) plutôt que son adresse IP (comme 192.168.12.12). Le système DNS (Domain Name System) est une base de données distribuée mappant des adresses IP vers des noms de domaines afin que vos clients localisent les ressources par leur nom plutôt que par leur adresse numérique. Un serveur DNS met à jour la liste des noms de domaines et des adresses IP associées à chaque nom. Lorsqu’un ordinateur a besoin de l’adresse IP correspondant à un nom, il envoie un message au serveur DNS (également appelé serveur de noms). Le serveur de noms cherche l’adresse IP et la renvoie à l’ordinateur. Si le serveur de noms ne trouve pas l’adresse IP en local, il envoie des messages à d’autres serveurs de noms sur Internet pour l’obtenir. Le processus de configuration et de maintenance d’un serveur DNS est complexe. C’est pourquoi de nombreux administrateurs font appel à leur fournisseur d’accès à Internet (FAI) pour les services DNS. Si tel est le cas, il ne vous reste plus qu’à configurer vos préférences réseau avec l’adresse IP du serveur de noms que votre fournisseur vous a indiquée. Si votre fournisseur ne peut pas traiter les demandes DNS pour votre réseau et que l’une des affirmations suivantes se vérifie, vous devez configurer le service DNS : • Vous n’avez pas la possibilité d’utiliser le service DNS de votre FAI ou toute autre source. • Vous envisagez de modifier souvent l’espace de noms et voulez le gérer vous-même. • Vous disposez d’un serveur de courrier sur votre réseau et rencontrez des problèmes de coordination avec le fournisseur chargé de votre domaine. • Vous avez des craintes en matière de sécurité concernant le fait de donner les noms et les adresses des ordinateurs de votre réseau à une organisation extérieure (votre fournisseur d’accès à Internet). Mac OS X Server utilise Berkeley Internet Name Domain (BIND v.9.2.2) pour l’implémentation des protocoles DNS. BIND est une implémentation open source utilisée par la majorité des serveurs de noms sur Internet.40 Chapitre 3 Service DNS Avant de configurer le service DNS Cette section comporte des informations dont il est recommandé de tenir compte avant de configurer le service DNS sur votre réseau. Les problèmes qu’implique l’administration DNS sont aussi complexes que nombreux. Vous ne devez procéder à la configuration du service DNS sur votre réseau que si vous vous êtes un administrateur DNS expérimenté. Vous pouvez envisager de créer un alias de messagerie appelé “hostmaster” pour recevoir le courrier et l’envoyer à la personne qui fait fonctionner le serveur DNS sur votre site. Cela permet aux utilisateurs et aux autres administrateurs DNS de vous contacter au sujet de problèmes liés au service DNS. DNS et BIND Vous devez maîtriser complètement ce domaine avant de configurer votre propre serveur DNS. Pour vous documenter sur le DNS, lisez DNS and BIND, 4ème édition, de Paul Albitz et Cricket Liu (O’Reilly and Associates, 2001). Remarque : Apple peut vous aider à trouver un conseiller réseau pour implémenter votre service DNS. Vous pouvez prendre contact avec Apple Professional Services et Apple Consultants Network sur le Web à l’adresse www.apple.com/fr/services/ ou www.apple.com/consultants. Configuration de plusieurs serveurs de noms Vous devez configurer au moins un serveur de noms principal et un autre secondaire. De cette manière, le serveur de noms secondaire peut prendre la relève au cas où le serveur de noms principal s’arrête subitement. Un serveur secondaire obtient des données du serveur principal en copiant régulièrement toutes les informations sur le domaine de ce dernier. Une fois que le serveur de noms obtient le couple nom/adresse d’un hôte dans un autre domaine (c’est-à-dire en dehors du domaine qu’il dessert), les informations sont mises en cache afin de garantir que les adresses IP des noms récemment résolus sont stockées pour une utilisation ultérieure. Les informations DNS sont en général mises en cache sur votre serveur de noms pour une durée déterminée, désignée par la valeur time-to-live (TTL). Lorsque la valeur TTL d’un couple nom de domaine/adresse IP est arrivée à expiration, l’entrée correspondante est supprimée de la mémoire cache du serveur de noms. Votre serveur redemande alors les informations dont il a besoin.Chapitre 3 Service DNS 41 Configuration initiale du service DNS Si vous utilisez un serveur de noms DNS externe et avez entré son adresse IP dans l’Assistant réglages, vous n’avez rien d’autre à faire. Si vous configurez votre propre serveur DNS, suivez les étapes décrites dans cette section. Étape 1 : Enregistrement de votre nom de domaine L’enregistrement d’un nom de domaine est géré par une organisation centralisée nommée IANA (Internet Assigned Numbers Authority). IANA garantit l’unicité des noms de domaines à travers Internet. (Consultez la page www.iana.org pour en savoir plus.) Si vous n’enregistrez pas votre nom de domaine, votre réseau ne pourra pas communiquer sur Internet. Une fois le nom de domaine enregistré, vous pouvez créer des sous-domaines si votre serveur DNS est configuré sur votre réseau pour effectuer le suivi des noms et des adresses IP des sous-domaines. Par exemple, si vous enregistrez le nom de domaine “exemple.com”, vous pouvez créer les sous-domaines “hôte1.exemple.com”, “courrier.exemple.com” ou “www.exemple.com”. Le serveur d’un sous-domaine peut s’appeler “principal.www.exemple.com” ou “sauvegarde.www.exemple.com.” Le serveur DNS pour exemple.com assure le suivi des informations pour ses sous-domaines, telles que les noms d’hôtes (ou d’ordinateurs), les adresses IP statiques, les alias et les échangeurs de courrier. Si votre FAI gère votre service DNS, vous devrez l’informer de toutes les modifications apportées à votre espace de noms, y compris l’ajout de sous-domaines. La plage d’adresses IP utilisées pour un domaine donné doit être clairement précisée avant la configuration. Ces adresses sont uniquement utilisées pour un domaine spécifique (et jamais par un autre domaine ou sous-domaine). La plage d’adresses doit être communiquée à votre administrateur réseau ou fournisseur d’accès. Étape 2 : Formation et planification Si c’est la première fois que vous travaillez avec le DNS, vous devez apprendre et comprendre les concepts, les outils et les fonctions DNS de Mac OS X Server et de BIND. Reportez-vous à la section “Autres sources d’informations” à la page 63. Ensuite, planifiez votre service DNS. Vous pouvez vous poser les questions suivantes lors de la planification : • Avez-vous réellement besoin d’un serveur DNS local ? Votre FAI fournit-il le service DNS ? Pourriez-vous utiliser les noms DNS multi-diffusion à la place ? • De combien de serveurs aurez-vous besoin pour la charge prévue ? De combien de serveurs aurez-vous besoin pour les sauvegardes ? Ainsi, vous devrez désigner un second, voire un troisième ordinateur pour le service DNS de sauvegarde. • Quelle est votre stratégie de sécurité en cas d’utilisation illicite ? • À quelle fréquence devez-vous programmer les inspections ou tests périodiques des enregistrements DNS pour vérifier l’intégrité des données ?42 Chapitre 3 Service DNS • Combien de services ou de périphériques (comme un site Web intranet ou une imprimante réseau) auront-ils besoin d’un nom ? Il existe deux façons de configurer le service DNS sur Mac OS X Server. La première (recommandée) consiste à configurer le service DNS en utilisant Admin Serveur. Pour plus d’informations, reportez-vous à la section “Gestion du service DNS” à la page 43 pour les instructions. La seconde façon de configurer le DNS consiste à modifier le fichier de configuration de BIND. BIND est le jeu de programmes utilisé par Mac OS X Server qui implémente le DNS. L’un de ces programmes est le démon des noms ou named. Pour installer et configurer BIND, vous devez modifier le fichier de configuration et le fichier de zone. Le fichier de configuration se trouve dans le fichier suivant : /etc/named.conf Le nom du fichier de zone est créé à partir du nom de la zone. Ainsi, le fichier de zone “exemple.com” se trouve dans le fichier suivant : /var/named/exemple.com.zone Si vous modifiez named.conf pour configurer BIND, ne modifiez en aucun cas les réglages relatifs à l’instruction de contrôle inet. Si vous le faites, Admin Serveur ne pourra plus extraire d’informations d’état pour DNS. Les réglages inet doivent être les suivants : controls { inet 127.0.0.1 port 54 allow {any;} keys { "rndc-key"; }; }; Étape 3 : Configuration des réglages de base du DNS Pour plus de détails, consultez la section “Gestion du service DNS” à la page 43. Décidez si vous allez autoriser la récursion ou les transferts de zone. Étape 4 : Création d’une zone DNS Utilisez Admin Serveur pour configurer des zones DNS. Pour obtenir des instructions, consultez la section “Gestion de zones DNS” à la page 45. Après avoir ajouté une zone principale, Admin Serveur crée automatiquement un enregistrement NS portant le même nom que la SOA (Source of Authority). Chaque fois que vous créez une zone, Mac OS X Server crée une zone de recherche inverse. Les zones de recherche inverse convertissent les adresses IP en noms de domaine, alors que les recherches normales convertissent les noms de domaine en adresses IP.Chapitre 3 Service DNS 43 Étape 5 : Ajout d’enregistrements d’ordinateur DNS à la zone Utilisez Admin Serveur pour ajouter des enregistrements supplémentaires à votre zone. Créez un enregistrement d’adresse pour tous les ordinateurs ou périphériques (imprimante, serveur de fichiers, etc.) possédant une adresse IP statique et ayant besoin d’un nom. Divers enregistrements de zone DNS sont créés à partir des entrées d’ordinateur DNS. Pour obtenir des instructions, consultez la section “Gestion d’enregistrements d’ordinateur DNS” à la page 49. Étape 6 : Configuration d’un enregistrement MX (Mail Exchange) (facultatif) Si vous proposez un service de courrier sur Internet, vous devez configurer un enregistrement MX pour votre serveur. Pour plus de détails, consultez la section “Configuration des enregistrements MX” à la page 57. Étape 7 : Configuration du coupe-feu IP Vous allez devoir configurer votre coupe-feu pour vous assurer que votre service DNS est protégé des attaques et accessible par vos clients. Pour en savoir plus sur la configuration d’un coupe-feu IP, consultez le chapitre 4, “Service de coupe-feu IP”. Étape 8 : Démarrage du service DNS Mac OS X Server offre une interface simple pour démarrer et arrêter le service DNS. Pour plus de détails, consultez la section “Démarrage et arrêt du service DNS” à la page 43. Gestion du service DNS Mac OS X Server offre une interface simple pour démarrer et arrêter le service DNS et visualiser les historiques et les états. Les réglages DNS de base peuvent être configurés à l’aide d’Admin Serveur. Les fonctions plus avancées nécessitent la configuration du BIND à partir de la ligne de commande et ne sont pas traitées dans ce manuel. Démarrage et arrêt du service DNS Procédez comme suit pour démarrer ou arrêter le service DNS. N’oubliez pas de redémarrer le service DNS après chaque modification du service DNS effectuée dans Admin Serveur. Pour démarrer ou arrêter le service DNS : 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Assurez-vous qu’au moins une Zone et sa zone de recherche inverse sont créées et entièrement configurées. 3 Cliquez sur Démarrer le service ou Arrêter le service. Le démarrage et l’arrêt du service peuvent prendre un instant.44 Chapitre 3 Service DNS Activation ou désactivation des transferts de zone Dans le DNS (Domain Name System), le “transfert de zone” permet de dupliquer les données de zone sur les serveurs DNS de référence. Les serveurs DNS secondaires utilisent les transferts de zone pour acquérir leurs données sur les serveurs DNS principaux. Les transferts de zone doivent être activés pour utiliser les serveurs DNS secondaires. Pour activer ou désactiver le transfert de zone : 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Général. 4 Sélectionnez ou désélectionnez “Autoriser les transferts de zone”, selon le cas. Activation ou désactivation de la récursion La récursion est un procédé permettant de résoudre complètement les noms de domaine en adresses IP. Les applications des utilisateurs dépendent du serveur DNS pour l’exécution de cette fonction. Les autres serveurs DNS qui lancent des requêtes sur le vôtre n’ont pas à effectuer la récursion. Pour empêcher des utilisateurs malveillants de corrompre les enregistrements de la zone principale (“corruption de cache” ou “cache poisoning”) ou de favoriser une utilisation illicite du service DNS, vous pouvez désactiver la récursion. Toutefois, si vous l’arrêtez, vos propres utilisateurs ne pourront plus utiliser le service DNS pour rechercher des noms en dehors de vos zones. Vous ne devez donc désactiver la récursion que si aucun client n’utilise ce serveur DNS pour la résolution de noms et qu’aucun serveur ne l’utilise pour les réexpédier. Pour activer ou désactiver la récursion : 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Général. 4 Sélectionnez ou désélectionnez Récursion, comme vous le souhaitez. Sélectionnez Récursion pour l’autoriser. Désélectionnez la récursion pour ne pas l’autoriser. Si vous choisissez d’activer la récursion, vous avez la possibilité de la désactiver pour les adresses IP externes, mais de l’activer pour les adresses IP du réseau LAN, en modifiant le fichier named.conf de BIND. Pour plus d’informations, consultez la documentation de BIND.Chapitre 3 Service DNS 45 Gestion de zones DNS Les zones sont l’élément de base de l’organisation du système de nom de domaine (DNS). Les zones contiennent des enregistrements et sont définies en fonction de leur mode d’acquisition de ces enregistrements et de leur mode de réponse aux requêtes DNS. Il y a, en principe, trois types de zones (les autres ne sont pas couvertes par ce guide) : Principale Une zone principale possède la copie maîtresse des enregistrements de la zone et fournit les réponses officielles aux requêtes de recherche. Secondaire Une zone secondaire est une copie d’une zone principale stockée sur un serveur de noms secondaire. Chaque secondaire conserve une liste des serveurs principaux qu’elle contacte pour recevoir les mises à jour des enregistrements de la zone principale. Les zones secondaires doivent être configurées pour demander la copie des données de la zone principale. Les zones secondaires utilisent les transferts de zone pour obtenir ces copies. Les serveurs de noms secondaires peuvent traiter les requêtes de recherche comme les serveurs principaux. L’utilisation de plusieurs zones secondaires liées à une seule zone principale vous permet de répartir la charge des requêtes DNS entre plusieurs ordinateurs et de garantir que les requêtes de recherche reçoivent une réponse lorsque le serveur de noms principal est hors service. Les zones secondaires disposent également d’un intervalle d’actualisation. Celui-ci détermine la fréquence à laquelle les zones secondaires vérifient si des modifications ont été apportées à la zone principale. Vous pouvez modifier l’intervalle d’actualisation de la zone en utilisant le fichier de configuration de BIND. Pour plus d’informations, reportez-vous à la documentation de BIND. Réexpédition Une zone de réexpédition transfère toutes les requêtes de recherche destinées à cette zone vers d’autres serveurs DNS. Les zones de réexpédition n’effectuent pas de transferts de zone. Bien souvent, les serveurs de zones de réexpédition sont utilisés pour offrir les services DNS à un réseau privé situé derrière un coupe-feu. Dans ce cas, le serveur DNS doit avoir accès à Internet et à un autre serveur DNS situé en dehors du coupe-feu. Enfin, les zones de réexpédition mettent en mémoire cache les réponses aux requêtes qu’elles transmettent. Cela permet d’améliorer les performances des recherches des clients qui utilisent la zone de réexpédition. Admin Serveur ne prend pas en charge la création ni la modification des zones de réexpédition. Pour créer une zone de réexpédition, vous devez configurer BIND manuellement à la ligne de commande. Pour plus de détails, reportez-vous à la documentation de BIND.46 Chapitre 3 Service DNS Ajout d’une zone principale Une zone principale possède la copie maîtresse des enregistrements de la zone et fournit les réponses officielles aux requêtes de recherche. Après avoir ajouté une zone principale, Admin Serveur crée automatiquement un enregistrement NS portant le même nom que la SOA (Source of Authority). Pour ajouter une zone principale : 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Zones. 4 Cliquez sur le bouton Ajouter ( + ) sous la liste Zones. 5 Saisissez un nom de zone. Le nom de la zone est le nom de domaine. 6 Saisissez le nom d’hôte de la SOA du domaine. Si cet ordinateur est le serveur de noms officiel du domaine, saisissez le nom d’hôte de l’ordinateur. Par exemple, “sdn.exemple.com.” 7 Saisissez l’adresse IP du serveur de la zone. 8 Saisissez l’adresse électronique de l’administrateur de la zone. 9 Saisissez la durée de la validité de la zone. Il s’agit de la durée de vie de la zone. La durée de vie détermine pendant combien de temps les informations en réponse aux requêtes peuvent rester en mémoire cache dans les systèmes DNS distants avant d’interroger à nouveau le serveur faisant autorité. 10 Cliquez sur Enregistrer.Chapitre 3 Service DNS 47 Ajout d’une zone secondaire Une zone secondaire est une copie d’une zone principale stockée sur un serveur de noms secondaire. Chaque zone secondaire conserve une liste des serveurs principaux qu’elle contacte pour recevoir les mises à jour des enregistrements de la zone principale. Les zones secondaires doivent être configurées pour demander la copie des données de la zone principale. Les zones secondaires utilisent les transferts de zone pour obtenir ces copies. Les serveurs de noms secondaires peuvent traiter les requêtes de recherche comme les serveurs principaux. Pour ajouter une zone secondaire : 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Zones secondaires. 4 Cliquez sur le bouton Ajouter ( + ) sous la liste Zones. 5 Saisissez un nom de zone. Il s’agit du nom de domaine complet du serveur secondaire. 6 Cliquez sur le bouton Ajouter ( + ). 7 Saisissez les adresses IP des serveurs principaux de cette zone secondaire. 8 Cliquez sur OK. 9 Cliquer sur Enregistrer. Duplication d’une zone Vous pouvez créer une copie d’une zone existante sur le même ordinateur. Vous pourriez utiliser ceci pour accélérer la configuration de plusieurs zones ou noms de domaine pour un seul et unique réseau local physique. Pour dupliquer une zone : 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Zones. 4 Cliquez sur le bouton Dupliquer sous la liste Zones. 5 Si vous le souhaitez, double-cliquez sur la zone nouvellement dupliquée pour modifier les informations sur la zone. 6 Cliquer sur Enregistrer.48 Chapitre 3 Service DNS Modification d’une zone Cette section décrit la modification d’un type de zone et de ses réglages, mais pas celle des enregistrements d’une zone. Vous devrez peut-être modifier l’adresse électronique de l’administrateur, le type ou le nom de domaine d’une zone. Pour modifier une zone : 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Zones. 4 Cliquez sur le bouton Modifier ( / ) sous la liste Zones. 5 Modifiez le nom, le type ou l’adresse électronique de l’administrateur de la zone, selon le cas. Pour plus d’informations sur les types de zones, reportez-vous à la section “Gestion de zones DNS” à la page 45. 6 Cliquez sur OK, puis sur Enregistrer. Suppression d’une zone Cette section explique comment supprimer une zone existante. Cette action supprime la zone et tous les enregistrements qui lui sont associés. Pour supprimer une zone : 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Zones. 4 Sélectionnez la zone à supprimer. 5 Cliquez sur le bouton Supprimer ( - ) sous la liste Zones. 6 Cliquez sur Enregistrer pour confirmer la suppression. Utilisation d’un fichier de zone Vous disposez peut-être d’un fichier de zone BIND provenant d’un serveur DNS d’une autre plateforme. Plutôt que de saisir toutes les informations dans Admin Serveur manuellement, vous pouvez utiliser le fichier de zone directement avec Mac OS X Server. L’utilisation d’un fichier de zone existant requiert des autorisations d’accès root sur le fichier de configuration BIND (/etc/named.conf), le répertoire de zones de travail (/var/named/), des connaissances élémentaires de BIND 9 et une maîtrise de l’application Terminal. À défaut, il est fortement recommandé d’utiliser les outils DNS d’Admin Serveur.Chapitre 3 Service DNS 49 Pour importer un fichier de zone : 1 Ajoutez la directive de zone au fichier de configuration de BIND, /etc/named.conf Vous devez disposer de privilèges root pour modifier named.conf. Pour une zone “xyz.com” décrite dans un fichier de zone “db.xyz.com” dans le répertoire de zones de travail “/var/named/”, la directive ressemble à peu de choses près à ceci : zone "xyz.com" IN { // Zone de recherche en avant pour xyz.com type master; // Il s’agit d’une zone principale file "db.xyz.com"; // Infos stockées dans /var/named/db.xyz.com allow-update { none; }; }; 2 Vérifiez que le fichier de zone est ajouté au répertoire de zones de travail (/var/named/). 3 Redémarrez le service DNS à l’aide d’Admin Serveur. Gestion d’enregistrements d’ordinateur DNS Chaque zone contient un certain nombre d’enregistrements. Ces enregistrements sont demandés lorsqu’un ordinateur client doit convertir un nom de domaine (comme www.exemple.com) en numéro IP. Les navigateurs Web, les clients de messagerie et autres applications réseau se fient aux enregistrements de la zone pour s’adresser au serveur adéquat. Les enregistrements de la zone principale seront consultés par d’autres utilisateurs qui cherchent à se connecter à vos services réseau via Internet. Il existe plusieurs sortes d’enregistrements DNS. Les enregistrements qui peuvent être configurés par l’interface utilisateur d’Admin Serveur sont : • Adresse (A) : stocke l’adresse IP associée à un nom de domaine. • Nom canonique (CNAME) : stocke un alias en connexion avec le “nom réel” d’un serveur. Par exemple, mail.apple.com pourrait être un alias d’un ordinateur portant le nom canonique “réel” MailSrv473.apple.com. • Échangeur de courrier (MX) : contient le nom de domaine de l’ordinateur utilisé pour le courrier électronique d’une zone. • Serveur de noms (NS) : contient le serveur de noms de référence pour une zone donnée. • Pointeur (PTR) : contient le nom de domaine d’une adresse IP donnée (recherche inverse). • Texte (TXT) : contient une chaîne de texte en réponse à une requête DNS. • Service (SRV) : stocke des informations sur les services qu’un ordinateur fournit. • Infos sur le matériel (HINFO) : stocke des informations sur le matériel et les logiciels d’un ordinateur. Si vous avez besoin d’accéder à d’autres types d’enregistrements, il vous faudra modifier manuellement les fichiers de configuration de BIND. Pour plus de détails, reportez-vous à la documentation de BIND.50 Chapitre 3 Service DNS Mac OS X Server simplifie la création de tous ces enregistrements en mettant l’accent sur l’ordinateur ajouté à la zone plutôt que sur les enregistrements proprement dits. Lorsque vous ajoutez un enregistrement d’ordinateur à une zone, Mac OS X Server crée tous les enregistrements de zone appropriés qui opèrent la résolution vers une certaine adresse d’ordinateur. Avec ce modèle, vous pouvez vous concentrer sur ce que vos ordinateurs font dans votre domaine plutôt que sur les types d’enregistrement qui s’appliquent à ses fonctions. Ajout d’un enregistrement d’ordinateur à une zone DNS Vous devez ajouter des enregistrements pour chaque ordinateur dont la zone principale DNS est responsable. Vous ne devez pas ajouter d’enregistrements pour les ordinateurs que cette zone ne contrôle pas. Les enregistrements d’ordinateur sont liés à son adresse IP. C’est pourquoi il ne peut y avoir qu’un seul ordinateur par adresse IP parce qu’il ne peut pas y avoir de doublons d’adresses IP dans une même zone. Pour ajouter un enregistrement d’ordinateur à un enregistrement d’ordinateur DNS : 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Zones. 4 Sélectionnez la zone à laquelle cet enregistrement doit être ajouté. 5 Cliquez sur le bouton Modifier ( / ) sous la liste Zones. 6 Sélectionnez l’onglet Ordinateurs. 7 Cliquez sur le bouton Ajouter ( + ) sous la liste Zones. 8 Saisissez l’adresse IP de l’ordinateur. 9 Saisissez le nom d’hôte de l’ordinateur. Ce champ est la base de l’enregistrement A de l’ordinateur. Les enregistrements de pointeur de recherche inverse sont créés automatiquement pour l’ordinateur. Sous le nom d’hôte, vous pouvez voir le nom de domaine complet de l’ordinateur tel qu’il s’affichera. 10 Cliquez sur le bouton Ajouter ( + ) en regard de la boîte Alias pour ajouter d’autres noms éventuels pour cet ordinateur. Ce champ est la base des enregistrements CNAME de l’ordinateur. Les enregistrements de pointeur de recherche inverse sont créés automatiquement pour l’ordinateur. Ajoutez autant d’alias que vous le souhaitez.Chapitre 3 Service DNS 51 11 Si l’ordinateur est un serveur de messagerie pour la zone, sélectionnez la case indiquée. Ce champ est la base de l’enregistrement MX de l’ordinateur. Si vous cochez cette case, définissez un numéro d’ordre pour le serveur de messagerie. Les serveurs de messagerie livreurs tentent d’abord de livrer leur courrier aux serveurs de messagerie portant les plus petits numéros. Pour plus d’informations, consultez la section “Configuration des enregistrements MX” à la page 57. 12 Saisissez toutes les informations sur le matériel et les logiciels de l’ordinateur dans les champs appropriés. Ce champ est la base de l’enregistrement HINFO de l’ordinateur. 13 Saisissez tout commentaire sur l’ordinateur dans le champ Commentaires. Ce champ est la base de l’enregistrement TXT de l’ordinateur. Vous pouvez stocker pratiquement toute chaîne de texte ASCII sur 7 bits dans le champ Commentaires (jusqu’à 255 caractères ASCII). Par exemple, vous pouvez saisir l’emplacement physique de l’ordinateur (par exemple, Serveur 1er étage, armoire B) ou le nom du propriétaire de l’ordinateur (par exemple, Ordinateur de John) ou toute autre information sur l’ordinateur que vous souhaitez consigner. 14 Cliquez sur OK, puis sur Enregistrer. Modification d’un enregistrement d’ordinateur dans une zone DNS Si vous modifiez fréquemment l’espace de noms du domaine, il vous faudra mettre à jour les enregistrements DNS après chaque modification de l’espace de noms. Une mise à niveau du matériel ou tout ajout à un nom de domaine peuvent également nécessiter la mise à jour des enregistrements DNS. Vous pouvez dupliquer un enregistrement, puis le modifier pour gagner du temps lors de la configuration. Pour modifier un enregistrement : 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Zones. 4 Sélectionnez la zone qui contient l’enregistrement d’ordinateur à modifier. 5 Cliquez sur le bouton Modifier ( / ) sous la liste Zones. 6 Sélectionnez l’onglet Ordinateurs. 7 Sélectionnez l’enregistrement à modifier. 8 Cliquez sur le bouton Modifier ( / ) sous la liste Ordinateurs. 9 Apportez les modifications nécessaires à l’enregistrement. 10 Cliquez sur OK.52 Chapitre 3 Service DNS Suppression d’un enregistrement d’ordinateur d’une zone DNS Vous devez supprimer les enregistrements lorsqu’un ordinateur n’est plus associé à un nom de domaine ou à une adresse utilisable. Pour supprimer un enregistrement : 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Zones. 4 Sélectionnez la zone dans laquelle cet enregistrement va être supprimé. 5 Cliquez sur le bouton Modifier ( / ) sous la liste Zones. 6 Sélectionnez l’onglet Ordinateurs. 7 Sélectionnez l’enregistrement à supprimer. 8 Cliquez sur le bouton Supprimer ( - ) sous la liste Enregistrements. 9 Cliquez sur Enregistrer pour confirmer la suppression. Contrôle du DNS Il est conseillé de contrôler l’état du DNS pour régler les problèmes de résolution de noms, vérifier la fréquence d’utilisation du service DNS ou encore vérifier que le service DNS n’est pas utilisé de façon malveillante ou illicite. Cette section traite des tâches de contrôle courantes du service DNS. Affichage de l’état du service DNS Vous pouvez consulter la fenêtre État du DNS pour voir : • Si le service est actif. • La version de BIND (le logiciel sous-jacent du DNS) utilisée. • L’heure de démarrage et d’arrêt du service. • Le nombre de zones affectées. • Si la consignation est activée ou non. Pour afficher l’état du service DNS : 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Cliquez sur le bouton Vue d’ensemble pour consulter des informations générales sur le service DNS.Chapitre 3 Service DNS 53 Affichage des entrées d’historique DNS Le service DNS crée des entrées dans l’historique système pour les messages d’erreur et d’alerte. L’affichage historique est named.log. Vous pouvez encore restreindre les règles à l’aide du champ de filtrage de texte. Pour afficher des entrées d’historique DNS : 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Cliquez sur Historique. 3 Utilisez le champ de filtrage pour réduire encore les entrées d’historique affichées. Modification du niveau de détail de l’historique DNS Vous pouvez changer le niveau de détail de l’historique du service DNS. Vous pouvez utiliser soit un historique très détaillé pour le débogage, soit un historique moins détaillé n’affichant que les avertissements critiques. Pour modifier le niveau de détail de l’historique : 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Consignation. 4 Choisissez le niveau de détail voulu dans le menu local Niv. d’historique. Les niveaux d’historique disponibles sont : • Critique (le moins détaillé) • Erreur • Avertissement • Note • Informations • Déboguer (le plus détaillé) Modification de l’emplacement du fichier d’historique DNS Vous pouvez changer l’emplacement de l’historique du service DNS. Il est conseillé de le placer à un autre emplacement que le chemin par défaut. Pour modifier le niveau de détail de l’historique : 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Consignation. 4 Saisissez le nouveau chemin du fichier d’historique du service DNS, ou sélectionnez-le en utilisant le bouton Parcourir. Si aucun chemin n’est saisi, l’emplacement par défaut est /Bibliothèque/Logs/named.log.54 Chapitre 3 Service DNS Sécurisation du serveur DNS Les serveurs DNS sont non seulement sollicités par d’autres serveurs Internet légitimes, mais sont également la cible d’utilisateurs malveillants (couramment appelés “pirates”). Les serveurs DNS sont exposés à des attaques de différentes sortes. En prenant des précautions supplémentaires, vous pouvez prévenir les problèmes et l’immobilisation engendrés par ces utilisateurs malveillants. Il existe plusieurs sortes de détournements de la sécurité associées au service DNS : • DNS Spoofing • Exploration de données • Profilage du service DNS • Déni de service (en anglais “Denial of Service” ou “DoS”) • “Service Piggybacking” DNS Spoofing Le “DNS spoofing” consiste à ajouter de fausses données dans le cache du serveur DNS. Cela permet aux pirates d’effectuer les opérations suivantes : • Rediriger les requêtes d’un nom de domaine réel vers d’autres adresses IP. Par exemple, un enregistrement A falsifié pour une banque peut diriger le navigateur d’un utilisateur vers une autre adresse IP contrôlée par le pirate. Sur le site dupliqué, l’utilisateur révélera son numéro de compte et son mot de passe au pirate. De même, un enregistrement de courrier falsifié peut permettre à un pirate d’intercepter les messages envoyés depuis et vers un domaine. Si le pirate réexpédie ces messages vers le bon serveur de courrier après les avoir copiés, cela peut passer inaperçu indéfiniment. • Entraver la résolution des noms de domaine et l’accès à Internet. Il s’agit de l’attaque DNS par spoofing la plus bénigne. Elle provoque un dysfonctionnement du serveur DNS à peine perceptible. La méthode la plus efficace pour se prémunir contre ces attaques est la vigilance. Cela comprend la mise à jour des logiciels et le contrôle régulier des enregistrements DNS. Des exploits ont été trouvés dans la version actuelle de BIND. Ces exploits ont donc été corrigés et une mise à jour de sécurité est disponible pour Mac OS X Server. Appliquez tous les correctifs de ce type. Des contrôles réguliers de vos enregistrements DNS peuvent également être utiles pour prévenir ces attaques.Chapitre 3 Service DNS 55 Exploration de données L’exploration de données (en anglais “server mining”) est une pratique qui consiste à obtenir une copie de la totalité d’une zone principale en demandant un transfert de zone. Dans ce cas, le pirate se fait passer pour une zone secondaire d’une autre zone principale et demande une copie de tous les enregistrements de votre zone principale. Avec une copie de votre zone principale, le pirate peut voir le type de services qu’offre le domaine, ainsi que l’adresse IP des serveurs qui fournissent ces services. Il peut alors intenter des attaques spécifiques en fonction de ces services. C’est une reconnaissance avant une autre attaque. Pour contrer ce type d’attaque, vous devez indiquer les adresses IP qui sont autorisées à demander des transferts de zone (vos serveurs de zone secondaire) et rejeter toutes les autres. Les transferts de zone s’effectuent avec TCP sur le port 53. La méthode de limitation des transferts de zone bloque toutes les demandes de transfert sauf celles provenant de vos serveurs DNS secondaires. Pour indiquer les adresses IP autorisées à demander un transfert de zone : m Créez un filtre coupe-feu qui autorise uniquement les adresses IP situées à l’intérieur de votre coupe-feu à accéder au port TCP 53. Suivez les instructions de la section “Création d’une règle de coupe-feu IP avancée” au chapitre 4, “Service de coupe-feu IP”. Utilisez les réglages suivants : • autoriser le paquet ; • port 53 ; • protocole TCP ; • l’IP source correspond à l’adresse IP de votre serveur DNS secondaire ; • l’IP destinataire correspond à l’adresse IP de votre serveur DNS principal. Profilage du service DNS Une autre technique de reconnaissance couramment employée par les utilisateurs malveillants consiste à profiler (ou personnaliser) votre service DNS. Le pirate commence par effectuer une requête de la version de BIND. Le serveur lui indique la version de BIND en cours d’exécution. Le pirate compare ensuite la réponse aux exploits et failles connus de cette version de BIND. Pour vous prémunir contre cette attaque, vous pouvez configurer BIND pour qu’il réponde en utilisant de fausses informations.56 Chapitre 3 Service DNS Pour fausser la réponse de la version de BIND : 1 Lancez un éditeur de texte à ligne de commande (tel que vi, emacs ou pico). 