Apple AppleCare_Protection_Plan_for_Apple_TV.pdf Apple sur FNAC.COM - Pour voir la liste complète des manuels APPLE, cliquez ici

 

 

TELECHARGER LE PDF : http://manuals.info.apple.com/en_US/AppleCare_Protection_Plan_for_Apple_TV.pdf

 

 

Voir également d'autres Guides APPLE :

Apple-DVD_Studio_Pro_4_Installation_de_votre_logiciel

Apple-Windows_Services

Apple-Motion_3_New_Features_F

Apple-g4mdd-fw800-lowerfan

Apple-MacOSX10.3_Welcome

Apple-Print_Service

Apple-Xserve_Setup_Guide_F

Apple-PowerBookG4_17inch1.67GHzUG

Apple-iMac_Intel-based_Late2006

Apple-Installation_de_votre_logiciel

Apple-guide_des_fonctions_de_l_iPod_nano

Apple-Administration_de_serveur_v10.5

Apple-Mac-OS-X-Server-Premiers-contacts-Pour-la-version-10.3-ou-ulterieure

Apple-boot_camp_install-setup

Apple-iBookG3_14inchUserGuideMultilingual

Apple-mac_pro_server_mid2010_ug_f

Apple-Motion_Supplemental_Documentation

Apple-imac_mid2011_ug_f

Apple-iphone_guide_de_l_utilisateur

Apple-macbook_air_11inch_mid2011_ug_fr

Apple-NouvellesfonctionnalitesdeLogicExpress7.2

Apple-QT_Streaming_Server

Apple-Web_Technologies_Admin

Apple-Mac_Pro_Early2009_4707_UG

Apple-guide_de_l_utilisateur_de_Numbers08

Apple-Decouverte_d_Aperture_2

Apple-Guide_de_configuration_et_d'administration

Apple-mac_integration_basics_fr_106.

Apple-iPod_shuffle_4thgen_Guide_de_l_utilisateur

Apple-ARA_Japan

Apple-081811_APP_iPhone_Japanese_v5.4.pdf-Japan

Apple-Recycle_Contract120919.pdf-Japan

Apple-World_Travel_Adapter_Kit_UG

Apple-iPod_nano_6thgen_User_Guide

Apple-RemoteSupportJP

Apple-Mac_mini_Early2009_UG_F.pdf-Manuel-de-l-utilisateur

Apple-Compressor_3_Batch_Monitor_User_Manual_F.pdf-Manuel-de-l-utilisateur

Apple-Premiers__contacts_avec_iDVD_08

Apple-Mac_mini_Intel_User_Guide.pdf

Apple-Prise_en_charge_des_surfaces_de_controle_Logic_Express_8

Apple-mac_integration_basics_fr_107.pdf

Apple-Final-Cut-Pro-7-Niveau-1-Guide-de-preparation-a-l-examen

Apple-Logic9-examen-prep-fr.pdf-Logic-Pro-9-Niveau-1-Guide-de-preparation-a-l-examen

Apple-aperture_photography_fundamentals.pdf-Manuel-de-l-utilisateu

Apple-emac-memory.pdf-Manuel-de-l-utilisateur

Apple-Apple-Installation-et-configuration-de-votre-Power-Mac-G4

Apple-Guide_de_l_administrateur_d_Xsan_2.pdf

Apple-premiers_contacts_avec_imovie6.pdf

Apple-Tiger_Guide_Installation_et_de_configuration.pdf

Apple-Final-Cut-Pro-7-Level-One-Exam-Preparation-Guide-and-Practice-Exam

Apple-Open_Directory.pdf

Apple-Nike_+_iPod_User_guide

Apple-ard_admin_guide_2.2_fr.pdf

Apple-systemoverviewj.pdf-Japon

Apple-Xserve_TO_J070411.pdf-Japon

Apple-Mac_Pro_User_Guide.pdf

Apple-iMacG5_iSight_UG.pdf

Apple-premiers_contacts_avec_iwork_08.pdf

Apple-services_de_collaboration_2e_ed_10.4.pdf

Apple-iPhone_Bluetooth_Headset_Benutzerhandbuch.pdf

Apple-Guide_de_l_utilisateur_de_Keynote08.pdf

APPLE/Apple-Logic-Pro-9-Effectsrfr.pdf

Apple-Logic-Pro-9-Effectsrfr.pdf

Apple-iPod_shuffle_3rdGen_UG_F.pdf

Apple-iPod_classic_160Go_Guide_de_l_utilisateur.pdf

Apple-iBookG4GettingStarted.pdf

Apple-Administration_de_technologies_web_10.5.pdf

Apple-Compressor-4-User-Manual-fr

Apple-MainStage-User-Manual-fr.pdf

Apple-Logic_Pro_8.0_lbn_j.pdf

Apple-PowerBookG4_15inch1.67-1.5GHzUserGuide.pdf

Apple-MacBook_Pro_15inch_Mid2010_CH.pdf

Apple-LED_Cinema_Display_27-inch_UG.pdf

Apple-MacBook_Pro_15inch_Mid2009_RS.pdf

Apple-macbook_pro_13inch_early2011_f.pdf

Apple-iMac_Mid2010_UG_BR.pdf

Apple-iMac_Late2009_UG_J.pdf

Apple-iphone_user_guide-For-iOS-6-Software

Apple-iDVD5_Getting_Started.pdf

Apple-guide_des_fonctionnalites_de_l_ipod_touch.pdf

Apple_iPod_touch_User_Guide

Apple_macbook_pro_13inch_early2011_f

Apple_Guide_de_l_utilisateur_d_Utilitaire_RAID

Apple_Time_Capsule_Early2009_Setup_F

Apple_iphone_4s_finger_tips_guide_rs

Apple_iphone_upute_za_uporabu

Apple_ipad_user_guide_ta

Apple_iPod_touch_User_Guide

apple_earpods_user_guide

apple_iphone_gebruikershandleiding

apple_iphone_5_info

apple_iphone_brukerhandbok

apple_apple_tv_3rd_gen_setup_tw

apple_macbook_pro-retina-mid-2012-important_product_info_ch

apple_Macintosh-User-s-Guide-for-Macintosh-PowerBook-145

Apple_ipod_touch_user_guide_ta

Apple_TV_2nd_gen_Setup_Guide_h

Apple_ipod_touch_manual_del_usuario

Apple_iphone_4s_finger_tips_guide_tu

Apple_macbook_pro_retina_qs_th

Apple-Manuel_de_l'utilisateur_de_Final_Cut_Server

Apple-iMac_G5_de_lutilisateur

Apple-Cinema_Tools_4.0_User_Manual_F

Apple-Personal-LaserWriter300-User-s-Guide

Apple-QuickTake-100-User-s-Guide-for-Macintosh

Apple-User-s-Guide-Macintosh-LC-630-DOS-Compatible

Apple-iPhone_iOS3.1_User_Guide

Apple-iphone_4s_important_product_information_guide

Apple-iPod_shuffle_Features_Guide_F

Liste-documentation-apple

Apple-Premiers_contacts_avec_iMovie_08

Apple-macbook_pro-retina-mid-2012-important_product_info_br

Apple-macbook_pro-13-inch-mid-2012-important_product_info

Apple-macbook_air-11-inch_mid-2012-qs_br

Apple-Manuel_de_l_utilisateur_de_MainStage

Apple-Compressor_3_User_Manual_F

Apple-Color_1.0_User_Manual_F

Apple-guide_de_configuration_airport_express_4.2

Apple-TimeCapsule_SetupGuide

Apple-Instruments_et_effets_Logic_Express_8

Apple-Manuel_de_l_utilisateur_de_WaveBurner

Apple-Macmini_Guide_de_l'utilisateur

Apple-PowerMacG5_UserGuide

Disque dur, ATA parallèle Instructions de remplacement

Apple-final_cut_pro_x_logic_effects_ref_f

Apple-Leopard_Installationshandbok

Manuale Utente PowerBookG4

Apple-thunderbolt_display_getting_started_1e

Apple-Compressor-4-Benutzerhandbuch

Apple-macbook_air_11inch_mid2011_ug

Apple-macbook_air-mid-2012-important_product_info_j

Apple-iPod-nano-Guide-des-fonctionnalites

Apple-iPod-nano-Guide-des-fonctionnalites

Apple-iPod-nano-Guide-de-l-utilisateur-4eme-generation

Apple-iPod-nano-Guide-de-l-utilisateur-4eme-generation

Apple-Manuel_de_l_utilisateur_d_Utilitaire_de_reponse_d_impulsion

Apple-Aperture_2_Raccourcis_clavier

AppleTV_Setup-Guide

Apple-livetype_2_user_manual_f

Apple-imacG5_17inch_harddrive

Apple-macbook_air_guide_de_l_utilisateur

Apple-MacBook_Early_2008_Guide_de_l_utilisateur

Apple-Keynote-2-Guide-de-l-utilisateur

Apple-PowerBook-User-s-Guide-for-PowerBook-computers

Apple-Macintosh-Performa-User-s-Guide-5200CD-and-5300CD

Apple-Macintosh-Performa-User-s-Guide

Apple-Workgroup-Server-Guide

Apple-iPod-nano-Guide-des-fonctionnalites

Apple-iPad-User-Guide-For-iOS-5-1-Software

Apple-Boot-Camp-Guide-d-installation-et-de-configuration

Apple-iPod-nano-Guide-de-l-utilisateur-4eme-generation

Power Mac G5 Guide de l’utilisateur APPLE

Guide de l'utilisateur PAGE '08 APPLE

Guide de l'utilisateur KEYNOTE '09 APPLE

Guide de l'Utilisateur KEYNOTE '3 APPLE

Guide de l'Utilisateur UTILITAIRE RAID

Guide de l'Utilisateur Logic Studio

Power Mac G5 Guide de l’utilisateur APPLE

Guide de l'utilisateur PAGE '08 APPLE

Guide de l'utilisateur KEYNOTE '09 APPLE

Guide de l'Utilisateur KEYNOTE '3 APPLE

Guide de l'Utilisateur UTILITAIRE RAID

Guide de l'Utilisateur Logic Studio

Guide de l’utilisateur ipad Pour le logiciel iOS 5.1

PowerBook G4 Premiers Contacts APPLE

Guide de l'Utilisateur iphone pour le logiciel ios 5.1 APPLE

Guide de l’utilisateur ipad Pour le logiciel iOS 4,3

Guide de l’utilisateur iPod nano 5ème génération

Guide de l'utilisateur iPod Touch 2.2 APPLE

Guide de l’utilisateur QuickTime 7  Mac OS X 10.3.9 et ultérieur Windows XP et Windows 2000

Guide de l'utilisateur MacBook 13 pouces Mi 2010

Guide de l’utilisateur iPhone (Pour les logiciels iOS 4.2 et 4.3)