2 Ouvrez named.conf pour le modifier. 3 Ajoutez le texte suivant dans les crochets “options” du fichier de configuration. version "[votre texte, par exemple ’non communiqué !’]" ; 4 Enregistrez le fichier de configuration. Déni de service (en anglais “Denial of Service” ou “DoS”) Ce type d’attaque est très courant et très facile à lancer. Un pirate envoie un nombre si important de demandes et de requêtes de service que le serveur doit utiliser toute sa puissance de traitement et la bande passante réseau pour essayer d’y répondre. Le pirate bloque ainsi l’utilisation normale du service en le saturant. Il est difficile de prévenir ce type d’attaque avant son apparition. Un contrôle permanent du service DNS et de la charge du serveur peut permettre à l’administrateur de détecter l’attaque rapidement et d’en limiter ainsi les effets néfastes. Le moyen le plus aisé de se prémunir contre cette attaque est de bloquer l’adresse IP responsable avec votre coupe-feu. Consultez la section “Création d’une règle de coupe-feu IP avancée” à la page 78. Malheureusement, cela signifie que l’attaque est déjà en cours, que les requêtes du pirate sont prises en compte et que l’activité a déjà été consignée. “Service Piggybacking” Cette attaque est rarement l’œuvre de pirates, mais plutôt d’utilisateurs Internet ordinaires. Ils estiment que leur temps de réponse DNS par leur propre fournisseur d’accès à Internet est trop lent. Ils apprennent cette astuce auprès d’autres utilisateurs. Les utilisateurs d’Internet vont configurer leur ordinateur pour qu’il interroge un autre serveur DNS plutôt que celui de leur FAI. En conséquence, beaucoup plus d’utilisateurs que prévu accéderont au serveur DNS. Vous pouvez vous prémunir contre cela en limitant ou en désactivant la récursion DNS. Si vous prévoyez d’offrir le service DNS aux utilisateurs de votre LAN, ils auront besoin de la récursion pour résoudre les noms de domaine, mais il est préférable de ne pas offrir ce service à n’importe quel utilisateur d’Internet. Pour bloquer totalement la récursion, consultez la section “Activation ou désactivation de la récursion” à la page 44.Chapitre 3 Service DNS 57 La meilleure solution est d’autoriser la récursion pour les requêtes provenant des adresses IP de votre plage, mais de refuser la récursion aux adresses externes. BIND vous permet de spécifier cette option dans le fichier de configuration named.conf. Modifiez votre fichier named.conf en ajoutant : options { ... allow-recursion{ 127.0.0.0/8; [votre plage d’adresses IP internes, telle que 192.168.1.0/27]; }; }; Pour plus d’informations, reportez-vous à la documentation de BIND. Tâches courantes d’administration du réseau utilisant le service DNS Les sections suivantes décrivent certaines tâches courantes d’administration du réseau nécessitant le service DNS. Configuration des enregistrements MX Si vous envisagez de proposer un service de courrier sur votre réseau, vous devez configurer le service DNS afin que le courrier entrant soit envoyé à l’hôte de courrier approprié. Lors de la configuration du service de courrier, vous déterminez une série d’hôtes nommés échangeurs de courrier ou hôtes MX avec des priorités variables. L’hôte possédant la plus haute priorité recevra le courrier en premier. S’il n’est pas disponible, celui avec une priorité un peu plus basse reçoit le courrier, etc. Par exemple, supposons que le nom d’hôte du serveur de courrier soit “fiable” dans le domaine “exemple.com”. Sans enregistrement MX, les adresses électroniques des utilisateurs incluraient le nom du serveur de courrier, par exemple : nom@fiable.exemple.com Si vous voulez modifier le serveur de courrier ou rediriger le courrier, vous devez informer les expéditeurs potentiels du changement d’adresse de vos utilisateurs. Vous avez également la possibilité de créer un enregistrement MX pour chaque domaine pris en charge par votre serveur de courrier, puis d’acheminer le courrier vers l’ordinateur approprié. 58 Chapitre 3 Service DNS Lorsque vous établissez un enregistrement MX, vous devez inclure une liste de tous les ordinateurs susceptibles de recevoir du courrier pour un domaine. Ainsi, si le serveur est occupé ou hors service, le courrier sera envoyé à un autre ordinateur. Un numéro de priorité (numéro d’ordre) est affecté à chaque ordinateur de la liste. L’ordinateur dont le numéro est le plus petit est essayé en premier. Si cet ordinateur n’est pas disponible, le système consulte le numéro suivant, etc. Lorsqu’un ordinateur est disponible, il récupère le courrier et l’envoie au serveur de courrier principal une fois que celui-ci est accessible pour qu’il se charge de la distribution du courrier. Voici un exemple de liste : exemple.com 10 fiable.exemple.com 20 sauvegarde.exemple.com 30 dernier-ressort.exemple.com Les enregistrements MX sont également utilisés pour le courrier sortant. Lorsque votre serveur envoie du courrier, il examine les enregistrements MX pour savoir si la destination est locale ou située sur Internet. Le même processus se répète ensuite en sens inverse. Si le serveur principal de destination n’est pas disponible, votre serveur de courrier essaie de contacter tous les ordinateurs de la liste MX de destination, jusqu’à ce que l’un d’entre eux accepte le courrier. Remarque : si vous ne saisissez pas correctement les informations MX dans votre serveur DNS, le service de courrier ne fonctionnera pas. Configuration du DNS pour le service de courrier Configurer le DNS pour le service de courrier consiste à créer des enregistrements Mail Exchange (MX) dans DNS pour vos serveurs de courrier. Si vous utilisez le service DNS de votre fournisseur d’accès à Internet (FAI), vous devez prendre contact avec ce dernier pour qu’il active vos enregistrements MX. N’effectuez les étapes suivantes que si vous fournissez votre propre service DNS. Vous devrez peut-être configurer plusieurs serveurs pour la redondance. Si tel est le cas, vous devrez créer un enregistrement MX pour chaque serveur auxiliaire. Pour activer des enregistrements MX pour votre serveur de messagerie : 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Zones. 4 Sélectionnez la zone à laquelle cet enregistrement doit être ajouté. 5 Cliquez sur le bouton Modifier ( / ) sous la liste Zones. 6 Sélectionnez l’onglet Ordinateurs. 7 Cliquez sur le bouton Ajouter ( + ) sous la liste Ordinateurs. 8 Saisissez l’adresse IP de l’ordinateur.Chapitre 3 Service DNS 59 9 Saisissez le nom d’hôte de l’ordinateur. Ce champ est la base de l’enregistrement CNAME et le premier enregistrement A de l’ordinateur. Les enregistrements de pointeur de recherche inverse sont créés automatiquement pour l’ordinateur. Sous le nom d’hôte, vous verrez quel sera le nom de domaine complet de l’ordinateur. 10 Cliquez sur le bouton Ajouter ( + ) en regard de la boîte Alias pour ajouter d’autres noms éventuels pour cet ordinateur. Ce champ est la base des enregistrements A supplémentaires de l’ordinateur. Les enregistrements de pointeur de recherche inverse sont créés automatiquement pour l’ordinateur. Ajoutez autant d’alias que vous le souhaitez. 11 Sélectionnez la case de serveur de messagerie libellée “Cet ordinateur est un serveur de courrier pour la zone”. Ce champ est la base de l’enregistrement MX de l’ordinateur. 12 Saisissez un numéro d’ordre de serveur de courrier. Les serveurs de messagerie livreurs tentent d’abord de livrer leur courrier aux serveurs de messagerie portant les plus petits numéros. 13 Saisissez toutes les informations sur le matériel et les logiciels de l’ordinateur dans les boîtes appropriées. Ce champ est la base de l’enregistrement HINFO de l’ordinateur. 14 Saisissez tout commentaire sur l’ordinateur dans la boîte Commentaires. Ce champ est la base de l’enregistrement TXT de l’ordinateur. Vous pouvez stocker pratiquement toute chaîne de texte dans le champ Commentaires. Par exemple, vous pouvez saisir l’emplacement physique de l’ordinateur (par exemple, Serveur 1er étage, armoire B) ou le nom du propriétaire de l’ordinateur (par exemple, Ordinateur de John) ou toute autre information sur l’ordinateur que vous souhaitez consigner. 15 Cliquez sur OK. 16 Répétez les étapes 7 à 15 pour chaque serveur de messagerie en vérifiant que chacun a un numéro d’ordre distinct. 17 Cliquer sur Enregistrer.60 Chapitre 3 Service DNS Configuration d’un espace de noms derrière une passerelle NAT Si vous vous trouvez derrière une passerelle de traduction d’adresses réseau (en anglais, Network Address Translation ou NAT), vous disposez d’un jeu spécial d’adresses IP qui ne sont utilisables qu’au sein de l’environnement NAT. Si vous deviez affecter un nom de domaine à ces adresses en dehors de la passerelle NAT, aucun nom de domaine ne serait résolu sur le bon ordinateur. Reportez-vous au chapitre 5, “Service NAT”, à la page 99 pour plus d’informations sur la traduction d’adresses de réseau. Vous pouvez toutefois faire fonctionner un service DNS derrière la passerelle en affectant des noms d’hôte aux adresses IP de la traduction d’adresses de réseau. Ainsi, si vous vous trouvez derrière la passerelle NAT, vous pouvez saisir des noms de domaine au lieu des adresses IP pour accéder aux serveurs, aux services et aux stations de travail. Votre serveur DNS doit également disposer d’une zone de réexpédition pour envoyer les requêtes DNS à l’extérieur de la passerelle NAT, afin de permettre la résolution des noms en dehors de la zone couverte par le routeur. Les réglages réseau de vos clients doivent mentionner le serveur DNS situé derrière la passerelle NAT. Le processus de configuration de l’un de ces réseaux est identique à celui d’un réseau privé. Pour plus de détails, consultez la section “Liaison d’un réseau local à Internet via une adresse IP” à la page 106. Si vous choisissez de le faire, les noms saisis par les utilisateurs se trouvant en dehors de la passerelle NAT ne seront pas résolus en adresses derrière celui-ci. Vous devez paramétrer les enregistrements DNS situés en dehors de la zone couverte par la passerelle NAT pour qu’ils soient dirigés vers la passerelle NAT, et utiliser la réexpédition vers le port NAT pour accéder aux ordinateurs situés derrière la passerelle NAT. Pour plus d’informations sur la réexpédition de port, reportez-vous à la section “Configuration de la réexpédition de port” à la page 103. La fonction DNS multi-diffusion de Mac OS X vous permet d’utiliser les noms d’hôte de votre sous-réseau local se terminant par l’extension “.local” sans avoir à activer le DNS. Tous les services ou périphériques qui gèrent le DNS multi-diffusion permettent d’utiliser un espace de noms défini par l’utilisateur sur le sous-réseau local sans avoir besoin d’installer et de configurer le DNS. Répartition de la charge du réseau (ou permutation circulaire) BIND permet de répartir la charge simplement en utilisant une méthode de permutation d’adresses appelée permutation circulaire. Vous établissez un pool d’adresses IP pour plusieurs hôtes possédant le même contenu et BIND fait tourner l’ordre des adresses pour répondre aux requêtes. Cette permutation circulaire ne permet pas de contrôler la charge du serveur et la puissance de traitement. Elle permet simplement de faire tourner l’ordre d’une liste d’adresses pour un nom d’hôte donné.Chapitre 3 Service DNS 61 Vous activez la permutation circulaire en ajoutant plusieurs entrées d’adresses IP dans votre fichier de données de zones pour un nom d’hôte donné. Par exemple, imaginons que vous vouliez répartir le trafic du serveur Web entre trois serveurs de votre réseau possédant le même contenu. Supposons que ces serveurs possèdent les adresses IP 192.168.12.12, 192.168.12.13 et 192.168.12.14. Vous ajouteriez trois enregistrements d’ordinateur avec trois adresses IP, toutes avec le même nom de domaine. Lorsque le service DNS rencontre plusieurs entrées pour un hôte, son comportement par défaut consiste à répondre aux requêtes en envoyant cette liste dans un ordre cyclique. La première requête obtient les adresses dans l’ordre A, B, C. La requête suivante les obtient dans l’ordre B, C, A, celle d’après dans l’ordre C, A, B, etc. Il est recommandé d’affecter à la zone une valeur TTL peu élevé pour réduire les effets de la mise en mémoire cache locale. Configuration d’un réseau TCP/IP privé Si votre réseau local dispose d’une connexion à Internet, vous devez configurer votre serveur et vos ordinateurs clients avec des adresses IP et d’autres informations propres à Internet. Ces adresses IP vous sont attribuées par votre fournisseur d’accès à Internet (FAI). S’il est peu probable que votre réseau local soit un jour connecté à Internet et si vous souhaitez recourir au protocole TCP/IP pour transmettre des informations sur votre réseau, vous pouvez configurer un réseau TCP/IP “privé”. Lorsque vous configurez un réseau privé, vous devez choisir vos adresses IP parmi les blocs d’adresses que l’IANA (Internet Assigned Numbers Authority) réserve aux réseaux privés (Intranets) : • 10.0.0.0 à –10.255.255.255 (préfixe 10/8) • 172.16.0.0 à –172.31.255.255 (préfixe 172.16/12) • 192.168.0.0–192.168.255.255 (préfixe 192.168/16) Important : si vous pensez devoir vous connecter à l’avenir à Internet, vous devez vous enregistrer avec un registre Internet et utiliser les adresses IP fournies par le registre lors de la configuration de votre réseau privé. Sinon, vous devrez reconfigurer chaque ordinateur en réseau au moment de vous connecter à Internet. Lorsque vous configurez un réseau TCP/IP privé, vous pouvez également fournir le service DNS. Si vous configurez le protocole TCP/IP et le service DNS sur votre réseau local, vos utilisateurs pourront accéder facilement aux fichiers, au Web, au courrier et aux autres services de votre réseau.62 Chapitre 3 Service DNS Hébergement de plusieurs services Internet à une seule adresse IP Vous pouvez avoir un serveur qui fournit tous vos services Internet (courrier électronique, Web). Tous ces services peuvent en effet fonctionner sur un seul ordinateur avec une même adresse IP. Par exemple, vous voulez que le nom de domaine www.exemple.com soit résolu vers la même adresse IP que ftp.exemple.com ou courrier.exemple.com. Bien qu’il semble s’agir de plusieurs serveurs à toute personne accédant aux services, il ne s’agit en réalité que d’un seul serveur à une seule et unique adresse IP. La configuration des enregistrements DNS pour ce service est simple. Vous devez seulement ajouter des alias à l’enregistrement DNS d’ordinateur. Configurer les noms DNS pour ces services n’active et ne configure pas les services ; il ne s’agit que de fournir des noms faciles à mémoriser pour les différents services offerts. Cela peut faciliter la configuration du logiciel client pour chaque service. Par exemple, pour chaque service que vous voulez afficher : • créez mail.exemple.com pour la saisie dans les clients de messagerie ; vérifiez que vous avez sélectionné la case de serveur de messagerie dans le panneau Ordinateur ; • créez www.exemple.com pour la saisie dans les navigateurs Web ; • créez afp.exemple.com pour Apple File Sharing dans le Finder ; • créez ftp.exemple.com pour la saisie dans les clients FTP. Pour suivre l’évolution de vos besoins, vous pouvez ajouter d’autres ordinateurs au réseau afin de prendre en charge ces services. Ensuite, tout ce que vous avez à faire, c’est d’enlever l’alias de l’enregistrement DNS de l’ordinateur et de créer un enregistrement pour le nouvel ordinateur ; les réglages de votre client peuvent rester inchangés. Hébergement de plusieurs domaines sur le même serveur Vous pouvez avoir un serveur qui fournit tous vos services Internet (courrier électronique, Web) pour plusieurs noms de domaine différents. Par exemple, vous avez peut-être besoin que le nom de domaine www.exemple.com soit résolu vers la même adresse IP que www.exemple.org. Bien qu’il semble s’agir de plusieurs serveurs à toute personne accédant au domaine, il ne s’agit en réalité que d’un seul serveur à une seule et unique adresse IP. La configuration des enregistrements DNS pour ce service est simple. Il vous suffit d’ajouter des alias des autres noms de domaine dans le panneau des enregistrements DNS d’ordinateur du serveur principal. Configurer les noms DNS pour ces services n’active et ne configure pas les services pour ces domaines. C’est utilisé en conjonction avec l’hébergement de domaines virtuels dans les services de courrier électronique et Web.Chapitre 3 Service DNS 63 Autres sources d’informations Pour plus d’informations sur DNS et BIND, consultez : • DNS and BIND, 4ème édition, de Paul Albitz et Cricket Liu (O’Reilly and Associates, 2001) • le site Web de l’International Software Consortium aux adresses : www.isc.org et www.isc.org/products/BIND/ • le DNS Resources Directory à l’adresse : www.dns.net/dnsrd/ Les documents RFC Les documents RFC (Request for Comments) offrent un aperçu d’un protocole ou service et présentent de manière détaillée comment le protocole doit se comporter. Si vous êtes administrateur serveur débutant, vous trouverez probablement certaines informations utiles dans les RFC. Si vous êtes administrateur serveur expérimenté, vous trouverez tous les détails techniques sur un protocole particulier dans le document RFC correspondant. Vous pouvez rechercher les documents RFC par numéro sur le site Web www.ietf.org/rfc.html. • A, PTR, CNAME, MX -Pour plus d’informations, consultez le document RFC 1035. • AAAA- Pour plus d’informations, consultez le document RFC 1886.4 65 4 Service de coupe-feu IP Le service de coupe-feu est un logiciel qui protège les applications de réseau exécutées sur votre Mac OS X Server. L’activation du service de coupe-feu est similaire à la construction d’un mur afin de limiter l’accès à votre serveur. Le service de coupe-feu IP examine les paquets IP entrants et les refuse ou les accepte en fonction des règles que vous avez créées. Vous pouvez limiter l’accès à un service IP quelconque fonctionnant sur le serveur et personnaliser les règles pour tous les clients entrants ou pour une plage d’adresses IP clientes. L’illustration ci-dessous montre un exemple de service coupe-feu. Les services tels que Web et FTP sont identifiés sur votre serveur par un numéro de port TCP (Transmission Control Protocol) ou UDP (User Datagram Protocol). Lorsqu’un ordinateur essaie de se connecter à un service, le service de coupe-feu examine la liste des règles pour y rechercher un numéro de port correspondant. Y a-t-il une règle pour le port 80 ? Recherchez la règle Tout port dont la plage est la plus petite possible mais incluant néanmoins l'adresse 10.221.41.33. Un ordinateur, dont l’adresse IP est 10.221.41.33, essaie de se connecter au serveur via Internet (port 80). Le serveur lance une recherche dans les règles existantes. Y a-t-il une règle contenant l'adresse IP 10.221.41.33 ? Oui La connexion est refusée. Oui Que précise cette règle ? La connexion est établie. Autoriser Non Refuser66 Chapitre 4 Service de coupe-feu IP Lorsqu’un paquet arrive à une interface réseau et le coupe-feu est activé, le paquet est comparé à chaque règle, en commençant par la règle portant le plus numéro le moins élevé, c’est-à-dire la priorité la plus élevée. Lorsqu’une règle correspond au paquet, l’action spécifiée dans la règle (comme, par exemple, autoriser ou refuser) est exécutée. Ensuite, en fonction de l’action, des règles supplémentaires peuvent être contrôlées. Les règles que vous créez sont appliquées aux paquets TCP et, éventuellement, aux paquets UDP. Vous pouvez par ailleurs configurer des règles afin de limiter le protocole ICMP (Internet Control Message Protocol) ou le protocole IGMP (Internet Group Management Protocol) en créant des règles avancées. Important : la première fois que vous démarrez le service de coupe-feu, seuls les ports essentiels pour l’administration à distance du serveur sont ouverts, y compris Secure Shell (22), et plusieurs autres. Des ports supplémentaires sont ouverts de manière dynamique pour autoriser des réponses spécifiques à des requêtes initiées par le serveur. Si vous souhaitez autoriser l’accès à distance à d’autres services sur votre ordinateur, vous devez ouvrir des ports supplémentaires. Vous pouvez le faire à l’aide de la section Services du panneau Réglages. Si vous prévoyez de partager des données sur Internet et que vous n’avez pas de routeur ou de coupe-feu spécifique pour protéger vos données contre les accès non autorisés, vous avez intérêt à utiliser le service de coupe-feu. Ce service fonctionne bien dans le cadre des petites et moyennes entreprises, des écoles et des petits bureaux ou bureaux à domicile. Les organisations de taille importante disposant d’un coupe-feu peuvent utiliser le service de coupe-feu pour contrôler leurs serveurs de manière plus précise. Par exemple, des groupes de travail individuels au sein d’une entreprise ou des écoles faisant partie d’un réseau scolaire, peuvent utiliser le service de coupe-feu pour contrôler l’accès à leurs serveurs. Le coupe-feu IP assure également un filtrage dynamique des paquets qui détermine si un paquet entrant constitue une réponse légitime à une requête sortante ou fait partie d’une session en cours, autorisant de cette manière des paquets qui auraient normalement été refusés. Pratiques élémentaires en matière de coupe-feu Par défaut, Mac OS X Server utilise un modèle simple pour établir un coupe-feu à la fois sûr et pratique. Si un coupe-feu est trop restrictif, le réseau qui se trouve derrière lui risque d’être isolé. Si un coupe-feu est trop permissif, il ne protège pas des intrusions ce qui se trouve derrière lui. Suivre les trois aspects du modèle élémentaire autorise une flexibilité et un usage maximal avec un minimum de risques.Chapitre 4 Service de coupe-feu IP 67 Autorisation de l’activité IP essentielle On entend par activité IP essentielle les activités réseau nécessaires pour l’utilisation d’IP et le fonctionnement au sein d’un environnement IP. Ces activités couvrent des opérations comme, par exemple, le retour de boucle, et sont exprimées sous la forme de règles de haute priorité (portant des numéros peu élevés) qui sont visibles dans le panneau Avancé des réglages relatifs au coupe-feu. Elles sont configurées automatiquement. Autorisation de l’activité spécifique à un service L’activité spécifique à un service fait référence aux paquets réseau destinés à certains ports spécifiques à un service, comme, par exemple, au service Web ou au service de courrier électronique. En autorisant le trafic vers des ports associés à des services précis et configurés, vous autorisez l’accès au travers du coupe-feu service par service. Ces activités sont exprimées sous la forme de règles de priorité moyenne et correspondent à des cases à cocher dans le panneau Service des réglages relatifs au coupe-feu. Vous pouvez apporter ces modifications vous-même en fonction de vos réglages et de vos groupes d’adresses. Refus de tous les paquets qui ne sont pas déjà autorisés Voici ce que l’on fait avec le reste pour finir. Si un paquet ou le trafic vers un port n’est pas sollicité, le paquet est rejeté et n’est pas autorisé à atteindre sa destination. Cela est exprimé sous la forme de règles de basse priorité (portant des numéros élevés) qui sont visibles dans le panneau Service des réglages relatifs au coupe-feu. Un ensemble élémentaire de règles de refus pour le coupe-feu est créé par défaut.68 Chapitre 4 Service de coupe-feu IP Démarrage du coupe-feu Bien que le coupe-feu soit traité comme un service par l’application Admin Serveur, il n’est pas implémenté par un processus fonctionnant comme les autres services. Il s’agit simplement d’un ensemble de comportements au niveau du noyau, contrôlés par les outils ipfw et sysctl. Pour démarrer et arrêter le coupe-feu, l’application Admin Serveur définit un commutateur à l’aide de l’outil sysctl. Lorsque l’ordinateur démarre, un élément d’ouverture au démarrage nommé IPFilter contrôle le drapeau “IPFILTER” dans le fichier /etc/hostconfig. S’il est défini, l’outil sysctl est utilisé pour activer le coupe-feu comme suit : sysctl -w net.inet.ip.fw.enable=1 À défaut, il désactive le coupe-feu comme suit : sysctl -w net.inet.ip.fw.enable=0 Notez que les règles chargées dans le coupe-feu y restent quel que soit ce réglage. Elles sont simplement ignorées lorsque le coupe-feu est désactivé. Comme la plupart des éléments d’ouverture au démarrage, l’élément d’ouverture au démarrage IPFilter démarre dans un ordre prédéterminé et seulement une fois que certains éléments d’ouverture au démarrage ont fini de démarrer. Dans Mac OS X Server 10.4, la fenêtre de connexion est présentée alors que des éléments d’ouverture au démarrage sont toujours en cours d’exécution. Il est donc possible de se connecter alors que le coupe-feu n’est pas encore configuré d’après ses réglages. L’élément de démarrage qui configure le coupe-feu termine en général son travail quelques minutes après la fin du démarrage du système. Comprendre les règles de coupe-feu Lorsque vous démarrez le service de coupe-feu, la configuration par défaut refuse l’accès à tous les paquets entrants provenant d’ordinateurs distants, à l’exception des ports nécessaires à la configuration à distance. Ceci garantit une sécurité élevée. Des règles dynamiques sont également en place, de sorte que les réponses aux requêtes sortantes initiées par votre ordinateur sont également autorisées. Vous pouvez alors ajouter de nouvelles règles IP pour permettre aux clients ayant besoin d’utiliser des services d’accéder au serveur. Pour connaître le mode de fonctionnement des règles IP, lisez la section suivante. Pour apprendre à créer des règles IP, consultez la section “Gestion du service de coupe-feu” à la page 74.Chapitre 4 Service de coupe-feu IP 69 Une règle de coupe-feu, qu’est-ce que c’est ? Une règle de coupe-feu, c’est un ensemble de caractéristiques d’un paquet IP ainsi qu’une action à exécuter pour chaque paquet qui répond aux caractéristiques. Ces caractéristiques peuvent comporter l’adresse de départ ou de destination, le port de départ ou de destination, le protocole ou l’interface réseau. Les adresses peuvent être exprimées sous la forme d’une adresse IP unique ou d’une plage d’adresses. Un port de service peut être exprimé sous la forme d’une valeur unique, d’une liste de valeurs ou d’une plage de valeurs. L’adresse IP et le masque de sous-réseau ensemble déterminent la plage d’adresses IP à laquelle s’applique la règle, qui peut être configuré de façon à s’appliquer à toutes les adresses. Adresse IP Les adresses IP sont composées de quatre segments de valeurs comprises entre 0 et 255 (l’étendue d’un numéro de 8 bits), séparés par des points (par exemple, 192.168.12.12). Les segments des adresses IP vont de général à spécifique (par exemple, le premier segment pourra appartenir à tous les ordinateurs de l’ensemble d’une entreprise, tandis que le dernier segment à un ordinateur spécifique situé à un étage donné d’un bâtiment). Masque de sous-réseau Un masque de sous-réseau indique quels sont les segments de l’adresse IP spécifiée qui peuvent varier sur un réseau donné et dans quelle mesure. Le masque de sous-réseau est donné en notation CIDR (Classless Inter Domain Routing). Elle comprend l’adresse IP suivie d’une barre oblique (/) et d’un numéro compris entre 1 et 32, appelé préfixe IP. Un préfixe IP identifie le nombre de bits significatifs utilisés pour identifier un réseau. Par exemple, 192.168.2.1 /16 signifie que les 16 premiers bits (les deux premiers numéros séparés par un point) servent à représenter le réseau (toutes les machines du réseau commencent donc par 192.168) et les 16 bits restants (les deux derniers numéros séparés par un point) servent à identifier les hôtes (chaque machine possède un groupe de numéros unique). Les masques de sous-réseaux peuvent être indiqués dans une autre notation : l’adresse IP suivie d’un deux-points (:) et du masque de réseau. Un masque de réseau est un groupe de 4 nombres de 0-255 séparés par des points qui sont les équivalents décimaux des bits significatifs de la notation CIDR.70 Chapitre 4 Service de coupe-feu IP Les adresses comportant des masques de sous-réseaux en notation CIDR correspondent aux masques de sous-réseaux en notation d’adresse. CIDR Correspond au masque réseau Nombre d’adresses dans la plage /1 128.0.0.0 4.29x109 /2 192.0.0.0 2.14x109 /3 224.0.0.0 1.07x109 /4 240.0.0.0 5.36x108 /5 248.0.0.0 1.34x108 /6 252.0.0.0 6.71x107 /7 254.0.0.0 3.35x107 /8 255.0.0.0 1.67x107 /9 255.128.0.0 8.38x106 /10 255.192.0.0 4.19x106 /11 255.224.0.0 2.09x106 /12 255.240.0.0 1.04x106 /13 255.248.0.0 5.24x105 /14 255.252.0.0 2.62x105 /15 255.254.0.0 1.31x105 /16 255.255.0.0 65536 /17 255.255.128.0 32768 /18 255.255.192.0 16384 /19 255.255.224.0 8192 /20 255.255.240.0 4096 /21 255.255.248.0 2048 /22 255.255.252.0 1024 /23 255.255.254.0 512 /24 255.255.255.0 256 /25 255.255.255.128 128 /26 255.255.255.192 64 /27 255.255.255.224 32 /28 255.255.255.240 16 /29 255.255.255.248 8 /30 255.255.255.252 4 /31 255.255.255.254 2 /32 255.255.255.255 1Chapitre 4 Service de coupe-feu IP 71 Utilisation de plages d’adresses Lorsque vous créez un groupe d’adresses à l’aide d’Admin Serveur, vous saisissez une adresse IP et un masque de sous-réseau au format CIDR. Les trois types de notation d’adresses IP sont autorisés : • Une adresse unique : 192.168.2.1 • Une plage exprimée à l’aide de la notation CIDR : 192.168.2.1/24 • Une plage exprimée à l’aide de la notation de masque de réseau : 192.168.2.1:255.255.255.0 Admin Serveur affiche la plage d’adresses obtenue que vous pouvez changer en modifiant le masque de sous-réseau. Lorsque vous indiquez une plage de valeurs possibles pour un segment d’adresse quelconque, ce dernier est appelé caractère générique. Le tableau suivant donne des exemples de plages d’adresses créées pour atteindre des objectifs spécifiques. Mécanisme et ordre de priorité des règles Les règles du panneau Réglages > Services agissent conjointement avec les règles affichées dans le panneau Avancé. Généralement, les règles étendues du panneau Avancé bloquent l’accès à tous les ports. Il s’agit de règles de basse priorité (portant des numéros élevés) qui prennent effet après les règles du panneau Général. Les règles créées avec le panneau Général ouvrent l’accès à des services spécifiques et ont une priorité plus élevée. Elles sont prioritaires sur celles créées dans le panneau Avancé. Si vous créez plusieurs règles dans le panneau Avancé, l’ordre des règles est déterminé par le numéro de règle, c’est-à-dire l’ordre de la règle, qui figure dans le panneau Avancé. L’ordre des règles dans le panneau Avancé peut être modifié en faisant glisser la règle dans la liste. Pour la plupart des utilisations normales, l’ouverture d’accès aux services désignés dans la fenêtre Avancé est suffisant. Si nécessaire, vous pouvez ajouter d’autres règles à l’aide de la fenêtre Avancé, en les créant et en les classant selon vos besoins. Objectif Exemple Adresse IP À saisir dans le champ d’adresse : Plage d’adresses affectée Créer une règle qui spécifie une adresse IP unique. 10.221.41.33 10.221.41.33 ou 10.221.41.33/32 10.221.41.33 (adresse unique) Créer une règle qui laisse le quatrième segment comme caractère générique. 10.221.41.33 10.221.41.33/24 10.221.41.0 à 10.221.41.255 Créer une règle qui laisse une partie du troisième segment et tout le quatrième segment comme caractère générique. 10.221.41.33 10.221.41.33/22 10.221.40.0 à 10.221.43.255 Créer une règle qui s’applique à toutes les adresses entrantes. Sélectionnez “N’importe quel” Toutes les adresses IP72 Chapitre 4 Service de coupe-feu IP Adresses IP multiples Un serveur peut gérer plusieurs adresses IP simultanées, mais le service de coupe-feu n’applique qu’un seul ensemble de règles à toutes les adresses IP du serveur. Si vous créez plusieurs alias d’adresses IP, les règles que vous créez s’appliquent à toutes ces adresses IP. Configuration initiale du service de coupe-feu Une fois que vous avez décidé quelles sont les règles à créer, suivez les étapes d’ensemble ci-après pour configurer le service de coupe-feu. Pour obtenir de l’aide supplémentaire sur l’exécution de l’une ou l’autre de ces étapes, consultez la section “Gestion du service de coupe-feu” à la page 74 et les autres rubriques mentionnées au cours de ces étapes. Étape 1 : Formation et planification Si c’est la première fois que vous travaillez avec le coupe-feu IP, vous devez apprendre et comprendre les concepts, les outils et les fonctions de coupe-feu de Mac OS X Server et de BIND. Pour plus de détails, consultez la section “Comprendre les règles de coupe-feu” à la page 68. Planifiez ensuite votre service de coupe-feu IP en prévoyant les services auxquels vous voulez fournir un accès. Les services de courrier, Web et FTP nécessitent généralement l’accès à partir d’ordinateurs sur Internet. Les services de fichiers et d’impression seront très probablement limités à votre sous-réseau local. Après avoir décidé quels services vous souhaitiez protéger à l’aide du service de coupe-feu, vous devez déterminer les adresses IP que vous autorisez à accéder à votre serveur et celles auxquelles vous en refusez l’accès. Ensuite, vous pouvez créer les règles appropriées. Étape 2 : Démarrage du service de coupe-feu Dans Admin Serveur, sélectionnez Coupe-feu et cliquez sur Démarrer le service. Par défaut, cela bloque tous les ports entrants, à l’exception de ceux utilisés pour configurer le serveur à distance. Si vous configurez le serveur localement, désactivez l’accès externe immédiatement. Important : si vous ajoutez ou modifiez une règle après avoir démarré le service de coupe-feu, cette nouvelle règle a un effet sur les connexions déjà établies avec le serveur. Par exemple, si vous refusez tout accès à votre serveur FTP après le démarrage du service de coupe-feu, les ordinateurs déjà connectés à votre serveur FTP sont déconnectés.Chapitre 4 Service de coupe-feu IP 73 Étape 3 : Créez un groupe d’adresses IP auxquelles les règles vont s’appliquer Par défaut, un groupe d’adresses IP est créé pour toutes les adresses IP entrantes. Les règles appliquées à ce groupe traitent tout le trafic entrant du réseau. Pour plus de détails, consultez la section “Création d’un groupe d’adresses” à la page 74 Étape 4 : Activez les règles du service pour chaque groupe d’adresses Dans le panneau Services, vous pouvez activer les règles en tant que numéros IP de destination en fonction des groupes d’adresses. Pour plus d’informations sur l’activation de règles de service, consultez la section “Ouverture du coupe-feu pour les services standard” à la page 76. Étape 5 : Créez des règles avancées (facultatif) Lisez “Comprendre les règles de coupe-feu” à la page 68 pour apprendre comment les règles IP fonctionnent. Utilisez les règles avancées pour configurer plus avant tous les autres services, renforcer la sécurité de votre réseau et affiner le trafic à travers le coupe-feu. Par défaut, tous les UDP sont bloqués, à l’exception de ceux en réponse à une requête sortante. Il est conseillé de n’appliquer les règles aux ports UDP qu’avec parcimonie car refuser certaines réponses UDP peut empêcher le fonctionnement normal du réseau. Si vous appliquez des règles aux ports UDP, ne sélectionnez pas l’option “Consigner tous les paquets acceptés” dans les fenêtres de configuration de règle d’Admin Serveur. Étant donné que l’UDP est un protocole “sans connexion”, tous les paquets envoyés vers un port UDP seront consignés si vous sélectionnez cette option. Pour en savoir plus sur la création d’une règle, consultez la section “Création d’une règle de coupe-feu IP avancée” à la page 78. Étape 6 : Enregistrement des modifications du service de coupe-feu Après avoir configuré vos règles et déterminé les services à autoriser, enregistrez vos modifications afin que les nouveaux réglages prennent effet. Important : si vous ajoutez ou modifiez une règle après avoir démarré le service de coupe-feu, cette nouvelle règle affectera les connexions déjà établies avec le serveur. Par exemple, si vous refusez tout accès à votre serveur FTP après le démarrage du service de coupe-feu, les ordinateurs déjà connectés à votre serveur FTP seront déconnectés.74 Chapitre 4 Service de coupe-feu IP Gestion du service de coupe-feu Cette section explique étape par étape comment démarrer, arrêter et configurer des groupes d’adresses et des règles de coupe-feu. Gestion de coupe-feu Panther Server 10.3 avec Admin Serveur de Tiger Server 10.4 Panther Server 10.3 ne gère pas l’ajout de règles aux règles de port standard ni l’arrangement des règles par glisser-déposer. Si vous administrez un coupe-feu Panther 10.3 Server avec un Admin Serveur de Tiger Server 10.4, vous ne pourrez pas modifier les règles de port standard ni réarranger les règles. Vous n’aurez pas accès à ces aspects d’Admin Serveur lorsque vous serez connecté à un serveur Panther 10.3. Démarrage et arrêt du service de coupe-feu Par défaut, le service de coupe-feu bloque toutes les connexions TCP entrantes et refuse tous les paquets UDP, à l’exception de ceux en réponse à des requêtes sortantes du serveur. Avant d’activer le service de coupe-feu, assurez-vous que vous avez configuré des règles pour autoriser l’accès aux adresses IP sélectionnées. Faute de quoi, aucune adresse ne pourra accéder à votre serveur. Important : si vous ajoutez ou modifiez une règle après avoir démarré le service de coupe-feu, cette nouvelle règle affectera les connexions déjà établies avec le serveur. Par exemple, si vous refusez tout accès à votre serveur FTP après le démarrage du service de coupe-feu, les ordinateurs déjà connectés à votre serveur FTP sont déconnectés. Pour démarrer ou arrêter le service de coupe-feu : 1 Dans Admin Serveur, choisissez Coupe-feu dans la liste Ordinateurs et services. 2 Cliquez sur Démarrer le coupe-feu. Une fois que le service a démarré, le bouton Arrêter le service devient disponible. Création d’un groupe d’adresses Vous pouvez définir des groupes d’adresses IP pour vos règles de coupe-feu. Ces groupes servent à organiser et à cibler les règles. Le groupe d’adresses “tout” correspond à toutes les adresses. Deux autres groupes d’adresses IP sont présents par défaut. Il sont prévus pour la plage complète du réseau “10-...” d’adresses privées et la plage complète du réseau “192.168-...” d’adresses privées. Les adresses peuvent être répertoriées sous la forme d’adresses individuelles (192.168.2.2), d’adresses IP avec notation CIDR (192.168.2.0/24) ou d’adresses IP avec notation de masque de réseau (192.168.2.0:255.255.255.0).Chapitre 4 Service de coupe-feu IP 75 Pour créer un groupe d’adresses : 1 Dans Admin Serveur, choisissez Coupe-feu dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Général. 4 Cliquez sur le bouton Ajouter ( + ) à droite de la sous-fenêtre Groupe d’adresses. 5 Saisissez le nom du groupe. 6 Saisissez les adresses et le masque de sous-réseau auxquels vous voulez que les règles s’appliquent. Utilisez les boutons Ajouter ( + ) et Supprimer ( - ). Utilisez le mot “tout” pour indiquer n’importe quelle adresse IP. 7 Cliquez sur OK. 8 Cliquer sur Enregistrer. Modification ou suppression d’un groupe d’adresses Vous pouvez modifier vos groupes d’adresses pour changer la plage d’adresses IP prise en compte. Le groupe d’adresses par défaut correspond à toutes les adresses. Vous pouvez supprimer des groupes d’adresses de votre liste de règles de coupe-feu. Les règles associées à ces adresses sont également supprimées. Les adresses peuvent être répertoriées sous la forme d’adresses individuelles (192.168.2.2) ou sous la forme d’une adresse IP et d’un masque de réseau au format CIDR (192.168.2.0/24). Pour modifier ou supprimer un groupe d’adresses : 1 Dans Admin Serveur, choisissez Coupe-feu dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Général. 4 Sélectionnez le nom du groupe dans la fenêtre Groupe d’adresses. 5 Cliquez sur le bouton Modifier ( / ) à droite de la sous-fenêtre Groupe d’adresses pour le modifier. Cliquez sur le bouton Supprimer ( - ) à droite de la sous-fenêtre Groupe d’adresses pour le supprimer. 6 Modifiez le nom du groupe ou les adresses comme vous le souhaitez, puis cliquez sur OK. 7 Cliquer sur Enregistrer.76 Chapitre 4 Service de coupe-feu IP Duplication d’un groupe d’adresses Vous pouvez dupliquer des groupes d’adresses de votre liste de règles de coupe-feu. Cela peut permettre d’accélérer la configuration de groupes d’adresses similaires. Pour dupliquer un groupe d’adresses : 1 Dans Admin Serveur, choisissez Coupe-feu dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Général. 4 Sélectionnez le nom du groupe dans la fenêtre Groupe d’adresses. 5 Cliquez sur le bouton Dupliquer à droite de la sous-fenêtre Groupe d’adresses. Ouverture du coupe-feu pour les services standard Par défaut, le service de coupe-feu bloque les connexions TCP entrantes sur les ports qui ne sont pas essentiels à l’administration à distance du serveur et autorise toutes les connexions UDP. De plus, par défaut, les règles dynamiques qui autorisent des réponses spécifiques à des requêtes sortantes sont en place. Avant d’activer le service de coupefeu, assurez-vous d’avoir configuré des règles autorisant l’accès à partir des adresses IP que vous avez choisies, sinon aucune d’entre elles ne sera acceptée par votre serveur. L’ouverture du coupe-feu pour les services standard est simple et ne nécessite aucune configuration avancée ou compliquée. Les services standard comprennent (mais ne se limitent pas à ceux-ci) : • accès SSH ; • service Web ; • service de fichiers Apple ; • service de fichiers Windows ; • service FTP • partage d’imprimante ; • DNS/DNS multi-diffusion ; • réponse Écho ICMP (pings entrants) ; • IGMP (Internet Gateway Multicast Protocol) ; • VPN PPTP ; • VPN L2TP ; • diffusion média QTSS ; • partage de musique iTunes. Important : si vous ajoutez ou modifiez une règle après avoir démarré le service de coupe-feu, cette nouvelle règle aura un effet sur les connexions déjà établies avec le serveur. Par exemple, si vous refusez tout accès à votre serveur FTP après le démarrage du service de coupe-feu, les ordinateurs déjà connectés à votre serveur FTP sont déconnectés.Chapitre 4 Service de coupe-feu IP 77 Pour ouvrir le coupe-feu pour les services standard : 1 Dans Admin Serveur, choisissez Coupe-feu dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Général. 4 Sélectionnez un groupe d’adresses dans le menu local Modifier les services pour. 5 Choisissez d’autoriser soit tout le trafic pour le groupe d’adresses, soit le trafic sur des points désignés. 6 Cochez la case Autoriser pour tous les services à autoriser sur le groupe d’adresses. Si vous ne voyez pas le service dont vous avez besoin, vous pouvez ajouter un port et une description à la liste des services. Si vous souhaitez créer une règle personnalisée, consultez la section “Création d’une règle de coupe-feu IP avancée” à la page 78. 7 Cliquez sur Enregistrer. Ajout de ports personnalisés à la liste des services Vous pouvez ajouter des ports personnalisés à la liste des services. Cela vous permet d’ouvrir des ports spécifiques à vos groupes d’adresses sans devoir créer une règle IP avancée. Pour ajouter des ports personnalisés à la liste des services : 1 Dans Admin Serveur, choisissez Coupe-feu dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Général. 4 Cliquez sur le bouton Ajouter ( + ) sous la liste des services. 5 Saisissez un nom de règle pour le service. 6 Saisissez un port unique (par exemple, 22) ou une plage de ports (par exemple, 650-750). 7 Choisissez un protocole. Si vous avez un protocole autre que TCP ou UDP, vous devez utiliser le panneau Avancé pour créer une règle personnalisée. 8 Cliquez sur OK. 9 Cliquer sur Enregistrer.78 Chapitre 4 Service de coupe-feu IP Modification ou suppression d’éléments dans la liste des services Vous pouvez supprimer ou modifier les ports de la liste des services. Cela vous permet de personnaliser votre choix de services pour faciliter la configuration. Pour modifier la liste des services : 1 Dans Admin Serveur, choisissez Coupe-feu dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Général. 4 Sélectionnez le service que vous souhaitez modifier. 5 Cliquez sur le bouton Modifier ( / ) sous la liste des services pour le modifier. Cliquez sur le bouton Supprimer ( - ) sous la liste des services pour le supprimer. 6 Modifiez le nom, le port ou le protocole comme vous le souhaitez, puis cliquez sur OK. 7 Cliquer sur Enregistrer. Création d’une règle de coupe-feu IP avancée Vous pouvez utiliser la sous-fenêtre Réglages avancés pour configurer des règles très spécifiques pour le coupe-feu IP. Les règles de coupe-feu IP contiennent la source et la destination des adresses IP avec des masques de sous-réseau. Elles spécifient également ce qu’il faut faire avec le trafic réseau reçu. Vous pouvez appliquer une règle à toutes les adresses IP, à une adresse en particulier ou à une plage d’adresses IP. Les adresses peuvent être répertoriées sous la forme d’adresses individuelles (192.168.2.2) ou de plages définies par une adresse IP et un masque de réseau au format CIDR (192.168.2.0/24). Pour créer une règle de coupe-feu IP avancée : 1 Dans Admin Serveur, choisissez Coupe-feu dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Règles avancées. 4 Cliquez sur le bouton Ajouter ( + ). Vous pouvez également sélectionner une règle similaire à celle que vous voulez créer et cliquer sur Dupliquer puis Modifier. 5 Choisissez si cette règle doit autoriser ou refuser l’accès en sélectionnant l’option correspondante dans le menu local Action. Si vous choisissez Autre, saisissez l’action souhaitée (par exemple, historique). 6 Choisissez un protocole dans le menu local Protocole. Si vous choisissez Autre, saisissez le protocole souhaité (par exemple, icmp, esp, ipencap).Chapitre 4 Service de coupe-feu IP 79 7 Choisissez un service dans le menu local Service. Pour sélectionner un port de service non standard, choisissez Autre. 8 Si vous le souhaitez, choisissez de consigner les paquets qui correspondent à la règle. 9 Choisissez un groupe d’adresses dans le menu local comme source du trafic filtré. Si vous ne souhaitez pas utiliser un groupe d’adresses existant, saisissez la plage d’adresses IP source (avec notation CIDR) que vous souhaitez filtrer. Si vous voulez que le filtre s’applique à toutes les adresses, choisissez N’importe quel dans le menu local. 10 Si vous avez sélectionné un port de service non standard, saisissez le numéro du port source. 11 Choisissez un groupe d’adresses dans le menu local comme destination du trafic filtré. Si vous ne souhaitez pas utiliser un groupe d’adresses existant, saisissez la plage d’adresses IP de destination (avec notation CIDR). Si vous voulez que le filtre s’applique à toutes les adresses, choisissez N’importe quel dans le menu local. 12 Si vous avez sélectionné un port de service non standard, saisissez le numéro du port de destination. 13 Choisissez l’interface réseau à laquelle s’applique cette règle. “Intérieur” fait référence à l’interface WAN désignée. “Extérieur” fait référence à l’interface LAN désignée. Si vous avez sélectionné Autre, saisissez le nom de l’interface (en0, en1, fw1, etc.) 14 Cliquez sur OK. 15 Cliquez sur Enregistrer pour appliquer la règle. Modification ou suppression de règles de coupe-feu IP avancées Vous pouvez modifier ou supprimer des règles de coupe-feu IP avancées. Si vous souhaitez simplement désactiver une règle dans la perspective de la réutiliser, désélectionnez la règle plutôt que de la supprimer. Si vous modifiez une règle après avoir activé le service de coupe-feu, vos modifications auront un effet sur les connexions établies avec le serveur. Par exemple, si des ordinateurs sont connectés à votre serveur Web et que vous modifiez la règle pour refuser tout accès au serveur, les ordinateurs connectés seront déconnectés.80 Chapitre 4 Service de coupe-feu IP Pour modifier une règle de coupe-feu IP avancée : 1 Dans Admin Serveur, choisissez Coupe-feu dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Règles avancées. 4 Sélectionnez la règle que vous souhaitez modifier. 5 Cliquez sur le bouton Modifier ( / ) sous la liste des services pour la modifier. Cliquez sur le bouton Supprimer ( - ) sous la liste des services pour la supprimer. Si vous supprimez une règle, vous avez terminé. 6 Modifiez la règle comme vous le souhaitez, puis cliquez sur OK. 7 Cliquer sur Enregistrer. Modification de l’ordre des règles de coupe-feu IP avancées L’ordre des règles de coupe-feu IP avancées est déterminé par leur ordre dans l’onglet Règles avancées. Pour modifier l’ordre des règles : m Faites glisser les règles dans l’ordre désiré. Activation du mode furtif Vous pouvez masquer l’existence de votre coupe-feu en choisissant de ne pas envoyer de notification d’échec de connexion aux connexions bloquées par le coupe-feu. Cela a pour effet de masquer les ports fermés de votre serveur. Par exemple, si un intrus tente de se connecter à votre serveur, même si le port est bloqué, il saura qu’il y a un serveur et cherchera d’autres manières de pénétrer sur votre réseau. Si le mode furtif est activé, plutôt que d’être rejeté, il ne recevra même pas d’indication qu’une tentative de connexion a eu lieu. Pour activer le mode furtif : 1 Dans Admin Serveur, choisissez Coupe-feu dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Règles avancées. 4 Sélectionnez “Activer pour TCP” ou “Activer pour UDP”, comme vous le souhaitez. 5 Cliquer sur Enregistrer.Chapitre 4 Service de coupe-feu IP 81 Initialisation d’un serveur injoignable Certaines erreurs dans la configuration d’un coupe-feu peuvent rendre un serveur injoignable pour l’administration à distance. Dans ce cas, remettez le coupe-feu dans son état par défaut afin qu’Admin Serveur puisse administrer le serveur. Cette procédure de reprise doit être effectuée par un administrateur qui dispose d’un accès physique au serveur. Cette procédure nécessite l’utilisation de l’interface de ligne de commande et des connaissances en la matière. Pour initialiser un coupe-feu : 1 Déconnectez le serveur de l’Internet externe. 2 Redémarrez le serveur en mode mono-utilisateur en maintenant les touches Commande + s pendant le démarrage. 3 Supprimez ou renommez le fichier de groupe d’adresses. Il se trouve dans /etc/ipfilter/ip_address_groups.conf. 4 Supprimez ou renommez le fichier de configuration ipfw. Il se trouve dans /etc/ipfilter/ipfw.conf. 5 Purgez de force les règles de coupe-feu en saisissant : ipfw -f flush 6 Modifiez /etc/hostconfig et définissez IPFILTER=-YES-. 7 Terminez le démarrage de Mac OS X Server jusqu’à la fenêtre de connexion en tapant : exit L’ordinateur va démarrer avec les règles de coupe-feu par défaut et avec le coupe-feu activé. Vous pourrez utiliser Admin Serveur pour affiner la configuration du coupe-feu. 8 Connectez-vous à l’aide du compte de l’administrateur local de votre serveur pour confirmer que le coupe-feu est remis dans sa configuration par défaut. 9 Reconnectez votre hôte à Internet. Contrôle du service de coupe-feu Les coupe-feu sont la première ligne de défense d’un réseau contre les utilisateurs d’ordinateur malveillants (couramment appelés “pirates”). Pour préserver la sécurité de vos ordinateurs et de vos utilisateurs, vous devez contrôler l’activité des coupe-feu et prévenir les éventuelles menaces. Cette section explique comment consigner et surveiller votre coupe-feu.82 Chapitre 4 Service de coupe-feu IP Comprendre le panneau Règles actives Le panneau Règles actives affiche les nombres de paquets et d’octets associés à chaque règle. Lorsque l’on apporte une modification à la configuration du coupe-feu à l’aide d’Admin Serveur, les anciennes règles de coupe-feu sont purgées, de nouvelles sont générées et enregistrées dans un fichier et la commande ipfw(1) est invoquée pour mettre les règles en service. Lors de la purge, les nombres de paquets et d’octets associés aux différentes règles sont effacés. Le panneau Règles actives reflète l’état du coupe-feu à un moment donné. Lorsque vous regardez ce panneau, notez que des règles dynamiques peuvent être affichées en même temps que des règles statiques. Ces règles dynamiques apparaissent et disparaissent en quelques secondes en réponse à l’activité du réseau. Elles sont le résultat des règles dynamiques (de règles qui contiennent une clause “keep-state”). Le panneau Règles actives affiche le numéro de règle de la règle dynamique qui a été déclenchée pour créer la règle dynamique. Affichage de la vue d’ensemble de l’état du coupe-feu La vue d’ensemble de l’état affiche un récapitulatif sommaire du service de coupe-feu. Elle affiche le nombre de règles actives, si le service est en cours d’exécution et combien de paquets ont été traités par le coupe-feu. Pour afficher la vue d’ensemble : 1 Dans Admin Serveur, choisissez Coupe-feu dans la liste Ordinateurs et services. 2 Cliquez sur le bouton Vue d’ensemble. Affichage des règles de règles de coupe-feu actives Le panneau Règles actives affiche un récapitulatif sommaire des règles de coupe-feu. Il affiche les informations suivantes : • les règles au format du code ipfw ; • la priorité des différentes règles ; • le nombre des paquets des différentes règles ; • le nombre total d’octets traités par les différentes règles. Pour afficher la vue d’ensemble : 1 Dans Admin Serveur, choisissez Coupe-feu dans la liste Ordinateurs et services. 2 Cliquez sur le bouton Règles actives.Chapitre 4 Service de coupe-feu IP 83 Configuration des historiques du service de coupe-feu Vous pouvez consigner uniquement les paquets dont l’accès est refusé par les règles que vous avez définies, uniquement les paquets autorisés par ces mêmes règles, ou les deux à la fois. Les deux options de consignation peuvent générer un grand nombre d’entrées d’historique, mais il y a des moyens de limiter le volume : • Ne consignez que les paquets autorisés ou que les paquets refusés, plutôt que tous les paquets. • Ne consignez les paquets que le temps qu’il faut. • Limitez le nombre total de paquets à l’aide du panneau Réglages de consignation. • Ajoutez une règle de comptage dans le panneau Réglages avancés pour compter le nombre de paquets qui répondent aux caractéristiques que vous souhaitez compter. Vous pouvez choisir de consigner les paquets autorisés, les paquets refusés et un nombre déterminé de paquets. Pour configurer des historiques : 1 Dans Admin Serveur, choisissez Coupe-feu dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Général. 4 Sélectionnez les options de consignation voulues. 5 Cliquez sur Enregistrer pour démarrer la consignation. Affichage de l’historique du coupe-feu Chaque règle que vous créez dans Admin Serveur correspond à une ou plusieurs règles du logiciel de coupe-feu sous-jacent. Les entrées d’historique font apparaître la règle appliquée, les adresses IP du client et du serveur et d’autres types d’informations. L’historique affiche le contenu du fichier /var/log/ipfw.log. Vous pouvez encore restreindre les règles à l’aide du champ de filtrage de texte. Pour consulter l’historique du service de coupe-feu : 1 Dans Admin Serveur, choisissez Coupe-feu dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Historique.84 Chapitre 4 Service de coupe-feu IP Voici quelques exemples d’entrées d’historique de coupe-feu et la manière de les interpréter. Exemple d’historique nº 1 Dec 12 13:08:16 ballch5 mach_kernel: ipfw: 65000 Unreach TCP 10.221.41.33:2190 192.168.12.12:80 in via en0 Cette entrée indique que le service de coupe-feu a utilisé la règle 65000 pour refuser (unreach) que le client distant de l’adresse 10.221.41.33:2190 n’accède au serveur 192.168.12.12 sur le port Web 80 via le port Ethernet 0. Exemple d’historique nº 2 Dec 12 13:20:15 mayalu6 mach_kernel: ipfw: 100 Accept TCP 10.221.41.33:721 192.168.12.12:515 in via en0 Cette entrée indique que le service de coupe-feu a utilisé la règle 100 pour autoriser le client distant 10.221.41.33:721 à accéder au serveur 192.168.12.12 sur le port d’impression LPR 515 via le port Ethernet 0. Exemple d’historique nº 3 Dec 12 13:33:15 smithy2 mach_kernel: ipfw: 10 Accept TCP 192.168.12.12:49152 192.168.12.12:660 out via lo0 Cette entrée affiche la règle de détournement NAT appliquée à un paquet sortant. Dans le cas présent, elle détourne la règle vers le port de service 660, le port que le démon NAT utilise. Affichage des paquets refusés L’examen des paquets refusés peut vous aider à identifier les problèmes du service de coupe-feu et à les résoudre. Pour afficher les paquets refusés : 1 Dans Admin Serveur, choisissez Coupe-feu dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Général. 4 Assurez-vous que la case “Consigner tous les paquets refusés” est cochée. 5 Affichez les entrées d’historique dans Admin Serveur en cliquant sur le bouton Historique. 6 Tapez le mot “unreach” dans la boîte de filtrage de texte.Chapitre 4 Service de coupe-feu IP 85 Affichage des paquets consignés par des règles de coupe-feu L’examen des paquets filtrés par les règles de coupe-feu peut vous aider à identifier des problèmes liés au service de coupe-feu et à les résoudre. Pour afficher les paquets filtrés : 1 Dans Admin Serveur, choisissez Coupe-feu dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Général. 4 Assurez-vous que la case “Consigner tous les paquets autorisés” est cochée. Consultez la section “Modification ou suppression de règles de coupe-feu IP avancées” à la page 79 si vous n’avez pas activé la consignation pour une règle particulière. 5 Affichez les entrées d’historique dans Admin Serveur en cliquant sur le bouton Historique. 6 Tapez le mot “Accept” dans le champ de filtrage de texte. Dépannage de règles de coupe-feu IP avancées Le panneau Avancé de configuration du coupe-feu accepte toute entrée tant que vous configurez une règle correctement. Les erreurs éventuelles ne sont détectées qu’à l’enregistrement des règles et lorsque Admin Serveur applique toutes les règles à l’aide de la commande ipfw. La première règle contenant une erreur de syntaxe provoque l’arrêt de l’opération et l’ajout d’un message d’erreur à l’historique. Cette erreur n’indique pas quelle règle est incorrecte, mais toutes les règles valides qui précèdent la règle incorrecte sont chargées dans le coupe-feu. Voici la technique permettant de déterminer quelle règle est incorrecte. Pour déterminer quelle règle est incorrecte : 1 Notez le message qui figure dans l’historique. 2 Attendez quelques minutes que Admin Serveur affiche les règles actives dans la section Vue d’ensemble. 3 Comparez la liste de règles actives dans la section Vue d’ensemble avec la liste de règles de la section Réglages. 4 Inspectez le contenu du fichier /etc/ipfilter/ipfw.conf.apple pour voir lesquelles Admin Serveur a tenté de charger dans le coupe-feu. La première de ce fichier qui n’apparaît pas dans le panneau Vue d’ensemble est presqu’à coup sûr la règle incorrecte. Celle-ci peut également être suivie d’autres règles incorrectes. 5 Si la règle correspond à une règle du panneau Avancé, vous pouvez la désactiver ou la corriger. Les règles désactivées apparaissent dans le fichier /etc/ipfilter/ipfw.conf.apple précédées par un caractère de commentaire afin qu’elles ne soient pas traitées par l’outil ipfw.86 Chapitre 4 Service de coupe-feu IP Exemples pratiques Les règles de coupe-feu IP que vous créez opèrent ensemble de façon à assurer la sécurité de votre réseau. Les exemples ci-après montrent comment utiliser des règles pour atteindre certains objectifs spécifiques. Utilisation d’un coupe-feu IP avec la traduction d’adresses de réseau Le coupe-feu IP doit être activé pour utiliser la traduction d’adresses de réseau (en anglais, Network Address Translation ou NAT). L’activation de la traduction d’adresses de réseau crée automatiquement une règle de détournement de la configuration de coupe-feu. Bien que l’application Admin Serveur de Tiger Server permette d’activer et de désactiver le service de traduction d’adresses de réseau, ou service NAT, et le service de coupe-feu séparément, pour que le service NAT fonctionne, le service NAT et le service de coupe-feu doivent tous deux être activés. Une composante essentielle de la traduction d’adresses de réseau est la règle de détournement de paquets utilisée dans le coupe-feu. La règle de coupe-feu IP créée indique au coupe-feu comment il doit router le trafic réseau provenant du réseau derrière la passerelle de NAT. Lorsque vous avez un réseau local derrière une passerelle de NAT, vous devez créer le groupe d’adresses qui correspond au réseau local ou, en tout cas, ne pas le perdre de vue. La manière la plus simple de configurer un coupe-feu IP pour qu’il fonctionne avec la traduction d’adresses de réseau consiste à utiliser Assistant réglages de passerelle. Ce dernier va configurer automatiquement les groupes d’adresses IP dans le coupe-feu et créer la bonne règle de détournement de paquets. Si vous configurez un réseau avec traduction d’adresses de réseau au travers d’une passerelle pour la première fois, Apple vous recommande d’utiliser Assistant réglages de passerelle. Si vous ne souhaitez pas utiliser Assistant réglages de passerelle ou que vous disposez de réglages de passerelle que vous ne souhaitez pas écraser, vous pouvez configurer la traduction d’adresses de réseau et le coupe-feu IP manuellement. Pour obtenir des instructions détaillées sur la configuration d’un réseau local avec traduction d’adresses de réseau, consultez la section “Liaison d’un réseau local à Internet via une adresse IP” à la page 106. Avertissement : le coupe-feu IP doit être activé pour que la traduction d’adresses de réseau fonctionne.Chapitre 4 Service de coupe-feu IP 87 Blocage de l’accès Web à des utilisateurs Internet Cette section vous montre, à l’aide d’un exemple, comment autoriser l’accès au service Web de votre serveur aux utilisateurs de votre sous-réseau, tout en interdisant son accès au grand public sur Internet. Dans cet exemple, votre réseau local possède la plage d’adresses IP privées 10.0.1.1 à 10.0.1.254. Le service Web de votre serveur se trouve à l’adresse 10.0.2.1 sur le port en2 du serveur. À l’aide d’une règle avancée : 1 Dans Admin Serveur, créez un groupe d’adresses nommé “Réseau local” avec la plage d’adresses 10.0.1.1/24 Il couvre toutes les adresses dans la plage de sous-réseau 10.0.1.x. Pour obtenir des instructions, consultez la section “Création d’un groupe d’adresses” à la page 74. 2 Créez une règle avancée avec les réglages suivants : • Action : Autoriser • Protocole : TCP • Service : Web • Groupe d’adresses source : LAN • Adresse de destination : Autre 10.0.2.1 • Interface : en2 Pour obtenir des instructions, consultez la section “Création d’une règle de coupe-feu IP avancée” à la page 78. À l’aide des règles standard : 1 Dans Admin Serveur, créez un groupe d’adresses nommé “Serveur Web” avec la plage d’adresses 10.0.2.1. Pour obtenir des instructions, consultez la section “Création d’un groupe d’adresses” à la page 74. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Général. 4 Sélectionnez le groupe d’adresses “Serveur Web” dans le menu local “Modifier les services pour”. 5 Autorisez le trafic pour le groupe “Serveur Web” sur le port du service Web désigné. Sélectionnez Autoriser le service Web. 6 Cliquer sur Enregistrer.88 Chapitre 4 Service de coupe-feu IP Consignation de l’accès à Internet par les utilisateurs du réseau local Cette section vous montre, à l’aide d’un exemple, comment autoriser l’accès au service Web d’autres serveurs aux utilisateurs de votre réseau local et consigner leur accès au grand public sur Internet. Dans cet exemple, votre réseau local possède la plage d’adresses IP privées 10.0.1.1 à 10.0.1.254. 1 Dans le panneau Coupe-feu IP d’Admin Serveur, cliquez sur Réglages. 2 Sélectionnez l’onglet Général. 3 Sélectionnez le groupe d’adresses “tout” dans le menu local Modifier les services pour. 4 Autorisez le trafic pour le groupe “Serveur Web” sur le port du service Web désigné. Sélectionnez Autoriser le service Web. 5 Cliquer sur Enregistrer. 6 Cliquez sur l’onglet Général. 7 Sélectionnez Consigner tous les paquets acceptés. Affichez les historiques dans le panneau Historique. Blocage du courrier indésirable Cette section vous montre, à l’aide d’un exemple, comment rejeter le courrier d’un expéditeur de courrier indésirable possédant l’adresse IP 17.128.100.0, tout en acceptant tous les autres messages électroniques Internet. Important : configurez dans les règles que vous créez des plages d’adresses très spécifiques pour bloquer le courrier SMTP entrant. Par exemple, si vous définissez une règle sur le port 25 pour refuser le courrier provenant de n’importe quelle adresse, vous empêchez la distribution du courrier de vos utilisateurs. Pour cela : 1 Dans Admin Serveur, choisissez Coupe-feu dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Général. 4 Sélectionnez le groupe d’adresses “tout” dans le menu local. 5 Activez “Courrier SMTP”. 6 Sélectionnez l’onglet Général. 7 Cliquez sur le bouton Ajouter ( + ) pour créer une plage d’adresses. 8 Nommez le groupe d’adresses. 