Guide-de-l-utilisateur-iPod-touch-pour-le-logiciel-ios-4-3-APPLE

Guide-de-l-utilisateur-iPad-2-pour-le-logiciel-ios-4-3-APPLE

Guide de déploiement en entreprise iPhone OS

Guide-de-l-administrateur-Apple-Remote-Desktop-3-1

Guide-de-l-utilisateur-Apple-Xserve-Diagnostics-Version-3X103

Guide-de-configuration-AirPort-Extreme-802.11n-5e-Generation

Guide-de-configuration-AirPort-Extreme-802-11n-5e-Generation

Guide-de-l-utilisateur-Capteur-Nike-iPod

Guide-de-l-utilisateur-iMac-21-5-pouces-et-27-pouces-mi-2011-APPLE

Guide-de-l-utilisateur-Apple-Qadministrator-4

Guide-d-installation-Apple-TV-3-eme-generation

User-Guide-iPad-For-ios-5-1-Software

AppleCare Protection Plan Getting Started Guide for Apple TVContents 5 Fact Sheet 7 Quick Reference Guide 9 Terms and Conditions 39 Fiche d’informations 42 Guide de référence rapide 44 ModalitésEnglish 5 AppleCare Protection Plan for Apple TV Fact Sheet Service and support from the people who know your Apple TV best The AppleCare Protection Plan for Apple TV extends the complimentary coverage on your Apple TV to up to two years * of world-class support. The plan provides access to Apple TV experts and gives you anytime access to web-based resources at www.apple.com/support/appletv/. If your Apple TV or the included accessories need service, Apple will repair or replace them. ** Coverage information This comprehensive plan is available for all Apple TV models within their one-year limited warranty. If you sell the covered Apple TV before the AppleCare Protection Plan for Apple TV expires, you may transfer the plan to the new owner. ** For each Apple TV you want to cover, you must purchase a separate AppleCare Protection Plan for Apple TV. Keep your Proof of Coverage document, the original Apple TV sales receipt, and the AppleCare Protection Plan for Apple TV receipt. Apple may require proof of purchase if any questions arise about the eligibility of your Apple TV for AppleCare Protection Plan.6 English Technical support options If you experience difficulties with your Apple TV, refer to the Quick Reference Guide for troubleshooting tips. If you are not able to resolve the issue, AppleCare representatives can help troubleshoot your Apple TV, its connection with iTunes, and its connection to your television. Apple technical support contact information and hours of operation are listed in the Quick Reference Guide. Under the AppleCare Protection Plan for Apple TV, Apple offers the same complete service for both Mac and Windows users. Hardware service This plan extends repair and replacement service from the Apple oneyear warranty to up to two years from your Apple TV purchase date. Either the carry-in or direct mail-in service option may apply when you obtain service. Refer to the Quick Reference Guide for additional details about obtaining service. The replacement equipment that Apple provides as part of the repair or replacement service may be new or equivalent to new in both performance and reliability. * From the original purchase date of your Apple TV. ** See the enclosed AppleCare Protection Plan Terms and Conditions for complete details.English 7 Try these simple steps before contacting Apple for help. If you experience problems with your Apple TV, try the troubleshooting steps below. As a precaution, back up all content on your computer before you perform these steps. Verify that you have the latest iTunes. You can download the latest iTunes at www.apple.com/itunes/download/ in the U.S. or www.apple.com/ca/itunes/download/ in Canada. Visit the Apple TV Support website. The Apple TV Support website has links to service option availability, an Apple TV tutorial, discussions, and other resources to answer various how-to questions, which are available 24 hours a day at www.apple.com/support/appletv/ in the U.S. and www.apple.com/ca/support/appletv/ in Canada. Quick Reference Guide AppleCare Protection Plan for Apple TV8 English Contact Apple for more assistance. If the steps in this guide do not resolve your issue, contact Apple. An Apple representative will ask you for your AppleCare Protection Plan for Apple TV agreement number or your Apple TV serial number, which is located on the bottom of your Apple TV. In the U.S. In Canada 800-APL-CARE (800-275-2273) 800-263-3394 Seven days a week Seven days a week 8:00 A.M. to 8:00 P.M. Central time * 9:00 A.M. to 9:00 P.M. Eastern time * * Telephone numbers and hours of operation may vary and are subject to change. You can find the most up-to-date local and international contact information at www.apple.com/contact/phone_contacts.html/.English 9 AppleCare Protection Plan AppleCare Protection Plan for iPod AppleCare Protection Plan for Apple Display AppleCare Protection Plan for Apple TV Terms and Conditions Your AppleCare Protection Plan (“APP”), AppleCare Protection Plan for iPod (“APP for iPod”), AppleCare Protection Plan for Apple Display (“APP for Apple Display”) or AppleCare Protection Plan for Apple TV (“APP for Apple TV”), (each referred to herein as the “Plan”) is governed by these Terms and Conditions and constitutes your contract with the Apple entity described in section 7.l below (“Apple”). Subject to these Terms and Conditions, your Plan (i) covers defects for the Applebranded product(s) listed in your Plan’s Certificate or Proof of Coverage document (“Plan Confirmation”) and the accessories that are contained in the product(s) original packaging (“Covered Equipment”), and (ii) provides you with access to telephone technical support and webbased support resources for the Covered Equipment. To obtain the Plan Confirmation you must register your Plan’s unique agreement or registration number (“Plan Agreement Number”) as described in the instructions included in the Plan’s packaging. Customers choosing the Auto-Registration option, where available, will automatically receive 10 English their Plan Confirmation. The duration of the Plan (“Coverage Period”) is for the period ending on the date specified in your Plan Confirmation. The price of the Plan is listed on the Plan’s original sales receipt. 1. Repair Coverage a. Scope of Coverage. Your coverage for defects begins on the date your Covered Equipment’s Apple hardware warranty expires and terminates at the end of the Coverage Period (“Repair Coverage Period”). Apple will provide both parts and labor, but may require you to replace certain readily installable parts yourself, as described below. Apple may provide replacement product or parts that are manufactured from parts that are new or equivalent to new in both performance and reliability. The replacement product or parts will be functionally equivalent to the replaced products or parts and will assume the remaining coverage under the Plan. The products or parts that are replaced become Apple’s property. Apple strongly advises you to record as a back up, data and software residing or recorded in the Covered Equipment, before having the Covered Equipment available for repair or replacement services. The scope of support provided to you will vary according to the Plan you purchased, as follows. (i) Under APP, Apple covers the Covered Equipment and one compatible Apple branded display if purchased at the same time and registered with a covered Mac computer. An Apple-English 11 branded mouse and keyboard are also covered under APP if included with the Covered Equipment (or purchased with a Mac mini). An AirPort Extreme Card, an AirPort Express or AirPort Extreme Base Station, Time Capsule, an Apple-branded DVI to ADC display adapter, Apple RAM modules and MacBook Air SuperDrive are also covered under APP if used with the compatible Covered Equipment and originally purchased by you up to two years before your Mac purchase or during the term of your APP. If during the Repair Coverage Period there is a defect in the materials or workmanship of the Covered Equipment or the other covered items described above, Apple will at its option, repair or replace the affected item. (ii) Under APP for iPod, Apple will, at its option, repair or replace the affected Covered Equipment, if (a) during the Repair Coverage Period there is a defect in the Covered Equipment’s materials or workmanship or, (b) during the Coverage Period, the capacity of the covered iPod battery to hold an electrical charge has depleted fifty (50%) percent or more from its original specification after being fully charged and the covered iPod is playing music with all settings reset. (iii) Under APP for Apple Display or APP for Apple TV, Apple will, at its option, repair or replace the affected Covered Equipment, if during the Repair Coverage Period there is a defect in the 12 English Covered Equipment’s materials or workmanship. An AirPort Extreme Card, an AirPort Express or AirPort Extreme Base Station and Time Capsule are also covered under APP for Apple TV if used with the Covered Equipment and originally purchased by you up to two years before your Apple TV or during the term of your APP for Apple TV coverage. b. Limitations. The Plan does not cover: (i) Installation, removal or disposal of the Covered Equipment, or installation, removal, repair, or maintenance of nonCovered Equipment (including accessories, attachments, or other devices such as external modems) or electrical service external to the Covered Equipment; (ii) Damage to the Covered Equipment caused by accident, abuse, neglect, misuse (including faulty installation, repair, or maintenance by anyone other than Apple or an Apple Authorized Service Provider), unauthorized modification, extreme environment (including extreme temperature or humidity), extreme physical or electrical stress or interference, fluctuation or surges of electrical power, lightning, static electricity, fire, acts of God or other external causes; (iii) Covered Equipment with a serial number that has been altered, defaced or removed; English 13 (iv) Problems caused by a device that is not the Covered Equipment, including equipment that is not Apple-branded, whether or not purchased at the same time as the Covered Equipment; (v) Service necessary to comply with the regulations of any government body or agency arising after the date of this Plan; (vi) The provision of replacement equipment during the period when the Covered Equipment is being repaired; (vii) Covered Equipment that has been lost or stolen. This Plan only covers Covered Equipment that is returned to Apple in its entirety; (viii) Cosmetic damage to the Covered Equipment including but not limited to scratches, dents and broken plastic on ports; (ix) Consumable parts, such as batteries, except in respect of battery coverage under APP for iPod or unless failure has occurred due to a defect in materials and workmanship; (x) Preventative maintenance on the Covered Equipment; (xi) Defects caused by normal wear and tear or otherwise due to normal aging of the product; or (xii) Damage to, or loss of any software or data residing or recorded in the Covered Equipment. When providing repair or replacement service, Apple will use reasonable efforts 14 English to reinstall the Covered Equipment’s original software configuration and subsequent update releases, but will not provide any recovery or transfer of software or data contained on the serviced unit not originally included in the Covered Equipment. DURING iPOD SERVICE THE CONTENTS OF YOUR iPOD WILL BE DELETED AND THE STORAGE MEDIA REFORMATTED. Your iPod or a replacement iPod will be returned to you as your iPod was configured when originally purchased, subject to applicable updates. Apple may install system software (“iPod OS”) updates as part of your service that will prevent the iPod from reverting to an earlier version of the iPod OS. Third party applications installed on the iPod may not be compatible or work with the iPod as a result of the iPod OS update. You will be responsible for reinstalling all other software programs, data and passwords. Recovery and reinstallation of software programs and user data are not covered under this Plan. c. Service Options. Apple may provide service through one or more of the following options: (i) Carry-in service is available for most Covered Equipment. Return the Covered Equipment requiring service to an Appleowned retail store or an Apple Authorized Service Provider location offering carry-in service. Service will be performed English 15 at the location, or the store or service provider may send the Covered Equipment to an Apple repair service location to be repaired. Once you are notified that service is complete, you will promptly retrieve the product. (ii) Onsite service is available for many desktop computers if the location of the Covered Equipment is within 50 miles/80 kilometers radius of an Apple authorized onsite service provider located in the United States or Canada. Onsite service is not available for some parts. The service for parts that cannot be repaired by onsite service may be repaired under Do-It-Yourself Parts service as described below. Apple will dispatch a service technician to the location of the Covered Equipment. Service will be performed at the location, or the service technician will transport the Covered Equipment to an Apple Authorized Service Provider or Apple repair service location for repair. If the Covered Equipment is repaired at an Apple Authorized Service Provider or Apple repair service location, Apple will arrange for transportation of the Covered Equipment to your location following service. If the service technician is not granted access to the Covered Equipment at the appointed time, any further onsite visits may be subject to an additional charge. 16 English (iii) Direct mail-in service is available for most Covered Equipment. If Apple determines that your Covered Equipment is eligible for mail-in service, Apple will send you prepaid way bills (and if you no longer have the original packaging, Apple may send you packaging material) and you will ship the Covered Equipment to Apple’s repair service location in accordance with its instructions. Once service is complete, the Apple repair service location will return the Covered Equipment to you. Apple will pay for shipping to and from your location if all instructions are followed. (iv) Do-It-Yourself Parts service is available for many Covered Equipment parts, allowing you to service your own product. If Do-It-Yourself Parts service is available in the circumstances, the following process will apply. (A) Do-It-Yourself Parts service where Apple requires return of the replaced part. Apple may require a credit card authorization as security for the retail price of the replacement part and applicable shipping costs. If you are unable to provide credit card authorization, Do-It-Yourself Parts service may not be available to you and Apple will offer alternative arrangements for service. Apple will ship a replacement part to you with installation instructions and any requirements for the return of the replaced part. English 17 If you follow the instructions, Apple will cancel the credit card authorization, so you will not be charged for the part and shipping to and from your location. If you fail to return the replaced part as instructed or return a replaced part that is ineligible for service, Apple will charge the credit card for the authorized amount. (B) Do-It-Yourself Parts service where Apple does not require return of the replaced part. Apple will ship you free of charge a replacement part accompanied by instructions on installation and any requirements for the disposal of the replaced part. (C) Apple is not responsible for any labor costs you incur relating to Do-It-Yourself Parts service. Should you require further assistance, contact Apple at the toll-free telephone number listed below. Apple reserves the right to change the method by which Apple may provide repair or replacement service to you, and your Covered Equipment’s eligibility to receive a particular method of service, including but not limited to onsite service at any time. Service will be limited to the options available in the country where service is requested. Service options, parts availability and response times may vary according to country. You may be responsible for shipping and handling charges if the Covered 18 English Equipment cannot be serviced in the country it is in. If you seek service in a country that is not the country of purchase, you will comply with all applicable export laws and regulations and be responsible for all custom duties, V.A.T. and other associated taxes and charges. For international service, Apple may repair or exchange defective products and parts with comparable products and parts that comply with local standards. d. Obtaining Repair or Replacement Service. To obtain service under this Plan, access the Apple website (www.apple.com/support) or call the toll-free telephone number listed below. Telephone numbers may vary according to your location. When accessing the website, follow the instructions for requesting repair service provided by Apple. If calling, an Apple technical support representative will answer, request your Plan Agreement Number or Covered Equipment serial number, advise you and determine what service is necessary for the Covered Equipment. All service is subject to Apple’s prior approval. Location of service may vary due to your location. Keep your Plan Confirmation document and the original sales receipt for your Covered Equipment and your Plan. Proof of purchase may be required if there is any question as to your product’s eligibility for Plan coverage.English 19 2. Technical Support a. Telephone and Web Support. Your eligibility for technical support begins on the date your Covered Equipment’s complimentary technical support expires or the date your Coverage Period begins, whichever is later, and terminates at the end of the Coverage Period (“Technical Coverage Period”). During the Technical Coverage Period Apple will provide you with access to telephone technical support and web-based technical support resources. Technical support may include assistance with installation, launch, configuration, troubleshooting, and recovery (except for data recovery), including storing, retrieving, and managing files; interpreting system error messages; and determining when hardware repairs are required. The scope of technical support provided to you will vary according to the Plan you purchased, as follows. (i) Under APP, Apple will provide technical support for the Covered Equipment, Apple’s operating system software (“Mac OS”) and Apple-branded consumer applications preinstalled with the Covered Equipment (“Consumer Software”). Apple will also provide technical support using the graphical user interface for server administration and network management issues on Apple’s operating system server software (“Mac OS Server”) pre-installed on a Mac. Apple will provide support for the then-current version of the Mac OS, Mac OS Server and Consumer Software, and the prior Major 20 English Release. For purposes of this section, “Major Release” means a significant version of software that is commercially released by Apple in a release number format such as “1.0” or “2.0” and which is not in beta or pre-release form. (ii) Under APP for iPod, Apple will provide technical support for the Covered Equipment, iPod OS and software applications that are pre-installed with the Covered Equipment (both referred to as “iPod Software”) and connectivity issues between the Covered Equipment and a supported computer, meaning a computer that meets the Covered Equipment’s connectivity specifications and runs an operating system that is supported by the Covered Equipment. Apple will provide support for the then-current version of the iPod Software, and the prior supported Major Release. (iii) Under APP for Apple Display, Apple will provide technical support for the Covered Equipment and connectivity issues between the Covered Equipment and a supported computer, meaning a computer that meets the Covered Equipment’s connectivity specifications and runs an operating system that is supported by the Covered Equipment. Apple will provide support for the then-current version of the operating system that it provides connectivity assistance for under APP for Apple Display, and the prior supported Major Release. English 21 (iv) Under APP for Apple TV, Apple will provide technical support for the Covered Equipment, software applications that are pre-installed with the Covered Equipment (“Apple TV Software”) and connectivity issues between the Covered Equipment, a supported computer and a supported television. Apple will provide support for the then-current version of the Apple TV Software and the prior supported Major Release. For purposes of this section, a “supported computer” means a computer that meets the Covered Equipment’s connectivity specifications and runs an operating system that is supported by the Covered Equipment, and a “supported television” means a television that meets the Covered Equipment’s connectivity specifications. b. Limitations. The Plan does not cover: (i) Your use of the Mac OS and Consumer Software as serverbased applications; (ii) Issues that could be resolved by upgrading software to the then current version; (iii) Your use of or modification to the Covered Equipment, the Mac OS, iPod Software, Apple TV Software or Consumer Software in a manner for which the Covered Equipment or software is not intended to be used or modified; 22 English (iv) Third-party products or their effects on or interactions with the Covered Equipment, the Mac OS, Mac OS Server, iPod Software, Apple TV Software or Consumer Software; (v) Your use of a computer or operating system under APP for iPod that is unrelated to iPod Software or connectivity issues with the Covered Equipment; (vi) Your use of a computer or operating system under APP for Apple Display that is unrelated to connectivity issues with the Covered Equipment; (vii) Your use of a computer or operating system under APP for Apple TV that is unrelated to Apple TV Software or connectivity issues with the Covered Equipment; (viii) Apple software other than the Mac OS, Mac OS Server, iPod Software, Apple TV Software or Consumer Software as covered under the applicable Plan; (ix) Mac OS software for servers, except when using the graphical user interface for server administration and network management issues on Mac OS Server pre-installed on a Mac; (x) Mac OS software or any Apple-branded software designated as “beta”, “prerelease,” or “preview” or similarly labeled software; (xi) Third-party web browsers, email applications, and Internet service provider software, or the Mac OS configurations necessary for their use, or English 23 (xii) Damage to, or loss of any software or data residing or recorded in the Covered Equipment. c. Obtaining Technical Support. You may obtain technical support by calling the toll-free telephone number listed below. The Apple technical support representative will provide you technical support. Apple’s hours of service are described below. Apple reserves the right to change its hours of technical service and telephone numbers at any time. Web-based support resources are offered to you at the Apple website (www.apple.com/support). 3. Your Responsibilities To receive service or support under the Plan, you agree to comply with the following a. Provide your Plan Agreement Number and serial number of the Covered Equipment; b. Provide information about the symptoms and causes of the problems with the Covered Equipment; c. Respond to requests for information, including but not limited to the Covered Equipment serial number, model, version of the operating system and software installed, any peripherals devices connected or installed on the Covered Equipment, any error messages displayed, actions taken before the Covered Equipment experienced the issue and steps taken to resolve the issue;24 English d. Follow instructions Apple gives you, including but not limited to refraining from sending Apple products and accessories that are not subject to repair or replacement service and packing the Covered Equipment in accordance with shipping instructions; and e. Update software to currently published releases prior to seeking service. 4. Limitation of Liability TO THE MAXIMUM EXTENT PERMITTED BY APPLICABLE LAW, APPLE AND ITS EMPLOYEES AND AGENTS WILL UNDER NO CIRCUMSTANCES BE LIABLE TO YOU OR ANY SUBSEQUENT OWNER FOR ANY INDIRECT OR CONSEQUENTIAL DAMAGES, INCLUDING BUT NOT LIMITED TO COSTS OF RECOVERING, REPROGRAMMING, OR REPRODUCING ANY PROGRAM OR DATA OR THE FAILURE TO MAINTAIN THE CONFIDENTIALITY OF DATA, ANY LOSS OF BUSINESS, PROFITS, REVENUE OR ANTICIPATED SAVINGS, RESULTING FROM APPLE’S OBLIGATIONS UNDER THIS PLAN. TO THE MAXIMUM EXTENT PERMITTED BY APPLICABLE LAW, THE LIMIT OF APPLE AND ITS EMPLOYEES AND AGENT’S LIABILITY TO YOU AND ANY SUBSEQUENT OWNER ARISING UNDER THE PLAN SHALL NOT EXCEED THE ORIGINAL PRICE PAID FOR THE PLAN. APPLE SPECIFICALLY DOES NOT WARRANT THAT IT WILL BE ABLE TO (i) REPAIR OR REPLACE COVERED EQUIPMENT WITHOUT RISK TO OR LOSS OF PROGRAMS OR DATA, AND (ii) MAINTAIN THE CONFIDENTIALITY OF DATA. English 25 FOR CONSUMERS IN JURISDICTIONS WHO HAVE THE BENEFIT OF CONSUMER PROTECTION LAWS OR REGULATIONS, THE BENEFITS CONFERRED BY THIS PLAN ARE IN ADDITION TO ALL RIGHTS AND REMEDIES PROVIDED UNDER SUCH LAWS AND REGULATIONS. TO THE EXTENT THAT LIABILITY UNDER SUCH LAWS AND REGULATIONS MAY BE LIMITED, APPLE’S LIABILITY IS LIMITED, AT ITS SOLE OPTION, TO REPLACE OR REPAIR OF THE COVERED EQUIPMENT OR SUPPLY OF THE SERVICE. SOME STATES OR PROVINCES DO NOT ALLOW THE EXCLUSION OR LIMITATION OF INCIDENTAL OR CONSEQUENTIAL DAMAGES, SO SOME OR ALL OF THE ABOVE LIMITATIONS MAY NOT APPLY TO YOU. 5. Cancellation You may cancel this Plan at any time for any reason. If you decide to cancel either call Apple at the telephone number below, or send or fax written notice with your Plan Agreement Number to AppleCare Administration, P.O. Box 149125, Austin, TX 78714-9125, U.S. (fax number 512-6748125). A copy of the Plan’s original proof of purchase must accompany your notice. Unless local law provides otherwise, if you cancel within thirty (30) days of your Plan’s purchase, or receipt of these Terms and Conditions, whichever occurs later, you will receive a full refund less the value of any service provided under the Plan. If you cancel more than thirty (30) days after your receipt of this Plan, you will receive a pro rata refund of the original purchase price, based on the percentage of unexpired Coverage Period, less (a) a 26 English cancellation fee of twenty-five ($25 USD) dollars or ten percent (10%) of the pro-rata amount, whichever is less, and (b) the value of any service provided to you under the Plan. Unless applicable local law provides otherwise, Apple may cancel this Plan if service parts for the Covered Equipment become unavailable, upon thirty (30) days’ prior written notice. If Apple cancels this Plan, you will receive a pro-rata refund for the Plan’s unexpired term. 6. Transfer of Plan Subject to the restrictions set forth below, you may make a one-time permanent transfer of all of your rights under the Plan to another party, provided that: (a) the transfer must include the original Proof of Purchase, the Plan’s Certificate and all of the Plan’s packaging material, including printed materials and these Terms and Conditions; (b) you notify Apple of the transfer by sending, faxing or emailing notice of transfer to Apple Inc., ATTN: Agreement Administration, MS: 217AC, 2511 Laguna Blvd, Elk Grove, CA 95758, U.S., fax number 916-399-7337 or agmts_transfer@apple.com, respectively; and (c) the party receiving the Plan reads and agrees to accept the Terms and Conditions of the Plan. When notifying Apple of the transfer of the Plan, you must provide the Plan Agreement Number, the serial numbers of the Covered Equipment being transferred and the name, address, telephone number and email address of the new owner. English 27 7. General Terms a. Apple may subcontract or assign performance of its obligations to third parties but shall not be relieved of its obligations to you in doing so. b. Apple is not responsible for any failures or delays in performing under the Plan that are due to events outside Apple’s reasonable control. c. You are not required to perform preventative maintenance on the Covered Equipment to receive service under the Plan. d. This Plan is offered and valid only in the fifty states of the United States of America, the District of Columbia and Canada. This Plan is not offered to persons who have not reached the age of majority. This Plan is not available where prohibited by law. e. In carrying out its obligations Apple may, at its discretion and solely for the purposes of monitoring the quality of Apple’s response, record part or all of the calls between you and Apple. f. You agree that any information or data disclosed to Apple under this Plan is not confidential or proprietary to you. Furthermore, you agree that Apple may collect and process data on your behalf when it provides service. This may include transferring your data to affiliated companies or service providers located in countries where data protection laws may be less comprehensive than your country of residence, including but not limited to Australia, 28 English Canada, countries of the European Union, India, Japan, the People’s Republic of China and the U.S. g. Apple has security measures, which should protect your data against unauthorized access or disclosure as well as unlawful destruction. You will be responsible for the instructions you give to Apple regarding the processing of data, and Apple will seek to comply with those instructions as reasonably necessary for the performance of the service and support obligations under the Plan. If you do not agree with the above or if you have questions regarding how your data may be impacted by being processed in this way, contact Apple at the telephone numbers provided. h. Apple will protect your information in accordance with Apple Customer Privacy Policy available at URL www.apple.com/legal/privacy. If you wish to have access to the information that Apple holds concerning you or if you want to make changes, access URL www.apple.com/contact/myinfo to update your personal contact preferences or you may contact Apple at privacy@apple.com. i. The Terms and Conditions of this Plan prevail over any conflicting, additional, or other terms of any purchase order or other document, and constitute your and Apple’s entire understanding with respect to the Plan.English 29 j. Your rights under the Plan are in addition to any warranty rights you may be entitled to. You must purchase and register the Plan while your Covered Equipment is within Apple’s One Year Limited warranty. Apple is not obligated to renew this Plan. If Apple does offer a renewal, it will determine the price and terms. k. There is no informal dispute settlement process available under this Plan. l. For Plans sold in the United States, “Apple” is AppleCare Service Company, Inc. an Arizona corporation with its registered office at c/o CT Corporation System, 2394 East Camelback Road, Phoenix, Arizona 85016, doing business in the state of Texas as Apple CSC, Inc., and the obligations of such Plans are backed by the full faith and credit of the provider, AppleCare Service Company, Inc. For Plans sold in Canada, “Apple” is Apple Canada Inc., 7495 Birchmount Road, Markham, Ontario, L3R 5G2, Canada. Apple Canada Inc. is the legal and financial obligor for Plans sold in Canada. m. The Administrator for Plans sold in the United States is Apple Inc. (the “Administrator”), a California corporation with its registered office at 1 Infinite Loop, Cupertino, California 95014. The Administrator is responsible for the collection and transfer to AppleCare Service Company, Inc. of the purchase price for the Plan and for the administration of claims under the Plan. 30 English n. Except where prohibited by law, the laws of the state of California govern Plans purchased in the United States. Except where prohibited by law, the laws of the province of Ontario govern Plans purchased in Canada. If the law of any jurisdiction where this Plan is purchased is inconsistent with these terms, including the jurisdictions of Arizona, Florida, Georgia, Nevada, Oregon, Vermont, Washington, and Wyoming, the law of that jurisdiction will control. o. Support services under this Plan may be available in English and French only. p. There is no deductible payment due in respect of a claim made under this Plan. q. The Plan will not be cancelled due to pre-existing conditions in the Covered Equipment that are eligible for service under this Plan. 8. State Variations The following state variations will control if inconsistent with any other provisions of this Plan: Alabama, California, Hawaii, Maryland, Minnesota, Missouri, New Mexico, New York, Nevada, South Carolina, Texas, Washington and Wyoming Residents If you cancel this Plan pursuant to Section 5 of these Terms and Conditions, and we fail to refund the purchase price to you within thirty (30) days for California, New York, Missouri and Washington English 31 residents, within forty-five (45) days for Alabama, Hawaii, Maryland, Minnesota, Nevada, South Carolina, Texas and Wyoming residents, and within sixty (60) days for New Mexico residents, we are required to pay you a penalty of 10% per month for the unpaid amount due and owing to you. The right to cancel and receive this penalty payment only applies to the original owner of the Agreement and may not be transferred or assigned. The obligations of the provider under this service contract are backed by the full faith and credit of the provider, AppleCare Service Company, Inc. California Residents If you cancel within thirty (30) days of your Plan receipt, you will receive a full refund less the value of any service provided under the Plan. Colorado Residents Notice: This Plan is subject to the Colorado Consumer Protection Act or the Unfair Practices Act, Articles 1 and 2 of Title 6, CRS. Connecticut Residents The expiration date of the Plan will automatically be extended by the period that the Covered Equipment is in Apple’s custody while being serviced. Resolution of Disputes: Disputes may be resolved by arbitration. Unresolved disputes or complaints may be mailed, with a copy of this Plan, to State of Connecticut, Insurance Dept., P.O. Box 816, Hartford, CT 06142-0846, Attn: Consumer Affairs.32 English Florida Residents The laws of the State of Florida will govern this Plan and any disputes arising under it. The rate charged for the contract is not subject to regulation by the Florida Office of Insurance Regulation. Michigan Residents If performance of the service contract is interrupted because of a strike or work stoppage at the company’s place of business, the effective period of the service contract shall be extended for the period of the strike or work stoppage. Nevada Residents Cancellations: No Plan that has been in effect for at least 70 days may be canceled by the provider before the expiration of the agreed term or one year after the effective date of the Plan, whichever occurs first, except on the following grounds: a. Failure by the holder to pay an amount due; b. Conviction of the holder of a crime which results in an increase in the service required; c. Discovery of fraud or material misrepresentation by the holder in obtaining the Plan, or in presenting a claim for service thereunder; d. Discovery of an act or omission by the holder, or a violation by the holder of any condition of the Plan, which occurred after the English 33 effective date of the Plan and which substantially and materially increases the service required under the Plan; e. A material change in the nature or extent of the required service or repair which occurs after the effective date of the Plan and which causes the required service or repair to be substantially and materially increased beyond that contemplated at the time that the Plan was issued or sold. Grounds for cancellation; date cancellation effective. No cancellation of a service contract may become effective until at least 15 days after the notice of cancellation is mailed to the holder. Cancellation of contract; Refund of purchase price; cancellation fee. (i) If Apple cancels this Plan, Apple shall refund to Nevada consumers the portion of the purchase price that is unearned. Apple may deduct any outstanding balance on your account from the amount of the purchase price that is unearned when calculating the amount of the refund. If Apple cancels a contract pursuant to NRS 690C.270, it may not impose a cancellation fee. (ii) Except as otherwise provided in this section, a Nevada resident who is the original purchaser of this Plan, who submits to Apple a request in writing to cancel the Plan in accordance with the terms of the Plan, shall receive a refund of the portion of the Plan’s purchase price that is unearned. 34 English (iii) If you request the cancellation of this Plan, Apple may impose the cancellation fee described in the Plan, but will not deduct the value of any service provided. (iv) When Apple calculates the amount of a refund pursuant to subsection (ii), it may deduct from the portion of the purchase price that is unearned: (a) any outstanding balance on the account; and (b) any cancellation fee imposed pursuant to this Plan. AppleCare Service Company, Inc. backs this Plan for Nevada residents by its full faith and credit. New Hampshire Residents In the event you do not receive satisfaction under this contract, you may contact the New Hampshire insurance department, by mail at State Of New Hampshire Insurance Department, 21 South Fruit Street, Suite 14, Concord NH 03301, or by telephone, via Consumer Assistance, at 800-852-3416. New Mexico Residents Cancellations: No Plan that has been in effect for at least 70 days may be canceled by the provider before the expiration of the agreed term or one year after the effective date of the Plan, whichever occurs first, except on the following grounds: English 35 a. Failure by the holder to pay an amount due; b. Conviction of the holder of a crime which results in an increase in the service required; c. Discovery of fraud or material misrepresentation by the holder in obtaining the Plan, or in presenting a claim for service thereunder; d. Discovery of an act or omission by the holder, or a violation by the holder of any condition of the Plan, which occurred after the effective date of the Plan and which substantially and materially increases the service required under the Plan; e. A material change in the nature or extent of the required service or repair which occurs after the effective date of the Plan and which causes the required service or repair to be substantially and materially increased beyond that contemplated at the time that the Plan was issued or sold. North Carolina Residents The purchase of this Plan is not required either to purchase or to obtain financing for computer equipment. Apple will not cancel this plan EXCEPT for failure to pay the purchase price for the Plan. Oregon Residents In the event you do not receive satisfaction under this contract, you may contact the Oregon Department of Consumer and Business Services by mail at the Department of Consumer and Business 36 English Services, Oregon Insurance Division, 350 Winter Street NE, Salem, OR 97301; or by telephone via Consumer Advocacy, at 888-877-4894. South Carolina Residents Unresolved complaints or Plan regulation questions may be addressed to the South Carolina Department of Insurance, P.O. Box 100105, Columbia, South Carolina 29202-3105, Tel: 1-800-768-3467. Tennessee Residents This Plan shall be extended as follows: (1) the number of days the consumer is deprived of the use of the product because the product is in repair; plus two (2) additional workdays. Texas Residents The provider may cancel this Plan with no prior notice for nonpayment, misrepresentation or a substantial breach of a duty by the holder relating to the Covered Equipment or its use. Unresolved complaints or Contract regulation questions may be addressed to the TX Dept. of Licensing and Regulation, P.O. Box 12157, Austin, TX 78711, U.S. Wisconsin Residents THIS WARRANTY IS SUBJECT TO LIMITED REGULATION BY THE OFFICE OF THE COMMISSIONER OF INSURANCE. If you cancel within thirty (30) days of your Plan’s purchase, or receipt of these Terms and Conditions, whichever occurs later, you will receive English 37 a full refund. If you cancel more than thirty (30) days after your receipt of the Plan, you will receive a pro-rata refund of the original purchase price, based on the percentage of unexpired Coverage Period, less a cancellation fee of twenty-five ($25 USD) dollars or ten percent (10%) of the pro-rata amount, whichever is less. No deduction shall be made from the refund for the cost of any service received. Apple will not cancel this plan EXCEPT for failure to pay the purchase price for the plan. If Apple cancels the Plan, you will receive a prorata refund for the Plan’s unexpired term. Wyoming Residents If Apple cancels this Plan, Apple will mail to you written notice of the cancellation at your last known address contained in Apple’s records no less than ten (10) days prior to the effective cancellation date. The prior written notice will contain the effective date of cancellation and the reasons for cancellation. Apple is not obligated to provide prior notice if cancellation is due to nonpayment of the Plan, a material misrepresentation by you to Apple, a substantial breach of your duties under the Plan or a substantial breach of your duties relating to the Covered Equipment or its use. Disputes arising under this Plan may be settled in accordance with the Wyoming Arbitration Act.38 English Toll-Free Numbers In the U.S. In Canada 800-APL-CARE (800-275-2273) 800-263-3394 Seven days a week Seven days a week 8:00 A.M. to 8:00 P.M. Central time * 9:00 A.M. to 9:00 P.M. Eastern time * * Telephone numbers and hours of operation may vary and are subject to change. You can find the most up-to-date local and international contact information at www.apple.com/contact/phone_contacts.html. Toll-free numbers are not available in all countries. APP NA v.5.3Français 39 AppleCare Protection Plan pour Apple TV Fiche d’informations Des services et une assistance fournis par les personnes qui connaissent le mieux votre Apple TV Le programme AppleCare Protection Plan pour Apple TV prolonge la durée de la couverture gratuite de votre Apple TV à deux ans* maximum d’assistance à l’échelle internationale. Il inclut une assistance assurée par des spécialistes et vous propose des ressources sur le web à l’adresse www.apple.com/ca/fr/support/appletv. Si votre Apple TV ou ses accessoires inclus nécessitent quelque réparation, Apple s’engage à les réparer ou les remplacer ** . Informations concernant la garantie Ce programme complet est disponible pour tous les modèles d’Apple TV encore couverts par la garantie d’un an. Si vous vendez l’Apple TV couvert avant expiration du programme AppleCare Protection Plan pour Apple TV, vous pouvez transférer le programme au nouveau propriétaire ** . Vous devez souscrire à un programme AppleCare Protection Plan pour chaque Apple TV que vous souhaitez couvrir. 40 Français Conservez le document Preuve de garantie, les factures d’origine correspondant à l’Apple TV et le reçu du programme AppleCare Protection Plan pour Apple TV. Apple pourrait réclamer une preuve d’achat en cas de doute concernant le droit à couverture de votre Apple TV par le programme AppleCare Protection Plan. Options d’assistance technique Si des problèmes se présentent lors de l’utilisation de votre Apple TV, suivez les instructions du Guide de référence rapide pour suivre les astuces de dépannage. Si vous ne parvenez pas à résoudre le problème seul, le personnel AppleCare peut vous aider à diagnostiquer le problème avec votre Apple TV, sa connexion avec iTunes et son branchement à votre téléviseur. Vous trouverez la liste des contacts et des horaires du service d’assistance technique d’Apple dans le Guide de référence rapide. À travers le programme AppleCare Protection Plan pour Apple TV, Apple assure le même service pour les utilisateurs Mac et Windows. Service matériel Ce programme étend les services de réparation et de remplacement de la garantie d’un an assurée par Apple à une assistance pouvant durer jusqu’à deux ans à compter de la date d’achat de votre Apple TV. Si vous faites appel aux services d’Apple, les options d’enlèvement à domicile par transporteur ou de service après-vente en magasin sont applicables. Reportez-vous au Guide de référence rapide pour en savoir Français 41 plus sur l’obtention de ces services. Le matériel de remplacement fourni par Apple comme partie intégrante du service de réparation ou de remplacement peut être neuf ou, en termes de performances et de fiabilité, équivalent au neuf. * À partir de la date d’achat d’origine de votre Apple TV. ** Pour de plus amples informations, consultez les Conditions Générales du programme AppleCare Protection Plan, ci-jointes.42 Français AppleCare Protection Plan pour Apple TV Guide de référence rapide Essayez les opérations suivantes, faciles à réaliser, avant d’appeler Apple pour obtenir de l’aide. Pour tout problème concernant l’Apple TV, suivez les procédures de dépannage mentionnées ci-après. Par mesure de précaution, sauvegardez toutes les données de votre ordinateur avant de procéder au dépannage. Vérifiez que vous disposez de la dernière version d’iTunes. Vous pouvez télécharger la dernière version d’iTunes à partir de l’adresse www.apple.com/ca/fr/itunes/download pour le Canada. Visitez le site web d’assistance technique de l’Apple TV. Ce site contient des liens donnant accès aux différentes options de service mises à votre disposition, à des guides d’initiation sur l’Apple TV, à des forums de discussion et à de nombreuses autres ressources de type questions et réponses, tous disponibles 24 heures sur 24 à l’adresse www.apple.com/ca/fr/support/appletv pour le Canada.Français 43 Contactez Apple pour obtenir une assistance supplémentaire. Si les procédures de ce guide ne vous permettent pas de résoudre le problème rencontré, contactez Apple. Un technicien Apple vous demandera le numéro de votre contrat AppleCare Protection Plan pour Apple TV ou bien le numéro de série de votre Apple TV, situé en bas de votre appareil. Aux États Unis Au Canada (800)-APL-CARE (800-275-2273) 800-263-3394 7 jours sur 7 7 jours sur 7 De 8H00 à 20H00 De 9H00 à 21H00 (Heure du centre)* (Heure de l’Est)* * Les numéros de téléphone et les heures d’ouverture au public peuvent varier et sont susceptibles d’être modifiés. Vous trouverez la toute dernière liste des contacts nationaux et internationaux à l’adresse www.apple.com/contact/phone_contacts.html.44 Français Programme AppleCare Protection Plan Programme AppleCare Protection Plan pour iPod Programme AppleCare Protection Plan pour Apple Display Programme AppleCare Protection Plan pour Apple TV Modalités Votre programme AppleCare Protection Plan (ci-après « APP »), programme AppleCare Protection Plan pour iPod (ci-après « APP pour iPod »), programme AppleCare Protection Plan pour Apple Display (ci-après « APP pour Apple Display ») ou programme AppleCare Protection Plan pour Apple TV (ci-après « APP pour Apple TV ») (chacun étant désigné ci-après comme le « Programme ») est régi par les présentes modalités et ces modalités constituent votre contrat auprès de l’entité Apple décrite dans l’article 7.l ci-dessous (ci-après « Apple »). Sujet aux présentes modalités, votre Programme (i) couvre les vices du ou des produits de marque Apple énumérés dans le Certificat ou la Preuve de garantie de votre Programme (ci-après « Confirmation d’adhésion au Programme ») et les accessoires inclus dans l’emballage original du ou des produits (ci-après le « Produit couvert »), et (ii) vous fournit une assistance téléphonique et l’accès à des ressources d’aide Internet pour le Produit couvert. Pour obtenir la Confirmation d’adhésion au Programme, vous devez enregistrer Français 45 votre numéro unique de contrat ou d’adhésion (ci-après « Numéro de contrat du Programme ») tel que indiqué aux instructions incluses dans l’emballage du Programme. Les Clients qui ont choisi l’option d’adhésion automatique (Auto-Registration), dans les cas où elle est offerte, recevront automatiquement une Confirmation d’adhésion au Programme. Le terme de ce Programme (ci-après « Période de garantie ») est pour la période terminant à la date indiquée à la Confirmation d’adhésion au Programme. Le prix du Programme figure sur l’original de la facture du Programme. 1. Garantie de réparation a. Portée de la Garantie. Votre garantie couvrant les vices prend effet à la date d’expiration et de terminaison de votre garantie matérielle Apple pour le Produit couvert (« Période de la garantie de réparation »). Apple fournira les pièces et la main-d’œuvre, mais pourra vous demander de remplacer vous-même certaines pièces faciles à installer. Ce processus est décrit ci-dessous. Le produit de remplacement et les pièces de rechange fournis par Apple peuvent être fabriqués à partir de pièces neuves ou équivalentes à neuf du point de vue de rendement et fiabilité. Toute pièce de rechange ou produit de remplacement sera équivalent du point de vue fonctionnel à la pièce ou au produit remplacé, et demeurera couvert pour la Période de garantie restant à courir en vertu du Programme. Toute pièce ou produit remplacé devient la propriété 46 Français d’Apple. Apple vous recommande fortement d’enregistrer comme copie de sauvegarde des données et logiciels qui résident ou sont stockés dans le Produit couvert avant d’assurer la disponibilité du Produit couvert pour le service de réparation ou de remplacement. La portée de soutien qui vous sera fournie variera selon le Programme que vous achetez comme suit. (i) Pour l’APP, Apple couvre le Produit couvert et un écran de marque Apple, à condition qu’il ait été acheté et enregistré en même temps qu’un ordinateur Mac couvert. Une souris et un clavier de marque Apple sont également couverts, si ceux-ci font partie du Produit couvert (ou sont achetés avec un Mac mini). Une carte AirPort Extreme, des bornes d’accès AirPort Express ou AirPort Extreme et Time Capsule, une carte vidéo DVI/CAN de marque Apple ainsi que des modules de mémoire vive MacBook Air SuperDrive de marque Apple sont également couverts sous l’APP s’ils sont utilisés avec le Produit couvert et sont achetés à l’origine par vous jusqu’à deux (2) ans avant l’achat de votre Mac ou pendant le terme de l’APP. Si, au cours de la Période de la garantie de réparation, le Produit couvert ou un autre item couvert tel qu’indiqué ci-dessus, présente des vices de matériau ou de main-d’œuvre, Apple s’engage, à sa discrétion, à réparer ou à remplacer l’item couvert défectueux. Français 47 (ii) Pour l’APP pour iPod, Apple s’engage, à sa discrétion, à réparer ou à remplacer le Produit couvert affecté (a) si au cours de la Période de la garantie de réparation, le Produit couvert présente des vices de matériau ou de main-d’œuvre, ou (b) si au cours de la Période de la garantie,la capacité de la pile iPod couverte de maintenir une charge électrique a diminué de cinquante pour cent (50%) ou plus de ses caractéristiques originales après avoir été entièrement rechargé et le matériel iPod couvert joue de la musique quand toutes les options sont à leur état initial. (iii) Pour l’APP pour Apple Display ou l’APP pour Apple TV, Apple s’engage, à sa discrétion, à réparer ou à remplacer le Produit couvert affecté si au cours de la Période de la garantie de réparation, le Produit couvert présente des vices de matériau ou de main-d’œuvre. Une carte AirPort Extreme, des bornes d’accès AirPort Express ou AirPort Extreme Base Station et Time Capsule sont également couverts par l’APP pour Apple TV s’ils sont utilisés avec le Produit couvert et sont achetés à l’origine par vous jusqu’à deux (2) ans avant l’achat de votre Apple TV ou pendant le terme de votre APP pour Apple TV. 48 Français b. Exclusions. Ce Programme ne couvre pas: (i) l’installation, l’enlèvement ou le déplacement du Produit couvert; l’installation, l’enlèvement, le déplacement, la réparation ou l’entretien d’un produit non couvert (y compris les accessoires, périphériques ou autres dispositifs tels que les modems externes); ou les services électriques qui ne sont pas inhérents au Produit couvert; (ii) les dommages au Produit couvert attribuables à un accident, à un abus, à une négligence, à une mauvaise utilisation (notamment l’installation, la réparation ou l’entretien inappropriés réalisés par quelqu’un d’autre qu’Apple ou qu’un prestataire de services agréé Apple), la modification non autorisée, un environnement inadapté (notamment une température ou une humidité inadéquates), des contraintes ou des interférences physiques ou électriques inhabituelles, une variation ou surtension de l’alimentation électrique, la foudre, l’électricité statique, un incendie, un cas fortuit ou une autre cause étrangère; (iii) le Produit couvert dont le numéro de série a été modifié, dégradé ou supprimé; Français 49 (iv) des problèmes causés par un dispositif étranger au Produit couvert, y compris le matériel qui n’est pas de marque Apple, qu’il ait été ou non acquis au même moment que le Produit couvert; (v) le service nécessaire pour assurer la conformité avec la réglementation d’une agence ou d’un organisme gouvernemental, qui aurait été adoptée après la date de ce Programme; (vi) la mise à disposition d’un produit de remplacement au cours de la période de réparation du Produit couvert; (vii) le Produit couvert qui aurait été perdu ou volé. Ce Programme ne couvre que le Produit couvert qui est retourné à Apple dans son intégralité; (viii) les dommages esthétiques causés au Produit couvert (notamment, les égratignures, le bossellement et le bris des pièces en plastique des ports); (ix) les consommables comme les piles, sauf la pile iPod couverte sous l’APP pour iPod ou sauf si le défaut est survenu en raison d’un vice de matériau ou de main-d’œuvre; (x) l’entretien préventif du Produit couvert; (xi) les défauts résultant d’usure normale ou autrement du vieillissement normal du produit; ou 50 Français (xii) les dommages affectant ou perte des logiciels ou données qui résident ou sont stockés dans le Produit couvert. Dans le cadre de la prestation de services de réparation ou de remplacement, Apple emploiera tous ses efforts raisonnables pour réinstaller la configuration originale du logiciel du matériel couvert ainsi que les mises à jour ultérieures, mais ne fournira aucun service de reprise ou de transfert pour des logiciels ou données contenus dans le produit remplacé qui n’auraient pas été installés à l’origine sur le Produit couvert. LES CONTENUS DE VOTRE iPOD SERONT PERDUS ET LE SUPPORT DE STOCKAGE SERA REFORMATÉ DURANT LA PRESTATION DU SERVICE D’iPOD. Votre iPod ou un iPod de rechange vous sera retourné selon la configuration qui existait au moment de son achat, sous réserve des mises à jour applicables. Apple pourrait au titre du service, installer des mises à jour du logiciel de base (« iPod OS ») qui empêcheront l’iPod de revenir à une version précédente de l’iPod OS. Les applications de tiers installées sur l’iPod peuvent ne pas être compatibles ni fonctionner à la suite de la mise à jour de l’iPod OS. Vous êtes responsable de la réinstallation des autres programmes logiciels, données et mots de passe. La récupération et la réinstallation des programmes logiciels et données de l’utilisateur ne sont pas couvertes par le présent Programme.Français 51 c. Options offertes pour le service de réparation ou de remplacement. Apple pourra fournir la prestation des services en question moyennant l’une ou plusieurs des méthodes suivantes: (i) Service après-vente en magasin est offert pour la plupart des composants du Produit couvert. Vous devez remettre le Produit couvert défectueux à un magasin de détail appartenant à Apple ou à un prestataire de services agréé Apple qui offre un service après-vente en magasin. Les services de réparation ou de remplacement seront réalisés sur place ou dans un centre de réparation Apple auquel le magasin ou le prestataire de services aura fait parvenir le Produit couvert qui devrait être réparé. Vous devez récupérer le Produit promptement après avoir été avisé de sa réparation ou de son remplacement. (ii) Le service sur place est offert pour de nombreux ordinateurs personnels à condition que le Produit couvert soit situé dans un rayon de 50 milles ou de 80 kilomètres d’un prestataire de service sur place agréé situé aux États-Unis d’Amérique ou au Canada. Le service sur place n’est pas offert pour certaines pièces. Les pièces ne pouvant pas être réparées par le service sur place, peuvent être réparées dans le cadre du service de réparation par envoi de pièces à installer vous-même décrit ci-dessous. Apple enverra un technicien à l’endroit où se 52 Français trouve le Produit couvert aux fins de la prestation du service de réparation ou de remplacement. Soit le service sera réalisé sur place soit le technicien transportera le Produit couvert à un prestataire de services agrée Apple ou à un centre de réparation Apple pour fins de réparation. Si le Produit couvert est réparé chez un prestataire de services agrée Apple ou à un centre de réparation Apple, Apple fera le nécessaire pour que le Produit couvert soit transporté à vos locaux à la suite du service. Si le technicien n’est pas donné accès au Produit Couvert à l’heure convenue, tout service sur place additionnel pourrait être assujetti aux frais de service supplémentaires. (iii) Le service de réparation par envoi du matériel en panne par courrier est offert pour la plupart des Produits couverts. Lorsque Apple décide que votre Produit couvert peut être réparé moyennant ce service, Apple vous enverra des lettres de transport prépayées (et au cas où vous ne posséderiez plus l’emballage original, Apple peut vous faire parvenir un emballage) afin que vous expédiez le Produit couvert à l’un des centres de réparation Apple conformément à ses instructions. Lorsque la réparation est terminée, le centre de réparation Apple vous renvoie le Produit couvert. Apple paiera les frais d’expédition aller-retour à partir de l’endroit où est situé le Produit couvert à la condition que vous respectiez toutes les instructions fournies par Apple.Français 53 (iv) Le service de réparation par envoi de pièces à installer vous-même est offert pour un grand nombre de pièces du Produit couvert, afin que vous répariez votre propre produit. Lorsque les circonstances permettent ce service, la procédure suivante s’applique. (A) Le service de réparation par envoi de pièces à installer vous-même pour lequel Apple exige le retour des pièces remplacées. Apple peut exiger une autorisation de débit du compte de votre carte de crédit comme garantie du prix de détail de la pièce de rechange et des frais d’expédition applicables. Si vous n’êtes pas en mesure de fournir une telle autorisation, le service de réparation par envoi de pièces à installer vous-même peut vous être refusé, et Apple vous proposera d’autres solutions pour la réparation. Apple vous expédiera une pièce de rechange avec des instructions sur son installation et toute exigence relative au retour de la pièce remplacée. Si vous vous conformez aux instructions, Apple annulera l’autorisation de débit du compte de votre carte de crédit, de sorte que votre compte ne sera pas débité pour le prix de la pièce et les frais de transport aller-retour à partir de l’endroit où le Produit couvert est situé. Si vous omettez de retourner la pièce remplacée de la manière prescrite ou si vous retournez une pièce qui n’est pas 54 Français admissible au service, Apple facturera le compte de votre carte de crédit pour le montant autorisé. (B) Le service de réparation par envoi de pièces à installer vous-même pour lequel Apple n’exige pas le retour des pièces remplacées. Apple vous enverra gratuitement une pièce de rechange accompagnée des instructions pour l’installation et toute condition relative à la disposition de la pièce remplacée. (C) Apple n’est pas responsable du coût de la main-d’œuvre relié au service de réparation par envoi de pièces à installer vous-même. Si vous exigez une assistance supplémentaire, veuillez communiquer avec Apple au numéro de téléphone sans frais indiqué ci-dessous. Apple se réserve le droit de modifier à tout moment la méthode par laquelle Apple peut vous fournir le service de réparation ou de remplacement, et le droit de votre Produit couvert à bénéficier d’une méthode particulière de service, notamment le service sur place. Les méthodes de service seront limitées aux méthodes disponibles dans le pays où le service est demandé. Votre droit à bénéficier d’une méthode particulière de service, la disponibilité des pièces de rechange et le temps de réponse sont susceptibles de varier d’un pays à l’autre. Vous pourrez être responsable des frais de transport et de manutention si le service Français 55 ne peut pas être fourni dans le pays où le Produit couvert se trouve. Si vous réclamez un service dans un pays qui n’est pas le pays d’achat, vous devrez vous conformer à toutes les lois et à tous les règlements applicables en matière d’exportation, et vous assumerez tous les droits de douane, TVA, et autre taxes et frais connexes. Pour le service international, Apple peut réparer ou échanger des produits et des pièces défectueux par des produits et pièces comparables qui sont conformes aux normes locales. d. Obtention d’un service de réparation. Pour obtenir un service de réparation en vertu du présent Programme, veuillez visiter le site web d’Apple (www.apple.com/support ou www.apple.com/ca/fr/support) ou composer le numéro de téléphone sans frais indiqué ci-dessous. Les numéros de téléphone peuvent varier selon votre localisation. Lorsque vous accéderez au site web, suivez les instructions fournies par Apple. Si vous appelez le numéro de téléphone, un représentant du service d’assistance technique répondra, demandera votre Numéro de contrat du Programme ou le numéro de série du Produit couvert, vous conseillera et déterminera quel service est requis pour le Produit couvert. Tout service est sujet à l’approbation préalable d’Apple. L’endroit de service peut varier à cause de votre localisation. Conservez votre Confirmation d’adhésion au Programme ainsi que l’original de la facture 56 Français afférente au Produit couvert et à votre adhésion au Programme. Une preuve d’achat peut vous être demandée en cas de doute concernant la couverture de votre produit par le Programme. 2. Assistance technique a. Assistance technique par téléphone ou Internet. Votre admissibilité à l’assistance technique prend effet à la date d’expiration de l’assistance technique gratuite ou la date de commencement de votre Période de la garantie, selon la date la plus tardive, et termine à la fin de la Période de la garantie (« Période de la garantie technique »). Au cours de la Période de la garantie technique, Apple vous fournit une assistance technique par téléphone ainsi que des ressources Internet. Cette assistance peut comprendre l’assistance avec l’installation, le lancement, la configuration, le dépannage et la reprise (à l’exclusion de la reprise de données), y compris le stockage, la récupération et la gestion de fichiers; l’interprétation de messages d’erreur système; et la détermination de l’opportunité de réparer du matériel informatique. La portée de l’assistance technique qui vous sera fournie variera selon le Programme acheté comme suit. (i) Pour l’APP, Apple fournira une assistance technique pour le Produit couvert, le système d’exploitation Apple (ci-après « Mac OS ») et les applications grand public de marque Apple préinstallées avec le Produit couvert (ci-après les Français 57 « Logiciels grand public »). De plus, Apple fournira une assistance technique pour les questions d’administration de serveur ou de réseau par l’entremise de l’interface d’utilisateur graphique se trouvant sur le logiciel du système d’exploitation de serveur Apple (« Mac OS Server ») pré-installé sur un Mac. Apple fournira une assistance technique pour la dernière version disponible du Mac OS, du Mac OS Server et des Logiciels grand public et pour la principale version précédente. Pour les fins de cet article, « principale version » signifie une version importante du logiciel commercialisée par Apple portant un numéro de version de format comme « 1.0 » ou « 2.0 » mais qui n’est pas de version bêta ou préversion. (ii) Pour l’APP pour iPod, Apple fournira une assistance technique pour le Produit couvert, pour l’iPod OS et les logiciels pré-installés avec le Produit couvert (tous deux étant désignés comme les « Logiciels iPod »), et pour des questions de connectivité entre le Produit couvert et un ordinateur soutenu c.-à-d. un ordinateur qui satisfait aux spécifications de connectivité du Produit couvert et qui utilise un système d’exploitation soutenu par le Produit couvert. Apple fournira une assistance technique pour la dernière version des Logiciels iPod et pour la version principale précédente soutenue.58 Français (iii) Pour l’APP pour Apple Display, Apple fournira une assistance technique pour le Produit couvert et pour des questions de connectivité entre le Produit couvert et l’ordinateur soutenu, c.àd. un ordinateur qui satisfait aux spécifications de connectivité du Produit couvert et qui utilise un système d’exploitation soutenu par le Produit couvert. Apple fournira une assistance technique pour la dernière version du système d’exploitation pour lequel elle fournit d’assistance de connectivité d’après l’APP pour Apple Display et pour la version principale précédente soutenue (iv) Pour l’APP pour Apple TV, Apple fournira une assistance technique pour le Produit couvert, les logiciels pré-installés avec le Produit couvert (ci-après « Logiciels Apple TV ») et pour des questions de connectivité entre le Produit couvert, un ordinateur soutenu et un téléviseur soutenu. Apple fournira une assistance technique pour la dernière version des Logiciels Apple TV et pour la version principale précédente soutenue. Pour les fins de cet article, un « ordinateur soutenu » désigne un ordinateur qui satisfait aux spécifications de connectivité du Produit couvert et qui utilise un système d’exploitation soutenu par le Produit couvert, et un « téléviseur soutenu » désigne un téléviseur qui satisfait aux spécifications de connectivité du Produit couvert.Français 59 b. Exclusions. Le Programme ne couvre pas : (i) votre utilisation du système d’exploitation Mac OS et de Logiciels grand public comme des applications serveur; (ii) les problèmes pouvant être résolus par une mise à jour de logiciels avec la dernière version disponible; (iii) votre utilisation ou modification du Produit couvert, du système d’exploitation Mac OS, des Logiciels iPod, des Logiciels Apple TV ou des Logiciels grand public d’une manière pour laquelle le Produit couvert ou ces logiciels n’ont pas été conçus ou pour laquelle la modification n’était pas prévue; (iv) les produits de tierces parties ou leurs effets sur ou interactions avec le Produit couvert, le système d’exploitation Mac OS, le Mac OS Server, les Logiciels iPod, les Logiciels Apple TV ou les Logiciels grand public; (v) votre utilisation d’un ordinateur ou système d’exploitation sous l’APP pour iPod qui n’a aucun rapport avec les Logiciels iPod ou des questions de connectivité du Produit couvert; (vi) votre utilisation d’un ordinateur ou système d’exploitation sous l’APP pour Apple Display qui n’a aucun rapport avec des questions de connectivité du Produit couvert; 60 Français (vii) votre utilisation d’un ordinateur ou système d’exploitation sous l’APP pour Apple TV qui n’a aucun rapport avec les Logiciels Apple TV ou des questions de connectivité du Produit couvert; (viii) les logiciels Apple autres que le système d’exploitation Mac OS, le Mac OS Server, les Logiciels iPod et les Logiciels grand public d’après la couverture prévue au Programme applicable; (ix) le logiciel Mac OS pour serveur sauf l’utilisation de l’interface d’utilisateur graphique pré-installé sur un Mac OS Server en cas de questions sur l’administration de serveur ou de réseau; (x) le logiciel Mac OS ou tout autre logiciel de marque Apple de version « bêta », « préversion », « version préliminaire » ou de dénomination semblable; (xi) les navigateurs et applications de courrier électronique de tierces parties ainsi que les logiciels de fournisseurs de services Internet, ou les configurations de Mac OS nécessaires à leur utilisation; ou (xii) des dommages à ou perte des logiciels ou données qui résident ou sont stockés dans le Produit couvert. c. Obtention d’une assistance technique. Vous pouvez obtenir une assistance technique en composant le numéro de téléphone sans frais indiqué ci-dessous. Le représentant du service d’assistance Français 61 technique d’Apple vous offrira d’assistance technique. Les horaires de service Apple sont indiqués ci-dessous. Ces horaires peuvent être modifiés de temps en temps. Apple se réserve le droit de changer ces horaires de service et les numéros de téléphone à tout moment. Des ressources d’assistance en ligne sont offertes sur le site web d’Apple (www.apple.com/support ou www.apple.com/ca/fr/support). 3. Vos obligations Afin de recevoir la prestation de service prévue ou le soutien prévu au Programme, vous convenez de vous conformer aux exigences suivantes : a. fournir votre Numéro de contrat du Programme et le numéro de série du Produit couvert; b. fournir d’information sur les symptômes et les causes des problèmes inhérents au Produit couvert; c. répondre aux demandes d’information notamment, le numéro de série du Produit couvert, le modèle, la version du système d’exploitation et des logiciels installés, tout périphérique connecté au ou installé sur le Produit couvert, tout message d’erreur affiché, les démarches prises avant que le problème se produit sur Produit couvert et les mesures prises pour résoudre le problème; d. suivre les instructions que vous donne Apple, notamment ne pas renvoyer à Apple les produits et les accessoires pour lesquels 62 Français le service de réparation ou de remplacement n’est pas offert et l’emballage du Produit couvert conformément aux instructions sur son expédition; et e. mettre à jour des logiciels avec des versions actuelles commercialisées avant de demander la prestation du service de réparation ou de remplacement. 4. Limite de responsabilité DANS TOUTE LA MESURE PERMISE PAR LA LOI APPLICABLE, APPLE, SES EMPLOYÉS ET MANDATAIRES NE SAURAIENT EN AUCUN CAS ÊTRE TENUS RESPONSABLES ENVERS VOUS OU TOUT PROPRIÉTAIRE ULTÉRIEUR, DES DOMMAGES INDIRECTS OU ACCESSOIRES RÉSULTANT DES OBLIGATIONS QUI INCOMBENT À APPLE EN VERTU DU PRÉSENT PROGRAMME, Y COMPRIS, ENTRE AUTRES, LES COÛTS AFFÉRENTS À LA REPRISE, À LA REPROGRAMMATION OU À LA REPRODUCTION DE TOUT PROGRAMME OU DE TOUTE DONNÉE, OU À SON INCAPACITÉ À PRÉSERVER LA CONFIDENTIALITÉ DES DONNÉES, OU À LA PERTE D’AFFAIRES, DE PROFITS, DE PRODUITS OU D’ÉCONOMIES ANTICIPÉES. DANS TOUTE LA MESURE PERMISE PAR LA LOI APPLICABLE, LA LIMITE DE RESPONSABILITÉ D’APPLE ET DE SES EMPLOYÉS ET DE SON MANDATAIRE ENVERS VOUS ET TOUT PROPRIÉTAIRE ULTÉRIEUR, DÉCOULANT DU PROGRAMME, NE SAURAIT EXCÉDER LA SOMME ACQUITTÉE POUR BÉNÉFICIER DU PRÉSENT PROGRAMME. EN PARTICULIER, APPLE NE GARANTIT PAS QU’ELLE POURRA (i) RÉPARER Français 63 OU REMPLACER LE PRODUIT COUVERT SANS RISQUER DE PERDRE OU D’ENDOMMAGER LES LOGICIELS OU LES DONNÉES, NI (ii) PRÉSERVER LA CONFIDENTIALITÉ DES DONNÉES. POUR LES CONSOMMATEURS QUI BÉNÉFICIENT D’UNE LOI OU RÉGLEMENTATION SUR LA PROTECTION DES CONSOMMATEURS, LES AVANTAGES CONFÉRÉS PAR LE PRÉSENT PROGRAMME S’AJOUTENT À TOUS LES DROITS ET RECOURS PRÉVUS PAR CETTE LOI ET CES RÈGLEMENTS. DANS LA MESURE OÙ LA RESPONSABILITÉ DÉCOULANT DE CETTE LOI OU RÉGLEMENTATION SERAIT LIMITÉE, LA RESPONSABILITÉ D’APPLE EST LIMITÉE, À SON ENTIÈRE DISCRÉTION, AU REMPLACEMENT OU À LA RÉPARATION DU PRODUIT COUVERT OU À LA PRESTATION DE SERVICE. CERTAINS ÉTATS ET CERTAINES PROVINCES NE PERMETTENT PAS L’EXCLUSION OU LA LIMITATION DES DOMMAGES ACCESSOIRES AUQUEL CAS UNE PARTIE DES OU TOUTES LES LIMITATIONS CI-DESSUS PEUVENT NE PAS S’APPLIQUER. 5. Résiliation Vous pouvez résilier le présent Programme à tout moment, pour tout motif. Le cas échéant, veuillez contacter Apple en composant le numéro de téléphone indiqué ci-dessous, ou en faisant parvenir ou envoyant par télécopieur, un avis écrit indiquant votre Numéro de contrat du Programme à l’adresse suivante : AppleCare Administration, P.O. Box 149125, Austin, TX 787149125, U.S. (numéro de télécopieur 512-674-8125). Une photocopie de 64 Français votre preuve d’achat du Programme devrait accompagner votre avis. Sous réserve des dispositions de la loi locale, au cas où la résiliation serait effectuée dans les trente (30) jours de la date de votre adhésion au Programme, ou de celle de la réception des présentes modalités, selon la date la plus tardive, vous recevrez un remboursement complet, déduction faite de la valeur de tout service fourni dans le cadre du présent Programme. Au cas où la résiliation serait effectuée plus de trente (30) jours à partir de la réception du présent Programme, vous recevrez un remboursement au prorata du prix d’achat original du présent Programme, calculé en fonction du pourcentage de la durée de la Période de la garantie restant, déduction faite (a) de frais de résiliation de vingt-cinq dollars (25 $ US) ou de dix pourcent (10 %) du montant au prorata, selon le montant le moins élevé des deux, et (b) de la valeur de tout service qui vous a été fourni dans le cadre de ce Programme. Sous réserves des dispositions de la loi locale, Apple peut résilier le présent Programme si les pièces de rechange pour le Produit couvert ne sont plus disponibles moyennant un avis écrit de trente (30) jours. Si Apple résilie ce Programme, vous recevrez un remboursement au prorata de la durée du Programme restant à courir. 6. Cession du Programme Sujet aux limitations ci-dessous, vous ne pouvez faire qu’une seule cession permanente de tous vous droits en vertu du Programme Français 65 à une autre partie et ceci à condition que : (a) la preuve d’achat originale, le Certificat du Programme y compris les documents imprimés et ces modalités, fassent partie de la cession; (b) vous avisiez Apple en faisant parvenir ou envoyant par télécopieur ou courriel, un avis de transfert à Apple Inc., ATT: Agreement Administration, MS: 217AC, 2511 Laguna Blvd, Elk Grove, CA 95758, U.S., numéro de télécopieur 916-399-7337, ou agmts_transfer@apple.com, respectivement; (c) la partie qui reçoit le Programme lise et convienne d’accepter les modalités du Programme. Quand vous avisez Apple de la cession du Programme, vous devez fournir votre Numéro de contrat du Programme, les numéros de série du Produit couvert faisant l’objet de la cession, une preuve d’achat du Programme, ainsi que le nom, l’adresse, le numéro de téléphone et l’adresse électronique du nouveau propriétaire. 