9 Saisissez 17.128.100.0 dans la plage d’adresses pour indiquer l’adresse de l’expéditeur du courrier indésirable.Chapitre 4 Service de coupe-feu IP 89 10 Cliquez sur OK. 11 Sélectionnez le groupe d’adresses créé. 12 Désélectionnez “Courrier SMTP” dans l’onglet Services pour désactiver le transfert de courrier. 13 Cliquer sur Enregistrer. Client autorisé à accéder au serveur de fichiers Apple Cette section vous montre, sous forme d’exemple, comment autoriser un client possédant l’adresse IP 10.221.41.33 à accéder au serveur de fichiers Apple. Pour cela : 1 Dans Admin Serveur, choisissez Coupe-feu dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Général. 4 Sélectionnez le groupe d’adresses “tout”. 5 Désactivez “Service de fichiers Apple” dans le panneau Service. 6 Sélectionnez l’onglet Général. 7 Cliquez sur le bouton Ajouter ( + ) pour créer une plage d’adresses. 8 Nommez le groupe d’adresses. 9 Saisissez 10.221.41.33 dans la plage d’adresses pour indiquer l’adresse du client. 10 Cliquez sur OK. 11 Sélectionnez l’onglet Général. 12 Sélectionnez le groupe d’adresses créé. 13 Sélectionnez “Service de fichiers Apple” dans le panneau Service pour autoriser l’accès aux fichiers. 14 Cliquez sur Enregistrer.90 Chapitre 4 Service de coupe-feu IP Tâches courantes d’administration réseau utilisant le service de coupe-feu Votre coupe-feu est la première ligne de défense contre les intrus non autorisés sur votre réseau, les utilisateurs malveillants et les attaques de virus contre les réseaux. De bien des façons, ces attaques peuvent endommager vos données ou utiliser les ressources de votre réseau. Cette section présente quelques-unes des utilisations courantes du service de coupe-feu dans l’administration réseau. Prévention des attaques par déni de service (DoS) Lorsque le serveur reçoit une requête de connexion TCP d’un client pour lequel l’accès est refusé, il renvoie par défaut une réponse spécifiant que la connexion a été refusée. Cela empêche le client refusé de renvoyer sans cesse sa demande. Un utilisateur malveillant peut toutefois générer une série de requêtes de connexion TCP à partir de l’adresse IP d’un client refusé et forcer le serveur à lui répondre continuellement, bloquant ainsi toutes les autres connexions au serveur. C’est un des types d’attaque par déni de service. Pour prévenir les attaques par déni de service ping : 1 Dans Admin Serveur, choisissez Coupe-feu dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Réglages. 4 Sélectionnez le groupe d’adresses “tout”. 5 Désélectionnez la case “Réponse (ping) à l’écho ICMP”. 6 Cliquer sur Enregistrer. Important : les attaques par déni de service (en anglais Denial of Service ou DoS) sont plutôt rares. N’effectuez ces réglages que si vous estimez que votre serveur peut être la cible d’une attaque. Si vous refusez les réponses à l’écho ICMP, les services utilisant le ping pour localiser les services réseau seront incapables de détecter votre serveur. Contrôle ou autorisation de l’utilisation du réseau en peer-to-peer Les administrateurs réseau ont parfois besoin de contrôler l’utilisation des applications de partage de fichiers peer-to-peer (P2P). Ces applications pourraient en effet utiliser la bande passante et les ressources du réseau de façon inappropriée ou disproportionnée. Le partage de fichiers en P2P peut également exposer une entreprise à des risques en termes de sécurité ou de propriété intellectuelle. Vous pouvez couper la mise en réseau P2P en bloquant tout le trafic entrant et sortant sur le numéro de port utilisé par l’application P2P. Il vous faudra déterminer le port utilisé pour chaque réseau P2P dont il est question. Par défaut, le coupe-feu de Mac OS X Server bloque tous les ports non spécifiquement ouverts.Chapitre 4 Service de coupe-feu IP 91 Vous pouvez limiter l’utilisation du réseau en P2P aux adresses IP situées derrière le coupe-feu. Pour ce faire, vous devez ouvrir le port P2P pour votre interface LAN, mais continuer de bloquer le port sur l’interface connectée à Internet (interface WAN). Pour apprendre à créer une règle de coupe-feu, consultez la section “Création d’une règle de coupe-feu IP avancée” à la page 78. Contrôle ou activation de l’utilisation des jeux en réseau Les administrateurs réseau ont parfois besoin de contrôler l’utilisation des jeux en réseau. Ces jeux pourraient en effet utiliser la bande passante et les ressources du réseau de façon inappropriée ou disproportionnée. Vous pouvez couper les jeux en réseau en bloquant tout le trafic entrant et sortant sur le numéro de port utilisé par le jeu. Il vous faudra déterminer le port utilisé pour chaque jeu en réseau dont il est question. Par défaut, le coupe-feu de Mac OS X Server bloque tous les ports non spécifiquement ouverts. Vous pouvez choisir de limiter l’utilisation des jeux en réseau aux adresses IP situées derrière le coupe-feu. Pour ce faire, vous devez ouvrir le port approprié sur votre interface LAN, mais continuer de bloquer le port sur l’interface connectée à Internet (interface WAN). Certains jeux ont besoin d’une connexion à un service de jeux, ce qui ne fonctionnera peut-être plus. Pour apprendre à créer une règle de coupe-feu, consultez la section “Création d’une règle de coupe-feu IP avancée” à la page 78. Vous pouvez ouvrir le coupe-feu pour certains jeux en réseau afin que ceux-ci puissent se connecter aux autres joueurs et services de jeux se trouvant en dehors du coupe-feu. Pour cela, vous devez ouvrir le port adéquat sur vos interfaces LAN et WAN. Certains jeux nécessitent l’ouverture de plusieurs ports. Consultez la documentation du jeu pour plus de détails sur la mise en réseau. Pour apprendre à créer une règle de coupe-feu, consultez la section “Création d’une règle de coupe-feu IP avancée” à la page 78.92 Chapitre 4 Service de coupe-feu IP Références de ports Les tableaux suivants répertorient les numéros de ports TCP et UDP généralement utilisés par les ordinateurs Mac OS X et Mac OS X Server. Ces ports peuvent être utilisés lors de la configuration de vos règles. Consultez le site Web suivant pour obtenir la liste des documents RFC référencés dans les tableaux. www.faqs.org/rfcs Port TCP Utilisé pour Référence 7 écho RFC 792 20 Données FTP RFC 959 21 Contrôle FTP RFC 959 22 SSH (secure shell) Configuration de répliques Open Directory 23 Telnet RFC 854 25 SMTP (courrier) RFC 821 53 DNS RFC 1034 79 Finger RFC 1288 80 HTTP (Web) RFC 2068 88 Centre de distribution de clés Kerberos 5 RFC 1510 106 Serveur de mots de passe Open Directory (avec 3659) 110 POP3 (courrier) RFC 1081 111 Appel de procédure à distance (RPC) RFC 1057 113 AUTH RFC 931 115 sftp 119 NNTP (nouvelles) RFC 977 123 Synchronisation du serveur horloge de réseau (NTP) RFC 1305 137 Noms Windows 138 Explorateur Windows 139 Service de fichiers et d’impression Windows (SMB/CIFS) RFC 100 143 IMAP (accès au courrier) RFC 2060 201-208 AppleTalkChapitre 4 Service de coupe-feu IP 93 311 SSL Admin Serveur, administration Web à distance IP AppleShare, Contrôle de serveur, Admin Serveur (servermgrd), Gestionnaire de groupe de travail (DirectoryService) 389 LDAP (annuaires) Recherche LDAP Sherlock 2 RFC 2251 407 Timbuktu 427 SLP (localisation de services) 443 SSL (HTTPS) 445 Microsoft Domain Server 497 Dantz Retrospect 514 shell, syslog 515 LPR (désynchronisation de l’impression) RFC 1179 532 netnews 548 AFP (Apple File Service ou Service de fichiers Apple) 554 RTSP, protocole de diffusion en temps réel (QTSS) RFC 2326 591 Accès Web de FileMaker 600–1023 Services RPC pour Mac OS X (par exemple, NetInfo) 625 Accès au répertoire distant 626 Administration IMAP (service de courrier Mac OS X et courrier AppleShare IP 6.x) 631 IPP (partage d’imprimantes) 636 LDAP SSL 660 Réglages de serveur, Gestionnaire de serveur 687 Utilisateurs et groupes partagés AppleShare IP, Contrôle de serveur, Admin Serveur (servermgrd) 749 Administration de Kerberos et de changepw à l’aide de l’outil de ligne de commande kadmind 985 Port statique NetInfo 993 IMAP sur SSL (courrier) Port TCP Utilisé pour Référence94 Chapitre 4 Service de coupe-feu IP 995 POP3 sur SSL (courrier) 1085 Web Objects 1099, 8043 RMI à distance et accès RMI/IIOP à JBoss 1220 Admin QTSS 1694 Basculement IP 1723 VPN PPTP RFC 2637 2049 NFS 2236 Gestionnaire Macintosh 2399 Couche d’accès aux données de FileMaker 3004 iSync 3031 Program Linking, Remote AppleEvents 3283 ARD 2.0 3306 MySQL 3632 Compilateur distribuée de XCode 3659 Serveur de mots de passe Open Directory (avec 106) 3689 Partage de musique iTunes 4111 XGrid 5003 Liaison de noms et transport FileMaker 5100 Partage d’appareils photo et de numériseurs 5190 iChat et transfert de fichiers iChat 5222 Serveur iChat 5223 SSL du serveur iChat 5269 Serveur iChat - serveur à serveur 5298 iChat - sous-réseau local 5432 Base de données ARD 2.0 5900 VNC ARD 2.0 7070 RTSP, protocole de diffusion en temps réel (QTSS) 7777 Serveur iChat - proxy de transfert de fichiers 8000–8999 Service Web Port TCP Utilisé pour RéférenceChapitre 4 Service de coupe-feu IP 95 8000-8001 Diffusion en continu MP3 QTSS 8005 Arrêt à distance de Tomcat 8043, 1099 RMI à distance et accès RMI/IIOP à JBoss 8080, 8443, 9006 Tomcat autonome et JBoss 8080 Alternative du service Web (valeur par défaut d’Apache 2) 9007 Accès au serveur Web à distance au port AIP 16080 Service Web avec redirection de la mémoire cache des performances 42000-42999 Flux radio iTunes 7 écho 53 DNS 67 Serveur DHCP (BootP), serveur NetBoot 68 Client DHCP 69 Protocole de transfert de fichiers TFTP 111 Appel de procédure à distance (RPC) 123 Protocole de synchronisation d’horloge (NTP) RFC 1305 137 Service WINS (Windows Name Service) 138 Windows Datagram Service (NETBIOS) 161 Protocole SNMP (Simple Network Management Protocol) 192 Administration d’AirPort 427 SLP (localisation de services) 497 Retrospect 500 VPN ISAKMP/IKE 513 who 514 Syslog 554 RTSP, protocole de diffusion en temps réel (QTSS) 600–1023 Services RPC pour Mac OS X (par exemple, NetInfo) Port TCP Utilisé pour Référence96 Chapitre 4 Service de coupe-feu IP 626 Prise en charge des numéros de série 985 NetInfo (lors de la création d’un domaine partagé à l’aide de Configuration de domaine NetInfo) 1701 VPN L2TP 3283 ARD 1.2 5353 DNS multi-diffusion (mDNSResponder) 2049 Service NFS (Network File System) 3031 Lien entre les applications 3283 Assistant réseau Apple, Remote Desktop Apple 4500 IKE NAT Traversal 5060 Initiation iChat 5297, 5678 iChat - local 5353 DNS multi-diffusion (mDNSResponder) 6970 -6999 Diffusion en continu RTP QTSS 7070 Protocole RTSP alternatif (QTSS) 16384-16403 RTP et RTCP audio/vidéo iChat Port TCP Utilisé pour RéférenceChapitre 4 Service de coupe-feu IP 97 Autres sources d’informations Pour plus d’informations sur ipfw : Vous trouverez plus d’informations sur ipfw, l’outil qui contrôle le service de coupefeu IP, en accédant à sa page man. Cette dernière explique comment accéder à ses fonctionnalités et comment les mettre en place. Pour accéder à la page man, utilisez l’application Terminal pour taper : man ipfw Les documents RFC Les documents RFC (Request for Comments) offrent un aperçu d’un protocole ou service et présentent de manière détaillée comment le protocole doit se comporter. Si vous êtes administrateur serveur débutant, vous trouverez probablement certaines informations utiles dans les RFC. Si vous êtes administrateur serveur expérimenté, vous trouverez tous les détails techniques sur un protocole particulier dans le document RFC correspondant. La section RFC du site Web suivant contient plusieurs numéros RFC pour divers protocoles : www.ietf.org/rfc.html L’IANA (Internet Assigned Number Authority) maintient la liste des “ports célèbres”, c’est-à-dire des ports TCP et UDP qui ont été affectés par l’organisation pour les divers protocoles. Vous trouverez cette liste sur le site : www.iana.org/assignments/port-numbers Vous trouverez également de la documentation sur les adresses de multidiffusion importantes dans le document RFC le plus récent sur l’affectation de numéros, actuellement RFC 1700.5 99 5 Service NAT La traduction d’adresses de réseau (NAT) est parfois appelée masquage d’adresses IP. La traduction d’adresses de réseau est utilisée pour autoriser l’accès à Internet à plusieurs ordinateurs avec une seule adresse IP publique ou externe affectée. Il vous permet de créer un réseau privé qui accède à Internet via un routeur ou une passerelle NAT. Le routeur NAT reçoit tout le trafic provenant de votre réseau privé et mémorise les adresses internes qui ont effectué les requêtes. Lorsque le routeur NAT reçoit la réponse à la requête, il la fait suivre à l’ordinateur à partir duquel elle a été émise. Le trafic provenant d’Internet n’atteint donc aucun ordinateur situé derrière le routeur NAT, sauf si l’option de réexpédition de port est activée. Utilisation de la traduction d’adresses de réseau avec d’autres services réseau L’activation de la traduction d’adresses de réseau sur Mac OS X Server nécessite souvent un contrôle détaillé de DHCP, qui est donc configuré séparément dans Admin Serveur. Pour en savoir plus sur DHCP, reportez-vous au chapitre 2, “Service DHCP”, à la page 23. L’activation de NAT crée aussi automatiquement une règle de détournement de la configuration de coupe-feu. L’application Admin Serveur de Mac OS X Server permet d’activer et de désactiver le service NAT et le service de coupe-feu séparément. Mais, pour que le service NAT fonctionne, le service NAT et le service de coupe-feu doivent tous deux être activés. Cela est dû au fait qu’une composante essentielle de la traduction d’adresses de réseau est la règle de détournement de paquets. Cette règle est ajoutée au coupe-feu lors de l’activation du service NAT, mais le service de coupe-feu doit être activé pour que la règle de détournement de paquets, ou toute autre règle de coupefeu, puisse faire effet. Avertissement : le coupe-feu IP doit être activé pour que la traduction d’adresses de réseau fonctionne.100 Chapitre 5 Service NAT Vue d’ensemble de la configuration d’un réseau local avec traduction des adresses de réseau Pour configurer un segment de réseau en tant que réseau local avec traduction des adresses de réseau, il est nécessaire de réaliser plusieurs étapes. Chacune d’entre elles est nécessaire pour obtenir un réseau privé opérationnel derrière une passerelle NAT. Vous trouverez un exemple de configuration détaillé à la section “Liaison d’un réseau local à Internet via une adresse IP” à la page 106. La section qui suit fournit une vue d’ensemble élémentaire du processus de configuration. Étape 1 : Choisissez votre passerelle NAT et ses fonctions d’interface Il doit s’agir d’un ordinateur Mac OS X Server avec (au moins) deux interfaces réseau : une pour la connexion à Internet (le port WAN) et une autre pour la connexion au segment de réseau privé (le port LAN). Étape 2 : Décidez comment les clients du réseau local avec traduction d’adresses de réseau doivent obtenir leurs adresses IP Vous pouvez leur affecter vos propres adresses IP statiques au sein des plages approuvées pour les réseaux locaux privés ou faire affecter les adresses à votre place par la fonctionnalité DHCP de Mac OS X Server. Étape 3 : Configurez les réglages de réseau de la passerelle Affectez votre adresse IP publique au port WAN et l’adresse de la passerelle interne au port LAN. Étape 4 : Configurez les réglages relatifs à la traduction d’adresses de réseau Consultez la section “Configuration du service NAT” à la page 101. Étape 5 : Configurez les réglages relatifs à la réexpédition de port Consultez la section “Configuration de la réexpédition de port” à la page 103. Étape 6 : Démarrez le service NAT Consultez la section “Démarrage et arrêt du service NAT” à la page 101. Étape 7 : Démarrez le service de coupe-feu Pour que le service NAT fonctionne, le service NAT et le service de coupe-feu doivent tous deux être activés. Pour plus de détails, consultez la section “Démarrage et arrêt du service de coupe-feu” à la page 74. Étape 8 : Configurez et démarrez le service DHCP, si nécessaire Si les adresses des clients vont être affectées de manière dynamique, configurez DHCP et démarrez-le maintenant. Pour plus de détails, consultez le chapitre 2, “Service DHCP”.Chapitre 5 Service NAT 101 Démarrage et arrêt du service NAT Admin Serveur vous permet de démarrer et d’arrêter le service NAT sur votre interface réseau par défaut. Démarrer le service NAT ne démarre pas automatiquement DHCP sur l’interface NAT. L’adressage du réseau local doit donc être traité séparément. Démarrer le service NAT n’équivaut pas à configurer un segment de réseau en tant que réseau local avec traduction des adresses de réseau. Pour démarrer le service NAT : 1 Dans Admin Serveur, sélectionnez NAT dans la fenêtre Ordinateurs et services. 2 Cliquez sur Démarrer le service. Une fois le service lancé, l’option Arrêter le service devient disponible. Configuration du service NAT Admin Serveur vous permet d’indiquer l’interface réseau connectée à Internet ou à un autre réseau externe. Configurer le service NAT n’équivaut pas à configurer un segment de réseau en tant que réseau local avec traduction des adresses de réseau. Pour configurer le service NAT : 1 Dans Admin Serveur, sélectionnez NAT dans la fenêtre Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez “Transfert d’adresses IP et traduction d’adresse réseau”. 4 Choisissez l’interface réseau souhaitée dans le menu local “Connexion réseau à partager”. Cette interface doit correspondre à celle qui est connectée à Internet ou à un réseau externe. 5 Cliquer sur Enregistrer.102 Chapitre 5 Service NAT Création d’une passerelle sans traduction d’adresses de réseau Il arrive parfois que l’on doive utiliser un ordinateur en tant que passerelle entre différents segments de réseau, mais sans devoir traduire leurs adresses IP de la plage publique à la plage privée et inversement. On appelle cela le “transfert d’adresses IP”. Mac OS X Server gère le transfert d’adresses IP au travers de la section NAT d’Admin Serveur. Pour cette configuration, plusieurs configurations réseau sont possibles. Par exemple, un autre serveur peut traduire les adresses IP privées en adresses publiques à l’aide de la traduction d’adresses de réseau, mais votre passerelle Mac OS X Server peut router des informations entre différents sous-réseaux d’adresses privées. De la même manière, vous pouvez activer un coupe-feu entre les différents segments de votre propre réseau local. Toute condition qui vous amène à router du trafic réseau au travers du serveur sans masquer les adresses IP est une condition qui nécessite l’utilisation du transfert d’adresses IP. Les étapes de la création d’une passerelle pour le transfert d’adresses sont les mêmes que pour la création d’un réseau local avec traduction des adresses de réseau. Cela signifie que les ports réseau doivent être configurés sur leurs propres réglages et que le service de coupe-feu doit être activé pour que la passerelle fonctionne. Pour configurer une passerelle sans service NAT : 1 Dans Admin Serveur, sélectionnez NAT dans la fenêtre Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez “Transfert d’adresses IP uniquement”. 4 Cliquer sur Enregistrer.Chapitre 5 Service NAT 103 Configuration de la réexpédition de port Vous pouvez diriger le trafic entrant dans votre réseau NAT vers une adresse IP spécifique derrière la passerelle NAT. Cela vous permet de configurer des ordinateurs, sur le réseau interne, qui gèrent certaines connexions entrantes sans exposer les autres ordinateurs aux connexions extérieures. Par exemple, vous pouvez configurer un serveur Web derrière la traduction d’adresses de réseau et réexpédier toutes les demandes de connexion TCP entrantes sur le port 80 vers le serveur Web désigné. Vous ne pouvez pas réexpédier le même port vers plusieurs ordinateurs, mais vous pouvez réexpédier certains ports vers un ordinateur et d’autres vers un autre. Activer la réexpédition de port nécessite l’utilisation de Terminal et une certaine maîtrise de cette application ainsi qu’un accès administratif à des privilèges root via sudo. Vous allez devoir modifier une plist et le contenu de cette plist va être utilisé pour générer /etc/nat/natd.conf.apple, le fichier qui est transféré au démon NAT au démarrage de ce dernier. Ne tentez pas de modifier /etc/nat/natd.conf.apple directement. Si vous choisissez d’utiliser un éditeur de plist plutôt qu’un éditeur de texte pour ligne de commande, vous allez devoir adapter les instructions suivantes. Pour réexpédier le trafic du port : 1 Si le fichier /etc/natd.plist n’existe pas, faites une copie de la plist par défaut du démon NAT. sudo cp /etc/nat/natd.plist.default /etc/natd.plist 2 À l’aide d’un éditeur de Terminal, ajoutez un nouveau bloc de texte XML à /etc/ natd.plist avant les deux dernières lignes qui clôturent le fichier ( et ) Ajoutez ce bloc et remplacez les réglages en italique par les réglages souhaités : redirect_port proto TCP ou UDP targetIP adresse IP du LAN targetPortRange plage d’adresses IP du LAN aliasIP adresse IP du WAN aliasPortRange plage de ports du WAN 104 Chapitre 5 Service NAT 3 Enregistrez vos modifications. Les modifications apportées au fichier, à l’exception des réglages qu’Admin Serveur peut modifier et des commentaires, seront respectées par les outils de configuration du serveur (Admin Serveur, Assistant réglages de passerelle et serveradmin). 4 Configurez le service NAT dans Admin Serveur comme vous le souhaitez. Pour plus de détails, consultez la section “Configuration du service NAT” à la page 101. 5 Cliquer sur Enregistrer. Exemples de réexpédition du trafic du port Vous pouvez réexpédier un port unique ou un nombre quelconque de ports vers une adresse IP donnée. Les ports côté WAN ne doivent pas être identiques aux ports côté LAN, mais ils doivent correspondre. Par exemple, si vous réexpédiez 10 ports consécutifs côté WAN, vous devez les réexpédier vers 10 ports consécutifs côté LAN, mais il ne doit pas s’agir des 10 mêmes ports. Réexpédition d’un seul port Cet exemple montre les réglages permettant de réexpédier les connexions au port TCP 80 (service Web) à l’adresse WAN 17.128.128.128 vers le port TCP 80 (service Web) à l’adresse de réseau local privé 192.168.1.1. Le bloc de texte à ajouter au fichier /etc/ natd.plist file est le suivant : redirect_port proto TCP targetIP 192.168.1.1 targetPortRange 80 aliasIP 17.128.128.128 aliasPortRange 80 Chapitre 5 Service NAT 105 Réexpédition de plusieurs ports Cet exemple montre les réglages permettant de réexpédier les connexions aux ports TCP 600-1023 (NetInfo, plage complète) à l’adresse WAN 17.128.128.128 vers les ports correspondants à l’adresse de réseau local privé 192.168.1.1. Le bloc de texte à ajouter au fichier /etc/natd.plist file est le suivant : redirect_port proto TCP targetIP 192.168.1.1 targetPortRange 600-1023 aliasIP 17.128.128.128 aliasPortRange 600-1023 proto UDP targetIP 192.168.1.1 targetPortRange 600-1023 aliasIP 17.128.128.128 aliasPortRange 60-1023 Contrôle du service NAT Vous souhaitez peut-être surveiller votre service NAT à des fins de dépannage et de sécurisation. La présente section décrit la vue d’ensemble de l’état NAT et la surveillance de l’activité de détournement NAT. Affichage de la vue d’ensemble de l’état NAT La vue d’ensemble de l’état du NAT vous permet de savoir si le service fonctionne et combien de liens de protocoles sont actifs. Pour afficher la vue d’ensemble : 1 Dans Admin Serveur, choisissez Service NAT dans la liste Ordinateurs et services. 2 Cliquez sur le bouton Vue d’ensemble.106 Chapitre 5 Service NAT Tâches d’administration réseau courantes qui utilisent la traduction d’adresses de réseau La section qui suit décrit certaines tâches d’administration de réseau courantes qui utilisent le service NAT. Liaison d’un réseau local à Internet via une adresse IP La manière la plus simple de lier un réseau local traduction des adresses de réseau à Internet consiste à utiliser Assistant réglages de passerelle. Ce dernier va configurer automatiquement les groupes d’adresses IP dans le coupe-feu et créer la bonne règle de détournement de paquets. Si vous configurez un réseau avec traduction d’adresses de réseau au travers d’une passerelle pour la première fois, il est recommandé d’utiliser Assistant réglages de passerelle. Consultez la section “Connecter votre réseau à Internet” à la page 15 pour en savoir plus sur Assistant réglages de passerelle. Si vous ne souhaitez pas utiliser Assistant réglages de passerelle ou que vous disposez de réglages de passerelle que vous ne souhaitez pas écraser, vous pouvez configurer la traduction d’adresses de réseau et le coupe-feu IP manuellement. Pour ce faire, vous aurez besoin d’un serveur Mac OS X Server équipé de deux interfaces réseau, une pour la connexion à Internet et une autre pour la connexion à votre réseau privé. Cet exemple suppose l’existence de la configuration suivante : • Noms d’interface et fonctions Ethernet : Ethernet intégré (connecté à Internet), logement Ethernet PCI 1 (connecté au réseau interne) • Adresse IP Internet ou publique : 17.254.0.3 (à titre d’exemple uniquement, votre numéro IP sera fourni par votre FAI) • Adresse IP DNS Internet ou publique : 17.254.1.6 (à titre d’exemple uniquement, votre numéro IP sera fourni par votre FAI) • Plage d’adresses IP et masque de réseau du réseau privé : 192.168.0.2-192.168.0.254 (aussi exprimé sous la forme 192.168.0.0/24 ou 192.168.0.0:255.255.255.0) • Adresse IP du réseau privé du serveur : 192.168.0.1 • Réglages en matière d’adresses IP des clients du réseau local : configurez IPv4 pour l’utilisation de DHCP. Bien que cela ne soit pas absolument nécessaire (la traduction d’adresses de réseau peut être utilisée avec des adresses IP statiques plutôt qu’avec DHCP), cela permet une configuration aisée des ordinateurs clients.Chapitre 5 Service NAT 107 Pour configurer votre réseau local avec traduction des adresses de réseau : 1 Ouvrez la sous-fenêtre Réseau de Préférences Système sur le serveur de passerelle. 2 Dans l’écran Configuration des ports réseau actif, vérifiez que l’interface “Ethernet intégré” se trouve en tête de la liste des interfaces. Si ce n’est pas le cas, faites-la glisser en tête de la liste. Cela définit la passerelle par défaut dans la table de routage. La première interface de la liste est toujours configurée pour être hors d’Internet ou du WAN. 3 Vérifiez que l’adresse IP et les réglages pour “Ethernet intégré” sont les réglages relatifs à l’adresse publique fournie par votre FAI. Dans notre exemple, ce serait : • Adresse IP : 17.254.0.3 • Masque de réseau : 255.255.252.0 • DNS : 17.254.1.6 4 Vérifiez que l’adresse IP et les réglages pour “Logement Ethernet PCI 1” sont les réglages relatifs à votre adresse locale. Dans notre exemple, ce serait : • Adresse IP : 192.168.0.1 • Masque de réseau : 255.255.255.0 • DNS : 17.254.1.6 5 Cliquez sur Appliquer les modifications, si nécessaire. 6 Ouvrez Admin Serveur. 7 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 8 Dans Admin Serveur, créez un groupe d’adresses avec les paramètres de configuration suivants pour le réseau local interne : • Nom de sous-réseau : • Adresse IP de début : 192.168.0.2 • Adresse IP de fin : 192.168.0.254 • Masque de sous-réseau : 255.255.255.0 • Interface réseau : en1 • Routeur : 192.168.0.1 • Délai de bail : • DNS : 17.254.1.6 Pour des instructions détaillées sur la configuration de DHCP, consultez la section “Création de sous-réseaux” à la page 24. 9 Activez le service DHCP. 10 Dans Admin Serveur, choisissez NAT dans la liste Ordinateurs et services. 11 Configurez la traduction d’adresses de réseau à l’aide des réglages suivants : • Connexion réseau à partager : Ethernet intégré 12 Cliquez sur Enregistrer, si nécessaire. 13 Activez le service NAT.108 Chapitre 5 Service NAT 14 Dans Admin Serveur, choisissez Coupe-feu dans la liste Ordinateurs et services. 15 Activez le coupe-feu. 16 Créez des règles de coupe-feu pour autoriser l’accès à et à partir de votre réseau privé. Par exemple, créez un groupe d’adresses IP nommé “Réseau local privé” pour les adresses 192.168.0.0/24. Pour obtenir des instructions détaillées, consultez la section “Création d’un groupe d’adresses” à la page 74. 17 Activez tous les services auxquels vous souhaitez que le réseau local privé accède (Web, SSH, partage de fichiers, etc.) à l’aide du groupe “Réseau local privé”. Pour obtenir des instructions détaillées, consultez la section “Ouverture du coupe-feu pour les services standard” à la page 76. 18 Activez tous les services auxquels vous souhaitez qu’Internet accède sur votre réseau local privé (Web, SSH, partage de fichiers, etc.) à l’aide du groupe d’adresses “tout”. Pour obtenir des instructions détaillées, consultez la section “Ouverture du coupe-feu pour les services standard” à la page 76. 19 Cliquer sur Enregistrer. Configuration d’un tournoi de jeux en réseau La configuration d’un tournoi de jeux en réseau est essentiellement la même que “Liaison d’un réseau local à Internet via une adresse IP” Considérations spéciales : • Faites particulièrement attention à ouvrir les ports nécessaires pour jouer un jeu sur Internet. • Si le jeu ne doit être joué qu’au sein du réseau local, il n’est pas nécessaire d’ouvrir le coupe-feu aux ports de jeu. • Si vous avez des ordinateurs qui entrent dans le réseau local puis le quittent, il est préférable d’utiliser DHCP pour la configuration des adresses des clients.Chapitre 5 Service NAT 109 Configuration de serveurs virtuels Un serveur virtuel est un serveur de passerelle qui envoie des services derrière un mur NAT à des serveurs réels port par port. Par exemple, imaginons que vous avez une passerelle NAT à l’adresse 17.100.0.1 (domaine.exemple.com) qui pourrait être configurée pour réexpédier le trafic Web (port 80) vers 10.0.0.5 (port 80) derrière le coupe-feu et les demandes pour le trafic ssh (port 22) pourraient envoyer les paquets à 10.0.0.15 (port 22). Dans l’exemple ci-avant, en réalité le contenu Web n’est pas fourni par la passerelle NAT, mais par le serveur à l’adresse 10.0.0.5, mais cela est invisible pour les clients qui visitent le site Web. Vers Internet, vous n’avez qu’un seul serveur, mais derrière la barrière constituée par la traduction d’adresses de réseau, vous pouvez en avoir autant que vous le souhaitez. Cela peut être utilisé pour l’équilibrage de la charge en tant que schéma organisationnel pour la topographie du réseau. Les serveurs virtuels permettent également de réacheminer aisément du trafic réseau vers d’autres ordinateurs sur le réseau local simplement en reconfigurant la passerelle. Les serveurs virtuels requièrent la configuration de trois services : NAT, DNS et coupe-feu IP. Le service NAT doit être configuré avec la réexpédition de port du port virtuel souhaité. L’enregistrement DNS pour le serveur doit accepter quelques alias de services courants et les résoudre tous vers la même adresse IP. En fin, le coupe-feu doit autoriser le trafic sur certains ports dans le réseau local avec traduction des adresses de réseau. Dans cet exemple, nous allons configurer une passerelle NAT et faire pointer deux noms de domaine et services vers d’autres ordinateurs derrière le coupe-feu de la passerelle. Cet exemple suppose l’existence de la configuration suivante : • Noms d’interface et fonctions Ethernet : Ethernet intégré (connecté à Internet), logement Ethernet PCI 1 (connecté au réseau interne) • Adresse IP Internet ou publique : 17.100.0.1 (à titre d’exemple uniquement, votre numéro IP sera fourni par votre FAI) • Plage d’adresses IP et masque de réseau du réseau privé : 192.168.0.0-192.168.0.255 (aussi exprimé sous la forme 192.168.0.0/24 ou 192.168.0.0:255.255.255.0) • Adresse IP du réseau privé du serveur de la passerelle : 192.168.0.1 • Adresse IP du réseau privé du serveur Web : 192.168.0.2 • Adresse IP du réseau privé du serveur de courrier : 192.168.0.3 • Réglages en matière d’adresses IP du serveur Web et de messagerie : configurez IPv4 pour l’utilisation de DHCP. Bien que cela ne soit pas absolument nécessaire (la traduction d’adresses de réseau peut être utilisée avec des adresses IP statiques plutôt qu’avec DHCP), cela permet une configuration aisée des ordinateurs clients.110 Chapitre 5 Service NAT Pour configurer vos serveurs virtuels : 1 Ouvrez Admin Serveur. 2 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 3 Dans Admin Serveur, créez un groupe d’adresses avec les paramètres de configuration suivants pour le réseau local interne : • Nom de sous-réseau : • Adresse IP de début : 192.168.0.2 • Adresse IP de fin : 192.168.0.254 • Masque de sous-réseau : 255.255.255.0 • Interface réseau : en1 • Routeur : 192.168.0.1 • Délai de bail : • DNS : • Mappage statique (Web) : mappée sur 192.168.0.2 • Mappage statique (messagerie) : mappée sur 192.168.0.3 Pour des instructions détaillées sur la configuration de DHCP, consultez les sections “Création de sous-réseaux” à la page 24 et “Affectation d’adresses IP statiques à l’aide de DHCP” à la page 31. 4 Activez le service DHCP. 5 Dans Admin Serveur, choisissez NAT dans la liste Ordinateurs et services. 6 Configurez la traduction d’adresses de réseau à l’aide des réglages suivants : • Connexion réseau à partager : Ethernet intégré • Réexpédition de port : port TCP 80 (Web) vers 192.168.0.2 • Réexpédition de port : port TCP 25 (messagerie) vers 192.168.0.3 7 Cliquer sur Enregistrer. 8 Activez le service NAT. 9 Dans Admin Serveur, choisissez Coupe-feu dans la liste Ordinateurs et services. 10 Activez le coupe-feu. 11 Créez des règles de coupe-feu pour autoriser l’accès à votre réseau privé. Pour obtenir des instructions détaillées, consultez la section “Création d’un groupe d’adresses” à la page 74. 12 Activez les deux services auxquels vous souhaitez qu’Internet accède sur votre réseau local privé (Web et messagerie SMTP) à l’aide du groupe d’adresses “tout”. Pour obtenir des instructions détaillées, consultez la section “Ouverture du coupe-feu pour les services standard” à la page 76. 13 Cliquer sur Enregistrer. 14 Ajoutez deux alias à l’enregistrement DNS de votre serveur de passerelle.Chapitre 5 Service NAT 111 Prenez contact avec votre fournisseur DNS (généralement le FAI) et demandez-lui d’ajouter un enregistrement “A” du nom de “www.exemple.com” pointant vers l’adresse IP 17.100.0.1. Demandez également un enregistrement MX du nom de “mail.exemple.com” pointant vers la même adresse IP. Ces enregistrements viennent en plus des enregistrements A et CNAME pour votre domaine. Maintenant, tout le trafic Web vers www.exemple.com va être réexpédié vers le serveur Internet à l’adresse 192.168.0.2 et le trafic de messagerie entrant vers mail.exemple.com va être réexpédié vers le serveur interne à l’adresse 192.168.0.3. Si vous souhaitez modifier les serveurs qui se trouvent derrière la traduction d’adresses de réseau (pour une mise à niveau matérielle, par exemple), il vous suffit de modifier adressage IP statique DHCP pour pointer vers les adresses Ethernet des nouveaux serveurs. Les adresses IP internes existantes vont être affectées aux nouveaux serveurs désignés pour le Web et la messagerie et la passerelle réexpédiera le trafic vers les nouveaux serveurs sans interruption. Autres sources d’informations Pour plus d’informations sur natd : Vous trouverez plus d’informations sur natd, le démon qui contrôle le service NAT, en accédant à sa page man. Cette dernière explique comment accéder à ses fonctionnalités et comment les implémenter. Pour accéder à la page man, utilisez l’application Terminal pour taper : man natd Documents RFC Les documents RFC (Request for Comments) offrent un aperçu d’un protocole ou service et présentent de manière détaillée comment le protocole doit se comporter. Si vous êtes administrateur serveur débutant, vous trouverez probablement certaines informations utiles dans les RFC. Si vous êtes administrateur serveur expérimenté, vous trouverez tous les détails techniques sur un protocole particulier dans le document RFC correspondant. Vous pouvez rechercher des documents RFC par numéro sur le site : www.ietf.org/rfc.html Pour des descriptions de la traduction d’adresses de réseau, consultez : • RFC 1631 • RFC 3022.6 113 6 Service VPN Un réseau privé virtuel (VPN) correspond à deux ou plusieurs ordinateurs ou réseaux (nœuds) connectés par un lien privé de données cryptées. Ce lien simule une connexion locale, comme si l’ordinateur distant était relié au réseau local (LAN). Les VPN permettent aux utilisateurs travaillant depuis leur domicile ou en dehors du réseau LAN de s’y connecter en toute sécurité à l’aide de n’importe quelle connexion réseau, comme Internet. Du point de vue de l’utilisateur, la connexion VPN apparaît comme un lien privé dédié. La technologie VPN permet également aux filiales d’une organisation de se connecter à Internet, tout en conservant des communications sécurisées. La connexion VPN via Internet joue le rôle d’un lien WAN (Wide Area Network) entre les sites. Les VPN présentent aussi de nombreux avantages pour les organisations dont les ressources d’ordinateurs sont physiquement séparées. Par exemple, chaque utilisateur ou nœud distant utilise les ressources réseau de son fournisseur d’accès à Internet (FAI) au lieu d’être relié directement, par câble, à l’emplacement principal. Les VPN permettent également aux utilisateurs de portables vérifiés d’accéder aux ressources d’ordinateurs privés (serveurs de fichiers, etc.) depuis n’importe quelle connexion Internet. Enfin, le VPN peut permettre de relier plusieurs réseaux LAN entre eux sur de grandes distances en utilisant l’infrastructure Internet existante. Ce chapitre explique la méthode d’authentification VPN, les protocoles de transport et les modes de configuration, de gestion et de contrôle du service VPN. Il ne contient pas d’instructions sur la configuration des clients VPN devant utiliser votre serveur VPN.114 Chapitre 6 Service VPN VPN et sécurité Les VPN assurent la confidentialité et l’inaltérabilité des données grâce à une authentification stricte de l’identité et au transport de données cryptées entre les nœuds. La section suivante contient des informations sur toutes les méthodes de transport et d’authentification gérées. Protocoles de transport Vous avez la possibilité d’activer l’un ou l’autre, ou les deux protocoles de transport crypté. Chacune d’elles possède ses propres avantages et ses exigences. Protocole L2TP/IPSec (Layer Two Tunnelling Protocol, Secure Internet Protocol) Le protocole L2TP/IPSec utilise un cryptage de sécurité IP (IPSec) fort pour la “tunnelisation” des données depuis et vers les nœuds réseau. Il est repose sur le protocole L2F de Cisco. IPSec requiert des certificats de sécurité émis par une autorité de certification telle que Verisign, ou un secret partagé prédéfini entre les nœuds connectés. Le secret partagé doit être saisi sur le serveur et sur un client. Il ne s’agit pas d’un mot de passe d’authentification et il ne génère pas des clés de cryptage afin d’établir des tunnels sécurisés entre les nœuds. Il s’agit d’un jeton qui permet aux systèmes de gestion de clés de se faire confiance mutuellement. L2TP est le protocole VPN préféré de Mac OS X Server à cause de son cryptage du transport supérieur et la possibilité de l’authentifier via Kerberos. Protocole PPTP (Point to Point Tunneling) PPTP est un protocole VPN courant ainsi que le protocole VPN standard de Windows. PPTP offre un bon cryptage (à condition que les mots de passe utilisés soient des mots de passe forts) et gère un certain nombre de schémas d’authentification. Il utilise le mot de passe fourni par l’utilisateur pour produire une clé de cryptage. Vous pouvez également autoriser un cryptage de sécurité 40 bits (faible) en plus du cryptage par défaut 128 bits (plus fort) si vos clients VPN en ont besoin. PPTP est nécessaire si vous disposez de vieux clients Windows ou de Mac OS X 10.2.x. Méthode d’authentification Le VPN L2TP de Mac OS X Server utilise soit Kerberos 5 soit Challenge Handshake Authentication Protocol version 2 de Microsoft (MS-CHAPv2) pour l’authentification. Le VPN PPTP de Mac OS X Server utilise MS-CHAPv2 uniquement pour l’authentification. Kerberos est un protocole d’authentification sécurisé qui dépend d’un serveur de distribution de clés Kerberos en tant que “tiers de confiance” pour authentifier un client auprès d’un serveur. L’authentification MS-CHAPv2 ne nécessite pas la même infrastructure d’authentification que Kerberos. Elle encode les mots de passe lorsqu’ils sont envoyés sur le réseau et les stocke sous une forme brouillée sur le serveur pour garantir un bon niveau de sécurité lors de la transmission réseau. Il s’agit également du système d’authentification standard de Windows pour les VPN.Chapitre 6 Service VPN 115 Le VPN PPTP de Mac OS X Server peut utiliser des méthodes d’authentification supplémentaires. Chacune d’elles possède ses propres avantages et ses exigences. Il n’est pas possible de choisir une autre méthode d’authentification pour PPTP à l’aide d’Admin Serveur. Si vous voulez configurer un système d’authentification différent de celui défini par défaut (pour utiliser par exemple le système d’authentification SecurID de RSA Security), il vous faudra modifier manuellement le fichier de configuration du VPN. Ce fichier de configuration se trouve dans : /Bibliothèque/Préférences/SystemConfiguration/com.apple.RemoteAccessServers.plist Pour plus de détails, consultez la section “Authentification SecurID avec un serveur VPN” à la page 122. Avant de configurer le service VPN Avant de configurer le service VPN (Virtual Private Network), vous devez choisir le protocole de transport à utiliser. Le tableau ci-dessous présente les protocoles gérés par les différentes plate-formes. Si vous utilisez le protocole L2TP, vous devez posséder un certificat de sécurité (émis par une autorité de certification ou auto-signé) ou un secret partagé prédéfini entre les nœuds connectés. Si vous optez pour le secret partagé, sachez qu’il doit également être sécurisé (au moins 8, mais idéalement 12 caractères alphanumériques avec ponctuation et sans espaces ou plus) et gardé secret par les utilisateurs. Si vous utilisez le protocole PPTP, vous devez vous assurer que tous vos clients gèrent les connexions PPTP 128 bits, pour une sécurité optimale du transport. Sachez qu’en activant une sécurité de transport 40 bits, vous vous exposez à des risques importants en matière de sécurité. Si vous avez des... vous pouvez utiliser L2TP/IPSec. vous pouvez utiliser PPTP. clients Mac OS X 10.4 et 10.3.x X X clients Mac OS X 10.2.x X clients Windows X (sous Windows XP) X clients Linux ou Unix X X116 Chapitre 6 Service VPN Configuration d’autres services réseau pour VPN L’activation de VPN sur Mac OS X Server nécessite un contrôle détaillé de DHCP. DHCP est configuré séparément dans Admin Serveur. Les adresses IP affectées aux clients VPN ne peuvent pas chevaucher les adresses affectées aux clients DHCP locaux. Pour en savoir plus sur DHCP, reportez-vous au chapitre 2, “Service DHCP”, à la page 23. L’activation de VPN nécessite également la configuration du coupe-feu IP. Le coupe-feu doit pouvoir acheminer du trafic réseau provenant d’adresses IP externes au travers du coupe-feu vers le réseau local. Cela peut se faire de la manière aussi ouverte ou fermée que vous le jugez nécessaire. Par exemple, si les clients VPN viennent d’une large plage d’adresses IP (vous avez un grand nombre d’utilisateurs et certains se connectent par plusieurs FAI différents), vous devrez peut-être ouvrir le groupe d’adresses de coupe-feu “tout” aux connexions VPN. Si vous souhaitez restreindre l’accès à une petite plage d’adresses IP, y compris des adresses IP statiques, vous pouvez créer un groupe d’adresses qui reflète cette plus petite plage et n’activer que le trafic VPN provenant de cette liste. Gestion du service VPN Cette section décrit les tâches associées à la gestion du service VPN. Ces tâches incluent le démarrage, l’arrêt et la configuration du service. Démarrage ou arrêt du service VPN Vous utilisez Admin Serveur pour démarrer ou arrêter le service VPN. Pour démarrer ou arrêter le service VPN : 1 Dans Admin Serveur, choisissez le service VPN dans la liste Ordinateurs et services. 2 Assurez-vous qu’au moins un protocole de transport est activé et configuré. 3 Cliquez sur Démarrer le service ou Arrêter le service. Lorsque le service est activé, le bouton Arrêter le service est disponible. Activation et configuration du protocole de transport L2TP Utilisez Admin Serveur pour désigner L2TP comme protocole de transport. En activant ce protocole, vous devez également configurer les réglages des connexions. Vous devez définir un secret partagé IPSec (sauf si vous n’utilisez pas de certificat de sécurité signé), la plage d’affectation d’adresses IP à fournir à vos clients et le groupe destiné à recevoir les privilèges VPN (si nécessaire). Si les protocoles L2TP et PPTP sont utilisés ensemble, chaque protocole doit disposer d’une plage d’adresses distincte et ces plages ne peuvent pas se chevaucher.Chapitre 6 Service VPN 117 Pour activer le protocole L2TP : 1 Dans Admin Serveur, choisissez le service VPN dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet L2TP. 4 Sélectionnez “Activer L2TP via IPsec”. 5 Définissez la première adresse IP de la plage d’affectation. 6 Définissez la dernière adresse IP de la plage d’affectation. 7 Choisissez un type d’authentification PPP. Si votre ordinateur est lié à un serveur d’authentification Kerberos, choisissez Kerberos sinon choisissez MS-CHAPv2. 8 Tapez le secret partagé ou sélectionnez le certificat à utiliser. 9 Cliquez sur Enregistrer. Activation et configuration du protocole de transport PPTP Utilisez Admin Serveur pour désigner PPTP comme protocole de transport. En activant ce protocole, vous devez également configurer les réglages des connexions. Vous devez indiquer la longueur de la clé de cryptage (40 bits en plus de 128 bits), la plage d’affectation des adresses IP à donner à vos clients et le groupe destiné à recevoir les privilèges VPN (si nécessaire). Si les protocoles L2TP et PPTP sont utilisés ensemble, chaque protocole doit disposer d’une plage d’adresses distincte et ces plages ne peuvent pas se chevaucher. Pour activer le protocole PPTP : 1 Dans Admin Serveur, choisissez le service VPN dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet PPTP. 4 Sélectionnez “Activer PPTP”. 5 Si vous le souhaitez, sélectionnez “Autoriser les clés de cryptage 40 bits” pour autoriser ces clés à être utilisées en plus des clés 128 bits. Avertissement : les clés de cryptage 40 bits sont bien moins sûres, mais il peut être nécessaire de les autoriser pour certaines applications clients VPN. 6 Définissez l’adresse de départ et les adresses IP de la plage d’affectation. 7 Cliquer sur Enregistrer.118 Chapitre 6 Service VPN Configuration de réglages réseau supplémentaires pour les clients VPN Lorsqu’un utilisateur se connecte à votre serveur via le service VPN, il reçoit une adresse IP tirée de votre plage d’adresses affectées. Cette plage n’est pas desservie par un serveur DHCP, vous allez donc devoir configurer des réglages réseau supplémentaires. Ces réglages incluent le masque de réseau, l’adresse du DNS et les domaines de recherche. Pour configurer des réglages réseau supplémentaires : 1 Dans Admin Serveur, choisissez le service VPN dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Informations sur les clients. 4 Saisissez l’adresse IP du serveur DNS. 5 Saisissez si nécessaire les domaines de recherche. 6 Cliquer sur Enregistrer. Configuration des définitions de routage réseau VPN Les définitions de routage réseau permettent de choisir entre le routage des données provenant des clients VPN vers un groupe d’adresses au travers du tunnel VPN (“privé”) et le routage par la connexion FAI de l’utilisateur VPN (“publique”). Vous pouvez par exemple décider que tout le trafic destiné à la plage d’adresses IP du réseau LAN passe par le tunnel sécurisé avant d’arriver au LAN, mais que le trafic en direction des autres adresses soit acheminé via la connexion Internet normale, non sécurisée, de l’utilisateur. Cela peut vous aider à mieux contrôler le trafic du tunnel VPN. Notes importantes sur les définitions de routage réseau VPN : • Si aucune définition de routage n’a été ajoutée, par défaut, tout le trafic est routé au travers de la connexion VPN. • Si des définitions de routage ont été ajoutées, la connexion VPN n’est plus définie comme route par défaut et tout le trafic destiné à des adresses qui ne sont pas spécifiquement déclarées en tant que route privée ne transitera pas par la connexion VPN. • Toutes les recherches DNS transitent à présent par la connexion VPN, quelles que soient les routes définies. • Les définitions ne sont pas classées dans l’ordre ; elles appliquent uniquement la description qui correspond le mieux au paquet acheminé.Chapitre 6 Service VPN 119 Exemple Imaginons que les adresses IP de votre réseau local sont toutes des adresses 17.x.x.x. Si vous ne faites pas de définitions de routage, le trafic réseau de tout client VPN (les requêtes d’URL du navigateur Web, les tâches d’impression de file d’attente d’impression LPR, la navigation sur les serveurs de fichiers) est routé de son ordinateur au travers du tunnel VPN au réseau local 17.x.x.x. Vous décidez maintenant de ne plus gérer tout le trafic vers des sites Web ou des serveurs de fichiers qui ne se trouvent pas sur réseau. Vous pouvez définir le trafic qui sera envoyé au réseau 17.x.x.x et celui qui transitera par la connexion Internet normale du client. Pour limiter le trafic que le tunnel gère, vous devez saisir une définition de routage désignant le trafic vers le réseau 17.x.x.x comme étant privé, ce qui le fera transiter par le tunnel. Dans la table de la définition de routage, tapez : 17.0.0.0 255.0.0.0 Privé Tout le trafic vers le réseau local est maintenant envoyé par la connexion VPN et, par défaut, toutes les autres adresses qui ne figurent pas dans la table des définitions sont envoyées par la connexion Internet non cryptée des utilisateurs. Vous vous rendez compte maintenant qu’il y a certaines adresses IP dans la plage 17.x.x.x auxquelles vous ne souhaitez pas que l’on accède par la connexion VPN. Vous voulez que le trafic transite par la connexion Internet de l’utilisateur plutôt que par le tunnel. Les adresses peuvent être devant le coupe-feu et ne pas être accessibles à partir du réseau 17.x.x.x. Par exemple, utilisons les adresses de la plage 17.100.100.x. Tapez une définition de routage supplémentaire comme suit : 17.100.100.0 255.255.255.0 Public Comme la définition d’adresse est plus spécifique que 17.x.x.x, cette règle prime sur la règle plus large, plus générale et le trafic destiné à toute adresse dans la plage 17.100.100.x est envoyé par la connexion Internet de l’utilisateur VPN. En résumé, si vous ajoutez des routes, les routes que vous spécifiez comme étant privées transitent par la connexion VPN alors que celles que vous déclarez publiques ne transitent pas par la connexion VPN. Toutes celles qui ne sont pas spécifiées ne transitent pas non plus par la connexion VPN.120 Chapitre 6 Service VPN Pour créer les définitions de routage : 1 Dans Admin Serveur, choisissez le service VPN dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Informations sur les clients. 4 Cliquez sur le bouton Ajouter sous la liste des définitions de routage. 5 Saisissez la plage d’adresses de destination des paquets à router en spécifiant : a une adresse de base (par exemple, 192.168.0.0) ; b un masque de réseau (par exemple, 255.255.0.0). 6 Sélectionnez la destination de routage dans le menu local. a Privé signifie un acheminement via le tunnel VPN. b Public signifie utiliser l’interface normale, sans tunnel. 7 Cliquez sur OK. 8 Cliquer sur Enregistrer. Limitation de l’accès VPN à certains utilisateurs ou groupes Par défaut, tous les utilisateurs sur le serveur ou dans le répertoire maître ont accès au VPN une fois qu’il est activé. Vous pouvez limiter l’accès au VPN à certains utilisateurs pour des raisons de sécurité ou pour simplifier l’administration. Vous pouvez également limiter l’accès au VPN à l’aide des listes de contrôle d’accès de Mac OS X Server. Les listes de contrôle d’accès (an anglais Access Control Lists ou ACL) sont une méthode permettant de définir individuellement l’accès aux services de certains utilisateurs ou groupes. Par exemple, vous pouvez utiliser une liste de contrôle d’accès pour n’autoriser l’accès à un serveur de fichiers ou à une connexion de shell qu’un seul utilisateur, sans autoriser tous les utilisateurs du serveur à y accéder. Pour limiter l’accès VPN par connexion à l’aide de listes de contrôle d’accès : 1 Dans Admin Serveur, sélectionnez le serveur sur lequel le service VPN fonctionne et l’utilisateur ou le groupe qui doit recevoir l’accès VPN. 2 Cliquer sur Accès. 3 Désélectionnez “Utiliser le même accès pour tous les services”. 4 Sélectionnez “Autoriser uniquement les utilisateurs et groupes ci-dessous”. 5 Cliquez sur le bouton Ajouter ( + ) pour afficher le tiroir Utilisateurs et groupes. 6 Faites glisser l’utilisateur ou le groupe souhaité dans la liste d’accès. 7 Cliquer sur Enregistrer.Chapitre 6 Service VPN 121 Limitation de l’accès VPN à certains adresses IP entrantes Par défaut, le coupe-feu IP bloque toutes les connexions VPN entrantes. Vous pouvez limiter l’accès au VPN à certaines adresses pour des raisons de sécurité ou pour simplifier l’administration. Vous pouvez également limiter l’accès au VPN en configurant le coupefeu IP de Mac OS X Server. Pour limiter l’accès VPN par adresse IP : 1 Dans Admin Serveur, choisissez Coupe-feu dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Règles avancées. 4 Cliquez sur le bouton Ajouter ( + ). 5 Sélectionnez “Autoriser” l’accès dans le menu local Action. 6 Choisissez un protocole dans le menu local Protocole. Si vous avez choisi L2TP comme accès VPN, choisissez UDP. Si vous avez choisi PPTP comme accès VPN, choisissez TDP. 7 Choisissez un type de service VPN dans le menu local : L2TP ou PPTP. Le port de destination approprié est ajouté automatiquement. 8 Si vous le souhaitez, choisissez de consigner les paquets qui répondent à cette règle de filtrage. 9 Saisissez la plage d’adresses IP source (avec notation CIDR) à laquelle vous souhaitez donner accès au VPN et laissez Autre sélectionné dans le menu local. Il s’agit des adresses IP pouvant se connecter au service VPN. 10 Dans le menu local, choisissez le groupe d’adresses qui a le serveur VPN comme destination du trafic filtré. Si vous ne souhaitez pas utiliser un groupe d’adresses existant, saisissez la plage d’adresses IP de destination (avec notation CIDR). 11 Choisissez l’interface réseau “In” pour lui appliquer cette règle. “Intérieur” fait référence à l’interface WAN désignée. 12 Cliquez sur OK. 13 Cliquez sur Enregistrer pour appliquer le filtre immédiatement.122 Chapitre 6 Service VPN Instructions de configuration supplémentaires La section qui suit contient des instructions pour quelques scénarios facultatifs supplémentaires. Ils nécessitent l’intégration à un système de service de répertoires existant ou des services d’authentification de tierce partie. Activer l’accès VPN PPTP pour les utilisateurs dans un domaine LDAP Dans Mac OS X 10.4, vous pouvez utiliser un outil à ligne de commande pour activer les connexions VPN PPTP pour les utilisateurs qui sont dans un domaine LDAP. Cela résout la situation dans laquelle les utilisateurs peuvent établir une connexion VPN via PPTP avec un serveur Mac OS X Server qui, une fois établie, n’est utilisée par aucun trafic réseau. Cela concerne Mac OS X Server 10.3 et 10.4. 1 Exécutez l’outil /usr/sbin/vpnaddkeyagentuser en tant que root avec le nom du nœud LDAP (le répertoire dans lequel les utilisateurs se trouvent) comme argument. Par exemple, si le serveur sur lequel le service VPN fonctionne est également le maître LDAP, tapez la commande suivante dans Terminal : sudo /usr/sbin/vpnaddkeyagentuser /LDAPv3/127.0.0.1 Si le serveur sur lequel le service VPN fonctionne n’est pas le maître LDAP et que le répertoire LDAP se trouve sur un autre ordinateur, utilisez l’adresse IP du serveur LDAP dans la commande. Par exemple, si le serveur LDAP est à l’adresse 17.221.67.87, tapez la commande suivante dans Terminal : sudo /usr/sbin/vpnaddkeyagentuser /LDAPv3/17.221.67.87 2 L’outil vous invite à tapez le nom d’utilisateur et le mot de passe. a Si le serveur VPN est le maître LDAP, tapez le nom et le mot de passe de l’administrateur du serveur. b Si le répertoire LDAP se trouve sur un autre serveur, tapez le nom et le mot de passe de l’administrateur du serveur qui héberge le répertoire LDAP (ou le nom et le mot de passe de l’administrateur qui est utilisé pour ajouter des utilisateurs au répertoire LDAP dans Gestionnaire de groupe de travail). L’outil va ajouter un utilisateur au répertoire LDAP et configurer des éléments de configuration supplémentaires dans le serveur VPN afin qu’il gère le protocole PPTP. 3 Configurez PPTP dans le panneau Réglages du service VPN d’Admin Serveur. 4 Démarrez le service VPN. Authentification SecurID avec un serveur VPN RSA Security permet une authentification forte grâce à leur offre de produits. Ils utilisent des jetons matériels et logiciels pour vérifier l’identité d’utilisateurs. L’authentification SecurID est disponible pour les transports L2TP et PPTP. Pour obtenir des détails et l’offre des produits, consultez : www.rsasecurity.comChapitre 6 Service VPN 123 Le service VPN de Mac OS X Server permet l’authentification SecurID, mais cette dernière ne peut pas être configurée à l’aide de l’application Admin Serveur. Vous pouvez utiliser Admin Serveur pour configurer des services VPN standard, mais Admin Serveur n’a pas d’interface pour choisir une méthode d’authentification. Si vous devez désigner un schéma d’authentification autre que celui défini par défaut (SecurID de RSA Security, par exemple), il vous faut modifier manuellement la configuration VPN manuellement. Configuration pour SecurID 1 Pour configurer l’authentification SecurID de RSA Security, vous devez d’abord copier le fichier sdconf.rec de votre serveur SecurID dans un nouveau répertoire nommé /var/ace sur votre serveur Mac OS X Server. Il y plusieurs manière de la faire. Les étapes qui suivent illustrent une des méthodes : a Sur votre serveur, ouvrez Terminal (/Applications/Utilitaires/). b Tapez sudo mkdir /var/ace, puis appuyez sur Retour. c Tapez votre mot de passe d’administrateur, puis appuyez sur Retour. d Cliquez sur l’icône du Finder dans le Dock. e Dans le menu Aller, choisissez Aller au dossier. f Tapez : /var/ace g Cliquer sur Aller. h Copiez le fichier sdconf.rec de votre serveur SecurID dans le dossier “ace”. i Une zone de dialogue indiquant que le dossier “ace” ne peut pas être modifié apparaît. Cliquez sur le bouton Authentifier pour autoriser la copie. 2 Configurez ensuite le service VPN sur votre serveur Mac OS X Server pour activer l’authentification EAP-SecurID pour les protocoles avec lesquels vous souhaitez l’utiliser. Pour l’utiliser avec PPTP, exécutez les deux commandes suivantes dans Terminal (chacune ne fait qu’une ligne) : # sudo serveradmin settings vpn:Servers:com.apple.ppp.pptp:PPP:AuthenticatorEAPPlugins:_array_index : 0 = "EAP-RSA" # sudo serveradmin settings vpn:Servers:com.apple.ppp.pptp:PPP:AuthenticatorProtocol:_array_index:0 = "EAP" Pour l’utiliser avec L2TP, exécutez les deux commandes suivantes dans Terminal : # sudo serveradmin settings vpn:Servers:com.apple.ppp.l2tp:PPP:AuthenticatorEAPPlugins:_array_index : 0 = "EAP-RSA" # sudo serveradmin settings vpn:Servers:com.apple.ppp.l2tp:PPP:AuthenticatorProtocol:_array_index:0 = "EAP" C’est tout ce qu’il faut faire pour configurer SecurID. Le reste de la configuration du service VPN de Mac OS X Server peut se faire à l’aide de l’application Admin Serveur.124 Chapitre 6 Service VPN Contrôle du service VPN Cette section décrit les tâches associées au contrôle d’un service VPN en cours de fonctionnement. Cela comprend l’accès aux rapports d’état, le réglage des options de consignation, l’affichage des historiques et le contrôle des connexions. Affichage de la vue d’ensemble de l’état du VPN La vue d’ensemble VPN vous fournit un bref rapport d’état sur vos services VPN actifs. Elle vous indique le nombre de clients L2TP et PPTP connectés, la méthode d’authentification sélectionnée et l’heure de démarrage du service. Pour afficher la vue d’ensemble : 1 Dans Admin Serveur, choisissez le service VPN dans la liste Ordinateurs et services. 2 Cliquez sur le bouton Vue d’ensemble. Configuration du niveau de détail de l’historique du service VPN Vous pouvez choisir le niveau de détail de l’historique du service VPN. • La consignation non prolixe ne consigne que les cas nécessitant une action immédiate (par exemple, si le service VPN ne démarre pas). • La consignation maximale enregistre toute l’activité du service VPN, y compris les fonctions de routine. La consignation non prolixe est activée par défaut. Pour définir le niveau de détail de l’historique VPN : 1 Dans Admin Serveur, choisissez le service VPN dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Consignation. 4 Sélectionnez Maximale pour activer la consignation maximale, si vous le souhaitez. 5 Cliquer sur Enregistrer. Affichage de l’historique du VPN Vous allez devoir contrôler les historiques VPN pour garantir le bon fonctionnement de votre réseau privé virtuel. Les historiques VPN peuvent vous aider à résoudre les problèmes. L’historique affiche le contenu du fichier /var/log/ppp/vpnd.log. Vous pouvez encore restreindre les règles à l’aide du champ de filtrage de texte. Pour afficher l’historique : 1 Dans Admin Serveur, choisissez le service VPN dans la liste Ordinateurs et services. 2 Cliquez sur Historiques.Chapitre 6 Service VPN 125 Affichage des connexions client VPN Vous pouvez contrôler les connexions client VPN pour garantir un accès sécurisé au réseau privé virtuel (VPN). L’écran des connexions client vous permet de voir l’utilisateur qui est connecté, l’adresse IP à partir de laquelle il s’est connecté, l’adresse IP affectée par votre réseau, ainsi que le type et la durée de la connexion. Vous pouvez trier la liste en cliquant sur les en-têtes de colonne. Pour afficher les connexions client : 1 Dans Admin Serveur, choisissez le service VPN dans la liste Ordinateurs et services. 2 Cliquez sur Connexions. Tâches d’administration réseau courantes qui utilisent le VPN La section qui suit décrit certaines tâches d’administration de réseau courantes qui utilisent le service VPN. Liaison d’un ordinateur d’un réseau local avec un réseau distant VPN permet de lier un ordinateur à un réseau distant et d’y accéder comme s’il était connecté physiquement au réseau local. Cet exemple utilise les informations suivantes : • L’utilisateur peut s’authentifier à l’aide d’un nom et d’un mot de passe. • Type de VPN souhaité : L2TP • Secret partagé : prDwkj49fd!254 • Adresse IP Internet ou publique de la passerelle VPN : passerelle.exemple.com • Plage d’adresses IP et masque de réseau du réseau privé : 192.168.0.0-192.168.0.255 (aussi exprimé sous la forme 192.168.0.0/24 ou 192.168.0.0:255.255.255.0) • Adresses de début et de fin DHCP : 192.168.0.3–192.168.0.127 • Adresse IP DNS du réseau privé : 192.168.0.2 Le résultat de cette configuration est un client VPN capable de se connecter à un réseau local distant via L2TP et avec un accès complet au réseau local.126 Chapitre 6 Service VPN Étape 1 : Configuration du VPN 1 Dans Admin Serveur, choisissez le service VPN dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Général. 4 Sélectionnez L2TP. 5 Tapez le secret partagé (prDwkj49fd!254). Le secret partagé est un mot de passe commun qui authentifie les membres du cluster. IPSec utilise le secret partagé en tant que clé prépartagée pour établir des tunnels sécurisés entre les nœuds du cluster. 6 Définissez la première adresse IP de la plage d’affectation VPN. Cette dernière ne peut pas chevaucher la plage d’affectation DHCP, donc tapez 192.168.0.128 7 Définissez la dernière adresse IP de la plage d’affectation VPN. Cette dernière ne peut pas chevaucher la plage d’affectation DHCP, donc tapez 192.168.0.255 8 Laissez le champ pour le groupe vide pour que tous les groupes de travail aient accès à la connexion VPN. 9 Cliquer sur Enregistrer. 10 Sélectionnez l’onglet Informations sur les clients. 11 Saisissez l’adresse IP du serveur DNS du réseau local (192.168.0.2). 12 Laissez les définitions de routage vides. Tout le trafic provenant du client transitera par le tunnel VPN. 13 Cliquer sur Enregistrer. 14 Démarrez le service VPN. Étape 2 : Configuration du coupe-feu IP 1 Créez un groupe d’adresses pour la plage d’affectation VPN. Pour plus de détails, consultez la section “Création d’un groupe d’adresses” à la page 74. 2 Ouvrez le coupe-feu aux connexions VPN externes en activant les connexions L2TP dans le groupe d’adresses “tout”. Pour plus de détails, consultez la section “Ouverture du coupe-feu pour les services standard” à la page 76. 3 Configurez le coupe-feu pour le groupe d’adresses VPN en autorisant ou refusant des ports et des services comme vous le souhaitez. 4 Enregistrez vos modifications, puis démarrez ou redémarrez le coupe-feu.Chapitre 6 Service VPN 127 Étape 3 : Configuration du client Le client de cet exemple est un client Mac OS X qui utilise Connexion à Internet. 1 Ouvrez Connexion à Internet. 2 Choisissez Fichier > Nouvelle connexion VPN. 3 Sélectionnez L2TP via IPSec. 4 Sélectionnez “Modifier les configurations” dans le menu local Configuration. 