7. Dispositions générales a. Apple peut sous-traiter ou confier l’exécution de ses obligations à des tierces parties sans être pour autant déchargée de ses obligations à votre égard. b. Apple n’est pas responsable des manquements ou retards dans l’exécution de ses obligations conformément au présent Programme qui seraient attribuables à des événements qu’elle ne peut raisonnablement maîtriser. 66 Français c. Vous n’êtes pas tenu de réaliser un entretien préventif du Produit couvert afin de recevoir la prestation des services prévus par le présent Programme. d. Le présent Programme est offert et valable uniquement dans les cinquante états des États-Unis d’Amérique, le District of Columbia et au Canada. Le présent Programme n’est offert à aucune personne qui n’a pas atteint sa majorité. Le présent Programme n’est pas offert dans les juridictions dans lesquelles il serait interdit par la loi. e. En exécutant ses obligations, Apple peut, à son entière discrétion et uniquement à des fins d’analyse de la qualité de son service à la clientèle, enregistrer tout ou partie des communications téléphoniques entre vous et Apple. f. Vous convenez que toute information donnée ou divulguée à Apple dans le cadre de ce Programme n’est ni confidentielle ni propriétaire. En outre, vous acceptez qu’Apple collecte et traite des données en votre nom au moment de la prestation de service. Ainsi, Apple peut être amenée à transmettre des données vous appartenant à des sociétés affiliées ou à des fournisseurs de service situés dans des pays où les lois sur la protection des données offrent une protection moins étendue que dans votre pays de résidence, notamment en Australie, au Canada, dans Français 67 l’Union européenne, en Inde, au Japon, en République populaire de Chine ou aux Etats-Unis d’Amérique. g. Apple dispose de dispositifs de sécurité protégeant contre l’accès ou la divulgation non autorisé et la destruction illégale. Vous assumez la responsabilité des instructions que vous transmettez à Apple concernant le traitement des données et Apple s’efforcera de les respecter dans la mesure du raisonnable aux fins d’exécution du service de réparation et des obligations de soutien prévus par le présent Programme. Si vous ne consentez pas à ce qui vient d’être énoncé ou si vous avez des questions sur les conséquences d’un tel traitement de vos données, veuillez en aviser Apple en téléphonant aux numéros indiqués. h. Apple protégera vos renseignements personnels conformément à la politique sur la vie privée des clients d’Apple (Apple Customer Privacy Policy) affichée à l’adresse URL suivante : www.apple.com/legal/privacy ou www.apple.com/ca/fr/legal/privacy. Si vous souhaitez accéder à l’information vous concernant détenue par Apple, ou si vous voulez la modifier, veuillez accéder à l’adresse URL suivante : www.apple.com/contact/myinfo afin de mettre à jour vos coordonnées personnelles, ou communiquer avec Apple à l’adresse électronique suivante : privacy@apple.com. 68 Français i. Les modalités du présent Programme prévalent sur toute modalité contraire, supplémentaire ou autre de tout bon de commande ou autre document, et constituent l’intégralité de l’accord entre vous et Apple en ce qui concerne le Programme. j. Vos droits en vertu du Programme s’ajoutent à tout droit de garantie dont vous bénéficiez. Vous devez acheter et inscrire le Programme pendant la période de la garantie limitée un an Apple pour le Produit couvert. Apple n’est pas tenue de renouveler le présent Programme. Si Apple décide de renouveler le Programme, elle en déterminera le prix et les modalités. k. Aucun mécanisme informel de résolution des différends n’est prévu par le présent Programme. l. Pour les Programmes vendus aux États-Unis d’Amérique, « Apple » est AppleCare Service Company, Inc., une société incorporée en vertu des lois de l’Arizona ayant son bureau enregistré à a/s CT Corporation System, 2394, East Camelback Road, Phoenix, Arizona 85016, faisant affaires dans l’état du Texas comme Apple CSC, Inc. Les obligations découlant dudits Programmes sont garanties de pleine foi par AppleCare Service Company, Inc. Pour les Programmes vendus au Canada, « Apple » est Apple Canada Inc., 7495, Birchmount Road, Markham (Ontario) L3R 5G2 Canada. Apple Canada Inc. est le débiteur sur les plans juridique et financier pour les Programmes vendus au Canada. Français 69 m. Le gestionnaire des Programmes vendus aux États-Unis d’Amérique est Apple, Inc. (le Gestionnaire »), une société incorporée en vertu des lois de la Californie ayant son bureau enregistré à 1 Infinite Loop, Cupertino, California 95014. Le Gestionnaire est responsable du recouvrement et transfert à AppleCare Service Company, Inc. du prix d’achat du Programme et de la gestion des réclamations dans le cadre du Programme. n. Les lois de l’État de la Californie régissent les Programmes souscrits aux États-Unis d’Amérique, sauf dans les juridictions dans lesquelles il serait interdit par la loi. Les lois de la province de l’Ontario régissent les Programmes souscrits au Canada, sauf dans les juridictions dans lesquelles il serait interdit par la loi. Si les lois d’une juridiction dans laquelle le présent Programme est souscrit sont incompatibles avec les présentes modalités, y compris celui des juridictions de l’Arizona, de la Floride, de la Géorgie, du Nevada, de l’Oregon, du Vermont, de Washington ou du Wyoming, les lois de cette juridiction prévaudront. o. Les services d’assistance prévus par le présent Programme pourraient être disponibles uniquement en anglais et français. p. En cas de réclamation en vertu du présent Programme, aucun paiement de franchise n’est exigible. 70 Français q. Le Programme ne sera pas résilié à cause de conditions préexistantes dans le Produit couvert qui est admissible à la prestation de service du Programme. 8. Variantes en fonction des États. Les variantes en fonction des États prévaudront en cas d’incohérence avec l’une quelconque des dispositions du présent Programme : Résidents d’Alabama, de la Californie, de Hawaï, du Maryland, du Minnesota, du Missouri, du Nouveau-Mexique, de New York, du Nevada, de la Caroline du Sud, du Texas, de Washington et du Wyoming Si vous résiliez ce contrat conformément à l’article 5 des présentes modalités, et que nous faisons défaut de vous rembourser le prix d’achat dans les trente (30) jours pour les résidents de la Californie, de New York, du Missouri et de Washington et quarante-cinq (45) jours pour les résidents d’Alabama, de Hawaï, du Maryland, du Minnesota, du Nevada, de la Caroline du Sud, du Texas et du Wyoming, et soixante (60) jours pour les résidents du Nouveau-Mexique, nous nous engageons à vous verser une pénalité de 10 % par mois pour le montant impayé que nous vous devons. Le droit d’annuler et de recevoir cette pénalité ne s’applique qu’au propriétaire original du contrat et ne peut être aliéné ou cédé. Les obligations du fournisseur découlant du présent contrat de service sont garanties de pleine foi par le fournisseur, AppleCare Service Company, Inc.Français 71 Résidents de la Californie En cas de résiliation de votre part dans les trente (30) jours de la réception de votre Programme, vous recevrez un remboursement complet, déduction faite de la valeur de tout service fourni en vertu du présent Programme. Résidents du Colorado Avis : Ce Programme est régi par le Colorado Consumer Protection Act ou le Unfair Practices Act, Articles 1 et 2 du Titre 6, CRS. Résidents du Connecticut La date d’expiration du Programme sera automatiquement prolongée de la période pendant laquelle le matériel couvert se trouvera en la possession d’Apple pour être réparé. Règlement des différends : les différends peuvent être résolus par arbitrage. Les différends ou plaintes qui n’auraient pas été résolus doivent être consignés par écrit et acheminés par la poste, accompagnés d’une photocopie du présent Programme, au State of Connecticut, Insurance Dept., P.O. Box 816, Hartford, CT 06142-0846, Attn: Consumer Affairs. Résidents de la Floride Ce Programme et tout différend qui survient en vertu du Programme seront régit par les lois de l’état de Floride. Le tarif du contrat n’est pas sujet à une réglementation de Florida Office of Insurance Regulation 72 Français Résidents du Michigan Si l’exécution de ce contrat de service est interrompue suite à une grève ou un arrêt de travail à la place d’affaires de la société, la période effective de ce contrat de service sera prolongée de la période de grève ou d’arrêt de travail. Résidents du Nevada Résiliation : Aucun Programme en vigueur depuis au moins soixantedix (70) jours ne peut être résilié par le fournisseur avant l’expiration du terme convenu ou une année après la date effective d’entrée en vigueur du Programme, selon la première des deux, sauf pour les motifs suivants : a. défaut par le titulaire de payer une somme due; b. condamnation du titulaire à un crime qui aurait pour effet de faire augmenter la prestation de service requise; c. découverte d’une fraude ou d’une fausse déclaration importante par le titulaire afin de souscrire le Programme ou de présenter une réclamation de service en vertu du Programme; d. découverte d’un acte ou d’une omission par le titulaire, ou d’une violation par le titulaire d’une quelconque des modalités du Programme, qui a eu lieu après la date d’entrée en vigueur effective du Programme et qui aurait pour effet d’augmenter de manière substantielle et importante la prestation de service requise en vertu du présent Programme; Français 73 e. un changement important dans la nature ou l’étendue du service ou de la réparation requise qui serait survenu après la date d’entrée en vigueur effective du Programme et qui aurait pour effet d’augmenter le service ou la réparation requise de manière substantielle ou importante par rapport à ce qui avait été envisagé au moment où le Programme a été émis ou vendu. Motifs de résiliation; date effective de résiliation. Aucune résiliation d’un contrat de service ne peut prendre effet avant au moins quinze (15) jours après l’envoi par la poste de l’avis de résiliation au titulaire. Résiliation du contrat; remboursement du prix d’achat; frais de résiliation. (i) En cas de résiliation du présent Programme par Apple, Apple remboursera aux consommateurs du Nevada la portion du prix d’achat qui n’est pas acquise. Apple peut déduire tout solde en souffrance de votre compte, du montant du prix d’achat qui n’est pas acquise à la date de calcul de la somme à rembourser. Si Apple résilie un contrat conformément à NRS 690C.270, elle ne peut pas exiger des frais de résiliation. (ii) Sous réserve de ce qui serait autrement prévu dans cet article, un résident du Nevada qui est l’acheteur original de ce Programme, qui fait parvenir à Apple une demande par écrit de résilier le Programme conformément aux modalités 74 Français de celui-ci, recevra un remboursement de la portion du prix d’achat qui n’est pas acquise. (iii) Si vous demandez la résiliation de ce Programme, Apple peut exiger les frais de résiliation décrits au Programme, mais ne déduira pas la valeur de tout service. (iv) Lorsque Apple calcule le montant d’un remboursement conformément au paragraphe (ii), elle peut déduire de la portion du prix d’achat qui n’est pas acquise : (a) tout solde impayé du compte; et (b) tous frais de résiliation exigés en vertu de ce Programme. AppleCare Service Company, Inc. endosse le présent Programme de pleine foi vis-à-vis des résidents du Nevada. Résidents du Nouveau Hampshire Si vous n’obtenez pas réparation en vertu de ce contrat, vous pouvez communiquer avec le New Hampshire insurance department, par la poste au State Of New Hampshire Insurance Department, 21 South Fruit Street, Suite 14, Concord NH 03301, ou par téléphone via Consumer Assistance au 800-852-3416. Français 75 Résidents du Nouveau-Mexique Résiliation : Aucun Programme en vigueur depuis au moins soixantedix (70) jours ne peut être résilié par le fournisseur avant l’expiration du terme convenu ou une année après la date effective d’entrée en vigueur du Programme, selon la première des deux, sauf pour les motifs suivants : a. défaut par le titulaire de payer une somme due; b. condamnation du titulaire à un crime qui aurait pour effet de faire augmenter la prestation de service requise; c. découverte d’une fraude ou d’une fausse déclaration importante par le titulaire afin de souscrire le Programme ou de présenter une réclamation de service en vertu du Programme; d. découverte d’un acte ou d’une omission par le titulaire, ou d’une violation par le titulaire d’une quelconque des modalités du Programme, qui a eu lieu après la date d’entrée en vigueur effective du Programme et qui aurait pour effet d’augmenter de manière substantielle et importante la prestation de service requise en vertu du présent Programme; e. un changement important dans la nature ou l’étendue du service ou de la réparation requise qui serait survenu après la date d’entrée en vigueur effective du Programme et qui aurait 76 Français pour effet d’augmenter le service ou la réparation requise de manière substantielle ou importante par rapport à ce qui avait été envisagé au moment où le Programme a été émis ou vendu. Résidents de la Caroline du Nord L’achat de ce Programme n’est requis ni pour l’achat ni pour l’obtention de financement pour matériel informatique, sauf en cas de défaut de payer le prix d’achat du Programme, Apple ne résiliera pas le Programme. Résidents de l’Oregon Si vous n’obtenez pas réparation en vertu de ce contrat, vous pouvez communiquer avec le Oregon Department of Consumer and Business Services, par la poste au Department of Consumer and Business Services, 350 Winter Street NE, Salem, OR 97301, ou par téléphone via Consumer Advocacy au 888-877-4894. Résidents de la Caroline du Sud Toute plainte non résolue ou toute question relative à la réglementation du Programme, peuvent être adressée au South Carolina Department of Insurance, P.O. Box 100105, Columbia, South Carolina 29202-3105, Tel: 1-800-768-3467.Français 77 Résidents du Tennessee Ce Programme sera prolongé tel qui suit : (1) du nombre de jours pendant lesquels le consommateur n’est pas en mesure d’utiliser le produit parce qu’il se trouve en réparation; plus deux (2) jours ouvrables supplémentaires. Résidents du Texas Le fournisseur peut résilier le présent Programme sans avis préalable pour cause de non-paiement, d’assertion inexacte ou de violation substantielle d’une obligation par le détenteur concernant le Produit couvert ou son utilisation. Toute plainte non résolue ou toute question relative à la réglementation en matière contractuelle peut être adressée au TX Dept. of Licensing and Regulation, P.O. Box 12157, Austin, TX 78711, U.S. Résidents du Wisconsin CETTE GARANTIE EST SUJETTE À UNE RÉGLEMENTATION LIMITÉE DE L’OFFICE OF THE COMMISSIONER OF INSURANCE. Si vous résiliez le Programme dans les trente (30) jours de la date de l’achat de votre Programme ou de la réception des présentes modalités, selon la date la plus tardive, vous recevrez un remboursement complet. Si vous résiliez le Programme plus de trente (30) jours après votre réception du présent Programme, vous recevrez un remboursement au prorata du prix d’achat original du présent Programme, calculé en fonction du pourcentage de la durée de la 78 Français Période de la garantie restant, déduction faite de frais de résiliation de vingt-cinq dollars (25 $ US) ou de dix pourcent (10 %) du montant au prorata, selon le montant le moins élevé des deux. Aucun coût de service reçu ne sera déduit du remboursement. Apple ne résiliera pas ce Programme SAUF en cas de défaut de payer le prix d’achat du Programme. Si Apple résilie ce Programme, vous recevrez un remboursement au prorata de la durée du Programme restant à courir. Résidents du Wyoming Si Apple résilie le présent Programme, Apple vous expédiera un avis écrit de résiliation à votre dernière adresse connue contenue dans les dossiers de Apple au moins dix (10) jours avant la date effective d’annulation. L’avis écrit préalable contiendra la date effective de résiliation et les motifs de résiliation. Apple n’est pas obligé de fournir d’avis préalable en cas de résiliation pour cause de non-paiement du Programme, d’assertion inexacte matérielle par vous à Apple, de violation matérielle de vos obligations dans le cadre du Programme ou de violation matérielle de vos obligations concernant le Produit couvert ou son utilisation. Des conflits survenant dans le cadre de ce Programme peuvent être réglés selon le Wyoming Arbitration Act.Français 79 Numéros sans frais Aux E.U.: Au Canada: 800-APL-CARE (800-275-2273) 800-263-3394 Sept jours par semaine Sept jours par semaine De 8h00 à 20h00 De 9h00 à 21h00 heure du centre * heure de la côte est américaine* * Les numéros de téléphone et les horaires de service peuvent varier et sont sujets à des modifications. Vous trouverez l’information la plus récente sur nos représentants situés dans votre région ou dans le monde entier à www.apple.com/contact/phone_contacts.html. Les numéros sans frais ne sont pas disponibles dans tous les pays APP NA v5.3www.apple.com © 2010 Apple Inc. All rights reserved. Apple, the Apple logo, AirPort, AirPort Express, AirPort Extreme, Apple TV, IPod, Mac, MacBook, MacBook Air, Mac OS, Macintosh, SuperDrive, and Time Capsule are trademarks of Apple Inc., registered in the U.S. and other countries. AppleCare is a service mark of Apple Inc., registered in the U.S. and other countries. Other product and company names mentioned herein may be trademarks of their respective companies. Z034-5546-A Printed in XXXX Component AV Cable2 English Component AV Cable Use the Component AV Cable to connect your iPod, iPhone, or iPad to the component video and analog audio ports on your TV, home theater receiver, or stereo receiver. The Component AV Cable features a USB connector that you can plug into a power source, such as a computer or a USB Power Adapter. Before you begin connecting components, turn down the volume on iPod, iPhone, or iPad, and turn off the power to all your components. Remember to make all connections firmly to avoid humming and noise. Important:  Never force a connector into a port. If the connector and port don’t join with reasonable ease, they probably don’t match. Make sure the connector matches the port and is positioned correctly in relation to the port. To use the Component AV Cable to connect iPod, iPhone, or iPad to your TV or receiver: 1 Plug the red, green, and blue video connectors into the component video input (Y, Pb, and Pr) ports on your TV or receiver. 2 Plug the white and red audio connectors into the left and right analog audio input ports, respectively, on your TV or receiver. 3 Plug the iPod Dock Connector into your iPod, iPhone, iPad, or Universal Dock. 4 Plug the USB connector into a USB Power Adapter or your computer to keep your iPod, iPhone, or iPad charged. 5 Turn on iPod, iPhone, or iPad and your TV or receiver to start playing.English 3 Make sure you set iPod, iPhone, or iPad to send a video signal out to your TV or receiver. For more information, see the user guide for your device. Left audio (white) Television Video in (Y, Pb, Pr) Right audio (red) USB port Dock Connector USB connector iPod The ports on your TV or receiver may differ from the ports in the illustration. Note:  If your iPod doesn’t support video, you can use the Component AV Cable for audio output, syncing content, and charging.6 Français Câble composante AV Le câble composante AV permet de brancher votre iPod, iPhone ou iPad aux ports vidéo composante YUV et audio analogique de votre téléviseur, de votre récepteur home cinéma ou encore de votre récepteur stéréo. Ce câble est doté d’un connecteur USB à brancher sur une source d’alimentation électrique, par exemple un ordinateur ou un adaptateur secteur USB. Avant de brancher des composants, baissez le volume de l’iPod, iPhone ou iPad et éteignez tous vos composants. Assurez-vous que tous les branchements sont fermement en place pour éviter les effets de souffle et de parasites. Important :  ne forcez jamais en enfonçant un connecteur dans un port. S’ils ne s’accouplent pas facilement, il est probable qu’ils ne soient pas faits pour être branchés ensemble. Assurez-vous que le connecteur corresponde bien au port et qu’il soit mis dans le bon sens. Pour utiliser le câble composante AV pour brancher l’iPod, iPhone ou iPad à votre téléviseur ou votre récepteur : 1 Branchez les prises vidéo rouge, verte et bleue sur les ports d’entrée vidéo composante YUV (Y, Pb, et Pr) de votre téléviseur ou de votre récepteur. 2 Connectez les prises audio blanche et rouge sur les ports d’entrée audio analogique respectifs gauche et droit de votre téléviseur ou de votre récepteur. 3 Branchez le connecteur Dock sur votre iPod, iPhone, iPad ou votre socle Universal Dock. 4 Connectez la prise USB à un adaptateur secteur USB ou à votre ordinateur pour que votre iPod, iPhone ou iPad ne se décharge pas.Français 7 5 Allumez l’iPod, iPhone ou iPad et votre téléviseur ou votre récepteur pour lancer la lecture. Assurez-vous que votre iPod, iPhone ou iPad est configuré de façon à envoyer les signaux vidéo à votre téléviseur ou votre récepteur. Pour en savoir plus, consultez le manuel de l’utilisateur de votre appareil. Audio gauche (blanc) Télévision Entrée vidéo (Y, Pb, Pr) Audio droit (rouge) Port USB Connecteur Dock Connecteur USB iPod Il se peut que les ports de votre téléviseur ou votre récepteur diffèrent de ceux illustrés ici. Remarque :  si votre iPod ne prend pas en charge la vidéo, vous pouvez néanmoins vous servir du câble composante AV pour assurer la sortie audio, la synchronisation des données et la recharge de la batterie.8 Deutsch Component AV-Kabel Verwenden Sie das Component AV-Kabel, um Ihren iPod, Ihr iPhone oder iPad mit den Component-Video- und analogen Audioanschlüssen Ihres Fernsehgeräts bzw. Ihres Heimkino- oder Stereoempfängers zu verbinden. Das Component AV-Kabel besitzt einen USB-Stecker, den Sie mit einer Stromquelle wie Ihrem Computer oder dem mitgelieferten USB Power Adapter (Netzteil) verbinden können. Vor dem Anschließen von Komponenten sollten Sie die Lautstärke von iPod, iPhone oder iPad reduzieren und alle Komponenten ausschalten. Achten Sie darauf, alle Kabel fest anzuschließen, um Störgeräusche zu vermeiden. Wichtig:  Versuchen Sie niemals, einen Stecker gewaltsam mit einem Anschluss zu verbinden. Lässt sich der Stecker nicht problemlos mit dem Anschluss verbinden, passen Stecker und Anschluss vermutlich nicht zueinander. Vergewissern Sie sich, dass der Stecker zum Anschluss passt und dass Sie den Stecker korrekt mit dem Anschluss ausgerichtet haben. Gehen Sie wie folgt vor, um iPod, iPhone oder iPad mithilfe des Component AVKabels an Ihr Fernsehgerät oder Ihren Empfänger anzuschließen: 1 Schließen Sie den roten, grünen und blauen Videostecker an den Component-Videoeingängen (Y, Pb und Pr) Ihres Fernsehgeräts oder Empfängers an. 2 Schließen Sie den weißen und den roten Audiostecker an die linken und rechten analogen Audioeingänge Ihres Fernsehgeräts oder Empfängers an. 3 Schließen Sie den iPod Dock Connector-Stecker an iPod, iPhone, iPad oder das Universal Dock an. 4 Verbinden Sie den USB-Stecker mit Ihrem USB Power Adapter oder Computer, damit die Batterie von iPod, iPhone oder iPad aufgeladen bleibt.Deutsch 9 5 Schalten Sie den iPod, das iPhone oder iPad und das Fernsehgerät oder den Empfänger ein, um die Wiedergabe zu starten. Vergewissern Sie sich, dass Sie Ihren iPod, Ihr iPhone oder iPad zum Senden eines Videosignals an Ihr Fernsehgerät bzw. Ihren Empfänger konfiguriert haben. Weitere Informationen hierzu finden Sie im Benutzerhandbuch zu Ihrem Gerät. Audio links (weiß) Fernsehgerät Videoeingänge (Y, Pb, Pr) Audio rechts (rot) USBAnschluss Dock Connector-Stecker USBStecker iPod Möglicherweise sehen die Anschlüssen an Ihrem Fernsehgerät oder Empfänger anders als hier dargestellt aus. Hinweis:  Wenn Ihr iPod keine Videounterstützung bietet, können Sie das Component AV-Kabel für die Audioausgabe, das Synchronisieren von Inhalten und zum Laden der Batterie verwenden.10 Español Cable de AV por componentes Utilice el cable de AV por componentes para conectar el iPod, iPhone o iPad a los puertos de audio analógico y vídeo de su televisor, receptor de cine en casa o equipo estéreo. El cable de AV por componentes incorpora un conector USB que puede conectarse a una fuente de alimentación, como un ordenador o un adaptador de corriente USB. Antes de empezar a conectar componentes, desactive el sonido del iPod, iPhone o iPad y desconecte de la corriente todos los componentes. Recuerde acoplar bien todas las conexiones para evitar oír zumbidos y ruidos. Importante:  Nunca introduzca un conector en un puerto a la fuerza. Si el conector y el puerto no encajan con una facilidad razonable, probablemente es que no estén hechos el uno para el otro. Asegúrese de que el conector encaja con el puerto y de que lo ha colocado en la posición correcta. Para utilizar el cable de AV por componentes para conectar el iPod, iPhone o iPad al televisor o a un receptor: 1 Enchufe los conectores de vídeo rojo, verde y azul en los puertos de entrada de vídeo de componentes (Y, Pb y Pr) de su televisor o receptor. 2 Enchufe los conectores de audio blanco y rojo en los puertos de entrada de audio analógico izquierdo y derecho, respectivamente, de su televisor o receptor. 3 Enchufe el conector iPod Dock Connector al iPod, iPhone, iPad o a la base Universal Dock. 4 Enchufe el conector USB en un adaptador de corriente USB o en el ordenador para que el iPod, iPhone o iPad no se descargue.Español 11 5 Encienda el iPod, iPhone o iPad y el televisor o receptor para iniciar la reproducción. Asegúrese de configurar el iPod, iPhone o iPad para enviar señal de vídeo al televisor o receptor. Para más información, consulte el manual del usuario de su dispositivo. Audio izquierdo (blanco) Televisor Entrada de vídeo (Y, Pb, Pr) Audio derecho (rojo) Puerto USB Conector Dock Conector USB iPod Los puertos del televisor o receptor pueden diferir de los puertos de la ilustración. Nota:  Si su iPod no permite visualizar vídeos, puede utilizar el cable de AV por componentes para reproducir audio, sincronizar contenidos y cargar el iPod.12 Italiano Cavo AV component Utilizza il cavo AV component per collegare iPod, iPhone o iPad alle porte video a componenti e audio analogico della TV o del ricevitore dell’home theater o dello stereo. Il cavo AV component è dotato di un connettore USB che puoi collegare a una fonte di alimentazione, come un computer o un adattatore di corrente USB. Prima di collegare i componenti, abbassa al minimo il volume di iPod, iPhone o iPad ed elimina l’alimentazione da tutti i componenti. Ricordati di assicurarti che tutti i collegamenti siano saldi, per evitare ronzio e altro rumore. Importante:  non forzare mai un connettore in una porta. Se il connettore non entra con facilità nella porta, probabilmente non sono compatibili. Assicurati che lo spinotto del connettore sia adatto alla porta e che il connettore sia posizionato correttamente in relazione alla porta. Per utilizzare il cavo AV component per collegare iPod, iPhone o iPad alla TV o al ricevitore: 1 Collega i connettori video (rosso, verde e blu) alle porte di ingresso video a componenti (Y, Pb e Pr) della TV o del ricevitore. 2 Collega i connettori audio (bianco e rosso) alle porte di sinistra e di destra di ingresso audio analogico, rispettivamente, della TV o del ricevitore. 3 Collega iPod Dock Connector ad iPod, iPhone, iPad o al Dock universale. 4 Collega il connettore USB ad un alimentatore di corrente USB o al computer per mantenere carichi iPod, iPhone o iPad. 5 Accendi iPod, iPhone o iPad e la TV o il ricevitore per avviare la riproduzione.Italiano 13 Assicurati di aver impostato iPod, iPhone o iPad per inviare un segnale video in uscita alla TV o al ricevitore. Per ulteriori informazioni, consulta il manuale utente del dispositivo. Audio di sinistra (bianco) Televisione Ingresso video (Y, Pb, Pr) Audio di destra (rosso) Porta USB Connettore Dock Connettore USB iPod Le porte della TV o del ricevitore potrebbero essere diverse da quelle dell’illustrazione. Nota:  se iPod non supporta i video, puoi utilizzare il cavo AV component per l’uscita audio, per sincronizzare contenuti e per caricare il dispositivo.14 Regulatory Compliance Information FCC Compliance Statement This device complies with part 15 of the FCC rules. Operation is subject to the following two conditions: (1) This device may not cause harmful interference, and (2) this device must accept any interference received, including interference that may cause undesired operation. See instructions if interference to radio or television reception is suspected. L‘utilisation de ce dispositif est autorisée seulement aux conditions suivantes: (1) il ne doit pas produire de brouillage et (2) l’utilisateur du dispositif doit étre prêt à accepter tout brouillage radioélectrique reçu, même si ce brouillage est susceptible de compromettre le fonctionnement du dispositif. Radio and Television Interference The equipment described in this manual generates, uses, and can radiate radio-frequency energy. If it is not installed and used properly—that is, in strict accordance with Apple’s instructions—it may cause interference with radio and television reception. This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in Part 15 of FCC rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no guarantee that interference will not occur in a particular installation. You can determine whether your computer system is causing interference by turning it off. If the interference stops, it was probably caused by the computer or one of the peripheral devices. If your computer system does cause interference to radio or television reception, try to correct the interference by using one or more of the following measures: • Turn the television or radio antenna until the interference stops. • Move the computer to one side or the other of the television or radio. • Move the computer farther away from the television or radio. • Plug the computer into an outlet that is on a different circuit from the television or radio. (That is, make certain the computer and the television or radio are on circuits controlled by different circuit breakers or fuses.) If necessary, consult an Apple Authorized Service Provider or Apple. See the service and support information that came with your Apple product. Or, consult an experienced radio or television technician for additional suggestions. Important:  Changes or modifications to this product not authorized by Apple Inc. could void the FCC compliance and negate your authority to operate the product. This product was tested for FCC compliance under conditions that included the use of Apple peripheral devices and Apple shielded cables and connectors between system components. It is important that you use Apple peripheral devices and shielded cables and connectors between system components to reduce the possibility of causing interference to radios, television sets, and other electronic devices. You can obtain Apple peripheral devices and the proper shielded cables and connectors through an Appleauthorized dealer. For non-Apple peripheral devices, contact the manufacturer or dealer for assistance. Responsible party (contact for FCC matters only): Apple Inc. Corporate Compliance 1 Infinite Loop, MS 26-A Cupertino, CA 95014 Industry Canada Statements Complies with the Canadian ICES-003 Class B specifications. Cet appareil numérique de la classe B est conforme à la norme NMB-003 du Canada. This device complies with RSS 210 of Industry Canada. This Class B device meets all requirements of the Canadian interference-causing equipment regulations. Cet appareil numérique de la Class B respecte toutes les exigences du Règlement sur le matériel brouilleur du Canada. 15 European Compliance Statement This product complies with the requirements of European Directives 72/23/EEC, 89/336/EEC, and 1999/5/EC. Korea Class B Statement Taiwan Class B Statement Disposal and Recycling Information When this product reaches its end of life, please dispose of it according to your local environmental laws and guidelines. For information about Apple’s recycling programs, visit: www.apple.com/environment/recycling 2010 Türkiyewww.apple.com © 2010 Apple Inc. All rights reserved. Apple, the Apple logo, iPhone, and iPod are trademarks of Apple Inc., registered in the U.S. and other countries. iPad is a trademark of Apple Inc. ZM034-5766-A Printed in XXXX Brazil—Disposal Information Brasil:  Informações sobre eliminação e reciclagem O símbolo indica que este produto e/ou sua bateria não devem ser descartadas no lixo doméstico. Quando decidir descartar este produto e/ou sua bateria, faça-o de acordo com as leis e diretrizes ambientais locais. Para informações sobre o programa de reciclagem da Apple, pontos de coleta e telefone de informações, visite www.apple.com/br/environment. European Union—Disposal Information The symbol above means that according to local laws and regulations your product should be disposed of separately from household waste. When this product reaches its end of life, take it to a collection point designated by local authorities. Some collection points accept products for free. The separate collection and recycling of your product at the time of disposal will help conserve natural resources and ensure that it is recycled in a manner that protects human health and the environment. Union Européenne—informations sur l’élimination Le symbole ci-dessus signifie que vous devez vous débarasser de votre produit sans le mélanger avec les ordures ménagères, selon les normes et la législation de votre pays. Lorsque ce produit n’est plus utilisable, portez-le dans un centre de traitement des déchets agréé par les autorités locales. Certains centres acceptent les produits gratuitement. Le traitement et le recyclage séparé de votre produit lors de son élimination aideront à préserver les ressources naturelles et à protéger l’environnement et la santé des êtres humains. Europäische Union—Informationen zur Entsorgung Das Symbol oben bedeutet, dass dieses Produkt entsprechend den geltenden gesetzlichen Vorschriften und getrennt vom Hausmüll entsorgt werden muss. Geben Sie dieses Produkt zur Entsorgung bei einer offiziellen Sammelstelle ab. Bei einigen Sammelstellen können Produkte zur Entsorgung unentgeltlich abgegeben werden. Durch das separate Sammeln und Recycling werden die natürlichen Ressourcen geschont und es ist sichergestellt, dass beim Recycling des Produkts alle Bestimmungen zum Schutz von Gesundheit und Umwelt beachtet werden. Unione Europea—informazioni per l’eliminazione Questo simbolo significa che, in base alle leggi e alle norme locali, il prodotto dovrebbe essere eliminato separatamente dai rifiuti casalinghi. Quando il prodotto diventa inutilizzabile, portarlo nel punto di raccolta stabilito dalle autorità locali. Alcuni punti di raccolta accettano i prodotti gratuitamente. La raccolta separata e il riciclaggio del prodotto al momento dell’eliminazione aiutano a conservare le risorse naturali e assicurano che venga riciclato in maniera tale da salvaguardare la salute umana e l’ambiente. Europeiska unionen—uttjänta produkter Symbolen ovan betyder att produkten enligt lokala lagar och bestämmelser inte får kastas tillsammans med hushållsavfallet. När produkten har tjänat ut måste den tas till en återvinningsstation som utsetts av lokala myndigheter. Vissa återvinningsstationer tar kostnadsfritt hand om uttjänta produkter. Genom att låta den uttjänta produkten tas om hand för återvinning hjälper du till att spara naturresurser och skydda hälsa och miljö. Apple and the Environment Apple Inc. recognizes its responsibility to minimize the environmental impacts of its operations and products. More information is available on the web at: www.apple.com/environment iPhone et iPad en entreprise Scénarios de déploiement Mars 2012 Découvrez, grâce à ces scénarios de déploiement, comment l’iPhone et l’iPad s’intègrent en toute transparence dans les environnements d’entreprise. • Microsoft Exchange ActiveSync • Services standard • Réseaux privés virtuels (VPN) • Wi-Fi • Certificats numériques • Introduction à la sécurité • Gestion des appareils mobiles (MDM) • Apple ConfiguratorDéploiement de l’iPhone et de l’iPad Exchange ActiveSync L’iPhone et l’iPad peuvent communiquer directement avec votre serveur Microsoft Exchange via Microsoft Exchange ActiveSync (EAS), autorisant la transmission en mode « push » du courrier électronique, des calendriers, des contacts et des tâches. Exchange ActiveSync fournit également aux utilisateurs l’accès à la Liste d’adresses globale et aux administrateurs des capacités de mise en œuvre de politiques de code d’appareil et d’effacement à distance. iOS prend en charge l’authentification tant de base que par certificat pour Exchange ActiveSync. Si votre entreprise a actuellement Exchange ActiveSync activé, elle a déjà les services nécessaires en place pour prendre en charge l’iPhone et l’iPad — aucune configuration supplémentaire n’est requise. Si vous avez Exchange Server 2003, 2007 ou 2010 mais que votre société découvre Exchange ActiveSync, suivez les étapes ci-dessous. Configuration d’Exchange ActiveSync Présentation de la configuration du réseau • Assurez-vous que le port 443 est ouvert sur le coupe-feu. Si votre entreprise utilise Outlook Web Access, le port 443 est probablement déjà ouvert. • Vérifiez qu’un certificat de serveur est installé sur le serveur frontal et activez le protocole SSL pour le répertoire virtuel Exchange ActiveSync dans IIS. • Si un serveur Microsoft Internet Security and Acceleration (ISA) est utilisé, vérifiez qu’un certificat de serveur est installé et mettez à jour le serveur DNS public de manière à ce qu’il résolve les connexions entrantes. • Assurez-vous que le DNS de votre réseau renvoie une adresse unique routable en externe au serveur Exchange ActiveSync pour les clients intranet et Internet. C’est obligatoire afin que l’appareil puisse utiliser la même adresse IP pour communiquer avec le serveur lorsque les deux types de connexions sont actifs. • Si vous utilisez un serveur Microsoft ISA, créez un écouteur web ainsi qu’une règle de publication d’accès au client web Exchange. Consultez la documentation de Microsoft pour plus de détails. • Pour tous les coupe-feu et équipements réseau, définissez à 30 minutes le délai d’expiration de session. Pour en savoir plus sur les autres intervalles de pulsations et de délai d’attente, consultez la documentation Microsoft Exchange à l’adresse http:// technet.microsoft.com/en-us/library/cc182270.aspx. • Configurez les fonctionnalités, les stratégies et les réglages en matière de sécurité des appareils mobiles à l’aide d’Exchange System Manager. Pour Exchange Server 2007 et 2010, il faut utiliser la console de gestion Exchange. • Téléchargez et installez l’outil Microsoft Exchange ActiveSync Mobile Administration Web Tool, qui est nécessaire afin de lancer un effacement à distance. Pour Exchange Server 2007 et 2010, un effacement à distance peut aussi être lancé à l’aide d’Outlook Web Access ou de la console de gestion Exchange. Règles de sécurité Exchange ActiveSync prises en charge • Effacement à distance • Application d’un code sur l’appareil • Nombre minimum de caractères • Nombre maximum de tentatives (avant effacement local) • Exiger à la fois des chiffres et des lettres • Délai d’inactivité en minutes (de 1 à 60 minutes) Règles Exchange ActiveSync supplémentaires (pour Exchange 2007 et 2010 seulement) • Autoriser ou interdire les mots de passe simples • Expiration du mot de passe • Historique des mots de passe • Intervalle d’actualisation des règles • Nombre minimum de caractères complexes dans le mot de passe • Exiger la synchronisation manuelle pendant l’itinérance • Autoriser l’appareil photo • Autoriser la navigation web3 Authentification de base (nom d’utilisateur et mot de passe) • Activez Exchange ActiveSync pour certains utilisateurs ou groupes à l’aide du service Active Directory. Ces fonctionnalités sont activées par défaut sur tous les appareils mobiles au niveau organisationnel dans Exchange Server 2003, 2007 et 2010. Pour Exchange Server 2007 et 2010, voir l’option Configuration du destinataire dans la console de gestion Exchange. • Par défaut, Exchange ActiveSync est configuré pour l’authentification de base des utilisateurs. Il est recommandé d’activer le protocole SSL pour l’authentification de base afin que les références soient chiffrées lors de l’authentification. Authentification par certificat • Installez les services de certificats d’entreprise sur un contrôleur de domaine ou un serveur membre de votre domaine (celui-ci sera votre serveur d’autorité de certification). • Configurez IIS sur votre serveur frontal Exchange ou votre Serveur d’Accès Client afin d’accepter l’authentification par certificats pour le répertoire virtuel Exchange ActiveSync. • Pour autoriser ou exiger des certificats pour tous les utilisateurs, désactivez « Authentification de base » et sélectionnez « Accepter les certificats clients » ou « Exiger les certificats clients ». • Générez les certificats clients au moyen de votre serveur d’autorité de certification. Exportez la clé publique et configurez IIS de manière à utiliser cette clé. Exportez la clé privée et utilisez un Profil de configuration pour fournir cette clé à l’iPhone et à l’iPad. L’authentification par certificats peut uniquement être configurée à l’aide d’un Profil de configuration. Pour en savoir plus sur les services de certificats, reportez-vous aux ressources disponibles auprès de Microsoft. Autres services Exchange ActiveSync • Consultation de la liste d’adresses globale (GAL) • Acceptation et création d’invitations dans le calendrier • Synchronisation des tâches • Signalisation d’e-mails par des drapeaux • Synchronisation des repères Répondre et Transférer à l’aide d’Exchange Server 2010 • Recherche de courrier électronique sur Exchange Server 2007 et 2010 • Prise en charge de plusieurs comptes Exchange ActiveSync • Authentification par certificat • Envoi de courrier électronique en mode « push » vers des dossiers sélectionnés • AutodiscoverL’iPhone et l’iPad demandent l’accès aux services Exchange ActiveSync via le port 443 (HTTPS). (Il s’agit du même port utilisé pour Outlook Web Access et d’autres services web sécurisés. Dans de nombreux déploiements, ce port est donc déjà ouvert et configuré pour autoriser un trafic HTTPS avec chiffrement SSL.) ISA offre un accès au serveur frontal Exchange ou au serveur d’accès au client. ISA est configuré comme un proxy ou, dans de nombreux cas, comme un proxy inverse, pour acheminer le trafic vers le serveur Exchange. Le serveur Exchange identifie l’utilisateur entrant à l’aide du service Active Directory et du serveur de certificats (si vous utilisez une authentification par certificats). Si l’utilisateur saisit les informations d’identification correctes et a accès aux services Exchange ActiveSync, le serveur frontal établit une connexion à la boîte de réception correspondante sur le serveur principal (via le catalogue global Active Directory). La connexion Exchange ActiveSync est établie. Les mises à jour/modifications sont envoyées en mode push (« Over The Air » ou OTA) et les modifications effectuées sur iPhone et iPad sont répercutées sur le serveur Exchange. Les courriers électroniques envoyés sont également synchronisés avec le serveur Exchange via Exchange ActiveSync (étape 5). Pour acheminer le courrier électronique sortant vers des destinataires externes, celui-ci est généralement envoyé par le biais d’un serveur Bridgehead (ou Hub Transport) vers une passerelle Mail (ou Edge Transport) externe via SMTP. Selon la configuration de votre réseau, la passerelle Mail ou le serveur Edge Transport externe peut résider dans la zone démilitarisée ou à l’extérieur du coupe-feu. © 2012 Apple Inc. Tous droits réservés. Apple, le logo Apple, iPhone, iPad et Mac OS sont des marques d’Apple Inc., déposées aux États-Unis et dans d’autres pays. Les autres noms de produits et de sociétés mentionnés dans ce document peuvent être des marques de leurs sociétés respectives. Les caractéristiques des produits sont sujettes à modification sans préavis. Les informations contenues dans ce document sont fournies à titre indicatif uniquement ; Apple n’assume aucune responsabilité quant à leur utilisation. Mars 2012 Scénario de déploiement d’Exchange ActiveSync Cet exemple montre comment l’iPhone et l’iPad se connectent à un déploiement Microsoft Exchange Server 2003, 2007 ou 2010 standard. 4 Coupe-feu Coupe-feu Serveur proxy Internet Serveur frontal Exchange ou serveur d’accès au client Serveur de certificats Active Directory Clé privée (Certificat) Clé publique (Certificat) *Selon la configuration de votre réseau, le serveur Mail Gateway ou Edge Transport peut résider dans la zone démilitarisée (DMZ). Boîte à lettres ou serveur(s) principaux Exchange Serveur Mail Gateway ou Edge Transport* Profil de configuration Serveur Bridgehead ou Hub Transport 443 1 4 6 5 2 3 4 5 6 1 3 2Déploiement de l’iPhone et de l’iPad Services standard Grâce à sa prise en charge du protocole de messagerie IMAP, des services d’annuaire LDAP et des protocoles de calendriers CalDAV et de contacts CardDAV, iOS peut s’intégrer à la quasi-totalité des environnements standard de courrier électronique, calendriers et contacts. Si l’environnement réseau est configuré de manière à exiger l’authentification de l’utilisateur et SSL, l’iPhone et l’iPad offrent une approche hautement sécurisée de l’accès aux e-mails, calendriers, tâches et contacts de l’entreprise. Dans un déploiement type, l’iPhone et l’iPad établissent un accès direct aux serveurs de messagerie IMAP et SMTP afin de recevoir et d’envoyer les e-mails à distance (« OverThe-Air ») et ils peuvent également synchroniser sans fil les notes avec les serveurs IMAP. Les appareils iOS peuvent se connecter aux annuaires LDAPv3 de votre société, ce qui permet aux utilisateurs d’accéder aux contacts de l’entreprise dans les applications Mail, Contacts et Messages. La synchronisation avec votre serveur CalDAV permet aux utilisateurs de créer et d’accepter des invitations de calendrier, de recevoir des mises à jour de calendriers et de synchroniser des tâches avec l’app Rappels, le tout sans fil. Et la prise en charge de CardDAV permet à vos utilisateurs de synchroniser en permanence un ensemble de contacts avec votre serveur CardDAV à l’aide du format vCard. Tous les serveurs réseau peuvent se trouver au sein d’un sous-réseau de zone démilitarisée, derrière un coupe-feu d’entreprise, ou les deux. Avec SSL, iOS prend en charge le chiffrement 128 bits et les certificats racine X.509 publiés par les principales autorités de certification. Configuration réseau Votre administrateur informatique ou réseau devra suivre ces étapes essentielles pour permettre un accès direct aux services IMAP, LDAP, CalDAV et CardDAV à partir de l’iPhone et de l’iPad : • Ouvrez les ports appropriés sur le coupe-feu. Les ports sont souvent les suivants : 993 pour le courrier électronique IMAP, 587 pour le courrier électronique SMTP, 636 pour les services d’annuaire LDAP, 8443 pour les calendriers CalDAV et 8843 pour les contacts CardDAV. Il est également recommandé que la communication entre votre serveur proxy et vos serveurs principaux IMAP, LDAP, CalDAV et CardDAV soit configurée pour utiliser SSL et que les certificats numériques de vos serveurs réseau soient émis par une autorité de certification (AC) de confiance telle que VeriSign. Cette étape essentielle garantit que l’iPhone et l’iPad reconnaissent votre serveur proxy en tant qu’entité de confiance au sein de l’infrastructure de votre entreprise. • Pour le courrier SMTP sortant, les ports 587, 465 ou 25 doivent être ouverts pour permettre l’envoi du courrier électronique. iOS vérifie automatiquement le port 587, puis le port 465, et enfin le port 25. Le port 587 est le port le plus fiable et le plus sûr car il nécessite l’identification de l’utilisateur. Le port 25 ne nécessite pas d’identification et certains FAI le bloquent par défaut pour éviter le courrier indésirable. Ports communs • IMAP/SSL : 993 • SMTP/SSL : 587 • LDAP/SSL : 636 • CalDAV/SSL : 8443, 443 • CardDAV/SSL : 8843, 443 Solutions de messagerie IMAP ou POP iOS prend en charge les serveurs de messagerie compatibles avec les protocoles IMAP4 et POP3 sur une large gamme de systèmes d’exploitation, y compris Windows, UNIX, Linux et Mac OS X. Standards CalDAV et CardDAV iOS prend en charge les protocoles de calendrier CalDAV et de contacts CardDAV. Ces deux protocoles ont été standardisés par l’IETF. Pour en savoir plus, consultez le site du consortium CalConnect à l’adresse http://caldav.calconnect.org/ et http://carddav.calconnect.org/.Scénario de déploiement Cet exemple montre comment l’iPhone et l’iPad se connectent à un déploiement IMAP, LDAP, CalDAV et CardDAV classique. © 2012 Apple Inc. Tous droits réservés. Apple, le logo Apple, iPhone, iPad et Mac OS sont des marques d’Apple Inc., déposées aux États-Unis et dans d’autres pays. UNIX est une marque déposée de The Open Group. Les autres noms de produits et de sociétés mentionnés dans ce document appartiennent à leurs propriétaires respectifs. Les caractéristiques des produits sont sujettes à modification sans préavis. Les informations contenues dans ce document sont fournies à titre indicatif uniquement ; Apple n’assume aucune responsabilité quant à leur utilisation. Mars 2012 L’iPhone et l’iPad demandent l’accès aux services réseau sur les ports désignés. En fonction du service, les utilisateurs doivent s’authentifier soit sur le proxy inverse, soit directement auprès du serveur pour obtenir l’accès aux données de l’entreprise. Dans tous les cas, les connexions sont relayées par le proxy inverse, qui se comporte comme une passerelle sécurisée, en général derrière le coupe-feu Internet de l’entreprise. Une fois authentifiés, les utilisateurs peuvent accéder aux données de l’entreprise sur les serveurs principaux. L’iPhone et l’iPad offrent des services de consultation des annuaires LDAP, ce qui permet aux utilisateurs de rechercher des contacts et autres données de carnet d’adresses sur le serveur LDAP. Pour les calendriers CalDAV, les utilisateurs peuvent accéder aux calendriers et les mettre à jour. Les contacts CardDAV sont stockés sur le serveur et sont également accessibles en local sur iPhone et iPad. Les changements apportés aux champs dans les contacts CardDAV sont ensuite synchronisés avec le serveur CardDAV. Concernant les services de messagerie IMAP, les messages nouveaux et anciens peuvent être lus sur iPhone et iPad au travers de la connexion proxy avec le serveur de messagerie. Les e-mails sortants sont envoyés au serveur SMTP, des copies étant placées dans le dossier des messages envoyés de l’utilisateur. 1 2 3 4 5 6 Coupe-feu Coupe-feu Serveur proxy inverse Internet Mail Server Serveur d’annuaires LDAP 3 6 Serveur CalDAV Serveur CardDAV 2 4 5 1 636 (LDAP) 8843 (CardDAV) 993 (IMAP) 587 (SMTP) 8443 (CalDAV) 6Déploiement de l’iPhone et de l’iPad Réseaux privés virtuels (VPN) L’accès sécurisé aux réseaux d’entreprise privés est disponible sur iPhone et iPad via des protocoles de réseau privé virtuel (VPN) standard bien établis. Les utilisateurs peuvent facilement se connecter aux systèmes des entreprises via le client VPN intégré ou via des applications tierces de Juniper Networks, Cisco, SonicWALL, Check Point, Aruba Networks et F5 Networks. iOS prend immédiatement en charge les protocoles Cisco IPSec, L2TP sur IPSec et PPTP. Si votre organisation prend en charge l’un de ces protocoles, aucune configuration réseau ni application tierce n’est nécessaire pour connecter l’iPhone et l’iPad à votre VPN. En outre, iOS prend en charge les VPN SSL pour l’accès aux serveurs VPN SSL de Juniper Networks, Cisco, SonicWALL, Check Point, Aruba Networks et F5 Networks. Pour commencer, il suffit aux utilisateurs de se rendre sur l’App Store et de télécharger une application client VPN développée par l’une de ces sociétés. Comme pour d’autres protocoles VPN pris en charge par iOS, les VPN SSL peuvent être configurés manuellement sur l’appareil ou via un Profil de configuration. iOS prend en charge les technologies standard comme IPv6, les serveurs proxy et la tunnelisation partagée, offrant une riche expérience VPN pour la connexion aux réseaux d’entreprise. iOS est également compatible avec différents modes d’authentification comme le mot de passe, l’authentification à deux facteurs et les certificats numériques. Pour simplifier la connexion dans des environnements où l’authentification par certificats est utilisée, iOS intègre le VPN à la demande, qui lance de façon dynamique une session VPN lors de la connexion aux domaines spécifiés. Protocoles et modes d’authentification pris en charge VPN SSL Prend en charge l’authentification des utilisateurs par mot de passe, jeton à deux facteurs et certificat. IPSec Cisco Prend en charge l’authentification des utilisateurs par mot de passe, jeton à deux facteurs, et l’authentification des appareils par secret partagé et certificat. L2TP via IPSec Prend en charge l’authentification des utilisateurs par mot de passe MS-CHAP v2, jeton à deux facteurs et l’authentification des appareils par secret partagé. PPTP Prend en charge l’authentification des utilisateurs par mot de passe MS-CHAP v2 et jeton à deux facteurs.8 VPN à la demande Pour les configurations utilisant l’authentification par certificat, iOS est compatible avec le VPN à la demande. Le VPN à la demande peut établir automatiquement une connexion lors de l’accès à des domaines prédéfinis, ce qui procure aux utilisateurs une connectivité VPN totalement transparente. Cette fonctionnalité d’iOS ne nécessite pas de configuration supplémentaire du serveur. La configuration du VPN à la demande se déroule via un Profil de configuration ou peut être effectuée manuellement sur l’appareil. Les options de VPN à la demande sont les suivantes : Toujours Lance une connexion VPN pour toute adresse qui correspond au domaine spécifié. Jamais Ne lance pas de connexion VPN pour les adresses qui correspondent au domaine spécifié, mais si le VPN est déjà actif, il peut être utilisé. Établir si nécessaire Lance une connexion VPN pour les adresses qui correspondent au domaine spécifié seulement si une recherche DNS a échoué. Configuration VPN • iOS s’intègre avec de nombreux réseaux VPN existants et ne demande qu’une configuration minimale. La meilleure façon de préparer le déploiement consiste à vérifier si les protocoles VPN et les modes d’authentification utilisés par votre entreprise sont pris en charge par iOS. • Il est aussi recommandé de vérifier le chemin d’authentification jusqu’à votre serveur d’authentification pour vous assurer que les normes prises en charge par iOS sont activées au sein de votre implémentation. • Si vous comptez utiliser l’authentification par certificats, assurez-vous que votre infrastructure à clé publique est configurée de manière à prendre en charge les certificats d’appareil et d’utilisateur avec le processus de distribution de clés correspondant. • Si vous souhaitez configurer des réglages proxy propres à une URL, placez un fichier PAC sur un serveur web qui soit accessible avec les réglages VPN de base et assurezvous qu’il soit hébergé avec le type MIME application/x-ns-proxy-autoconfig. Configuration du proxy Pour toutes les configurations, vous pouvez aussi spécifier un proxy VPN. Pour configurer un seul proxy pour toutes les connexions, utilisez le paramètre Manuel et fournissez l’adresse, le port et l’authentification si nécessaire. Pour attribuer à l’appareil un fichier de configuration automatique du proxy à l’aide de PAC ou WPAD, utilisez le paramètre Auto. Pour PACS, spécifiez l’URL du fichier PACS. Pour WPAD, l’iPhone et l’iPad interrogeront les serveurs DHCP et DNS pour obtenir les bons réglages.9 1 2 3 4 5 Coupe-feu Coupe-feu Serveur/concentrateur VPN Internet public Réseau privé Authentification Certificat ou jeton Serveur proxy Serveur d’authentification VPN Génération du jeton ou authentification par certificat 1 4 3a 3b 2 5 Service d’annuaire © 2012 Apple Inc. Tous droits réservés. Apple, le logo Apple, iPhone, iPad et Mac OS sont des marques d’Apple Inc., déposées aux États-Unis et dans d’autres pays. App Store est une marque de service d’Apple Inc. Les autres noms de produits et de sociétés mentionnés dans ce document appartiennent à leurs propriétaires respectifs. Les caractéristiques des produits sont sujettes à modification sans préavis. Les informations contenues dans ce document sont fournies à titre indicatif uniquement ; Apple n’assume aucune responsabilité quant à leur utilisation. Mars 2012 Scénario de déploiement Cet exemple présente un déploiement standard avec un serveur/concentrateur VPN et avec un serveur d’authentification contrôlant l’accès aux services réseau de l’entreprise. L’iPhone et l’iPad demandent l’accès aux services réseau. Le serveur/concentrateur VPN reçoit la requête, puis la transmet au serveur d’authentification. Dans un environnement d’authentification à deux facteurs, le serveur d’authentification génère alors le jeton synchronisé en temps avec le serveur de clés. Si une méthode d’authentification par certificat est déployée, un certificat d’identité doit être distribué avant l’authentification. Si une méthode par mots de passe est déployée, la procédure d’authentification se poursuit avec la validation de l’utilisateur. Une fois l’utilisateur authentifié, le serveur d’authentification valide les stratégies d’utilisateur et de groupe. Une fois les stratégies d’utilisateur et de groupe validées, le serveur VPN autorise un accès chiffré par tunnel aux services réseau. Si un serveur proxy est utilisé, l’iPhone et l’iPad se connectent via le serveur proxy pour accéder aux informations en dehors du coupe-feu.Déploiement de l’iPhone et de l’iPad Wi-Fi Protocoles de sécurité sans fil • WEP • WPA Personal • WPA Enterprise • WPA2 Personal • WPA2 Enterprise Méthodes d’authentification 802.1x • EAP-TLS • EAP-TTLS • EAP-FAST • EAP-SIM • PEAPv0 (EAP-MS-CHAP v2) • PEAPv1 (EAP-GTC) • LEAP Dès la sortie de l’emballage, l’iPhone et l’iPad peuvent se connecter en toute sécurité aux réseaux Wi-Fi d’entreprise ou d’invités, ce qui permet de détecter rapidement et facilement les réseaux sans fil disponibles, où que vous soyez. iOS prend en charge les protocoles réseau sans fil standard comme le WPA2 Enterprise, garantissant une configuration rapide et un accès sécurisé aux réseaux sans fil d’entreprise. Le protocole WPA2 Enterprise utilise le chiffrement AES sur 128 bits, une méthode de chiffrement par blocs qui a fait ses preuves et qui garantit aux utilisateurs un haut degré de protection de leurs données. Avec la prise en charge du protocole 802.1x, iOS peut s’intégrer dans une grande variété d’environnements d’authentification RADIUS. Parmi les méthodes d’authentification sans fil 802.1x prises en charge par l’iPhone et l’iPad, figurent EAP-TLS, EAP-TTLS, EAP-FAST, EAP-SIM, PEAPv0, PEAPv1 et LEAP. Les utilisateurs peuvent régler l’iPhone et l’iPad pour se connecter automatiquement aux réseaux Wi-Fi disponibles. Les réseaux Wi-Fi qui nécessitent une identification ou d’autres informations peuvent être rapidement accessibles sans ouvrir une session de navigation distincte, à partir des réglages Wi-Fi ou au sein d’applications comme Mail. Et la connectivité Wi-Fi permanente à faible consommation permet aux applications d’utiliser les réseaux Wi-Fi pour envoyer des notifications en mode push. Pour faciliter la configuration et le déploiement, les réglages de réseau sans fil, de sécurité, de proxy et d’authentification peuvent être définis à l’aide de profils de configuration. Configuration du protocole WPA2 Enterprise • Vérifiez que les équipements réseau sont compatibles et sélectionnez un type d’authentification (type EAP) pris en charge par iOS. • Assurez-vous que 802.1x est activé sur le serveur d’authentification et, si nécessaire, installez un certificat de serveur et affectez des autorisations d’accès réseau aux utilisateurs et groupes. • Configurez des points d’accès sans fil pour l’authentification 802.1x et saisissez les informations correspondantes sur le serveur RADIUS. • Si vous comptez utiliser l’authentification par certificats, configurez votre infrastructure à clé publique de manière à prendre en charge les certificats d’appareil et d’utilisateur avec le processus de distribution de clés correspondant. • Vérifiez que le format des certificats est compatible avec le serveur d’authentification. iOS prend en charge PKCS#1 (.cer, .crt, .der) et PKCS#12. • Des informations complémentaires sur les protocoles réseau sans fil et sur le protocole Wi-Fi Protected Access (WPA) sont disponibles à l’adresse www.wi-fi.org.Scénario de déploiement WPA2 Enterprise/802.1X Cet exemple présente un déploiement sans fil sécurisé standard tirant parti de l’authentification RADIUS. L’iPhone et l’iPad demandent l’accès au réseau. La connexion est lancée soit en réponse à un utilisateur sélectionnant un réseau sans fil disponible, soit automatiquement après détection d’un réseau préalablement configuré. Lorsque le point d’accès reçoit la requête, celle-ci est transmise au serveur RADIUS pour authentification. Le serveur RADIUS identifie le compte utilisateur à l’aide du service d’annuaire. Une fois l’utilisateur identifié, le point d’accès ouvre l’accès réseau en fonction des stratégies et des autorisations définies par le serveur RADIUS. © 2012 Apple Inc. Tous droits réservés. Apple, le logo Apple, iPhone, iPad et Mac OS sont des marques d’Apple Inc., déposées aux États-Unis et dans d’autres pays. Les autres noms de produits et de sociétés mentionnés dans ce document peuvent être des marques de leurs sociétés respectives. Les caractéristiques des produits sont sujettes à modification sans préavis. Les informations contenues dans ce document sont fournies à titre indicatif uniquement ; Apple n’assume aucune responsabilité quant à leur utilisation. Mars 2012 11 1 2 3 4 Point d’accès sans fil avec prise en charge 802.1X Services d’annuaire Services réseau Serveur d’authentification avec prise en charge 802.1X (RADIUS) Certificat ou mot de passe basé sur le type EAP 1 2 3 4 Coupe-feuiOS prend en charge les certificats numériques, offrant aux utilisateurs d’entreprise un accès sécurisé et simplifié aux services d’entreprise. Un certificat numérique est composé d’une clé publique, d’informations sur l’utilisateur et de l’autorité de certification qui a émis le certificat. Les certificats numériques sont une forme d’identification qui permet une authentification simplifiée, l’intégrité des données et le chiffrement. Sur iPhone et iPad, les certificats peuvent être utilisés de différentes manières. La signature des données à l’aide d’un certificat numérique aide à garantir que les informations ne seront pas modifiées. Les certificats peuvent aussi être utilisés pour garantir l’identité de l’auteur ou « signataire ». En outre, ils peuvent être utilisés pour chiffrer les profils de configuration et les communications réseau afin de mieux protéger les informations confidentielles ou privées. Utilisation des certificats sur iOS Certificats numériques Les certificats numériques peuvent être utilisés pour l’authentification en toute sécurité des utilisateurs pour les services d’entreprise, sans nécessiter de noms d’utilisateurs, de mots de passe ni de jetons. Sous iOS, l’authentification par certificat est prise en charge pour gérer l’accès aux réseaux Microsoft Exchange ActiveSync, VPN et Wi-Fi. Services d’entreprise Intranet, Email, VPN, Wi-Fi Autorité de certification Service d’annuaire Demande d’authentification Certificats de serveur Les certificats numériques peuvent aussi être utilisés pour valider et chiffrer les communications réseau. La connexion aux sites web internes et externes est ainsi sécurisée. Le navigateur Safari peut vérifier la validité d’un certificat numérique X.509 et configurer une session sécurisée à l’aide d’un chiffrement AES sur 256 bits. Le navigateur s’assure ainsi que l’identité du site est légitime et que la communication avec le site web est chiffrée pour éviter toute interception de données personnelles ou confidentielles. Requête HTTPS Services réseau Autorité de certification Déploiement de l’iPhone et de l’iPad Certificats numériques Formats de certificats et d’identité pris en charge : • iOS prend en charge les certificats X.509 avec des clés RSA. • Les extensions de fichiers .cer, .crt, .der, .p12 et .pfx sont reconnues. Certificats racine Les appareils iOS incluent différents certificats racine préinstallés. Pour consulter la liste des racines système préinstallées, consultez l’article Assistance Apple à l’adresse http://support.apple. com/kb/HT4415?viewlocale=fr_FR. Si vous utilisez un certificat racine qui n’est pas préinstallé, comme un certificat racine auto-signé créé par votre entreprise, vous pouvez le diffuser à l’aide d’une des méthodes mentionnées à la section « Distribution et installation des certificats » de ce document.© 2012 Apple Inc. Tous droits réservés. Apple, le logo Apple, iPhone, iPad, Mac OS et Safari sont des marques d’Apple Inc., déposées aux États-Unis et dans d’autres pays. Les autres noms de produits et de sociétés mentionnés dans ce document peuvent être des marques de leurs sociétés respectives. Les caractéristiques des produits sont sujettes à modification sans préavis. Les informations contenues dans ce document sont fournies à titre indicatif uniquement ; Apple n’assume aucune responsabilité quant à leur utilisation. Mars 2012 Distribution et installation des certificats La distribution de certificats sur iPhone et iPad est très simple. À la réception d’un certificat, les utilisateurs touchent tout simplement l’écran pour en lire le contenu, puis le touchent à nouveau pour ajouter le certificat à leur appareil. Lorsqu’un certificat d’identité est installé, les utilisateurs sont invités à entrer le mot de passe correspondant. Si l’authenticité d’un certificat ne peut être vérifiée, un message d’avertissement sera présenté aux utilisateurs avant qu’il ne soit ajouté à leur appareil. Installation des certificats via les profils de configuration Si des profils de configuration sont utilisés pour distribuer les réglages destinés à des services d’entreprise comme Exchange, VPN ou Wi-Fi, les certificats peuvent être ajoutés au profil afin de simplifier le déploiement. Installation de certificats via Mail ou Safari Si un certificat est envoyé par e-mail, il apparaîtra sous forme de pièce jointe. Safari peut être utilisé pour télécharger des certificats à partir d’une page web. Vous pouvez héberger un certificat sur un site web sécurisé et fournir aux utilisateurs l’adresse URL où ils peuvent télécharger le certificat sur leurs appareils. Installation via le protocole SCEP (Simple Certificate Enrollment Protocol) Le protocole SCEP est conçu pour fournir un processus simplifié permettant de gérer la distribution des certificats pour des déploiements à grande échelle. Cela permet une inscription à distance (ou inscription en mode OTA) des certificats numériques sur iPhone et iPad, qui peuvent ensuite être utilisés pour l’authentification auprès de services d’entreprise, ainsi que l’inscription auprès d’un serveur de gestion des appareils mobiles. Pour en savoir plus sur le protocole SCEP et l’inscription à distance (en mode OTA), consultez la page www.apple.com/fr/iphone/business/resources. Suppression et révocation de certificats Pour supprimer manuellement un certificat qui a été installé, choisissez Réglages > Général > Profils. Si vous supprimez un certificat qui est nécessaire pour accéder à un compte ou à un réseau, l’appareil ne pourra plus se connecter à ces services. Pour supprimer des certificats à distance, un serveur de gestion des appareils mobiles (MDM) peut être utilisé. Ce serveur peut voir tous les certificats qui se trouvent sur un appareil et supprimer ceux qu’il a installés. En outre, le protocole OCSP (Online Certificate Status Protocol) est pris en charge pour vérifier l’état des certificats. Lorsqu’un certificat compatible OCSP est utilisé, iOS le valide afin de s’assurer qu’il n’a pas été révoqué avant d’accomplir la tâche demandée. 