5 Saisissez les informations de configuration suivantes : a Nom du serveur : passerelle.exemple.com b Nom du compte : c Authentification : utilisez Mot de passe d Secret partagé : prDwkj49fd!254 6 Cliquez sur OK. L’utilisateur peut désormais se connecter. Accès à un élément de parc informatique situé derrière le coupe-feu du réseau distant Accéder à un élément de parc informatique situé derrière un coupe-feu, ce n’est pas la même chose qu’autoriser un client à devenir un nœud sur le réseau distant. Dans l’exemple précédent, l’ordinateur de l’utilisateur VPN devient un participant à part entière dans le réseau local distant. Dans ce nouveau scénario, l’élément de parc informatique auquel il s’agit d’accéder est uniquement un serveur de fichiers, l’ordinateur de l’utilisateur VPN n’ayant pas d’autre contact avec le réseau local distant. Ce scénario tient compte de toutes les informations de la section “Liaison d’un ordinateur d’un réseau local avec un réseau distant” à la page 125 et y ajoute les informations suivantes : • Adresse IP du serveur de fichiers : 192.168.0.15 • Type du serveur de fichiers : partage de fichiers Apple Pour ce scénario, suivez toutes les instructions qui figurent dans la section “Liaison d’un ordinateur d’un réseau local avec un réseau distant” à la page 125, à l’exception des instructions suivantes : m À l’étape 1, partie 12, ne laissez pas les définitions de routage vides. Créez une route privée avec le numéro IP du serveur de fichiers (192.168.0.15 255.255.255.255) m À l’étape 2, partie 3, configurez le coupe-feu pour n’accepter que les connexions Apple File Sharing Protocol et DNS provenant du groupe d’adresses VPN. Les utilisateurs VPN qui sont maintenant connectés au travers de la passerelle VPN auront accès au serveur de fichiers alors qu’aucun autre trafic réseau ne transitera par la passerelle cryptée.128 Chapitre 6 Service VPN Liaison de deux sites réseau distants ou plus VPN ne permet pas seulement de relier un ordinateur à un réseau principal, mais aussi à un réseau supplémentaire. Cela permet aux deux réseaux d’interagir comme s’ils étaient connectés l’un à l’autre physiquement. Chaque site doit disposer de sa propre connexion à Internet, mais les données privées transitent entre les deux sites sous une forme cryptée. On utilise souvent cette fonctionnalité pour relier des bureaux satellites au réseau local du siège d’une organisation. À propos de l’outil d’administration VPN de site à site Pour relier plusieurs réseaux locaux distants à un réseau local principal, il faut utiliser un utilitaire à ligne de commande installé sur Mac OS X Server appelé s2svpnadmin (pour l’anglais “site-to-site VPN admin”). Pour utiliser s2svpnadmin, il faut disposer de Terminal, être familiarisé avec ce dernier et disposer d’un accès administratif aux privilèges de root à l’aide de sudo. Pour en savoir plus sur s2svpnadmin, consultez sa page man en tapant : man s2svpnadmin Pour relier plusieurs réseaux locaux distants à un réseau local principal, il faut également créer un certificat de sécurité. L’outil s2svpnadmin peut créer des liens à l’aide soit de l’authentification par secret partagé (les deux sites ont un mot de passe dans leur fichier de configuration) soit de l’authentification par certificat. Pour utiliser l’authentification par certificat, vous devez créer le certificat avant d’exécuter s2svpnadmin. Les connexions VPN de site à site ne peuvent être réalisées qu’à l’aide de connexions VPN L2TP/IPSec. Vous ne pourrez pas relier deux sites à l’aide de PPTP et de ces instructions. Cet exemple utilise les informations suivantes : • Type de VPN souhaité : L2TP • Authentification par secret partagé. • Secret partagé : prDwkj49fd!254 • Adresse IP Internet ou publique de la passerelle du réseau local principal VPN (du “site 1”) : A.B.C.D • Adresse IP Internet ou publique de la passerelle du réseau local distant VPN (du “site 2”) : W.X.Y.Z • Adresse IP privée de Site 1 : 192.168.0.1 • Adresse IP privée de Site 2 : 192.168.20.1 • Plage d’adresses IP et masque de réseau du réseau local privé de Site 1 : 192.168.0.0- 192.168.0.255 (aussi exprimé sous la forme 192.168.0.0/24 ou 192.168.0.0:255.255.0.0) • Plage d’adresses IP et masque de réseau du réseau local privé de Site 2 : 192.168.20.0- 192.168.20.255 (aussi exprimé sous la forme 192.168.20.0/16 ou 192.168.0.0:255.255.0.0) • Adresse IP DNS de l’organisation : 192.168.0.2 Le résultat de cette configuration est un réseau local distant auxiliaire connecté à un réseau local principal par L2TP.Chapitre 6 Service VPN 129 Étape 1 : Exécutez s2svpnadmin sur les passerelles des deux sites 1 Dans Terminal, démarrez s2svpnadmin en tapant : sudo s2svpnadmin 2 Tapez le nombre approprié dans le champ “Configurer un nouveau serveur de site à site”. 3 Tapez un nom identifiant la configuration (pas d’espaces). Dans notre exemple, tapez “site_1” sur la passerelle de Site 1 et ainsi de suite. 4 Tapez l’adresse IP publique de la passerelle. Dans notre exemple, tapez A.B.C.D sur la passerelle de Site 1 et W.X.Y.Z sur la passerelle de Site 2. 5 Tapez l’adresse IP publique de l’autre site. Dans notre exemple, tapez W.X.Y.Z sur la passerelle de Site 1 et A.B.C.D sur la passerelle de Site 2. 6 Tapez “s” pour l’authentification par secret partagé, puis tapez le secret partagé : (“prDwkj49fd!254”). Si vous utilisez l’authentification par certificat, tapez “c”, puis choisissez le certificat installé à utiliser. 7 Saisissez au moins une politique d’adressage pour la configuration. 8 Saisissez une adresse de sous-réseau local (par exemple, 192.168.0.0 pour Site 1 et 192.168.20.0 pour Site 2). 9 Saisissez les bits de préfixe pour la plage d’adresses avec la notation CIDR. Dans notre exemple, la notation CIDR pour la plage du sous-réseau est 192.168.2.0/16 pour Site 1, vous devez donc entrer “16.” 10 Saisissez une adresse de sous-réseau distant (par exemple, 192.168.20.0 pour Site 1 et 192.168.0.0 pour Site 2). 11 Saisissez les bits de préfixe pour la plage d’adresses avec la notation CIDR. Dans notre exemple, la notation CIDR pour la plage du sous-réseau est 192.168.2.0/16 pour Site 1, vous devez donc entrer “16.” 12 Pour créer d’autres politiques, indiquez-le maintenant, sinon, appuyez sur Retour. Si vous avez d’autres sites à connecter ou une configuration d’adresses plus complexe (par exemple, si vous ne deviez relier que certaines parties de votre réseau local principal au réseau local distant), créez dès à présent les autres politiques pour cette configuration. Répétez les étapes relatives à la politique précédentes pour chacune des nouvelles politiques.130 Chapitre 6 Service VPN 13 Activez la configuration du site en appuyant sur “y”. Vous pouvez vérifier vos réglages en affichant les détails de la configuration du serveur, puis en saisissant le nom de la configuration (dans notre exemple, “site_1”). 14 Quittez s2svpnadmin. Étape 2 : Configuration du coupe-feu sur les passerelles des deux sites 1 Créez un groupe d’adresses ne contenant que l’adresse IP publique de la passerelle du réseau local. Dans notre exemple, utilisez A.B.C.D/32 pour Site 1 et W.X.Y.Z/32 pour Site 2. Pour plus de détails, consultez la section “Création d’un groupe d’adresses” à la page 74. 2 Ouvrez le coupe-feu aux connexions VPN externes en activant les connexions L2TP dans le groupe d’adresses “tout”. Pour plus de détails, consultez la section “Ouverture du coupe-feu pour les services standard” à la page 76. 3 Créez les règles de filtrage IP avancées suivantes sur les passerelles des deux sites : Règle 1 Action : Autoriser Protocole : UDP Adresse source : A.B.C.D Adresse de destination : W.X.Y.Z Interface : Autre, tapez “isakmp” Règle 2 Action : Autoriser Protocole : UDP Adresse source : W.X.Y.Z Adresse de destination : A.B.C.D Interface : Autre, tapez “isakmp” Règle 3 Action : Autoriser Protocole : Autre, tapez “esp” Adresse source : A.B.C.D Adresse de destination : W.X.Y.ZChapitre 6 Service VPN 131 Règle 4 Action : Autoriser Protocole : Autre, tapez “esp” Adresse source : W.X.Y.Z Adresse de destination : A.B.C.D Règle 5 Action : Autoriser Protocole : Autre, tapez “ipencap” Adresse source : A.B.C.D Adresse de destination : W.X.Y.Z Règle 6 Action : Autoriser Protocole : Autre, tapez “ipencap” Adresse source : W.X.Y.Z Adresse de destination : A.B.C.D Pour en savoir plus sur la création de règles avancées, consultez la section “Création d’une règle de coupe-feu IP avancée” à la page 78. 4 Ces règles permettent au trafic crypté de transiter jusqu’aux deux hôtes. 5 Enregistrez vos modifications et (re)démarrez le coupe-feu. Étape 3 : Démarrage du service VPN sur les passerelles des deux sites 1 Pour les deux passerelles VPN, dans Admin Serveur, choisissez Service VPN dans la liste Ordinateurs et services. Si vous avez utilisé s2svpnadmin correctement, le bouton Démarrer le service doit être activé et prêt à l’emploi. 2 Cliquez sur Démarrer le service. Vous devriez maintenant pouvoir accéder à un ordinateur sur le réseau local distant à partir du réseau local. Vous pouvez utiliser ping ou tout autre moyen pour vérifier le lien.132 Chapitre 6 Service VPN Autres sources d’informations Pour plus d’informations sur le protocole L2TP/IPSec : L’IETF (Internet Engineering Task Force) travaille à la création de normes standard formelles pour le système d’authentification d’utilisateur L2TP/IPsec. Pour en savoir plus, consultez le site Web suivant : www.ietf.org/ids.by.wg/ipsec.html. Documents RFC Les documents RFC (Request for Comments) offrent un aperçu d’un protocole ou service et présentent de manière détaillée comment le protocole doit se comporter. Si vous êtes administrateur serveur débutant, vous trouverez probablement certaines informations utiles dans les RFC. Si vous êtes administrateur serveur expérimenté, vous trouverez tous les détails techniques sur un protocole particulier dans le document RFC correspondant. Vous pouvez rechercher les documents RFC par numéro sur le site Web www.ietf.org/rfc.html. • Pour une description du protocole L2TP, consultez le document RFC 2661. • Pour une description du protocole PPTP, consultez le document RFC 2637. • Pour Kerberos 5, consultez le document RFC 1510.7 133 7 Service NTP Le protocole NTP (Network Time Protocol) est un protocole réseau utilisé pour synchroniser les horloges des ordinateurs de votre réseau sur l’heure d’une horloge de référence. Le protocole NTP est utilisé pour garantir que tous les ordinateurs du réseau affichent la même heure. Si un réseau isolé, voire un seul ordinateur, fonctionne avec la mauvaise heure, les services utilisant l’horodatage (comme le service de courrier ou le service Web utilisant des cookies horodatés) enverront des dates et des heures erronées et ne seront donc plus synchronisés avec les autres ordinateurs sur Internet. Par exemple, un message électronique pourrait arriver plusieurs minutes ou années avant son envoi (d’après l’horodatage) et la réponse à ce message pourrait arriver avant que l’original n’ait été envoyé. Fonctionnement du service NTP NTP utilise le temps universel coordonné UTC, (Universal Time Coordinated) comme heure de référence. L’heure universelle se fonde sur une résonance atomique, c’est pourquoi les horloges qui affichent l’heure universelle sont souvent appelées “horloges atomiques”. Les serveurs NTP faisant autorité sur l’ensemble d’Internet (on les appelle des serveurs d’horloge de strate 1) conservent l’heure UTC courante. D’autres serveurs subordonnés (appelés serveurs d’horloge de strate 2 et 3) interrogent régulièrement les serveurs de la strate 1 et évaluent le temps qu’il a fallu pour envoyer et recevoir la requête. Ils combinent ensuite cette estimation avec le résultat de la requête pour synchroniser l’heure des serveurs d’horloge des strates 2 et 3. La précision des estimations est de l’ordre de la nanoseconde. Votre réseau local peut alors synchroniser son horloge sur les serveurs de strate 3. Le processus se répète ainsi de suite. Un ordinateur client NTP de votre réseau prend pour référence l’heure UTC et la convertit en heure locale d’après ses propres réglages de fuseau horaire et règle son horloge interne en conséquence.134 Chapitre 7 Service NTP Utilisation du service NTP sur votre réseau Mac OS X Server peut servir non seulement de client NTP, recevant l’heure officielle d’un serveur de temps sur Internet, mais aussi de serveur de temps de référence pour un réseau. Vos clients locaux peuvent interroger votre serveur pour synchroniser leur horloge. Si vous définissez votre serveur pour qu’il réponde aux requêtes de temps, il est conseillé de le configurer également pour qu’il se synchronise sur un serveur de référence sur Internet. Configuration du service NTP Si vous choisissez d’exécuter le service NTP sur votre réseau, assurez-vous que votre serveur désigné peut accéder à un serveur de temps de référence plus élevé. Apple fournit un serveur de temps de strate 2 à ses clients sur le site time.apple.com. En outre, vous devez vous assurer que votre coupe-feu autorise les requêtes NTP vers un serveur de temps de référence sur le port UDP 123, ainsi que les requêtes entrantes provenant des clients locaux sur le même port. Pour plus d’informations sur la configuration de votre coupe-feu, consultez le chapitre 4, “Service de coupe-feu IP”, à la page 65. Pour configurer le service NTP : 1 Ouvrez Admin Serveur. 2 Assurez-vous que votre serveur est bien configuré pour “Régler automatiquement la date et l’heure”. Ce réglage s’effectue dans la sous-fenêtre Date et heure de la sous-fenêtre des réglages d’Admin Serveur pour le serveur. 3 Sélectionnez le serveur que vous souhaitez utiliser comme serveur d’horloge. 4 Cliquez sur Réglages. 5 Sélectionnez l’onglet Général. 6 Sélectionnez Activer NTP. 7 Cliquer sur Enregistrer.Chapitre 7 Service NTP 135 Configuration de NTP sur des clients Si vous avez configuré un serveur de temps local, vous pouvez configurer vos clients pour qu’ils interrogent ce serveur de temps afin d’obtenir la date et l’heure du réseau. Par défaut, les clients peuvent se synchroniser sur le serveur de temps Apple. Ces instructions vous permettent de configurer vos ordinateurs clients pour qu’ils interrogent votre serveur de temps. Pour configurer le service NTP sur vos ordinateurs clients : 1 Ouvrez les Préférences Système. 2 Cliquez sur Date et heure. 3 Sélectionnez “Régler automatiquement la date et l’heure”. 4 Sélectionnez et supprimez le texte qui se trouve dans le champ au lieu d’utiliser le menu local. 5 Saisissez le nom d’hôte de votre serveur de temps. Le nom d’hôte peut correspondre à un nom de domaine (tel que “temps.exemple.com”) ou à une adresse IP. 6 Quittez Préférences Système. Autres sources d’informations Vous trouverez le groupe de travail, la documentation et une FAQ concernant le service NTP sur le site Web suivant : www.ntp.org Vous trouverez des listes de serveurs NTP accessibles publiquement et leurs politiques d’utilisation sur le site Web suivant : www.eecis.udel.edu/~mills/ntp/servers.html Les documents RFC Les documents RFC (Request for Comments) offrent un aperçu d’un protocole ou service et présentent de manière détaillée comment le protocole doit se comporter. Si vous êtes administrateur serveur débutant, vous trouverez probablement certaines informations utiles dans les RFC. Si vous êtes administrateur serveur expérimenté, vous trouverez tous les détails techniques sur un protocole particulier dans le document RFC correspondant. Vous pouvez rechercher des documents RFC par numéro sur le site suivant : www.ietf.org/rfc.html La spécification officielle de la version 3 du service NTP se trouve dans le document RFC 1305.8 137 8 Prise en charge des réseaux locaux virtuels Comprendre les réseaux locaux virtuels Mac OS X Server gère les réseaux locaux virtuels (en anglais, Virtual Local Area Network ou VLAN) à la norme 802.1q sur les ports Ethernet et sur les cartes Ethernet Gigabit PCI secondaires disponibles en option pour les serveurs Xserve ou livrées avec ces derniers. Les réseaux locaux virtuels permettent à plusieurs ordinateurs situés sur des réseaux locaux physiques différents de communiquer entre eux comme s’ils se trouvaient sur le même réseau local. Parmi leurs avantages, citons une utilisation plus efficace de la bande passante réseau et une meilleure sécurité car le trafic de diffusion ou de multidiffusion n’est envoyé qu’aux ordinateurs qui se trouvent sur le segment de réseau commun. La prise en charge de VLAN par les serveurs Xserve G5 est conforme à la norme IEEE 802.1q. Configuration de l’adhésion des clients à un réseau local virtuel Vous pouvez utiliser la zone VLAN de la sous-fenêtre Réseau des Préférences Système pour configurer et gérer des réseaux locaux virtuels. Il est important de s’assurer que les ports auxquels sont connectés des périphériques non VLAN (c’est-à-dire non conformes à la norme 802.1Q) sont configurés pour transmettre des trames non balisées. De nombreuses cartes Ethernet ne sont pas conformes à la norme 802.1Q. Si elles reçoivent une trame balisée, elles ne comprennent pas la balise VLAN et abandonnent la trame. Remarque : cette partie de la sous-fenêtre Réseau n’est visible que si votre matériel, comme, par exemple, un système Xserve G5, prend en charge cette fonctionnalité.138 Chapitre 8 Prise en charge des réseaux locaux virtuels Pour configurer un réseau local virtuel : 1 Connectez-vous à votre serveur en tant qu’administrateur. 2 Ouvrez la sous-fenêtre Réseau des Préférences Système. 3 Choisissez “Configuration des ports réseau” dans le menu local Afficher. 4 Cliquez sur le bouton VLAN. 5 Sélectionnez le port Ethernet que vous souhaitez utiliser pour le réseau local virtuel. 6 Cliquez sur Créer un réseau VLAN. 7 Tapez le nom du réseau local virtuel, tapez une balise (un nombre entre 1 et 4094) dans le champ Balise, puis cliquez sur OK. La balise VLAN désigne l’identifiant de VLAN (en anglais, VLAN ID ou VID). Chaque réseau logique possède un VID unique. Les interfaces qui sont configurées avec le même VID se trouvent sur le même réseau virtuel. 8 Pour utiliser le réseau local virtuel, sélectionnez-le dans la liste des configurations de port réseau, puis cliquez sur Appliquer. Autres sources d’informations Pour en savoir plus sur les réseaux locaux virtuels sur Internet : www.ieee.org La norme VLAN est définie par l’IEEE. Document de référence Les documents de référence contiennent un aperçu d’un protocole et des détails sur la manière dont le protocole doit se comporter. Si vous êtes administrateur serveur débutant, vous trouverez probablement certaines informations utiles dans les documents de référence. Si vous êtes administrateur serveur expérimenté, vous trouverez des détails techniques sur un protocole particulier dans le document de référence correspondant. Ce dernier est disponible à l’adresse : standards.ieee.org/getieee802/download/802.1Q-1998.pdf 9 139 9 Gestion IPv6 IPv6 est l’abréviation de “Internet Protocol Version 6”. IPv6 est le protocole Internet nouvelle génération conçu pour remplacer le protocole Internet actuel, IP Version 4 (IPv4, ou simplement IP). Le protocole Internet actuel commence à être confronté à des problèmes liés à la croissance et à la popularité d’Internet. Les principaux problèmes liés à IPv4 sont : • Les limites de l’adressage IP. Les adresses IPv4 sont de 32 bits, ce qui signifie qu’il ne peut exister que 4 300 000 000 adresses réseau. • Le poids accru de la configuration et du routage. À mesure que le nombre d’ordinateurs connectés à Internet augmente, la charge sur le réseau, la mémoire et le temps nécessaires à l’acheminement des informations IPv4 s’accroissent rapidement. • La communication de bout en bout est couramment contournée. Cela est en réalité une conséquence du problème d’adressage d’IPv4. Comme le nombre d’ordinateurs allait en grandissant et la pénurie d’adresses se faisait de plus en plus aiguë, il a fallu développer un autre service d’adressage et de routage : Network Address Translation (NAT). Le protocole NAT sert d’intermédiaire entre les deux extrémités du réseau et les sépare. Cela s’avère toutefois restrictif et freine un certain nombre de services réseau. IPv6 permet de résoudre certains de ces problèmes et d’en réduire d’autres. Il améliore le routage et la configuration automatique du réseau. Il ’augmente le nombre d’adresses réseau, pour atteindre plus de 3 x1038 , et de supprimer le recours au protocole NAT. Il est prévu qu’IPv6 remplace progressivement IPv4 lors des prochaines années et que les deux protocoles coexistent pendant la transition. Ce chapitre répertorie les services compatibles IPv6 utilisés par Mac OS X Server, donne les lignes directrices pour l’utilisation des adresses IPv6 dans ces services et explique les types d’adresse IPv6 et leur notation.140 Chapitre 9 Gestion IPv6 Services compatibles IPv6 Les services suivants de Mac OS X Server gèrent IPv6 pour l’adressage : • DNS (BIND) • Service de coupe-feu IP • Courrier (POP/IMAP/SMTP) • SMB/CIFS • Web (Apache 2) De plus, certains outils à ligne de commande installés dans Mac OS X Server gèrent IPv6 (par exemple, ping6 et traceroute6). Adresses IPv6 dans Admin Serveur Les services ci-dessus ne gèrent pas les adresses IPv6 dans l’interface utilisateur. Ils peuvent être configurés à l’aide d’outils à ligne de commande de façon à ajouter des adresses IPv6, mais ces mêmes adresses ne donnent rien si elles sont saisies dans les champs d’adresse d’Admin Serveur. Adresses IPv6 Les adresses IPv6 sont différentes des adresses IPv4. À la modification des adresses s’ajoute la modification de la notation d’adresse, des adresses réservées, du modèle d’adresse et des types d’adresse. Notation Alors que les adresses IPv4 ont une longueur de 4 octets et sont exprimées en décimales, les adresses IPv6 ont une longueur de 16 octets et peuvent être exprimées de multiples façons. Les adresses IPv6 s’écrivent généralement de la façon suivante : xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx Les groupes d’octets IPv6 sont séparés par deux points et chaque octet est représenté par une paire de nombres hexadécimaux, comme le montre l’exemple suivant : E3C5:0000:0000:0000:0000:4AC8:C0A8:6420 ou E3C5:0:0:0:0:4AC8:C0A8:6420Chapitre 9 Gestion IPv6 141 Les adresses IPv6 contiennent souvent plusieurs octets de valeur zéro, une notation abrégée est donc autorisée. Cette notation abrégée permet d’omettre l’écriture des zéros et de les remplacer par un double deux-points, comme suit : E3C5::4AC8:C0A8:6420 Le dernier type de notation comprend les adresses IPv4. Comme beaucoup d’adresses IPv6 sont des extensions d’adresses IPv4, le groupe de 4 octets situé le plus à droite de l’adresse IPv6 (les 2 paires de 2 octets situées le plus à droite) peut être réécrit en notation IPv4. Cette notation mixte (à partir de l’exemple ci-dessus) pourrait être exprimée de la façon suivante : E3C5:4AC8:192.168.100.32 Adresses réservées IPv6 IPv6 réserve deux adresses que les nœuds de réseau ne peuvent pas utiliser pour leurs besoins de communication : 0:0:0:0:0:0:0:0 (adresse non spécifiée, interne au protocole) 0:0:0:0:0:0:0:1. (adresse de bouclage, comme 127.0.0.1 dans IPv4) Modèle d’adressage IPv6 Les adresses IPv6 sont affectées aux interfaces (votre carte Ethernet, par exemple) et non aux nœuds (votre ordinateur, par exemple). Plusieurs adresses IPv6 peuvent être affectées à une même interface. En outre, une même adresse IPv6 peut être affectée à plusieurs interfaces pour le partage de charge. Enfin, les routeurs n’ont pas besoin d’adresse IPv6, ce qui évite d’avoir à les configurer pour les monodiffusions point à point. De plus, IPv6 n’utilise pas les classes d’adresses IPv4. Types d’adresse IPv6 IPv6 gère les trois types d’adresse IP suivants : • Unicast (communication un à un) • Multicast (communication un à plusieurs) • Anycast Vous remarquerez que le protocole IPv6 ne gère plus les adresses broadcast. La préférence a été accordée au multicast pour les diffusions réseau. Sinon, les adresses unicast et multicast dans IPv6 sont les mêmes que dans IPv4. Avec IPV6, les adresses multidiffusions (multicast) commencent par “FF” (255). Anycast est une variante du multicast. Tandis que les adresses multicast distribuent les messages à tous les nœuds du groupe multicast, les adresses anycast ne les distribuent qu’à un seul nœud du groupe.142 Chapitre 9 Gestion IPv6 Autres sources d’informations Le site Web du groupe de travail sur le protocole IPv6 (Internet Protocol Version 6) se trouve à l’adresse : www.ipv6.org Un groupe de passionnés d’IPv6 tient à jour la liste des applications compatibles IPv6 sur le site Web : www.ipv6forum.com/navbar/links/v6apps.htm Les documents RFC Les documents RFC (Request for Comments) offrent un aperçu d’un protocole ou service et présentent de manière détaillée comment le protocole doit se comporter. Si vous êtes administrateur serveur débutant, vous trouverez probablement certaines informations utiles dans les RFC. Si vous êtes administrateur serveur expérimenté, vous trouverez tous les détails techniques sur un protocole particulier dans le document RFC correspondant. Vous pouvez rechercher des documents RFC par numéro sur le site : www.ietf.org/rfc.html Il existe plus de 29 documents RFC relatifs à IPv6. Vous en trouverez une liste à l’adresse : www.ipv6.org/specs.html 143 Glossaire Glossaire Ce glossaire définit les termes et explique les abréviations que vous pouvez rencontrer en utilisant l’aide en ligne ou en lisant le manuel Mac OS X Server Administration des services réseau pour version 10.3 ou ultérieur. Les références à des termes définis ailleurs dans ce glossaire apparaissent en italiques. ACL Access Control List ou liste de contrôle d’accès. Liste maintenue par un système qui définit les droits des utilisateurs et des groupes pour accéder aux ressources qui se trouvent sur le système. administrateur de liste Administrateur de liste de diffusion. Les administrateurs de liste peuvent ajouter et supprimer des abonnés d’une liste de diffusion et désigner d’autres administrateurs de liste. Les administrateurs de liste ne sont pas nécessairement des administrateurs d’ordinateur local ni des administrateurs de domaine. adresse Numéro ou autre identifiant qui identifie sans ambiguïté un ordinateur sur un réseau, un bloc de données stocké sur un disque ou un emplacement dans la mémoire d’un ordinateur. Voir aussi adresse IP, adresse MAC. adresse IP Adresse numérique unique qui identifie un ordinateur sur Internet. adresse IP dynamique Adresse IP affectée pour une période de temps limitée ou jusqu’à ce que l’ordinateur client n’en ait plus besoin. adresse IP statique Adresse IP affectée de manière permanente à un ordinateur ou un périphérique. adresse MAC Adresse Media Access Control ou adresse de contrôle d’accès au support. Adresse matérielle qui identifie sans ambiguïté chaque nœud d’un réseau. Pour les périphériques AirPort, l’adresse MAC est appelée l’identifiant AirPort. attaque par saturation Également appelé attaque par déni de service. Attaque Internet qui utilise de milliers de pings réseau dans le but d’empêcher l’utilisation légitime d’un serveur.144 Glossaire autorisations Réglages qui déterminent le type d’accès à des éléments partagés dont les utilisateurs bénéficient dans un système de fichiers. Vous pouvez affecter quatre types d’autorisations à un point de partage, dossier ou fichier : lecture/écriture, lecture seule, écriture seule et aucune (pas d’accès). Voir aussi privilège. autorité de certificat Autorité qui émet et gère des certificats numériques pour assurer la transmission sécurisée de données sur un réseau public. Voir aussi infrastructure à clé publique et certificat. bidouilleur Personne qui aime la programmation et qui explore des façons de programmer de nouvelles fonctionnalités et d’étendre les possibilités d’un système informatique. Voir aussi pirate. bit Unité élémentaire d’information ayant pour valeur 0 ou 1. caractère Synonyme d’octet. caractère générique Plage de valeurs possibles pour tout segment d’une adresse IP. carte d’interface réseau Voir NIC. certificat Appelé parfois également “certificat d’identité” ou “certificat à clé publique”. Fichier dans un format spécial (Mac OS X Server utilise le format x.509) qui contient la partie clé publique d’une paire de clés publique-privée, des informations sur l’identité de l’utilisateur, notamment son nom et des informations de contact, et la signature numérique et soit une autorité de certificat (AC), soit l’utilisateur de la clé. Challenge Handshake Authentication Protocol Voir CHAP. CHAP Challenge Handshake Authentication Protocol. Protocole d’authentification courant. Voir aussi MS-CHAP. chemin de recherche Voir politique de recherche. contrôle d’accès Méthode consistant à contrôler quels ordinateurs peuvent accéder à un réseau ou à des services réseau. contrôle d’accès au support Voir adresse MAC. coupe-feu Logiciel destiné à protéger les applications réseau exécutées sur votre serveur. Le service de coupe-feu IP, inclus dans le logiciel Mac OS X Server, examine les paquets IP entrants et les rejette ou les accepte en fonction d’un jeu de filtres que vous créez. cryptage Processus peu élaboré consistant à brouiller des données pour les rendre illisibles. On utilise généralement le cryptage à des fins de secret et pour préserver la confidentialité des communications. Voir aussi décryptage.Glossaire 145 délai de bail Période limitée durant laquelle les adresses IP sont affectées. En utilisant des délais courts, le protocole DHCP peut réaffecter des adresses IP sur les réseaux ayant plus d’ordinateurs que d’adresses IP. délai de bail DHCP Voir délai de bail. DHCP Dynamic Host Configuration Protocol. Protocole utilisé pour la répartition dynamique d’adresses IP entre les ordinateurs clients. Chaque fois qu’un ordinateur client démarre, le protocole recherche un serveur DHCP et demande une adresse IP au serveur DHCP rencontré. Ce serveur cherche une adresse IP disponible et l’envoie à l’ordinateur client accompagnée d’un délai de bail : période pendant laquelle l’ordinateur client est autorisé à utiliser l’adresse. diffusion Dans le contexte de la mise en réseau en général, la transmission d’un message ou de données que tout client sur le réseau peut lire. En matière de diffusion, l’on distingue la monodiffusion (l’envoi d’un message à un ordinateur spécifique) et à la multidiffusion (l’envoi d’un message à un ensemble d’ordinateurs sélectionnés). Dans QuickTime Streaming Server, la transmission d’une copie d’un flux sur l’ensemble du réseau. DNS multidiffusion Protocole développé par Apple pour la détection automatique d’ordinateurs, de périphériques et de services sur les réseaux IP. Ce protocole standard Internet proposé est parfois aussi appelé “ZeroConf”. Pour plus d’informations, visitez les sites www.apple.com ou www.zeroconf.org. Pour voir comment ce protocole est utilisé dans Mac OS X Server, voir nom d’hôte local. Domain Name System Voir DNS. domaine DNS Nom unique d’un ordinateur, utilisé dans le système DNS (Domain Name System) pour convertir les adresses IP et les noms. Également appelé nom de domaine. domaine local Domaine de répertoires accessible uniquement à partir de l’ordinateur sur lequel il réside. durée de vie Voir TTL. Dynamic Host Configuration Protocol Voir DHCP. EAP Extensible Authentication Protocol. Protocole d’authentification qui gère plusieurs méthodes d’authentification. enregistrement d’échange de courrier Voir enregistrement MX.146 Glossaire enregistrement MX Enregistrement d’échange de courrier. Entrée d’un tableau DNS qui détermine l’ordinateur gérant le courrier pour un domaine Internet. Lorsqu’un serveur de courrier doit remettre des messages à un domaine Internet, il demande l’enregistrement MX du domaine concerné. Le serveur envoie les messages à l’ordinateur spécifié dans l’enregistrement MX. enregistrement pointeur Voir enregistrement PTR. enregistrement PTR Enregistrement pointeur. Type d’enregistrement DNS qui traduit les adresses IP (IPv4) en noms de domaine. Utilisé dans les recherches DNS inverses. enregistrement TXT Enregistrement de texte. Type d’enregistrement DNS qui stocke une chaîne de texte en réponse à une requête DNS. étendue Groupe de services. Une étendue peut correspondre à un regroupement logique d’ordinateurs (tous les ordinateurs utilisés par le département de production, par exemple) ou à un regroupement physique (tous les ordinateurs situés au premier étage d’un bâtiment, par exemple). Vous pouvez définir une étendue en tant que simple partie ou en tant qu’ensemble de votre réseau. Ethernet Technologie de réseau local courante dans laquelle les données sont transmises en unités appelées paquets à l’aide de protocoles, par exemple TCP/IP. FAI Fournisseur d’accès à Internet. Entreprise qui commercialise l’accès à Internet et fournit généralement un service d’hébergement de sites Web pour le commerce électronique, ainsi que des services de courrier. filtre Méthode de “filtrage” utilisée pour contrôler l’accès à un serveur. Un filtre est constitué d’une adresse IP, d’un masque de sous-réseau et parfois d’un numéro de port et d’un type d’accès. L’adresse IP et le masque de sous-réseau déterminent la plage d’adresses IP à laquelle s’applique le filtre. fournisseur d’accès à Internet Voir FAI. FTP File Transfer Protocol. Protocole permettant aux ordinateurs de transférer des fichiers sur un réseau. Les clients FTP dont le système d’exploitation gère le protocole FTP peuvent se connecter à un serveur de fichiers et télécharger des fichiers, en fonction des autorisations d’accès dont ils bénéficient. La plupart des navigateurs Internet et bon nombre d’applications gratuites (“freeware”) peuvent être utilisés pour accéder à un serveur FTP. gigaoctet Voir Go. Go Gigaoctet. 