13Déploiement de l’iPhone et de l’iPad Introduction à la sécurité iOS, le système d’exploitation qui est au cœur de l’iPhone et de l’iPad, repose sur plusieurs niveaux de sécurité. Cela permet à l’iPhone et à l’iPad d’accéder en toute sécurité aux différents services d’entreprise et d’assurer la protection des données importantes. iOS assure un haut niveau de chiffrement des données transmises, applique des méthodes d’authentification éprouvées pour l’accès aux services d’entreprise et assure le chiffrement matériel de toutes les données stockées sur l’appareil. iOS offre également un haut niveau de protection grâce à l’utilisation de règles de code d’appareil, qui peuvent être appliquées et distribuées à distance. Et si un appareil tombe entre de mauvaises mains, les utilisateurs et les administrateurs informatiques peuvent lancer un effacement à distance pour supprimer toutes les informations confidentielles de l’appareil. Lors de l’évaluation de la sécurité d’iOS en vue de son utilisation en entreprise, il est utile de s’intéresser aux points suivants : • Sécurité de l’appareil : méthodes empêchant toute utilisation non autorisée de l’appareil • Sécurité des données : protection des données au repos (en cas de perte ou de vol) • Sécurité réseau : protocoles de réseau et chiffrement des données transmises • Sécurité des apps : plate-forme de base sécurisée d’iOS Ces capacités fonctionnent de concert pour offrir une plate-forme informatique mobile sécurisée. Sécurité de l’appareil L’établissement de règles strictes d’accès aux iPhone et iPad est essentiel pour assurer la protection des données d’entreprise. L’application de codes d’appareil, qui peuvent être configurés et appliqués à distance, constitue la ligne de front de la défense contre l’accès non autorisé. Les appareils iOS utilisent le code unique défini par chaque utilisateur afin de générer une clé de chiffrement sécurisée et ainsi protéger les e-mails et les données d’application sensibles sur l’appareil. iOS fournit en plus des méthodes sécurisées pour configurer l’appareil dans un environnement d’entreprise où des réglages, des règles et des restrictions spécifiques doivent être appliqués. Ces méthodes offrent un vaste choix d’options pour établir un niveau de protection standard pour les utilisateurs autorisés. Règles de code d’appareil Un code d’appareil empêche les utilisateurs non autorisés d’accéder aux données stockées sur l’appareil ou d’utiliser ce dernier. iOS propose un grand nombre de règles d’accès conçues pour répondre à vos besoins en matière de sécurité (délais d’expiration, niveau de sécurité et fréquence de changement du code d’accès, par exemple). Les règles suivantes sont prises en charge : • Exiger un code sur l’appareil • Accepter les valeurs simples • Exiger une valeur alphanumérique • Nombre minimum de caractères • Nombre minimum de caractères complexes • Durée de vie maximum du code • Délai avant verrouillage automatique • Historique des codes • Délai supplémentaire pour le verrouillage de l’appareil • Nombre maximum de tentatives Sécurité des appareils • Codes d’appareils forts • Expiration des codes d’appareil • Historique de réutilisation des codes • Nombre maximal de tentatives infructueuses • Application des codes à distance • Délai d’expiration progressif des codesApplication des règles Les règles décrites précédemment peuvent être configurées de différentes façons sur iPhone et iPad. Les règles peuvent être distribuées dans le cadre d’un profil de configuration à installer par les utilisateurs. Un profil peut être défini de sorte qu’un mot de passe d’administrateur soit obligatoire pour pouvoir le supprimer, ou vous pouvez définir le profil de façon à ce qu’il soit verrouillé sur l’appareil et qu’il soit impossible de le supprimer sans effacer complètement le contenu de l’appareil. Par ailleurs, les réglages des mots de passe peuvent être configurés à distance à l’aide de solutions de gestion des appareils mobiles (MDM) qui peuvent transmettre directement les règles à l’appareil. Cela permet d’appliquer et de mettre à jour les règles sans intervention de l’utilisateur. Néanmoins, si l’appareil est configuré pour accéder à un compte Microsoft Exchange, les règles Exchange ActiveSync sont « poussées » sur l’appareil via une connexion sans fil. N’oubliez pas que les règles disponibles varient en fonction de la version d’Exchange (2003, 2007 ou 2010). Consultez le document Exchange ActiveSync et les appareils iOS pour prendre connaissance de la liste des règles prises en charge en fonction de votre configuration. Configuration sécurisée des appareils Les profils de configuration sont des fichiers XML qui contiennent les règles de sécurité et les restrictions applicables à un appareil, les informations sur la configuration des réseaux VPN, les réglages Wi-Fi, les comptes de courrier électronique et de calendrier et les références d’authentification qui permettent à l’iPhone et à l’iPad de fonctionner avec les systèmes de votre entreprise. La possibilité d’établir des règles de code et de définir des réglages dans un profil de configuration garantit que les appareils utilisés dans votre entreprise sont configurés correctement et selon les normes de sécurité définies par votre organisation. Et comme les profils de configuration peuvent être à la fois chiffrés et verrouillés, il est impossible d’en supprimer, modifier ou partager les réglages. Les profils de configuration peuvent être à la fois signés et chiffrés. Signer un profil de configuration garantit que les réglages appliqués ne peuvent être modifiés. Le chiffrement d’un profil de configuration protège le contenu du profil et permet de lancer l’installation uniquement sur l’appareil pour lequel il a été créé. Les profils de configuration sont chiffrés à l’aide de CMS (Cryptographic Message Syntax, RFC 3852), prenant en charge 3DES et AES 128. La première fois que vous distribuez un profil de configuration chiffré, vous pouvez l’installer via USB à l’aide de l’Utilitaire de configuration ou sans fil via l’inscription à distance (en mode OTA). Par ailleurs, une autre distribution de profils de configuration chiffrés peut ensuite être effectuée par e-mail, sous forme de pièce jointe, hébergée sur un site web accessible à vos utilisateurs ou « poussée » vers l’appareil à l’aide de solutions MDM. Restrictions de l’appareil Les restrictions de l’appareil déterminent à quelles fonctionnalités vos utilisateurs peuvent accéder sur l’appareil. Généralement, il s’agit d’applications réseau telles que Safari, YouTube ou l’iTunes Store, mais les restrictions peuvent aussi servir à contrôler les fonctionnalités de l’appareil comme l’installation d’applications ou l’utilisation de la caméra, par exemple. Les restrictions vous permettent de configurer l’appareil en fonction de vos besoins, tout en permettant aux utilisateurs d’utiliser l’appareil de façon cohérente par rapport à vos pratiques professionnelles. Les restrictions peuvent être configurées manuellement sur chaque appareil, mises en œuvre via un profil de configuration ou établies à distance à l’aide de solutions MDM. En outre, comme les règles de code d’appareil, des restrictions concernant l’appareil photo ou la navigation sur le Web peuvent être appliquées à distance via Microsoft Exchange Server 2007 et 2010. En plus de définir les restrictions et les règles sur l’appareil, l’application de bureau iTunes peut être configurée et contrôlée par voie informatique. Cela consiste, par exemple, à désactiver l’accès aux contenus explicites, à définir à quels services réseau les utilisateurs peuvent accéder dans iTunes et à déterminer si de nouvelles mises à jour logicielles sont disponibles. Pour en savoir plus, consultez le document Déploiement d’iTunes pour les appareils iOS. Règles et restrictions configurables prises en charge : Fonctionnalité des appareils • Autoriser l’installation d’apps • Autoriser Siri • Autoriser Siri lorsque l’appareil est verrouillé • Autoriser l’utilisation de l’appareil photo • Autoriser FaceTime • Autoriser la capture d’écran • Permettre la synchronisation automatique en déplacement • Permettre la composition vocale de numéros • Autoriser les achats intégrés • Exiger le mot de passe iTunes Store pour les achats • Autoriser les jeux multijoueurs • Autoriser l’ajout d’amis dans Game Center Applications • Autoriser l’utilisation de YouTube • Autoriser l’utilisation de l’iTunes Store • Autoriser l’utilisation de Safari • Définir les préférences de sécurité de Safari iCloud • Autoriser la sauvegarde • Autoriser la synchronisation des documents et des valeurs clés • Autoriser Flux de photos Sécurité et confidentialité • Autoriser l’envoi à Apple des données de diagnostic • Autoriser l’utilisateur à accepter des certificats non fiables • Forcer les sauvegardes chiffrées Classement du contenu • Autoriser la musique et les podcasts à contenu explicite • Définir la région du classement • Définir les classements de contenus autorisés 15Sécurité des données La protection des données stockées sur iPhone et iPad est un facteur essentiel pour tous les environnements intégrant des données d’entreprise ou des informations client sensibles. En plus du chiffrement des données en transmission, l’iPhone et l’iPad assurent un chiffrement matériel de toutes les données stockées sur l’appareil et le chiffrement du courrier électronique et des données d’applications grâce à une protection améliorée des données. En cas de perte ou de vol d’un appareil, il est important de désactiver l’appareil et d’en effacer le contenu. Il est également conseillé de mettre en place une politique visant à effacer le contenu d’un appareil après un nombre défini de tentatives infructueuses de saisie du code : il s’agit là d’un puissant moyen de dissuasion contre les tentatives d’accès non autorisé à l’appareil. Chiffrement L’iPhone et l’iPad proposent le chiffrement matériel. Ce chiffrement matériel utilise l’encodage AES sur 256 bits pour protéger toutes les données stockées sur l’appareil. Cette fonction est toujours activée et ne peut pas être désactivée par les utilisateurs. De plus, les données sauvegardées dans iTunes sur l’ordinateur d’un utilisateur peuvent également être chiffrées. Ce chiffrement peut être activé par l’utilisateur ou mis en place à l’aide des réglages de restriction de l’appareil dans les profils de configuration. iOS prend en charge S/MIME dans Mail, ce qui permet à l’iPhone et à l’iPad de visualiser et d’envoyer des e-mails chiffrés. Les restrictions peuvent également servir à empêcher le déplacement d’e-mails d’un compte à l’autre ou le transfert de messages reçus dans un compte depuis un autre. Protection des données À partir des capacités de chiffrement matériel de l’iPhone et de l’iPad, la sécurité des e-mails et pièces jointes stockés sur l’appareil peut être renforcée par l’utilisation des fonctionnalités de protection des données intégrées à iOS. La protection des données associe le code unique de chaque appareil au chiffrement matériel de l’iPhone et de l’iPad pour générer une clé de chiffrement sécurisée. Cette clé empêche l’accès aux données lorsque l’appareil est verrouillé afin d’assurer la sécurité des données sensibles, même quand l’appareil tombe entre de mauvaises mains. Pour activer la protection des données, il vous suffit de définir un code de verrouillage sur l’appareil. L’efficacité de la protection des données dépend du code, il est donc important d’exiger et d’appliquer un code contenant plus de quatre chiffres lorsque vous établissez vos règles de codes en entreprise. Les utilisateurs peuvent vérifier que la protection des données est activée sur leur appareil en consultant l’écran des réglages de codes. Les solutions MDM peuvent aussi interroger l’appareil pour obtenir ces informations. Ces API de protection des données sont aussi disponibles pour les développeurs et peuvent être utilisées pour sécuriser les données des applications internes ou commerciales de l’entreprise. Effacement à distance iOS prend en charge l’effacement à distance. En cas de perte ou de vol d’un appareil, l’administrateur ou le propriétaire de l’appareil peut émettre une commande d’effacement à distance qui supprimera toutes les données et désactivera l’appareil. Si l’appareil est configuré avec un compte Exchange, l’administrateur peut initier une commande d’effacement à distance à l’aide de la console de gestion Exchange Management Console (Exchange Server 2007) ou de l’outil Exchange ActiveSync Mobile Administration Web Tool (Exchange Server 2003 ou 2007). Les utilisateurs d’Exchange Server 2007 peuvent aussi initier directement des commandes d’effacement à distance à l’aide d’Outlook Web Access. Les commandes d’effacement à distance peuvent aussi être lancées par les solutions MDM, même si les services d’entreprise Exchange ne sont pas en cours d’utilisation. Délai d’expiration progressif des codes L’iPhone et l’iPad peuvent être configurés pour initier automatiquement un effacement après plusieurs tentatives infructueuses de saisie du code d’appareil. Si un utilisateur saisit à plusieurs reprises un code erroné, iOS sera désactivé pendant des intervalles de plus en plus longs. Après plusieurs tentatives infructueuses, toutes les données et tous les réglages stockés sur l’appareil seront effacés. Sécurité des données • Chiffrement matériel • Protection des données • Effacement à distance • Effacement local • Profils de configuration chiffrés • Sauvegardes iTunes chiffrées 16Protocoles VPN • IPSec Cisco • L2TP/IPSec • PPTP • VPN SSL Méthodes d’authentification • Mot de passe (MSCHAPv2) • RSA SecurID • CRYPTOCard • Certificats numériques X.509 • Secret partagé Protocoles d’authentification 802.1x • EAP-TLS • EAP-TTLS • EAP-FAST • EAP-SIM • PEAP v0, v1 • LEAP Formats de certificats pris en charge iOS prend en charge les certificats X.509 avec des clés RSA. Les extensions de fichiers .cer, .crt et .der sont reconnues. Effacement local Il est également possible de configurer les appareils de manière à initier automatiquement un effacement local après plusieurs tentatives de saisie infructueuses du code. Ce système évite les tentatives d’accès en force à l’appareil. Lorsqu’un code est établi, les utilisateurs ont la possibilité d’activer l’effacement local directement à partir des réglages. Par défaut, iOS efface automatiquement le contenu de l’appareil après dix tentatives de saisie infructueuses. Comme avec les autres règles de code d’appareil, le nombre maximum de tentatives infructueuses peut être établi via un profil de configuration, défini par un serveur MDM ou appliqué à distance par l’intermédiaire de règles Microsoft Exchange ActiveSync. iCloud iCloud stocke la musique, les photos, les apps, les calendriers, les documents et plus encore, et les pousse automatiquement vers tous les appareils d’un utilisateur. Il sauvegarde également des informations, notamment les réglages des appareils, les données d’apps et les messages texte et MMS, chaque jour en Wi-Fi. iCloud sécurise vos contenus en les chiffrant lors de leur envoi sur Internet, en les stockant dans un format chiffré et en utilisant des jetons sécurisés pour l’authentification. Par ailleurs, les fonctionnalités d’iCloud telles que Flux de photos, Synchronisation de documents et Sauvegarde peuvent être désactivées à l’aide d’un Profil de configuration. Pour en savoir plus sur la sécurité et la confidentialité d’iCloud, consultez la page http:// support.apple.com/kb/HT4865?viewlocale=fr_FR. Sécurité réseau Les utilisateurs mobiles doivent pouvoir accéder aux réseaux d’information de leur entreprise partout dans le monde, mais il est aussi important de s’assurer que les utilisateurs disposent d’une autorisation et que leurs données sont protégées pendant la transmission. iOS fournit des technologies éprouvées afin d’atteindre ces objectifs de sécurité pour les connexions Wi-Fi et les connexions à un réseau cellulaire. En plus de votre infrastructure existante, chaque session FaceTime et échange iMessage est chiffré de bout en bout. iOS crée un identifiant unique pour chaque utilisateur, veillant ainsi à ce que les communications soient correctement chiffrées, acheminées et connectées. VPN De nombreux environnements d’entreprise intègrent une forme de réseau privé virtuel (VPN). Ces services réseau sécurisés sont déjà déployés et nécessitent généralement un minimum d’installation et de configuration pour fonctionner avec l’iPhone et l’iPad. iOS s’intègre immédiatement avec un large éventail de technologies de VPN courantes, grâce à sa prise en charge de Cisco IPSec, L2TP et PPTP. Il prend en charge les technologies de VPN SSL par le biais d’applications de Juniper Networks, Cisco, SonicWALL, Check Point, Aruba Networks et F5 Networks. La prise en charge de ces protocoles garantit un niveau de chiffrement optimal basé sur IP pour la transmission des informations sensibles. En plus d’assurer un accès sécurisé aux environnements VPN existants, iOS offre des méthodes éprouvées pour l’authentification des utilisateurs. L’authentification via des certificats numériques X.509 standard offre aux utilisateurs un accès simplifié aux ressources de la société et une alternative viable à l’utilisation de jetons matériels. Par ailleurs, l’authentification par certificat permet à iOS de tirer parti de la technologie VPN On Demand, pour un processus d’authentification VPN transparent, tout en fournissant un accès hautement sécurisé aux services réseau. Pour les environnements d’entreprise dans lesquels un jeton à deux facteurs est obligatoire, iOS s’intègre avec RSA SecurID et CRYPTOCard. iOS prend en charge la configuration du proxy réseau, ainsi que la tunnelisation IP partagée afin que le trafic vers des domaines réseau publics ou privés soit relayé en fonction des règles propres à votre entreprise. Sécurité réseau • Protocoles VPN Cisco IPSec, L2TP et PPTP intégrés • VPN SSL via les apps de l’App Store • SSL/TLS avec des certificats X.509 • WPA/WPA2 Enterprise avec authentification 802.1x • Authentification par certificat • RSA SecurID, CRYPTOCard 17SSL/TLS iOS prend en charge le protocole SSL v3, ainsi que Transport Layer Security (TLS v1.0, 1.1 et 1.2), la norme de sécurité de prochaine génération pour Internet. Safari, Calendrier, Mail et d’autres applications Internet démarrent automatiquement ces mécanismes afin d’activer un canal de communication chiffré entre iOS et les services de l’entreprise. WPA/WPA2 iOS prend en charge la norme WPA2 Enterprise pour fournir un accès authentifié au réseau sans fil de votre entreprise. WPA2 Enterprise utilise le chiffrement AES sur 128 bits, offrant aux utilisateurs un niveau optimal de garantie que leurs données seront protégées lorsqu’ils enverront et recevront des communications via une connexion Wi-Fi. Et avec la prise en charge de l’authentification 802.1x, l’iPhone et l’iPad peuvent s’intégrer dans une grande variété d’environnements d’authentification RADIUS. Sécurité des apps iOS est conçu pour une sécurité optimale. Il adopte une approche de « bac à sable » (sandboxing) pour la protection des applications au moment de l’exécution et exige une signature pour garantir qu’elles n’ont pas été falsifiées. iOS comprend aussi un cadre d’applications sécurisé qui facilite le stockage sécurisé des informations d’identification des applications et des services réseau dans un trousseau chiffré. Pour les développeurs, il offre une architecture cryptographique courante qui peut être utilisée pour chiffrer les magasins de données des applications. Protection à l’exécution Les applications sur l’appareil sont mises en « bac à sable » (sandboxed) pour qu’elles ne puissent pas accéder aux données stockées par d’autres applications. De plus, les fichiers système, les ressources et le noyau sont à l’abri de l’espace d’exécution des applications de l’utilisateur. Si une application doit accéder aux données depuis une autre application, elle ne peut le faire qu’en utilisant les API et les services fournis par iOS. La génération de codes est également impossible. Signature obligatoire du code Toutes les applications iOS doivent être signées. Les applications fournies avec l’appareil sont signées par Apple. Les applications tierces sont signées par leur développeur à l’aide d’un certificat délivré par Apple. Ce mécanisme permet d’assurer qu’elles n’ont pas été détournées ou altérées. En outre, des vérifications sont effectuées à l’exécution pour garantir que l’application n’a pas été invalidée depuis sa dernière utilisation. L’utilisation des applications personnalisées ou « maison » peut être contrôlée à l’aide d’un profil d’approvisionnement. Les utilisateurs doivent avoir installé le profil d’approvisionnement correspondant pour pouvoir exécuter l’application. Des profils d’approvisionnement peuvent être installés ou révoqués à distance à l’aide de solutions MDM. Les administrateurs peuvent également restreindre l’utilisation d’une application à des appareils spécifiques. Structure d’authentification sécurisée iOS fournit un trousseau chiffré sécurisé pour stocker les identités numériques, les noms d’utilisateur et les mots de passe. Les données du trousseau sont segmentées de sorte que les informations d’identification stockées par des applications tierces soient inaccessibles aux applications ayant une identité différente. Ce mécanisme permet de sécuriser les informations d’authentification sur iPhone et iPad sur un large éventail d’applications et de services au sein de l’entreprise. Sécurité des apps • Protection à l’exécution • Signature obligatoire du code • Services de trousseau • API de chiffrement courantes • Protection des données des applications 18© 2012 Apple Inc. Tous droits réservés. Apple, le logo Apple, FaceTime, iPad, iPhone, iTunes, Safari et Siri sont des marques d’Apple Inc., déposées aux États-Unis et dans d’autres pays. iMessage est une marque d’Apple Inc. iCloud et iTunes Store sont des marques de service d’Apple Inc., déposées aux États-Unis et dans d’autres pays. App Store est une marque de service d’Apple Inc. Les autres noms de produits et de sociétés mentionnés dans ce document appartiennent à leurs propriétaires respectifs. Les caractéristiques des produits sont sujettes à modification sans préavis. Mars 2012 Architecture cryptographique courante Les développeurs d’applications ont accès à des API de chiffrement qu’ils peuvent utiliser pour renforcer la protection de leurs données d’applications. Les données peuvent être chiffrées symétriquement à l’aide de méthodes éprouvées comme AES, RC4 ou 3DES. En outre, l’iPhone et l’iPad fournissent une accélération matérielle pour le chiffrement AES et le hachage SHA1, optimisant les performances des applications. Protection des données des applications Les applications peuvent également exploiter le chiffrement matériel intégré à l’iPhone et à l’iPad pour renforcer la protection de leurs données sensibles. Les développeurs peuvent désigner des fichiers spécifiques pour la protection des données, en demandant au système de chiffrer le contenu du fichier pour le rendre inaccessible à l’application et à tout intrus potentiel lorsque l’appareil est verrouillé. Apps gérées Un serveur MDM peut gérer des apps tierces de l’App Store, ainsi que les applications développées en interne par les entreprises. La désignation d’une app comme app gérée permet au serveur de préciser si l’app et ses données peuvent être supprimées de l’appareil par le serveur MDM. De plus, le serveur peut empêcher les données de l’app gérée d’être sauvegardées dans iTunes et iCloud. Cela permet aux équipes informatiques de gérer les apps susceptibles de contenir des informations métier sensibles de façon plus contrôlée que les apps téléchargées directement par l’utilisateur. Afin d’installer une app gérée, le serveur MDM envoie une commande d’installation à l’appareil. Les apps gérées nécessitent l’acceptation de l’utilisateur avant d’être installées. Pour en savoir plus sur les apps gérées, consultez le document d’introduction à la gestion des appareils mobiles, téléchargeable à l’adresse www.apple.com/fr/iphone/ business/integration/mdm. Des appareils révolutionnaires entièrement sécurisés L’iPhone et l’iPad fournissent une protection chiffrée des données en transit, au repos et lors de la sauvegarde sur iTunes ou iCloud. Que l’utilisateur accède aux e-mails d’entreprise, visite un site web privé ou s’identifie sur le réseau d’entreprise, iOS fournit la garantie que seuls les utilisateurs autorisés peuvent accéder aux informations d’entreprise sensibles. Et avec la prise en charge de fonctionnalités réseau professionnelles et de méthodes complètes pour éviter la perte de données, vous pouvez déployer les appareils iOS avec la garantie d’implanter un système éprouvé de sécurité des appareils mobiles et de protection des données. 19Déploiement de l’iPhone et de l’iPad Gestion des appareils mobiles (MDM) iOS prend en charge la gestion des appareils mobiles (MDM), offrant aux entreprises la possibilité de gérer des déploiements évolutifs d’iPhone et d’iPad dans l’ensemble de leurs organisations. Ces capacités de gestion des appareils mobiles sont fondées sur les technologies iOS existantes comme les profils de configuration, l’inscription à distance (en mode OTA) et le service de notification push Apple (Apple Push Notification service, APN). Elles peuvent être intégrées à des solutions serveur internes ou tierces. Les responsables informatiques peuvent déployer l’iPhone et l’iPad dans un environnement professionnel en toute sécurité, configurer et mettre à jour des réglages sans fil, vérifier la conformité de l’appareil avec les règles d’entreprise, et même effacer ou verrouiller à distance des appareils ainsi gérés. Gestion des iPhone et des iPad La gestion des appareils iOS se déroule via une connexion à un serveur MDM. Ce serveur peut être assemblé par le service informatique interne de l’entreprise, ou obtenu auprès d’un fournisseur tiers. L’appareil communique avec le serveur et recueille les tâches en attente, puis répond en effectuant les actions correspondantes. Il peut s’agir de la mise à jour de règles, de l’envoi d’informations sur l’appareil ou le réseau, ou de la suppression de réglages et de données. La plupart des fonctions de gestion sont réalisées en arrière-plan et ne nécessitent aucune interaction avec les utilisateurs. Par exemple, si le service informatique met à jour son infrastructure VPN, le serveur MDM peut configurer les iPhone et iPad avec de nouvelles informations de compte à distance. Lors de l’utilisation suivante du VPN par l’employé, la configuration requise est déjà présente sur l’appareil, ce qui évite un appel au service d’assistance ou la modification manuelle des réglages. Coupe-feu Service de notification Serveur MDM tiers Push d’AppleMDM et le service de notification push Apple (APN) Quand un serveur de gestion des appareils mobiles (MDM) veut communiquer avec un iPhone ou un iPad, une notification silencieuse est envoyée à l’appareil via le service de notification push Apple, lui demandant de se connecter au serveur. Le processus de notification de l’appareil n’échange aucune information propriétaire avec le service de notification push Apple. La seule tâche effectuée par la notification push consiste à réveiller l’appareil afin qu’il se connecte au serveur MDM. Toutes les informations de configuration, les réglages et les requêtes sont envoyés directement du serveur à l’appareil iOS par une connexion SSL/TLS chiffrée entre l’appareil et le serveur MDM. iOS gère toutes les requêtes et actions de MDM en arrière-plan afin d’en limiter l’impact pour l’utilisateur, y compris en termes d’autonomie, de performances et de fiabilité. Pour que le serveur de notifications push reconnaisse les commandes du serveur MDM, un certificat doit au préalable être installé sur le serveur. Ce certificat doit être demandé et téléchargé depuis le portail de certificats push Apple (Apple Push Certificates Portal). Une fois le certificat de notification push Apple téléchargé sur le serveur MDM, l’inscription des appareils peut débuter. Pour en savoir plus sur la demande d’un certificat de notification push Apple pour un serveur MDM, consultez la page www.apple.com/fr/iphone/business/integration/mdm. Configuration réseau pour le service APN Lorsque les serveurs MDM et les appareils iOS sont protégés par un coupe-feu, il est nécessaire de procéder à une configuration réseau pour permettre au service MDM de fonctionner correctement. Pour envoyer des notifications depuis un serveur MDM vers le service APN, le port TCP 2195 doit être ouvert. Pour bénéficier du service de feedback, le port TCP 2196 doit également être ouvert. Pour les appareils se connectant au service push en Wi-Fi, le port TCP 5223 doit être ouvert. La plage d’adresses IP utilisée pour le service push est susceptible de changer ; il est normalement prévu qu’un serveur MDM se connecte par nom d’hôte plutôt que par adresse IP. Le service push met en œuvre une stratégie d’équilibrage des charge qui fournit une adresse IP différente pour le même nom d’hôte. Ce nom d’hôte est gateway.push.apple.com (et gateway.sandbox.push.apple.com pour l’environnement de notification push de développement). Par ailleurs, l’ensemble du bloc d’adresses 17.0.0.0/8 est attribué à Apple afin d’établir des règles de coupe-feu spécifiant cette plage. Pour en savoir plus, adressez-vous à votre fournisseur de solutions MDM ou consultez la Developer Technical Note TN2265 de la bibliothèque de développement iOS à l’adresse http://developer.apple.com/library/ios/#technotes/tn2265/_index.html. Inscription Une fois le serveur MDM et le réseau configurés, la première étape de la gestion d’un iPhone ou d’un iPad consiste à inscrire celui-ci auprès d’un serveur MDM. Cela établit une relation entre l’appareil et le serveur qui permet de gérer l’appareil à la demande sans autre interaction avec l’utilisateur. Pour cela, l’iPhone ou l’iPad peuvent être connectés à un ordinateur via USB, mais la plupart des solutions fournissent le profil d’inscription sans fil. Certains fournisseurs de solutions MDM utilisent une app pour démarrer le processus, tandis que d’autres lancent l’inscription en dirigeant les utilisateurs vers un portail web. Chaque méthode a ses avantages, et l’une comme l’autre permettent de déclencher le processus d’inscription à distance via Safari. iOS et SCEP iOS prend en charge le protocole SCEP (Simple Certificate Enrollment Protocol). SCEP est un protocole d’enregistrement à l’état d’Internet draft selon les spécifications de l’IETF. Il a été conçu pour simplifier la distribution des certificats dans le cas de déploiements réalisés à grande échelle. Cette installation permet une inscription à distance des certificats d’identité destinés à l’iPhone et à l’iPad et servant de système d’identification aux services d’entreprise. 2122 Présentation du processus d’inscription Le processus d’inscription à distance (mode OTA) suppose des phases qui s’associent en un flux automatisé afin d’offrir le moyen le plus adaptable d’inscrire des appareils de façon sécurisée dans un environnement d’entreprise. Ces phases sont les suivantes : 1. L’authentification de l’utilisateur L’authentification de l’utilisateur garantit que les demandes d’inscription entrantes proviennent d’utilisateurs légitimes et que les informations de l’appareil de l’utilisateur sont capturées avant l’inscription par certificat. L’administrateur peut inviter l’utilisateur à initier la procédure d’inscription via un portail web, par e-mail, SMS ou même par le biais d’une app. 2. Inscription par certificat Une fois l’utilisateur authentifié, iOS génère une demande d’inscription par certificat à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol). Cette demande d’inscription communique directement avec l’autorité de certification (AC ou CA) de l’entreprise et permet à l’iPhone et à l’iPad de recevoir en retour le certificat d’identité émis par l’AC. 3. Configuration de l’appareil Une fois que le certificat d’identité est installé, l’appareil peut recevoir un profil de configuration chiffré à distance. Ces informations ne peuvent être installées que sur l’appareil auquel elles sont destinées et contiennent les réglages permettant de se connecter au serveur MDM. À la fin du processus d’inscription, l’utilisateur voit apparaître un écran d’installation qui décrit les droits d’accès que le serveur MDM possédera sur l’appareil. Lorsque l’utilisateur accepte l’installation du profil, son appareil est automatiquement inscrit, sans intervention supplémentaire. Une fois l’iPhone et l’iPad inscrits en tant qu’appareils gérés, ils peuvent être configurés de façon dynamique à l’aide de réglages, interrogés pour livrer des informations ou effacés à distance par le serveur MDM. Configuration Pour configurer un appareil à l’aide de comptes, de règles et de restrictions, le serveur MDM envoie à l’appareil des fichiers appelés Profils de configuration qui sont installés automatiquement. Les Profils de configuration sont des fichiers XML qui contiennent des réglages permettant à l’appareil d’interagir avec les systèmes de votre entreprise : informations de comptes, règles de codes, restrictions et autres réglages d’appareils. Lorsqu’on l’associe au processus d’inscription décrit précédemment, la configuration de l’appareil garantit au service informatique que seuls les utilisateurs de confiance peuvent accéder aux services de l’entreprise et que leurs appareils sont correctement configurés en fonction des règles établies. Et comme les profils de configuration peuvent être à la fois signés et chiffrés, les réglages ne peuvent être ni modifiés, ni partagés avec d’autres.Réglages configurables pris en charge Comptes • Exchange ActiveSync • E-mail IMAP/POP • Wi-Fi • VPN • LDAP • CardDAV • CalDAV • Calendriers avec abonnements Règles de code d’appareil • Exiger un code sur l’appareil • Autoriser une valeur simple • Exiger une valeur alphanumérique • Nombre minimum de caractères • Nombre minimum de caractères complexes • Durée de vie maximum du code • Délai avant verrouillage automatique • Historique des codes • Délai supplémentaire pour le verrouillage de l’appareil • Nombre maximum de tentatives Sécurité et confidentialité • Autoriser l’envoi à Apple des données de diagnostic • Autoriser l’utilisateur à accepter des certificats non fiables • Forcer les sauvegardes chiffrées Autres réglages • Références • Web Clips • Réglages SCEP • Réglages APN Fonctionnalité des appareils • Autoriser l’installation d’apps • Autoriser Siri • Autoriser Siri lorsque l’appareil est verrouillé • Autoriser l’utilisation de l’appareil photo • Autoriser FaceTime • Autoriser la capture d’écran • Permettre la synchronisation automatique en déplacement • Permettre la composition vocale de numéros • Autoriser les achats intégrés • Demander le mot de passe du Store pour tous les achats • Autoriser les jeux multijoueurs • Autoriser l’ajout d’amis dans Game Center Applications • Autoriser l’utilisation de YouTube • Autoriser l’utilisation de l’iTunes Store • Autoriser l’utilisation de Safari • Définir les préférences de sécurité de Safari iCloud • Autoriser la sauvegarde • Autoriser la synchronisation des documents et des valeurs clés • Autoriser Flux de photos Classement du contenu • Autoriser la musique et les podcasts à contenu explicite • Définir la région du classement • Définir les classements de contenus autorisés 23Interrogation des appareils Outre la configuration, un serveur MDM a la capacité d’interroger les appareils pour obtenir des informations diverses. Ces informations peuvent servir à s’assurer que les appareils continuent à respecter les politiques en vigueur. Requêtes prises en charge Informations sur les appareils • Identifiant unique de l’appareil (UDID) • Nom de l’appareil • iOS et version • Nom et numéro du modèle • Numéro de série • Capacité et espace disponible • Numéro IMEI • Firmware du modem • Niveau de la batterie Informations réseau • ICCID • Adresses MAC Bluetooth® et Wi-Fi • Réseau et opérateur actuel • Réseau de l’opérateur de l’abonné • Version des réglages de l’opérateur • Téléphone • Paramètre d’itinérance des données (activer/désactiver) Informations de conformité et de sécurité • Profils de configuration installés • Certificats installés avec des dates d’expiration • Recensement de toutes les restrictions en vigueur • Capacité de chiffrement matériel • Code d’appareil présent Applications • Applications installées (ID, nom, version, taille de l’app et volume des données de l’app) • Profils d’approvisionnement installés avec des dates d’expiration Gestion Grâce à la gestion des appareils mobiles, un certain nombre de fonctions peuvent être effectuées par un serveur MDM sur des appareils iOS. Parmi ces tâches, figurent l’installation et la suppression de profils de configuration et d’approvisionnement, la gestion des apps, la rupture de la relation MDM et l’effacement à distance d’un appareil. Réglages gérés Au cours du processus initial de configuration d’un appareil, un serveur MDM pousse vers l’iPhone ou l’iPad des profils de configuration, qui sont installés en arrière-plan. Au fil du temps, il peut être nécessaire d’actualiser ou de modifier les réglages et les règles mis en place au moment de l’inscription. Pour effectuer ces changements, un serveur MDM peut à tout moment installer de nouveaux profils de configuration et modifier ou supprimer les profils existants. De même, il peut être nécessaire d’installer sur des appareils iOS des configurations spécifiques à un contexte particulier, selon la localisation d’un utilisateur ou son rôle au sein de l’organisation. Par exemple, si un utilisateur voyage à l’étranger, un serveur MDM peut exiger que ses comptes de courrier électronique se synchronisent manuellement plutôt qu’automatiquement. Un serveur MDM peut même désactiver à distance des services voix ou données afin d’éviter à un utilisateur des frais d’itinérance imposés par un opérateur. Apps gérées Un serveur MDM peut gérer des apps tierces de l’App Store ainsi que des applications développées en interne par les entreprises. Le serveur peut supprimer à la demande des apps gérées et les données qui leur sont associées ou préciser si les apps doivent être supprimées lors de la suppression du profil MDM. De plus, le serveur MDM peut empêcher la sauvegarde sur iTunes et iCloud des données de l’app gérée. 2425 Pour installer une app gérée, le serveur MDM envoie une commande d’installation sur l’appareil de l’utilisateur. Les apps gérées nécessitent l’acceptation de l’utilisateur avant d’être installées. Lorsqu’un serveur MDM demande l’installation d’une app gérée de l’App Store, l’app est acquise à l’aide du compte iTunes utilisé au moment de l’installation de l’app. Pour les apps payantes, le serveur MDM devra envoyer un code d’utilisation du Programme d’achats en volume (VPP, Volume Purchasing Program). Pour en savoir plus sur le programme VPP, consultez la page www.apple. com/business/vpp/. Les apps de l’App Store ne peuvent pas être installées sur l’appareil d’un utilisateur si l’App Store a été désactivé. Suppression ou effacement d’appareils Si un appareil ne respecte pas les règles, est perdu ou volé, ou si un employé quitte la société, un serveur MDM dispose d’un certain nombre de moyens pour protéger les informations d’entreprise que contient cet appareil. Un administrateur informatique peut mettre fin à la relation MDM avec un appareil en supprimant le profil de configuration contenant les informations relatives au serveur MDM. Ainsi, tous les comptes, réglages et apps qu’il avait la charge d’installer sont supprimés. Le service informatique peut également laisser le profil de configuration MDM en place et n’utiliser le serveur MDM que pour supprimer des profils de configuration et des profils d’approvisionnement spécifiques ainsi que les apps gérées qu’il souhaite supprimer. Cette approche maintient la gestion de l’appareil par le serveur MDM et évite d’avoir à le réinscrire dès qu’il respecte à nouveau les règles. Les deux méthodes donnent au service informatique la capacité de s’assurer que les informations ne sont disponibles qu’aux utilisateurs et aux appareils respectant les règles, et de veiller à ce que les données d’entreprise soient supprimées sans interférer avec les données personnelles d’un utilisateur, comme la musique, les photos ou des apps personnelles. Pour supprimer de façon définitive tous les contenus multimédias et les données de l’appareil et en restaurer les réglages d’origine, le serveur MDM peut effacer à distance un iPhone ou un iPad. Si l’utilisateur est toujours à la recherche de son appareil, le service informatique peut également décider d’envoyer à cet appareil une commande de verrouillage à distance. Cela a pour effet de verrouiller l’écran et d’exiger le code de sécurité de l’utilisateur pour le déverrouiller. Si un utilisateur a tout simplement oublié son code de sécurité, un serveur MDM peut le supprimer de l’appareil et inviter l’utilisateur à en définir un nouveau dans un délai de 60 minutes. Commandes de gestion prises en charge Réglages gérés • Installation du profil de configuration • Suppression du profil de configuration • Itinérance du service données • Itinérance du service voix (non disponible chez certains opérateurs) Apps gérées • Installation d’apps gérées • Suppression d’apps gérées • Recensement de toutes les apps gérées • Installation de profil d’approvisionnement • Suppression de profil d’approvisionnement Commandes de sécurité • Effacement à distance • Verrouillage à distance • Effacement de codes de verrouillageCoupe-feu Service de notification Serveur MDM tiers Push d’Apple 1 2 4 3 5 © 2012 Apple Inc. Tous droits réservés. Apple, le logo Apple, FaceTime, iPad, iPhone, iTunes, Safari et Siri sont des marques d’Apple Inc., déposées aux États-Unis et dans d’autres pays. iCloud et iTunes Store sont des marques de service d’Apple Inc., déposées aux États-Unis et dans d’autres pays. App Store est une marque de service d’Apple, Inc. Le terme et les logos Bluetooth® sont des marques déposées détenues par Bluetooth SIG, Inc. et utilisées sous licence par Apple. Les autres noms de produits et de sociétés mentionnés sont des marques de leurs sociétés respectives. Les caractéristiques des produits sont sujettes à modification sans préavis. Mars 2012 1 2 3 4 5 Présentation du processus Cet exemple illustre le déploiement élémentaire d’un serveur de gestion d’appareils mobiles (MDM). Un Profil de configuration contenant des informations relatives au serveur de gestion des appareils mobiles est envoyé à l’appareil. L’utilisateur voit apparaître les informations sur les éléments qui seront gérés et/ou demandés par le serveur. L’utilisateur installe le profil pour accepter (« opt-in ») la gestion de l’appareil. L’inscription de l’appareil se fait pendant l’installation du profil. Le serveur valide l’appareil et autorise l’accès. Le serveur envoie une notification « push » invitant l’appareil à s’identifier pour les tâches ou requêtes demandées. L’appareil se connecte directement au serveur via HTTPS. Le serveur envoie les informations concernant les commandes ou les requêtes. Pour en savoir plus sur la gestion des appareils mobiles, consultez la page www.apple.com/fr/iphone/business/integration/mdm. 26Déploiement de l’iPhone et de l’iPad Apple Configurator Les appareils iOS peuvent être configurés pour un déploiement en entreprise à l’aide d’un large éventail d’outils et de méthodes. L’utilisateur final peut configurer les appareils manuellement en suivant quelques instructions simples fournies par le service informatique ; la configuration des appareils peut aussi être automatisée au moyen de profils de configuration ou d’un serveur de gestion des appareils mobiles (MDM) tiers. Dans le cadre de certains déploiements, le service informatique souhaitera parfois configurer de nombreux appareils en leur appliquant les mêmes réglages et apps, avant de les distribuer aux utilisateurs. C’est souvent le cas lorsqu’un même appareil doit être utilisé par différents utilisateurs au cours de la journée. D’autres déploiements exigent quant à eux une gestion étroite des appareils et la réinitialisation d’une configuration particulière à intervalles réguliers. Apple Configurator pour OS X Lion simplifie la configuration et le déploiement en masse des iPhone et des iPad dans de telles situations grâce à trois options simples : Préparer les appareils. Vous pouvez Préparer un jeu de nouveaux appareils iOS à partir d’une même configuration centralisée, avant de les déployer auprès des utilisateurs. Installez la dernière version d’iOS, installez des profils de configuration et des apps, inscrivez les appareils auprès du serveur MDM de votre organisation, puis distribuez les appareils. La préparation des appareils est une excellente option de déploiement si votre organisation souhaite fournir des appareils iOS aux employés pour une utilisation au quotidien. Superviser les appareils. Une autre option consiste à Superviser un ensemble d’appareils iOS qui restent sous votre contrôle direct et peuvent être configurés de manière continue. Vous appliquez une configuration à chaque appareil, puis l’appliquez à nouveau automatiquement après chaque utilisation en reconnectant tout simplement l’appareil à Apple Configurator. La supervision est idéale pour le déploiement d’appareils destinés à des tâches dédiées (vente au détail, SAV sur le terrain, tâches médicales, etc.), le partage d’appareils entre élèves d’une classe ou d’un laboratoire, ou le prêt d’appareils iOS à des clients (par exemple dans un hôtel, un restaurant ou à l’hôpital). Attribuer des appareils. Enfin, vous pouvez Attribuer des appareils supervisés à des utilisateurs particuliers de votre organisation. Attribuez un appareil à un utilisateur particulier, puis restaurez la sauvegarde de l’utilisateur concerné (y compris toutes ses données) sur l’appareil. Lorsque l’appareil est restitué, sauvegardez les données de l’utilisateur pour une utilisation ultérieure, y compris sur un autre appareil. Cette option est pratique lorsque les utilisateurs doivent pouvoir exploiter les mêmes données et documents sur une longue période, quel que soit l’appareil qui leur est attribué. Configuration requise • Ordinateur Mac • OS X Lion 10.7.2 • iTunes 10.6 Apple Configurator fonctionne avec les appareils équipés d’iOS 4.3 ou version ultérieure, et il peut superviser les appareils équipés d’iOS 5.0 ou version ultérieure.Configuration des réglages et des apps Que vous choisissiez de Préparer, de Superviser ou d’Attribuer vos appareils iOS avant leur déploiement, Apple Configurator simplifie la configuration d’un éventail complet de réglages ainsi que l’installation d’apps de l’App Store ou développées en interne. Réglages Tout comme iTunes, Apple Configurator permet de nommer les appareils et d’installer les mises à jour d’iOS. En outre, Apple Configurator peut configurer les préférences, dont le fond d’écran de l’écran de verrouillage, la disposition de l’écran d’accueil et d’autres réglages qui peuvent être définis manuellement sur un appareil et sauvegardés dans Apple Configurator. Apple Configurator simplifie la configuration de nombreux appareils qui doivent disposer des mêmes réglages. Il suffit de configurer un appareil avec les réglages et préférences souhaités sur tous les appareils, puis d’effectuer une sauvegarde avec Apple Configurator. Apple Configurator restaure aussi simultanément la sauvegarde sur les autres appareils (jusqu’à 30 appareils connectés par USB à la fois). Comme l’Utilitaire de configuration iPhone, le Gestionnaire de profils d’OS X Lion Server et certaines solutions tierces de gestion des appareils mobiles, Apple Configurator permet de créer et d’installer des profils de configuration pour les réglages suivants : • Comptes Exchange ActiveSync • Réglages VPN et Wi-Fi • Longueur et complexité du code d’appareil et réglages d’effacement local • Réglages d’inscription MDM • Restrictions de l’appareil • Certificats • Web Clips Les profils de configuration créés avec d’autres outils peuvent être importés facilement dans Apple Configurator. Pour une liste complète des réglages de profil de configuration disponibles dans Apple Configurator, rendez-vous sur http://help.apple.com/configurator/ mac/1.0. Si vous souhaitez connecter des appareils à un serveur de gestion des appareils mobiles, utilisez Apple Configurator pour installer les réglages de MDM avant de remettre l’appareil à un utilisateur final. Une fois l’appareil inscrit auprès du serveur MDM de votre organisation, vous pouvez configurer les réglages à distance, surveiller le respect des règles de l’entreprise et effacer ou verrouiller l’appareil. Pour en savoir plus sur les fonctionnalités de gestion des appareils mobiles d’iOS, consultez la page www.apple. com/fr/iphone/business/integration/mdm. Activer les appareils Pour préparer les appareils de façon à ce que vous (ou l’utilisateur final) ne soyez pas obligé de passer par l’assistant de configuration iOS, restaurez la sauvegarde d’un appareil ayant déjà suivi les étapes de l’assistant. Apple Configurator ne peut pas effectuer la toute première activation des iPhone ou iPad sur un réseau cellulaire, mais il peut réactiver des appareils précédemment activés dans le cadre du processus de configuration. 28Apps Pour installer une app de l’App Store sur vos appareils, achetez et téléchargez l’app dans iTunes, ajoutez-la à Apple Configurator, puis installez l’app lors de la configuration des appareils. Pour installer des apps payantes de l’App Store à l’aide d’Apple Configurator, vous devez participer au Programme d’achat en volume pour les entreprises (VPP). Apple Configurator récupère automatiquement les codes fournis par l’animateur du programme VPP ou l’acheteur agréé pour installer les apps. La liste des apps dans Apple Configurator indique les apps gratuites et le nombre de codes de téléchargement restants pour les apps payantes. Chaque fois que vous installez une app sur un appareil, un code de téléchargement est utilisé sur la feuille de calcul VPP qui a été importée dans Apple Configurator. Les codes de téléchargement ne peuvent pas être réutilisés. S’il ne vous en reste plus, vous devez en importer d’autres pour installer l’app sur d’autres appareils. Lorsqu’une app payante est désinstallée d’un appareil supervisé ou attribué, elle peut être installée sur un autre appareil. Le code VPP n’est pas réactivé, ce qui signifie que les installations ultérieures doivent être effectuées avec Apple Configurator sur le Mac utilisé pour l’installation initiale de l’app. Les apps payantes de l’App Store ne peuvent être installées qu’à l’aide des codes de téléchargement obtenus par le biais du Programme d’achat en volume pour les entreprises ou l’Éducation. Le Programme d’achat en volume n’est pas disponible dans tous les pays. Pour en savoir plus, consultez www.apple.com/business/vpp ou www. apple.com/education/volume-purchase-program. Vous pouvez également installer les apps développées et distribuées en interne au sein de votre entreprise. Ajoutez votre app (qui inclut le profil d’approvisionnement de distribution) à Apple Configurator, puis installez-la durant la configuration des appareils. Important : les apps installées avec Apple Configurator sont associées à l’appareil sur lequel elles ont été installées, et non à un identifiant Apple particulier. Pour mettre à jour les apps déployées avec Apple Configurator, vous devez reconnecter l’appareil au Mac ayant servi à installer les apps. En outre, vous ne pouvez pas télécharger à nouveau ces apps via iTunes dans le nuage. Dès lors, il est conseillé de réserver l’installation d’apps de l’App Store avec Apple Configurator aux appareils supervisés ou attribués. Exemples de déploiement Les scénarios suivants illustrent la manière dont vous pouvez tirer parti d’Apple Configurator pour déployer rapidement des appareils personnalisés. Préparer de nouveaux appareils pour un usage personnel Avec l’option Préparer, configurez les réglages sur les appareils avant de les déployer auprès des utilisateurs pour un usage professionnel. Il peut s’agir d’évoluer vers la dernière version d’iOS, d’actualiser une configuration réseau ou des informations d’inscription auprès du serveur MDM de votre organisation. Si un appareil est préparé avec Apple Configurator, il peut être reconfiguré à la convenance de l’utilisateur final. Il ne sera pas reconnu par Apple Configurator s’il est reconnecté ultérieurement. Par exemple, les utilisateurs peuvent connecter leurs appareils non supervisés à leur copie d’iTunes et synchroniser le contenu de leur choix. Les administrateurs informatiques qui souhaitent autoriser les utilisateurs à personnaliser leurs appareils peuvent utiliser Apple Configurator pour Préparer et déployer des appareils non supervisés, puis utiliser une solution MDM pour gérer à distance les réglages, comptes et apps de chaque appareil. La configuration d’un appareil non supervisé est généralement effectuée une seule fois, l’utilisateur étant responsable de la gestion de l’appareil par la suite. Apple Configurator oublie les appareils non supervisés dès qu’ils sont déconnectés ; il les traite comme de nouveaux appareils lorsqu’ils sont reconnectés. Afficher ou exporter des infos sur les appareils Apple Configurator intègre un inspecteur qui affiche les informations relatives aux appareils supervisés, comme la version d’iOS, le numéro de série, les identifiants et adresses matérielles et la capacité disponible. Vous pouvez également exporter la plupart de ces informations au format CSV pour les exploiter dans un tableur, ou les exporter dans un format spécialement conçu pour le portail d’approvisionnement iOS afin de permettre aux développeurs de logiciels de votre entreprise d’y accéder et de créer des profils d’approvisionnement pour les apps iOS développées en interne. 29Superviser des appareils devant être déployés auprès d’utilisateurs non spécifiés Lors de la préparation, vous pouvez choisir de Superviser les appareils qui doivent être contrôlés et configurés de manière continue avec Apple Configurator. Il peut s’agir d’un ensemble d’appareils qui doivent tous être dotés d’une même configuration et qui ne sont pas associés à des utilisateurs particuliers. Un appareil supervisé est effacé à chaque reconnexion à Apple Configurator. Les données de l’utilisateur précédent sont alors supprimées et l’appareil est reconfiguré. En outre, les appareils supervisés ne peuvent pas être synchronisés avec iTunes ou Apple Configurator sur un autre Mac. Le déploiement d’appareils supervisés consiste généralement à distribuer les appareils, les récupérer, réappliquer leur configuration initiale et les redistribuer. Les appareils supervisés peuvent être classés dans des groupes, afin de simplifier l’application automatique d’une même configuration. Important : lors de la supervision initiale d’un appareil lors du processus de préparation, l’ensemble du contenu et des réglages est volontairement effacé. Cela permet d’éviter que l’appareil personnel d’un utilisateur soit supervisé sans qu’il en ait connaissance. Attribuer des appareils supervisés à des utilisateurs particuliers Une fois que vous avez configuré un appareil supervisé, vous pouvez aussi l’Attribuer à un utilisateur particulier. Lorsque vous « extrayez » l’appareil pour un utilisateur particulier, Apple Configurator le remet dans l’état où il était la dernière fois que cette personne l’a utilisé. L’intégralité des réglages et données d’apps de l’utilisateur est alors restaurée. Lorsque l’appareil est retourné, Apple Configurator sauvegarde les réglages et les données d’apps de l’utilisateur pour la prochaine fois, y compris toutes les nouvelles données créées par l’utilisateur, puis efface toutes les informations laissées sur l’appareil par le précédent utilisateur. Le mécanisme d’extraction-archivage des appareils permet à l’utilisateur de bénéficier de l’expérience d’un appareil personnel tout en vous laissant la possibilité d’attribuer un même groupe d’appareils à plusieurs groupes d’utilisateurs. Les utilisateurs peuvent être ajoutés manuellement ou importés depuis Open Directory ou Active Directory, puis classés dans des groupes personnalisés. Si vous installez des apps comme Keynote ou Pages qui prennent en charge le partage de fichiers iTunes, vous pouvez également installer des documents qui seront prêts à l’emploi lorsque vos utilisateurs récupéreront un appareil extrait. Et lorsque l’appareil est restitué, une sauvegarde des données et des réglages de l’utilisateur est effectuée, et ses documents synchronisés sont accessibles directement depuis Apple Configurator. © 2012 Apple Inc. Tous droits réservés. Apple, le logo Apple, iPad, iPhone, iTunes, Keynote, Mac, le logo Mac, OS X et Pages sont des marques d’Apple Inc., déposées aux États-Unis et dans d’autres pays. iCloud et iTunes Store sont des marques de service d’Apple Inc., déposées aux États-Unis et dans d’autres pays. App Store est une marque de service d’Apple Inc. Les autres noms de produits et de sociétés mentionnés dans ce document appartiennent à leurs propriétaires respectifs. Les caractéristiques des produits sont sujettes à modification sans préavis. Mars 2012 30 Installing and Configuring the Apple PCI Dual-Attached FDDI Card EnglishPreface / A5 1 Installing the Card and Connecting to the Network / A7 Opening the logic module of the Network Server / A8 Unpacking the card / A11 Installing the card / A12 Attaching the cables and connecting to the network / A16 2 Installing and Configuring the Device Driver Software / A19 Installing the Common FDDI Software / A20 Installing the FDDI AIX device driver / A22 Configuring the FDDI network interface / A24 3 Troubleshooting and Diagnostics / A27 Troubleshooting / A28 Using FDDI diagnostic routines / A29 Obtaining service and support / A29 Appendix Specifications / A31 ContentsThe Apple Peripheral Connect Interface (PCI) Dual-Attached FDDI Card is a 100 megabit per second (Mbps) single-slot Fiber Distributed Data Interface (FDDI) card for use with the Apple Network Server. The card and its associated driver provide physical and data-link services under the TCP/IP protocol as defined by the ANSI X3T9.5 specifications for FDDI. IMPORTANT You must first install AIX 4.1.4.1 before you can use the FDDI Card. See Instructions to Update AIX for the Network Server to Version 4.1.4.1. The Apple PCI Dual-Attached FDDI Card has the following features: m compliance with PCI Local Bus, version 2.1 m onboard integrated FDDI Station Management (SMT) m 32-bit, zero wait state PCI Direct Memory Access (DMA) master m up to 132 Mbps burst DMA rate m PCI commands for efficient use of cache lines m support of optical fiber media m support of Dual Attachment for direct attachment to network ring m 128K of local buffering m Motorola MC68840 FDDI chipset These capabilities are all available as soon as the card is installed in the Network Server. No special configuring is required. PrefaceAbout this manual This manual is aimed at Network Server administrators. It assumes you have a good understanding of the Network Server hardware, as described in Setting Up the Network Server (available in the Network Server accessory kit). You should also have a working knowledge of the AIX operating system. Using AIX®, AppleTalk Services, and Mac OS Utilities on the Network Server, also available in your accessory kit, provides a basic introduction. Complete AIX documentation is available online through the InfoExplorer application. Chapter 5 of Using AIX, AppleTalk Services, and Mac OS Utilities on the Network Server tells you how to access and use InfoExplorer. For more information Numerous books about FDDI and FDDI token-passing networks are available at most technical bookstores. In addition, the FDDI Consortium at the University of New Hampshire is an excellent resource for FDDI information and training. The Consortium can be accessed on the Internet at http://www.iol.unh.edu/consortiums/fddi/fddi_consortium.html A6 PrefaceThis chapter provides complete instructions for installing the Apple PCI DualAttached FDDI Card in the Network Server. Before proceeding, you should familiarize yourself with the section on installing PCI cards in Setting Up the Network Server. Be sure to follow all recommendations for handling and installing the card carefully and correctly, so as not to damage either the card or the computer. 1 Installing the Card and Connecting to the NetworkOpening the logic module of the Network Server You do not need to remove the cover from the Network Server to install a card. Instead you open the logic module, following the directions in this section. 1 Shut down the Network Server. See Using AIX, AppleTalk Services, and Mac OS Utilities on the Apple Network Server if you need more information about safely shutting down the Network Server. 2 Attach a grounding strap to your body A grounding strap is strongly recommended to avoid damage to the card or the computer from electrostatic discharge. 3 Turn the key at the rear of the server to the Unlock position. A8 Chapter 1 / Installing the Card and Connecting to the Network4 Loosen the thumb screws completely. Opening the logic module of the Network Server A95 Grasping the logic module by its handles, pull the module out as far as it will go. 6 Remove the cover plate from the expansion slot you want to use. Put the screw aside. You will reattach it later to hold the card in place. Put the cover plate away for safekeeping in case you remove the card later. A10 Chapter 1 / Installing the Card and Connecting to the NetworkUnpacking the card The package for the Apple PCI Dual-Attached FDDI Card contains an installation CD-ROM disc, the card itself, and this manual. 1 Remove the protective packing materials from around the card. Save the packing materials and the package. You can use them should you need to return the card for service. 2 Carefully remove the card from its antistatic bag. Inspect for any visible damage that might have occurred during shipment. If you find any damage, contact your Apple-authorized Network Server dealer or service representative. Unpacking the card A11Installing the card The cable ports on the Apple PC Dual-Attached FDDI card are somewhat oversized for the Network Server, and require you to slightly modify the procedure you’ve used to install other cards. Use the illustrations that follow to install the FDDI card: A12 Chapter 1 / Installing the Card and Connecting to the NetworkInstalling the card A13A14 Chapter 1 / Installing the Card and Connecting to the NetworkOnce the card has been installed, push the logic module back in, tighten the thumb screws, turn the key to Lock, and reattach all cables. Do not turn on the computer until you have connected the card to the network. Installing the card A15Attaching the cables and connecting to the network The Apple PCI Dual-Attached FDDI card requires one SC Duplex fiber cable for single attachment or two cables for dual attachment. Note that each cable has two connectors, as shown in the illustration that follows. These cables are not supplied with the card but may be ordered in a variety of lengths from most large computer suppliers. Attach each cable to Port A or Port B on the FDDI card, following the cable manufacturer’s instructions (if any). Looking at the computer from the back (toward the logic module), as shown in the illustration that follows, Port A is on the left. A16 Chapter 1 / Installing the Card and Connecting to the NetworkIMPORTANT Do not connect the Network Server to the next node on the network without consulting with your network administrator. Where and how you should connect, and how the rest of the network will be affected by adding a node, depends on your particular network. Attaching the cables and connecting to the network A17Once you install the FDDI card, you must install a common FDDI software package and the FDDI device driver software. You must also configure the FDDI device driver so your Network Server can communicate on the FDDI network. This chapter describes all of these steps. IMPORTANT You must be using Apple’s AIX version 4.1.4.1 or later to use the FDDI Card. If your Network Server is not running AIX 4.1.4.l, you must first upgrade your software before installing the FDDI software. See the Instructions to Update AIX to Version 4.1.4.1 that came with your FDDI card. 2 Installing and Configuring the Device Driver SoftwareInstalling the Common FDDI Software After you have AIX Version 4.1.4.1 (or later) running on your Network Server, you need to install a Common FDDI Software package before you install the FDDI device driver. The steps you follow depend on whether you have the Installation CD or the Software Update CD. Refer to the section below for the CD you are using. If you have the AIX Installation CD Version 4.1.4.1 (or later) Follow these steps: 1 Type lslpp -l devices.mca.8ef4.com In most cases a message appears telling you that the software is not installed. Continue with step 2. If a message appears telling you the software is present, then go to next section, “Installing the FDDI AIX Driver.” 2 Insert the AIX Installation CD in the CD drive. 3 At the AIX prompt, type the following command and press return: smitty devinst The menu for installing additional device software appears. 4 Press F4 (or ESC-4). A pop-up menu listing the device software that can be installed appears. 5 Select the appropriate CD device from the list and press Return. An expanded menu appears. 6 Select “Software to install” from the menu and type: devices.mca.8ef4.com 7 Press Return. A dialog box appears asking you to confirm the installation. Press Return to begin the installation or press F3 (or ESC 3) to cancel the installation. When the installation is finished, continue with the next section, “Installing the FDDI AIX Driver.” A20 Chapter 2 / Installing and Configuring the Device Driver SoftwareIf you have the Software Update CD Follow these steps: 1 Type lslpp -l devices.mca.8ef4.com In most cases a message appears telling you that the0 software is not installed. Continue with step 2. If a message appears telling you the software is present, then go to next section, “Installing the FDDI AIX Driver.” 2 Insert the Network Server Software Update Kit CD in the CD drive. 3 To mount the CD, type the following command and press return: mount -r -v cdrfs /dev/cd0 /mnt 4 At the AIX prompt, type the following command and press return: smitty devinst The menu for installing additional device software appears. 5 In the “INPUT device/directory for software” field, type: /mnt/new 6 In the “SOFTWARE to install” field, type: devices.mca.8ef4.com 7 Press Return. A dialog box appears asking you to confirm the installation. Press Return to begin the installation or press F3 (or ESC 3) to cancel the installation. 8 To unmount the CD, type: umount /mnt When the installation is finished, continue with the next section, “Installing the FDDI AIX Driver.” Installing the Common FDDI Software A21Installing the FDDI AIX device driver The device driver software is included on the installation floppy disk. The following instructions can be used to install the driver software using either the X-windows version of the System Management Interface Tool (SMIT) or the command line version (SMITTY). The example uses SMITTY, but all the steps are the same. Note: To perform the installation you must be logged in as root. 1 Insert the installation floppy disk. 2 At the AIX prompt, type the following command and press Return: smitty devinst The following menu appears: 3 In the INPUT entry field, type: /dev/fd0 A22 Chapter 2 / Installing and Configuring the Device Driver Software4 Press Return to display the configuration options shown in the next screen: 5 Type devices.pci.7e100300 in the SOFTWARE to install field. If a FDDI driver has already been installed and you want to continue with this installation you need to type, Yes in the overwrite field. A dialog box appears asking you to confirm your selection. 6 Press Return again to begin the installation. Messages on the screen describe the installation process. When you see the following message, installation is complete: Installation Summary -------- Name Level Part Event Result devices.pci.7e100300.rte 2.1.0.0 USR APPLY SUCCESS devices.pci.7e100300.diag 2.1.0.0 USR APPLY SUCCESS 7 Press f10 to exit SMITTY, and then reboot the Network Server. Configuring the FDDI AIX device driver A23Configuring the FDDI network interface You’ll need to have the following information to configure the network interface for the FDDI card: m a name and IP address for each FDDI card installed on the Network Server m the network mask m the appropriate domain name server name and IP address m the IP address of the router or gateway the Network Server uses for network access. If you don’t have this information, obtain it from your network administrator. As when you install the device driver, you can configure the card with either SMIT or SMITTY. The instructions that follow presume you are for using SMITTY. 1 At the AIX prompt, type the following command and press Return: smitty tcpip The TCP/IP configuration screen appears: A24 Chapter 2 / Installing and Configuring the Device Driver Software2 Select Minimum Configuration & Startup and then press Return. The Available Network Interfaces screen appears. 3 Press fi0 and then press Return. The Minimum Configuration & Startup screen appears. 4 Fill in or edit the entry fields in the Minimum Configuration & Startup screen. Enter the name and IP address assigned to the FDDI card, the network mask, the name and IP address of the appropriate domain name server, and the IP address of the router or gateway the Network Server uses for network access. If you are connecting more than one FDDI card to the server, each FDDI card must have a unique IP address 5 Press Return. 6 Press f10 to exit SMITTY, and then reboot the Network Server. Configuring the FDDI network interface A25This chapter suggests possible solutions to common problems that may come up while you’re using the Network Server with an Apple PCI Dual-Attached FDDI Card. Try the suggestions in the order they are listed, until you resolve the problem. The chapter gives you information about using FDDI diagnostic routines. Finally, the chapter includes information on obtaining service and support if you encounter problems you can’t solve. 3 Troubleshooting and DiagnosticsTroubleshooting AIX won’t boot. 1. Check to see that the system is plugged in and turned on 2. Check to see that the card you just installed is properly seated in the slot. 3. Try installing the card in a different PCI slot. 4. Remove the card and see if the system boots up and works normally. 5. Try installing another card that you know is good. If the problem continues, see “Obtaining Service and Support,” later in this chapter. A network application no longer works. If an application worked prior to the installation of the card, there is probably a hardware conflict. See “Obtaining Service and Support,” later in this chapter. The Network Server card cannot connect to the ring or communicate with other hosts on the network. 1. Make sure the card is seated correctly in the bus expansion slot. 2. Verify that both cables are properly connected, and that Ports A and B are connected to the correct ports on their adjacent nodes. 3. Use a utility such as PING to test the Network Server’s ability to communicate on the network. 4. Install the card in another PCI slot and try again. 5. Try installing another card that you know is good. If the problem continues, see “Obtaining Service and Support,” later in this chapter. A28 Chapter 3 / Troubleshooting and DiagnosticsUsing FDDI diagnostic routines A number of diagnostic routines were installed when you installed the FDDI device driver software. To run these routines, use either SMIT or smitty to open the AIX diagnostics utility. Complete information on AIX diagnostics and on the AIX diagnostics utility is available through InfoExplorer. Chapter 5 of Using AIX, AppleTalk Services, and Mac OS Utilities on the Apple Network Server tells you how to access and use InfoExplorer. Obtaining service and support See the service and support information packaged with your Network Server for phone numbers and other information that can help you solve problems that may come up with your Apple PCI Dual-Attached FDDI Card. Obtaining service and support A29Apple PCI Dual-Attached FDDI Card Specifications Host Bus Interface PCI Revision 2.0 Network Interface ANSI X3T9.5 for FDDI @ 100 Mbps Host Data Transfer 32-bit bus master DMA transfers to 132 Mbps IEEE Compliance IEEE P1386 adapter card specification Mechanical 5511 occupies a full-size, short card PCI slot Operating Power +5 volts DC +/-5% @ 2.10 Amps (maximum) Software Drivers AIX version 4.1.4.1 Operating Environment Temperature: 0° to 55° C (32° to 131° F) Relative Humidity: 10–90%, non-condensing Altitude: sea level to 15,000 feet Storage: -20° to 70° C (-4° to 158° F) Network Connections Dual Mode Fiber (62.5/125): ST or SC Duplex Appendix SpecificationsInstallation et configuration de la carte PCI FDDI Apple FrançaisPréface / B5 1 Installation de la carte et connexion au réseau / B7 Ouverture du module logique du Network Server / B8 Déballage de la carte / B11 Installation de la carte / B12 Branchement des câbles et connexion au réseau / B16 2 Installation et configuration du gestionnaire de périphérique / B19 Installation des ressources / B19 Installation du gestionnaire de périphérique FDDI AIX / B22 Configuration de l’interface réseau FDDI / B24 3 Dépannage et diagnostics / B27 Dépannage / B28 Utilisation des programmes de diagnostic FDDI / B29 Dépannage et assistance / B29 Annexe Spécifications techniques / B31 Table des matièresLa carte PCI FDDI Apple se présente sous la forme d’une carte FDDI (Fiber Distributed Data Interface) à connecteur unique, d’un débit de 100 mégabits par seconde (Mbps). Elle s’utilise avec le Network Server d’Apple. La carte fournit des services physiques et de liaison de données en utilisant le protocole TCP/IP, comme mentionné dans les spécifications ANSI X3T9.5 pour le FDDI. IMPORTANT Avant de pouvoir utiliser la carte FDDI, vous devez d’abord installer la version 4.1.4.1 d’AIX. Reportez-vous aux instructions de mise à jour d’AIX pour le Network Server. La carte PCI FDDI Apple possède les caractéristiques suivantes : m compatibilité avec Bus Local PCI, version 2.1 m FDDI Station Management (SMT) intégré à la carte m DMA (Accès direct à la mémoire) PCI à état d’attente nul 32 bits m taux de transmission de données en rafales jusqu’à 132 Mbps sur le bus PCI m commandes PCI pour une utilisation efficace de la mémoire cache m support pour dispositifs à fibre optique m support pour un double branchement direct au réseau m 128 Ko de cache locale m jeu de composants Motorola MC68840 FDDI Ces fonctionnalités sont toutes disponibles dès que la carte est installée dans le Network Server. Aucune configuration particulière n’est nécessaire. PréfaceÀ propos de ce manuel Ce manuel est destiné aux administrateurs du Network Server. Il suppose une bonne maîtrise matérielle de ce produit, que vous pouvez obtenir grâce au manuel Mise en œuvre du Network Server (fourni dans son kit d’accessoires). Vous devez également avoir une bonne connaissance du système d’exploitation AIX. Le manuel intitulé Utilisation d’AIX®, des services AppleTalk, et des utilitaires Mac OS du Network Server, également fourni dans votre kit d’accessoires, propose une introduction aux principes de base. Une documentation détaillée sur AIX est disponible en ligne via l’application InfoExplorer. Vous trouverez comment accéder à InfoExplorer et l’utiliser au chapitre 5 du manuel Utilisation d’AIX, des services AppleTalk, et des utilitaires Mac OS du Network Server. Informations complémentaires De nombreux ouvrages concernant FDDI et les réseaux FDDI à jeton sont disponibles dans la plupart des librairies spécialisées. Le Consortium FDDI de l’université du New Hampshire est également une excellente source d’information et d’apprentissage concernant FDDI. Vous pouvez accéder au Consortium par Internet à l’adresse suivante : http://www.iol.unh.edu/consortiums/fddi/fddi_consortium.html B6 PréfaceCe chapitre donne toutes les instructions nécessaires à l’installation de la carte PCI FDDI Apple dans le Network Server. Avant de procéder à cette installation, prenez connaissance de la section traitant de l’installation des cartes PCI du manuel Mise en œuvre du Network Server. Suivez attentivement toutes les recommandations concernant la manipulation et l’installation de la carte pour ne pas endommager celle-ci, ni l’ordinateur. 1 Installation de la carte et connexion au réseauOuverture du module logique du Network Server Il n’est pas nécessaire d’ôter le capot du Network Server pour installer une carte. Il suffit d’ouvrir le module logique en suivant les instructions ci-après. 1 Éteignez le Network Server. Si vous avez besoin d’un complément d’informations pour éteindre le Network Server sans risque, référez-vous à la section Utilisation d’AIX, des services AppleTalk et des utilitaires Mac OS du Network Server. 2 Mettez un bracelet de mise à la terre. Un bracelet de mise à la terre est fortement recommandé pour éviter tout endommagement de la carte ou de l’ordinateur dû à une décharge d’électricité statique. 3 Déverrouillez le tiroir arrière en plaçant la clé en position verticale. B8 Chapitre 1 / Installation de la carte et connexion au réseau4 Dévissez entièrement les vis à molette. Ouverture du module logique du Network Server B95 Tirez le module logique par ses poignées pour le faire coulisser vers l’extérieur. 6 Retirez le couvercle correspondant au connecteur d’extension que vous souhaitez utiliser. Conservez la vis. Elle servira plus tard pour maintenir la carte en place. Placez le couvercle en lieu sûr au cas où vous retireriez cette carte ultérieurement. B10 Chapitre 1 / Installation de la carte et connexion au réseauDéballage de la carte La boîte contenant la carte PCI FDDI Apple comprend un CD-ROM d’installation, la carte elle-même et ce manuel. 1 Dégagez la carte de tous ses éléments de protection. Conservez-les soigneusement car ils seront utiles si vous devez retourner la carte pour une réparation. 2 Retirez précautionneusement la carte de son étui antistatique. Vérifiez que la carte n’a pas été endommagée durant son transport. Si vous constatez un défaut, contactez votre distributeur Apple Network Server. Déballage de la carte B11Installation de la carte Les ports câble de la carte PCI FDDI Apple sont un peu trop grands pour le Network Server. Vous devez donc modifier légèrement la procédure utilisée pour installer d’autres cartes. Servez-vous des illustrations suivantes pour installer la carte FDDI : B12 Chapitre 1 / Installation de la carte et connexion au réseauInstallation de la carte B13B14 Chapitre 1 / Installation de la carte et connexion au réseauUne fois la carte installée, replacez le module logique dans son compartiment, serrez les vis à molette, placez la clé en position horizontale pour verrouiller le tiroir arrière et reconnectez tous les câbles. N’allumez pas l’ordinateur avant d’avoir connecté la carte au réseau. Installation de la carte B15Branchement des câbles et connexion au réseau La carte PCI FDDI Apple s’utilise avec un câble en fibres SC Duplex pour un branchement simple ou deux câbles pour un branchement double. Chaque câble possède deux connecteurs, comme illustré ci-dessous. Ces câbles, disponibles en différentes longueurs, ne sont pas fournis avec la carte, mais vous pouvez facilement vous les procurer chez la plupart des revendeurs informatiques. Connectez chaque câble au Port A ou au Port B sur la carte FDDI, en suivant les instructions données par le fabricant du câble (si elles vous ont été fournies). Si l’on regarde l’ordinateur de l’arrière (vers le module logique), le port A se trouve à gauche comme illustré ci-après. B16 Chapitre 1 / Installation de la carte et connexion au réseauIMPORTANT Ne connectez pas le Network Server au nœud suivant sur le réseau sans en informer votre administrateur réseau. Le point de connexion, les modalités de connexion et les conséquences de l’ajout d’un nœud dépendent de votre réseau. Branchement des câbles et connexion au réseau B17Lorsque vous installez une carte FDDI, vous devez installer les ressources FDDI ainsi que le gestionnaire de périphérique FDDI. Vous devez également configurer le gestionnaire de périphérique FDDI pour que le Network Server puisse communiquer sur le réseau FDDI. Ce chapitre vous explique comment y parvenir. IMPORTANT Pour pouvoir utiliser la carte FDDI, vous devez utiliser AIX version 4.1.4.1 d’Apple ou toute version ultérieure. Si AIX 4.1.4.l n’est pas installé sur votre Network Server, vous devez mettre à jour ce logiciel avant d’installer le logiciel FDDI. Consultez les instructions de mise à jour d’AIX en version 4.1.4.1 livrées avec votre carte FDDI. Installation des ressources FDDI Une fois AIX version 4.1.4.1 (ou ultérieure) installé sur votre Network Server, vous devez installer les ressources FDDI avant d’installer le gestionnaire de périphérique FDDI. La procédure est différente selon que vous disposez du CD d’installation complète ou du CD de mise à jour. Reportez-vous à la section correspondant au CD dont vous disposez. 2 Installation et configuration du gestionnaire de périphériqueSi vous disposez du CD d’installation d’AIX version 4.1.4.1 (ou ultérieure) Suivez les instructions ci-dessous : 1 Entrez lslpp -l devices.mca.8ef4.com Le plus souvent, un message indiquant que le logiciel n’est pas installé apparaît. Passez à l’étape 2. Si un message indiquant que ce logiciel est installé apparaît, passez directement à la section suivante “Installation du gestionnaire de périphérique FDDI AIX.” 2 Insérez le CD d’installation d’AIX dans le lecteur. 3 À l’invite d’AIX, entrez la commande suivante, puis appuyez sur la touche Retour : smitty devinst La fenêtre permettant d’installer des ressources supplémentaires apparaît. 4 Appuyez sur la touche F4 (ou ESC-4). Un menu déroulant indiquant les différents lecteurs pouvant être utilisés pour installer de nouvelles ressources apparaît. 5 Sélectionnez le lecteur approprié (dans ce cas, le lecteur de CD-ROM) et appuyez sur Retour. Un menu apparaît. 6 Sélectionnez “Software to install” dans le menu puis entrez : devices.mca.8ef4.com 7 Appuyez sur Retour. Une zone de dialogue demandant de confirmer l’installation apparaît. Appuyez sur Retour pour lancer l’installation ou sur F3 (ou ESC 3) pour l’annuler. Lorsque l’installation est terminée, passez à la section suivante, “Installation du gestionnaire de périphérique FDDI AIX.” B20 Chapitre 2 / Installation et configuration du gestionnaire de périphériqueSi vous disposez du CD de mise à jour Suivez les instructions ci-dessous : 1 Entrez lslpp -l devices.mca.8ef4.com Le plus souvent, un message indiquant que le logiciel n’est pas installé apparaît. Passez à l’étape 2. Si un message indiquant que ce logiciel est installé apparaît, passez directement à la section suivante “Installation du gestionnaire de périphérique FDDI AIX”. 2 Insérez le CD de mise à jour du Network Server dans le lecteur. 3 Pour monter le CD, entrez la commande suivante, puis appuyez sur la touche Retour : mount -r -v cdrfs /dev/cd0 /mnt 4 À l’invite d’AIX, entrez la commande suivante, puis appuyez sur la touche Retour : smitty devinst Un menu déroulant indiquant les différents lecteurs pouvant être utilisés pour installer de nouvelles ressources apparaît. 5 Dans la zone “INPUT device/directory for software”, entrez : /mnt/new 6 Dans la zone “SOFTWARE to install”, entrez : devices.mca.8ef4.com 7 Appuyez sur Retour. Une zone de dialogue demandant de confirmer l’installation apparaît. Appuyez sur Retour pour lancer l’installation ou sur F3 (ou ESC 3) pour l’annuler. 8 Pour éjecter le CD, entrez : umount /mnt Lorsque l’installation est terminée, passez à la section suivante, “Installation du gestionnaire de périphérique FDDI AIX”. Installation des ressources FDDI B21Installation du gestionnaire de périphérique FDDI AIX Le gestionnaire de périphérique se trouve sur la disquette d’installation. Pour l’installer, vous pouvez utiliser soit la version X-windows du System Management Interface Tool (SMIT) ou la version de ligne de commande (SMITTY). L’exemple suivant utilise SMITTY, mais les étapes sont les mêmes. Remarque : pour réaliser l’installation, vous devez être connecté en tant que root. 1 Insérez la disquette d’installation. 2 À l’invite d’AIX, entrez la commande suivante et appuyez sur la touche Retour : smitty devinst Le menu suivant s’affiche : 3 Entrez la commande suivante dans le champ INPUT : /dev/fd0 B22 Chapitre 2 / Installation et configuration du gestionnaire de périphérique4 Appuyez sur Retour pour afficher les options de configuration présentées dans l’écran ci-dessous : 5 Entrez devices.pci.7e100300 dans le champ SOFTWARE to install. Si un gestionnaire FDDI a déjà été installé et si vous souhaitez continuer l’installation en cours, il vous suffit d’entrer Yes dans le champ overwrite. Une zone de dialogue s’affiche vous invitant à confirmer votre sélection. 6 Appuyez une nouvelle fois sur Retour pour commencer l’installation. Une succession de messages à l’écran décrivent le processus d’installation. L’installation est terminée lorsque le message suivant apparaît : Installation Summary -------- Name Level Part Event Result devices.pci.7e100300.rte 2.1.0.0 USR APPLY SUCCESS devices.pci.7e100300.diag 2.1.0.0 USR APPLY SUCCESS 7 Appuyez sur f10 pour quitter SMITTY et redémarrez le Network Server. Installation du gestionnaire des périphérique FDDI AIX B23Configuration de l’interface réseau FDDI Les informations suivantes sont nécessaires pour configurer l’interface réseau pour la carte FDDI : m un nom et une adresse IP pour chaque carte FDDI installée sur le Network Server m le masque du réseau m le nom du serveur de noms de domaines approprié et l’adresse IP m l’addresse IP du routeur ou de la passerelle utilisés par le Network Server pour accéder au réseau. Si vous ne connaissez pas ces informations, contactez votre administrateur système. Lorsque vous installez le gestionnaire de périphérique, vous pouvez configurer la carte soit avec SMIT soit avec SMITTY. Les instructions suivantes supposent que vous utilisez SMITTY. 1 À l’invite d’AIX, entrez la commande suivante et appuyez sur Retour : smitty tcpip L’écran de configuration TCP/IP apparaît : B24 Chapitre 2 / Installation et configuration du gestionnaire de périphérique2 Sélectionnez Minimum Configuration & Startup, puis appuyez sur Retour. L’écran Available Network Interfaces s’affiche : 3 Appuyez sur f10 puis sur Retour. L’écran Minimum Configuration & Startup s’affiche : 4 Remplissez ou modifiez les champs de l’écran Minimum Configuration & Startup. Entrez le nom et l’adresse IP donnés à la carte FDDI, le masque du réseau, le nom et l’adresse IP du serveur de noms de domaines approprié, et l’adresse IP du routeur ou de la passerelle utilisés par le Network Server pour accéder au réseau. Si vous connectez plusieurs cartes FDDI au serveur, chacune doit avoir sa propre adresse IP. 5 Appuyez sur Retour. 6 Appuyez sur f10 pour quitter SMITTY, puis redémarrez le Network Server. Configuration de l’interface réseau FDDI B25Ce chapitre donne quelques solutions aux problèmes courants qui risquent de survenir lorsque vous utilisez le Network Server avec une carte PCI FDDI Apple. Essayez les suggestions dans l’ordre dans lequel elles sont présentées jusqu’à ce que votre problème soit résolu. Ce chapitre vous donne également des renseignements sur l’utilisation des programmes de diagnostic FDDI. Il contient aussi les informations nécessaires pour obtenir une aide ou une assistance si vous ne parvenez pas à résoudre votre problème. 3 Dépannage et diagnosticsDépannage AIX ne démarre pas. 1. Vérifiez que l’ordinateur est branché et allumé. 2. Vérifiez que la carte que vous venez d’installer est correctement positionnée dans le connecteur. 3. Essayez d’installer la carte dans un connecteur PCI différent. 4. Retirez la carte et vérifiez si le système démarre et fonctionne normalement. 5. Essayez d’installer une autre carte, dont vous êtes sûr du bon état de marche. Si le problème n’est pas résolu, reportez-vous au paragraphe “Dépannage et assistance,” plus loin dans ce chapitre. Une application du réseau ne fonctionne plus. Si une application fonctionnait avant l’installation de la carte, il y a probablement une incompatibilité matérielle. Reportez-vous au paragraphe “Dépannage et assistance,” plus loin dans ce chapitre. La carte du Network Server ne peut pas se connecter au réseau ni communiquer avec d’autres ordinateurs hôtes sur le réseau. 1. Vérifiez que la carte est correctement positionnée dans le connecteur d’extension de bus. 2. Vérifiez que les deux câbles sont bien connectés et que les ports A et B sont connectés aux bons ports sur leurs nœuds adjacents. 3. Utilisez un utilitaire tel que PING pour tester les capacités de communication du Network Server sur le réseau. 4. Installez la carte dans un autre connecteur PCI et essayez à nouveau. 5. Essayez d’installer une autre carte, dont vous êtes sûr du bon état de marche. Si le problème n’est pas résolu, reportez-vous au paragraphe “Dépannage et assistance,” plus loin dans ce chapitre. B28 Chapitre 3 / Dépannage et diagnosticsUtilisation des programmes de diagnostic FDDI Un certain nombre de programmes de diagnostic ont été installés au moment de l’installation du gestionnaire de périphérique FDDI. Pour exécuter ces programmes, utilisez SMIT ou SMITTY pour lancer l’utilitaire de diagnostic d’AIX. Des informations détaillées sur les diagnostics d’AIX et l’utilitaire de diagnostics d’AIX sont disponibles via InfoExplorer. Le chapitre 5 du manuel Utilisation d’AIX, des services AppleTalk et des utilitaires MAC OS du Network Server contient des renseignements sur les procédures d’accès et d’utilisation d’InfoExplorer. Dépannage et assistance Vous trouverez les numéros de téléphone et d’autres informations utiles à la résolution de problèmes liés à votre carte PCI FDDI Apple dans la documentation livrée avec votre Network Server. Dépannage et assistance B29Spécifications techniques de la carte PCI FDDI Apple Interface du bus hôte PCI Révision 2.0 Interface du réseau ANSI X3T9.5 pour FDDI à 100 Mbps Transfert de données hôte Transfert DMA bus maître 32 bits à 132 Mbps Conformité IEEE Spécification carte adaptateur IEEE P1386 Physique 5511 occupe un connecteur carte PCI court complet Consommation +5 volts DC +/-5% @ 2,10 Amps (maximum) Gestionnaire AIX version 4.1.4.1 Environnement Température d’utilisation : de 0° à 55° C Humidité relative : de 10 à 90%, sans condensation Altitude : du niveau de la mer à 4500 mètres Température de stockage : de -20° à 70° C Connexions réseaux Fibre Dual Mode (62,5/125) : ST ou SC Duplex Annexe Spécifications techniquesInstallieren und Konfigurieren der Apple PCI Dual-Attached FDDI Karte DeutschVorwort C5 1 Installieren der Karte und Anschuß an das Netzwerk C7 Öffnen des Komponenteneinschubs des Apple Network Server C8 Auspacken der Karte C11 Installieren der Karte C12 Herstellen der Netzwerkverbindung C16 2 Installieren und Konfigurieren der Treibersoftware C19 Installieren der FDDI Standard-Software C19 Installieren des FDDI AIX Gerätetreibers C22 Konfigurieren der FDDI Netzwerkschnittstelle C24 3 Fehlerbeseitigung und Diagnosetechniken C27 Fehlerbeseitigung C28 Verwenden der FDDI Diagnoseroutinen C29 Hinweise zur technischen Unterstützung C29 Anhang Technische Daten C31 InhaltDie Apple PCI (Peripheral Connect Interface) Dual-Attached FDDI Karte arbeitet mit dem FDDI Protokoll (Fiber Distributed Data Interface) der „Single-Slot“-Methode. Sie belegt einen Steckplatz, arbeitet mit 100 Megabit pro Sekunde (Mbps) und ist für den Einbau im Apple Network Server konzipiert. Die Karte und der zugehörige Treiber bieten Dienste der Schicht 0 und 1 des ISO/OSI Schichtenmodells. Sie werden unter dem TCP/IP Protokoll gemäß den ANSI X3T9.5 Spezifikationen für FDDI arbeiten. WICHTIG Sie müssen AIX 4.1.4.1 installieren, damit Sie die FDDI Karte verwenden können. Bitte beachten Sie die Hinweise, die mit der Aktualisierung von AIX für den Apple Network Server auf Version 4.1.4.1 geliefert werden. Die Apple PCI Dual-Attached FDDI Karte zeichnet sich durch folgende Funktionen aus: m Kompatibilität mit dem PCI Local Bus, Version 2.1 m Auf der Karte integriertes FDDI Station Management (SMT) m 32-Bit-PCI-DMA- (Direct Memory Access) Master ohne Wartezyklen m Bis zu 132 Mbps Burst-DMA-Rate m PCI-Befehle für die effiziente Verwendung von Cache-Speicher m Unterstützung für optische Glasfasermedien m Unterstützung der Dual-Attachment-Technologie für den direkten Anschluß an Ringnetzwerke m 128 KB lokaler Pufferspeicher m Motorola MC68840 FDDI Bausteine Alle genannten Funktionen sind verfügbar, sobald die Karte im Apple Network Server installiert ist. Weitere Schritte zur Konfiguration sind nicht erforderlich. VorwortÜber dieses Handbuch Dieses Handbuch richtet sich an Apple Network Server Administratoren. Es wird vorausgesetzt, daß Sie mit der Hardware des Apple Network Server vertraut sind. (Die entsprechenden Informationen finden Sie im Handbuch Installation des Apple Network Server, das sich in der Zubehörbox Ihres Apple Network Server befindet.) Ferner sollten Sie die wichtigsten Funktionen des AIX Betriebssystems kennen und verwenden können. Das Handbuch Verwenden von AIX®, AppleTalk Diensten und Mac OS Dienstprogrammen auf dem Apple Network Server, das ebenfalls mit Ihrem Server geliefert wird, enthält eine Einführung und grundlegende Informationen hierzu. Die vollständige AIX Dokumentation ist über das Programm „InfoExplorer“ verfügbar. In Kapitel 5 des Handbuchs Verwenden von AIX, AppleTalk Diensten und Mac OS Dienstprogrammen auf dem Apple Network Server finden Sie Anleitungen zum Verwenden von InfoExplorer. Weitere Informationen Über FDDI und FDDI Token-Passing-Verfahren sind zahlreiche Handbücher im Fachhandel erhältlich. Darüber hinaus bietet das FDDI Consortium der Universität von New Hampshire hervorragende Informations- und Trainingsmöglichkeiten an. Sie finden diese Informationen im Internet an der folgenden Adresse: http://www.iol.unh.edu/consortiums/fddi/fddi_consortium.html C6 VorwortDieses Kapitel enthält ausführliche Anleitungen für die Installation der Apple PCI Dual-Attached FDDI Karte in den Apple Network Server. Bitte lesen Sie die Hinweise zum Einbau von PCI-Karten im Handbuch Installation des Apple Network Server, bevor Sie mit den folgenden Anleitungen fortfahren. Beachten Sie alle Empfehlungen und Anweisungen zur Handhabung und Installation der Karte gewissenhaft, damit Karte und Computer während der Installation nicht beschädigt werden. 1 Installieren der Karte und Anschluß an das NetzwerkÖffnen des Komponenteneinschubs des Apple Network Server Für die Installation der Karte öffnen Sie einfach den Komponenteneinschub, indem Sie die hier beschriebenen Schritte ausführen: 1 Schalten Sie den Apple Network Server aus und trennen Sie die Verbindung zum Stromnetz sowie alle anderen Kabelverbindungen. Beachten Sie die Hinweise im Handbuch Verwenden von AIX, AppleTalk Diensten und Mac OS Dienstprogrammen auf dem Apple Network Server, wenn Sie ausführliche Anweisungen zum korrekten Ausschalten des Apple Network Server benötigen. 2 Legen Sie ein Erdungsarmband an. Das Verwenden eines Erdungsarmbands wird empfohlen, um eine Beschädigung der Karte oder des Computers durch elektrostatische Entladungen zu vermeiden. 3 Drehen Sie den Schlüssel an der Rückseite des Servers in die senkrechte Position (aufgeschlossen). C8 Kapitel 1: Installieren der Karte und Anschluß an das Netzwerk4 Lösen Sie die Sicherungsschrauben an der Rückwand des Komponenteneinschubs. Öffnen des Komponenteneinschubs des Apple Network Server C95 Ziehen Sie den Komponenteneinschub mit Hilfe der Griffe vollständig aus dem Computergehäuse heraus. 6 Entfernen Sie die Abdeckung des Erweiterungssteckplatzes, den Sie verwenden wollen. Legen Sie die Schraube beiseite. Sie benötigen sie später, um die Karte festzuschrauben. Bewahren Sie die Abdeckung sorgfältig auf, damit sie zur Hand ist, falls Sie die Karte zu einem späteren Zeitpunkt wieder ausbauen wollen. C10 Kapitel 1: Installieren der Karte und Anschluß an das NetzwerkAuspacken der Karte Mit Ihrer Apple PCI Dual-Attached FDDI Karte werden eine Diskette und das vorliegende Handbuch geliefert. 1 Entfernen Sie das Verpackungsmaterial der Karte. Bewahren Sie das Verpackungsmaterial und den Karton auf, damit beides zur Hand ist, falls Sie die Karte einmal ausbauen und aufbewahren oder zum Kundendienst einschicken müssen. 2 Nehmen Sie die Karte vorsichtig aus der antistatischen Hülle. Prüfen Sie, ob an der Karte während des Transports sichtbare Schäden entstanden sind. Sollte dies der Fall sein, wenden Sie sich bitte unverzüglich an Ihren autorisierten Apple Händler. Auspacken der Karte C11Installieren der Karte Die Kabelanschlüsse der Apple PCI Dual-Attached FDDI Karte sind etwas größer als die anderer PCI-Karten. Für die Installation der Karte im Apple Network Server müssen Sie daher etwas anders vorgehen als im Handbuch Installation des Apple Network Server beschrieben. Bitte installieren Sie die FDDI Karte mit Hilfe der folgenden Anleitungen: C12 Kapitel 1: Installieren der Karte und Anschluß an das Netzwerk 1. Stützen Sie den Komponenteneinschub mit einer Hand. Achten Sie darauf, daß Sie die Kartenführung beim Einsetzen der Karte nicht versehentlich durch die Öffnung des Steckplatzes schieben. 2. Setzen Sie zuerst den kleineren Teil der Steckleiste ein und drehen Sie die Karte dann leicht, um die Anschlüsse durch die Öffnung zu schieben und die Kartenführung korrekt einzusetzen.Installieren der Karte C13 3. Setzen Sie die Karte ein, indem Sie wie hier gezeigt auf die Kartenführung und den oberen Kartenrand drücken.C14 Kapitel 1: Installieren der Karte und Anschluß an das Netzwerk 4. Drücken Sie nochmals kräftig auf den Kartenrand, damit die Karte fest in die Steckleiste sitzt und die Steckverbindung korrekt hergestellt ist.Nachdem Sie die Karte installiert haben, schieben Sie den Komponenteneinschub in den Computer zurück und drehen Sie die Sicherungsschrauben wieder fest. Drehen Sie den Schlüssel dann in die horizontale Position (abgeschlossen) und schließen Sie alle zuvor herausgezogenen Kabel erneut an. Schalten Sie den Computer bitte noch nicht wieder ein; warten Sie damit, bis Sie die Karte mit dem Netzwerk verbunden haben. Installieren der Karte C15 5. Sichern Sie die Karte im Steckplatz, indem Sie die zuvor herausgedrehte Schraube wieder einsetzen und festdrehen.Herstellen der Netzwerkverbindung Für einen einfachen Anschluß der Apple PCI Dual-Attached FDDI Karte benötigen Sie ein SC Duplex Glasfaserkabel. Für einen doppelten Anschluß benötigen Sie entsprechend zwei Kabel. Beachten Sie bitte, daß jedes Kabel zwei Anschlußstecker besitzt (vgl. Abbildung). Diese Kabel werden nicht mit der Karte geliefert, können jedoch in vielen verschiedenen Längen im Computerfachhandel erworben werden. Schließen Sie jedes Kabel an Anschluß A oder Anschluß B der FDDI Karte an. Beachten Sie dabei bitte die Hinweise des Kabelherstellers (falls vorhanden). C16 Kapitel 1: Installieren der Karte und Anschluß an das NetzwerkWenn Sie die Rückseite des Computers vor sich haben, befindet sich Anschluß A an der linken Seite. Bitte sehen Sie sich die folgende Abbildung an, um die Kabel richtig anzuschließen. WICHTIG Schließen Sie den Apple Network Server nicht an den nächsten Netzwerkknoten an, ohne zuvor Rücksprache mit Ihrem Netzwerkadministrator gehalten zu haben. An welcher Stelle im Netzwerk und auf welche Weise Ihr Server in das Netzwerk integriert werden muß und welchen Einfluß die Installation eines neuen Knotens auf das übrige Netzwerk hat, hängt von Ihrem Netzwerk ab. Herstellen der Netzwerkverbindung C17 Richten Sie diese Führungen mit den Führungen des Kabelanschlusses aus.Damit Sie mit dem FDDI Netzwerk kommunizieren können, müssen Sie die FDDI Treibersoftware installieren und konfigurieren. In diesem Kapitel erfahren Sie, wie Sie hierbei vorgehen müssen. WICHTIG Sie benötigen AIX in der Version 4.1.4.1 oder einer neueren Version, um die FDDI-Karte verwenden zu können. Wenn Ihr Apple Network Server nicht mit AIX 4.1.4.l arbeitet, müssen Sie Ihre Software aktualisieren, bevor Sie die FDDI Software installieren. Bitte beachten Sie die mit Ihrer FDDI Karte gelieferten Anweisungen, um AIX korrekt auf Version 4.1.4.1 zu aktualisieren. Installieren der FDDI Standard-Software Nachdem Sie AIX in der Version 4.1.4.1 (oder einer neueren Version) auf Ihrem Apple Network Server installiert haben, müssen Sie ein FDDI Standardsoftwarepaket installieren, bevor Sie den FDDI Gerätetreiber installieren. Wie Sie hierbei vorgehen müssen, hängt davon ab, ob Sie die CD-ROM Installation CD oder die CD-ROM Software Update vorliegen haben. 2 Installieren und Konfigurieren der TreibersoftwareCD-ROM AIX Installation CD Version 4.1.4.1 (oder neuer) Bitte gehen Sie wie folgt vor, wenn Sie die Software mit der CD-ROM AIX Installation CD installieren wollen: 1 Geben Sie folgenden Befehl ein: lslpp -l devices.mca.8ef4.com In den meisten Fällen wird die Nachricht angezeigt, daß die Software noch nicht installiert ist. Fahren Sie mit Schritt 2 fort. Wird die Nachricht angezeigt, daß die Software bereits vorhanden ist, fahren Sie mit dem Abschnitt „Installieren des FDDI AIX Gerätetreibers“ fort. 2 Legen Sie die CD-ROM AIX Installation CD in das CD-ROM-Laufwerk ein. 3 Geben Sie an der AIX Eingabeaufforderung den folgenden Befehl ein und drücken Sie den Zeilenschalter: smitty devinst Das Menü für die Installation weiterer Treibersoftware wird angezeigt. 4 Drücken Sie die Taste „F4“. Ein Einblendmenü wird angezeigt, in dem die Gerätetreiber von den Geräten aufgelistet werden, von denen Sie installieren können. 5 Wählen Sie das passenden CD-Gerät aus der Liste aus und drücken Sie den Zeilenschalter. Ein erweitertes Menü wird angezeigt. 6 Wählen Sie die Option „Software to install“ aus und geben Sie folgenden Befehl ein: devices.mca.8ef4.com 7 Drücken Sie den Zeilenschalter. In einem Dialogfenster werden Sie aufgefordert, Ihre Auswahl zu bestätigen. Drücken Sie den Zeilenschalter, um die Installation zu starten, oder drücken Sie die Taste „F3“, um den Vorgang abzubrechen. Fahren Sie mit dem Abschnitt „Installieren des FDDI AIX Gerätetreibers“ fort, wenn die Installation beendet ist. C20 Kapitel 2: Installieren und Konfigurieren der TreibersoftwareCD-ROM Software Update CD Bitte gehen Sie wie folgt vor, wenn Sie die Software mit der CD-ROM Software Update CD installieren wollen: 1 Geben Sie folgenden Befehl ein: lslpp -l devices.mca.8ef4.com In den meisten Fällen wird die Nachricht angezeigt, daß die Software noch nicht installiert ist. Fahren Sie mit Schritt 2 fort. Wird die Nachricht angezeigt, daß die Software bereits vorhanden ist, fahren Sie mit dem Abschnitt „Installieren des FDDI AIX Gerätetreibers“ fort. 2 Legen Sie die CD-ROM Network Server Software Update Kit in das CD-ROM-Laufwerk ein. 3 Geben Sie den folgenden Befehl ein und drücken Sie den Zeilenschalter, um die CD zu aktivieren: mount -r -v cdrfs /dev/cd0 /mnt 4 Geben Sie an der AIX Eingabeaufforderung den folgenden Befehl ein und drücken Sie den Zeilenschalter: smitty devinst Das Menü für die Installation weiterer Treibersoftware wird angezeigt. 5 Wählen Sie die Option „INPUT device/directory for software“ aus und geben Sie folgenden Befehl ein: /mnt/new 6 Wählen Sie die Option „SOFTWARE to install“ aus und geben Sie folgenden Befehl ein: devices.mca.8ef4.com 7 Drücken Sie den Zeilenschalter. A dialog box appears asking you to confirm the installation. Press Return to begin the installation or press F3 (or ESC 3) to cancel the installation. 8 Geben Sie folgenden Befehl ein, um die CD zu deaktivieren: umount /mnt Fahren Sie mit dem Abschnitt „Installieren des FDDI AIX Gerätetreibers“ fort, wenn die Installation beendet ist. Installieren der FDDI Standard-Software C21Installieren des FDDI AIX Gerätetreibers Die Gerätetreibersoftware befindet sich auf der Installationsdiskette. Mit Hilfe der folgenden Anleitungen können Sie die Treibersoftware entweder mit der X-Window Version des Dienstprogramms „System Management Interface Tool“ (SMIT) oder mit der Befehlszeilenversion des Programms (SMITTY) installieren. In den hier gezeigten Beispielen wird die Programmversion SMITTY verwendet. Die erforderlichen Schritte sind für beide Versionen gleich. Hinweis: Damit Sie die Installation ausführen können, müssen Sie sich mit der Berechtigung „root“ angemeldet haben. 1 Legen Sie die Installationsdiskette ein. 2 Geben Sie an der AIX Eingabeaufforderung den folgenden Befehl ein und drücken Sie anschließend den Zeilenschalter: smitty devinst Das folgende Menü wird angezeigt: 3 Geben Sie im Feld „INPUT device“ folgenden Befehl ein: /dev/fd0 C22 Kapitel 2: Installieren und Konfigurieren der Treibersoftware4 Drücken Sie den Zeilenschalter, um die im folgenden Bildschirm dargestellten Konfigurationsoptionen anzuzeigen: 5 Geben Sie devices.pci.7e100300 in das Feld „SOFTWARE to install“ ein. Falls bereits ein FDDI Treiber installiert ist und Sie mit dieser Installation fortfahren wollen, müssen Sie Yes in das Feld „OVERWRITE same or newer versions“ eingeben. In einem Dialogfenster werden Sie aufgefordert, Ihre Auswahl zu bestätigen. 6 Drücken Sie den Zeilenschalter erneut, um die Installation zu starten. Verschiedene auf dem Bildschirm angezeigte Nachrichten beschreiben den Installationsvorgang. Die Installation ist beendet, wenn Sie die folgende Nachricht sehen: Installation Summary -------- Name Level Part Event Result devices.pci.7e100300.rte 2.1.0.0 USR APPLY SUCCESS devices.pci.7e100300.diag 2.1.0.0 USR APPLY SUCCESS 7 Drücken Sie die Taste „F10“, um das Programm SMITTY zu beenden, und starten Sie den Apple Network Server anschließend neu. Installieren des FDDI Gerätetreibers C23Konfigurieren der FDDI Netzwerkschnittstelle Sie benötigen die folgenden Informationen, um die FDDI Karte für die Netzwerkschnittstelle zu konfigurieren: m einen Namen und eine IP-Adresse für jede im Apple Network Server installierte FDDI Karte m die Netzwerkmaske m den geeigneten Domain Name Server Namen sowie dessen IP-Adresse m die IP-Adresse des Routers oder Gateways, die der Apple Network Server für den Netzwerkzugang verwendet. Bitte wenden Sie sich an Ihren Netzwerkadministrator, wenn Sie diese Informationen noch nicht verfügbar haben. Ebenso wie bei der Installation des Gerätetreibers können Sie die Karte entweder mit dem Programm SMIT oder mit SMITTY konfigurieren. Für die folgenden Anleitungen wird das Programm SMITTY verwendet. 1 Geben Sie an der AIX Eingabeaufforderung den folgenden Befehl ein und drücken Sie anschließend den Zeilenschalter: smitty tcpip Der TCP/IP Konfigurationsbildschirm wird angezeigt: C24 Kapitel 2: Installieren und Konfigurieren der Treibersoftware2 Aktivieren Sie die Option „Minimum Configuration & Startup“ und drücken Sie den Zeilenschalter. Der Bildschirm „Available Network Interfaces“ wird angezeigt. 3 Wählen Sie „fi0“ aus und drücken Sie dann den Zeilenschalter. Der Bildschirm „Minimum Configuration & Startup“ wird angezeigt. 4 Tragen Sie die erforderlichen Werte in die Felder des Bildschirms „Minimum Configuration & Startup“ ein bzw. ändern Sie sie wunschgemäß. Geben Sie den Namen und die IP-Adresse, die der FDDI Karte zugewiesen wurden, die Netzwerkmaske, die IP-Adresse und den Namen des geeigneten Domain Name Servers und die IP-Adresse des Routers oder Gateways, die der Apple Network Server für den Netzwerkzugang verwendet, ein. Wenn Sie mehrere FDDI Karten in Ihren Server einbauen, benötigen Sie für jede FDDI Karte eine einmalige, individuelle IP-Adresse und müssen die hier beschriebenen Schritte ausführen. 5 Drücken Sie den Zeilenschalter. 6 Drücken Sie die Taste „F10“, um das Programm SMITTY zu beenden, und starten Sie den Apple Network Server anschließend neu. Konfigurieren der FDDI Netzwerkschnittstelle C25In diesem Kapitel finden Sie Lösungsvorschläge für einige Probleme, die auftreten können, wenn Sie den Apple Network Server mit einer Apple PCI Dual-Attached FDDI Karte verwenden. Bitte führen Sie die Vorschläge in der hier genannten Reihenfolge aus, um den Fehler zu beheben. Sie finden in diesem Kapitel außerdem Hinweise zu den FDDI Diagnosetechniken und erfahren, wo Sie Hilfe bekommen, falls Sie ein Problem mit Ihrem Apple Network Server oder der FDDI Karte nicht selbst lösen können. 3 Fehlerbeseitigung und DiagnosetechnikenFehlerbeseitigung AIX startet nicht. 1. Stellen Sie fest, ob das System korrekt am Stromnetz angeschlossen und eingeschaltet ist. 2. Überprüfen Sie, ob die gerade installierte Karte korrekt im Steckplatz sitzt. 3. Versuchen Sie das Problem zu lösen, indem Sie die Karte in einen anderen PCI-Steckplatz einsetzen. 4. Nehmen Sie die Karte aus dem Server heraus und stellen Sie fest, ob das System anschließend normal startet und funktioniert. 5. Versuchen Sie, eine andere Karte zu installieren, von der Sie genau wissen, daß sie ordnungsgemäß funktioniert. Tritt der Fehler weiterhin auf, lesen Sie bitte die Informationen im Abschnitt „Hinweise zur technischen Unterstützung“ am Ende dieses Kapitels. Ein Netzwerkprogramm arbeitet nicht mehr. Wenn das Programm vor der Installation der Karte korrekt funktioniert hat, liegt vermutlich ein Hardwarefehler vor. Bitte lesen Sie die Hinweise im Abschnitt „Hinweise zur technischen Unterstützung“ am Ende dieses Kapitels. Die Apple Network Server Karte kann nicht mit dem Ring verbunden werden oder nicht mit anderen Host-Rechnern im Netzwerk kommunizieren. 1. Überprüfen Sie, ob die gerade installierte Karte korrekt im Steckplatz sitzt. 2. Stellen Sie sicher, daß beide Kabel ordnungsgemäß anschlossen sind und daß die Anschlüsse A und B mit den korrekten Anschlüssen der benachbarten Knoten verbunden sind. 3. Verwenden Sie ein Dienstprogramm wie PING, um festzustellen, ob der Apple Network Server im Netzwerk kommunizieren kann. 4. Installieren Sie die Karte in einem anderen PCI-Steckplatz und versuchen Sie es erneut. 5. Versuchen Sie, eine andere Karte zu installieren, von der Sie genau wissen, daß sie ordnungsgemäß funktioniert. Tritt der Fehler weiterhin auf, lesen Sie bitte die Informationen im Abschnitt „Hinweise zur technischen Unterstützung“ am Ende dieses Kapitels. C28 Kapitel 3: Fehlerbeseitigung und DiagnosetechnikenVerwenden der FDDI Diagnoseroutinen Bei der Installation der FDDI Gerätetreibersoftware wurden zahlreiche Diagnoseroutinen installiert. Um diese Routinen auszuführen, verwenden Sie entweder das Programm SMIT oder SMITTY, um das AIX Diagnoseprogramm zu öffnen. Ausführliche Informationen zu den AIX Diagnosetechniken und zum AIX Diagnoseprogramm stehen Ihnen über das Programm „InfoExplorer“ zur Verfügung. In Kapitel 5 des Handbuchs Verwenden von AIX, AppleTalk Diensten und Mac OS Dienstprogrammen auf dem Apple Network Server erfahren Sie, wie Sie auf das Programm „InfoExplorer“ zugreifen und damit arbeiten können. Hinweise zur technischen Unterstützung Bitte beachten Sie die mit Ihrem Apple Network Server gelieferten Unterlagen zum Kundendienst und zur technischen Unterstützung, wenn Sie Probleme bei der Arbeit mit Ihrer Apple PCI Dual-Attached FDDI Karte nicht selbst lösen können. Dort finden Sie Telefonnummern, unter denen Sie sofort Hilfe bekommen, sowie andere wichtige Informationen zur technischen Unterstützung. Hinweise zur technischen Unterstützung C29Spezifikationen der Apple PCI Dual-Attached FDDI Karte Host-Bus-Schnittstelle PCI Revision 2.0 Netzwerkschnittelle ANSI X3T9.5 für FDDI @ 100 Mbps Host-Datentransfer 32-Bit-Bus-Master DMA überträgt bis zu 132 Mbps IEEE-Kompatibilität IEEE P1386 Adapterkartenspezifikation Steckplatzmerkmale 5511, belegt einen vollwertigen PCI-Steckplatz für kurze Karten Leistungsaufnahme +5 V Gleichstrom +/-5% @ 2,10 A (maximal) Softwaretreiber AIX Version 4.1.4.1 Betriebsumgebung Temperatur: 0 °C bis 55 °C Relative Luftfeuchtigkeit: 10 bis 90%, nicht kondensierend Höhe über NN: 0 bis ca. 4600 m (ohne Druckausgleich) Lagerung: -20 °C bis 70 °C Netzwerkverbindungen Dual Mode Fiber (62.5/125): ST oder SC Duplex Anhang Technische Daten Installing and Configuring the Apple PCI Dual-Attached FDDI Card Installation et configuration de la carte PCI FDDI Apple Installieren und Konfigurieren der Apple PCI Dual-Attached FDDI KarteK Installing and Configuring the Apple PCI Dual-Attached FDDI Card Installation et configuration de la carte PCI FDDI Apple Installieren und Konfigurieren der Apple PCI Dual-Attached FDDI Karte© 1997 Apple Computer, Inc. All rights reserved. Under the copyright laws, this manual may not be copied, in whole or in part, without the written consent of Apple. Your rights to the software are governed by the accompanying software license agreement. The Apple logo is a trademark of Apple Computer, Inc., registered in the U.S. and other countries. Use of the “keyboard” Apple logo (Option-Shift-K) for commercial purposes without the prior written consent of Apple may constitute trademark infringement and unfair competition in violation of federal and state laws. Every effort has been made to ensure that the information in this manual is accurate. Apple is not responsible for printing or clerical errors. Apple Computer, Inc. 1 Infinite Loop Cupertino, CA 95014-2084 408-996-1010 http://www.apple.com Apple, the Apple logo, and Mac are trademarks of Apple Computer, Inc., registered in the U.S. and other countries. Adobe, Acrobat, Adobe Illustrator, Adobe Photoshop, and PostScript are trademarks of Adobe Systems Incorporated or its subsidiaries and may be registered in certain jurisdictions. AIX is a registered trademark of IBM Corp., registered in the U.S. and other countries, and is being used under license. Helvetica and Times are registered trademarks of Linotype-Hell AG and/or its subsidiaries. Simultaneously published in the United States and Canada. Mention of third-party products is for informational purposes only and constitutes neither an endorsement nor a recommendation. Apple assumes no responsibility with regard to the performance or use of these products. K Apple Computer, Inc.Installing and Configuring the Apple PCI Dual-Attached FDDI Card / A1 Installation et configuration de la carte PCI FDDI Apple / B1 Installieren und Konfigurieren der Apple PCI Dual-Attached FDDI Karte / C1 General Contentsiv Communications regulation information Communications regulation information FCC statement This device complies with Part 15 of the FCC Rules. Operation is subject to the following two conditions: (1) this device may not cause harmful interference, and (2) this device must accept any interference received, including interference that may cause undesired operation. Radio frequency interference statement This equipment has been tested and found to comply with the limits for a Class B digital device, pursuant to Part 15, Subpart B of the FCC Rules. This equipment generates, uses, and can radiate radio frequency energy. If not installed and used in accordance with the instructions, it may cause interference to radio communications. The limits are designed to provide reasonable protection against such interference in a residential situation. However, there is no guarantee that interference will not occur in a particular installation. If this equipment does cause interference to radio or television reception, which can be determined by turning the equipment on and off, the user is encouraged to try to correct the interference by one or more of the following measures: m Reorient or relocate the receiving antenna of the affected radio or television. m Increase the separation between the equipment and the affected receiver. m Connect the equipment and the affected receiver to power outlets on separate circuits. m Consult the radio/TV dealer or an experienced radio/TV technician for help. Modifications Changes or modifications not expressly approved by Interphase Corporation could void the user's authority to operate the equipment. Shielded Cables Shielded cable must be used with this equipment to maintain compliance with FCC Regulations. Installation de votre logiciel Les informations suivantes sont destinées à vous familiariser avec Aperture le plus rapidement possible et traitent des rubriques présentées ci-dessous : Â À propos du disque d’installation d’Aperture (p. 2) Â Mise à niveau de Mac OS X (p. 2) Â Installation d’Aperture (p. 3) Â Enregistrement d’Aperture (p. 5) Â À propos des exemples de projets d’Aperture (p. 5) Â À propos de l’aide à l’écran (p. 5) Â Prise de contact avec l’assistance AppleCare (p. 8) Passez également en revue le document Avant d’installer Aperture se trouvant sur le disque d’installation d’Aperture. Pour accéder aux dernières informations sur Aperture, rendez-vous sur le site Web d’Aperture à l’adresse http://www.apple.com/fr/aperture.2 À propos du disque d’installation d’Aperture Le disque d’installation d’Aperture 1.5 contient les éléments suivants : Â Avant d’installer Aperture : ce document détaille la configuration requise et ce que vous devez faire avant d’installer Aperture et le contenu l’accompagnant. Â Programme d’installation d’Aperture : double-cliquez sur l’icône du programme d’installation d’Aperture pour lancer le processus d’installation. Â Dossier Documentation : ce dossier contient le document Installation de votre logiciel (en version PDF) et le Manuel de l’utilisateur d’Aperture. Ouvrez ce Manuel de l’utilisateur d’Aperture pour y retrouver de la documentation supplémentaire au format PDF concernant Aperture, dont les documents Programme d’ajustement d’image, Premiers contacts avec Aperture et Référence rapide d’Aperture. Â Dossier Sample Projects : ce dossier inclut des images servant d’exemples à visualiser dans Aperture, mais aussi un document concis reprenant des caractéristiques des exemples de projets. Remarque : le disque d’installation contient les fichiers requis pour installer Aperture 1.5 sur les ordinateurs Macintosh de type PowerPC ou à processeur Intel. Le processus d’installation est identique pour les deux types d’ordinateurs. Mise à niveau de Mac OS X Avant d’installer Aperture, mettez à jour votre logiciel système afin de vous assurer que vous disposez bien de la toute dernière version de Mac OS X sur votre machine. Important : vous devez faire l’acquisition de Mac OS X 10.4 Tiger ou ultérieur si vous mettez votre système à niveau de Mac OS X 10.3 Panther ou antérieur. Pour mettre à jour Mac OS X v10.4 à la dernière version disponible : 1 Choisissez le menu Pomme > « Mise à jour de logiciels ». Une zone de dialogue apparaît alors pour vous indiquer les logiciels nouveaux ou mis à jour, applicables à votre ordinateur. 2 Suivez les instructions à l’écran pour mettre à jour Mac OS X à la dernière version.3 Installation d’Aperture Lorsque vous installez Aperture, l’application se place dans le dossier Applications du disque dur précisé, généralement sur votre disque de démarrage. Par défaut, le programme d’installation d’Aperture installe l’application Aperture en tant que telle sur votre disque dur, mais aussi la documentation qui l’accompagne et un exemple de projet destiné à vous aider à débuter dans l’utilisation des divers outils mis à votre disposition dans Aperture pour la gestion, le traitement et la publication de vos photos. Remarque : avant de pouvoir installer Aperture, vous devez ouvrir une session sur votre ordinateur sous un compte d’administrateur en respectant les données de connexion. Pour en savoir plus, consultez l’Aide Mac. Pour installer Aperture et taper le numéro de série : 1 Insérez le disque d’installation d’Aperture dans le lecteur de DVD de l’ordinateur. 2 Double-cliquez sur l’icône du programme d’installation d’Aperture, puis suivez les instructions à l’écran. 3 Prenez connaissance du texte de bienvenue présenté dans l’introduction, puis cliquez sur Continuer. 4 Lisez le Contrat de licence du logiciel. Vous pouvez l’imprimer ou l’enregistrer en cliquant sur le bouton respectif Imprimer ou Enregistrer. Après l’avoir lu, cliquez sur Continuer, puis, si vous êtes d’accord avec les termes du Contrat, sur Accepter. 5 Sélectionnez le disque de démarrage, puis cliquez sur Continuer. Votre disque de démarrage doit disposer de la dernière version de Mac OS X v10.4. Avertissement : si le système ne satisfait pas la configuration requise, l’installation d’Aperture ne peut pas se faire. Reportez-vous au document Avant d’installer Aperture se trouvant sur le disque d’installation pour connaître les détails de cette configuration. 4 6 Dans la sous-fenêtre « Informations de l’utilisateur », saisissez vos nom et prénom. Préciser le nom de votre entreprise est facultatif. 7 Dans le champ Numéro de série, saisissez le numéro de série d’Aperture tel qu’il figure sur l’étiquette prévue à cet effet, collée au recto de la couverture de ce document, puis cliquez sur Continuer. Nous vous présentons ci-après quelques conseils pour saisir correctement votre numéro de série : Â Assurez-vous que le numéro de série que vous copiez est bien l’original se trouvant au recto de la couverture de ce document. Â Assurez-vous que vous tapez bien le numéro de série du logiciel et non pas le numéro d’identification pour bénéficier de l’assistance. Â Vérifiez que les caractères saisis correspondent bien à des zéros et non à la lettre O, et aux chiffres Un et non à la lettre L en minuscule, si votre numéro prévoit de tels chiffres. Â N’oubliez pas les tirets du numéro de série. Â N’ajoutez aucun espace avant ou après le numéro. 8 Vérifiez enfin que le numéro de série soit tapé correctement. 9 Cliquez sur Installer pour procéder à une installation standard d’Aperture. Pour personnaliser votre installation d’Aperture, cliquez sur Personnaliser, indiquez les options d’installation que vous désirez, puis cliquez enfin sur Installer. 10 Une zone de dialogue s’affiche pour vous authentifier grâce à vos nom et mot de passe. Cliquez sur OK lorsque vous avez fini. Remarque : à l’issue de trois tentatives échouées de saisie du numéro de saisie, le programme d’installation d’Aperture se ferme. Pour relancer le processus d’installation, retournez à l’étape 2. Le programme d’installation affiche une barre de progression pour vous indiquer où en est l’installation. Tapez votre nom (obligatoire). Tapez le nom de votre entreprise (organisation ; facultatif). Tapez votre numéro de série sans oublier les tirets (obligatoire).5 11 Lorsqu’elle est enfin terminée, cliquez sur Fermer. Une fois le logiciel installé, vous pouvez commencer à utiliser Aperture. Enregistrement d’Aperture La première fois que vous ouvrez Aperture, vous êtes invité à fournir des informations permettant l’enregistrement du produit. Par défaut, les données de votre fiche personnelle tirée de votre Carnet d’adresses sont automatiquement reprises dans les champs appropriés. Pour enregistrer Aperture sous un utilisateur autre que celui repris dans la fiche personnelle de votre Carnet d’adresses : 1 Remplissez les champs Nom, Adresse, Organisation et Adresse électronique. 2 Si vous désirez recevoir sur votre compte de messagerie des informations sur l’actualité et les mises à jour de logiciels Apple, cochez la case. 3 Si vous voulez prendre connaissance de l’Engagement de confidentialité Apple, cliquez sur Confidentialité. 4 Lorsque vous avez terminé, cliquez sur S’enregistrer. Aperture est à présent enregistré. Remarque : si vous optez pour le bouton « S’enregistrer plus tard », le système vous rappelle d’enregistrer Aperture toutes les cinq ouvertures de l’application. À propos des exemples de projets d’Aperture Aperture inclut plusieurs exemples de projets comprenant des images haute résolution. Lorsque vous ouvrez Aperture pour la première fois, une zone de dialogue vous demande si vous voulez installer un exemple de projet. D’autres exemples de projets sont également disponibles dans le dossier Sample Projects se trouvant sur le disque d’installation d’Aperture. Vous pouvez ainsi importer ces projets dans Aperture à partir du disque d’installation d’Aperture à tout moment après avoir installé l’application. À propos de l’aide à l’écran L’aide à l’écran, disponible à partir du menu Aide, vous permet d’afficher des informations au cours de vos manipulations dans Aperture. Vous retrouverez ainsi des liens vers des exemplaires de documents au format PDF traitant d’Aperture ainsi que des liens vers les sites Web du produit Aperture et sur son assistance dans le menu Aide.6 Pour obtenir les dernières informations sur Aperture, y compris de la documentation d’assistance non disponible à partir du menu Aide d’Aperture, rendez-vous sur le site Web de l’assistance Aperture en suivant une des procédures suivantes : m Dans Aperture, choisissez Aide > Assistance Aperture. m Rendez-vous à l’adresse http://www.apple.com/fr/support/aperture. Manuel de l’utilisateur d’Aperture Ce document contient des renseignements conceptuels, de référence et retraçant les tâches qu’impliquent Aperture. Pour accéder au Manuel de l’utilisateur d’Aperture : m Dans Aperture, choisissez Aide > Manuel de l’utilisateur d’Aperture. Programme d’ajustement d’image Ce document reprend les détails des instructions pour utiliser les fonctionnalités de réglage et les outils d’Aperture. Pour accéder au document « Programme d’ajustement d’image » : m Dans Aperture, choisissez Aide > « Programme d’ajustement d’image ». Informations de dernière minute Ce document contient des informations relatives aux problèmes que peuvent rencontrer du matériel et des logiciels de tierce partie ainsi que d’autres problèmes déjà connus. Remarque : vous devez pour cela être connecté à Internet pour pouvoir accéder à ce document. Pour accéder au document « Informations de dernière minute » : m Dans Aperture, choisissez Aide > « Informations de dernière minute ». Nouvelles fonctionnalités Ce document répertorie les fonctionnalités introduites à Aperture depuis Aperture 1.1. Remarque : vous devez pour cela être connecté à Internet pour pouvoir accéder à ce document. Pour accéder au document « Nouvelles fonctionnalités » : m Dans Aperture, choisissez Aide > Nouvelles fonctionnalités. Premiers contacts Ce document explique comment importer des images, leur appliquer un classement et des mots-clés, en rechercher, en exporter et en imprimer, le tout à partir d’Aperture. Ce document correspond à la version PDF du manuel imprimé Premiers contacts avec Aperture. Pour accéder au document « Premiers contacts » : m Dans Aperture, choisissez Aide > Premiers contacts.7 Référence rapide Ce document reprend les raccourcis clavier pour assurer les diverses tâches dans Aperture. Ce document correspond à la version PDF du volet imprimé Référence rapide d’Aperture. Pour accéder au document « Référence rapide » : m Dans Aperture, choisissez Aide > Référence rapide. Notions de base de la photographie numérique Ce document propose des informations de base sur le mode de fonctionnement des appareils photo numériques, sur l’apparence des photos numériques à l’écran ou imprimées et sur le mode de mesure de la résolution des images adopté par les appareils numériques. Pour accéder au document « Principes fondamentaux de la photographie numérique » : m Dans Aperture, choisissez Aide > « Principes fondamentaux de la photographie numérique ». Commande de livres et de tirages Ce document reprend des informations et les étapes nécessaires pour la commande de livres de qualité professionnelle pour vos images à travers le service de tirage d’Apple. Remarque : vous devez pour cela être connecté à Internet pour pouvoir accéder à ce document. Pour accéder au document « Commande de livres et de tirages » : m Dans Aperture, choisissez Aide > « Commande de livres et de tirages ». Créer un profil de gestion Dans certains cas où vous êtes amené à faire appel à l’assistance, AppleCare peut nécessiter des informations sur votre ordinateur et sur la configuration adoptée pour Aperture. La commande « Créer un profil de gestion » génère alors un fichier contenant les informations requises pour les envoyer à AppleCare sous forme de message électronique. N’utilisez pas cette fonctionnalité à moins qu’un représentant AppleCare ne vous le demande. Pour créer un profil de gestion : m Dans Aperture, choisissez Aide > « Créer un profil de gestion ». Prise de contact avec l’assistance AppleCare Des informations sur les options mises à votre disposition pour bénéficier de l’assistance Apple se trouvent dans votre coffret d’Aperture. Plusieurs niveaux d’assistance ont été mis en place. Quelque soit votre problème, il est bon de garder les informations suivantes à portée de main si vous devez contacter Apple pour obtenir de l’aide. Plus vous disposez de données à fournir aux agents du service d’assistance, plus vite ils sont à même de résoudre votre problème ou de vous aiguiller. Pensez donc aux points suivants : Â le numéro d’identification pour l’assistance sur Aperture (celui-ci se trouve au recto de la couverture de ce document ; Remarque : ce nombre de onze chiffres permettant de bénéficier de l’assistance diffère du numéro de série du produit permettant, lui, d’installer Aperture) ; Â la version de Mac OS X installée (pour connaître la version de Mac OS X, choisissez le menu Pomme > « À propos de ce Mac ») ; Â la version d’Aperture sur laquelle vous avez une question (pour retrouver la version d’Aperture installée sur votre ordinateur, choisissez Aperture > « À propos d’Aperture ») ; Â le modèle d’ordinateur que vous utilisez ; Â la quantité de mémoire RAM installée sur votre ordinateur (pour connaître la capacité de la RAM de votre ordinateur, choisissez le menu Pomme > « À propos de ce Mac ») ; Â le cas échéant, tout matériel de tierce partie branché à votre ordinateur ou qui y est installé, ainsi que le nom de leur fabricant (cela inclut les disques durs, les cartes graphiques, etc.). L’assistance AppleCare est joignable en ligne à l’adresse http://www.apple.com/fr/support. Vous y retrouverez des informations spécifiques sur l’assistance Aperture en cliquant sur le lien relatif à Aperture. Pour vous rendre sur le site Web d’assistance Aperture à partir de l’application Aperture même : m Choisissez Aide > Assistance Aperture. © 2006 Apple Computer, Inc. Tous droits réservés. Apple, le logo Apple, Mac, Macintosh, Mac OS et Panther sont des marques d’Apple Computer, Inc., déposées aux États-Unis et dans d’autres pays. Aperture et Tiger sont des marques d’Apple Computer Inc. AppleCare est une marque de service d’Apple Computer Inc., déposée aux États-Unis et dans d’autres pays. Intel et Intel Core sont des marques d’Intel Corp. aux États-Unis et dans d’autres pays. PowerPC et le logo PowerPC sont des marques d’International Business Machines Corporation, utilisés sous licence. Mac OS X Server Gestion des utilisateurs Pour version 10.4 ou ultérieureK Apple Computer, Inc. © 2005 Apple Computer, Inc. Tous droits réservés. Le propriétaire ou l’utilisateur autorisé d’un exemplaire enregistré du logiciel Mac OS X Server peut reproduire cette publication aux fins d’apprentissage du logiciel. Cette publication ne peut être reproduite ou transmise en tout ou partie à des fins commerciales, comme la vente de copies de cette publication ou la fourniture d’un service d’assistance payant. Tout a été mis en œuvre pour que les informations contenues dans ce manuel soient exactes. Apple Computer, Inc., n’est pas responsable des erreurs d’impression ou de typographie. Apple 1 Infinite Loop Cupertino, CA 95014-2084 408-996-1010 www.apple.com L’utilisation de ce logo à des fins commerciales via le clavier (Option-1) pourra constituer un acte de contrefaçon et/ou de concurrence déloyale. Apple, le logo Apple, AirPort, AppleShare, AppleTalk, FireWire, iBook, Trousseau, LaserWriter, Mac, Mac OS, Macintosh, PowerBook et QuickTime sont des marques d’Apple Computer, Inc. déposées aux États-Unis et dans d’autres pays. Gestionnaire d’extensions, Finder et SuperDrive sont des marques d’Apple Computer, Inc. Adobe et PostScript sont des marques d’Adobe Systems Incorporated. Java et tous les logos et marques dérivés de Java sont des marques ou des marques déposées de Sun Microsystems, Inc. aux États-Unis et dans d’autres pays. UNIX est une marque déposée aux États-Unis et dans d’autres pays, sous licence exclusive de X/Open Company Ltd. Tous les autres noms de produits sont des marques de leurs propriétaires respectifs. Les produits commercialisés par des entreprises tierces ne sont mentionnés qu’à titre d’information, sans aucune intention de préconisation ni de recommandation. Apple décline toute responsabilité quant à leur utilisation et à leur fonctionnement. F019-0170/03-24-05 F0170.book Page 2 Monday, May 2, 2005 12:37 PM 3 1 Table de matières Préface 13 À propos de ce guide 13 Nouveautés de la version 10.4 14 Contenu de ce guide 15 Utilisation de l’aide à l’écran 16 La suite Mac OS X Server 17 Informations complémentaires 17 Si vous êtes novice en gestion de serveur et de réseau 18 Si vous êtes un administrateur de serveur chevronné Chapitre 1 19 Vue d’ensemble de la gestion des utilisateurs 19 Outils de gestion des utilisateurs 19 Gestionnaire de groupe de travail 22 Admin Serveur 23 NetBoot 24 Installation en réseau 24 Comptes 25 Comptes d’administrateur 26 Utilisateurs et utilisateurs gérés 26 Utilisateurs invités 27 Groupes, groupes principaux et groupes de travail 28 Listes d’ordinateurs 28 Utilisation côté utilisateur 29 Authentification 31 Validation de l’identité 31 Contrôle de l’accès aux informations Chapitre 2 33 Introduction à la gestion des utilisateurs 33 Présentation générale de la configuration 40 Programmation de stratégies pour la gestion des utilisateurs 40 Analyse de votre environnement 40 Identification des besoins en matière de services de répertoire 41 Détermination des besoins en matière de serveur et de stockage 42 Utilisation de la gestion des clients F0170.book Page 3 Monday, May 2, 2005 12:37 PM4 Table des matières 42 Utilisation de comptes mobiles 42 Répertoires de départ portables 42 Élaboration d’une stratégie en matière de répertoire de départ 43 Identification des groupes 43 Détermination des besoins d’administrateur 44 Utilisation du Gestionnaire de groupe de travail 44 Utilisation d’ordinateurs de versions antérieures à la 10.4 à partir de serveurs de version 10.4 45 Ouverture du Gestionnaire de groupe de travail et authentification 46 Principales tâches dans le Gestionnaire de groupe de travail 47 Listage et recherche de comptes 47 Utilisation de listes de comptes dans le Gestionnaire de groupe de travail 48 Liste de comptes dans le domaine de répertoires local 48 Liste de comptes dans des domaines de répertoires de chemins de recherche 49 Liste de comptes dans des domaines de répertoires disponibles 49 Actualisation de listes de comptes 50 Recherche de comptes spécifiques dans une liste 50 Classement des listes d’utilisateurs et de groupes 51 Utilisation du bouton Rechercher de la barre d’outils 52 Raccourcis pour l’utilisation des comptes 52 Modification par lot 52 Utilisation de préréglages 53 Importation et exportation d’informations de compte 53 Sauvegarde et restauration des données de gestion des utilisateurs 53 Sauvegarde et restauration de fichiers de services de répertoires 53 Sauvegarde de comptes d’utilisateur root et administrateur Chapitre 3 55 Gestion des utilisateurs pour des clients mobiles 55 Configuration des clients mobiles 55 Configuration d’ordinateurs portables 56 Utilisation de comptes mobiles 57 Création d’un compte mobile 57 Suppression d’un compte mobile 58 Utilisation de comptes mobiles côté utilisateur 58 Répertoires de départ portables 59 Éléments à prendre en compte pour l’affectation du contenu à synchroniser 60 Gestion des clients mobiles 60 Ordinateurs portables Mac OS X inconnus 60 Ordinateurs portables Mac OS X pour utilisateurs locaux multiples 61 Ordinateurs portables Mac OS X pour utilisateur local principal 62 Utilisation de services sans fil 62 Questions de sécurité concernant les clients mobiles 62 Services de répertoire F0170.book Page 4 Monday, May 2, 2005 12:37 PMTable des matières 5 63 FileVault pour clients mobiles 63 Questions de sécurité concernant l’utilisation de répertoires de départ portables 63 Questions concernant la perte et la récupération des données Chapitre 4 65 Configuration des comptes d’utilisateur 65 À propos des comptes d’utilisateur 65 Emplacement de stockage des comptes d’utilisateur 66 Comptes d’utilisateur prédéfinis 67 Administration de comptes d’utilisateur 67 Création de comptes d’utilisateur Mac OS X Server 68 Création de comptes d’utilisateur LDAPv3 en lecture/écriture 68 Modification des informations de compte d’utilisateur 69 Modification simultanée de plusieurs utilisateurs 69 Modification des comptes dans un maître Open Directory 70 Utilisation de comptes d’utilisateur en lecture seule 71 Définition d’un utilisateur invité 71 Suppression d’un compte d’utilisateur 72 Désactivation d’un compte d’utilisateur 72 Utilisation de préréglages pour les comptes d’utilisateur 72 Création d’un préréglage pour des comptes d’utilisateur 73 Utilisation de préréglages pour créer des comptes 73 Renommer des préréglages 74 Modification de préréglages 74 Suppression de préréglages 74 Travail avec des réglages élémentaires pour utilisateurs 74 Définition de noms complets d’utilisateurs 75 Définition de noms abrégés d’utilisateurs 77 Choix de noms abrégés permanents 77 Eviter les doublons de noms 79 Mesures de prévention contre les doublons de noms abrégés 81 Définition d’identifiants d’utilisateur 82 Définition de mots de passe 82 Réglage des options de mot de passe pour les utilisateurs importés 82 Attribution de droits d’administrateur pour un serveur 83 Attributions de droits d’administrateur pour un domaine de répertoire 84 GUID 84 Travail avec des réglages avancés pour utilisateurs 84 Définition de réglages d’ouverture de session 86 Définition d’un type de mot de passe 86 Création d’une liste maîtresse de mots-clés 87 Application de mots-clés aux comptes d’utilisateur 87 Modification de commentaires 88 Travail avec les réglages de groupe pour utilisateurs F0170.book Page 5 Monday, May 2, 2005 12:37 PM6 Table des matières 88 Définition du groupe principal d’un utilisateur 89 Ajout d’un utilisateur à des groupes 90 Suppression d’un utilisateur dans un groupe 90 Vérification des différentes appartenances de groupe d’un utilisateur 91 Utilisation des réglages de répertoires de départ des utilisateurs 91 Utilisation des réglages de courrier des utilisateurs 91 Désactivation du service de courrier d’un utilisateur 92 Activation des options de compte de service de courrier 93 Faire suivre le courrier d’un utilisateur 93 Travail avec des réglages d’impression pour utilisateurs 94 Désactivation de l’accès d’un utilisateur aux files d’attente imposant des quotas 94 Activation l’accès d’un utilisateur aux files d’attente imposant des quotas 95 Suppression du quota d’impression d’un utilisateur pour une file spécifique 95 Réinitialisation du quota d’impression d’un utilisateur 96 Utilisation des réglages d’informations pour les utilisateurs 97 Choix de réglages pour les utilisateurs Windows Chapitre 5 99 Configuration des comptes de groupe 99 À propos des comptes de groupe 99 Administration de comptes de groupe 99 Emplacement de stockage des comptes de groupe 100 Comptes de groupe prédéfinis 101 Création de comptes de groupe Mac OS X Server 101 Création de comptes de groupe LDAPv3 en lecture/écriture 102 Création d’un préréglage pour des comptes de groupe 102 Modification des informations d’un compte de groupe 103 Création de groupes imbriqués 104 Mise à niveau de groupes hérités 104 Utilisation de comptes de groupe en lecture seule 105 Travail avec des réglages de membres pour groupes 105 Ajout d’utilisateurs à un groupe 106 Suppression d’utilisateurs d’un groupe 106 Attribution d’un nom à un groupe 107 Définition d’un identifiant de groupe 108 Travail avec les réglages du dossier de groupe 108 Option Pas de dossier de groupe 109 Création d’un dossier de groupe dans un point de partage existant 110 Création d’un dossier de groupe dans un nouveau point de partage 112 Création d’un dossier de groupe dans un sous-dossier d’un point de partage existant 114 Désignation d’un dossier de groupe destiné à plusieurs groupes 114 Suppression de comptes de groupe F0170.book Page 6 Monday, May 2, 2005 12:37 PMTable des matières 7 Chapitre 6 115 Configuration de listes d’ordinateurs 115 À propos des listes d’ordinateurs 116 Listes d’ordinateurs à usage spécial 116 Création d’une liste d’ordinateurs 118 Création d’un préréglage pour listes d’ordinateurs 119 Utilisation d’un préréglage de liste d’ordinateurs 119 Ajout d’ordinateurs à une liste d’ordinateurs existante 120 Modification d’informations sur un ordinateur 120 Déplacement d’un ordinateur vers une autre liste d’ordinateurs 121 Suppression d’ordinateurs d’une liste d’ordinateurs 121 Suppression d’une liste d’ordinateurs 122 Recherche de listes d’ordinateurs 122 Gestion des ordinateurs invités 124 Utilisation des réglages d’accès 124 Restriction de l’accès à des ordinateurs 125 Mise d’ordinateurs à la disposition de tous les utilisateurs 125 Utilisation de comptes d’utilisateur locaux Chapitre 7 127 Configuration des répertoires de départ 127 À propos des répertoires de départ 128 Évitez les espaces et les noms très longs dans les chemins d’accès aux répertoires de départ réseau 129 Répartition de répertoires de départ sur plusieurs serveurs 130 Spécification d’aucun répertoire de départ 131 Création d’un répertoire de départ pour un utilisateur local sur un serveur 133 Création d’un répertoire de départ de réseau 134 Création d’un répertoire de départ personnalisé 137 Configuration d’un point de partage AFP montable automatiquement pour des répertoires de départ 138 Configuration d’un point de partage NFS ou SMB montable automatiquement pour des répertoires de départ 140 Définition de quotas de disque 141 Définition de répertoires de départ par défaut à l’aide de préréglages 141 Déplacement de répertoires de départ 141 Suppression de répertoires de départ Chapitre 8 143 Vue d’ensemble de la gestion des clients 144 Utilisation de ressources visibles sur le réseau 145 Définition de préférences 146 La puissance des préférences 147 Niveaux de contrôle 150 Degrés de permanence 151 Configuration de l’environnement d’ouverture de session F0170.book Page 7 Monday, May 2, 2005 12:37 PM8 Table des matières 152 Qui peut ouvrir une session ? 153 Mise en mémoire cache des préférences 153 Aide aux utilisateurs pour trouver des applications 154 Aide aux utilisateurs pour trouver des dossiers de groupe 154 Installation et démarrage via le réseau 155 Administration quotidienne des clients Chapitre 9 157 Gestion des préférences 157 Mode de fonctionnement du Gestionnaire de groupe de travail avec les préférences Mac OS X 158 Gestion des préférences 159 À propos de la mémoire cache des préférences 159 Mises à jour régulières de la mémoire cache des préférences gérées 160 Mise à jour manuelle de la mémoire cache des préférences 161 Gestion des préférences d’utilisateur 161 Gestion des préférences de groupes 162 Gestion des préférences d’ordinateurs 163 Modification des préférences de plusieurs enregistrements 163 Désactivation de la gestion de préférences spécifiques 164 Gestion de l’accès aux applications 164 Création d’une liste d’applications accessibles pour les utilisateurs 165 Interdiction aux utilisateurs d’accéder à des applications situées sur des volumes locaux 166 Gestion de l’accès aux utilitaires 167 Contrôle du fonctionnement des outils UNIX 167 Gestion des préférences de Classic 168 Sélection des options de démarrage de Classic 169 Choix d’un dossier Système Classic 170 Autorisations d’actions spéciales au démarrage 170 Contrôle de l’accès aux éléments du menu Pomme de l’environnement Classic 171 Réglage des paramètres de suspension d’activité de Classic 172 Maintien de la cohérence des préférences d’utilisateurs pour l’environnement Classic 173 Gestion des préférences du Dock 173 Contrôle du Dock de l’utilisateur 174 Accès aisé aux dossiers de groupes 175 Ajout d’éléments au Dock d’un utilisateur 175 Interdiction aux utilisateurs d’ajouter ou de supprimer des éléments au Dock 176 Gestion des préférences de l’Économiseur d’énergie 176 Utilisation des réglages de suspension d’activité et de réactivation pour les ordinateurs de bureau 178 Utilisation des réglages de l’Économiseur d’énergie pour les ordinateurs portables 179 Affichage de l’état de la batterie pour les utilisateurs F0170.book Page 8 Monday, May 2, 2005 12:37 PMTable des matières 9 180 Programmation du démarrage, de l’extinction ou de la suspension d’activité automatiques 181 Gestion des préférences du Finder 181 Configuration du Finder simplifié 182 Masquage des disques et des serveurs sur le bureau de l’utilisateur 183 Contrôle du comportement des fenêtres du Finder 183 Masquage du message d’alerte présenté lorsque l’utilisateur veut vider la corbeille 184 Affichage des extensions de nom de fichier 184 Contrôle de l’accès des utilisateurs aux serveurs distants 185 Contrôle de l’accès des utilisateurs à un iDisk 185 Mesures contre l’éjection de disques par les utilisateurs 186 Masquage de la commande Graver le disque dans le Finder 186 Contrôle de l’accès des utilisateurs aux dossiers 187 Suppression des commandes Redémarrer et Éteindre du menu Pomme 187 Réglage de l’apparence et de la disposition des éléments du bureau 188 Réglage de l’apparence du contenu des fenêtres du Finder 189 Gestion des préférences Internet 189 Réglage des préférences de messagerie 190 Réglage des préférences du navigateur Web 191 Gestion des préférences d’ouverture de session 191 Spécification du mode d’ouverture de session de l’utilisateur 192 Ouverture automatique d’éléments après l’ouverture de session 194 Fourniture de l’accès au répertoire de départ réseau d’un utilisateur 194 Fourniture d’un accès aisé au point de partage de groupe 195 Interdiction de démarrer ou d’arrêter l’ordinateur lors de la connexion 196 Utilisation d’indices pour aider les utilisateurs à se souvenir de leur mot de passe 197 Activation de la prise en charge de plusieurs utilisateurs simultanés sur un ordinateur client 197 Activation de la fermeture de session automatique pour les utilisateurs inactifs 198 Scripts d’ouverture et de fermeture de session 199 Gestion des préférences d’accès aux données 199 Contrôle de l’accès aux CD, DVD et disques inscriptibles 200 Contrôle de l’accès aux disques durs et aux disques 201 Éjection automatique d’éléments à la fermeture de session de l’utilisateur 201 Gestion des préférences de mobilité 201 Gestion des préférences Réseau 201 Configuration des serveurs proxy par port 202 Gestion des préférences d’Impression 202 Attribution d’imprimantes aux utilisateurs 203 Méthode pour empêcher les utilisateurs de modifier la liste d’imprimantes 204 Restriction de l’accès aux imprimantes connectées à un ordinateur 204 Définition d’une imprimante par défaut 205 Restriction de l’accès aux imprimantes F0170.book Page 9 Monday, May 2, 2005 12:37 PM10 Table des matières 205 Gestion des préférences de mise à jour de logiciels 206 Gestion de l’accès aux préférences Système 207 Gestion des préférences Accès universel 207 Manipulation des réglages d’affichage pour l’utilisateur 208 Activation d’une alerte visuelle 209 Réglage de la réponse du clavier 210 Réglage du niveau de réponse de la souris et du pointeur 211 Activation des raccourcis d’Accès universel 211 Autorisation d’appareils d’aide pour les utilisateurs ayant des besoins particuliers 212 Utilisation de l’éditeur de préférences avec les manifestes de préférences 213 Ajout d’une préférence gérée en l’important depuis une application 213 Modification des valeurs de préférence d’une application 214 Suppression des valeurs de préférence via l’éditeur de préférences Chapitre 10 215 Gestion des présentations de réseau 216 Types de présentations de réseau gérées 216 Création d’un présentation de réseau gérée 217 Modification de présentations de réseau gérées 219 Définition de voisinages pour présentations de réseau gérées 219 Ajout de voisinages à des présentations de réseau gérées 220 Suppression de voisinages de présentations de réseau gérées 220 Définition d’ordinateurs pour présentations de réseau gérées 220 Affichage d’ordinateurs dans des présentations de réseau gérées 222 Suppression d’ordinateurs de présentations de réseau gérées 222 Définition de listes dynamiques pour présentations de réseau gérées 223 Ajout de listes dynamiques à des présentations de réseau gérées 224 Suppression de listes dynamiques de présentations de réseau gérées 224 Définition de l’utilisation des présentations de réseau gérées par des ordinateurs clients 224 Comment un ordinateur trouve-t-il ses présentations de réseau gérées 225 Activation de la visibilité des présentations de réseau gérées 226 Désactivation de la visibilité des présentations de réseau gérées 228 Définition de la fréquence de rafraîchissement d’une présentation de réseau gérée 228 Définition du comportement du Finder avec des présentations de réseau gérées Chapitre 11 229 Résolution des problèmes 229 Aide en ligne et site Web d’assistance et de service Apple 229 Résolution des problèmes liés aux comptes 229 Vous ne parvenez pas à modifier un compte à l’aide du Gestionnaire de groupe de travail 230 Vous ne voyez pas certains utilisateurs dans la fenêtre de connexion 230 Vous ne parvenez pas à déverrouiller un répertoire LDAP 231 Vous ne pouvez pas modifier le mot de passe Open Directory d’un utilisateur F0170.book Page 10 Monday, May 2, 2005 12:37 PMTable des matières 11 231 Vous ne pouvez pas changer le type de mot de passe d’un utilisateur en Open Directory 231 Vous ne parvenez pas à attribuer des autorisations d’administrateur de serveur 232 Les utilisateurs ne parviennent pas à se connecter ni à être authentifiés 233 Les utilisateurs dépendant d’un Serveur de mots de passe ne parviennent pas à se connecter 233 Les utilisateurs ne peuvent pas se connecter à l’aide de comptes dans un domaine de répertoire partagé 234 Les utilisateurs ne peuvent pas accéder à leur répertoire de départ 234 Certains utilisateurs ne peuvent pas changer leur mot de passe 234 Un utilisateur Mac OS X d’un domaine NetInfo partagé ne parvient pas à se connecter 234 Les utilisateurs ne peuvent pas s’authentifier à l’aide de la signature unique ou de Kerberos 235 Résolution des problèmes de gestion des préférences 236 Vous ne parvenez pas à appliquer les réglages Web par défaut 236 Vous ne parvenez pas à appliquer les réglages de courrier par défaut 236 Les utilisateurs ne voient pas de liste de groupes de travail lors de la connexion 236 Les utilisateurs ne parviennent pas à ouvrir des fichiers 237 Les utilisateurs ne parviennent pas à ajouter des imprimantes à la liste d’imprimantes 237 Les éléments d’ouverture ajoutés par un utilisateur ne s’ouvrent pas 238 Les éléments du Dock placés par un utilisateur sont manquants 238 Le Dock d’un utilisateur comporte des éléments en double 238 Un point d’interrogation apparaît dans le Dock des utilisateurs 239 Un message d’erreur inattendue est affiché à l’intention des utilisateurs Annexe A 241 Importation et exportation d’informations de compte 241 Quels sont les éléments que l’on peut exporter et importer 243 Utilisation du Gestionnaire de groupe de travail pour importer des utilisateurs et des groupes 244 Utilisation du Gestionnaire de groupe de travail pour exporter des utilisateurs et des groupes 245 Utilisation de dsimport pour importer des utilisateurs et des groupes 245 Utilisation de fichiers XML créés avec Mac OS X Server 10.1 ou antérieur 246 Utilisation de fichiers XML créés avec AppleShare IP 6.3 247 Utilisation de fichiers délimités par des caractères 247 Écriture d’une description d’enregistrement Annexe B 251 Autorisations de liste ACL et adhésions de groupe via GUID 251 Rôle des GUID 252 Les listes de contrôle d’accès ACL complètent les autorisations POSIX 252 Identifiants GUID et groupes F0170.book Page 11 Monday, May 2, 2005 12:37 PM12 Table des matières 253 Autorisations et synchronisation de fichiers 253 Interopérabilité des identifiants de sécurité SID et de Windows 253 Importation et exportation d’utilisateurs Glossaire 255 Index 267 F0170.book Page 12 Monday, May 2, 2005 12:37 PM 13 Préface À propos de ce guide Ce guide vous explique comment utiliser le Gestionnaire de groupe de travail pour configurer et gérer les répertoires de départ, les comptes, les préférences et les réglages de vos clients. Nouveautés de la version 10.4 • Répertoires de départ portables. Les utilisateurs équipés d’ordinateurs portables peuvent désormais bénéficier de versions synchronisées de leurs dossiers de répertoire de départ local et en réseau. Les répertoires de départ portables synchronisent le contenu sélectionné entre le répertoire de départ local et le répertoire de départ réseau, en prenant en compte la version la plus récente des fichiers. • Liaison de répertoire sécurisée. Les utilisateurs équipés d’ordinateurs portables peuvent utiliser la liaison sécurisée afin de s’assurer que les services auxquels ils accèdent lors de leurs déplacements sont sûrs. Une liaison approuvée offre à un ordinateur client un moyen de s’authentifier auprès d’un serveur LDAP et au serveur LDAP un moyen de s’authentifier auprès du client. Pour en savoir plus, consultez le chapitre 3, “Gestion des utilisateurs pour des clients mobiles” à la page 55. • Présentations de réseau gérées. Il est désormais possible de contrôler ce que les utilisateurs voient lorsqu’ils sélectionnent l’icône Réseau dans la barre latérale d’une fenêtre du Finder (ou choisissent Aller > Réseau). Une présentation de réseau gérée est constituée d’un ou plusieurs voisinages réseau, qui apparaissent dans le Finder sous forme de dossiers. Chaque dossier contient une liste de ressources que l’administrateur du serveur a associé au dossier. Les vues réseau gérées offrent un moyen efficace de présenter les ressources réseau. Vous pouvez créer plusieurs vues pour différents ordinateurs client. Étant donné que les présentations sont stockées avec Open Directory, le voisinage réseau d’un ordinateur est automatiquement disponible lorsqu’un utilisateur ouvre une session. Pour en savoir plus, consultez le chapitre 10, “Gestion des présentations de réseau” à la page 215. F0170.book Page 13 Monday, May 2, 2005 12:37 PM14 Préface À propos de ce guide • Manifestes de préférences et éditeur de préférences. Si vous souhaitez contrôler avec précision les réglages de préférences, vous pouvez utiliser le nouvel éditeur de préférences du Gestionnaire de groupe de travail qui peut utiliser des manifestes de préférences quand ils existent. Les manifestes de préférences sont des fichiers qui décrivent la structure et les valeurs des préférences d’une application ou d’un utilitaire. L’éditeur de préférences peut créer ou modifier n’importe quel fichier PLIST (fichier de préférences) ; il contient des manifestes de préférences qui décrivent avec précision les réglages de préférences qui personnalisent le comportement des applications et des utilitaires. Pour plus d’informations, consultez la section “Utilisation de l’éditeur de préférences avec les manifestes de préférences” à la page 212. • Informations de l’utilisateur. Vous pouvez saisir et modifier les données personnelles de chaque utilisateur, notamment son adresse, ses numéros de téléphone, ses noms iChat et l’adresse URL de sa page Web. L’application Carnet d’adresses peut accéder à ces informations. Pour plus d’informations, consultez la section “Utilisation des réglages d’informations pour les utilisateurs” à la page 96. Contenu de ce guide Ce guide est organisé comme suit : • le chapitre 1, “Vue d’ensemble de la gestion des utilisateurs” expose d’importants concepts, présente les outils de gestion des utilisateurs et vous indique où trouver des informations supplémentaires sur la gestion des utilisateurs et des sujets connexes ; • le chapitre 2, “Introduction à la gestion des utilisateurs” décrit comment utiliser des fonctions et des raccourcis afin d’obtenir une efficacité maximale lors de la configuration et de la maintenance des comptes et des préférences gérées ; • le chapitre 3, “Gestion des utilisateurs pour des clients mobiles” présente les éléments à prendre en compte pour gérer des ordinateurs portables ; • les chapitres 4, 5 et 6 décrivent l’utilisation du Gestionnaire de groupe de travail pour configurer les utilisateurs, les groupes et les listes d’ordinateurs ; • le chapitre 7, “Configuration des répertoires de départ” aborde la création des répertoires de départ ; • le chapitre 8, “Vue d’ensemble de la gestion des clients” présente les outils et les concepts de gestion de clients tels que la personnalisation de l’environnement de travail d’un utilisateur et l’accès aux ressources réseau ; • le chapitre 9, “Gestion des préférences” explique comment utiliser le Gestionnaire de groupe de travail pour contrôler les réglages de préférences des utilisateurs, des groupes et des ordinateurs qui utilisent Mac OS X ; • le chapitre 10, “Gestion des présentations de réseau” explique comment créer des présentations de réseau dans le Gestionnaire de groupe de travail pour personnaliser l’environnement de navigation de chaque ordinateur et contrôler le contenu du dossier Réseau situé dans le Finder de l’ordinateur concerné ; F0170.book Page 14 Monday, May 2, 2005 12:37 PMPréface À propos de ce guide 15 • le chapitre 11, “Résolution des problèmes” vous aide à résoudre les problèmes de création de compte, de maintenance des répertoires de départ, de