1 073 741 824 (2 30 ) octets.Glossaire 147 groupe de travail Ensemble d’utilisateurs pour lesquels vous définissez des préférences et des autorisations de groupe. Toutes les préférences que vous définissez pour un groupe sont stockées dans le compte de groupe. HTTP Hypertext Transfer Protocol. Protocole client/serveur pour le Web. Le protocole HTTP permet à un navigateur Web d’accéder à un serveur Web et de demander des documents hypermédia créés en HTML. Hypertext Transfer Protocol Voir HTTP. IANA Internet Assigned Numbers Authority. Organisation chargée d’attribuer des adresses IP et des paramètres de protocole, ainsi que de gérer des noms de domaines. ICMP Internet Control Message Protocol. Protocole dédié au contrôle des messages et à la génération de rapports d’erreurs, utilisé entre serveurs hôtes et passerelles. Par exemple, certaines applications Internet utilisent le protocole ICMP pour envoyer un paquet en aller-retour entre deux hôtes, déterminer ainsi la durée requise par le trajet et détecter ainsi d’éventuels problèmes sur le réseau. identifiant Ethernet Voir adresse MAC. IEEE Institute of Electrical and Electronics Engineers, Inc. Organisation chargée de promouvoir des normes en informatique et dans le génie électrique. IGMP Internet Group Management Protocol. Protocole Internet utilisé par les hôtes et les routeurs pour envoyer des paquets à des listes d’hôtes volontaires, dans le cadre d’un processus appelé multidiffusion. Le serveur d’enchaînement QuickTime (QTSS) utilise l’adressage multidiffusion, de même que le protocole SLP (Service Location Protocol). indicatif d’un interpréteur de commandes Caractère qui apparaît au début d’une ligne, dans une interface à ligne de commande, pour indiquer que vous pouvez saisir une commande. interface à ligne de commande Manière de communiquer avec un ordinateur (par exemple, pour exécuter des programmes ou modifier des autorisations de système de fichiers) en tapant des commandes sous la forme de texte à l’invite d’un interpréteur de commandes. interface réseau Connexion du matériel de votre ordinateur à un réseau. Cela comprend, entre autres, les connexions Ethernet, les cartes Airport et les connexions FireWire. Internet Ensemble de réseaux d’ordinateurs interconnectés, qui communiquent via un protocole commun (TCP/IP). Internet (notez la majuscule) est le système public le plus étendu au monde de réseaux d’ordinateurs interconnectés. Internet Assigned Numbers Authority Voir IANA. Internet Control Message Protocol Voir ICMP.148 Glossaire Internet Group Management Protocol Voir IGMP. Internet Message Access Protocol Voir IMAP. Internet Protocol Voir IP. IP Internet Protocol. Également désigné par IPv4. Méthode utilisée conjointement avec le protocole TCP (Transmission Control Protocol) pour envoyer des données d’un ordinateur à un autre via un réseau local ou via Internet. Le protocole IP envoie les paquets de données, alors que le protocole TCP se charge du suivi de ces paquets. IPSec Complément de sécurité au protocole IP. Protocole qui assure la sécurité de la transmission des données pour les connexions VPN L2TP. IPSec intervient au niveau de la couche réseau, en protégeant et en authentifiant les paquets IP qui circulent entre les nœudsIP participants. IPv4 Voir IP. IPv6 Internet Protocol version 6. Protocole de communication prochaine génération destiné à remplacer le protocole IP (appelé également IPv4IP). IPv6 permet d’affecter un plus grand nombre d’adresses réseau et de réduire les charges de routage sur Internet. Ko Kilooctet. 1 024 (2 10 ) octets. L2TP Layer Two Tunnelling Protocol. Protocole de transport réseau utilisé pour les connexions VPN. Il s’agit ni plus ni moins d’une combinaison du protocole L2F de Cisco et du protocole PPTP. L2TP lui-même n’est pas un protocole de cryptage, c’est pourquoi il utilise IPSec pour crypter les paquets. LAN Réseau local. Réseau local géré au sein d’une infrastructure donnée, contrairement au réseau étendu WAN (Wide Area Network), qui relie des infrastructures séparées géographiquement. LDAP Lightweight Directory Access Protocol. Protocole client-serveur standard pour accéder à un domaine de répertoires. Lightweight Directory Access Protocol Voir LDAP. ligne de commande Texte que vous tapez à l’invite d’un interpréteur de commandes lorsque vous utilisez une interface à ligne de commande. liste de contrôle d’accès Voir ACL. Mac OS X La dernière version du système d’exploitation d’Apple. Mac OS X associe la fiabilité d’UNIX à la facilité d’utilisation de Macintosh. Glossaire 149 Mac OS X Server Plate-forme de serveur puissante qui permet de gérer les clients Mac, Windows, UNIX et Linux sans préparation préalable et vous offre toute une gamme de services réseau et de groupes de travail évolutifs, ainsi que des outils de gestion à distance avancés. masque de sous-réseau Nombre utilisé dans la mise en réseau IP pour spécifier quelle portion d’une adresse IP est le numéro du réseau. mégaoctet Voir Mo. Microsoft Challenge Handshake Authentication Protocol Voir MS-CHAP. mot de passe Chaîne alphanumérique utilisée pour authentifier l’identité d’un utilisateur ou autoriser l’accès à des fichiers ou à des services. MS-CHAP Microsoft Challenge Handshake Authentication Protocol. Système d’authentification standard de Windows pour le VPN. Cette méthode d’authentification permet d’encoder les mots de passe lorsqu’ils sont envoyés à travers le réseau et de les stocker sous une forme cryptée sur le serveur. Elle offre un bon niveau de sécurité au cours de la transmission réseau. MS-CHAP est une version propriétaire de CHAP. multi-adressage Capacité à gérer plusieurs connexions réseau. Lorsque plusieurs connexions sont disponibles, Mac OS X sélectionne la connexion adéquate en fonction de l’ordre spécifié dans les préférences Réseau. multidiffusion En général, la transmission simultanée d’un message à un ensemble spécifique d’ordinateurs sur un réseau. Voir aussi diffusion, monodiffusion. Dans le serveur d’enchaînement QuickTime, moyen efficace de diffusion d’un message à plusieurs destinataires. Les utilisateurs peuvent rejoindre ou quitter le multicast mais ils ne peuvent interagir avec ce dernier. NAT Network Address Translation. Méthode de connexion de plusieurs ordinateurs à Internet (ou tout autre réseau IP) en utilisant une seule adresse IP. NAT convertit les adresses IP que vous affectez aux ordinateurs de votre réseau interne privé en adresses IP officielles pour les communications Internet. NetInfo L’un des protocoles Apple d’accès à un domaine de répertoire. Network Address Translation Voir NAT. nœud Emplacement de traitement. Un nœud peut correspondre à un ordinateur ou autre périphérique, tel qu’une imprimante. Chaque nœud possède une adresse réseau unique. Dans Xsan, un nœud, c’est tout ordinateur connecté à un réseau de stockage. nom canonique Nom “réel” d’un serveur lorsque vous lui avez donné un “surnom” ou un alias. Le serveur “courrier.apple.com”, par exemple, peut avoir comme nom canonique “SrvCourrier473.apple.com”.150 Glossaire nom d’hôte Nom unique pour un serveur. Pour des raisons historiques, on l’appelle également nom d’hôte UNIX. Le nom d’hôte Mac OS X Server est utilisé principalement pour l’accès client à des répertoires de départ NFS. Un serveur détermine son nom d’hôte en prenant le premier nom qui est disponible parmi les sources suivantes : le nom spécifié dans le fichier /etc/hostconfig (HOSTNAME=un-nom-d’hôte), le nom fourni par le serveur DHCP ou BootP pour l’adresse IP principale, le premier nom renvoyé par une recherche DNS inverse (de l’adresse vers le nom) pour l’adresse IP principale, le nom de l’hôte local ou le nom “localhost”. nom d’hôte local Nom qui désigne un ordinateur sur un sous-réseau local. Il peut être utilisé sans système DNS global afin de résoudre les noms en adresses IP. Il est constitué de lettres minuscules, de chiffres ou de traits d’union (sauf en tant que derniers caractères) et se termine par “.local” (par exemple, factures-ordinateur.local). Bien que le nom soit défini par défaut à partir du nom d’ordinateur, l’utilisateur peut définir ce nom dans la sous-fenêtre Réseau des Préférences Système. Il peut être modifié facilement et utilisé partout où un nom DNS ou un nom de domaine complet est utilisé. Il peut uniquement être résolu sur le même sous-réseau que l’ordinateur qui l’utilise. nom d’utilisateur Nom complet d’un utilisateur, parfois qualifié de réel. Voir aussi nom abrégé. nom de domaine Voir nom DNS. nom de l’ordinateur Nom par défaut utilisé pour les enregistrements des services SLP et SMB/CIFS. L’Explorateur réseau du Finder utilise SLP pour trouver les ordinateurs qui utilisent le partage de fichiers personnels et le partage de fichiers Windows. Il peut être configuré pour relier des sous-réseaux en fonction des réglages du routeur réseau. Lorsque vous activez le partage de fichiers personnels, les utilisateurs voient le nom de l’ordinateur dans la zone de dialogue Se connecter au serveur, dans le Finder. Il s’agit initialement de “Ordinateur de ” (par exemple, “Ordinateur de Pierre”), mais ce nom peut être modifié. Le nom de l’ordinateur est utilisé pour explorer les serveurs de fichiers réseau, les files d’attente d’impression, la détection Bluetooth, les clients Apple Remote Desktop, ainsi que toute autre ressource réseau qui identifie les ordinateurs par nom d’ordinateur plutôt que par adresse réseau. Le nom d’ordinateur est également la base du nom d’hôte local par défaut. nom DNS Nom unique d’un ordinateur, utilisé dans le système DNS (Domain Name System) pour convertir les adresses IP et les noms. Également appelé nom de domaine. octet Unité de mesure élémentaire pour les données équivalente à huit bits (ou chiffres binaires).Glossaire 151 Open Directory Architecture des services de répertoires Apple, qui peut accéder à des informations de référence sur les utilisateurs et les ressources réseau à partir de domaines de répertoires utilisant les protocoles LDAP, NetInfo ou Active Directory ; les fichiers de configuration BSD et les services de réseau. open-source Terme désignant le développement coopératif de logiciels par la communauté Internet. Le principe de base consiste à impliquer le maximum de personnes dans l’écriture et la mise au point du code en publiant le code source et en encourageant la formation d’une large communauté de développeurs qui feront part de leurs modifications et améliorations. paquet Unité de données composée d’enregistrements d’en-tête, d’informations, de détection d’erreurs et complémentaires. QTSS utilise des paquets TCP, UDP et IP pour communiquer avec des clients de diffusion. passerelle Nœud de réseau qui relie un réseau à un autre. Il fait souvent référence à un ordinateur qui relie un réseau LAN privé à un réseau WAN public, avec ou sans NAT (Network Address Translation). Un routeur est un type particulier de passerelle qui relie des segments réseau liés. pirate Utilisateur malveillant qui tente d’accéder à un système informatique sans y être autorisé dans le but de saboter des ordinateurs et des réseaux ou de voler des informations. Comparer à bidouilleur. Point to Point Tunneling Protocol Voir PPTP. politique de mot de passe Ensemble de règles qui régulent la composition et la validité du mot de passe d’un utilisateur. politique de recherche Liste des domaines de répertoires parmi lesquels un ordinateur Mac OS X effectue ses recherches lorsqu’il a besoin d’informations de configuration. Désigne également l’ordre dans lequel les domaines sont pris en compte lors de la recherche. Parfois appelé “chemin de recherche”. pont Périphérique de mise en réseau d’ordinateurs qui connecte deux types de support de réseau, comme, par exemple, un support de réseau sans fil et un support de réseau Ethernet. Un pont fonctionne comme une passerelle car il fait transiter du trafic réseau directement vers le support de destination sans le router ou l’altérer d’aucune manière. Les deux extrémités du pont doivent avoir le même sous-réseau d’adresses IP. Un pont permet de relier plusieurs petits segments de réseau de manière simple. port Sorte de boîte à lettres virtuelle. Un serveur utilise les numéros de port pour déterminer quelle application doit recevoir les paquets de données. Les coupe-feu utilisent les numéros de port pour déterminer si les paquets de données sont autorisés ou non à traverser un réseau local. “Port” fait généralement référence à un port TCP ou UDP. 152 Glossaire Post Office Protocol Voir POP. PPTP Point to Point Tunneling Protocol. Protocole de transport réseau utilisé pour les connexions VPN. Il s’agit du protocole VPN standard de Windows. Il utilise le mot de passe fourni par l’utilisateur pour produire une clé de cryptage. privilège Droit d’accéder à des zones restreintes d’un système ou d’effectuer certaines tâches (telles que des tâches de gestion) dans le système. protocole Ensemble de règles qui déterminent la manière dont les données sont envoyées et reçues entre deux applications. QTSS QuickTime Streaming Server. Technologie permettant de diffuser des données en temps réel sur Internet. récursion Procédé de résolution complète des noms de domaines en adresses IP. Une requête DNS non-récursive permet d’interroger d’autres serveurs DNS pour résoudre l’adresse. En général, les applications d’utilisateur dépendent du serveur DNS pour exécuter cette fonction, mais les autres serveurs DNS n’ont pas à effectuer de requête récursive. relais Dans QuickTime Streaming Server, un relais reçoit un flux entrant et le réexpédie vers un ou plusieurs serveurs de diffusion en continu. Les relais permettent de réduire la consommation de bande passante Internet et s’avèrent très utiles pour les diffusions ayant de nombreux spectateurs à différents endroits. Dans le domaine du courrier électronique sur Internet, un relais est un serveur de courrier SMTP qui envoie le courrier à un autre serveur SMTP, mais pas à son destinataire final. relais ouvert Serveur recevant et transférant automatiquement le courrier vers un autre serveur. Les expéditeurs de courrier indésirable exploitent les serveurs de relais ouverts, afin d’éviter que leurs propres serveurs de courrier ne figurent pas sur une liste noire comme sources de courriers indésirables. répartition de la charge Processus qui consiste à répartir sur plusieurs services les demandes de services réseau effectuées par les ordinateurs clients, afin d’optimiser les performances. réseau local Voir LAN. saturation Voir attaque par saturation. secret partagé Valeur définie à chaque nœud d’une connexion VPN L2TP et servant de clé de cryptage pour négocier les connexions du transport des données et de l’authentification. Secure Sockets Layer Voir SSL. serveur Ordinateur qui fournit des services (comme, par exemple, le service de fichiers, de courrier ou le service Web) à d’autres ordinateurs ou périphériques réseau.Glossaire 153 serveur d’horloge Serveur de réseau sur l’horloge duquel d’autres ordinateurs du réseau synchronisent leur horloge afin que tous les ordinateurs indiquent la même heure. Voir aussi NTP. serveur de mots de passe Voir Serveur de mots de passe Open Directory. serveur de noms Serveur d’un réseau qui tient à jour une liste des noms de domaines et des adresses IP associées à chaque nom. Voir aussi DNS, WINS. Serveur Enchaînement QuickTime (QTSS) Voir QTSS. serveur proxy Serveur qui se trouve entre une application cliente, comme, par exemple, un navigateur Web, et un serveur réel. Le serveur proxy intercepte toutes les requêtes adressées au serveur réel pour voir s’il ne peut pas répondre à la requête lui-même. S’il ne peut pas, il réexpédie la requête au serveur réel. service DNS Domain Name System. Base de données distribuée qui fait correspondre des adresses IP à des noms de domaines. Un serveur DNS, appelé également “serveur de noms”, conserve une liste des noms et des adresses IP associées à chaque nom. service NTP Network Time Protocol. Protocole réseau utilisé pour synchroniser les horloges des ordinateurs d’un réseau avec une horloge de référence. Le protocole NTP est utilisé pour garantir que tous les ordinateurs du réseau affichent la même heure. services de répertoire Services fournissant au logiciel système et aux applications un accès uniforme aux domaines de répertoires et autres sources d’informations sur les utilisateurs et les ressources. shell Programme qui exécute d’autres programmes. Vous pouvez utiliser un interpréteur de commandes pour interagir avec un ordinateur en tapant des commandes à l’invite de l’interpréteur de commandes. Voir aussi interface à ligne de commande. SLP DA Service Location Protocol Directory Agent. Protocole utilisé pour répertorier les services disponibles sur un réseau, afin de permettre aux utilisateurs d’y accéder facilement. Lorsqu’un service est ajouté au réseau, il utilise le protocole SLP pour s’enregistrer sur le réseau. SLP/DA conserve les services de réseau enregistrés dans un emplacement centralisé. SMTP Simple Mail Transfer Protocol. Protocole utilisé pour envoyer et transférer du courrier. Sa capacité à placer les messages entrants en file d’attente est limitée, il n’est donc généralement utilisé que pour envoyer les messages, POP ou IMAP étant utilisés pour les recevoir. sous-domaine Appelé parfois nom d’hôte. Partie du nom de domaine d’un ordinateur sur Internet. Il n’inclut pas le domaine ni la désignation du domaine de premier niveau (par exemple .com, .net, .us, .uk). Le nom de domaine “www.exemple.com” est constitué du sous-domaine “www”, du domaine “exemple” et du domaine de premier niveau “com”.154 Glossaire sous-réseau Regroupement d’ordinateurs clients faisant partie du même réseau, structuré en fonction de l’emplacement physique (les différents étages d’un bâtiment, par exemple) ou de l’utilisation (tous les élèves d’une même classe par exemple). L’utilisation de sous-réseaux permet de simplifier les tâches d’administration. Voir aussi sous-réseau IP. sous-réseau IP Portion d’un réseau IP, qui peut être un segment de réseau physiquement indépendant, partageant une adresse réseau avec d’autres portions du réseau et identifiée par un numéro de sous-réseau. spam courrier non sollicité ; courrier indésirable. SSL Secure Sockets Layer. Protocole permettant d’envoyer sur Internet des informations cryptées et authentifiées. Les versions plus récentes de SSL sont appelées TLS (Transport Level Security). strate 1 Serveur Internet NTP (Network Time Protocol) de référence qui gère l’heure UTC courante. Il existe d’autres strates (2, 3, etc.), chacune synchronisant son horloge sur un serveur de la strate supérieure. TCP Transmission Control Protocol. Méthode utilisée avec le protocole IP (Internet Protocol) pour envoyer, via Internet, des données sous forme d’unités de messages entre ordinateurs. Le protocole IP se charge de gérer le transfert des données, alors que le protocole TCP effectue le suivi individuel des unités de données (appelées “paquets”). Chaque message est fractionné en plusieurs unités afin d’assurer un routage efficace à travers Internet. texte en clair Données non cryptées. transfert de zone Méthode utilisée pour copier des données de zone sur des serveurs DNS de référence. Les serveurs DNS esclaves demandent des transferts de zones à leur serveur maître pour acquérir leurs données. Transmission Control Protocol Voir TCP. TTL Time-to-live ou durée de vie. Durée spécifiée pendant laquelle les informations DNS sont stockées dans la mémoire cache. Lorsqu’une paire nom de domaine/adresse IP se trouve en mémoire cache depuis plus longtemps que la durée TTL spécifiée, l’entrée est supprimée du cache du serveur de noms (mais pas du serveur DNS principal). type d’enregistrement Catégorie spécifique d’enregistrements, comme les enregistrements d’utilisateurs, d’ordinateurs et de montage. Pour chaque type d’enregistrement, un domaine de répertoire peut contenir un nombre quelconque d’enregistrements. UCE Unsolicited Commercial Email ou polluriel. Voir courrier indésirable.Glossaire 155 UDP User Datagram Protocol. Méthode de communication utilisant le protocole IP pour envoyer une unité de données (appelée datagramme) d’un ordinateur à un autre sur un réseau. Les applications réseau qui ont de toutes petites unités de données à échanger peuvent utiliser le protocole UDP à la place du TCP. monodiffusion Transmission de données à un seul destinataire ou client. Si un film est diffusé en monodiffusion (unicast) à un utilisateur à l’aide de RSTP, l’utilisateur peut se déplacer librement d’un point à l’autre dans un film à la demande. monodiffusion manuelle Méthode de transmission en direct d’un flux vers un unique client QuickTime Player ou un ordinateur exécutant QTSS. Un fichier SDP est généralement créé par l’application de diffusion et doit ensuite être envoyé manuellement au spectateur ou au serveur d’enchaînement. Universal Time Coordinated Voir UTC. User Datagram Protocol Voir UDP. UTC Universal Time Coordinated ou temps universel coordonné. Heure de référence standard. L’heure universelle se fonde sur une résonance atomique, c’est pourquoi les horloges qui affichent l’heure universelle sont souvent appelées “horloges atomiques”. Virtual Private Network Voir VPN. VPN Virtual Private Network. Réseau privé virtuel utilisant le cryptage ainsi que d’autres technologies pour fournir des communications sécurisées sur un réseau public, en général Internet. Ces réseaux sont généralement moins onéreux que des réseaux privés réels qui recourent à des lignes privées, mais s’appuient sur le même système de cryptage aux deux extrémités de la ligne. Le cryptage peut être réalisé par des logiciels de coupe-feu ou par des routeurs. WAN Réseau étendu. Réseau reliant des sites géographiquement dispersés, par opposition au réseau local (LAN, Local Area Network), installé au sein d’un même groupe de bâtiments. Votre interface WAN est généralement celle qui est connectée à Internet. Windows Internet Naming Service Voir WINS. WINS Windows Internet Naming Service. Service de résolution de noms utilisé par les ordinateurs Windows pour faire correspondre les noms des clients avec des adresses IP. Un serveur WINS peut se trouver soit sur le réseau local, soit sur Internet. WLAN Wireless Local Area Network ou réseau local sans fil. zone de réexpédition Zone DNS qui ne contient aucun enregistrement, mais qui réexpédie les requêtes DNS vers une autre zone. zone maîtresse Enregistrements de zones du DNS détenus par un serveur DNS principal. Une zone maîtresse est dupliquée par transferts de zones sur des zones esclaves situées sur des serveurs DNS secondaires.157 Index Index A Admin Serveur 27, 33, 87, 88, 89, 107, 108, 110, 120 adresses IP affectation 25 affectation dynamique 24 DHCP et 23 durée de bail et DHCP 23 durée du bail DHCP, modification 29 dynamiques 24 multiples 72 notation IPv6 140 ordre des filtres 71 plages 71 réservées 25 statiques 24 attaques par déni de service (DoS) prévention 90 B BIND 39, 40 répartition de la charge 60 bornes d’accès AirPort service DHCP et 25 C coupe-feu IP démarrage et arrêt 32 courrier redirection 57 D désactivation 28 documentation 11 Dynamic Host Configuration Protocol Voir DHCP E échangeurs de courrier 57 éléments de l’historique activité DHCP 26 enregistrement IANA 41 enregistrements MX (Mail Exchange) 43, 58 F filtres exemples 86–89 modification 79 filtres, IP ajout 73 description 69 G guides d’administration du serveur 11 H historiques DHCP 33 service de coupe-feu IP 83–85 service DNS 53 hôtes MX 57 I Internet Gateway Multicast Protocol Voir IGMP Internet Protocol Version 6 Voir IPv6 IPv6 adressage 140–141 dans Admin Serveur 140 informations supplémentaires 142 notation d’adresses 140 services disponibles 140 L Les 92 M Mac OS X Server ports utilisés par 92–96 Mail Exchange. Voir MX masques de sous-réseaux 69 N NAT à propos de 99 configuration 101 contrôle 105 démarrage, arrêt 101158 Index vue d’ensemble de l’état 105 NetBoot visualisation des listes de clients 33 noms de domaine enregistrement 41 notation CIDR des masques de réseaux 69, 71 NTP à propos de 133 configuration 134 configuration des clients 135 informations supplémentaires 135 système de temps 133 P permutation circulaire 60 ports ordinateurs sous Mac OS X 92–96 ports TCP 92–93, 95 ports UDP 95 R répartition de la charge 60 réseaux privés 61 réseaux TCP/IP 61 S serveurs de courrier 57 serveurs de noms 40 serveurs de temps de strate 133 serveurs DHCP 25 emplacement du réseau 25 interactions 25 service de coupe-feu IP 65–68 adresses IP multiples 72 affichage des historiques 83 ajout de filtres 73 à propos de 65 avantages 66 configuration 72–73, 76–89 contexte 68 création de filtres 77, 78 démarrage, arrêt 74 filtres 69–72 filtres exemples 86–89 gestion 74–81 historiques, configuration 83–84 informations supplémentaires 97 modification des filtres 79 planification 72 préparation de la configuration 68–72 prévention des attaques par déni de service (DoS) 90 référence des ports 92–96 utilisations 66 service de courrier utilisation du service DNS avec 57 service DHCP 23–37 bornes d’accès AirPort 25 configuration 26 configuration automatique LDAP 25 démarrage et arrêt 27 désactivation de sous-réseaux 29 description 23 durée du bail des adresses IP d’un sous-réseau, modification 29 gestion 27–32 historiques 33 historiques pour 26 informations supplémentaires 37 modification des sous-réseaux 28 options DNS 29 options LDAP pour les sous-réseaux 30 options WINS pour les sous-réseaux 31, 32 préparation de la configuration 23–25 réglages du sous-réseau 28 serveur DNS pour clients DHCP 29 sous-réseaux 24 sous-réseaux, création 27 suppression des sous-réseaux 28 utilisations pour 23 visualisation des listes de clients 33 visualisation du bail, liste des clients 34 service DNS 39–63 arrêt 43 avec service de courrier 57 configuration 41 démarrage 43 description 39 gestion 43–44 informations supplémentaires 63 options des sous-réseaux DHCP 29 planification 40 préparation de la configuration 40 présentation générale de la configuration 41–43 répartition de la charge 60 serveurs 40 stratégies 40–43 utilisations 39 sous-réseaux 24 création 24, 27 Systèmes Mac OS X 92–96 T TCP/IP réseaux privés 61 Temps universel coordonné (UTC) 133 V VPN affichage de l’état 124 affichage des historiques 124 connexions client 125 consignation 124 iPod USB Power AdapterEnglish 3 iPod USB Power Adapter The iPod USB Power Adapter is for use with iPod shuffle, and with all iPods with Dock Connectors. Note: Your power adapter may look different from the one pictured here. Connect your iPod to the power adapter using the USB cable that came with your iPod. If you have an original iPod shuffle, you can connect it directly to the power adapter. Then extend the electrical prongs (if necessary) and plug the adapter into an electrical outlet to charge the iPod battery. AC plug adapter iPod USB Power Adapter USB cable that came with your iPod4 English You can also connect the power adapter to an iPod Dock and place iPod in the Dock. For information on charging times, see the manual that came with your iPod. Important: If your power adapter has retractable prongs, be sure to extend them completely before you plug the adapter into the outlet. Safety The only way to shut off power to your power adapter completely is to disconnect it from the power source. Always leave space around your power adapter. Don’t use it in a location where airflow around the power adapter is obstructed, such as a bookcase. When connecting or disconnecting your power adapter, always hold it by its sides. Keep your fingers away from the metal part of the plug. Before connecting the USB cable to the power adapter, make sure there are no foreign objects inside the power adapter’s USB port. The power adapter is a high-voltage component and should not be opened for any reason, even when iPod is off.English 5 Never force a connector into the power adapter USB port. If the connector and port do not join with reasonable ease, make sure that the connector matches the port and that you have positioned the connector correctly in relation to the port. Keep your power adapter away from sources of liquid, such as drinks, washbasins, bathtubs, shower stalls, rain, and so on. Take care not to spill any food or liquid on the power adapter. If you do, unplug the power adapter before cleaning up the spill. In case of a spill, you may have to send your equipment to Apple for service. Do not attempt to open your power adapter or disassemble it. You run the risk of electric shock and voiding the limited warranty. No user-serviceable parts are inside. If the power adapter appears to be damaged or does not function properly, go to www.apple.com/support for instructions on how to obtain warranty service. Specifications Input: AC 100-240 volts (V), 50/60 hertz (Hz) Output: DC 5V, 1 A678Français 9 Adaptateur secteur USB iPod Power Adapter L’adaptateur secteur de l’iPod USB Power Adapter est à utiliser avec l’iPod shuffle ou tout autre iPod muni du connecteur Dock. Remarque : votre adaptateur secteur peut être différent de celui illustré ci-dessus. Branchez votre iPod à l’adaptateur secteur grâce au câble USB fourni avec votre iPod. Si vous disposez du tout premier iPod shuffle, vous pouvez le brancher directement à l’adaptateur. Adaptateur CA Adaptateur secteur USB iPod Power Adapter Câble USB fourni avec votre iPod10 Français Étendez ensuite les broches électriques (si besoin), puis branchez l’adaptateur à une prise électrique afin de recharger la batterie de l’iPod. Vous pouvez aussi placer votre iPod sur son socle iPod Dock et brancher ce dernier à l’adaptateur secteur. Pour de plus amples informations sur les temps de charge de la batterie, reportez-vous au manuel fourni avec votre iPod. Important : si votre adaptateur secteur est doté de broches électriques à enrouleur, assurezvous de les étendre au maximum avant de brancher l’adaptateur sur la prise. Sécurité Le seul moyen de couper complètement le courant de votre adaptateur secteur est de le débrancher de sa source électrique. Gardez toujours un peu d’espace autour de votre adaptateur secteur. Ne l’utilisez pas dans un endroit où l’air ne circule pas autour de l’adaptateur, comme c’est le cas dans une bibliothèque.Français 11 Lorsque vous branchez ou débranchez votre adaptateur secteur, tenez-le toujours par ses côtés. Ne touchez pas la partie en métal de la prise. Avant de brancher le câble USB à l’adaptateur secteur, assurez-vous qu’aucun objet n’est logé dans le port USB de ce dernier. L’adaptateur secteur est un composant à haut voltage et ne doit en aucun cas être ouvert, même si l’iPod est éteint. Ne forcez jamais de connecteur à entrer dans le port USB de l’adaptateur. Si le connecteur et le port ne s’adaptent pas relativement facilement, assurez-vous qu’ils sont bien prévus pour se brancher ensemble et que vous avez positionné correctement le connecteur par rapport au port. Éloignez l’adaptateur secteur des liquides et sources de liquides, tels que les boissons, les lavabos, les baignoires, les blocs de douche, la pluie, etc.12 Français Prenez garde de ne pas faire tomber de nourriture ou de liquide sur l’adaptateur secteur. Si le cas se présente, débranchez l’adaptateur secteur avant de l’essuyer. Si vous renversez quelque chose dessus, il peut s’avérer nécessaire de renvoyer votre équipement à Apple pour le faire réviser. N’essayez pas d’ouvrir ou de démonter votre adaptateur secteur. Vous risquez de recevoir une décharge électrique et d’annuler la garantie limitée. L’appareil ne contient pas de pièces pouvant être réparées par l’utilisateur. Si l’adaptateur secteur semble endommagé ou ne fonctionne pas correctement, rendezvous sur le site www.apple.com/fr/support pour connaître les conditions de réparation dans le cadre de la garantie. Spécifications Entrée : CA 100-240 volts (V), 50/60 hertz (Hz) Sortie : CC 5V, 1 ADeutsch 13 iPod USB Power Adapter (Netzteil) Der iPod USB Power Adapter (Netzteil) kann mit dem iPod shuffle und allen iPod Playern mit Dock Connector verwendet werden. Hinweis: Ihr Netzteil sieht möglicherweise anders als hier dargestellt aus. Schließen Sie den iPod mit dem mitgelieferten USB-Kabel an das Netzteil an. Wenn Sie einen original iPod shuffle besitzen, können Sie diesen direkt an das Netzteil anschließen. Netzteilstecker iPod USB Power Adapter (Netzteil) Mit dem iPod geliefertes USB-Kabel14 Deutsch Klappen Sie dann die Steckerstifte (falls erforderlich) heraus und schließen Sie das Netzteil an eine Steckdose an, um die iPod Batterie zu laden. Sie können das Netzteil auch mit einem iPod Dock verbinden und den iPod in das Dock stellen. Informationen zu Ladezeiten finden Sie im Handbuch, das Sie mit Ihrem iPod erhalten haben. Wichtig: Wenn Ihr Netzteil herausklappbare Steckerstifte besitzt, stellen Sie sicher, dass Sie diese vollständig herausgeklappt haben, bevor Sie das Netzteil an die Steckdose anschließen. Sicherheit Die einzige Möglichkeit, die Stromzufuhr zum Netzteil komplett zu unterbrechen, besteht darin, das Kabel des Netzteils vom Stromnetz zu trennen. Achten Sie darauf, dass um das Netzteil ausreichend Freiraum vorhanden ist. Verwenden Sie es nur in Umgebungen, in denen eine ausreichende Luftzirkulation gewährleistet ist. Verwenden Sie es zum Beispiel nicht in einem Aktenkoffer oder Ähnlichem.Deutsch 15 Halten Sie das Netzteil an den Seiten, wenn Sie es vom Stromnetz trennen oder daran anschließen. Achten Sie darauf, die Metallstifte des Steckers nicht zu berühren. Stellen Sie vor dem Anschließen des USBKabels an das Netzteil sicher, dass sich keine Fremdkörper im USB-Anschluss des Netzteils befinden. Bei dem Netzteil handelt es sich um ein Hochspannungsbauteil, das unter keinen Umständen geöffnet werden darf, auch dann nicht, wenn der iPod ausgeschaltet ist. Versuchen Sie niemals, einen Stecker mit Gewalt an den USB-Anschluss des