gestion des préférences ou de configuration client, ainsi que les problèmes rencontrés par vos clients gérés ; • l’annexe A, “Importation et exportation d’informations de compte” fournit des informations utiles pour transférer les informations d’un compte de ou vers un fichier externe ; • l’annexe B, “Autorisations de liste ACL et adhésions de groupe via GUID” décrit un identifiant d’utilisateur disponible depuis la version 10.4 ; • le glossaire définit les termes utilisés dans ce guide. Remarque : étant donné qu’Apple publie régulièrement de nouvelles versions et mises à jour de ses logiciels, les illustrations de ce document peuvent être différentes de celles qui s’affichent à l’écran. Utilisation de l’aide à l’écran Si vous souhaitez manipuler des comptes, modifier des réglages de préférences, configurer de nouveaux répertoires de départ ou effectuer d’autres tâches d’administration quotidiennes, vous trouverez des instructions détaillées dans l’aide en ligne du Gestionnaire de groupe de travail. Bien que toutes ces tâches d’administration soient également décrites dans ce guide, il est parfois plus commode de les consulter à l’écran pendant que vous utilisez le serveur. Sur un ordinateur qui exécute Mac OS X Server, vous pouvez accéder à l’aide à l’écran après avoir ouvert le Gestionnaire de groupe de travail ou Admin Serveur. À partir du menu d’aide, sélectionnez l’une des options : • Aide Gestionnaire de groupe de travail ou Aide Admin Serveur affiche des informations sur l’application. • Aide Mac OS X Server affiche la page d’aide principale du serveur, à partir de laquelle vous pouvez rechercher des informations sur le serveur. • Documentation vous permet d’accéder au site www.apple.com/fr/server/documentation, à partir duquel vous pouvez télécharger la documentation du serveur. Vous pouvez également accéder à l’aide à l’écran à partir du Finder ou d’autres applications d’un serveur ou d’un ordinateur administrateur. Un ordinateur administrateur est un ordinateur Mac OS X sur lequel est installé un logiciel d’administration de serveur. Utilisez le menu Aide afin d’ouvrir Visualisation Aide, puis choisissez Bibliothèque > Aide Mac OS X Server. F0170.book Page 15 Monday, May 2, 2005 12:37 PM16 Préface À propos de ce guide Pour consulter les toutes dernières rubriques d’aide, assurez-vous que l’ordinateur serveur ou administrateur est connecté à Internet lorsque vous utilisez Visualisation Aide. Visualisation Aide extrait et met en cache automatiquement les toutes dernières rubriques d’aide sur Internet concernant le serveur. Lorsque vous n’êtes pas connecté à Internet, Visualisation Aide affiche les rubriques d’aide mises en cache. La suite Mac OS X Server La documentation de Mac OS X Server comprend une série de guides présentant les services offerts ainsi que les instructions relatives à leur configuration, leur gestion et leur dépannage. Tous les guides sont disponibles au format PDF via : www.apple.com/fr/server/documentation/ Ce guide … explique comment : Mac OS X Server Premiers contacts avec la version 10.4 ou ultérieure installer Mac OS X Server et le configurer pour la première fois. Mac OS X Server Mise à niveau et migration vers la version 10.4 ou ultérieure utiliser les données et réglages des services actuellement utilisés sur les versions antérieures du serveur. Mac OS X Server Gestion utilisateur pour la version 10.4 ou ultérieure créer et gérer les utilisateurs, groupes et listes d’ordinateurs ; configurer les préférences gérées des clients Mac OS X. Mac OS X Server Administration du service de fichiers pour la version 10.4 ou ultérieure partager des volumes ou dossiers de serveur sélectionnés parmi les clients du serveur via les protocoles suivants : AFP, NFS, FTP et SMB/CIFS. Mac OS X Server Administration du service d'impression pour la version 10.4 ou ultérieure héberger les imprimantes partagées et gérer les files d’attente et travaux d’impression associés. Mac OS X Server Administration de mises à jour de logiciels et d'images de système pour la version 10.4 ou ultérieure utiliser NetBoot et Installation en réseau pour créer des images disque à partir desquelles les ordinateurs Macintosh peuvent démarrer sur le réseau ; configurer un serveur de mise à jour de logiciels pour la mise à jour d’ordinateurs clients via le réseau. Mac OS X Server Administration du service de courrier pour la version 10.4 ou ultérieure installer, configurer et administrer les services de courrier sur le serveur. Mac OS X Server Administration de technologies Web pour la version 10.4 ou ultérieure configurer et gérer un serveur Web, dont WebDAV, WebMail, et les modules Web. Mac OS X Server Administration de services de réseaux pour la version 10.4 ou ultérieure installer, configurer et administrer DHCP, DNS, VPN, NTP, coupe-feu IP et services NAT sur le serveur. Mac OS X Server Administration d'Open Directory pour la version 10.4 ou ultérieure gérer les services de répertoires et d’authentification. F0170.book Page 16 Monday, May 2, 2005 12:37 PMPréface À propos de ce guide 17 Informations complémentaires La ressource suivante peut s’avérer utile quelle que soit votre expérience en tant qu’administrateur de réseau : Formation des clients Apple — cours en salle et autoformations afin de développer vos compétences en termes d’administration de serveur. train.apple.com/ Si vous êtes novice en gestion de serveur et de réseau Pour plus d’informations, consultez les ressources suivantes : Site Web de Mac OS X Server — passerelle vers des informations détaillées sur des produits et technologies. www.apple.com/fr/macosx/server/ Mac OS X Server Administration du Serveur Enchaînement QuickTime pour la version 10.4 ou ultérieure configurer et gérer les services d’enchaînement QuickTime. Mac OS X Server Administration des services Windows pour la version 10.4 ou ultérieure configurer et gérer des services tels que PDC, BDC, fichiers et impression pour les utilisateurs d’ordinateurs Windows. Mac OS X Server Migration à partir de Windows NT pour la version 10.4 ou ultérieure déplacer des comptes, des dossiers partagés et des services à partir de serveurs Windows NT vers Mac OS X Server. Mac OS X Server Administration du serveur d’applications Java pour la version 10.4 ou ultérieure configurer et administrer un serveur d’applications JBoss sur Mac OS X Server. Mac OS X Server Administration de la ligne de commande pour la version 10.4 ou ultérieure utiliser les commandes et les fichiers de configuration pour exécuter les tâches d’administration du serveur via l’interpréteur de commandes UNIX. Mac OS X Server Administration des services de collaboration pour la version 10.4 ou ultérieure configurer et gérer Weblog, iChat et d’autres services qui facilitent les interactions entre utilisateurs. Mac OS X Server Administration de la haute disponibilité pour la version 10.4 ou ultérieure gérer le basculement IP, l’agrégation des liens, l’équilibrage de charge et d’autres configurations matérielles et logicielles pour garantir la haute disponibilité des services Mac OS X Server. Mac OS X Server Administration d'Xgrid pour la version 10.4 ou ultérieure gérer des clusters de calcul Xserve à l’aide de l’application Xgrid. Mac OS X Server Glossaire : inclut la terminologie pour Mac OS X Server, Xserve, Xserve RAID et Xsan interpréter les termes utilisés pour les produits de serveur et les produits de stockage. Ce guide … explique comment : F0170.book Page 17 Monday, May 2, 2005 12:37 PM18 Préface À propos de ce guide Service & Support AppleCare — accédez à des centaines d’articles provenant de l’organisation d’assistance d’Apple. www.apple.com/fr/support/ Groupes de discussion Apple — moyen de partager des questions, des connaissances et des conseils avec d’autres administrateurs. discussions.info.apple.com/ Documents de référence,— publications telles que les titres ci-dessous. Ces ouvrages proposent des informations générales, des explications de concepts élémentaires et des idées pour tirer le meilleur parti de votre réseau : • Teach Yourself Networking Visually, de Paul Whitehead et Ruth Maran (Éd. IDG Books Worldwide, 1998). • Internet and Intranet Engineering, de Daniel Minoli (Éd. McGraw-Hill, 1997). Si vous êtes un administrateur de serveur chevronné Pour plus d’informations, consultez les ressources suivantes : Documents Ouvrez-moi—mises à jour importantes et informations spécifiques. Recherchez-les sur les disques du serveur. Site Web de Mac OS X Server — passerelle vers des informations détaillées sur des produits et technologies. www.apple.com/fr/macosx/server/ Service & Support AppleCare — accédez à des centaines d’articles provenant de l’organisation d’assistance d’Apple. www.apple.com/fr/support/ Groupes de discussion Apple — moyen de partager des questions, des connaissances et des conseils avec d’autres administrateurs. discussions. info.apple.com/ Répertoire de listes de diffusion Apple — abonnez-vous à des listes de diffusion afin de pouvoir communiquer par courrier électronique avec d’autres administrateurs. www.lists.apple.com/ Documents de référence — de nombreuses publications sont disponibles à partir de ressources en ligne telles que l’adresse suivante : www.ora.com Pour en savoir plus sur Apache, rendez-vous sur le site www.apache.org/. F0170.book Page 18 Monday, May 2, 2005 12:37 PM1 19 1 Vue d’ensemble de la gestion des utilisateurs Ce chapitre présente d’importants concepts de gestion des utilisateurs et décrit les applications que vous utiliserez pour gérer les comptes et les autorisations. La gestion des utilisateurs comprend toute une série de tâches allant de la configuration des comptes d’accès aux réseaux et la création de répertoires de départ à la gestion des préférences et des réglages d’utilisateur, de groupe et de liste d’ordinateurs. Mac OS X Server fournit les outils permettant d’exécuter l’ensemble de ces tâches. Outils de gestion des utilisateurs Parmi les principaux outils et applications de gestion des utilisateurs de Mac OS X Server, on trouve le Gestionnaire de groupe de travail, Admin Serveur, NetBoot et Installation en réseau. Gestionnaire de groupe de travail Le Gestionnaire de groupe de travail est un outil puissant qui offre toute une gamme de fonctions destinées à la gestion complète des clients Macintosh. Vous pouvez soit utiliser le Gestionnaire de groupe de travail directement à partir du serveur, soit l’installer indépendamment du logiciel Mac OS X Server sur un ordinateur client non serveur. Le Gestionnaire de groupe de travail fournit aux administrateurs de réseau une méthode centralisée pour gérer des stations de travail Mac OS X, contrôler l’accès aux logiciels et aux disques amovibles et garantir aux utilisateurs une expérience à la fois homogène et personnalisée, tant pour les élèves débutants d’une classe que pour des utilisateurs expérimentés travaillant dans une entreprise. F0170.book Page 19 Monday, May 2, 2005 12:37 PM20 Chapitre 1 Vue d’ensemble de la gestion des utilisateurs Le Gestionnaire de groupe de travail vous permet de créer des comptes d’utilisateur et de configurer des groupes afin d’offrir un accès aisé aux ressources. Il est possible d’ajouter et de configurer des listes d’ordinateurs afin d’autoriser ou de refuser à des utilisateurs ou des groupes l’accès à certains ordinateurs ou certaines imprimantes. Vous pouvez gérer les réglages d’utilisateur pour le courrier électronique, l’impression et les dossiers de départ. Le Gestionnaire de groupe de travail vous aide à configurer et à gérer les points de partage. Il est également possible d’utiliser les réglages de compte et les préférences gérées pour une flexibilité plus ou moins importante, en fonction du niveau de contrôle d’administration souhaité. Lorsque le Gestionnaire de groupe de travail est utilisé conjointement avec d’autres services Mac OS X Server, vous pouvez : • connecter les utilisateurs entre eux à l’aide de services tels que le courrier, le partage de fichiers, iChat et Weblog ; • partager des ressources système, telles qu’imprimantes et ordinateurs, en optimisant leur disponibilité lorsque les utilisateurs se déplacent et en veillant à ce que l’espace disque et l’utilisation des imprimantes soient partagés de façon équitable ; • personnaliser les environnements de travail, tels que les ressources de bureau et les fichiers personnels, des utilisateurs du réseau. Gestion des préférences Vous pouvez utiliser le Gestionnaire de groupe de travail de Mac OS X Server pour adapter les environnements de travail des clients Mac OS X. Les préférences que vous définissez pour des utilisateurs et des groupes individuels procurent un environnement uniforme de bureau, d’application et de réseau, quel que soit l’ordinateur Macintosh utilisé pour la connexion. Les préférences définies pour les listes d’ordinateurs permettent aux utilisateurs de disposer des mêmes conditions d’utilisation sur les ordinateurs de la liste. Pour en savoir plus sur les outils et les concepts de gestion des clients, lisez le chapitre 8, “Vue d’ensemble de la gestion des clients”. Répertoires de départ Un répertoire de départ est un dossier servant à stocker les fichiers et préférences d’un utilisateur. Les autres utilisateurs peuvent voir le répertoire de départ d’un utilisateur et lire des fichiers dans son dossier Public mais ils ne peuvent pas (par défaut) accéder à autre chose dans ce répertoire. Ceci est valable uniquement pour les utilisateurs dont les dossiers de départ figurent sur le même serveur ou point de partage. Lorsque vous créez un utilisateur dans un domaine de répertoire réseau, vous devez spécifier l’emplacement de son répertoire de départ sur le réseau. Cet emplacement est stocké dans le compte d’utilisateur et utilisé par divers services, dont la fenêtre d’ouverture de session et les services clients gérés par Mac OS X. F0170.book Page 20 Monday, May 2, 2005 12:37 PMChapitre 1 Vue d’ensemble de la gestion des utilisateurs 21 La fonctionnalité de répertoire de départ portable permet de synchroniser automatiquement (ou à la demande) le dossier de départ local et le dossier de départ réseau d’un utilisateur mobile. Il est possible également de contrôler la synchronisation via des préférences gérées. Pour plus d’informations sur les comptes mobiles, lisez le chapitre 3, “Gestion des utilisateurs pour des clients mobiles”. Réglages de courrier Pour créer le compte de service de courrier Mac OS X Server d’un utilisateur, configurez les réglages du courrier dans son compte d’utilisateur. Pour utiliser le compte de courrier électronique, il suffit à l’utilisateur de configurer un client de courrier à l’aide des réglages de courrier que vous spécifiez. Les réglages de compte de courrier vous permettent de contrôler l’accès d’un utilisateur aux services de courrier exécutés sur un ordinateur Mac OS X Server particulier. Vous pouvez également gérer des caractéristiques de compte, telles que le mode de gestion de la notification automatique des messages entrants, pour les comptes de courrier résidant sur les serveurs qui utilisent des versions de Mac OS X antérieures à 10.3. Pour plus de détails sur les réglages du service de courrier Mac OS X, consultez le guide d’administration du service de courrier. Utilisation de ressources Les quotas de disque, d’impression et de courrier peuvent être stockés dans un compte d’utilisateur. Les quotas de courrier et de disque limitent le nombre de méga-octets disponibles pour le courrier et les fichiers d’un utilisateur. Les quotas d’impression limitent le nombre de pages qu’un utilisateur peut imprimer à l’aide des services d’impression de Mac OS X Server. Les quotas d’impression peuvent également servir à désactiver complètement l’accès au service d’impression d’un utilisateur. Les réglages d’impression d’un utilisateur fonctionnent conjointement avec ceux du serveur d’impression décrits dans le guide d’administration du service d’impression. F0170.book Page 21 Monday, May 2, 2005 12:37 PM22 Chapitre 1 Vue d’ensemble de la gestion des utilisateurs Admin Serveur L’application Admin Serveur fournit l’accès à divers outils et services qui jouent un rôle dans la gestion du serveur. Ceci a un impact direct sur la gestion de l’utilisateur. Une fois que vous avez installé le logiciel Mac OS X Server, configuré les services de répertoire et mis en place votre réseau, vous pouvez commencer à créer et à gérer des comptes à l’aide du Gestionnaire de groupe de travail. Après avoir configuré des comptes et des répertoires de départ, vous pouvez utiliser Admin Serveur pour configurer des services supplémentaires et fournir le service de courrier, héberger des sites Web ou partager des imprimantes. Vous pouvez ensuite utiliser le Gestionnaire de groupe de travail pour créer des points de partage et autoriser les utilisateurs à partager des dossiers et des fichiers une fois le serveur configuré. Pour plus d’informations sur l’utilisation des outils Admin Serveur, reportez-vous aux documents figurant dans le tableau ci-dessous. Pour renseignez-vous sur dans le document attribuer des autorisations d’accès aux dossiers et fichiers d’un point de partage le gestionnaire de groupe de travail Administration des services de fichiers Mac OS X Server, version 10.4 ou ultérieure partager des imprimantes entre les utilisateurs le service d’impression Administration du service d’impression Mac OS X Server, version 10.4 ou ultérieure installer des sites Web ou la gestion WebDAV sur le serveur le service Web Administration des technologies Web de Mac OS X Server, version 10.4 ou ultérieure fournir des services de messagerie électronique aux utilisateurs le service de courrier Administration du service de courrier Mac OS X Server, version 10.4 ou ultérieure diffuser des données multimédias en temps r éel à partir du serveur le service d’enchaînement QuickTime Administration du Serveur Enchaînement QuickTime de Mac OS X Server, version 10.4 ou ultérieure fournir un système d’exploitation et des dossiers d’applications identiques aux ordinateurs clients l’Admin Serveur Mac OS X Server Administration de mises à jour de logiciels et d'images de système pour la version 10.4 ou ultérieure installer des applications sur l’ensemble d’un réseau l’installation en réseau Mac OS X Server Administration de mises à jour de logiciels et d'images de système pour la version 10.4 ou ultérieure partager des informations entre plusieurs ordinateurs Mac OS X Server ou Mac OS X les services de répertoires Administration d’Open Directory de Mac OS X Server, version 10.4 ou ultérieure F0170.book Page 22 Monday, May 2, 2005 12:37 PMChapitre 1 Vue d’ensemble de la gestion des utilisateurs 23 NetBoot Avec NetBoot, les ordinateurs Mac OS 9 et Mac OS X peuvent démarrer à partir d’une image disque système en réseau, ce qui permet de configurer rapidement et aisément des services, des salles de classe et des systèmes individuels, ainsi que de serveurs Web et d’applications sur l’ensemble d’un réseau. Lorsque vous mettez à jour des images NetBoot, tous les ordinateurs qui utilisent NetBoot ont immédiatement accès à la nouvelle configuration. Les clients Macintosh peuvent démarrer à partir d’une image disque système située sur Mac OS X Server au lieu du disque dur de l’ordinateur client. Vous pouvez configurer plusieurs images de disque NetBoot et ainsi faire démarrer des clients dans Mac OS 9 ou X, ou même personnaliser des environnements Macintosh pour différents groupes de clients. NetBoot peut simplifier l’administration et réduire la gestion normalement associée aux déploiements à grande échelle des systèmes Macintosh en réseau. NetBoot est la solution idéale pour les organisations dont bon nombre des ordinateurs client ont besoin d’être configurés de manière identique. NetBoot peut par exemple constituer une solution idéale pour un centre de données nécessitant plusieurs serveurs d’applications et serveurs Web configurés de manière identique. Avec NetBoot, les administrateurs peuvent configurer et mettre à jour les ordinateurs clients instantanément, en mettant simplement à jour une image de démarrage stockée sur le serveur. Chaque image contient le système d’exploitation et les dossiers d’application de tous les clients du serveur. Toutes les modifications apportées au serveur sont automatiquement reportées sur les clients lorsqu’ils redémarrent. Les systèmes endommagés ou altérés de quelque autre façon peuvent être restaurés de manière instantanée par simple redémarrage. Il existe plusieurs autres applications d’administration NetBoot : • NetBoot Desktop Admin (pour la modification des images Mac OS 9) • Utilitaire d’images de système (pour la création et la modification d’images Mac OS X) • DHCP et NetBoot (utilisés ensemble pour enregistrer des images NetBoot) Pour en savoir plus sur ces outils ou sur l’installation d’un système d’exploitation sur l’ensemble d’un réseau, lisez le guide d’administration des images système et de mise à jour de logiciels. F0170.book Page 23 Monday, May 2, 2005 12:37 PM24 Chapitre 1 Vue d’ensemble de la gestion des utilisateurs Installation en réseau L’application Installation en réseau est un service d’installation de logiciels de réseau centralisé. Grâce à elle, vous pouvez, de manière automatique et sélective, installer, restaurer ou mettre à jour des systèmes Macintosh en réseau, où que ce soit dans une structure. Utilisez PackageMaker (accès via Xcode) pour créer des paquets d’Installation en réseau. Les images d’installation peuvent contenir la dernière version de Mac OS X, une mise à jour de logiciels, des applications personnalisées ou dotées d’une licence de site et des scripts de configuration. • Installation en réseau est la solution idéale pour la migration de systèmes d’exploitation, l’installation de mises à jour de logiciels et de progiciels personnalisés, la restauration de salles d’informatique ainsi que pour réimager des ordinateurs de bureau ou portables. • Dans une structure, vous pouvez définir des images d’installation personnalisées pour divers départements :marketing, ingénierie et ventes par exemple. Avec Installation réseau, inutile d’insérer plusieurs CD pour configurer un système. L’ensemble des fichiers et des paquets d’installation se trouvent sur le serveur et sont installés en une fois sur l’ordinateur client. Installation réseau contient aussi des scripts de pré et post-installation servant à invoquer des actions avant ou après l’installation d’un ensemble de logiciels ou d’une image système. Pour en savoir plus sur l’utilisation d’Installation réseau, lisez le guide d’administration des images système et de mise à jour de logiciels. Comptes Vous pouvez configurer trois types de comptes à l’aide du Gestionnaire de groupe de travail : comptes d’utilisateur, comptes de groupe et listes d’ordinateurs. Lorsque vous définissez un compte d’utilisateur, vous devez fournir les informations nécessaires pour prouver l’identité de l’utilisateur : nom d’utilisateur, mot de passe et numéro d’identification d’utilisateur (ID utilisateur) D’autres informations de compte d’utilisateur sont requises par plusieurs services afin de déterminer ce que l’utilisateur a le droit de faire et de personnaliser éventuellement son environnement. Outre les comptes que vous créez, Mac OS X Server dispose de comptes d’utilisateur et de comptes de groupe prédéfinis, certains étant réservés au système Mac OS X. F0170.book Page 24 Monday, May 2, 2005 12:37 PMChapitre 1 Vue d’ensemble de la gestion des utilisateurs 25 Comptes d’administrateur Les utilisateurs dotés d’autorisations d’administration de serveur ou de domaine de répertoires sont appelés administrateurs. Un administrateur peut être administrateur de serveur ou de domaine ou les deux à la fois. Les autorisations d’administrateur de serveur déterminent si l’utilisateur est autorisé à accéder aux informations sur les réglages d’un serveur donné ou à modifier ces réglages. Les autorisations d’administrateur de domaine déterminent dans quelle mesure l’utilisateur est autorisé à voir ou à modifier les réglages de compte des utilisateurs, des groupes et des listes d’ordinateurs du domaine de répertoires. Administration du serveur Les autorisations d’administration de serveur déterminent les pouvoirs dont dispose un utilisateur lorsqu’il est connecté à un Mac OS X Server spécifique. Par exemple : • Un administrateur de serveur peut utiliser Admin Serveur et modifier la politique de recherche d’un serveur à l’aide de Format de répertoire. • Un administrateur de serveur ne voit pas seulement les points de partage, il peut également voir tous les répertoires AFP sur le serveur (depuis un ordinateur autre que le serveur). Lorsque vous attribuez des autorisations d’administration de serveur à un utilisateur, ce dernier est ajouté au groupe prédéfini appelé “admin” dans le domaine de répertoire local du serveur. De nombreuses applications Mac OS X, telles qu’Admin Serveur, Format de répertoire et Préférences Système, utilisent le groupe admin pour déterminer si un utilisateur donné peut réaliser certaines opérations d’administration à l’aide de l’une d’entre elles. Dans le répertoire local du serveur, l’identifiant d’utilisateur de l’administrateur principal (l’utilisateur admin) est 501. Administration d’ordinateurs Mac OS X locaux Quiconque appartenant au groupe “admin” du domaine de répertoires local de tout ordinateur Mac OS X bénéficie de droits d’administration sur cet ordinateur. Administration de domaines de répertoires Lorsque vous créez un domaine de répertoires dans Mac OS X Server, un compte d’administrateur de domaine est également créé et ajouté au groupe admin du domaine. L’identifiant d’utilisateur par défaut de l’administrateur de domaine est 1000 lorsque la zone de dialogue de création du compte s’affiche ; c’est également dans cette zone de dialogue que vous devez choisir vos nom et mot de passe. Le compte d’administrateur de domaine est également un compte d’administrateur de serveur, mais l’administrateur de serveur n’est pas un administrateur de domaine par défaut. Chaque répertoire dispose d’un compte d’administrateur de domaine indépendant et un administrateur de domaine peut créer des administrateurs supplémentaires dans le même domaine. F0170.book Page 25 Monday, May 2, 2005 12:37 PM26 Chapitre 1 Vue d’ensemble de la gestion des utilisateurs Vous pouvez autoriser certains utilisateurs à gérer des comptes spécifiques. Par exemple, vous pouvez faire d’un administrateur de réseau l’administrateur de tous les serveurs de votre salle de classe, mais donner à chaque professeur les autorisations pour gérer les comptes d’étudiant dans des domaines de répertoires spécifiques. Tout utilisateur disposant d’un compte d’utilisateur dans un domaine de répertoires peut être nommé administrateur de domaine de répertoires (administrateur de ce domaine). Vous pouvez contrôler dans quelle mesure un administrateur de domaine de répertoire peut modifier les données de compte stockées dans un domaine. Vous pouvez, par exemple, configurer des autorisations de domaine de répertoire afin que votre administrateur de réseau puisse ajouter et supprimer des comptes d’utilisateur, mais que d’autres utilisateurs puissent modifier les informations concernant des utilisateurs particuliers. Vous pouvez également désigner plusieurs administrateurs pour gérer différents groupes. Lorsque vous attribuez des autorisations d’administration de domaine de répertoires à un utilisateur, cet utilisateur est ajouté au groupe d’administration du serveur sur lequel est situé le domaine de répertoires. Utilisateurs et utilisateurs gérés En fonction de la configuration de votre serveur et de vos comptes d’utilisateur, les utilisateurs peuvent se connecter à l’aide d’ordinateurs Mac OS 9 et Mac OS X, Windows ou UNIX et être pris en charge par Mac OS X Server. La plupart des utilisateurs disposent d’un compte individuel qui sert à les authentifier et à contrôler leur accès aux services. Si vous souhaitez personnaliser l’environnement d’un utilisateur, vous devez définir des préférences d’utilisateur, de groupe ou d’ordinateur pour cet utilisateur. Le terme client géré ou utilisateur géré désigne un utilisateur dont les préférences associées à son compte sont contrôlées par un administrateur. Le terme client géré est également utilisé pour désigner des listes d’ordinateurs dont les préférences ont été définies. Lorsqu’un utilisateur géré ouvre une session, les préférences qui prennent effet sont une combinaison de ses préférences d’utilisateur et des préférences configurées pour tout groupe de travail ou toute liste d’ordinateurs auxquels il appartient. Pour obtenir des informations sur les utilisateurs gérés, consultez le chapitre 9, “Gestion des préférences”, à la page 157. Utilisateurs invités Vous serez amené à fournir des services à des personnes anonymes, qui ne peuvent être authentifiées car elles ne disposent pas d’un nom d’utilisateur et d’un mot de passe valides. Ces utilisateurs sont appelés utilisateurs invités. F0170.book Page 26 Monday, May 2, 2005 12:37 PMChapitre 1 Vue d’ensemble de la gestion des utilisateurs 27 Certains services, par exemple AFP, vous permettent de spécifier si vous souhaitez que les utilisateurs invités puissent accéder aux fichiers. Si vous permettez l’accès aux invités, les utilisateurs se connectant de façon anonyme ne pourront accéder qu’aux fichiers et dossiers dont les autorisations sont réglées sur Tous. Le compte d’utilisateur invité est utilisé lorsqu’aucun enregistrement d’utilisateur concordant n’est trouvé pendant l’authentification. Groupes, groupes principaux et groupes de travail Un groupe consiste simplement en un ensemble d’utilisateurs ayant des besoins similaires. Vous pouvez, par exemple, constituer un seul groupe avec tous vos professeurs d’anglais et lui donner des autorisations d’accès à certains fichiers ou dossiers d’un volume. Les groupes simplifient l’administration des ressources partagées. Plutôt que d’accorder individuellement l’accès de diverses ressources à chaque utilisateur qui en a besoin, vous pouvez tout simplement ajouter les utilisateurs à un groupe et accorder l’accès à tous les utilisateurs de ce groupe. Les informations des comptes de groupe sont utilisées pour aider à contrôler l’accès des utilisateurs aux répertoires et aux fichiers. Consultez “Accès par d’autres utilisateurs aux répertoires et fichiers” à la page 32 pour en savoir plus à ce sujet. Les groupes peuvent en outre être imbriqués dans d’autres groupes. Un groupe peut, par exemple, faire partie d’un autre groupe. Un groupe qui contient un autre groupe est appelé “groupe parent” ; le groupe inclus est appelé “groupe imbriqué”. Les groupes imbriqués permettent d’hériter d’autorisations d’accès et de préférences gérées à l’ouverture de session. Dossiers de groupe Lorsque vous définissez un groupe, vous pouvez également spécifier un dossier pour le stockage des fichiers que vous souhaitez voir partagés par les membres du groupe. L’emplacement du dossier est enregistré dans le compte du groupe. Vous pouvez attribuer à un utilisateur donné une autorisation en écriture sur un dossier de groupe ou l’autoriser à modifier les attributs d’un dossier de groupe dans le Finder. Goupes de travail Un groupe pour lequel vous définissez des préférences est appelé groupe de travail. Un groupe de travail vous permet de gérer l’environnement de travail des membres de ce groupe. Toute préférence définie pour un groupe de travail Mac OS X est stockée dans le compte de groupe. Pour obtenir une description des préférences de groupe de travail, consultez le chapitre 9, “Gestion des préférences”, à la page 157. F0170.book Page 27 Monday, May 2, 2005 12:37 PM28 Chapitre 1 Vue d’ensemble de la gestion des utilisateurs Listes d’ordinateurs Une liste d’ordinateurs comprend un ou plusieurs ordinateurs possédant les mêmes réglages de préférence et disponibles pour des utilisateurs et des groupes particuliers. Vous pouvez créer et modifier des listes d’ordinateurs dans le Gestionnaire de groupe de travail. Pour en savoir plus sur la configuration de listes d’ordinateurs pour des ordinateurs clients Mac OS X, consultez le chapitre 6, “Configuration de listes d’ordinateurs” Pour spécifier les préférences des listes d’ordinateurs Mac OS X, consultez le chapitre 9, “Gestion des préférences”. Ordinateurs hôtes La plupart des ordinateurs de votre réseau sont répertoriés dans une liste d’ordinateurs dotée d’un nom. Si un ordinateur inconnu (ne figurant pas sur une liste d’ordinateurs) se connecte à votre réseau et tente d’accéder à des services, il doit être traité en tant qu’ordinateur hôte. Les réglages choisis pour la liste d’ordinateurs hôtes s’appliquent à ces ordinateurs inconnus. Une liste d’ordinateurs hôtes est automatiquement créée pour un domaine de répertoires local de serveur. Si le serveur est un maître ou une réplique Open Directory, une liste d’ordinateurs hôtes est également créée pour son domaine de répertoires LDAP. Utilisation côté utilisateur Une fois que vous avez créé un compte d’utilisateur, ce dernier peut accéder aux ressources du serveur en fonction des autorisations que vous lui avez accordées. Pour la plupart des utilisateurs, le flux habituel d’événements allant de la connexion à la déconnexion se déroule comme suit : • Authentification L’utilisateur saisit un nom et un mot de passe. • Validation de l’identité Le nom d’utilisateur et le mot de passe sont vérifiés par les services de répertoires. • Ouverture de session L’utilisateur obtient le droit d’accéder au serveur et aux ressources réseau. • Accès L’utilisateur se connecte aux serveurs, aux points de partage et aux applications autorisés afin de les utiliser. • Fermeture de session La session de l’utilisateur est terminée. Les détails de l’expérience d’utilisateur peuvent varier selon le type d’utilisateur, les autorisations accordées, le type d’ordinateur client (Windows ou UNIX, par exemple) utilisé, le fait que l’utilisateur est membre d’un groupe ou non, ainsi que le niveau d’implémentation de la gestion des préférences (utilisateur, groupe ou ordinateur). F0170.book Page 28 Monday, May 2, 2005 12:37 PMChapitre 1 Vue d’ensemble de la gestion des utilisateurs 29 Vous trouverez des informations sur l’expérience d’utilisateur Mac OS X au chapitre 8, “Vue d’ensemble de la gestion des clients”. Les informations de base sur l’authentification, la validation du mot de passe et le contrôle de l’accès aux informations sont données dans les sections suivantes. Pour obtenir des informations détaillées sur ces sujets, lisez le guide d’administration des services de fichiers. Authentification Avant qu’un utilisateur ne puisse ouvrir une session ou se connecter sur un ordinateur Mac OS X, il doit entrer un nom et un mot de passe associés à un compte d’utilisateur identifiable par l’ordinateur. Un ordinateur Mac OS X peut situer des comptes d’utilisateur stockés dans un domaine de répertoires de la politique de recherche. • Un domaine de répertoire conserve des informations sur les utilisateurs et les ressources. Il est similaire à une base de données à laquelle la configuration d’un ordinateur prévoit un accès en vue de recueillir des informations de configuration. • Une politique de recherche est une liste de domaines de répertoires dans laquelle l’ordinateur procède à des recherches lorsqu’il a besoin d’informations de configuration, en commençant par le domaine de répertoires local situé sur l’ordinateur de l’utilisateur. Le guide d’administration Open Directory décrit les différents types de domaines de répertoires et explique la configuration des politiques de recherche sur tout ordinateur Mac OS X. Il détaille également différents types de méthodes et d’instructions d’authentification pour la configuration des options d’authentification de l’utilisateur. L’illustration suivante montre un utilisateur qui ouvre une session sur un ordinateur Mac OS X capable de situer le compte de cet utilisateur dans un domaine de répertoires de sa politique de recherche. Se connecter à Mac OS X Domaines de répertoires dans la politique de recherche F0170.book Page 29 Monday, May 2, 2005 12:37 PM30 Chapitre 1 Vue d’ensemble de la gestion des utilisateurs Après connexion, l’utilisateur peut se connecter à un ordinateur Mac OS X distant si son compte d’utilisateur peut être repéré dans la politique de recherche de cet ordinateur distant. Si Mac OS X localise un compte d’utilisateur contenant le nom saisi par l’utilisateur, il tente de valider le mot de passe associé au compte. Si le mot de passe est validé, l’utilisateur est authentifié et le processus de connexion terminé. Une fois sa session ouverte sur l’ordinateur Mac OS X, l’utilisateur peut accéder à l’ensemble des ressources définies dans les répertoires compris dans le chemin de recherche de son ordinateur, notamment les répertoires de départ, les imprimantes et les points de partage. Un point de partage est un disque dur (ou une partition de disque dur), un CD-ROM ou un dossier qui contient les fichiers que vous souhaitez voir partagés entre les utilisateurs. Les utilisateurs peuvent accéder à leur répertoire de départ en cliquant sur leur dossier de départ dans une fenêtre du Finder ou en choisissant Départ dans le menu Aller du Finder. L’utilisateur n’est toutefois pas obligé de se connecter à un serveur pour accéder aux ressources réseau. Par exemple, lorsqu’un utilisateur se connecte à un ordinateur Mac OS X, il peut accéder aux fichiers pour lesquels il dispose d’une autorisation d’accès sur l’ordinateur, même si le système de fichiers l’invite à saisir au préalable un nom et un mot de passe d’utilisateur. Lorsqu’un utilisateur accède aux ressources publiques d’un serveur sans avoir ouvert de session sur le serveur, c’est la politique de recherche de l’ordinateur de l’utilisateur qui est appliquée et non celle de l’ordinateur auquel l’utilisateur s’est connecté. Domaines de répertoires dans la politique de recherche Se connecter à Mac OS X Server F0170.book Page 30 Monday, May 2, 2005 12:37 PMChapitre 1 Vue d’ensemble de la gestion des utilisateurs 31 Validation de l’identité Lors de la procédure d’authentification d’un utilisateur, Mac OS X commence par repérer le compte de cet utilisateur, puis recourt à la stratégie de mot de passe désignée dans ce compte pour valider le mot de passe. Open Directory vous offre plusieurs options de validation du mot de passe d’un utilisateur. Pour obtenir des informations détaillées sur les options de validation de mot de passe, lisez le guide d’administration Open Directory. Contrôle de l’accès aux informations Voici les autorisations que vous pouvez spécifier pour chaque répertoire (dossier) ou fichier d’un ordinateur Mac OS X : • le propriétaire du fichier ; • le groupe du fichier ; • tous les autres. Mac OS X utilise une donnée particulière de compte d’utilisateur, l’identifiant d’utilisateur, pour effectuer le suivi des autorisations d’accès aux répertoires et aux fichiers. Compte de l'utilisateur Le mot de passe peut être validé à l'aide de la valeur stockée dans le compte de l'utilisateur ou dans la base de données d'authentification Open Directory. Le mot de passe peut également être validé à l'aide d'une autre autorité d'authentification. Centre de distribution de clés Kerberos Liaison LDAP Authentification Open Directory Possesseur 127 : lecture et écriture Groupe 2017 : lecture seulement Autres : aucun MonDoc F0170.book Page 31 Monday, May 2, 2005 12:37 PM32 Chapitre 1 Vue d’ensemble de la gestion des utilisateurs Accès de propriétaire à des répertoires et des fichiers Lorsqu’un répertoire ou un fichier est créé, le système de fichiers stocke l’identifiant de l’utilisateur qui l’a créé. Si un utilisateur doté de cet identifiant accède au répertoire ou au fichier, il dispose par défaut d’autorisations de lecture et d’écriture pour l’élément concerné. De plus, tous les processus initiés par le créateur disposent d’autorisations de lecture et d’écriture pour tous les fichiers associés à l’identifiant d’utilisateur du créateur. Si vous modifiez l’identifiant d’un utilisateur, ce dernier risque de ne plus pouvoir modifier ni même accéder aux fichiers et répertoires qu’il a créés. De même, si l’utilisateur ouvre une session avec un identifiant différent de celui qu’il a utilisé pour créer les fichiers et répertoires, il n’aura plus d’autorisations d’accès de propriétaire à ces derniers. Accès par d’autres utilisateurs aux répertoires et fichiers L’identifiant d’utilisateur, en association avec un identifiant de groupe, est également utilisé pour contrôler l’accès des utilisateurs membres de groupes particuliers ou de groupes parents. Chaque utilisateur appartient à un groupe principal. L’identifiant de groupe principal d’un utilisateur est enregistré dans le compte de l’utilisateur. Lorsqu’un utilisateur accède à un répertoire ou à un fichier dont il n’est pas le propriétaire, le système de fichiers vérifie les autorisations de groupe de ce fichier. • Si l’identifiant de groupe principal de l’utilisateur correspond à l’identifiant du groupe associé au fichier, l’utilisateur hérite des autorisations d’accès du groupe. • Si l’identifiant de groupe principal de l’utilisateur ne correspond pas à l’identifiant de groupe du fichier, Mac OS X recherche le compte de groupe qui possède des autorisations d’accès. Le compte de groupe contient une liste des noms abrégés des utilisateurs membres du groupe. Le système de fichiers fait correspondre chaque nom abrégé du compte de groupe à un identifiant d’utilisateur et, si l’identifiant de l’utilisateur correspond à l’identifiant d’un membre du groupe, l’utilisateur bénéficie des autorisations d’accès du groupe pour le fichier ou le répertoire. • Si l’identifiant de groupe principal de l’utilisateur (ou l’identifiant d’un groupe parent) correspond à l’identifiant du groupe associé au fichier (ou à un groupe parent), l’utilisateur hérite des autorisations d’accès de groupe. • Pour tous les autres cas, l’accès de l’utilisateur est réglé par défaut sur les autorisations génériques “tout le monde/monde”. Identifiants uniques globaux (GUID) Disponible depuis Mac OS X 10.4, l’identifiant universel appelé identifiant unique global (GUID) fournit à l’utilisateur et au groupe une identité pour les autorisations ACL. Le GUID associe également un utilisateur à des adhésions de groupe et de groupe imbriqué. Vous trouverez des informations sur les GUID et leurs implications à l’Annexe B. F0170.book Page 32 Monday, May 2, 2005 12:37 PM2 33 2 Introduction à la gestion des utilisateurs Ce chapitre fournit des informations sur la configuration d’un environnement de gestion des utilisateurs. Il contient des directives générales pour la planification, ainsi que des astuces pour l’utilisation du Gestionnaire de groupe de travail, le principal outil de gestion des utilisateurs : • Une présentation générale de la configuration est proposée ci-après. • La planification des stratégies de gestion des utilisateurs est décrite à partir de la page 40. • Les instructions d’utilisation du Gestionnaire de groupe de travail sont décrites à partir de la page 44. • Les instructions pour le listage et la recherche de comptes dans le Gestionnaire de groupe de travail sont décrites à partir de la page 47. • Les raccourcis pour l’utilisation de comptes sont décrits à partir de la page 52. • La sauvegarde et la restauration des fichiers de gestion des utilisateurs sont décrites à partir de la page 53. Présentation générale de la configuration Cette section fournit une présentation générale des tâches de configuration de la gestion des utilisateurs, afin de vous aider à comprendre l’ordre dans lequel un administrateur doit créer un environnement géré. Toutes les étapes décrites ne seront pas nécessaires dans tous les cas : • Étape 1 : Élaboration d’un programme avant de commencer • Étape 2 : Configuration de l’infrastructure du serveur • Étape 3 : Configuration d’un ordinateur administrateur • Étape 4 : Configuration d’un point de partage de répertoire de départ • Étape 5 : Création de comptes d’utilisateur et de répertoires de départ • Étape 6 : Configuration des ordinateurs clients • Étape 7 :Définition des préférences de comptes d’utilisateur • Étape 8 : Création des comptes de groupe et des dossiers de groupe • Étape 9 :Définition des préférences de comptes de groupe • Étape 10 :Définition des listes et des préférences d’ordinateurs • Étape 11 : Plan de maintenance continue des comptes F0170.book Page 33 Monday, May 2, 2005 12:37 PM34 Chapitre 2 Introduction à la gestion des utilisateurs Étape 1 : Élaboration d’un programme avant de commencer Analysez les besoins de vos utilisateurs pour déterminer la configuration de service de répertoires et la configuration de répertoire de départ appropriées. Consultez la section “Programmation de stratégies pour la gestion des utilisateurs” à la page 40. Étape 2 : Configuration de l’infrastructure du serveur Assurez-vous qu’un ou plusieurs serveurs Mac OS X Server sont configurés pour l’hébergement de comptes d’utilisateur, de comptes de groupe, de listes d’ordinateurs, de répertoires de départ, de dossiers de groupe et d’autres dossiers partagés. Les nouveaux serveurs sont livrés avec les logiciels Mac OS X Server préinstallés. Utilisez Assistant du serveur (situé dans /Applications/Server/) pour procéder à la configuration initiale du serveur. Si vous devez installer des logiciels de serveur, utilisez d’abord le guide Premiers contacts pour comprendre la configuration système requise et les options d’installation. Configurez le serveur pour qu’il héberge des domaines de répertoires partagés ou donne accès à ces derniers. Les domaines de répertoires partagés (appelés également répertoires partagés) contiennent les informations d’utilisateurs, de groupes et d’ordinateurs auxquelles vous souhaitez que de nombreux ordinateurs puissent accéder. Les utilisateurs dont les comptes se trouvent dans un répertoire partagé sont appelés utilisateurs réseau. Il existe différents types de répertoires partagés et différentes manières d’utiliser les informations qui y sont stockées. Vous pouvez utiliser le Gestionnaire de groupe de travail pour ajouter et modifier des comptes d’utilisateur et de groupe qui sont stockés dans le répertoire LDAP d’un maître Open Directory, dans un domaine NetInfo ou dans d’autres domaines de répertoires en lecture/écriture. Si vous utilisez des fichiers de configuration LDAPv2, LDAPv3 en lecture seule, BSD ou d’autres répertoires en lecture seule, assurez-vous qu’ils sont configurés pour gérer l’accès à Mac OS X Server et fournissent les données dont vous avez besoin pour les comptes d’utilisateur et de groupe. Il sera peut-être nécessaire d’ajouter, de modifier ou de réorganiser les informations dans un répertoire afin qu’elles soient au format requis. Le guide d’administration d’Open Directory contient des instructions pour la configuration d’un répertoire partagé sous Mac OS X Server ou la configuration de l’accès à un répertoire partagé sur un autre ordinateur. L’une des annexes du guide d’administration d’Open Directory décrit les formats de données de compte reconnus par Mac OS X (informations utiles si vous devez utiliser des répertoires qui ne résident pas sur des ordinateurs Mac OS X Server). F0170.book Page 34 Monday, May 2, 2005 12:37 PMChapitre 2 Introduction à la gestion des utilisateurs 35 Si certains de vos utilisateurs utilisent des ordinateurs Windows, consultez le guide d’administration des services Windows pour apprendre comment configurer le serveur pour la gestion d’utilisateurs, de groupes et d’ordinateurs Windows. Le guide d’administration des services Windows décrit, par exemple, comment configurer des comptes d’utilisateur dans un domaine de répertoires Mac OS X Server pour que le serveur puisse fournir des services de fichiers, la connexion au domaine et des répertoires de départ aux utilisateurs Windows. Open Directory offre plusieurs options d’authentification des utilisateurs (y compris des utilisateurs Windows) dont les comptes sont stockés dans des domaines de répertoires sur Mac OS X Server. Open Directory peut en outre accéder à des comptes qui se trouvent dans des répertoires existants sur votre réseau, tels qu’Active Directory sur un serveur Windows. Consultez le guide d’administration Open Directory pour obtenir des instructions sur la configuration. Mac OS X Server rend les ressources importantes visibles sur le réseau. Ces ressources comprennent les répertoires de départ réseau, les dossiers de groupe et d’autres dossiers partagés. Comme ces dossiers résident sur le serveur, les utilisateurs peuvent y accéder à partir de différents ordinateurs. Pour obtenir des informations sur la configuration des services de fichiers qui conviennent au partage de fichiers que vous souhaitez implémenter, consultez le guide d’administration des services de fichiers. Vous pouvez utiliser AFP ou NFS pour les répertoires de départ, AFP pour les dossiers de groupe et divers protocoles (AFP, Windows, NFS et FTP) pour les autres dossiers partagés. Étape 3 : Configuration d’un ordinateur administrateur Comme les serveurs sont installés dans un lieu sûr et verrouillé, les administrateurs effectuent les tâches de gestion d’utilisateurs à distance, à partir de n’importe quel ordinateur Mac OS X exécutant la version 10.4 ou ultérieure. Nous appellerons cet ordinateur l’ordinateur administrateur. Pour configurer un ordinateur administrateur : 1 Procurez-vous un ordinateur sur lequel Mac OS X 10.4 ou ultérieur est installé. Assurez-vous qu’il dispose d’au moins 256 Mo de mémoire RAM et de 1 Go d’espace disque disponible. 2 Introduisez le disque Mac OS X Server Administration Tools dans le lecteur, puis démarrez le programme d’installation (ServerAdmin.pkg). 3 Suivez les instructions à l’écran. F0170.book Page 35 Monday, May 2, 2005 12:37 PM36 Chapitre 2 Introduction à la gestion des utilisateurs 4 Si vous devez gérer des préférences qui utilisent des chemins d’accès spécifiques pour la recherche des fichiers (telles les préférences Classic et Dock), assurez-vous que l’ordinateur administrateur possède la même structure de système de fichiers que tous les ordinateurs clients gérés. En d’autres termes, les noms de dossiers, les disques, l’emplacement des applications, etc. devront être identiques. Pour pouvoir utiliser l’ordinateur administrateur afin de créer et gérer des comptes dans un répertoire partagé, vous devez disposer d’un compte d’utilisateur dans le répertoire partagé et vous devez être un administrateur de domaine. Un administrateur de domaine peut utiliser le Gestionnaire de groupe de travail pour ajouter et modifier des comptes qui se trouvent dans le répertoire LDAP d’un maître Open Directory, dans un domaine NetInfo ou dans un autre domaine de répertoires en lecture/écriture. Pour créer un compte d’administrateur de domaine : 1 Sur l’ordinateur administrateur, ouvrez Gestionnaire de groupe de travail, authentifiezvous comme l’administrateur créé lors de la configuration initiale du serveur. 2 Accédez au répertoire partagé en cliquant sur le globe qui se trouve au-dessus de la liste des comptes. Choisissez le répertoire souhaité. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Cliquez sur Nouvel utilisateur. 4 Cliquez sur Élémentaire pour fournir des informations élémentaires pour l’administrateur. 5 Pour attribuer d’autres responsabilités à l’administrateur de domaine, comme par exemple la configuration des services de fichiers pour la gestion des dossiers partagés, sélectionnez “L’utilisateur peut administrer ce domaine”. Une fois que vous avez coché la case, une zone de dialogue apparaît dans laquelle vous pouvez désactiver certaines autorisations pour le compte d’administrateur. Pour plus d’informations, consultez la section “Attributions de droits d’administrateur pour un domaine de répertoire” à la page 83. 6 Cliquer sur Enregistrer. Les étapes restantes peuvent être exécutées par l’administrateur de domaine à partir de l’ordinateur administrateur. Étape 4 : Configuration d’un point de partage de répertoire de départ Les répertoires de départ des comptes stockés dans des répertoires partagés peuvent résider dans un point de partage réseau auquel l’ordinateur de l’utilisateur peut accéder. Le point de partage doit être montable automatiquement, c’est-à-dire qu’il doit y avoir un enregistrement de montage de réseau dans le domaine de répertoires où réside le compte d’utilisateur. F0170.book Page 36 Monday, May 2, 2005 12:37 PMChapitre 2 Introduction à la gestion des utilisateurs 37 Un point de partage montable automatiquement garantit que le répertoire de départ est automatiquement visible dans /Network/Servers quand l’utilisateur se connecte à un ordinateur Mac OS X configuré pour pouvoir accéder au répertoire partagé. Il permet aussi à d’autres utilisateurs d’accéder au répertoire de départ à l’aide du raccourci ~ nom-répertoire-départ. Vous pouvez configurer des répertoires de départ réseau pour qu’ils soient accessibles via AFP ou NFS. Vous pouvez également configurer des répertoires de départ pour les utilisateurs Windows : • Pour obtenir des instructions sur la configuration de points de partage AFP ou NFS pour des répertoires de départ réseau destinés à des utilisateurs Macintosh, consultez le chapitre 7, “Configuration des répertoires de départ”. • Pour obtenir des informations sur la configuration de points de partage SMB/CIFS destinés à des répertoires de départ d’utilisateurs Windows, consultez le guide d’administration des services Windows. Étape 5 : Création de comptes d’utilisateur et de répertoires de départ Vous pouvez utiliser le Gestionnaire de groupe de travail pour créer des comptes d’utilisateur dans des répertoires qui résident sur un ordinateur Mac OS X Server et dans des répertoires non LDAP qui ne sont pas en lecture seule. Des instructions détaillées sont disponibles à divers endroits du présent guide : • Pour obtenir des informations sur la manière de créer des comptes d’utilisateur Mac OS X, consultez le chapitre 4, “Configuration des comptes d’utilisateur”. • Pour obtenir des informations sur la création de comptes d’utilisateur mobiles Mac OS X, consultez le chapitre 3, “Gestion des utilisateurs pour des clients mobiles”. • Pour obtenir des informations sur les répertoires de départ, consultez le chapitre 7, “Configuration des répertoires de départ”. • Pour obtenir des informations sur l’utilisation de comptes en lecture seule, consultez la section “Utilisation de comptes d’utilisateur en lecture seule” à la page 70. Vous pouvez également créer des comptes sous Mac OS X Server pour gérer des utilisateurs Windows et fournir la connexion aux domaines Windows, des profils d’utilisateurs itinérants, des répertoires de départ, le service de fichiers, le service de courrier, etc. Pour obtenir des instructions, consultez le guide d’administration des services Windows. Étape 6 : Configuration d’ordinateurs clients Mac OS X Server peut gérer des utilisateurs de Mac OS X, de Mac OS 9 ou d’ordinateurs clients Windows. F0170.book Page 37 Monday, May 2, 2005 12:37 PM38 Chapitre 2 Introduction à la gestion des utilisateurs Pour les ordinateurs Mac OS X, configurez la politique de recherche de l’ordinateur pour qu’il puisse localiser les domaines de répertoires partagés. Pour obtenir des instructions et des informations complémentaires sur les politiques de recherche dans l’aide à l’écran, consultez le guide d’administration d’Open Directory. Utilisez l’option d’authentification automatique si vous avez configuré un serveur DHCP pour identifier l’emplacement du répertoire partagé lorsqu’il fournit une adresse IP aux ordinateurs clients Mac OS X. Sinon, utilisez l’option Chemin personnalisé pour identifier le serveur qui héberge le répertoire partagé. Pour obtenir des instructions de configuration d’ordinateurs Mac OS X mobiles qui utilisent AirPort pour communiquer avec Mac OS X Server, consultez le document Création de réseaux AirPort Extreme (accessible à l’adresse www.apple.com/fr/airport/). Les stations de travail Windows qui sont utilisées pour la connexion aux domaines Windows doivent se connecter au contrôleur de domaine principal Mac OS X Server de la même manière que les stations de travail qui se connectent au domaine d’un serveur Windows NT, comme l’explique le guide d’administration des services Windows. Si vous devez configurer un grand nombre d’ordinateurs clients Macintosh, l’utilisation d’Installation en réseau vous permettra de créer une image système qui automatise la configuration des ordinateurs clients. Pour obtenir des options et des instructions, consultez le guide d’administration des images système et des mises à jour de logiciels. Étape 7 : Définition des préférences de comptes d’utilisateur La gestion de l’environnement de travail des utilisateurs Macintosh dont les comptes résident dans un domaine partagé s’effectue en définissant des préférences de compte d’utilisateur. Pour obtenir des informations sur les préférences d’utilisateur Mac OS X, consultez le chapitre 8, “Vue d’ensemble de la gestion des clients” et le chapitre 9, “Gestion des préférences”. Étape 8 : Création de comptes de groupe et de dossiers de groupe Utilisez le Gestionnaire de groupe de travail pour créer des comptes de groupe dans des répertoires qui résident sur un serveur Mac OS X Server et dans des domaines Open Directory non LDAP qui ne sont pas en lecture seule. Des instructions détaillées apparaissent à divers endroits du présent guide. • Pour obtenir des informations sur la manière de créer des comptes de groupe Mac OS X, consultez le chapitre 5, “Configuration des comptes de groupe”. Bien que certaines informations de groupe ne s’appliquent pas aux utilisateurs Windows, vous pouvez ajouter des utilisateurs Windows aux groupes que vous créez. Les procédures de gestion des comptes de groupe pour utilisateurs Windows sont identiques à celles des groupes qui ne contiennent que des utilisateurs Mac OS X. • Pour plus d’informations sur l’utilisation des comptes de groupe en lecture seule, consultez “Utilisation de comptes de groupe en lecture seule” à la page 104. F0170.book Page 38 Monday, May 2, 2005 12:37 PMChapitre 2 Introduction à la gestion des utilisateurs 39 Vous pouvez configurer un dossier de groupe destiné à être utilisé par les membres d’un groupe. Utilisez le Gestionnaire de groupe de travail pour définir un point de partage pour le dossier de groupe et associez le point de partage au groupe. Créez le dossier de groupe à l’aide de la commande CreateGroupFolder dans l’application Terminal. Pour obtenir des instructions, consultez la section “Travail avec les réglages du dossier de groupe” à la page 108. Pour les utilisateurs Mac OS X, utilisez des préférences de Dock ou d’ouverture de session, afin de faciliter la localisation du répertoire de groupe. Pour les utilisateurs Windows, partagez le point de partage du dossier de groupe via SMB/CIFS. Les utilisateurs peuvent aller dans Favoris réseau (ou Voisinage réseau) pour accéder au contenu du dossier de groupe. Étape 9 : Définition des préférences de comptes de groupe Vous pouvez gérer les préférences d’un groupe d’utilisateurs Macintosh. Un groupe dont les préférences sont gérées est appelé groupe de travail. Pour obtenir des informations sur les groupes de travail Mac OS X, consultez le chapitre 8, “Vue d’ensemble de la gestion des clients” et le chapitre 9, “Gestion des préférences”. Étape 10 : Définition de listes d’ordinateurs et de préférences Utilisez des listes d’ordinateurs pour gérer des ordinateurs clients Macintosh ou Windows. • Pour obtenir des informations sur la création de listes d’ordinateurs Mac OS X, consultez le chapitre 6, “Configuration de listes d’ordinateurs”. Pour obtenir des informations sur les préférences de listes d’ordinateurs, consultez le chapitre 8, “Vue d’ensemble de la gestion des clients” et le chapitre 9, “Gestion des préférences”. • Tout ordinateur Windows géré par le contrôleur de domaine principal Mac OS X Server doit figurer sur la liste d’ordinateurs Windows. Pour plus de détails, consultez le guide d’administration des services Windows. Étape 11 : Procédez à la maintenance des comptes Vous devrez mettre régulièrement à jour les informations de compte au fur et à mesure des allées et venues de vos utilisateurs et des modifications des besoins de vos serveurs : • Consultez les sections plus loin dans le chapitre, en commençant par “Listage et recherche de comptes” à la page 47, pour obtenir des informations sur la localisation des comptes et raccourcis existants en vue de leur maintenance. • Les informations du chapitre 3 au chapitre 6 vous aideront à réaliser des tâches courantes telles que la définition d’un compte d’invité, la désactivation de comptes d’utilisateur, l’ajout et la suppression d’utilisateurs dans des groupes et la suppression de comptes. • Pour obtenir des solutions aux problèmes courants, consultez le chapitre 11, “Résolution des problèmes”. F0170.book Page 39 Monday, May 2, 2005 12:37 PM40 Chapitre 2 Introduction à la gestion des utilisateurs Programmation de stratégies pour la gestion des utilisateurs Voici certaines des activités de planification à entreprendre avant de commencer l’implémentation de la gestion des utilisateurs. Analyse de votre environnement Vos réglages de gestion d’utilisateurs doivent tenir compte des particularités de votre environnement, notamment : • de la taille et de la distribution de votre réseau ; • du nombre d’utilisateurs qui accéderont à votre réseau ; • du type d’ordinateur que les utilisateurs vont utiliser (Mac OS 9, Mac OS X ou Windows) ; • de la façon dont les utilisateurs vont utiliser les ordinateurs clients ; • des ordinateurs qui sont des ordinateurs mobiles ; • des utilisateurs qui devront bénéficier d’autorisations d’administrateur ; • des utilisateurs qui devront avoir accès à certains ordinateurs particuliers ; • de quels services et ressources ont besoin les utilisateurs (courrier électronique, accès au stockage des données) ; • de la manière de diviser les utilisateurs en groupes (par exemple, par catégorie ou type d’emploi) ; • de la manière de grouper des ensembles d’ordinateurs (par exemple, tous les ordinateurs d’un laboratoire public). Identification des besoins en matière de services de répertoire Identifiez les répertoires dans lesquels vous stockerez les comptes d’utilisateur, les comptes de groupe et les listes d’ordinateurs. • Si vous disposez d’un serveur Active Directory ou LDAP déjà configuré, vous pourrez profiter des enregistrements de compte existants. Pour des détails sur l’accès à des répertoires existants, consultez le guide d’administration Open Directory. • Si vous disposez d’un serveur Apple de version antérieure, vous pouvez éventuellement migrer des enregistrements existants. Reportez-vous au guide de migration pour connaître les options disponibles. • Configurez un maître et des répliques Open Directory pour héberger des répertoires LDAP destinés à stocker d’autres comptes d’utilisateur, comptes de groupe et listes d’ordinateurs sur votre réseau. Pour obtenir des instructions et des informations complètes sur les options de traitement des mots de passe, consultez le guide d’administration d’Open Directory. F0170.book Page 40 Monday, May 2, 2005 12:37 PMChapitre 2 Introduction à la gestion des utilisateurs 41 Remarque : si certains domaines ne sont pas finalisés au moment d’ajouter des comptes d’utilisateur et de groupe, ajoutez simplement les comptes à un domaine de répertoires quelconque qui existe sur votre serveur. (Vous pouvez utiliser le domaine de répertoires local, toujours disponible.) Vous pourrez déplacer des utilisateurs et des groupes vers un autre domaine de répertoires à l’aide des fonctions d’exportation et d’importation de votre serveur décrites à l’Annexe A, “Importation et exportation d’informations de compte” ultérieurement. Détermination des besoins en matière de serveur et de stockage Ces besoins varient en fonction du nombre d’utilisateurs et d’ordinateurs : • Pour moins de 450 utilisateurs et moins de 150 ordinateurs, un seul serveur suffit pour la gestion des comptes et l’authentification, les répertoires de départ et les dossiers de groupe. (En comptant 1 Go d’espace de stockage par utilisateur et par module de disque sur un ordinateur Xserve.) Il est possible de fournir un espace de stockage plus important en ajoutant des modules de disque et/ou des disques RAID supplémentaires. • Pour 450 à 1000 utilisateurs et 150 à 450 ordinateurs, il faut un serveur dédié à la gestion des comptes et à l’authentification. Vous devez disposer d’un serveur de répertoires de départ et de dossiers de groupe par groupe de 150 ordinateurs. Le serveur doit disposer d’environ 180 Go d’espace de stockage. L’un des serveurs doit fonctionner comme maître Open Directory et doit également héberger des services principaux tels que les services DNS, DHCP et Web, en fonction de vos besoins. S’il vous faut plus de services dédiés, étudiez la possibilité d’utiliser des serveurs dédiés spécifiquement à certaines tâches telles que l’enchaînement QuickTime. Les dossiers de groupe sont souvent partagés simultanément entre plusieurs ordinateurs. Évitez les connexions simultanées de 150 à 300 ordinateurs à un même dossier de groupe, en créant plusieurs groupes de travail et en répartissant les utilisateurs sur plusieurs groupes de travail. • Pour plus de 1000 utilisateurs et plus de 450 ordinateurs, vous aurez besoin de plusieurs serveurs pour la gestion des comptes et l’authentification. Pour obtenir des directives générales en matière de réplication, consultez le guide d’administration d’Open Directory. Vous devez également disposer d’un serveur de répertoires de départ et de dossiers de groupe et de 180 Go d’espace de stockage par groupe de 150 ordinateurs connectés simultanément, si les utilisateurs disposent de répertoires de départ réseau. • N’utilisez pas plus de 3 points de partage montables automatiquement par serveur. Il se peut que vous deviez créer moins de points de partage avec des sous-dossiers destinés à répartir les utilisateurs de manière logique dans des ensembles de répertoires de départ. F0170.book Page 41 Monday, May 2, 2005 12:37 PM42 Chapitre 2 Introduction à la gestion des utilisateurs Utilisation de la gestion des clients Utilisez la gestion des clients Macintosh si vous souhaitez : • fournir aux utilisateurs une interface cohérente et contrôlée tout en leur permettant d’accéder à leurs fichiers à partir de n’importe quel ordinateur ; • utiliser des comptes mobiles ; • réserver certaines ressources à des groupes ou des individus spécifiques ; • sécuriser l’utilisation des ordinateurs dans des zones clés telles que les bureaux administratifs, les salles de cours ou les laboratoires ouverts. Déterminez les utilisateurs, groupes et ordinateurs dont vous souhaitez gérer les préférences. Pour obtenir des instructions de planification, consultez le chapitre 8, “Vue d’ensemble de la gestion des clients”, à la page 143 et le chapitre 9, “Gestion des préférences”, à la page 157. Utilisation de comptes mobiles Les comptes mobiles sont des comptes réseau qui ont été configurés pour être accessibles même lorsque l’utilisateur n’est pas connecté au serveur sur lequel le compte réside. Les utilisateurs de comptes mobiles reçoivent un répertoire de départ local sur le système auquel ils sont connectés. Cette fonctionnalité réduit le trafic réseau et améliore les performances générales. Déterminez si les comptes mobiles peuvent vous être utiles avant de les implémenter. Les comptes mobiles conviennent bien aux utilisateurs qui emportent leur ordinateur d’un endroit à l’autre. Il sont également pratiques pour les utilisateurs qui n’ont pas besoin d’un accès permanent au serveur pour leur travail quotidien. L’utilisation de comptes mobiles réduit le trafic réseau en minimisant le besoin de monter des ressources réseau (telles que les répertoires de départ réseau). Les comptes mobiles sont abordés au chapitre 3, “Gestion des utilisateurs pour des clients mobiles”. Répertoires de départ portables Un compte mobile peut être configuré pour utiliser un répertoires de départ portable (en anglais “Portable Home Directory” ou PHD). Les répertoires de départ portables répliquent les fichiers sur les répertoires de départ locaux et sur les répertoires de départ réseau. De la sorte, votre contenu vous suit partout et est toujours à jour. Les administrateurs peuvent choisir le contenu à répliquer utilisateur par utilisateur, groupe par groupe ou liste d’ordinateurs par liste d’ordinateurs. Élaboration d’une stratégie en matière de répertoire de départ Déterminez quels sont les utilisateurs ayant besoin de répertoires de départ et identifiez les ordinateurs sur lesquels vous souhaitez que se trouvent ces derniers. Afin de ne pas affaiblir les performances du serveur, évitez d’utiliser des répertoires de départ de réseau via les connexions réseau inférieures à 100 Mbps. F0170.book Page 42 Monday, May 2, 2005 12:37 PMChapitre 2 Introduction à la gestion des utilisateurs 43 Il n’est pas nécessaire que le répertoire de départ réseau d’un utilisateur soit stocké sur le même serveur que le répertoire contenant son compte d’utilisateur. De fait, la répartition des domaines de répertoires et des répertoires de départ sur plusieurs serveurs peut vous aider à équilibrer la charge de travail de votre réseau. “Répartition de répertoires de départ sur plusieurs serveurs” à la page 129 décrit plusieurs de ces scénarios. Vous pouvez par exemple stocker les répertoires de départ des utilisateurs dont le nom commence par les lettres A à F sur un ordinateur, ceux dont le nom commence par les lettres G à J sur un autre ordinateur, etc. Vous pouvez aussi stocker des répertoires de départ sur un Mac OS X Server mais stocker les comptes d’utilisateur et de groupe sur un serveur Active Directory ou LDAP. Les répertoires de départ portables incitent à d’autres considérations d’ordre stratégique, notamment la désignation des utilisateurs mobiles qui disposeront de comptes portables. Des restrictions supplémentaires à prendre en compte sont décrites dans la section “Répertoires de départ portables” à la page 58. Choisissez une stratégie avant de créer des utilisateurs. Vous pouvez déplacer des répertoires de départ, mais vous devrez alors éventuellement changer un grand nombre de fiches d’utilisateurs. Déterminez le protocole d’accès à utiliser pour les répertoires de départ. Vous utiliserez la plupart du temps le protocole AFP car il offre la plus grande sécurité. Mais vous pouvez également utiliser les protocoles NFS (utile pour les clients UNIX) et SMB/CIFS (pour les clients Windows). Identification des groupes Identifiez les utilisateurs qui ont des besoins similaires et regroupez-les. Consultez chapitre 5, “Configuration des comptes de groupe”. Détermination des besoins d’administrateur Choisissez quels sont les utilisateurs qui pourront administrer les comptes et assurezvous qu’ils disposent d’autorisations d’administrateur de domaine. L’administrateur de domaine dispose du niveau de contrôle le plus élevé sur les autres utilisateurs et sur leurs autorisations. L’administrateur de domaine peut créer des comptes d’utilisateur, des comptes de groupe, ainsi que des listes d’ordinateurs et leur affecter des réglages, des autorisations et des préférences gérées. Il peut également créer d’autres comptes d’administrateur ou attribuer à certains utilisateurs (par exemple des professeurs ou du personnel technique) des autorisations d’administration pour des domaines de répertoires spécifiques. F0170.book Page 43 Monday, May 2, 2005 12:37 PM44 Chapitre 2 Introduction à la gestion des utilisateurs Déterminez quels sont les utilisateurs qui devront avoir des autorisations d’administration de domaine. De même, de nombreuses autorisations d’administration peuvent être données aux utilisateurs gérés, ce qui leur permet de gérer des groupes d’utilisateurs spécifiques ou de modifier certains réglages de compte. Une hiérarchie convenablement planifiée d’administrateurs et d’utilisateurs dotés d’autorisations d’administration spéciales peut vous aider à répartir les tâches d’administration système et à optimiser les flux de production et la gestion système. Lorsque vous utilisez l’Assistant du serveur pour configurer votre serveur pour la première fois, spécifiez un mot de passe pour le propriétaire/l’administrateur. Ce dernier devient également le mot de passe racine de votre serveur. De nombreux administrateurs de serveur n’ont pas besoin de connaître le mot de passe root, mais ce dernier est parfois nécessaire pour exécuter des outils de ligne de commande (tels que CreateGroupFolder). Pour les administrateurs qui n’ont pas besoin d’un accès root, utilisez le Gestionnaire de groupe de travail pour créer un utilisateur administrateur avec un mot de passe différent du mot de passe root. Il est recommandé d’utiliser le mot de passe racine avec précaution et de le stocker dans un emplacement sécurisé. L’utilisateur racine bénéficie d’un accès illimité au système, y compris aux fichiers système. Le cas échéant, vous pouvez recourir au Gestionnaire de groupe de travail pour changer le mot de passe racine. Utilisation du Gestionnaire de groupe de travail Après avoir installé le logiciel Mac OS X Server, vous pouvez accéder au Gestionnaire de groupe de travail. La présente section contient une présentation de l’application. Utilisation d’ordinateurs de versions antérieures à la 10.4 à partir de serveurs de version 10.4 Les serveurs Mac OS X 10.3 et 10.2 peuvent être administrés à l’aide des outils d’administration de la version 10.4. Le Gestionnaire de groupe de travail sur un serveur de version 10.4 peut être utilisé pour gérer les clients Mac OS X qui exécutent Mac OS X 10.2.4 ou ultérieur. Une fois que vous avez modifié une fiche d’utilisateur à l’aide du Gestionnaire de groupe de travail en version 10.4, elle n’est accessible que par le Gestionnaire de groupe de travail en version 10.4. Les préférences des clients Mac OS 9 peuvent être gérées à partir d’un serveur de version 10.4 via le Gestionnaire Macintosh uniquement si vous procédez à une installation de mise à niveau avec la version 10.4 ; vous pouvez utiliser une installation de mise à niveau pour installer la version 10.4 sur des serveurs 10.2.8 ou 10.3. F0170.book Page 44 Monday, May 2, 2005 12:37 PMChapitre 2 Introduction à la gestion des utilisateurs 45 Ouverture du Gestionnaire de groupe de travail et authentification Le Gestionnaire de groupe de travail est installé dans /Applications/Server/ lors de l’installation du serveur ou de la configuration d’un ordinateur administrateur. Vous pouvez l’ouvrir à partir de ce dossier à l’aide du Finder. Vous pouvez également ouvrir le Gestionnaire de groupe de travail en cliquant sur son icône dans le Dock ou dans la barre d’outils de l’application Admin Serveur. • Pour utiliser des domaines de répertoires sur un serveur particulier, tapez l’adresse IP du serveur ou son nom DNS dans la fenêtre Se connecter du Gestionnaire de groupe de travail ou cliquez sur Parcourir pour la sélectionner dans la liste des serveurs disponibles. Tapez le nom d’utilisateur et le mot de passe d’un administrateur de domaine, puis cliquez sur Se connecter Seuls les administrateurs de domaine du serveur de domaine de répertoires disposeront d’autorisations d’administration de répertoire. • Vous pouvez voir un domaine de répertoires sans vous authentifier (en choisissant Serveur > Afficher les répertoires). Vous aurez un accès en lecture seule aux informations affichées dans le Gestionnaire de groupe de travail. Pour apporter des modifications à un répertoire, vous devez vous authentifier à l’aide d’un compte d’administrateur de domaine. Cette démarche est la plus indiquée lorsque vous administrez différents serveurs et travaillez avec divers domaines de répertoires. Après avoir ouvert le Gestionnaire de groupe de travail, vous pouvez ouvrir l’une de ses fenêtres pour un autre ordinateur en cliquant sur Se connecter dans la barre d’outils ou en choisissant Serveur > Se connecter. F0170.book Page 45 Monday, May 2, 2005 12:37 PM46 Chapitre 2 Introduction à la gestion des utilisateurs Principales tâches dans le Gestionnaire de groupe de travail Une fois la session ouverte, une fenêtre affiche la liste des comptes d’utilisateurs. Il s’agit initialement des comptes stockés dans le dernier domaine de répertoires figurant dans le chemin de recherche du serveur. Voici comment s’initier aux principales tâches possibles avec cette application : • Pour spécifier le ou les répertoires dans lesquels sont stockés les comptes que vous souhaitez utiliser, cliquez sur l’icône en forme de globe. Pour utiliser simultanément des comptes stockés dans différents répertoires ou utiliser différentes vues des comptes dans un même répertoire, ouvrez plusieurs fenêtres du Gestionnaire de groupe de travail en cliquant sur l’icône Nouvelle fenêtre dans la barre d’outils. • Pour administrer des comptes dans le répertoire sélectionné, cliquez sur l’icône Comptes dans la barre d’outils. Dans la partie gauche, cliquez sur le bouton Utilisateurs, Groupes ou Ordinateurs pour afficher la liste des comptes qui existent actuellement dans le ou les répertoires que vous utilisez. Pour filtrer la liste des comptes à l’écran, utilisez la liste de recherche déroulante qui se trouve au-dessus de la liste des comptes. • Pour travailler avec des préférences gérées, sélectionnez la liste de comptes souhaitée, puis cliquez sur l’icône Préférences dans la barre d’outils. • Pour travailler avec des points partagés, cliquez sur l’icône Partage dans la barre d’outils. Liste Comptes Tapez ici pour faire une recherche dans la liste ci-dessous ou la filtrer. Bouton Utilisateurs Cliquez sur le globe pour changer de répertoire. Bouton Groupes Bouton Listes d’ordinateurs Domaine actuellement sélectionné Cliquez pour vous authentifier. F0170.book Page 46 Monday, May 2, 2005 12:37 PMChapitre 2 Introduction à la gestion des utilisateurs 47 • Pour importer ou exporter des comptes d’utilisateurs et de groupes, choisissez Serveur > Importer ou Serveur > Exporter, respectivement. • Pour récupérer des informations en ligne, utilisez le menu Aide. Le menu Aide donne accès à de l’aide sur les tâches d’administration que le Gestionnaire de groupe de travail permet d’effectuer, ainsi que d’autres rubriques relatives à Mac OS X Server. • Pour ouvrir Admin Serveur afin de contrôler et utiliser des services sur des serveurs particuliers, cliquez sur l’icône Admin dans la barre d’outils. Lisez le guide Premiers contacts pour obtenir davantage d’informations sur l’application Admin Serveur. Listage et recherche de comptes La présente section décrit les différentes manières d’afficher des comptes d’utilisateur, des comptes de groupe et des listes d’ordinateurs dans le Gestionnaire de groupe de travail. Utilisation de listes de comptes dans le Gestionnaire de groupe de travail Dans le Gestionnaire de groupe de travail, les comptes d’utilisateur, les comptes de groupe et les listes d’ordinateurs sont affichés dans la partie gauche de la fenêtre de l’application. Plusieurs réglages influencent le contenu et l’apparence de la liste : • Les préférences de Gestionnaire de groupe de travail permettent de contrôler si les utilisateurs et les groupes système sont répertoriés et l’ordre dans lequel ils sont classés. Choisissez Gestionnaire de groupe de travail > Préférences, pour configurer les préférences du Gestionnaire de groupe de travail. • La liste reflète le ou les répertoires que vous avez sélectionnés à l’aide du globe qui se trouve au-dessus de la liste des comptes. Initialement, les comptes des domaines de répertoires parents ne sont répertoriés que si vous êtes connecté au réseau. Les domaines disponibles pour la sélection sont le répertoire local, tous les domaines de répertoires qui figurent dans le chemin de recherche du serveur et tous les domaines de répertoires disponibles (domaines auxquels la configuration du serveur lui permet d’accéder, qu’ils figurent ou non dans le chemin de recherche). Pour obtenir des instructions sur la configuration d’un serveur en vue d’accéder à des domaines de répertoires, consultez le guide d’administration d’Open Directory. Une fois que vous avez choisi des domaines de répertoires, tous les comptes qu’ils contiennent sont répertoriés. • Pour trier une liste, cliquez sur un en-tête de colonne. Une flèche indique l’ordre de classement (croissant ou décroissant) que vous pouvez inverser en cliquant de nouveau sur l’en-tête de colonne. • Vous pouvez filtrer la liste à l’aide de la liste de recherche déroulante qui se trouve au-dessus de la liste des comptes. F0170.book Page 47 Monday, May 2, 2005 12:37 PM48 Chapitre 2 Introduction à la gestion des utilisateurs • Vous pouvez rechercher des éléments spécifiques dans la liste en tapant quelques caractères dans le champ situé au-dessus de la liste des comptes. Pour travailler avec un ou plusieurs comptes répertoriés, faites votre choix. Les réglages des comptes sélectionnés apparaissent dans la fenêtre à droite de la liste. Les réglages disponibles dépendent de la sous-fenêtre affichée. Liste de comptes dans le domaine de répertoires local Les services et les programmes exécutés sur un serveur peuvent accéder au répertoire local du serveur. Les programmes exécutés sur un ordinateur client, comme par exemple la fenêtre d’ouverture de session de l’ordinateur client, ne peuvent pas accéder au répertoire local du serveur. Par conséquent, le service de fichiers d’un serveur peut authentifier les utilisateurs qui ont des comptes dans le répertoire local du serveur. Les comptes d’utilisateur du répertoire local du serveur ne peuvent pas être utilisés pour l’authentification dans la fenêtre d’ouverture de session des ordinateurs clients, car cette fenêtre est un processus exécuté sur l’ordinateur client. Pour répertorier les comptes d’un domaine de répertoires local d’un serveur : 1 Dans le Gestionnaire de groupe de travail, connectez-vous au serveur hébergeant le domaine, puis cliquez sur le globe situé au-dessus de la barre d’outils et choisissez Local. Le domaine local peut également être répertorié sous le nom /NetInfo/root/ ou ou /NetInfo/DefaultLocalNode. 2 Pour visualiser les comptes d’utilisateur, cliquez sur le bouton Utilisateurs (le bouton le plus à gauche au-dessus du champ de recherche). Cliquez sur le bouton Groupes (le bouton du milieu) pour afficher les comptes de groupe et cliquez sur le bouton Listes d’ordinateurs (le bouton de droite) pour afficher les listes d’ordinateurs. 3 Pour travailler avec un compte en particulier, sélectionnez-le. Pour modifier le compte, ce qui nécessite de disposer de privilèges d’administrateur, il se peut que vous deviez cliquer sur le verrou pour vous authentifier. Liste de comptes dans des domaines de répertoires de chemins de recherche Les domaines de répertoires de chemins de recherche sont ceux qui, dans la politique de recherche, sont définis pour l’ordinateur Mac OS X Server auquel vous êtes connecté. Le guide d’administration Open Directory vous indique comment établir des politiques de recherche. Pour répertorier des comptes dans des domaines de chemins de recherche pour votre serveur : 1 Dans le Gestionnaire de groupe de travail, connectez-vous à un serveur dont la politique de recherche contient les domaines de répertoires qui vous intéressent. 2 Cliquez sur le globe situé au-dessus de la barre d’outils, puis choisissez Chemin de recherche. F0170.book Page 48 Monday, May 2, 2005 12:37 PMChapitre 2 Introduction à la gestion des utilisateurs 49 3 Pour visualiser les comptes, cliquez sur le bouton Utilisateurs (le bouton le plus à gauche au-dessus du champ de recherche). Cliquez sur le bouton Groupes pour visualiser les comptes de groupe ou cliquez sur le bouton Listes des ordinateurs pour visualiser les listes d’ordinateurs. Liste de comptes dans des domaines de répertoires disponibles Vous pouvez utiliser le Gestionnaire de groupe de travail pour dresser la liste de tous les comptes d’utilisateur, comptes de groupe et listes d’ordinateurs résidant dans tout domaine de répertoires spécifique accessible depuis le serveur auquel vous êtes connecté. Sélectionnez le domaine dans une liste de tous les domaines de répertoires configurés pour être accessibles à partir du serveur que vous utilisez. Veillez à ne pas confondre les domaines de répertoires disponibles avec ceux d’une politique de recherche. Une politique de recherche est constituée des domaines de répertoires dans lesquels un serveur effectue des recherches à l’aide d’une routine, lorsqu’il doit par exemple récupérer un compte d’utilisateur. Toutefois, il se peut que ce même serveur soit configuré pour accéder aux domaines de répertoires n’ayant pas été ajoutés à sa politique de recherche. Pour apprendre comment configurer l’accès au domaines de répertoires, consultez le guide d’administration d’Open Directory. Pour répertorier des comptes dans des domaines de répertoires accessibles à partir d’un serveur : 1 Dans le Gestionnaire de groupe de travail, connectez-vous à un serveur à partir duquel les domaines de répertoires qui vous intéressent sont accessibles. 2 Cliquez sur le globe situé au-dessus de la liste des comptes, puis choisissez Autre. 3 Sélectionnez le ou les domaine dans la boîte de dialogue à l’écran, puis cliquez sur OK. Pour visualiser les comptes d’utilisateur résidant dans les domaines de répertoires sélectionnés, cliquez sur le bouton Utilisateurs (le bouton le plus à gauche au-dessus du champ de recherche). Cliquez sur le bouton Groupes pour visualiser les comptes de groupe ou cliquez sur le bouton Listes d’ordinateurs pour visualiser les listes d’ordinateurs. 4 Pour travailler avec un compte en particulier, sélectionnez-le. Pour modifier un compte qui nécessite de disposer d’autorisations d’administrateur de domaine, il se peut que vous deviez cliquer sur le cadenas pour vous authentifier. Actualisation de listes de comptes Si plus d’un administrateur peut apporter des modifications aux répertoires, actualisez les listes pour vous assurer que la liste (de comptes d’utilisateur, de comptes de groupe ou de listes d’ordinateurs) affichée est bien la plus récente. Pour actualiser les listes, vous pouvez : • cliquer sur Actualiser ; F0170.book Page 49 Monday, May 2, 2005 12:37 PM50 Chapitre 2 Introduction à la gestion des utilisateurs • saisir les termes de recherche dans le champ au-dessus de la liste pour obtenir une nouvelle liste filtrée ; • supprimer les termes du champ au-dessus de la liste pour afficher la liste originale non filtrée ; • cliquer sur le globe situé au-dessus de la barre d’outils, choisir un autre élément dans la liste, puis sélectionner à nouveau le ou les domaines avec lesquels vous étiez en train de travailler. Recherche de comptes spécifiques dans une liste Après avoir affiché une liste de comptes dans le Gestionnaire de groupe de travail, vous pouvez la filtrer afin de localiser des utilisateurs ou des groupes présentant un intérêt particulier. Pour filtrer des éléments dans la liste des comptes : 1 Après avoir répertorier les comptes, cliquez sur le bouton Utilisateurs, Groupes ou Listes d’ordinateurs. 2 Dans le menu local au-dessus de la liste des comptes (identifié par une loupe), sélectionnez une option pour décrire ce que vous souhaitez trouver, puis saisissez des termes de recherche dans le champ texte. La liste d’origine est remplacée par des éléments répondant à vos critères de recherche. Si vous entrez un nom d’utilisateur, tant les noms entiers qu’abrégés d’utilisateurs ou de groupes sont recherchés. 3 Choisissez Gestionnaire de groupe de travail > Préférences pour rendre la recherche de comptes plus pratique lorsque les domaines avec lesquels vous travaillez contiennent des milliers de comptes. Pour éviter de répertorier des comptes tant que vous n’avez pas spécifié de filtre, sélectionnez “Limiter les résultats aux fiches requises”. Lorsque le champ de filtrage est vide, aucun compte n’est répertorié. Pour répertorier tous les comptes des domaines sélectionnés dans le menu local À, tapez “*” dans le champ de filtrage. Pour répertorier les comptes des domaines qui correspondent aux critères de filtrage, sélectionnez une option dans le menu local en regard du champ de filtrage, puis tapez la chaîne de caractères avec laquelle vous souhaitez filtrer les comptes. Pour spécifier le nombre maximum de comptes à répertorier, sélectionnez “Répertorier un maximum de”, puis tapez un nombre inférieur à 25 000. Gestionnaire de groupe de travail peut afficher jusqu’à 25 000 comptes. Classement des listes d’utilisateurs et de groupes Après avoir affiché une liste de comptes dans le Gestionnaire de groupe de travail, cliquez sur un en-tête de colonne pour trier les entrées selon les valeurs de cette colonne. Cliquez de nouveau sur cet en-tête pour inverser l’ordre des entrées de la liste. F0170.book Page 50 Monday, May 2, 2005 12:37 PMChapitre 2 Introduction à la gestion des utilisateurs 51 Utilisation du bouton Rechercher de la barre d’outils Vous pouvez utiliser le bouton Rechercher, dans les sous-fenêtres Comptes ou Préférences, pour localiser des utilisateurs ou des groupes spécifiques en recherchant des valeurs de champ déterminées. Pour localiser des utilisateurs ou des groupes spécifiques via les sous-fenêtres Comptes ou Préférences : 1 Après avoir sélectionné la sous-fenêtre dans laquelle vous souhaitez travailler, cliquez sur Rechercher dans la barre d’outils. 2 Le champ dans lequel vous souhaitez faire la recherche avec les conditions d’application dans la zone de dialogue Recherche. 3 Tapez le texte à rechercher et d’éventuelles conditions supplémentaires. 4 Vous pouvez choisir d’enregistrer, de renommer ou de supprimer des préréglages à l’aide du menu local Préréglages de la recherche. Vous pouvez également effectuer des modifications par lot sur les résultats de la recherche. Si vous cochez cette option, vous avez le choix entre “Afficher un aperçu et modifier les résultats de la recherche avant d’appliquer des changements” et “Afficher le rendu des modifications et des erreurs”. 5 Cliquez sur Rechercher une fois que vos critères de recherche sont définis. Une fois que les résultats de la recherche sont affichés à l’écran, vous pouvez soir effacer les critères de recherche pour revenir à l’affichage par défaut, soit modifier les critères de recherche pour les affiner. Toute recherche peut être enregistrée sous la forme d’un préréglage si vous souhaitez la réutiliser. F0170.book Page 51 Monday, May 2, 2005 12:37 PM52 Chapitre 2 Introduction à la gestion des utilisateurs Raccourcis pour l’utilisation des comptes Il existe plusieurs techniques permettant de gérer les comptes avec une plus grande efficacité. Vous pouvez : • modifier plusieurs comptes simultanément ; • utiliser des préréglages comme modèles pour la création de nouveaux comptes ; • importer des informations de compte d’utilisateur et de groupe à partir d’un fichier. Modification par lot Vous pouvez modifier les réglages de plusieurs comptes d’utilisateur, comptes de groupe ou listes d’ordinateurs à la fois. On appelle la modification simultanée de plusieurs comptes la modification par lot. Maintenez la touche Maj enfoncée, puis cliquez pour sélectionner une plage de comptes et/ou maintenez la touche Commande enfoncée, puis cliquez pour sélectionner des comptes individuellement. Vous pouvez aussi choisir Édition > Tout sélectionner, puis maintenir la touche Commande enfoncée et cliquer sur des comptes individuels pour les désélectionner un à un. La modification par lot peut notamment vous faire gagner du temps lorsque vous devez modifier les préférences d’un grand nombre de comptes. Consultez la section “Modification des préférences de plusieurs enregistrements” à la page 163. Utilisation de préréglages Vous pouvez sélectionner des réglages de compte d’utilisateur, de compte de groupe ou de liste d’ordinateurs, puis les enregistrer sous la forme d’un préréglage. Les préréglages fonctionnent comme des modèles et permettent d’appliquer des réglages prédéfinis à un nouveau compte. Grâce aux préréglages, vous pouvez configurer en toute simplicité plusieurs comptes de façon similaire. Vous ne pouvez utiliser les préréglages que lors de la création d’un compte. Vous ne pouvez pas utiliser de préréglage pour modifier un compte existant. Vous pouvez utiliser des préréglages lorsque vous créez des comptes manuellement ou lorsque vous en importez à partir d’un fichier. Si vous modifiez un préréglage après son utilisation pour la création d’un compte, les comptes déjà créés à l’aide de ce préréglage ne sont pas mis à jour pour reproduire ces changements. Pour plus d’informations, consultez la section “Création d’un préréglage pour des comptes d’utilisateur” à la page 72. F0170.book Page 52 Monday, May 2, 2005 12:37 PMChapitre 2 Introduction à la gestion des utilisateurs 53 Importation et exportation d’informations de compte Vous pouvez utiliser des fichiers XML ou des fichiers de texte délimités par des caractères pour importer et exporter des informations de compte d’utilisateur ou de groupe. Cette méthode d’importation facilite la configuration rapide d’un grand nombre de comptes. L’exportation d’informations dans un fichier peut s’avérer utile pour archiver ou sauvegarder les données d’utilisateur. Pour plus d’informations, voir l’Annexe A, “Importation et exportation d’informations de compte”. Sauvegarde et restauration des données de gestion des utilisateurs Sauvegarde et restauration de fichiers de services de répertoires Pour obtenir des informations sur la sauvegarde et la restauration de domaines de répertoires et de fichiers de base de données d’authentification, consultez l’aide à l’écran. Sauvegarde de comptes d’utilisateur root et administrateur Les fichiers système sont la propriété des identifiants des administrateurs système et des utilisateurs root existant au moment de leur création. Si vous devez restaurer des fichiers système, les mêmes identifiants doivent exister sur le serveur afin que les autorisations d’origine soient conservées. Pour vous assurer de pouvoir recréer ces identifiants d’utilisateur, exportez régulièrement les informations sur les utilisateurs et les groupes du serveur vers un fichier, comme décrit à l’Annexe A, “Importation et exportation d’informations de compte”. F0170.book Page 53 Monday, May 2, 2005 12:37 PMF0170.book Page 54 Monday, May 2, 2005 12:37 PM3 55 3 Gestion des utilisateurs pour des clients mobiles Ce chapitre contient des suggestions pour la gestion d’ordinateurs portables utilisés par un ou plusieurs utilisateurs. Configuration des clients mobiles Si vous possédez un certain nombre d’ordinateurs portables destinés à être distribués à des utilisateurs ou groupes d’utilisateurs donnés, vous pouvez mettre en œuvre un éventail de techniques de gestion pour personnaliser l’environnement de l’utilisateur et contrôler le niveau d’accès d’un utilisateur aux ressources locales et réseau. Configuration d’ordinateurs portables Lors de la préparation des ordinateurs portables à utiliser sur votre réseau, suivez les instructions ci-après. Étape 1 : Installez le système d’exploitation, les applications et les utilitaires. La plupart des ordinateurs sont livrés avec un système d’exploitation installé. Toutefois, si vous devez en installer un nouveau, assurez-vous que l’ordinateur répond aux configurations requises minimum pour l’installation du système d’exploitation Mac OS X ou Mac OS et des autres applications et utilitaires souhaités. Étape 2 : Création de comptes locaux sur les ordinateurs Mac OS X. Créez au moins un compte d’administrateur local et autant de comptes d’utilisateur locaux que nécessaire. Veillez à éviter toute confusion entre le nom et le mot de passe de compte local et le nom et le mot de passe réseau d’un utilisateur. Étape 3 : Configuration de listes d’ordinateurs sur votre serveur Pour les ordinateurs Mac OS X, utilisez le Gestionnaire de groupe de travail afin d’ajouter des ordinateurs à une liste d’ordinateurs et d’activer la gestion des préférences au niveau de l’ordinateur. Vous pouvez aussi définir des réglages de préférences au niveau utilisateur pour le compte réseau de l’utilisateur. F0170.book Page 55 Monday, May 2, 2005 12:37 PM56 Chapitre 3 Gestion des utilisateurs pour des clients mobiles Vous trouverez plus de détails sur la configuration des services de répertoires dans le guide d’administration Open Directory. Pour plus d’informations sur l’utilisation des listes d’ordinateurs, consultez le chapitre 6, “Configuration de listes d’ordinateurs”. Pour en savoir plus sur l’utilisation des réglages de préférences gérées, consultez le chapitre 9, “Gestion des préférences”. Utilisation de comptes mobiles Un compte mobile, sous Mac OS X Server, est un compte d’utilisateur synchronisé avec un ordinateur (généralement portable) local. L’utilisateur peut ouvrir une session sur l’ordinateur portable en utilisant le nom et le mot de passe d’un compte réseau, même si l’ordinateur n’est pas connecté au réseau. Cette fonctionnalité est utile à la fois pour les systèmes portables et pour les autres cas de déploiement “un à un” dans lesquels un utilisateur est affecté à un seul et unique ordinateur. Elle s’avère également utile dans les situations où le fait d’avoir des répertoires de départ locaux améliore les performances comme, par exemple, dans la production vidéo. Lorsqu’un utilisateur de compte mobile se connecte au réseau, les données du compte (c’est-à-dire les nom, le mot de passe et les préférences gérées du compte) sont synchronisées automatiquement avec le compte du serveur afin que les deux emplacements contiennent des données identiques. Quand l’ordinateur est déconnecté du réseau, les réglages de préférences gérées restent en vigueur. Le répertoire de départ d’un compte mobile réside dans l’ordinateur de l’utilisateur, celui d’un compte de réseau sur le serveur. Quand l’ordinateur est connecté au réseau, l’utilisateur s’authentifie directement auprès du compte réseau sans que le compte mobile ne soit pris en compte, mais en utilisant toujours un répertoire de départ local. Lorsque le répertoire de départ local d’un compte mobile est configuré pour la synchronisation avec un répertoire de départ réseau, il devient un répertoire de départ portable qui permet à un utilisateur réseau de travailler sur une copie de son contenu réseau hors connexion. Le contenu peut être synchronisé entre les deux répertoires de départ, en fonction de la manière dont le compte mobile est configuré. Un répertoire de départ portable peut être configuré pour synchroniser le contenu modifié d’un utilisateur lors de la connexion en arrière-plan, via le réseau et lors de la déconnexion. La synchronisation de certains contenus peut également être lancée manuellement afin que le contenu modifié d’un emplacement soit accessible immédiatement partout. F0170.book Page 56 Monday, May 2, 2005 12:37 PMChapitre 3 Gestion des utilisateurs pour des clients mobiles 57 Si les utilisateurs disposent de répertoires de départ AFP, leur répertoire de départ réseau est créé la première fois qu’ils tentent d’accéder à leur répertoire de départ réseau. Si certains de vos utilisateurs de compte mobile accèdent à un serveur hébergeant des répertoires de départ réseau non-AFP, vous devez créer les répertoires de départ réseau manuellement (voir “Création d’un répertoire de départ personnalisé” à la page 134). Création d’un compte mobile Une fois qu’un compte mobile a été créé, il est affiché dans la liste des comptes située dans les Préférences Système Comptes. Le type de compte est qualifié de Mobile et la plupart des éléments du volet Comptes sont grisés à sa sélection. Vous pouvez utiliser le Gestionnaire de groupe de travail pour créer automatiquement un compte mobile à l’ouverture d’une session. Pour créer un compte mobile à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez un compte d’utilisateur, puis cliquez sur Préférences. 3 Cliquez sur Mobilité, puis définissez les réglages de gestion sur Toujours. 4 Sélectionnez “Créer un compte mobile lors de l’ouverture de session” et sélectionnez la case “Synchroniser le compte pour l’utilisation hors connexion”. 5 Sélectionnez l’option Exiger une confirmation avant de créer un compte mobile si vous souhaitez laisser à l’utilisateur le choix de créer ou non un compte mobile à sa connexion. Si cette option est sélectionnée, une boîte de dialogue de confirmation s’affiche à l’ouverture de session de l’utilisateur. Ce dernier peut alors cliquer sur Créer pour créer immédiatement le compte mobile ou sur Continuer pour se connecter en tant qu’utilisateur du réseau sans création. 6 Cliquez sur Appliquer. Vous pouvez utiliser le Gestionnaire de groupe de travail pour modifier à votre gré le compte de serveur correspondant. Toutes les modifications apportées au compte mobile prennent effet la prochaine fois que l’ordinateur se connecte au réseau. Suppression d’un compte mobile Si un utilisateur n’a plus besoin d’un compte mobile, vous pouvez supprimer le compte individuel sur l’ordinateur client. Cette action supprime le compte mobile et son répertoire de départ local. La suppression d’un compte mobile ne peut être effectuée que par un administrateur local ou un administrateur de domaine doté des autorisations nécessaires pour gérer la liste d’ordinateurs à laquelle le système appartient, car l’opération doit être effectuée localement sur l’ordinateur sur lequel réside le compte. L’administrateur ne peut pas utiliser la console d’administration du Gestionnaire de groupe de travail pour effectuer cette opération à distance. F0170.book Page 57 Monday, May 2, 2005 12:37 PM58 Chapitre 3 Gestion des utilisateurs pour des clients mobiles Pour supprimer un compte mobile : 1 Ouvrez les Préférences Système de l’ordinateur client. 2 Cliquez sur Comptes, puis sélectionnez l’utilisateur dans la liste. 3 Sélectionner le compte que vous souhaitez supprimer. Le compte mobile est reconnaissable par le terme Mobile qui apparaît dans la colonne Type. 4 Cliquez sur le bouton Supprimer (–), puis sur OK. 5 Dans la zone de dialogue qui apparaît, choisissez soit d’Archiver, soit de Supprimer le répertoire de départ. Utilisation de comptes mobiles côté utilisateur Si l’ordinateur est configuré pour afficher une liste d’utilisateurs lors d’une ouverture de session, le compte mobile est affiché avec les utilisateurs locaux. L’utilisateur sélectionne son compte, puis saisit son mot de passe pour achever l’ouverture de session. Quant aux clients gérés, si l’administrateur réseau a spécifié la création de comptes mobiles à l’ouverture de session, la liste des comptes de la fenêtre d’ouverture de session affiche tous les utilisateurs. Une fois que l’utilisateur a sélectionné son compte et saisi correctement son mot de passe, une copie locale du compte réseau est immédiatement créée et devient le compte mobile. Le compte mobile devient permanent sur ce système lorsque l’utilisateur ferme sa session ou se déconnecte du réseau. L’utilisateur peut se déconnecter du réseau et poursuivre sa session avec ce compte sur ce système. Répertoires de départ portables Un compte mobile est un compte d’utilisateur dont l’enregistrement de compte est synchronisé avec un compte d’utilisateur réseau sur un ordinateur Mac OS X Server. L’utilisateur peut ouvrir une session à l’aide du nom et du mot de passe d’un compte réseau, même si son ordinateur n’est pas connecté au réseau. Les utilisateurs finaux qui sont des administrateurs peuvent créer des comptes mobiles à partir de la sous-fenêtre Comptes des Préférences Système après avoir saisi un nom et un mot de passe d’administrateur. Les administrateurs de serveur peuvent empêcher un utilisateur de créer un compte mobile soit en désélectionnant la case “Synchroniser le compte pour l’utilisation hors connexion” dans la sous-fenêtre Mobilité/Synchronisation du Gestionnaire de groupe de travail, soit en désactivant les Préférences Système Comptes dans la sous-fenêtre Préférences Système du Gestionnaire de groupe de travail. F0170.book Page 58 Monday, May 2, 2005 12:37 PMChapitre 3 Gestion des utilisateurs pour des clients mobiles 59 Un utilisateur final (à l’aide de la sous-fenêtre Comptes des Préférences Système) ou un administrateur de serveur (à l’aide du Gestionnaire de groupe de travail) peut configurer le répertoire de départ local d’un compte mobile pour qu’il soit synchronisé avec le répertoire de départ réseau, créant ainsi un répertoire de départ portable. Un administrateur de serveur contrôle les réglages de synchronisation du répertoire de départ portable d’un utilisateur via la sous-fenêtre Mobilité/Règles du Gestionnaire de groupe de travail. La synchronisation d’un répertoire de départ portable est effectuée à l’ouverture de session, directement après la création du compte mobile. Après la première synchronisation, les synchronisations suivantes se font en arrière-plan ou lorsque l’utilisateur sélectionne Synchroniser, dans la sous-fenêtre Comptes des Préférences Système, ou Synchroniser Départ, dans le supplément du menu de synchronisation de répertoire de départ. Notez que toute synchronisation requiert une connexion au serveur du répertoire de départ réseau de l’utilisateur. La synchronisation n’est pas effectuée si l’ordinateur de l’utilisateur n’est pas connecté au réseau ou si le serveur du répertoire de départ de l’utilisateur n’est pas disponible. Éléments à prendre en compte pour l’affectation du contenu à synchroniser Il est recommandé aux administrateurs de serveur d’évaluer les avantages et les inconvénients des différents types de mécanismes de création de comptes mobiles et des réglages de synchronisation de répertoires de départ portables. Le Gestionnaire de groupe de travail permet le contrôle à base de règles de la synchronisation en arrièreplan ainsi que de la synchronisation à la connexion et à la déconnexion. La sous-fenêtre Comptes des Préférences Système ne permet que le contrôle de la synchronisation en arrière-plan des dossiers de départ du niveau supérieur. Les opérations de synchronisation en arrière-plan sont effectuées soit régulièrement, soit à la demande lorsque l’utilisateur sélectionne Synchroniser Départ dans le supplément du menu de synchronisation de répertoire de départ. La synchronisation affecte également les fichiers ouverts ou affichés à l’écran, mais ne rallonge pas la durée de connexion ou de déconnexion. Une synchronisation à la connexion ou à la déconnexion copie tous les fichiers avant et après leur modification par l’utilisateur, mais rallonge la durée de la connexion ou de la déconnexion en fonction du nombre de fichiers à vérifier ainsi que de la taille et du nombre de fichiers à copier pour effectuer la synchronisation. F0170.book Page 59 Monday, May 2, 2005 12:37 PM60 Chapitre 3 Gestion des utilisateurs pour des clients mobiles Gestion des clients mobiles Une fois les ordinateurs portables ou dédiés configurés, de nombreuses fonctions du Gestionnaire de groupe de travail vous permettent d’appliquer des restrictions ou d’autoriser les utilisateurs à accéder aux services réseau. Si un utilisateur possède un compte réseau et si son ordinateur se lie à Open Directory, il peut se connecter à l’aide du nom et du mot de passe de son compte réseau pour accéder aux ressources disponibles. Pour en savoir plus sur la liaison d’un ordinateur au service Open Directory, consultez le guide d’administration d’Open Directory. Pour les utilisateurs sans comptes réseau qui disposent d’ordinateurs portables personnels mais requièrent toutefois un accès à vos ressources réseau, vous pouvez utiliser les fonctions du Gestionnaire de groupe de travail pour appliquer des réglages aux ordinateurs inconnus ou invités. Ordinateurs portables Mac OS X inconnus Pour gérer les utilisateurs d’ordinateurs portables fonctionnant sous Mac OS X, vous pouvez utiliser le compte Ordinateurs invités afin d’appliquer la gestion au niveau de l’ordinateur à des ordinateurs inconnus ou invités en réseau. Si ces utilisateurs se connectent via un compte d’utilisateur de Mac OS X Server, les préférences gérées d’utilisateurs et de groupes ainsi que les réglages de comptes s’appliquent également. Pour plus d’informations sur la configuration du compte Ordinateurs invités pour les utilisateurs de Mac OS X, consultez la section “Gestion des ordinateurs invités” à la page 122. Ordinateurs portables Mac OS X pour utilisateurs locaux multiples Les iBook d’un laboratoire mobile sans fil constituent un exemple de partage d’ordinateurs. Ce type de laboratoire contient 10 à 15 iBook pour les étudiants (et un iBook supplémentaire pour le professeur), une Borne d’Accès AirPort et une imprimante, le tout sur un chariot mobile. Le chariot permet de distribuer les ordinateurs aux utilisateurs (par exemple d’une salle de cours à l’autre). Pour gérer les iBook de votre chariot, créez des comptes locaux d’utilisateur, identiques sur chaque ordinateur (par exemple, l’ensemble des comptes peut utiliser Math comme nom d’utilisateur et Étudiant comme mot de passe). Vous pouvez créer des comptes locaux génériques distincts à d’autres fins, par exemple pour dédier l’un d’eux aux cours d’histoire, un autre aux cours de biologie, etc. Chaque compte doit avoir un répertoire de départ local et ne disposer d’aucune autorisation d’administration. Utilisez un compte d’administrateur local séparé sur chaque ordinateur afin de permettre aux administrateurs de serveur (ou autres) de procéder à des tâches de maintenance et à des mises à niveau, d’installer des logiciels et de gérer les comptes d’utilisateur locaux. F0170.book Page 60 Monday, May 2, 2005 12:37 PMChapitre 3 Gestion des utilisateurs pour des clients mobiles 61 Une fois les comptes d’utilisateur locaux créés, ajoutez les ordinateurs à une liste et gérez les préférences pour celle-ci. Comme plusieurs utilisateurs peuvent stocker des éléments dans le répertoire de départ local du compte générique, il est recommandé, dans le cadre de tâches routinières d’entretien, de vider régulièrement ce dossier. Vous pouvez également créer des comptes mobiles pour les utilisateurs ou recourir à la gestion des préférences du Gestionnaire de groupe de travail pour créer automatiquement un compte mobile quand un utilisateur ouvre une session. Ordinateurs portables Mac OS X pour utilisateur local principal Deux méthodes vous permettent de configurer les ordinateurs portables d’un utilisateur n’employant pas de compte mobile. • L’utilisateur ne dispose pas d’autorisations d’administrateur mais possède un compte local. Configurez un compte d’administrateur local sur votre ordinateur (ne divulguez aucune information sur ce compte à l’utilisateur), puis un compte local pour l’utilisateur. Les utilisateurs possédant des comptes locaux sans autorisation d’administration ne peuvent pas installer de logiciel : ils peuvent uniquement ajouter ou supprimer des éléments de leurs propres répertoires de départ. Un utilisateur local peut partager des éléments avec d’autres via le dossier Public situé dans son répertoire de départ. Si cet utilisateur dispose d’un compte mobile, celui-ci doit fonctionner comme un compte local mais ne peut pas être géré comme un compte de réseau. Si l’utilisateur possède un compte de réseau, vous pouvez modifier les réglages de préférences gérées de manière à créer un compte mobile durant sa première ouverture de session. De plus, si la synchronisation est activée pour cet utilisateur (PHD), le contenu de son répertoire de départ est également synchronisé lorsqu’il est connecté au réseau. • L’utilisateur est l’administrateur de l’ordinateur. Mac OS X 10.4 permet d’autoriser ou de refuser aux administrateurs la possibilité de désactiver la gestion durant la connexion. Remarque : il arrive souvent que l’administrateur local puisse encore annuler les réglages de gestion. Si l’utilisateur dispose également d’un compte d’utilisateur Mac OS X Server et si le réseau est accessible, il peut toutefois choisir d’ouvrir une session à l’aide du compte local pour ne pas encombrer le réseau. Il peut se connecter à son propre répertoire de départ (pour stocker ou extraire des documents, par exemple) à l’aide de la commande Aller au dossier du menu Aller situé dans le Finder. Les éléments à prendre en compte sont différents selon qu’il s’agit d’un compte mobile avec des répertoires de départ portables et d’un compte mobile qui est également un administrateur. F0170.book Page 61 Monday, May 2, 2005 12:37 PM62 Chapitre 3 Gestion des utilisateurs pour des clients mobiles Utilisation de services sans fil Vous pouvez fournir aux clients gérés des services réseau sans fil à l’aide d’AirPort, par exemple. Lorsqu’un utilisateur d’ordinateur portable quitte la zone sans fil ou change de serveur de répertoires réseau (en passant d’une zone sans fil à une autre), les réglages de gestion des clients peuvent varier. L’utilisateur peut s’apercevoir que certains services réseau, comme les serveurs de fichiers, les imprimantes, les volumes de groupes partagés, etc., ne sont pas disponibles à partir du nouvel emplacement. Il peut alors purger ces ressources en se déconnectant, puis en se reconnectant. Pour plus d’informations sur l’utilisation d’AirPort, consultez la documentation s’y rapportant ou visitez le site Web à l’adresse suivante : www.apple.com/fr/airport/. Questions de sécurité concernant les clients mobiles Vous pouvez protéger davantage les clients mobiles en exigeant des mots de passe alphanumériques régulièrement renouvelés. Les économiseurs d’écran doivent être réglés sur un délai d’activation minimum et un mot de passe doit être demandé pour la reprise d’activité. Il est recommandé de restreindre la création d’images de disque dur et le démarrage à froid directement sur le disque à l’aide du mode disque cible. Pour en savoir plus sur la configuration de mots de passe de programmes internes ouverts, consultez l’article 106482 du site Web d’assistance et de service Apple, à l’adresse docs.info.apple.com/article.html?artnum=106482. Assurez-vous que SSH est désactivé pour empêcher toute connexion d’utilisateurs non gérés. Un utilisateur connecté via SSH ne sera pas affecté par les préférences gérées modifiant ses autorisations. La connexion à distance et tout autre type d’accès externe tel que FTP et AFP ne doivent être activés que si vous en avez réellement besoin. Apple Remote Desktop peut être utilisé pour fournir un accès à distance sécurisé et permettre la gestion des ordinateurs. Services de répertoire Il est recommandé de désactiver la liaison DHCP sans restriction pour les clients mobiles car l’ordinateur fera implicitement confiance à tout répertoire trouvé sur d’autres réseaux. La liaison de répertoire authentifiée offre la meilleure sécurité, mais exige la configuration individuelle de chaque ordinateur. La liaison de répertoire statique peut s’avérer plus simple mais n’est pas aussi sûre. Le guide d’administration d’Open Directory contient des informations détaillées sur les différents mécanismes de liaison de répertoires. F0170.book Page 62 Monday, May 2, 2005 12:37 PMChapitre 3 Gestion des utilisateurs pour des clients mobiles 63 FileVault pour clients mobiles Mac OS X permet d’activer FileVault pour les comptes mobiles. Activez d’abord le compte mobile, puis connectez-vous à l’aide du compte mobile (qui sera alors créé). Une fois connecté, activez FileVault dans les Préférences Système. Vous devez disposer d’autorisations d’administrateur local et définir un mot de passe maître. Questions de sécurité concernant l’utilisation de répertoires de départ portables Les répertoires de départ portables permettent aux clients mobiles d’emporter des versions locales (ou portables) de leur répertoire de départ réseau, de travailler sur des fichiers hors connexion et de les synchroniser lorsqu’ils se reconnectent au réseau. Toutes les questions de sécurité qui concernent les comptes de réseau concernent également les clients mobiles qui utilisent des répertoires de départ portables. Les clients mobiles peuvent modifier leurs autorisations d’accès sur le répertoire de départ réseau afin que ce dernier soit plus ouvert. Par conséquent, les questions de sécurité concernant les répertoires de départ portables font partie des questions de sécurité concernant les utilisateurs réseau. Remarque : il est possible de disposer d’un compte mobile sans répertoire de départ portable. C’est le cas si vous disposez, par exemple, d’un répertoire de départ réseau non synchronisé avec le répertoire de départ du compte local ou d’un compte réseau sans aucun répertoire de départ réseau. Connexions VPN La création d’un nouveau compte mobile ou la configuration d’un compte mobile pour la synchronisation doit se faire en étant connecté directement au réseau, pas en étant connecté via VPN. La première fois que vous vous connectez à un compte mobile et à un répertoire de départ portable, il se synchronise automatiquement avec le répertoire de départ réseau. Une fois que le compte mobile a été créé, vous pouvez ouvrir une session hors connexion, établir une connexion VPN, puis lancer une synchronisation manuelle. Questions concernant la perte et la récupération des données N’utilisez pas les répertoires de départ portables à la place d’un système de sauvegarde systématique. Les répertoires de départ portables ne synchronisent que les nouveaux fichiers créés, les fichiers modifiés et les préférences gérées modifiées depuis la dernière synchronisation. Une synchronisation ne constitue jamais une image fidèle de l’environnement d’un utilisateur. Ce n’est qu’une partie du contenu modifié parmi l’ensemble du contenu désigné par l’administrateur. De plus, contrairement aux solutions de sauvegarde spécialisées, les répertoires de départ portables ne vous permettent pas de récupérer spécifiquement tout contenu synchronisé avant la dernière synchronisation. F0170.book Page 63 Monday, May 2, 2005 12:37 PMF0170.book Page 64 Monday, May 2, 2005 12:37 PM4 65 4 Configuration des comptes d’utilisateur Ce chapitre vous explique comment configurer, modifier et gérer des comptes d’utilisateur. À propos des comptes d’utilisateur Un compte d’utilisateur stocke les données dont Mac OS X Server a besoin pour valider l’identité de l’utilisateur et lui fournir des services. Cette section propose une vue d’ensemble des comptes d’utilisateur. Emplacement de stockage des comptes d’utilisateur Les comptes d’utilisateur, les comptes de groupe et les listes d’ordinateurs peuvent être stockés dans n’importe quel domaine Open Directory accessible depuis tout ordinateur Mac OS X. Un domaine de répertoire peut résider soit sur un ordinateur Mac OS X (le répertoire LDAP d’un maître Open Directory, un domaine NetInfo ou tout autre domaine de répertoire en lecture/écriture, par exemple), soit sur un serveur non Apple (un serveur LDAP ou Active Directory par exemple). Vous pouvez utiliser le Gestionnaire de groupe de travail pour travailler avec des comptes dans tous les types de domaines de répertoires, sachant toutefois qu’il permet de ne mettre à jour que le répertoire LDAP d’un maître Open Directory, d’un domaine NetInfo ou de tout autre domaine de répertoire en lecture/écriture. Pour obtenir des informations complètes sur les différents types de domaines Open Directory reportez-vous au guide d’administration Open Directory. F0170.book Page 65 Monday, May 2, 2005 12:37 PM66 Chapitre 4 Configuration des comptes d’utilisateur Comptes d’utilisateur prédéfinis Le tableau suivant fournit une description de certains comptes d’utilisateur créés automatiquement lorsque vous installez Mac OS X Server (sauf indication contraire). Pour obtenir la liste complète, ouvrez le Gestionnaire de groupe de travail et choisissez Présentation > Afficher les utilisateurs et groupes du système. Nom d’utilisateur prédéfini Nom abrégé Identifiant d’utilisateur Utilisation Utilisateur FTP anonyme ftp 98 Le nom d’utilisateur attribué à quiconque utilise FTP en tant qu’utilisateur anonyme. Cet utilisateur est créé au moment du premier accès au serveur FTP si ce dernier est activé, si l’accès FTP anonyme est activé et si l’utilisateur anonyme ftp n’existe pas encore. Utilisateur du Gestionnaire Macintosh mmuser -17 L’utilisateur créé par le serveur Gestionnaire Macintosh lorsque l’application est lancée pour la première fois sur un serveur particulier. Il ne dispose d’aucun répertoire de départ et son mot de passe est régulièrement modifié. Serveur My SQL mysql 74 L’utilisateur que le serveur de base de données MySQL utilise pour les processus qui traitent les requêtes. Utilisateur Sendmail smmsp 25 Utilisateur sous lequel sendmail est exécuté. sshd (séparation des autorisations) sshd 75 Utilisateur pour les processus enfants sshd qui traitent les données réseau. Administrateur système root 0 Utilisateur ayant le plus de pouvoirs. Services système daemon 1 Utilisateur UNIX hérité. Utilisateur inconnu unknown 99 Utilisateur employé lorsque le système ne connaît pas le disque dur. F0170.book Page 66 Monday, May 2, 2005 12:37 PMChapitre 4 Configuration des comptes d’utilisateur 67 Administration de comptes d’utilisateur Cette section explique comment administrer les comptes d’utilisateur stockés dans différents types de domaines de répertoires. Création de comptes d’utilisateur Mac OS X Server Pour créer un compte d’utilisateur dans un domaine de répertoires particulier, vous devez disposer d’autorisations d’administration sur ce domaine. Pour créer un compte d’utilisateur : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Assurez-vous que les services de répertoire du Mac OS X Server que vous utilisez ont été configurés pour accéder au domaine qui vous intéresse. Pour obtenir des instructions, reportez-vous au guide de l’administrateur Open Directory. 3 Cliquez sur le petit globe situé sous la liste des comptes, puis choisissez le domaine dans lequel vous voulez que le compte d’utilisateur réside. Local, /NetInfo/root/ et /NetInfo/DefaultLocalNode, par exemple, se réfèrent tous au domaine de répertoire local. /NetInfo/root se réfère à un domaine NetInfo partagé si le serveur est configuré pour accéder à un tel domaine ; sinon, /NetInfo/root constitue le domaine local. 4 Pour être authentifié, cliquez sur le cadenas. 5 Choisissez Serveur > Nouvel utilisateur ou cliquez sur Nouvel utilisateur dans la barre d’outils. 6 Spécifiez des réglages pour l’utilisateur dans les onglets fournis. Consultez “Définition de noms complets d’utilisateurs” à la page 74 et “Faire suivre le courrier d’un utilisateur” à la page 93 pour plus de détails. Utilisateur sans autorisation nobody -2 À l’origine, cet utilisateur a été créé de manière à ce que les services système n’aient pas à être exécutés en tant qu’administrateur système. À présent toutefois, les utilisateurs spécifiques aux services, le serveur Web notamment, sont souvent utilisés à cette fin. Serveur World Wide Web www 70 L’utilisateur sans autorisation qu’Apache utilise pour les processus qui traitent les requêtes. Nom d’utilisateur prédéfini Nom abrégé Identifiant d’utilisateur Utilisation F0170.book Page 67 Monday, May 2, 2005 12:37 PM68 Chapitre 4 Configuration des comptes d’utilisateur Pour créer un utilisateur, vous pouvez également utiliser un préréglage ou un fichier d’importation. Remarque : le Gestionnaire de groupe de travail ne peut pas être utilisé pour créer des utilisateurs, des groupes ou des ordinateurs dans un domaine Active Directory standard. Le système Active Directory doit être étendu pour permettre la création d’utilisateurs, de groupes ou d’ordinateurs. Pour plus de détails, consultez les sections “Utilisation de préréglages pour créer des comptes” à la page 73 et “Utilisation du Gestionnaire de groupe de travail pour importer des utilisateurs et des groupes” à la page 243. Création de comptes d’utilisateur LDAPv3 en lecture/écriture Vous pouvez créer un compte d’utilisateur sur un serveur LDAPv3 non Apple s’il a été configuré pour un accès en écriture. Pour créer un compte d’utilisateur LDAPv3 : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Assurez-vous que les services de répertoire du Mac OS X Server que vous utilisez ont été configurés pour employer le serveur LDAP pour les comptes d’utilisateur. Le guide d’administration Open Directory propose des informations sur les attributs standards des comptes d’utilisateur et des instructions sur le mappage des attributs. Pour en savoir plus sur les éléments du compte d’utilisateur qui peuvent nécessiter un mappage, consultez l’Annexe A, “Importation et exportation d’informations de compte”. 3 Cliquez sur le petit globe situé au-dessus de la liste des comptes, puis choisissez le domaine LDAPv3 dans lequel vous souhaitez faire résider le compte d’utilisateur. 4 Pour être authentifié, cliquez sur le cadenas. 5 Choisissez Serveur > Nouvel utilisateur ou cliquez sur Nouvel utilisateur dans la barre d’outils. 6 Spécifiez des réglages pour l’utilisateur dans les onglets fournis. Pour plus de détails, lisez la section “Travail avec des réglages élémentaires pour utilisateurs” à la page 74 jusqu’à “Travail avec des réglages d’impression pour utilisateurs” à la page 93. Pour créer un utilisateur, vous pouvez également utiliser un préréglage ou un fichier d’importation. Pour plus de détails, consultez les sections “Utilisation de préréglages pour créer des comptes” à la page 73 et “Utilisation du Gestionnaire de groupe de travail pour importer des utilisateurs et des groupes” à la page 243. Modification des informations de compte d’utilisateur Le Gestionnaire de groupe de travail permet de modifier un compte d’utilisateur qui réside dans le répertoire LDAP d’un maître Open Directory, d’un domaine NetInfo ou de tout autre domaine de répertoire. F0170.book Page 68 Monday, May 2, 2005 12:37 PMChapitre 4 Configuration des comptes d’utilisateur 69 Pour apporter des modifications à un compte d’utilisateur : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Assurez-vous que les services de répertoire du Mac OS X Server que vous utilisez ont été configurés pour accéder au domaine de répertoire qui vous intéresse. 3 Pour obtenir des instructions, reportez-vous au guide d’administration Open Directory. Cliquez sur le petit globe situé au-dessus de la liste des comptes, puis choisissez le domaine dans lequel réside le compte d’utilisateur. 4 Pour être authentifié, cliquez sur le cadenas. 5 Cliquez sur le bouton Utilisateurs et sélectionnez l’utilisateur. 6 Modifiez les réglages de l’utilisateur dans les onglets fournis. Pour plus de détails, lisez la section “Travail avec des réglages élémentaires pour utilisateurs” à la page 74 jusqu’à “Travail avec des réglages d’impression pour utilisateurs” à la page 93. Modification simultanée de plusieurs utilisateurs Vous pouvez utiliser le Gestionnaire de groupe de travail pour apporter simultanément les mêmes modifications à plusieurs comptes d’utilisateur qui résident dans le répertoire LDAP d’un maître Open Directory, d’un domaine NetInfo ou de tout autre domaine de répertoire. Pour modifier plusieurs utilisateurs : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez les comptes d’utilisateur à modifier. Cliquez sur l’icône en forme de globe située sous la barre d’outils, choisissez le domaine de répertoire, puis cliquez sur chaque utilisateur tout en maintenant la touche Commande enfoncée. 3 Pour être authentifié, cliquez sur le cadenas. 4 Cliquez pour afficher la sous-fenêtre à utiliser, puis procédez à vos modifications dans les champs que le Gestionnaire de groupe de travail vous autorise à mettre à jour. Modification des comptes dans un maître Open Directory Vous pouvez modifier les comptes du répertoire LDAP d’un Open Directory si vous êtes autorisé à administrer le maître de domaine de répertoire mais pas le serveur lui-même. L’option “L’utilisateur peut administrer ce domaine de répertoire” de la sous-fenêtre Élémentaire de Comptes, dans Gestionnaire de groupe de travail, doit être cochée. F0170.book Page 69 Monday, May 2, 2005 12:37 PM70 Chapitre 4 Configuration des comptes d’utilisateur Si vous ne disposez pas de cette autorisation, vous devez vous authentifier auprès du domaine de répertoire via le compte d’administrateur de répertoire créé dans Mac OS X Server lorsque vous spécifiez que votre serveur est un répertoire maître dans l’utilitaire Admin Serveur. L’identifiant d’utilisateur UID, le nom d’utilisateur et le mot de passe du compte d’administrateur de répertoire (par défaut, l’identifiant d’utilisateur modifiable est 1000 et le nom d’utilisateur, “diradmin”) sont définis par l’administrateur du serveur lors de la création du répertoire. Pour modifier des comptes : 1 Utilisez un ordinateur administrateur configuré (via la sous-fenêtre Services de Format de répertoire) pour accéder au serveur hébergeant le maître Open Directory. 2 Ouvrez le Gestionnaire de groupe de travail sur l’ordinateur administrateur. 3 Une fois la fenêtre d’ouverture de session affichée, choisissez Serveur > Afficher les répertoires. 4 Cliquez sur l’icône en forme de petit globe située au-dessus de la liste des comptes et choisissez Autre dans le menu local. 5 Ouvrez le domaine de répertoire à administrer et cliquez sur le cadenas pour être authentifié en tant qu’administrateur du domaine. Ces instructions sont valables pour un seul et unique administrateur de domaine. Si plusieurs comptes d’administrateur de domaine ont été créés dans le domaine de répertoire, vous pouvez utiliser indifféremment l’un de ces comptes pour déverrouiller le répertoire. Utilisation de comptes d’utilisateur en lecture seule Vous pouvez utiliser le Gestionnaire de groupe de travail pour consulter des informations sur les comptes d’utilisateur stockés dans des domaines de répertoire en lecture seule. Les domaines de répertoires en lecture seule incluent les domaines LDAPv2, les domaines LDAPv3 non configurés pour l’accès en écriture et les fichiers de configuration BSD Pour travailler avec un compte d’utilisateur de type “lecture seule” : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Assurez-vous que les services de répertoire de Mac OS X Server que vous utilisez ont été configurés pour accéder au domaine de répertoire dans lequel réside le compte. Pour plus d’informations sur l’utilisation de Format de répertoire pour configurer des connexions serveur, reportez-vous au guide d’administration Open Directory. Pour en savoir plus sur les éléments du compte d’utilisateur qui nécessitent un mappage, consultez l’Annexe A, “Importation et exportation d’informations de compte”. 3 Cliquez sur le petit globe situé au-dessus de la liste des comptes, puis choisissez le domaine de répertoire dans lequel réside le compte d’utilisateur. 4 Utilisez les onglets fournis pour passer en revue les réglages du compte de l’utilisateur. F0170.book Page 70 Monday, May 2, 2005 12:37 PMChapitre 4 Configuration des comptes d’utilisateur 71 Pour plus de détails, lisez la section “Travail avec des réglages élémentaires pour utilisateurs” à la page 74 jusqu’à “Travail avec des réglages d’impression pour utilisateurs” à la page 93. Définition d’un utilisateur invité Vous pouvez configurer certains services en vue de gérer les utilisateurs “anonymes”. Il s’agit des utilisateurs qui ne peuvent être authentifiés car ils ne disposent pas d’un nom d’utilisateur ou d’un mot de passe valides. Les services suivants peuvent être configurés pour gérer les utilisateurs anonymes : • Services Windows (voir le guide des services Windows pour toute information sur la configuration de l’accès en invité) • Service de fichiers Apple (voir le guide d’administration des services de fichiers pour toute information sur la configuration de l’accès en invité) • Service FTP (voir le guide d’administration des services de fichiers pour toute information sur la configuration de l’accès en invité) • Service Web (voir le guide d’administration des technologies Web pour toute information sur la configuration de l’accès en invité) L’accès des utilisateurs qui se connectent de manière anonyme à un serveur est limité aux fichiers, dossiers et sites Web dont les autorisations sont réglées sur Tous. Il existe un autre type d’utilisateurs invités : les utilisateurs gérés que vous pouvez définir pour permettre une configuration simplifiée d’ordinateurs publics (ou kiosques informatiques). Pour plus d’informations sur ce type d’utilisateurs, consultez le chapitre 9, “Gestion des préférences”, à la page 157. Suppression d’un compte d’utilisateur Le Gestionnaire de groupe de travail permet de supprimer un compte d’utilisateur stocké dans le répertoire LDAP d’un maître Open Directory ou d’un domaine NetInfo. Pour supprimer un compte d’utilisateur à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte d’utilisateur à supprimer. Pour trouver le compte, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte, puis sélectionnez l’utilisateur. 3 Pour être authentifié, cliquez sur le cadenas. 4 Choisissez Serveur > Effacer l’utilisateur sélectionné ou cliquez sur l’icône Supprimer de la barre d’outils. Avertissement : cette action est irréversible. F0170.book Page 71 Monday, May 2, 2005 12:37 PM72 Chapitre 4 Configuration des comptes d’utilisateur Désactivation d’un compte d’utilisateur Pour désactiver un compte d’utilisateur, vous pouvez : • Décocher l’option “L’utilisateur peut se connecter” dans la sous-fenêtre Élémentaire du Gestionnaire de groupe de travail. • Supprimer le compte. • Remplacer le mot de passe d’utilisateur par une valeur inconnue. • Définir une stratégie de mot de passe qui désactive l’ouverture de session (pour un compte d’utilisateur disposant d’un mot de passe de type Open Directory). Utilisation de préréglages pour les comptes d’utilisateur Les préréglages fonctionnent comme des modèles vous permettant de définir les attributs automatiquement appliqués aux nouveaux comptes d’utilisateur et de groupe. Création d’un préréglage pour des comptes d’utilisateur Vous pouvez créer un ou plusieurs préréglages à choisir lors de la création de nouveaux comptes d’utilisateur dans un domaine de répertoire particulier. Pour créer un préréglage pour des comptes d’utilisateurs : 1 Ouvrez le Gestionnaire de groupe de travail sur le serveur à partir duquel vous créez les comptes d’utilisateur. Assurez-vous que le serveur a été configuré pour accéder au domaine de répertoire Mac OS X ou LDAPv3 non Apple sur lequel le préréglage sera utilisé pour créer de nouveaux comptes. Pour passer d’un domaine à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. 2 Cliquez sur Comptes. 3 Pour créer un préréglage à l’aide de données stockées dans un compte d’utilisateur existant, ouvrez le compte. Pour créer un préréglage à l’aide d’un compte d’utilisateur vide, créez un compte d’utilisateur. 4 Remplissez les champs avec les valeurs que vous souhaitez voir héritées par les nouveaux comptes d’utilisateur. Supprimez les valeurs que vous ne souhaitez pas inclure dans les préréglages si vous prenez comme point de départ un compte existant. Les attributs suivants peuvent être définis dans un préréglage de compte d’utilisateur :réglages de mot de passe, autorisations d’administrateur, réglages de répertoire de départ, quotas, shell par défaut, identifiant de groupe principal, liste des membres du groupe, commentaire, réglages d’ouverture de session, réglages d’impression et réglages de courrier. 5 Cliquez sur Préférences, configurez les réglages que vous souhaitez inclure dans le préréglage, puis puis cliquez sur Comptes. Après avoir configuré les préférences d’un préréglage, vous devez retourner aux réglages de Comptes pour enregistrer le préréglage. F0170.book Page 72 Monday, May 2, 2005 12:37 PMChapitre 4 Configuration des comptes d’utilisateur 73 6 Choisissez Enregistrer le préréglage dans le menu local Préréglages, tapez un nom pour le préréglage, puis cliquez sur OK. Le préréglage est enregistré dans le domaine de répertoire actuel. Utilisation de préréglages pour créer des comptes Les préréglages constituent un moyen rapide pour appliquer des réglages à un nouveau compte. Après avoir appliqué le préréglage, vous pouvez si nécessaire continuer à modifier les réglages du nouveau compte. Pour créer un compte à l’aide d’un préréglage : 1 Ouvrez le Gestionnaire de groupe de travail sur un serveur configuré pour accéder au domaine de répertoire Mac OS X ou LDAPv3 non Apple dans lequel le préréglage sera utilisé pour créer le nouveau compte. 2 Cliquez sur Comptes. 3 Cliquez sur le petit globe situé au-dessus de la liste des comptes, puis choisissez le domaine de répertoire dans lequel vous souhaitez faire résider le nouveau compte. 4 Pour être authentifié, cliquez sur le cadenas. 5 Choisissez un élément dans le menu local Préréglages. Si vous comptez importer un fichier, choisissez un préréglage dans la zone de dialogue des options d’importation. 6 Créez un compte de manière interactive ou à l’aide d’un fichier d’importation. Si un réglage est spécifié à la fois dans le préréglage et dans le fichier d’importation, la valeur dans le fichier est utilisée. Si un réglage est spécifié dans le préréglage mais pas dans le fichier d’importation, la valeur du préréglage est utilisée. 7 Si nécessaire, ajoutez ou mettez à jour des valeurs d’attribut de manière interactive ou à l’aide d’un fichier d’importation. Renommer des préréglages Attribuez un nom à vos préréglages pour vous aider à vous souvenir des réglages modèles ou à identifier le type de compte d’utilisateur, de compte de groupe ou de liste d’ordinateurs auquel ce préréglage convient le mieux. Il est possible de renommer les préréglages si nécessaire. Pour renommer un préréglage : 1 Ouvrez le Gestionnaire de groupe de travail sur le serveur où le préréglage a été défini. 2 Cliquez sur Comptes. 3 Choisissez Renommer le préréglage dans le menu local Préréglages. 4 Saisissez le nouveau nom et cliquez sur OK. F0170.book Page 73 Monday, May 2, 2005 12:37 PM74 Chapitre 4 Configuration des comptes d’utilisateur Modification de préréglages Lorsque vous modifiez un préréglage, les comptes existants qu’il a contribué à créer ne sont pas mis à jour pour refléter vos modifications. Pour modifier un préréglage : 1 Ouvrez le Gestionnaire de groupe de travail sur le serveur où le préréglage a été défini. 2 Cliquez sur Comptes. 3 Choisissez un élément dans le menu local Préréglages. 4 Après avoir terminé vos modifications, choisissez Enregistrer le préréglage dans le menu local Préréglages. Vous pouvez également modifier un préréglage tout en l’utilisant pour créer un compte : il vous suffit alors de changer tout champ défini par le préréglage, puis de l’enregistrer. Suppression de préréglages Vous pouvez supprimer les préréglages dont vous n’avez plus besoin. Pour supprimer un préréglage : 1 Ouvrez le Gestionnaire de groupe de travail sur le serveur où le préréglage a été défini. 2 Cliquez sur Comptes. 3 Choisissez Supprimer le préréglage dans le menu local Préréglages. 4 Sélectionnez le préréglage à supprimer, puis cliquez sur Supprimer. Travail avec des réglages élémentaires pour utilisateurs Les réglages élémentaires sont un ensemble d’attributs devant être définis pour tous les utilisateurs. Dans le Gestionnaire de groupe de travail, utilisez la sous-fenêtre Élémentaire de la fenêtre du compte d’utilisateur pour utiliser des réglages élémentaires. Définition de noms complets d’utilisateurs Le nom d’utilisateur correspond au nom complet d’un utilisateur, comme par exemple Jeanne Dubois ou Dr Pierre Martin (il est parfois appelé nom réel). Les utilisateurs peuvent se connecter à l’aide du nom d’utilisateur ou du nom abrégé associés à leur compte. Les noms complets d’utilisateur sont sensibles à la casse dans la fenêtre d’ouverture de session, de sorte que l’ouverture de session échoue si un utilisateur tape MARIE DUPONT au lieu de Marie Dupont. Les noms d’utilisateur ne sont toutefois pas sensibles à la casse lorsqu’ils sont utilisés pour authentifier un utilisateur afin de lui accorder l’accès à un serveur de fichiers ou pour ouvrir une session à partir de clients Mac OS 9 Gestionnaire Macintosh. F0170.book Page 74 Monday, May 2, 2005 12:37 PMChapitre 4 Configuration des comptes d’utilisateur 75 Un nom complet d’utilisateur ne peut pas contenir plus de 255 octets. Comme les noms complets d’utilisateur gèrent plusieurs jeux de caractères, le nombre maximal de caractères peut varier de 255 caractères romains à 85 caractères (pour les jeux de caractères qui occupent jusqu’à 3 octets). Le Gestionnaire de groupe de travail permet de modifier le nom d’utilisateur d’un compte stocké dans le répertoire LDAP d’un maître Open Directory, d’un domaine NetInfo ou de tout autre domaine de répertoire en lecture/écriture. Vous pouvez également utiliser le Gestionnaire de groupe de travail pour revoir les noms d’utilisateur de tout domaine de répertoire accessible à partir du serveur que vous utilisez. Pour travailler avec le nom d’utilisateur à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte à utiliser. Pour cela, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte, puis sélectionnez l’utilisateur dans la liste des utilisateurs. 3 Pour être authentifié, cliquez sur le cadenas. 4 Dans le champ Nom de la sous-fenêtre Élémentaire, vérifiez le nom d’utilisateur et modifiez-le si nécessaire. La valeur initiale du nom d’utilisateur correspond à “Sans titre ”. Après la modification du nom, le Gestionnaire de groupe de travail ne vérifie pas si celui-ci est unique. Évitez d’attribuer le même nom à plusieurs utilisateurs. Bien que le Gestionnaire de groupe de travail ne vous permette pas d’attribuer le même nom à plusieurs utilisateurs d’un domaine particulier ou de tout domaine qui se trouve dans le chemin de recherche (politique de recherche) du serveur que vous utilisez, il n’a aucun moyen de détecter la présence éventuelle de doublons dans les autres domaines. Définition de noms abrégés d’utilisateurs Un nom abrégé correspond à la version abrégée d’un utilisateur, comme par exemple ebrown ou arnoldsmith. Les utilisateurs peuvent se connecter à l’aide du nom abrégé ou du nom d’utilisateur associé à leur compte. Le nom abrégé est utilisé par Mac OS X pour les répertoires de départ et les groupes : • Lorsque Mac OS X crée automatiquement un répertoire de départ (local ou AFP en réseau) pour un utilisateur, il lui donne le nom abrégé de l’utilisateur. Pour plus d’informations sur les répertoires de départ, consultez le chapitre 7, “Configuration des répertoires de départ”. F0170.book Page 75 Monday, May 2, 2005 12:37 PM76 Chapitre 4 Configuration des comptes d’utilisateur • Lorsque Mac OS X vérifie si un utilisateur appartient à un groupe autorisé à accéder à un fichier particulier, il utilise des noms abrégés pour retrouver les identifiants d’utilisateur des membres du groupe. Pour obtenir un exemple, reportez-vous à la section “Mesures de prévention contre les doublons de noms abrégés” à la page 79. Vous pouvez associer jusqu’à 16 noms abrégés à un compte d’utilisateur. Ces noms abrégés peuvent par exemple servir d’alias pour les comptes de courrier. Le premier nom abrégé étant le nom utilisé pour les répertoires de départ et les listes des membres du groupe, ne l’attribuez pas à nouveau après avoir enregistré le compte d’utilisateur. Un nom abrégé d’utilisateur peut contenir jusqu’à 255 caractères romains. Toutefois, pour les clients qui utilisent Mac OS X 10.1.5 et versions antérieures, le premier nom abrégé d’utilisateur ne peut contenir plus de 8 caractères. N’utilisez que les caractères ci-après pour le premier nom abrégé d’utilisateur (les noms abrégés suivants peuvent contenir n’importe quel caractère romain) : • de a à z • de a à z • de 0 à 9 • _ (trait de soulignement) Les noms abrégés contiennent généralement huit caractères au maximum. Le Gestionnaire de groupe de travail permet de modifier le nom abrégé d’un compte stocké dans le répertoire LDAP d’un maître Open Directory, d’un domaine NetInfo ou de tout autre domaine de répertoire en lecture/écriture. Vous pouvez également utiliser le Gestionnaire de groupe de travail pour revoir les noms abrégés de tout domaine de répertoire accessible à partir du serveur que vous utilisez. Pour travailler avec un nom abrégé d’utilisateur à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte que vous souhaitez utiliser. Pour sélectionner le compte, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte, puis sélectionnez le compte d’utilisateur. 3 Pour être authentifié, cliquez sur le cadenas. 4 Dans le champ Noms abrégés de la sous-fenêtre Élémentaire, vérifiez les noms abrégés ou modifiez-les si nécessaire. La valeur initiale du nom abrégé correspond à “Sans titre”. Si vous spécifiez plusieurs noms abrégés, ils doivent être sur des lignes différentes. F0170.book Page 76 Monday, May 2, 2005 12:37 PMChapitre 4 Configuration des comptes d’utilisateur 77 Évitez d’attribuer le même nom abrégé à plusieurs utilisateurs. Bien que le Gestionnaire de groupe de travail ne vous permette pas d’attribuer le même nom abrégé à plusieurs utilisateurs d’un domaine particulier ou de tout domaine qui se trouve dans le chemin de recherche (politique de recherche) du serveur que vous utilisez, il n’a aucun moyen de détecter la présence éventuelle de doublons dans les autres domaines. Une fois le compte d’utilisateur enregistré, vous ne pouvez plus modifier le premier nom abrégé, mais vous pouvez en revanche modifier les autres dans une liste de noms abrégés. Choix de noms abrégés permanents Lorsque vous créez des groupes, Mac OS X identifie les utilisateurs qui en font partie par leur premier nom abrégé, qui ne peut être modifié. Si vous devez absolument modifier un nom abrégé, vous pouvez créer pour l’utilisateur un compte (dans le même domaine de répertoire) qui contient le nouveau nom abrégé mais conserve toutes les autres informations (identifiant d’utilisateur, groupe principal, répertoire de départ, etc.). Vous pouvez ensuite désactiver l’ouverture de session pour l’ancien compte d’utilisateur. Désormais, l’utilisateur peut se connecter à l’aide du nom modifié, tout en continuant à disposer du même accès aux fichiers et autres ressources de réseaux qu’auparavant. (Pour plus d’informations sur la désactivation d’un compte de connexion, consultez la section “Désactivation d’un compte d’utilisateur” à la page 72.) Eviter les doublons de noms Si des comptes d’utilisateur différents portent le même nom (nom d’utilisateur ou nom abrégé) sur un ordinateur Mac OS X, la fenêtre d’ouverture de session affichera la liste des utilisateurs afin que vous puissiez choisir. Il s’agit d’une nouvelle fonctionnalité de Mac OS X 10.4 qui n’est pas prise en charge par les versions antérieures. F0170.book Page 77 Monday, May 2, 2005 12:37 PM78 Chapitre 4 Configuration des comptes d’utilisateur Prenons l’exemple de trois domaines de répertoire partagés après la création de leurs utilisateurs. Tony Smith a un compte dans le domaine Étudiants et Tom Smith un compte dans le domaine racine. Aux deux comptes sont associés le nom abrégé “tsmith” et le mot de passe “smitty”. Lorsque Tony ouvre une session sur son ordinateur avec le nom d’utilisateur “tsmith” et le mot de passe “smitty”, la fenêtre d’ouverture de session affiche les deux utilisateurs dont les comptes disposent des mêmes nom abrégé et mot de passe (Tony Smith et Tom Smith). Si Tony sélectionne le nom de Tom, il peut se connecter en tant que Tom et accéder aux fichiers de Tom, ce qui n’est pas l’effet recherché. À présent, admettons que Tony et Tom ont le même nom abrégé mais des mots de passe différents. / Étudiants Faculté Ordinateur de Tony Tony Smith (tsmith,smitty) Tom Smith (tsmith,smitty) Ordinateur de Tom / Étudiants Faculté Ordinateur de Tony Tony Smith (tsmith, tony) Tom Smith (tsmith,smitty) Ordinateur de Tom F0170.book Page 78 Monday, May 2, 2005 12:37 PMChapitre 4 Configuration des comptes d’utilisateur 79 Si Tom tente d’ouvrir une session sur l’ordinateur de Tony à l’aide du nom abrégé “tsmith” et de son propre mot de passe (smitty), Mac OS X trouve “tsmith” dans les deux domaines et propose à Tom de choisir le nom d’utilisateur sous lequel il souhaite être authentifié. Sa seule option est de s’authentifier auprès de son enregistrement d’utilisateur dans le domaine root, avec son propre mot de passe. Si Tony dispose, dans son domaine de répertoire local, d’un enregistrement d’utilisateur comprenant les mêmes nom et mot de passe que son enregistrement dans le domaine Étudiants, il peut toujours choisir l’identifiant d’utilisateur sous lequel il souhaite se connecter. Le domaine local de Tony devrait offrir une combinaison nom/mot de passe le distinguant de l’enregistrement du domaine Étudiants. Si le domaine Étudiants n’est pas accessible (lorsque Tony travaille chez lui, par exemple), il ne peut s’y connecter que si son compte est configuré comme un compte mobile. Dans ce cas, il peut utiliser les fichiers de son ordinateur créés sous l’utilisateur mobile. Tony pourra toujours choisir dans la fenêtre d’ouverture de session le nom d’utilisateur sous lequel il souhaite s’authentifier si son identifiant d’utilisateur est le même dans le domaine local et dans le domaine Étudiants. Les doublons de noms abrégés peuvent avoir des effets indésirables dans les enregistrements de groupe (voir section suivante). Mesures de prévention contre les doublons de noms abrégés Les noms abrégés étant utilisés pour trouver les identifiants d’utilisateur des membres de groupe, si des noms abrégés sont dupliqués, l’accès aux fichiers peut être accordé à des groupes auxquels vous ne souhaitiez pas autoriser l’accès. F0170.book Page 79 Monday, May 2, 2005 12:37 PM80 Chapitre 4 Configuration des comptes d’utilisateur Reportez-vous à l’exemple de Tony et Tom Smith, qui sont tous deux dotés du même nom abrégé. Supposons que l’administrateur ait créé un groupe dans le domaine racine auquel tous les étudiants appartiennent. Le groupe - Touslesétudiants - a un identifiant de groupe de 2017. Maintenant, supposons qu’un fichier, MonDoc, soit situé sur un ordinateur accessible à Tony et Tom. Le fichier a pour propriétaire un utilisateur dont l’identifiant est 127. Il dispose d’autorisations d’accès en lecture seule pour Touslesétudiants. Tony, et non Tom, a été ajouté au groupe Touslesétudiants, mais comme la liste des membres d’un groupe est constituée de noms abrégés plutôt que d’identifiants d’utilisateur et que le nom abrégé tsmith est répertorié comme membre de Touslesétudiants, Tony et Tom seront tous deux membres effectifs de Touslesétudiants. Si Tom tente d’accéder à MonDoc, Mac OS X détermine que les autorisations de possesseur ne s’appliquent pas à Tom et poursuit pour vérifier si les autorisations de groupe peuvent être appliquées à Tom. Mac OS X recherche dans la hiérarchie d’ouverture de session les enregistrements d’utilisateur dont les noms abrégés correspondent à ceux associés à Touslesétudiants. L’enregistrement d’utilisateur de Tom est trouvé (nom abrégé tsmith), car il est situé dans la hiérarchie d’ouverture de session, et l’identifiant d’utilisateur de l’enregistrement est comparé à l’identifiant d’ouverture de session de Tom. Etant donné qu’ils se correspondent, Tom est autorisé à lire MonDoc, même s’il n’est pas membre de Touslesétudiants. / Étudiants Faculté Ordinateur de Tony Tony Smith (tsmith,smitty, UID 3000) Tom Smith (tsmith,smitty, UID 2000) Touslesétudiants (tsmith, GID 2017) Ordinateur de Tom MonDoc Possesseur 127 : lecture et écriture Groupe 2017 : lecture seulement Autres : aucun F0170.book Page 80 Monday, May 2, 2005 12:37 PMChapitre 4 Configuration des comptes d’utilisateur 81 Définition d’identifiants d’utilisateur Un identifiant d’utilisateur est un chiffre qui permet d’identifier un utilisateur de manière unique. Les ordinateurs Mac OS X utilisent l’identifiant d’utilisateur pour assurer le suivi des répertoires et fichiers que possède un utilisateur. Lorsqu’un utilisateur crée un répertoire ou un fichier, l’identifiant d’utilisateur est stocké en tant qu’identifiant du créateur. Un utilisateur doté de cet identifiant dispose par défaut d’autorisations en lecture et écriture pour le répertoire ou le fichier créé. L’identifiant doit consister en une chaîne unique de chiffres compris entre 500 et 2 147 483 648. L’affectation du même identifiant à différents utilisateurs est risquée car deux utilisateurs dotés du même identifiant disposent des mêmes autorisations d’accès aux répertoires et aux fichiers. L’identifiant d’utilisateur 0 est réservé à l’utilisateur root. Les identifiants inférieurs à 100 sont réservés au système ; les utilisateurs portant ces identifiants ne peuvent être supprimés ou modifiés, sauf pour changer le mot de passe de l’utilisateur root. En règle générale, vous ne devez plus modifier les identifiants d’utilisateur une fois qu’ils ont été attribués et que les utilisateurs ont commencé à créer des fichiers et des répertoires sur un réseau. Vous pourriez cependant être amené à transgresser cette règle si vous fusionnez des utilisateurs créés sur des serveurs différents en un seul serveur ou groupe de serveurs. Il se peut alors qu’un même identifiant d’utilisateur ait été associé à un autre utilisateur sur le serveur précédent. Lorsque vous créez un compte d’utilisateur dans un domaine de répertoire partagé quelconque, le Gestionnaire de groupe de travail affecte automatiquement un identifiant d’utilisateur. La valeur attribuée correspond à un identifiant inutilisé (1 025 ou plus) dans le chemin de recherche du serveur. (Les nouveaux utilisateurs créés à l’aide de la sous-fenêtre des préférences de comptes des ordinateurs Mac OS X reçoivent des identifiants qui commencent à 501.) Le Gestionnaire de groupe de travail permet de modifier l’identifiant d’un compte stocké dans le répertoire LDAP d’un maître Open Directory ou d’un domaine NetInfo. Vous pouvez également utiliser le Gestionnaire de groupe de travail pour examiner l’identifiant d’utilisateur dans tout domaine de répertoire accessible à partir du serveur que vous utilisez. Pour changer un identifiant d’utilisateur dans le Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte que vous souhaitez utiliser. Pour sélectionner un compte, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte d’utilisateur, puis sélectionnez l’utilisateur. F0170.book Page 81 Monday, May 2, 2005 12:37 PM82 Chapitre 4 Configuration des comptes d’utilisateur 3 Pour être authentifié, cliquez sur le cadenas. 