Netzteils anzuschließen. Wenn sich der Stecker nicht relativ einfach mit dem Netzteil verbinden lässt, vergewissern Sie sich, dass der Stecker zum Anschluss passt und Sie den Stecker wie erforderlich mit dem Anschluss ausgerichtet haben. Schützen Sie Ihr Netzteil vor Feuchtigkeit und Witterungseinflüssen. Legen Sie es nicht in der Nähe von Getränken, Waschbecken, Bade- und Duschwannen und anderen Feuchtigkeitsquellen ab.16 Deutsch Achten Sie darauf, dass das Netzteil nicht durch Speisereste oder Flüssigkeiten verunreinigt wird. Wenn dies doch einmal passiert, trennen Sie das Netzteil vom Stromnetz, bevor Sie es reinigen. Unter Umständen ist es erforderlich, Ihre Geräte an Apple zur Wartung zu senden. Versuchen Sie keinesfalls, das Netzteil zu öffnen oder auseinander zu bauen. Dabei kann es zu einem Kurzschluss kommen, und Sie riskieren den Verlust des Garantieanspruchs. Im Innern des Gerätes befinden sich keine Komponenten, die vom Benutzer gewartet werden können. Wenn das Netzteil beschädigt ist oder nicht korrekt funktioniert, finden Sie Näheres zu Ihren Garantieansprüchen und zu Service und Support unter folgender Adresse: www.apple.com/de/support. Technische Daten Eingangsleistung: 100 - 240 V Wechselstrom, 50/60 Hz Ausgangsleistung: 5 V Gleichstrom, 1,0 A17 Disposal and Recycling Information When this product has reached the end of its useful life, please dispose of it according to your local environmental laws and guidelines. For information about Apple’s recycling program, go to www.apple.com/environment/summary.html. European Union—Disposal Information: The symbol above means that according to local laws and regulations your product should be disposed of separately from household waste. When this product reaches its end of life, take it to a collection point designated by local authorities. Some collection points accept products for free. The separate collection and recycling of your product at the time of disposal will help conserve natural resources and ensure that it is recycled in a manner that protects human health and the environment.18 Union Européenne : informations sur l’élimination Le symbole ci-dessus signifie que vous devez vous débarasser de votre produit sans le mélanger avec les ordures ménagères, selon les normes et la législation de votre pays. Lorsque ce produit n’est plus utilisable, portez-le dans un centre de traitement des déchets agréé par les autorités locales. Certains centres acceptent les produits gratuitement. Le traitement et le recyclage séparé de votre produit lors de son élimination aideront à préserver les ressources naturelles et à protéger l’environnement et la santé des êtres humains. Europäische Union – Informationen zur Entsorgung Das Symbol oben bedeutet, dass dieses Produkt entsprechend den geltenden gesetzlichen Vorschriften und getrennt vom Hausmüll entsorgt werden muss. Geben Sie dieses Produkt zur Entsorgung bei einer offiziellen Sammelstelle ab. Bei einigen Sammelstellen können Produkte zur Entsorgung unentgeltlich abgegeben werden. Durch das separate Sammeln und Recycling werden die natürlichen Ressourcen geschont und es ist sichergestellt, dass beim Recycling des Produkts alle Bestimmungen zum Schutz von Gesundheit und Umwelt beachtet werden.19 Unione Europea: informazioni per l’eliminazione Questo simbolo significa che, in base alle leggi e alle norme locali, il prodotto dovrebbe essere eliminato separatamente dai rifiuti casalinghi. Quando il prodotto diventa inutilizzabile, portarlo nel punto di raccolta stabilito dalle autorità locali. Alcuni punti di raccolta accettano i prodotti gratuitamente. La raccolta separata e il riciclaggio del prodotto al momento dell’eliminazione aiutano a conservare le risorse naturali e assicurano che venga riciclato in maniera tale da salvaguardare la salute umana e l’ambiente. Europeiska unionen – uttjänta produkter Symbolen ovan betyder att produkten enligt lokala lagar och bestämmelser inte får kastas tillsammans med hushållsavfallet. När produkten har tjänat ut måste den tas till en återvinningsstation som utsetts av lokala myndigheter. Vissa återvinningsstationer tar kostnadsfritt hand om uttjänta produkter. Genom att låta den uttjänta produkten tas om hand för återvinning hjälper du till att spara naturresurser och skydda hälsa och miljö.Apple and the Environment At Apple, we recognize our responsibility to minimize the environmental impacts of our operations and products. For more information, go to www.apple.com/environment/summary.html. www.apple.com/ipod/support © 2006 Apple Computer, Inc. All rights reserved. Apple, the Apple logo, and iPod are trademarks of Apple Computer, Inc., registered in the U.S. and other countries. Shuffle is a trademark of Apple Computer, Inc. 0Z034-3775-A Printed in XXXX Mac OS X Server Administration du service de messagerie Pour version 10.4 ou ultérieureKApple Computer, Inc. © 2005 Apple Computer, Inc. Tous droits réservés. Le propriétaire ou l’utilisateur autorisé d’un exemplaire enregistré du logiciel Mac OS X Server peut reproduire cette publication aux fins d’apprentissage du logiciel. Cette publication ne peut être reproduite ou transmise en tout ou partie à des fins commerciales, comme la vente de copies de cette publication ou la fourniture d’un service d’assistance payant. Tout a été mis en œuvre pour que les informations contenues dans ce manuel soient exactes. Apple Computer, Inc., n’est pas responsable des erreurs d’impression ou de typographie. Apple 1 Infinite Loop Cupertino, CA 95014-2084 408-996-1010 www.apple.com Le logo Apple est une marque d’Apple Computer Inc. déposée aux États-Unis et dans d’autres pays. L’utilisation de ce logo à des fins commerciales via le clavier (Option-1) pourra constituer un acte de contrefaçon et/ou de concurrence déloyale. Apple, le logo Apple, AppleScript, AppleShare, AppleTalk, ColorSync, FireWire, Keychain, Mac, Macintosh, Power Macintosh, QuickTime, Sherlock et WebObjects sont des marques d’Apple Computer, Inc., déposées aux États-Unis et dans d’autres pays. AirPort, Extensions Manager, Finder, iMac et Power Mac sont des marques d’Apple Computer, Inc. Java et tous les logos et marques dérivés de Java sont des marques ou des marques déposées de Sun Microsystems, Inc. aux États-Unis et dans d’autres pays. UNIX est une marque déposée aux États-Unis et dans d’autres pays sous la licence exclusive de X/Open Company Ltd. F019-0163/03-24-05 3 1 Table des matières Préface 9 À propos de ce guide 9 Nouveautés de la version 10.4 9 Contenu de ce guide 9 Utilisation de ce guide 10 Configuration initiale de Mac OS X Server 10 Pour toute aide concernant les tâches de gestion quotidiennes 10 Utilisation de l’aide à l’écran 11 La suite Mac OS X Server 13 Obtenir des mises à jour de documentation 13 Informations complémentaires Chapitre 1 15 Configuration du service de messagerie 16 Protocoles du service de messagerie 16 Courrier sortant 16 Courrier entrant 18 Interaction de l’utilisateur avec le service de messagerie 18 Stockage du courrier 18 Emplacement du courrier sortant 18 Emplacement du courrier entrant 19 Nombre maximal de messages par volume 19 Utilisation du service Web avec Mail 20 Utilisation des services réseau avec le service de messagerie 21 Configuration DNS pour le service de messagerie 22 Utilisation des connexions SSL par le service de messagerie 23 Activation du transport de courrier sécurisé à l’aide de SSL 23 Avant de commencer 24 Impact des réglages du compte d’utilisateur sur le service de messagerie 24 Déplacement des messages d’Apple Mail Server vers Mac OS X Server version 10.4 24 Présentation générale des outils du service de messagerie 25 Présentation générale de la configuration 27 Configuration du service de messagerie entrant 28 Activation de l’accès POP 28 Activation de l’accès IMAP4 Table des matières 29 Si vous choisissez de ne pas récupérer le courrier entrant 30 Activation de l’authentification POP sécurisée 30 Activation de l’authentification moins sécurisée pour POP 31 Configuration du transport SSL pour les connexions POP 31 Activation de l’authentification IMAP sécurisée 32 Activation de l’authentification IMAP moins sécurisée 33 Configuration du transport SSL pour les connexions IMAP 33 Configuration du service de messagerie sortant 33 Activation de l’accès SMTP 34 L’authentification SMTP 34 Activation de l’authentification SMTP sécurisée 35 Activation de l’authentification SMTP moins sécurisée 36 Configuration du transport SSL pour les connexions SMTP 36 Retransmission du courrier SMTP via un autre serveur 37 Limitation de la taille des messages entrants 37 Utilisation des listes de contrôle d’accès (ACL) pour l’accès au service de messagerie 39 Gestion des utilisateurs du service de messagerie 39 Configuration des réglages de courrier pour les comptes d’utilisateur 39 Configuration du logiciel client de messagerie 40 Création d’un compte d’administration 41 Création d’adresses électroniques supplémentaires pour un utilisateur 42 Configuration du transfert d’adresses électroniques pour un utilisateur 43 Ajout ou suppression de domaines virtuels 44 Exécution d’un hôte virtuel 44 Activation de l’hébergement virtuel 45 Ajout ou suppression d’hôtes virtuels 45 Association d’utilisateurs à l’hôte virtuel 47 Gestion des quotas de courrier 48 Activation de quotas de courrier pour les utilisateurs 48 Configuration d’avertissements de quota 49 Configurer les réactions au dépassement de quota 49 Limitation du courrier indésirable et des virus 50 Contrôle de la connexion 53 Filtrage des connexions SMTP 53 Contrôle des messages 58 Options et outils de configuration avancés 58 cyradm 59 Prise en charge des scripts Sieve Chapitre 2 63 Maintenance du service de messagerie 63 Démarrage et arrêt du service de messagerie 64 Suspension du service de messagerie sortant 64 Blocage des connexions du courrier entrantTable des matières 5 65 Rechargement du service de messagerie 65 Modification des réglages de protocole pour le service de messagerie entrant 65 Amélioration des performances 66 Utilisation de la base de données et de l’espace de stockage du courrier 66 Visualisation de l’emplacement de la base de données et de l’espace de stockage du courrier 67 Réparation de la base de données du courrier 67 Réparation de la base de données du compte d’utilisateur de courrier 68 Conversion de l’espace de stockage et de la base de données du courrier à partir d’une version antérieure 69 Spécification de l’emplacement de la base de données et de l’espace de stockage du courrier 70 Création d’emplacements supplémentaires de stockage du courrier 71 Sauvegarde et restauration des messages de courrier 71 Surveillance des dossiers et des messages de courrier 72 Autorisation de l’accès administrateur aux dossiers de courrier 72 Enregistrement des messages électroniques pour la surveillance et l’archivage 73 Surveillance du service de messagerie 73 Visualisation de l’ensemble des activités du service de messagerie 74 Affichage de la liste des connexions de courrier 74 Consultation de la file d’attente du courrier sortant 74 Effacement de messages dans la file d’attente du courrier sortant 75 Visualisation des comptes de messagerie 75 Affichage des historiques du service de messagerie 75 Configuration du niveau de détail de l’historique du service de messagerie 76 Archivage par planification des historiques du service de messagerie 76 Récupération de l’espace disque utilisé par les archives des historiques du service de messagerie 77 Gestion d’un disque saturé 77 Traitement du courrier non distribuable 77 Transfert du courrier entrant non distribuable 78 Copie du courrier entrant non distribuable 78 Nouvelle tentative d’envoi des messages sortants non distribués 79 Autres sources d’informations 79 Bibliographie 79 Internet Chapitre 3 81 Listes d’envoi 82 Configuration d’une liste d’envoi 82 Activation des listes d’envoi 83 Création d’une nouvelle liste d’envoi 84 Définition de la taille maximum d’un message 84 Création d’une description de liste d’envoi6 Table des matières 85 Personnalisation du message d’accueil de la liste d’envoi 85 Personnalisation du message d’annulation d’inscription à la liste d’envoi 86 Activation d’un modérateur de liste d’envoi 87 Définition des options de renvoi de messages de la liste d’envoi 87 Constitution d’une liste d’envoi en tant que privée 88 Ajout de membres 89 Administration des listes d’envoi 89 Affichage des listes d’envoi d’un serveur 89 Affichage de la page d’information d’une liste d’envoi 90 Désignation d’un administrateur de liste 90 Accès aux options de l’administrateur basées sur le Web 91 Désignation d’un modérateur de liste 91 Archivage du courrier électronique d’une liste 92 Affichage des archives de liste d’envoi 92 Utilisation des membres de la liste d’envoi 92 Ajout d’un abonné à une liste existante 93 Suppression d’un abonné d’une liste 93 Modification des autorisations de publication pour les abonnés 94 Suspension d’un abonné 94 Options de membre de liste 94 Inscription à une liste d’envoi par courrier électronique 95 Inscription à une liste d’envoi par Internet 96 Annulation d’inscription à une liste d’envoi par courrier électronique 96 Annulation d’inscription à une liste d’envoi par Internet 96 Définition et modification de votre mot de passe de liste d’envoi 97 Désactivation de la distribution du courrier d’une liste 97 Basculement en mode digest 98 Faire basculer les résumés (“digests”) MIME ou en texte clair 99 Définition des options d’abonné supplémentaires 99 Autres sources d’informations Annexe 101 Certificats et sécurité 101 Infrastructure de clés publiques 102 Clés publiques et privées 102 Certificats 103 Autorités de certificat (CA, Certificate Authority) 103 Identités 103 Certificats auto-signés 103 Gestionnaire de certificats d’Admin Serveur 104 Préparation des certificats 104 Demande d’un certificat à une autorité de certificat 105 Création d’un certificat auto-signé 106 Importation d’un certificatTable des matières 7 106 Gestion des certificats 107 Modification d’un certificat 107 Suppression d’un certificat 107 Utilisation des certificats Glossaire 109 Index 119 9 Préface À propos de ce guide Ce guide explique comment configurer et administrer les services de messagerie de Mac OS X Server. Nouveautés de la version 10.4 Le service de messagerie de Mac OS X Server inclut plusieurs nouvelles fonctionnalités très utiles. Elles comptent : • de nouvelles règles de prévention de courrier indésirable ; • le contrôle du courrier indésirable (basé sur SpamAssassin) ; • l’hébergement virtuel ; • une meilleure gestion du quota de messages ; • des outils de maintenance et de migration intégrés. Contenu de ce guide Ce guide est divisé en trois chapitres et une annexe. • Le chapitre 1, “Configuration du service de messagerie”, à la page 15 contient toutes les informations nécessaires à l’installation et à la configuration du service de messagerie, ainsi qu’à l’assistance et à la configuration des utilisateurs du courrier. • Le chapitre 2, “Maintenance du service de messagerie”, à la page 63 vous informe sur la maintenance courante et l’administration du serveur de messagerie. • Le chapitre 3, “Listes d’envoi”, à la page 81 explique le service de liste d’envoi de Mac OS X Server. Les listes d’envoi sont un outil performant de collaboration pour l’archivage et la diffusion de discussions par courrier électronique. • L’annexe “Certificats et sécurité” à la page 101 décrit le gestionnaire de certificats de Admin Serveur, un moyen simple de créer, d’organiser et d’utiliser les certificats de sécurité pour des services compatibles SSL. Utilisation de ce guide Le premier chapitre donne un aperçu du fonctionnement du service de messagerie, de ce qu’il permet de faire, des stratégies d’utilisation, de la manière de le configurer pour la première fois et de l’administrer par la suite. 10 Préface À propos de ce guide Consultez également tout chapitre décrivant un service avec lequel vous n’êtes pas familiarisé. Vous constaterez peut-être que certains des services que vous n’aviez pas utilisés jusqu’à présent peuvent vous permettre de gérer votre réseau de manière plus efficace et d’en améliorer les performances pour vos utilisateurs. La plupart des chapitres se terminent par une section appelée “Autres sources d’informations”. Cette section vous propose des sites Web et d’autres documents de référence où figurent d’autres informations sur le service concerné. Configuration initiale de Mac OS X Server Si vous n’avez pas encore installé, puis configuré Mac OS X Server, procédez de suite. • Consultez le document Mac OS X Server Premiers contacts avec la version 10.4 ou ultérieure, fourni avec le logiciel, afin de prendre connaissance des instructions d’installation et de configuration du serveur. Ce document fournit toutes les informations nécessaires, dans plusieurs environnements, pour démarrer votre serveur, le faire fonctionner et le rendre disponible pour une première utilisation. • Lisez les sections spécifiques pour apprendre à configurer des fonctions individuelles du service de messagerie. Portez une attention toute particulière aux informations figurant dans les sections suivantes : “Présentation générale de la configuration” et “Avant de commencer”. Pour toute aide concernant les tâches de gestion quotidiennes Pour modifier des réglages, contrôler des services, afficher des historiques sur les services ou effectuer toute autre tâche d’administration quotidienne, consultez les aides à l’écran disponibles dans Mac OS X Server pour obtenir des procédures détaillées. Toutes les tâches d’administration sont décrites dans le deuxième chapitre de ce guide, mais il peut s’avérer plus pratique de rechercher des informations via l’aide à l’écran lorsque vous utilisez votre serveur. Utilisation de l’aide à l’écran Vous pouvez afficher des instructions et d’autres informations utiles sur la suite serveur en utilisant l’aide à l’écran. Sur un ordinateur qui exécute Mac OS X Server, vous pouvez accéder à l’aide à l’écran en ouvrant Gestionnaire de groupe de travail ou Admin Serveur. Sélectionnez une option dans le menu Aide : • Aide Gestionnaire de groupe de travail ou Aide Admin Serveur affiche des informations sur l’application.Préface À propos de ce guide 11 • Aide Mac OS X Server affiche la page d’aide principale du serveur, à partir de laquelle vous pouvez rechercher des informations sur le serveur. • Documentation vous permet d’accéder au site www.apple.com/fr/server/ documentation, à partir duquel vous pouvez télécharger la documentation du serveur. Vous pouvez également accéder à l’aide à l’écran à partir du Finder ou d’autres applications d’un serveur ou d’un ordinateur administrateur. Un ordinateur administrateur est un ordinateur Mac OS X sur lequel est installé un logiciel d’administration de serveur. Utilisez le menu Aide afin d’ouvrir Visualisation Aide, puis choisissez Bibliothèque > Aide Mac OS X Server. Pour consulter les toutes dernières rubriques d’aide, assurez-vous que l’ordinateur serveur ou administrateur est connecté à Internet lorsque vous utilisez Visualisation Aide. Visualisation Aide extrait et met en cache automatiquement les toutes dernières rubriques d’aide sur Internet concernant le serveur. Lorsque vous n’êtes pas connecté à Internet, Visualisation Aide affiche les rubriques d’aide mises en cache. La suite Mac OS X Server La documentation de Mac OS X Server comprend une série de guides présentant les services offerts ainsi que les instructions relatives à leur configuration, leur gestion et leur dépannage. Tous les guides sont disponibles au format PDF via : www.apple.com/fr/server/documentation/ Ce guide ... explique comment : Mac OS X Server Premiers contacts avec la version 10.4 ou ultérieure installer Mac OS X Server et le configurer pour la première fois. Mac OS X Server Mise à niveau et migration vers la version 10.4 ou ultérieure utiliser les données et réglages des services actuellement utilisés sur les versions antérieures du serveur. Mac OS X Server Gestion utilisateur pour la version 10.4 ou ultérieure créer et gérer les utilisateurs, groupes et listes d’ordinateurs ; configurer les préférences gérées des clients Mac OS X. Mac OS X Server Administration du service de fichiers pour la version 10.4 ou ultérieure partager des volumes ou dossiers de serveur sélectionnés parmi les clients du serveur via les protocoles suivants : AFP, NFS, FTP, et SMB. Mac OS X Server Administration du service d'impression pour la version 10.4 ou ultérieure héberger les imprimantes partagées et gérer les files d’attente et travaux d’impression associés. Mac OS X Server Administration de mises à jour de logiciels et d'images de système pour la version 10.4 ou ultérieure utiliser NetBoot et Installation en réseau pour créer des images disque à partir desquelles les ordinateurs Macintosh peuvent démarrer sur le réseau ; configurer un serveur de mise à jour de logiciels pour la mise à jour d’ordinateurs clients via le réseau.12 Préface À propos de ce guide Mac OS X Server Administration du service de courrier pour la version 10.4 ou ultérieure installer, configurer et administrer les services de messagerie sur le serveur. Mac OS X Server Administration de technologies Web pour la version 10.4 ou ultérieure configurer et gérer un serveur Web, dont WebDAV, WebMail, et les modules Web. Mac OS X Server Administration de services de réseaux pour la version 10.4 ou ultérieure installer, configurer et administrer DHCP, DNS, VPN, NTP, coupe-feu IP et services NAT sur le serveur. Mac OS X Server Administration d'Open Directory pour la version 10.4 ou ultérieure gérer les services de répertoires et d’authentification. Mac OS X Server Administration du Serveur Enchaînement QuickTime pour la version 10.4 ou ultérieure configurer et gérer les services d’enchaînement QuickTime. Mac OS X Server Administration des services Windows pour la version 10.4 ou ultérieure configurer et gérer des services tels que PDC, BDC, fichiers et impression pour les utilisateurs d’ordinateurs Windows. Mac OS X Server Migration à partir de Windows NT pour la version 10.4 ou ultérieure déplacer des comptes, des dossiers partagés et des services à partir de serveurs Windows NT vers Mac OS X Server. Mac OS X Server Administration du serveur d’applications Java pour la version 10.4 ou ultérieure configurer et administrer un serveur d’applications JBoss sur Mac OS X Server. Mac OS X Server Administration de la ligne de commande pour la version 10.4 ou ultérieure utiliser les commandes et les fichiers de configuration pour exécuter les tâches d’administration du serveur via l’interpréteur de commandes UNIX. Mac OS X Server Administration des services de collaboration pour la version 10.4 ou ultérieure configurer et gérer un journal Web, des discussions instantanées et d’autres services facilitant les interactions entre les utilisateurs. Mac OS X Server Administration de la haute disponibilité pour la version 10.4 ou ultérieure gérer le basculement et la restauration automatique pour les services de fichiers, les services Web, les services de messagerie, les services IP et d’autres services. Mac OS X Server Administration d'Xgrid pour la version 10.4 ou ultérieure gérer des clusters de calcul Xserve à l’aide de l’application Xgrid. Mac OS X Server Glossaire : inclut la terminologie pour Mac OS X Server, Xserve, Xserve RAID et Xsan interpréter les termes utilisés pour les produits de serveur et les produits de stockage. Ce guide ... explique comment :Préface À propos de ce guide 13 Obtenir des mises à jour de documentation Apple publie régulièrement de nouvelles rubriques d’aide à l’écran, des guides révisés et des documents de solutions. Les nouvelles rubriques d’aide incluent des mises à jour des guides les plus récents. • Pour afficher de nouvelles rubriques d’aide à l’écran, assurez-vous que votre serveur ou ordinateur d’administration administrateur est connecté à Internet et cliquez sur le lien Informations de dernière minute dans la page d’aide principale de Mac OS X Server. • Pour télécharger les guides et documents de solutions les plus récents au format PDF, rendez-vous sur la page Web de documentation de Mac OS X Server : www.apple.com/fr/server/documentation. Informations complémentaires Pour plus d’informations, consultez les ressources suivantes : Documents Ouvrez-moi—mises à jour importantes et informations spécifiques. Recherchez-les sur les disques du serveur. Site Web de Mac OS X Server—source d’informations sur la technologie et les produits. www.apple.com/fr/macosx/server/ Service & Support AppleCare—accès à des centaines d’articles des services d’assistance Apple. www.apple.com/fr/support/ Formation des clients Apple—cours en salle et autoformations afin de développer vos compétences en termes d’administration de serveur. train.apple.com Groupes de discussion Apple—moyen de partager des questions, des connaissances et des conseils avec d’autres administrateurs. discussions.info.apple.com Répertoire de listes d’envoi Apple—abonnez-vous à des listes d’envoi afin de pouvoir communiquer par courrier électronique avec d’autres administrateurs. www.lists.apple.com1 15 1 Configuration du service de messagerie Le service de messagerie de Mac OS X Server permet aux utilisateurs du réseau d’envoyer ou de recevoir des messages électroniques sur votre réseau ou sur Internet. Pour ce faire, il recourt à des protocoles de messagerie Internet standard : IMAP (Internet Message Access Protocol), POP (Post Office Protocol) et SMTP (Simple Mail Transfer Protocol). Le service de messagerie utilise également un service DNS (Domain Name System) afin de déterminer l’adresse IP de destination du courrier sortant. Ce chapitre offre tout d’abord une présentation générale des protocoles standard utilisés pour l’envoi et la réception de messages électroniques. Il décrit ensuite le fonctionnement du service de messagerie, expose brièvement les aspects de la configuration du service de messagerie et vous explique comment : • configurer le service de messagerie pour les messages entrants et sortants, • fournir l’assistance aux utilisateurs du service de messagerie, • limiter le courrier indésirable. Entrant Sortant Entrant Sortant cathie@school.edu Internet roland@exemple.com Serveur de messagerie de school.edu Serveur de messagerie d'exemple.com16 Chapitre 1 Configuration du service de messagerie Protocoles du service de messagerie La configuration standard d’un client de courrier utilise le protocole SMTP pour envoyer les messages sortants et les protocoles POP et IMAP pour recevoir les messages entrants. Mac OS X Server comprend un service SMTP et un service combiné POP et IMAP. Nous vous conseillons d’examiner plus en détails ces trois protocoles de messagerie. Courrier sortant Le service de messagerie sortant constitue le moyen par lequel les utilisateurs envoient des messages électroniques via Internet. Sauf restrictions de votre part, ce service transfère également du courrier en provenance et à destination de services de messagerie situés sur d’autres serveurs. Si les utilisateurs de votre service de messagerie envoient des messages vers un autre domaine Internet, votre service SMTP transmet ces messages sortants au domaine serveur correspondant. Simple Mail Transfer Protocol (SMTP) SMTP est un protocole utilisé pour envoyer et transférer le courrier. SMTP met les messages sortant de l’utilisateur en file d’attente. Ces messages sont transférés vers leur destination via Internet, et seront reçus par des protocoles de courrier entrant. Mac OS X Server utilise Postfix comme agent de transfert de messages (MTA). Postfix prend intégralement en charge le protocole Internet standard SMTP. Vos utilisateurs de courrier électronique choisiront votre Mac OS X Server exécutant Postfix comme serveur de messagerie sortant pour leurs applications de courrier électronique et accéderont à leur propre courrier entrant à partir d’un Mac OS X Server exécutant un service de messagerie entrant. Vous trouverez plus d’informations sur Postfix à l’adresse suivante : www.postfix.org Si vous choisissez d’utiliser un autre MTA (tel que Sendmail), vous ne pourrez pas configurer votre service de messagerie à l’aide des outils d’administration de Mac OS X Server. Si vous souhaitez utiliser le programme Sendmail plutôt que Postfix, vous devez désactiver le service SMTP actuel via Postfix, puis installer et configurer Sendmail. Pour plus d’informations sur Sendmail, consultez le site Web www.sendmail.org. Courrier entrant Le courrier est transféré de l’espace de stockage du courrier entrant vers la boîte de réception du destinataire par un agent de distribution local (LDA). Le LDA est responsable de la gestion de la distribution locale, en mettant le courrier à la disposition de l’application de courrier de l’utilisateur. L’agent d’accès au courrier de Mac OS X Server propose deux protocoles différents : POP et IMAP.Chapitre 1 Configuration du service de messagerie 17 Mac OS X Server utilise Cyrus pour fournir les services POP et IMAP. Vous trouverez plus d’informations sur Cyrus à l’adresse suivante : asg.web.cmu.edu/cyrus Post Office Protocol (POP) POP est utilisé uniquement pour la réception de courrier et non pour l’envoi. Le service de messagerie de Mac OS X Server stocke le courrier POP entrant jusqu’à ce que l’ordinateur de l’utilisateur soit connecté au service et que l’utilisateur télécharge son courrier en attente. Une fois les messages POP téléchargés, ils ne sont plus stockés que sur l’ordinateur de l’utilisateur. L’ordinateur de l’utilisateur se déconnecte alors du service de messagerie et l’utilisateur peut lire, organiser et répondre au courrier POP reçu. Le fonctionnement du service POP est analogue à celui d’un bureau de poste, car il stocke le courrier et le remet à une adresse donnée. L’un des avantages de l’utilisation de POP est que votre serveur n’a pas besoin de stocker le courrier que les utilisateurs ont téléchargé. Votre serveur ne nécessite donc pas un espace de stockage aussi important que s’il utilisait le protocole IMAP. Cependant, le courrier étant supprimé du serveur, si certains ordinateurs clients connaissent des problèmes de disque dur et perdent leurs fichiers de courrier, seule l’utilisation de sauvegardes de données permet de récupérer ces fichiers. Un autre avantage de POP est dû au fait que les connexions POP sont transitoires. Une fois le courrier transféré, la connexion est interrompue et la charge sur le réseau et sur le serveur de messagerie est supprimée. Le protocole POP ne constitue pas la meilleure solution pour les utilisateurs qui accèdent à leur courrier à partir de plusieurs ordinateurs, tels qu’un ordinateur chez eux, leur ordinateur de bureau ou un ordinateur portable lors de déplacements. Lorsqu’un utilisateur extrait son courrier via le protocole POP, il le télécharge sur son ordinateur, le supprimant en général totalement du serveur. Si l’utilisateur se connecte par la suite à partir d’un ordinateur différent, il ne pourra plus accéder aux messages téléchargés précédemment. Protocole IMAP (Internet Message Access Protocol) IMAP est la solution pour ceux qui sont amenés à utiliser plusieurs ordinateurs pour recevoir leur courrier. Il s’agit d’un protocole de messagerie client-serveur qui permet aux utilisateurs d’accéder à leur courrier à partir de n’importe quel emplacement sur Internet. Les utilisateurs peuvent envoyer et lire du courrier avec plusieurs clients de messagerie compatibles à ce protocole. Avec le protocole IMAP, le courrier d’un utilisateur est distribué au serveur et stocké dans une boîte aux lettres distante sur le serveur ; il s’affiche comme s’il se trouvait sur l’ordinateur local de l’ordinateur. Une différence essentielle entre IMAP et POP est la suivante : avec le protocole IMAP, le courrier n’est pas supprimé du serveur tant que l’utilisateur ne l’a pas lui-même supprimé.18 Chapitre 1 Configuration du service de messagerie L’ordinateur de l’utilisateur IMAP peut demander au serveur l’accès aux en-têtes de messages ou au corps de certains messages, ou encore rechercher des messages répondant à des critères spécifiques. Ces messages sont téléchargés lors de leur ouverture par l’utilisateur. Les connexions IMAP sont persistantes et demeurent ouvertes, ce qui a pour effet d’entraîner une charge sur le serveur, ainsi que sur le réseau. Interaction de l’utilisateur avec le service de messagerie Le courrier est distribué au destinataire final via un agent utilisateur de courrier (MUA). Les MUA sont généralement appelés “clients de messagerie” ou “applications de messagerie”. Ces clients de messagerie sont généralement exécutés sur l’ordinateur local de chaque utilisateur. L’application de messagerie de chaque utilisateur doit être configurée pour envoyer les messages vers le serveur sortant approprié et recevoir les messages en provenance du serveur entrant. Ces configurations peuvent affecter la charge de traitement supportée par votre serveur ainsi que l’espace de stockage disponible. Stockage du courrier Le courrier est stocké soit dans une file d’attente sortante en attendant le transfert vers un serveur distant, soit dans un espace local de stockage des messages accessible par les utilisateurs du service de messagerie local. Emplacement du courrier sortant Les messages sortants sont stoc