4 Dans la sous-fenêtre Élémentaire, spécifiez une valeur dans le champ “Id. d’utilisateur”. Cette valeur doit être unique dans la politique de recherche (chemin de recherche) des ordinateurs auxquels l’utilisateur se connectera. Définition de mots de passe Pour plus d’informations sur la définition des mots de passe, consultez le guide d’administration Open Directory. Réglage des options de mot de passe pour les utilisateurs importés Lorsque vous exportez des utilisateurs à l’aide de Gestionnaire de groupe de travail, les informations des mots de passe ne sont pas exportées. Pour définir des mots de passe, vous pouvez soit modifier le fichier d’exportation avant de l’importer, soit définir des mots de passe après l’importation. Il est également possible de créer manuellement un fichier d’importation délimité par du texte et d’y insérer des mots de passe. Pour apprendre comment utiliser des fichiers d’importation, reportez-vous à l’annexe A. Pour définir des options de mot de passe après l’importation : 1 Importez les utilisateurs à l’aide du Gestionnaire de groupe de travail ou de l’outil de ligne de commande dsimport. 2 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 3 Ouvrez le répertoire contenant les utilisateurs importés. 4 Sélectionnez les utilisateurs dont vous souhaitez définir les options de mot de passe. 5 Cliquez sur Avancé. 6 Assurez-vous que le Type du mot de passe est réglé sur Open Directory, cliquez sur Options, définissez les options de mot de passe et cliquez sur OK. 7 Cliquez sur Enregistrer. Pour en savoir plus sur l’importation des utilisateurs, consultez l’annexe A. Pour plus d’informations sur les mots de passe Open Directory, reportez-vous au guide d’administration Open Directory. Attribution de droits d’administrateur pour un serveur Un utilisateur disposant d’autorisations d’administration de serveur peut contrôler la plupart des réglages de configuration du serveur et utiliser des applications, telles qu’Admin Serveur, qui requièrent que l’utilisateur soit membre du groupe d’administration du serveur. F0170.book Page 82 Monday, May 2, 2005 12:37 PMChapitre 4 Configuration des comptes d’utilisateur 83 Le Gestionnaire de groupe de travail permet d’attribuer des autorisations d’administrateur de serveur au répertoire LDAP d’un maître Open Directory ou d’un domaine NetInfo. Vous pouvez également utiliser le Gestionnaire de groupe de travail pour revoir les autorisations d’administrateur de serveur de tout domaine de répertoire accessible à partir du serveur que vous utilisez. Pour définir des autorisations d’administrateur de serveur dans le Gestionnaire de groupe de travail : 1 Connectez-vous au Gestionnaire de groupe de travail en spécifiant le nom ou l’adresse IP du serveur pour lequel vous souhaitez attribuer des autorisations d’administration. 2 Cliquez sur Comptes. 3 Cliquez sur le petit globe situé au-dessus de la liste des comptes, puis choisissez le domaine de répertoire dans lequel réside le compte d’utilisateur. 4 Pour être authentifié, cliquez sur le cadenas. 5 Dans la sous-fenêtre Élémentaire, sélectionnez l’option “L’utilisateur peut administrer le serveur” afin d’accorder des autorisations d’administration de serveur. Attributions de droits d’administrateur pour un domaine de répertoire Un utilisateur disposant d’autorisations d’administration pour un domaine de répertoire Apple peut, à l’aide du Gestionnaire de groupe de travail, modifier les comptes d’utilisateur, les comptes de groupe et les listes d’ordinateurs stockés dans ce domaine. Les modifications que peut apporter l’utilisateur sont limitées à celles que vous spécifiez. Le Gestionnaire de groupe de travail permet d’attribuer des autorisations d’administration de domaine de répertoire à un compte stocké dans le répertoire LDAP d’un maître Open Directory ou d’un domaine NetInfo. Vous pouvez également utiliser le Gestionnaire de groupe de travail pour revoir ces autorisations dans tout domaine de répertoire accessible à partir du serveur que vous utilisez. Pour définir des autorisations d’administration de domaine de répertoire dans le Gestionnaire de groupe de travail : 1 Assurez-vous que l’utilisateur possède un compte dans le répertoire de domaine. 2 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 3 Sélectionnez le compte d’utilisateur. Pour cela, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte d’utilisateur, puis sélectionnez le compte. 4 Pour être authentifié, cliquez sur le cadenas. 5 Dans la sous-fenêtre Élémentaire, sélectionnez l’option L’utilisateur peut administrer ce domaine de répertoire. F0170.book Page 83 Monday, May 2, 2005 12:37 PM84 Chapitre 4 Configuration des comptes d’utilisateur 6 Pour spécifier ce que l’utilisateur pourra administrer dans le domaine, cliquez sur Autorisations. Par défaut, l’utilisateur ne dispose pas d’autorisations de domaine de répertoire. 7 Cliquez sur le bouton Utilisateurs, Groupes ou Listes d’ordinateurs et effectuez vos réglages. Si vous ne cochez aucune case (telle que L’administrateur peut modifier les préférences d’utilisateur), l’utilisateur pourra voir les informations de compte ou les préférences dans le Gestionnaire de groupe de travail, mais il ne pourra pas les modifier. Pour ajouter un élément à la zone des éléments “ci-dessous” (située à droite), faites-le glisser à partir de la liste Disponible (située à gauche). Pour supprimer un élément, sélectionnez-le, puis appuyez sur la touche de suppression du clavier. GUID Disponible depuis Mac OS X 10.4, l’identifiant universel appelé identifiant unique global (GUID) fournit à l’utilisateur et au groupe une identité pour les autorisations ACL. Le GUID associe également un utilisateur à des abonnements de groupe et de groupe imbriqué. Vous trouverez des informations sur les GUID et leurs implications à l’Annexe B. Travail avec des réglages avancés pour utilisateurs Les réglages avancés comprennent les réglages d’ouverture de session, les mots de passe, la politique de validation de mot de passe et un champ de commentaire. Dans le Gestionnaire de groupe de travail, utilisez la sous-fenêtre Avancé située dans la fenêtre du compte d’utilisateur pour utiliser des réglages avancés. Définition de réglages d’ouverture de session En spécifiant des réglages d’ouverture de session pour l’utilisateur, vous pouvez : • Contrôler si l’utilisateur peut être authentifié à l’aide du compte. • Autoriser ou empêcher un utilisateur géré de se connecter simultanément à plusieurs ordinateurs gérés. • Indiquer si l’utilisateur d’un ordinateur géré peut ou doit sélectionner un groupe de travail lors de l’ouverture de session ou si vous souhaitez éviter d’afficher les groupes de travail lorsque l’utilisateur ouvre sa session. • Identifier le shell par défaut, tel que /bin/csh ou /bin/bash (valeur par défaut), employé par l’utilisateur pour les interactions de ligne de commande avec Mac OS X. Ce shell est utilisé par l’application Terminal de l’ordinateur sur lequel l’utilisateur s’est connecté, mais la préférence de Terminal vous permet de l’écraser. Le shell par défaut est utilisé par SSH (Secure Shell) ou Telnet lorsque l’utilisateur se connecte à un ordinateur Mac OS X distant. F0170.book Page 84 Monday, May 2, 2005 12:37 PMChapitre 4 Configuration des comptes d’utilisateur 85 Le Gestionnaire de groupe de travail permet de définir les réglages de connexion d’un compte stocké dans le répertoire LDAP d’un maître Open Directory, d’un domaine NetInfo ou de tout autre domaine de répertoire en lecture/écriture. Vous pouvez également utiliser le Gestionnaire de groupe de travail pour revoir les réglages de connexion de tout domaine de répertoire accessible à partir du serveur que vous utilisez. Pour utiliser des réglages de connexion à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte que vous souhaitez utiliser. Pour cela, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte, puis sélectionnez l’utilisateur dans la liste des utilisateurs. 3 Pour être authentifié, cliquez sur le cadenas. 4 Cliquez sur Avancé. 5 Sélectionnez Autoriser les ouvertures de session simultanées pour permettre à un utilisateur de se connecter à plusieurs ordinateurs gérés à la fois. Remarque : les ouvertures de session simultanées sont généralement déconseillées. Il est préférable de les réserver à l’équipe technique, aux professeurs ou à d’autres utilisateurs disposant d’autorisations d’administrateur. (Les utilisateurs qui disposent d’un répertoire de départ réseau stockent leurs préférences d’applications et leurs documents dans cet emplacement. Les ouvertures de session simultanées risquent de modifier ces éléments ; de nombreuses applications ne permettent pas ce type de modifications lorsqu’elles sont ouvertes.) Vous ne pouvez pas désactiver les ouvertures de session simultanées pour les utilisateurs disposant de répertoires de départ NFS. 6 Pour spécifier le shell par défaut de l’utilisateur lors de sa connexion sur un ordinateur Mac OS X computer, choisissez un shell dans le menu local Shell d’accès. Remarque : il existe dans Terminal une préférence qui permet à utilisateur de redéfinir le shell par défaut. Pour introduire un shell ne figurant pas dans la liste, cliquez sur Personnalisé. Pour s’assurer qu’un utilisateur ne peut pas accéder au serveur à distance via une ligne de commande, choisissez Aucun. F0170.book Page 85 Monday, May 2, 2005 12:37 PM86 Chapitre 4 Configuration des comptes d’utilisateur Définition d’un type de mot de passe Pour plus d’informations sur la configuration et la gestion des mots de passe, consultez le guide d’administration Open Directory. Création d’une liste maîtresse de mots-clés Vous pouvez définir des mots-clés qui permettent le tri et la recherche rapides d’utilisateurs. L’utilisation de mots-clés peut simplifier des tâches telles que créer des groupes ou modifier plusieurs utilisateurs. Avant de commencer à ajouter des mots-clés aux enregistrements d’utilisateur, vous devez créer une liste maîtresse de mots-clés. La liste de mots-clés affichées dans le panneau Avancé d’un utilisateur sélectionné ne s’applique qu’à cet utilisateur. Pour modifier la liste maîtresse de mots-clés : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte que vous souhaitez utiliser. Pour cela, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte puis sélectionnez l’utilisateur dans la liste des utilisateurs. 3 Pour être authentifié, cliquez sur le cadenas. 4 Cliquez sur Avancé. 5 Cliquez sur le bouton Modifier (crayon) pour afficher la liste maîtresse de mots-clés. La liste maîtresse présente tous les termes utilisables comme mots-clés. Vous pouvez y accéder et la modifier à partir de n’importe quel compte d’utilisateur sélectionné. 6 Pour ajouter un mot-clé à la liste, cliquez sur (+) et saisissez le mot-clé dans le champ. 7 Pour supprimer un mot-clé de la liste et de tous les enregistrements d’utilisateur où il apparaît, sélectionnez-le, choisissez Supprimer les mots-clés effacés des utilisateurs, puis cliquez sur (–). Pour supprimer un mot-clé uniquement de la liste, assurez-vous que l’option “Supprimer les mots-clés effacés des utilisateurs” n’est pas activée, sélectionnez le mot-clé à supprimer, puis cliquez sur (–). 8 Une fois que vous avez terminé de modifier la liste maîtresse, cliquez sur OK. F0170.book Page 86 Monday, May 2, 2005 12:37 PMChapitre 4 Configuration des comptes d’utilisateur 87 Application de mots-clés aux comptes d’utilisateur Il est impossible d’ajouter des mots-clés à plusieurs utilisateurs à la fois, mais vous pouvez toutefois, si nécessaire, supprimer un mot-clé de tous les utilisateurs marqués par ce mot-clé. Pour manipuler les mots-clés d’un compte d’utilisateur individuel : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte que vous souhaitez utiliser. Pour cela, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte puis sélectionnez l’utilisateur dans la liste des utilisateurs. 3 Pour être authentifié, cliquez sur le cadenas. 4 Cliquez sur Avancé. 5 Pour ajouter un mot-clé au compte sélectionné, cliquez sur (+) pour afficher la liste des mots-clés disponibles. Sélectionnez un ou plusieurs termes dans la liste, puis cliquez sur OK. 6 Pour supprimer le mot-clé d’un utilisateur spécifique, sélectionnez le terme à supprimer et cliquez sur (–). 7 Une fois que vous avez terminé d’ajouter ou de supprimer des mots-clés pour l’utilisateur sélectionné, cliquez sur Enregistrer. Modification de commentaires Vous pouvez sauvegarder un commentaire dans le compte d’un utilisateur afin de fournir des informations susceptibles d’aider à l’administration de cet utilisateur. Les commentaires peuvent comporter jusqu’à 32 676 caractères. Le Gestionnaire de groupe de travail permet de définir le commentaire d’un compte stocké dans le répertoire LDAP d’un maître Open Directory, d’un domaine NetInfo ou de tout autre domaine de répertoire en lecture/écriture. Vous pouvez également utiliser le Gestionnaire de groupe de travail pour revoir les commentaires dans tout domaine de répertoire accessible à partir du serveur que vous utilisez. Pour utiliser des commentaires à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte que vous souhaitez utiliser. Pour cela, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte puis sélectionnez l’utilisateur dans la liste des utilisateurs. 3 Pour être authentifié, cliquez sur le cadenas. 4 Cliquez sur Avancé. 5 Modifiez ou passer en revue le contenu du champ Commentaire. F0170.book Page 87 Monday, May 2, 2005 12:37 PM88 Chapitre 4 Configuration des comptes d’utilisateur Travail avec les réglages de groupe pour utilisateurs Les réglages de groupe identifient les groupes dont un utilisateur est membre. Dans Gestionnaire de groupe de travail, utilisez la sous-fenêtre Groupes située dans la fenêtre du compte d’utilisateur pour utiliser les réglages de groupe. Pour obtenir des informations sur l’administration de groupes, consultez le chapitre 5, “Configuration des comptes de groupe”. Définition du groupe principal d’un utilisateur Un utilisateur appartient par défaut à un groupe principal. Vous pouvez faire appartenir le groupe principal à un autre groupe ou imbriquer des groupes dans le groupe principal. Cependant, les préférences définies pour le groupe principal remplacent les préférences définies pour ses groupes imbriqués ou parents. L’identifiant du groupe principal est utilisé par le système de fichiers lorsque l’utilisateur accède à un fichier dont il n’est pas le possesseur. Le système de fichiers vérifie les autorisations de groupe du fichier et, si l’identifiant du groupe principal de l’utilisateur correspond à l’identifiant du groupe associé au fichier, l’utilisateur hérite des autorisations d’accès du groupe. Le groupe principal constitue la manière la plus rapide de déterminer si un utilisateur dispose d’autorisations de groupe pour un fichier. L’identifiant du groupe principal doit être une chaîne de chiffres unique. Sa valeur par défaut est 20 (identifiant du groupe staff), mais vous pouvez la modifier. Sa valeur maximale est 2.147.483.648. Le Gestionnaire de groupe de travail permet de définir l’identifiant de groupe principal d’un compte stocké dans le répertoire LDAP d’un maître Open Directory, d’un domaine NetInfo ou de tout autre domaine de répertoire en lecture/écriture. Vous pouvez également utiliser le Gestionnaire de groupe de travail pour revoir les informations de groupe principal dans tout domaine de répertoire accessible à partir du serveur que vous utilisez. Pour travailler avec un identifiant de groupe principal à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte que vous souhaitez utiliser. Pour cela, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte puis sélectionnez l’utilisateur dans la liste des utilisateurs. 3 Pour être authentifié, cliquez sur le cadenas. 4 Cliquez sur le bouton Groupes. F0170.book Page 88 Monday, May 2, 2005 12:37 PMChapitre 4 Configuration des comptes d’utilisateur 89 5 Modifiez ou passez en revue le contenu du champ Id. du groupe principal. Le Gestionnaire de groupe de travail affiche les noms complet et abrégé du groupe après la saisie d’un identifiant de groupe principal si le groupe existe et s’il est accessible dans le chemin de recherche du serveur auquel vous êtes connecté. Ajout d’un utilisateur à des groupes Ajoutez des utilisateurs à des groupes si vous souhaitez que plusieurs utilisateurs bénéficient des mêmes autorisations d’accès aux fichiers ou si vous souhaitez gérer leurs préférences Mac OS X au moyen de groupes de travail ou de listes d’ordinateurs. Cela pourrait servir, par exemple, à interdire l’accès d’une imprimante à un groupe d’étudiants ou à donner à une équipe de contrôle de la qualité l’accès aux rapports internes de différents groupes. Le Gestionnaire de groupe de travail permet d’ajouter un utilisateur à un groupe si les comptes de l’utilisateur et du groupe se trouvent dans le répertoire LDAP d’un maître Open Directory ou d’un domaine NetInfo. Si le répertoire est implémenté via NFS, tenez compte du fait que l’architecture NFS limite les groupes à 16. Remarque : un utilisateur peut appartenir à un nombre de groupes illimité. Pour ajouter un utilisateur à un groupe à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte d’utilisateur que vous souhaitez utiliser. Pour cela, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte, puis sélectionnez l’utilisateur dans la liste des utilisateurs. 3 Pour être authentifié, cliquez sur le cadenas. 4 Cliquez sur le bouton Groupes. 5 Cliquez sur le bouton Ajouter (+) pour ouvrir un tiroir dans lequel sont affichés les groupes définis dans le domaine de répertoire avec lequel vous travaillez. (Pour insérer des groupes système dans la liste, choisissez Préférences dans le menu Gestionnaire de groupe de travail, puis sélectionnez Afficher utilisateurs et groupes système.) 6 Sélectionnez le groupe, puis faites-le glisser dans la liste Autres groupes de la sousfenêtre Groupes. Vous pouvez également ajouter des utilisateurs à un groupe via le panneau Membres des comptes de groupe. Remarque : si un utilisateur est membre direct de plusieurs groupes, l’obtention des préférences gérées d’un groupe autre que le groupe principal ne pourra avoir lieu qu’à l’ouverture de session. F0170.book Page 89 Monday, May 2, 2005 12:37 PM90 Chapitre 4 Configuration des comptes d’utilisateur Suppression d’un utilisateur dans un groupe Le Gestionnaire de groupe de travail permet de supprimer un utilisateur d’un groupe si les comptes de l’utilisateur et du groupe se trouvent dans le répertoire LDAP d’un maître Open Directory ou d’un domaine NetInfo. Pour supprimer un utilisateur dans un groupe à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte que vous souhaitez utiliser. Pour cela, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte, puis sélectionnez l’utilisateur dans la liste des utilisateurs. 3 Pour être authentifié, cliquez sur le cadenas. 4 Cliquez sur le bouton Groupes. 5 Sélectionnez le ou les groupes dans lesquels vous souhaitez supprimer l’utilisateur, puis cliquez sur le bouton Supprimer (–). Vous pouvez également ajouter des utilisateurs à un groupe via le panneau Membres des comptes de groupe. Vérification des différentes appartenances de groupe d’un utilisateur Vous pouvez employer le Gestionnaire de groupe de travail pour revoir les groupes auxquels un utilisateur appartient, si le compte de ce dernier réside dans un domaine de répertoire accessible à partir du serveur que vous utilisez. Pour revoir les appartenances de groupes à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte que vous souhaitez utiliser. Pour cela, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte, puis sélectionnez l’utilisateur dans la liste des utilisateurs. 3 Pour être authentifié, cliquez sur le cadenas. 4 Cliquez sur le bouton Groupes. Le groupe principal auquel l’utilisateur appartient s’affiche et les autres groupes d’appartenance sont répertoriés dans la liste Autres groupes. F0170.book Page 90 Monday, May 2, 2005 12:37 PMChapitre 4 Configuration des comptes d’utilisateur 91 Utilisation des réglages de répertoires de départ des utilisateurs Les réglages de répertoires de départ décrivent les attributs de répertoires de départ d’un utilisateur. Pour obtenir des informations sur l’utilisation et la configuration de répertoires de départ, lisez le chapitre 7, “Configuration des répertoires de départ”. Utilisation des réglages de courrier des utilisateurs Vous pouvez créer un compte de messagerie Mac OS X Server pour un utilisateur en spécifiant des réglages de courrier dans le compte de cet utilisateur. Pour utiliser le compte, l’utilisateur doit configurer un client de courrier pour l’identification du nom d’utilisateur, du mot de passe, du service et du protocole de courrier que vous avez spécifiés dans les réglages du courrier. Dans le Gestionnaire de groupe de travail, utilisez la sous-fenêtre Courrier située dans la fenêtre du compte d’utilisateur pour définir les réglages de courrier de l’utilisateur. Pour obtenir des informations sur la configuration et la gestion du service de courrier Mac OS X Server, lisez le guide d’administration du service de courrier. Désactivation du service de courrier d’un utilisateur Le Gestionnaire de groupe de travail permet de désactiver le service de courrier des utilisateurs dont les comptes sont stockés dans le répertoire LDAP d’un maître Open Directory, d’un domaine NetInfo ou de tout autre domaine de répertoire en lecture/écriture. Pour désactiver le service de courrier d’un utilisateur à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte que vous souhaitez utiliser. Pour cela, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte, puis sélectionnez l’utilisateur dans la liste des utilisateurs. 3 Pour être authentifié, cliquez sur le cadenas. 4 Cliquez sur Courrier. 5 Sélectionnez Aucun. F0170.book Page 91 Monday, May 2, 2005 12:37 PM92 Chapitre 4 Configuration des comptes d’utilisateur Activation des options de compte de service de courrier Le Gestionnaire de groupe de travail permet d’activer le service de courrier et de définir des options de courrier pour un utilisateur dont le compte est stocké dans le répertoire LDAP d’un maître Open Directory, d’un domaine NetInfo ou de tout autre domaine de répertoire en lecture/écriture. Vous pouvez également utiliser le Gestionnaire de groupe de travail pour revoir les réglages de courrier des comptes stockés dans tout domaine de répertoire accessible à partir du serveur que vous utilisez. Pour utiliser des options de compte de service de courrier d’un utilisateur à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte que vous souhaitez utiliser. Pour cela, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte, puis sélectionnez l’utilisateur dans la liste des utilisateurs. 3 Pour être authentifié, cliquez sur le cadenas. 4 Cliquez sur Courrier. 5 Pour permettre à l’utilisateur d’utiliser le service de courrier, sélectionnez Activé. 6 Saisissez un nom ou une adresse de serveur de courrier valide dans les champs Serveur de courrier pour le nom DNS ou l’adresse IP du serveur vers lequel les messages de l’utilisateur seront dirigés. Le Gestionnaire de groupe de travail ne vérifie pas ces informations. 7 Saisissez une valeur dans le champ Quota de courrier pour spécifier le nombre maximal de méga-octets autorisés pour la boite à lettres de l’utilisateur. La valeur 0 (zéro) ou un champ vide signifient qu’aucun quota n’est appliqué. Lorsque l’espace réservé aux messages de l’utilisateur approche ou dépasse le quota de courrier spécifié, le service de courrier affiche une invite afin que l’utilisateur supprime des messages pour libérer de l’espace. Le message affiche les informations de quota en kilo-octets (Ko) ou en méga-octets (Mo). 8 Sélectionnez un réglage d’Accès au courrier pour identifier le protocole utilisé pour le compte de courrier de l’utilisateur. Post Office Protocol (POP) et/ou Internet Message Access Protocol (IMAP). 9 Les fonctions suivantes ne sont gérées que pour les comptes de courrier résidant sur un serveur qui utilise un logiciel Mac OS X Server antérieur à la version 10.3. Sélectionnez un réglage Options pour déterminer les caractéristiques de boîte de courrier entrant pour les comptes accédant au courrier via POP et IMAP. Utiliser des boîtes POP et IMAP séparées crée des boîtes de réception distinctes pour le courrier POP et pour le courrier IMAP. L’option Afficher la boîte POP dans la liste de dossiers IMAP permet d’afficher un dossier IMAP appelé “boîte POP”. F0170.book Page 92 Monday, May 2, 2005 12:37 PMChapitre 4 Configuration des comptes d’utilisateur 93 Sélectionnez Activer NotifyMail pour notifier automatiquement à l’application de courrier de l’utilisateur la réception de nouveaux messages. L’adresse IP à laquelle est envoyée la notification peut être soit la dernière adresse IP de connexion de l’utilisateur, soit une adresse que vous spécifiez. Faire suivre le courrier d’un utilisateur Le Gestionnaire de groupe de travail permet de configurer le transfert du courrier pour des utilisateurs dont les comptes sont stockés dans le répertoire LDAP d’un maître Open Directory ou d’un domaine NetInfo. Pour faire suivre les messages d’un utilisateur à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte que vous souhaitez utiliser. Pour cela, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte, puis sélectionnez l’utilisateur dans la liste des utilisateurs. 3 Pour être authentifié, cliquez sur le cadenas. 4 Cliquez sur Courrier. 5 Sélectionnez Faire suivre et saisissez l’adresse électronique de réacheminement dans le champ Faire suivre à. Veillez à saisir l’adresse correcte. Le Gestionnaire de groupe de travail ne vérifie pas l’existence de l’adresse. Travail avec des réglages d’impression pour utilisateurs Les réglages d’impression associés au compte d’un utilisateur définissent la possibilité pour cet utilisateur d’imprimer sur des files d’attente accessibles d’un Mac OS X Server, alors que le service d’impression impose des quotas d’impression. Le guide d’administration du service d’impression vous explique comment configurer des files d’attente d’impression appliquant des quotas. Dans le Gestionnaire de groupe de travail, utilisez la sous-fenêtre Quota d’impression située dans la fenêtre du compte d’utilisateur pour définir les quotas d’impression d’un utilisateur : • Pour désactiver l’accès d’un utilisateur aux files d’attente imposant des quotas d’impression, sélectionnez Aucun (option par défaut). • Pour permettre à un utilisateur de lancer des impressions vers toutes les files d’attente accessibles imposant des quotas, sélectionnez Toutes les files d’attente. • Pour permettre à un utilisateur de lancer des impressions vers des files d’attente spécifiques imposant des quotas, sélectionnez Par file d’attente. F0170.book Page 93 Monday, May 2, 2005 12:37 PM94 Chapitre 4 Configuration des comptes d’utilisateur Désactivation de l’accès d’un utilisateur aux files d’attente imposant des quotas Vous pouvez employer le Gestionnaire de groupe de travail pour empêcher un utilisateur de lancer des impressions vers une file d’attente accessible d’un Mac OS X imposant des quotas. Pour utiliser le Gestionnaire de groupe de travail, il faut que le compte de l’utilisateur soit stocké dans le répertoire LDAP d’un maître Open Directory ou d’un domaine NetInfo. Pour désactiver l’accès d’un utilisateur aux files d’attente imposant des quotas : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte que vous souhaitez utiliser. Pour cela, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte, puis sélectionnez l’utilisateur dans la liste des utilisateurs. 3 Pour être authentifié, cliquez sur le cadenas. 4 Cliquez sur Quota d’impression. 5 Sélectionnez Aucun. Activation l’accès d’un utilisateur aux files d’attente imposant des quotas Vous pouvez utiliser le Gestionnaire de groupe de travail pour autoriser un utilisateur à lancer des impressions vers tout ou partie des files d’attente accessibles d’un Mac OS X imposant des quotas. Pour utiliser le Gestionnaire de groupe de travail, il faut que le compte de l’utilisateur soit stocké dans le répertoire LDAP d’un maître Open Directory ou d’un domaine NetInfo. Pour définir le quota d’impression d’un utilisateur pour les files d’attente imposant des quotas : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte que vous souhaitez utiliser. Pour cela, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte, puis sélectionnez l’utilisateur dans la liste des utilisateurs. 3 Pour être authentifié, cliquez sur le cadenas. 4 Cliquez sur Quota d’impression. Pour configurer un quota à appliquer à toutes les files d’attente, suivez l’étape 5. Pour quelques files d’attente, suivez plutôt l’étape 6. 5 Cliquez sur Toutes les files d’attente, puis spécifiez le nombre maximal de pages que l’utilisateur doit pouvoir imprimer pendant un nombre de jours donné via une file d’attente quelconque imposant des quotas. F0170.book Page 94 Monday, May 2, 2005 12:37 PMChapitre 4 Configuration des comptes d’utilisateur 95 6 Cliquez sur Par file d’attente, puis déroulez le menu local Nom de la file afin de sélectionner la file d’attente pour laquelle vous souhaitez définir un quota à l’attention des utilisateurs. Si la file d’attente que vous souhaitez rechercher ne figure pas dans le menu local “Nom de la file”, cliquez sur Ajouter pour entrer son nom, puis spécifiez, dans le champ Serveur d’impression, l’adresse IP ou le nom DNS du serveur sur lequel cette file d’attente est définie. Pour donner à l’utilisateur des droits d’impression illimités sur la file, cliquez sur “Impression illimitée”. Sinon, spécifiez le nombre maximal de pages qu’il peut imprimer pendant un nombre de jours donné. Cliquez sur Enregistrer. Suppression du quota d’impression d’un utilisateur pour une file spécifique Si vous ne voulez plus appliquer un quota d’impression à une file d’attente particulière, vous pouvez le supprimer pour des utilisateurs spécifiques. Pour supprimer le quota d’impression d’un utilisateur à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte d’utilisateur que vous souhaitez utiliser. Pour cela, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte, puis sélectionnez l’utilisateur dans la liste. 3 Pour être authentifié, cliquez sur le cadenas. 4 Cliquez sur Quota d’impression. 5 Pour désactiver l’accès d’un utilisateur à une file d’attente, identifiez-la en utilisant le menu local Nom de la file ainsi que le champ Serveur d’impression. 6 Cliquez sur Supprimer. Réinitialisation du quota d’impression d’un utilisateur Il arrive parfois qu’un utilisateur ayant déjà dépassé son quota d’impression ait besoin d’imprimer des pages supplémentaires. Un administrateur peut, par exemple, avoir un manuel de 200 pages à imprimer alors que son quota ne lui en autorise que 150. Ou encore, un étudiant qui a dépassé son quota en imprimant un rapport peut devoir imprimer une copie révisée du rapport. Le Gestionnaire de groupe de travail vous permet de réinitialiser le quota d’impression d’un utilisateur et d’autoriser ce dernier à effectuer d’autres impressions. F0170.book Page 95 Monday, May 2, 2005 12:37 PM96 Chapitre 4 Configuration des comptes d’utilisateur Pour redémarrer le quota d’impression d’un utilisateur à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte que vous souhaitez utiliser. Pour cela, cliquez sur le petit globe situé au-dessus de la liste des comptes, choisissez le domaine de répertoire où réside le compte, puis sélectionnez l’utilisateur dans la liste des utilisateurs. 3 Pour être authentifié, cliquez sur le cadenas. 4 Cliquez sur Quota d’impression. 5 Si l’utilisateur est configuré pour utiliser toutes les files d’attente gérant les quotas, cliquez sur Redémarrer Quota d’impression. Si les quotas d’impression d’un utilisateur sont propres à certaines files d’attente, déroulez le menu local Nom de la file et le champ Serveur d’impression afin d’identifier une file d’attente, puis cliquez sur Redémarrer Quota d’impression. Vous pouvez également augmenter le nombre de pages d’un utilisateur sans réinitialiser la période de quota, en modifiant le nombre de pages allouées à cet utilisateur. Ainsi, la période du quota demeure inchangée et n’est pas réinitialisée, mais le nombre de pages que l’utilisateur peut imprimer au cours de cette période est réévalué à la fois pour la période de quota en cours et pour les périodes futures. Pour augmenter ou diminuer la limite de pages d’un utilisateur, tapez une nouvelle valeur dans le champ “Limiter à ___ pages”, puis cliquez sur Enregistrer. Utilisation des réglages d’informations pour les utilisateurs Si le compte d’un utilisateur réside dans un domaine de répertoire LDAPv3, il peut contenir des informations qui peuvent être importées par le Carnet d’adresses. Les attributs de cette sous-fenêtre comprennent actuellement le numéro de téléphone, l’adresse de courrier électronique, ainsi que les adresses URL du journal Web et de la page Web. Remarque : il n’existe qu’un seul attribut de téléphone qui prend, par défaut, la valeur du numéro de téléphone de travail figurant dans le Carnet d’adresses. Pour utiliser les réglages d’informations : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Assurez-vous que les services de répertoire du Mac OS X Server que vous utilisez ont été configurés pour accéder au domaine de répertoire qui vous intéresse. F0170.book Page 96 Monday, May 2, 2005 12:37 PMChapitre 4 Configuration des comptes d’utilisateur 97 3 Pour obtenir des instructions, reportez-vous au guide d’administration Open Directory. Cliquez sur le petit globe situé au-dessus de la liste des comptes, puis choisissez le domaine dans lequel réside le compte d’utilisateur. 4 Pour être authentifié, cliquez sur le cadenas. 5 Cliquez sur le bouton Utilisateurs et sélectionnez l’utilisateur. 6 Cliquez sur Informations, saisissez vos valeurs ou modifiez-les, puis cliquez sur Enregistrer. Choix de réglages pour les utilisateurs Windows Les ordinateurs utilisant le système d’exploitation Windows peuvent être intégrés à votre réseau Mac OS X Server. Vous pouvez utiliser la sous-fenêtre Windows du Gestionnaire de groupe de travail pour configurer des comptes d’utilisateur et sélectionner des réglages pour les individus qui doivent accéder à des ordinateurs Windows. Pour obtenir des informations détaillées sur l’utilisation des réglages destinés aux utilisateurs ayant accès à des ordinateurs Windows, consultez le guide d’administration des services Windows. F0170.book Page 97 Monday, May 2, 2005 12:37 PMF0170.book Page 98 Monday, May 2, 2005 12:37 PM5 99 5 Configuration des comptes de groupe Un compte de groupe permet de gérer facilement un ensemble d’utilisateurs aux besoins similaires. Ce chapitre explique comment configurer et gérer des comptes de groupe. À propos des comptes de groupe Les comptes de groupe stockent les identités des utilisateurs qui appartiennent à un groupe ainsi que des informations vous permettant de personnaliser l’environnement de travail des membres de ce groupe. Un groupe pour lequel sont définies des préférences est un groupe de travail. Un groupe principal correspond au groupe par défaut de l’utilisateur. Les groupes principaux peuvent accélérer la vérification effectuée par le système de fichiers Mac OS X lorsqu’un utilisateur accède à un fichier. Administration de comptes de groupe Cette section expose l’administration des comptes de groupe stockés dans divers types de domaines de répertoires. Emplacement de stockage des comptes de groupe Les comptes de groupe, ainsi que les comptes d’utilisateur et les listes d’ordinateurs, peuvent être stockés dans tout domaine Open Directory. Un domaine de répertoires peut résider sur un ordinateur Mac OS X (par exemple, le répertoire LDAP d’un maître Open Directory ou un domaine NetInfo) ou sur un serveur non Apple (par exemple, un serveur LDAP ou Active Directory). L’utilisation du Gestionnaire de groupe de travail vous permet de travailler avec des comptes dans tous les types de domaines de répertoires. Pour obtenir des informations complètes sur les différents types de domaines Open Directory, reportez-vous au guide d’administration Open Directory. F0170.book Page 99 Monday, May 2, 2005 12:37 PM100 Chapitre 5 Configuration des comptes de groupe Comptes de groupe prédéfinis Le tableau suivant fournit une description des comptes de groupe créés automatiquement lorsque vous installez Mac OS X Server. Pour une liste complète, ouvrez le Gestionnaire de groupe de travail et choisissez Présentation > Afficher les utilisateurs et groupes du système. Nom de groupe prédéfini Id. de groupe Utilisation admin 80 Le groupe auquel appartiennent les utilisateurs dotés d’autorisations d’administrateur. bin 7 Un groupe possédant tous les fichiers binaires. daemon 1 Groupe utilisé par les services système. dialer 68 Groupe permettant de contrôler l’accès aux modems sur un serveur. guest 31 kmem 2 Un groupe antérieur utilisé pour contrôler l’accès à la lecture de la mémoire noyau. mail 6 Le groupe utilisé par le passé pour accéder au courrier UNIX local. mysql 74 Le groupe que le serveur de base de données MySQL utilise pour ceux de ses processus qui traitent les requêtes. network 69 Ce groupe ne revêt aucune signification particulière. nobody -2 Groupe utilisé par les services système. nogroup -1 Groupe utilisé par les services système. operator 5 Ce groupe ne revêt aucune signification particulière. smmsp 25 Le groupe utilisé par sendmail. sshd 75 Le groupe utilisé pour les processus enfants sshd qui traitent des données réseau. staff 20 Le groupe par défaut dans lequel les utilisateurs UNIX sont traditionnellement placés. sys 3 Ce groupe ne revêt aucune signification particulière. tty 4 Un groupe possédant des fichiers spéciaux, tels que le fichier de périphérique associé à un utilisateur SSH ou Telnet. unknown 99 Le groupe utilisé lorsque le système ne reconnaît pas le disque dur. utmp 45 Le groupe contrôlant ce qui peut mettre à jour la liste du système des utilisateurs connectés. uucp 66 Le groupe utilisé pour contrôler l’accès aux fichiers d’attente UUCP. wheel 0 Un autre groupe (s’ajoutant au groupe admin) auquel les utilisateurs disposant d’autorisations d’administration appartiennent. www 70 Le groupe sans autorisation qu’Apache utilise pour ceux de ses processus qui traitent les requêtes. F0170.book Page 100 Monday, May 2, 2005 12:37 PMChapitre 5 Configuration des comptes de groupe 101 Création de comptes de groupe Mac OS X Server Pour créer un compte de groupe dans un domaine de répertoires, vous devez disposer d’autorisations d’administration pour ce dernier. Pour créer un compte de groupe : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Assurez-vous que les services de répertoire du Mac OS X Server que vous utilisez ont été configurés pour accéder au domaine qui vous intéresse. Pour obtenir des instructions, reportez-vous au guide de l’administrateur Open Directory. 3 Cliquez sur le globe au-dessus de la barre d’outils et ouvrez le domaine dans lequel vous souhaitez faire résider le compte de groupe. 4 Cliquez sur le verrou pour être authentifié comme administrateur de domaine de répertoires. 5 Cliquez sur la sous-fenêtre Groupes. 6 Cliquez sur Nouveau groupe, puis spécifiez les réglages du groupe dans les onglets affichés. Vous pouvez également utiliser un préréglage ou un fichier d’importation pour créer un nouveau groupe. Pour plus de détails, consultez la section “Création d’un préréglage pour des comptes de groupe” et l’Annexe A, “Importation et exportation d’informations de compte”. Création de comptes de groupe LDAPv3 en lecture/écriture Vous pouvez créer un compte de groupe sur un serveur LDAPv3 non Apple s’il a été configuré pour un accès en écriture. Pour créer un compte de groupe LDAPv3 : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Assurez-vous que les services de répertoires de Mac OS X Server que vous utilisez ont été configurés de manière à utiliser le serveur LDAP des comptes de groupe. Pour obtenir des informations sur l’utilisation de Format de répertoire pour configurer une connexion LDAP, consultez le guide d’administration d’Open Directory. Pour obtenir des informations sur les éléments de compte de groupe qu’il faudra éventuellement mapper, consultez l’Annexe A, “Importation et exportation d’informations de compte”. 3 Cliquez sur le globe au-dessus de la barre d’outils et ouvrez le domaine LDAPv3 dans lequel vous souhaitez faire résider le compte de groupe. 4 Pour vous authentifier, cliquez sur le cadenas. 5 Choisissez Serveur > Nouveau groupe. 6 Spécifiez des réglages pour le groupe dans les onglets affichés. F0170.book Page 101 Monday, May 2, 2005 12:37 PM102 Chapitre 5 Configuration des comptes de groupe Pour plus de détails, consultez les sections “Travail avec des réglages de membres pour groupes” à la page 105 et “Travail avec les réglages du dossier de groupe” à la page 108. Vous pouvez également utiliser un préréglage ou un fichier d’importation pour créer un nouveau groupe. Pour plus de détails, consultez la section “Création d’un préréglage pour des comptes de groupe” ci-dessous et l’Annexe A, “Importation et exportation d’informations de compte”. Création d’un préréglage pour des comptes de groupe Les préréglages des comptes de groupe peuvent être utilisés pour appliquer des réglages prédéterminés à un nouveau compte de groupe. Pour créer un préréglage pour des comptes de groupe : 1 Ouvrez le Gestionnaire de groupe de travail sur le serveur à partir duquel vous créez les comptes de groupe. 2 Cliquer sur Comptes. 3 Assurez-vous que le serveur a été configuré pour accéder au domaine de répertoire Mac OS X ou LDAPv3 non Apple sur lequel le préréglage sera utilisé pour créer de nouveaux comptes. 4 Pour créer un préréglage à l’aide de données stockées dans un compte de groupe existant, ouvrez le compte. Pour créer un préréglage à l’aide d’un compte de groupe vide, créez un compte de groupe. 5 Remplissez les champs avec les valeurs que vous souhaitez voir héritées par les nouveaux groupes d’utilisateurs. Supprimez les valeurs que vous ne souhaitez pas inclure dans les préréglages si vous prenez comme point de départ un compte existant. 6 Cliquez sur Préférences, configurez les réglages que vous souhaitez inclure dans le préréglage, puis cliquez sur Comptes. Après avoir configuré les préférences d’un préréglage, vous devez retourner aux réglages de Comptes pour enregistrer le préréglage. 7 Choisissez Enregistrer le préréglage dans le menu local Préréglages, tapez un nom pour le préréglage, puis cliquez sur OK. Modification des informations d’un compte de groupe Vous pouvez utiliser le Gestionnaire de groupe de travail pour modifier un compte de groupe se trouvant dans le répertoire LDAP d’un maître Open Directory, dans un domaine NetInfo ou dans tout autre domaine de répertoires en lecture/écriture. Pour modifier un compte de groupe : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Assurez-vous que les services de répertoire du Mac OS X Server que vous utilisez ont été configurés pour accéder au domaine de répertoire qui vous intéresse. Pour obtenir des instructions, reportez-vous au guide de l’administrateur Open Directory. F0170.book Page 102 Monday, May 2, 2005 12:37 PMChapitre 5 Configuration des comptes de groupe 103 3 Cliquez sur le globe au-dessus de la liste des comptes, puis ouvrez le domaine dans lequel le compte de groupe réside. 4 Pour vous authentifier, cliquez sur le cadenas. 5 Cliquez sur la sous-fenêtre Groupes, puis sélectionnez le groupe avec lequel vous souhaitez travailler. 6 Modifiez les réglages du groupe dans les onglets affichés. Pour plus de détails, consultez les sections “Travail avec des réglages de membres pour groupes” à la page 105 et “Travail avec les réglages du dossier de groupe” à la page 108. Création de groupes imbriqués Un groupe imbriqué est un groupe qui est membre d’un autre groupe. Chaque groupe peut avoir ses propres préférences gérées qui sont héritées par tous les utilisateurs membres de ce groupe. Si vous définissez des préférences pour un groupe ou pour un de ses groupes imbriqués, les préférences appliquées lorsqu’un membre du groupe se connecte sont celles qui sont définies pour le groupe de travail que l’utilisateur choisit après la connexion. Pour créer un compte de groupe imbriqué : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Assurez-vous que les services de répertoire du Mac OS X Server que vous utilisez ont été configurés pour accéder au domaine de répertoire qui vous intéresse. Pour obtenir des instructions, reportez-vous au guide de l’administrateur Open Directory. 3 Cliquez sur le globe au-dessus de la liste des comptes, puis ouvrez le domaine dans lequel vous souhaitez faire résider le compte de groupe. 4 Pour vous authentifier, cliquez sur le cadenas. 5 Cliquez sur le bouton Groupes, puis créez un nouveau groupe. 6 Cliquez sur le bouton Ajouter (+) pour imbriquer le groupe dans le groupe sélectionné. Faites glisser le groupe depuis le tiroir vers la liste Membres. Tous les membres de ce groupe deviennent eux aussi des membres enfants du groupe parent. 7 Cliquer sur Enregistrer. Les groupes créés à l’aide des versions de serveur antérieures à la version 10.4 ne peuvent pas contenir de groupes imbriqués, à moins que vous ne les convertissiez conformément aux instructions de la section “Mise à niveau de groupes hérités”. Si vous faites une mise à niveau avec la version 10.4 à partir de la version 10.3 ou d’une version antérieure, les groupes restent des groupes hérités et continuent à fonctionner comme par le passé. Par contre, les groupes créés dans Mac OS X 10.4 sont considérés comme des groupes mis à niveau et peuvent contenir des groupes et d’autres objets imbriqués comme membres, ainsi que des enregistrements d’utilisateur. F0170.book Page 103 Monday, May 2, 2005 12:37 PM104 Chapitre 5 Configuration des comptes de groupe Mise à niveau de groupes hérités Lorsque vous procédez à une mise à niveau du serveur avec la version 10.4 ou que vous importez des groupes créés avant la version 10.4, les groupes existants ne peuvent pas contenir de groupes imbriqués, à moins que vous ne les convertissiez d’abord. Pour mettre à niveau un compte de groupe hérité : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Assurez-vous que les services de répertoire du Mac OS X Server que vous utilisez ont été configurés pour accéder au domaine de répertoire qui vous intéresse. Pour obtenir des instructions, reportez-vous au guide de l’administrateur Open Directory. 3 Cliquez sur le globe au-dessus de la liste des comptes, puis ouvrez le domaine dans lequel le compte de groupe réside. 4 Pour vous authentifier, cliquez sur le cadenas. 5 Cliquez sur le bouton Groupes, puis sélectionnez le groupe hérité que vous souhaitez mettre à niveau. 6 Cliquez sur le bouton Mettre à niveau le groupe hérité. 7 Cliquer sur Enregistrer. Utilisation de comptes de groupe en lecture seule Le Gestionnaire de groupe de travail vous permet de consulter des informations sur les comptes de groupe stockés dans des domaines de répertoires en lecture seule. Les domaines de répertoires en lecture seule incluent les domaines LDAPv2, les domaines LDAPv3 non configurés pour l’accès en écriture et les fichiers de configuration BSD. Pour travailler avec un compte de groupe en lecture seule : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Assurez-vous que les services de répertoire de Mac OS X Server que vous utilisez ont été configurés pour accéder au domaine de répertoire dans lequel réside le compte. Pour obtenir des informations sur l’utilisation de Format de répertoire pour configurer des connexions serveur, consultez le guide d’administration d’Open Directory. Pour obtenir des informations sur les éléments de compte de groupe qu’il faudra mapper, consultez l’Annexe A, “Importation et exportation d’informations de compte”. 3 Cliquez sur le globe au-dessus de la liste des comptes, puis ouvrez le domaine de répertoires dans lequel le compte de groupe réside. 4 Servez-vous des onglets affichés pour observer les réglages de compte de groupe. Pour obtenir des détails, consultez la section “Travail avec des réglages de membres pour groupes” ci-dessous et “Travail avec les réglages du dossier de groupe” à la page 108. F0170.book Page 104 Monday, May 2, 2005 12:37 PMChapitre 5 Configuration des comptes de groupe 105 Travail avec des réglages de membres pour groupes Les réglages de membres incluent les noms d’un groupe, son identifiant et une liste des utilisateurs qui en sont membres. Dans le Gestionnaire de groupe de travail, la sous-fenêtre Membres située dans la fenêtre du compte de groupe vous permet d’utiliser les réglages de membres. Lorsque le nom d’un utilisateur apparaît en italique dans la liste Membres, le groupe correspond au groupe principal de l’utilisateur. Ajout d’utilisateurs à un groupe Ajoutez des utilisateurs à un groupe si vous souhaitez que plusieurs utilisateurs disposent des mêmes autorisations d’accès aux fichiers ou pour en faire des utilisateurs gérés. Lorsque vous créez un compte d’utilisateur et attribuez un groupe principal au nouvel utilisateur, ce dernier est automatiquement ajouté au groupe spécifié. Sinon, ajoutez vous-même des utilisateurs au groupe. Vous pouvez utiliser le Gestionnaire de groupe de travail pour ajouter des utilisateurs à un groupe si les comptes d’utilisateur et de groupe se trouvent dans le répertoire LDAP d’un maître Open Directory ou dans un domaine NetInfo. Pour ajouter des utilisateurs à un groupe à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte de groupe avec lequel vous souhaitez travailler. Pour sélectionner un compte, cliquez sur le globe au-dessus de la liste des comptes, ouvrez le domaine de répertoires dans lequel le compte réside, cliquez sur la sousfenêtre Groupes, puis sélectionnez le groupe. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Cliquer sur Membres. 5 Cliquez sur le bouton Ajouter (+) pour ouvrir un tiroir répertoriant les utilisateurs définis dans le domaine de répertoires avec lequel vous travaillez. 6 Pour inclure les utilisateurs système dans la liste, choisissez Gestionnaire de groupe de travail > Préférences, puis sélectionnez l’option “Afficher utilisateurs et groupes système”. Assurez-vous que le compte de groupe réside bien dans un domaine de répertoires spécifié dans la politique de recherche (chemin de recherche) des ordinateurs auxquels l’utilisateur va se connecter. 7 Sélectionnez l’utilisateur, puis glissez-le dans la liste Membres de la sous-fenêtre Membres. F0170.book Page 105 Monday, May 2, 2005 12:37 PM106 Chapitre 5 Configuration des comptes de groupe Suppression d’utilisateurs d’un groupe Vous pouvez utiliser le Gestionnaire de groupe de travail pour supprimer un utilisateur d’un groupe ne correspondant pas au groupe principal de l’utilisateur si ce dernier et les comptes de groupe résident dans le répertoire LDAP d’un maître Open Directory ou dans un domaine NetInfo. Pour supprimer un utilisateur dans un groupe à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte de groupe avec lequel vous souhaitez travailler. Pour sélectionner un compte, cliquez sur le globe au-dessus de la liste des comptes, ouvrez le domaine de répertoires dans lequel le compte réside, cliquez sur la sousfenêtre Groupes, puis sélectionnez le groupe. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Cliquer sur Membres. 5 Sélectionnez le ou les utilisateurs à supprimer du groupe, puis cliquez sur le bouton Supprimer (–). Attribution d’un nom à un groupe Un groupe possède deux noms : un nom complet et un nom abrégé. • Le nom de groupe complet (par exemple, Étudiants de la Faculté d’anglais) ne sert qu’à des fins d’affichage et ne doit pas dépasser 255 octets. Étant donné que les noms de groupe complets prennent en charge plusieurs jeux de caractères, ils peuvent contenir un maximum de 255 caractères romains (85 seulement pour les jeux dont les caractères occupent jusqu’à 3 octets). • Un nom de groupe abrégé peut contenir jusqu’à 255 caractères romains. Néanmoins, pour les clients qui utilisent Mac OS X version 10.1.5 et antérieure, le nom de groupe abrégé ne peut contenir au plus que 8 caractères. Dans un nom de groupe abrégé, n’utilisez que les caractères suivants : • de a à z • de a à z • de 0 à 9 • _ (trait de soulignement) Le nom abrégé, généralement constitué de huit caractères maximum, peut être utilisé par Mac OS X pour rechercher les identifiants d’utilisateurs membres d’un groupe afin de savoir si un utilisateur peut accéder à un fichier en tant que membre du groupe. Pour plus de détails, consultez l’Annexe B. F0170.book Page 106 Monday, May 2, 2005 12:37 PMChapitre 5 Configuration des comptes de groupe 107 Vous pouvez utiliser le Gestionnaire de groupe de travail pour modifier le nom d’un compte de groupe stocké dans le répertoire LDAP d’un maître Open Directory, dans un domaine NetInfo ou dans tout autre domaine de répertoires en lecture/écriture. Vous pouvez aussi utiliser le Gestionnaire de groupe de travail pour consulter les noms stockés dans tout domaine de répertoires accessible depuis le serveur que vous utilisez. Pour travailler avec des noms de groupes à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte de groupe avec lequel vous souhaitez travailler. Pour sélectionner un compte, cliquez sur le globe au-dessus de la liste des comptes, ouvrez le domaine de répertoires dans lequel le compte réside, cliquez sur la sousfenêtre Groupes, puis sélectionnez le groupe. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Dans le champ Nom ou Nom abrégé (dans la sous-fenêtre Membres), vérifiez ou modifiez les noms. Avant d’enregistrer un nouveau nom, le Gestionnaire de groupe de travail vérifie qu’il est unique. Définition d’un identifiant de groupe L’identifiant d’un groupe consiste en une chaîne de chiffres ASCII identifiant un groupe de façon unique. Sa valeur maximale est 2.147.483.648. Vous pouvez utiliser le Gestionnaire de groupe de travail pour modifier l’identifiant d’un compte de groupe stocké dans le répertoire LDAP d’un maître Open Directory ou dans un domaine NetInfo ou pour revoir l’identifiant de groupe dans tout domaine de répertoires accessible du serveur que vous utilisez. L’identifiant de groupe est associé à des autorisations de groupe. Pour travailler avec un identifiant de groupe à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte de groupe avec lequel vous souhaitez travailler. Pour sélectionner un compte, cliquez sur le globe au-dessus de la liste des comptes, ouvrez le domaine de répertoires dans lequel le compte réside, cliquez sur la sousfenêtre Groupes, puis sélectionnez le groupe. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Dans le champ ID du groupe (dans la sous-fenêtre Membres), vérifiez ou modifiez l’identifiant. Avant d’enregistrer un nouvel identifiant de groupe, le Gestionnaire de groupe de travail vérifie qu’il est unique dans le domaine de répertoires que vous utilisez. F0170.book Page 107 Monday, May 2, 2005 12:37 PM108 Chapitre 5 Configuration des comptes de groupe Travail avec les réglages du dossier de groupe Les dossiers de groupe permettent d’organiser les documents et applications qui présentent un intérêt particulier pour les membres d’un groupe et peuvent être utilisés par ces derniers pour échanger des informations entre eux. Les dossiers de groupe ne sont pas liés directement à la gestion de groupe de travail, mais il est possible d’améliorer la gestion des accès et des flux de travaux en utilisant des dossiers de groupe pour les clients dotés réglages de groupe de travail. Pour configurer un dossier de groupe : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte de groupe avec lequel vous souhaitez travailler. Pour sélectionner un compte, cliquez sur le globe au-dessus de la liste des comptes, ouvrez le domaine de répertoires dans lequel le compte réside, cliquez sur la sousfenêtre Groupes, puis sélectionnez le groupe. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Cliquez sur le bouton Groupes, puis sélectionnez un groupe. 5 Cliquez sur Dossier de groupe. 6 Pour configurer un dossier de groupe situé dans un sous-dossier de point de partage, cliquez sur le bouton Ajouter (+) ou Dupliquer (icône de copie). Pour obtenir des instructions, consultez la section “Création d’un dossier de groupe dans un sous-dossier d’un point de partage existant” à la page 112. Option Pas de dossier de groupe Vous pouvez utiliser le Gestionnaire de groupe de travail pour qu’un compte de groupe possédant un dossier de groupe n’en ait plus. Par défaut, un nouveau groupe ne dispose d’aucun répertoire de départ. Pour ne définir aucun dossier de groupe : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte de groupe avec lequel vous souhaitez travailler. Pour sélectionner un compte, cliquez sur le globe au-dessus de la liste des comptes, ouvrez le domaine de répertoires dans lequel le compte réside, cliquez sur la sousfenêtre Groupes, puis sélectionnez le groupe. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Cliquez sur la sous-fenêtre Groupes, puis sélectionnez un groupe. 5 Cliquez sur Dossier de groupe. 6 Sélectionnez (Aucun) dans la liste. F0170.book Page 108 Monday, May 2, 2005 12:37 PMChapitre 5 Configuration des comptes de groupe 109 Création d’un dossier de groupe dans un point de partage existant Vous pouvez créer un dossier de groupe soit pour un groupe à n’importe quel point de partage existant, soit dans le dossier /Groups (point de partage prédéfini). Pour configurer un dossier de groupe dans le dossier /Groups ou tout autre point de partage existant : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte de groupe avec lequel vous souhaitez travailler. Pour sélectionner un compte de groupe, connectez-vous au serveur sur lequel il réside. Cliquez sur le globe au-dessus de la liste des comptes, ouvrez le domaine de répertoires dans lequel le compte réside, cliquez sur la sous-fenêtre Groupes, puis sélectionnez le groupe. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Cliquez sur Dossier de groupe. 5 Pour ajouter un point de partage existant à la liste, cliquez sur Ajouter (+), puis saisissez les informations requises. Dans le champ URL, entrez l’URL complète du point de partage dans lequel doit résider le dossier de groupe. Par exemple, tapez AFP://monserveur.exemple.com/SchoolGroups pour identifier un point de partage AFP nommé SchoolGroups sur un serveur dont le nom DNS est “monserveur.exemple.com”. Si vous n’utilisez pas de DNS, remplacez le nom DNS du serveur hébergeant le dossier de groupe pas son adresse IP : “AFP://192.168.2.1/SchoolGroups”. Dans le champ Chemin, entrez le chemin du point de partage au dossier de groupe, en incluant ce dernier mais en excluant le point de partage. Ne placez pas de barre oblique (/) au début ni à la fin du chemin. Par exemple, si le point de partage est SchoolGroups et que le chemin complet menant au dossier de groupe est SchoolGroups/StudentGroups/SecondGrade, tapez StudentGroups/SecondGrade dans le champ Chemin. Remarque : configurer un point de partage de dossier de groupe pour disposer d’un enregistrement de montage réseau ne permet pas de monter automatiquement le dossier de groupe lorsqu’un membre du groupe se connecte. Vous pouvez fournir un accès aisé à un dossier de groupe en gérant les préférences de Dock ou d’ouverture de session pour le groupe. 6 Dans le champ Possesseur, entrez le nom de l’utilisateur auquel le dossier de groupe doit appartenir afin qu’il puisse intervenir en tant qu’administrateur du dossier de ce groupe. Cliquez sur le bouton Parcourir (…) pour choisir un propriétaire dans la liste des utilisateurs du domaine de répertoires activé. Le possesseur du dossier de groupe pourra y accéder en lecture/écriture. F0170.book Page 109 Monday, May 2, 2005 12:37 PM110 Chapitre 5 Configuration des comptes de groupe 7 Cliquer sur Enregistrer. 8 Pour créer le dossier, utilisez la commande CreateGroupFolder dans Terminal. Vous devez être connecté en tant qu’utilisateur root pour pouvoir utiliser cette commande. Pour en savoir plus, tapez “man CreateGroupFolder” dans Terminal pour afficher la page man de cette commande. Le dossier de groupe prend le nom abrégé du groupe auquel il est associé. Vous pouvez automatiser l’accès au dossier d’un membre du groupe quand celui-ci a ouvert une session : • Vous pouvez configurer les préférences du Dock pour rendre le dossier de groupe visible dans le Dock. Pour obtenir des instructions, consultez la section “Accès aisé aux dossiers de groupes” à la page 174. • Vous pouvez aussi configurer des préférences d’ouverture de session de sorte que les utilisateurs puissent cliquer sur Ordinateur dans le Finder et voir le point de partage du dossier de groupe et les dossiers de groupe qui s’y trouvent. Pour obtenir des instructions, consultez la section “Fourniture d’un accès aisé au point de partage de groupe” à la page 194. Lorsque vous utilisez ces préférences, assurez-vous que le groupe est défini dans un domaine partagé dans la politique de recherche de l’ordinateur du membre du groupe. Consultez le guide d’administration Open Directory pour obtenir des instructions sur la configuration de la politique de recherche d’un ordinateur. Si vous n’automatisez pas l’accès aux dossiers de groupe, les membres des groupes peuvent utiliser la commande Se connecter au serveur dans le menu Aller du Finder pour localiser le serveur où réside le dossier de groupe et y accéder. Création d’un dossier de groupe dans un nouveau point de partage Vous pouvez utiliser le Gestionnaire de groupe de travail pour créer un dossier de groupe dans un nouveau point de partage. Pour créer un dossier de groupe dans un nouveau point de partage : 1 Sur le serveur où vous souhaitez que réside le dossier de groupe, créez un dossier qui servira de point de partage à ce dossier de groupe. 2 Dans le Gestionnaire de groupe de travail, connectez-vous au serveur de l’étape 1, puis cliquez sur Partage. 3 Cliquez sur Tout (au-dessus de la liste à gauche) et sélectionnez le dossier créé pour le point de partage. 4 Dans la fenêtre générale, sélectionnez Partager cet élément et son contenu. F0170.book Page 110 Monday, May 2, 2005 12:37 PMChapitre 5 Configuration des comptes de groupe 111 5 Réglez les autorisations de Groupe sur Lecture et écriture et celles de Tous sur Lecture seule, puis renommez le groupe en tapant admin dans le champ Groupe. Ignorez les autorisations du propriétaire pour le moment. 6 Cliquer sur Enregistrer. 7 Cliquez sur Comptes, puis sélectionnez le compte de groupe avec lequel vous souhaitez travailler. Pour sélectionner un compte de groupe, connectez-vous au serveur sur lequel il réside. Cliquer sur Comptes. Cliquez sur le globe au-dessus de la liste des comptes, puis ouvrez le domaine de répertoires dans lequel le compte de groupe réside. Cliquez sur la sousfenêtre Groupes, puis sélectionnez le groupe. 8 Pour vous authentifier, cliquez sur le cadenas. 9 Dans le champ Possesseur, entrez le nom de l’utilisateur auquel le dossier de groupe doit appartenir afin qu’il puisse intervenir en tant qu’administrateur du dossier de ce groupe. Cliquez sur le bouton Parcourir (…) pour choisir un propriétaire dans la liste des utilisateurs du domaine de répertoires activé. Le possesseur du dossier de groupe pourra y accéder en lecture/écriture. 10 Pour créer le dossier, utilisez la commande CreateGroupFolder dans Terminal. Vous devez être connecté en tant qu’utilisateur root pour pouvoir utiliser cette commande. Pour en savoir plus, tapez “man CreateGroupFolder” dans Terminal pour afficher la page man. Le dossier de groupe prend le nom abrégé du groupe auquel il est associé. Le dossier de groupe prend le nom abrégé du groupe auquel il est associé. Vous pouvez automatiser l’accès au dossier d’un membre du groupe quand celui-ci a ouvert une session : • Vous pouvez configurer les préférences du Dock pour rendre le dossier de groupe visible dans le Dock. Pour obtenir des instructions, consultez la section “Accès aisé aux dossiers de groupes” à la page 174. • Vous pouvez aussi configurer des préférences d’ouverture de session de sorte que les utilisateurs puissent cliquer sur Ordinateur dans le Finder et voir le point de partage du dossier de groupe et les dossiers de groupe qui s’y trouvent. Pour obtenir des instructions, consultez la section “Fourniture d’un accès aisé au point de partage de groupe” à la page 194. Lorsque vous utilisez ces préférences, assurez-vous que le groupe est défini dans un domaine partagé dans la politique de recherche de l’ordinateur du membre du groupe. Consultez le guide d’administration Open Directory pour obtenir des instructions sur la configuration de la politique de recherche d’un ordinateur. F0170.book Page 111 Monday, May 2, 2005 12:37 PM112 Chapitre 5 Configuration des comptes de groupe Si vous n’automatisez pas l’accès aux dossiers de groupe, les membres des groupes peuvent utiliser la commande Se connecter au serveur dans le menu Aller du Finder pour localiser le serveur où réside le dossier de groupe et y accéder. Création d’un dossier de groupe dans un sous-dossier d’un point de partage existant Dans le Gestionnaire de groupe de travail, vous pouvez créer des dossiers de groupe ne se trouvant pas immédiatement sous un point de partage. Par exemple, vous pouvez organiser des dossiers de groupe en plusieurs sous-dossiers au sein d’un point de partage que vous avez défini. Si Groups est le point de partage, vous pouvez placer les dossiers du groupe des étudiants dans /Groups/StudentGroups et ceux du groupe des professeurs dans /Groups/TeacherGroups. Le chemin complet d’un dossier de groupe pour des étudiants du second degré pourrait être /Groups/StudentGroups/SecondGrade. La procédure détaillée ici implique l’existence du point de partage. Si le point de partage n’existe pas, suivez les instructions décrites dans la section “Création d’un dossier de groupe dans un nouveau point de partage” à la page 110 sans créer le dossier à la dernière étape. Suivez ensuite les étapes ci-après. Pour configurer un dossier de groupe dans un sous-dossier d’un point de partage existant : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte de groupe avec lequel vous souhaitez travailler. Pour sélectionner un compte de groupe, connectez-vous au serveur sur lequel il réside. Cliquez sur le globe au-dessus de la liste des comptes, ouvrez le domaine de répertoires dans lequel le compte réside, cliquez sur la sous-fenêtre Groupes, puis sélectionnez le groupe. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Cliquez sur Dossier de groupe. 5 Cliquez sur le bouton Ajouter (+) pour ajouter un emplacement de dossier de groupe personnalisé ou sur Dupliquer (icône de copie) pour copier un emplacement existant. Pour supprimer un emplacement de dossier de groupe, sélectionnez-le, puis cliquez sur le bouton Supprimer (–). Vous ne pouvez supprimer que les emplacements ajoutés à l’aide du bouton Ajouter ou Dupliquer. 6 Dans le champ URL, entrez l’URL complète du point de partage dans lequel doit résider le dossier de groupe. Par exemple, entrez AFP://monserveur.exemple.com/SchoolGroups pour identifier un point de partage AFP nommé SchoolGroups sur un serveur dont le nom DNS est monserveur.exemple.com. Si vous n’utilisez pas de DNS, remplacez le nom DNS du serveur hébergeant le dossier de groupe pas son adresse IP :AFP://192.168.2.1/SchoolGroups. F0170.book Page 112 Monday, May 2, 2005 12:37 PMChapitre 5 Configuration des comptes de groupe 113 7 Dans le champ Chemin, entrez le chemin du point de partage au dossier de groupe, en incluant ce dernier mais en excluant le point de partage. Par exemple, si le point de partage est SchoolGroups et que le chemin complet menant au dossier de groupe est SchoolGroups/StudentGroups/SecondGrade, tapez StudentGroups/SecondGrade dans le champ Chemin. Ne placez pas de barre oblique (/) au début ni à la fin du chemin. 8 Cliquez sur OK. 9 Dans le champ Possesseur, entrez le nom de l’utilisateur auquel le dossier de groupe doit appartenir afin qu’il puisse intervenir en tant qu’administrateur du dossier de ce groupe. Cliquez sur le bouton Parcourir (…) pour choisir un propriétaire dans la liste des utilisateurs du domaine de répertoires activé. Le possesseur du dossier de groupe pourra y accéder en lecture/écriture. 10 Pour créer le dossier, utilisez la commande CreateGroupFolder dans Terminal. Vous devez être connecté en tant qu’utilisateur root pour pouvoir utiliser cette commande. Pour en savoir plus, tapez “man CreateGroupFolder” dans Terminal pour afficher la page man. Le dossier de groupe prend le nom abrégé du groupe auquel il est associé. 11 Configurez l’accès au dossier de groupe pour les utilisateurs qui ouvrent une session en tant que membres du groupe. • Vous pouvez automatiser l’accès au dossier d’un membre du groupe quand l’utilisateur se connecte. • Vous pouvez configurer les préférences du Dock pour rendre le dossier de groupe visible dans le Dock. Pour obtenir des instructions, consultez la section “Accès aisé aux dossiers de groupes” à la page 174. • Vous pouvez également configurer des préférences d’ouverture de session de sorte que les utilisateurs puissent cliquer sur Ordinateur dans le Finder pour voir le point de partage du dossier de groupe et les dossiers de groupe qui s’y trouvent. Pour obtenir des instructions, consultez la section “Fourniture d’un accès aisé au point de partage de groupe” à la page 194. Lorsque vous utilisez ces préférences, assurez-vous que le groupe est défini dans un domaine partagé dans la politique de recherche de l’ordinateur du membre du groupe. Consultez le guide d’administration Open Directory pour obtenir des instructions sur la configuration de la politique de recherche d’un ordinateur. Si vous n’automatisez pas l’accès aux dossiers de groupe, les membres des groupes peuvent utiliser la commande Se connecter au serveur dans le menu Aller du Finder pour localiser le serveur où réside le dossier de groupe et y accéder. F0170.book Page 113 Monday, May 2, 2005 12:37 PM114 Chapitre 5 Configuration des comptes de groupe Désignation d’un dossier de groupe destiné à plusieurs groupes Pour rendre un dossier de groupe accessible à plusieurs groupes, identifiez le dossier pour chaque groupe séparément. Pour configurer plusieurs groupes afin qu’ils utilisent le même dossier de groupe : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le premier compte de groupe devant utiliser le dossier. Pour sélectionner un compte de groupe, connectez-vous au serveur sur lequel il réside. Cliquez sur le globe au-dessus de la liste des comptes, ouvrez le domaine de répertoires dans lequel le compte réside, cliquez sur la sous-fenêtre Groupes, puis sélectionnez le groupe. 3 Cliquez sur Dossier de groupe, sélectionnez le dossier que le groupe doit utiliser, puis cliquez sur Enregistrer. 4 Répétez l’opération pour chaque groupe devant utiliser le même dossier de groupe. Suppression de comptes de groupe Vous pouvez utiliser le Gestionnaire de groupe de travail pour supprimer un compte de groupe stocké dans le répertoire LDAP d’un maître Open Directory, dans un domaine NetInfo ou dans tout autre domaine de répertoires en lecture/écriture. Pour supprimer un compte de groupe à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionner le compte de groupe que vous souhaitez supprimer. Pour sélectionner le compte, cliquez sur le globe au-dessus de la liste des comptes, ouvrez le domaine de répertoires dans lequel le compte réside, cliquez sur la sousfenêtre Groupes, puis sélectionnez le groupe. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Choisissez Serveur > Effacer le groupe sélectionné ou cliquez sur l’icône Supprimer dans la barre d’outils. Avertissement : cette action est irréversible. F0170.book Page 114 Monday, May 2, 2005 12:37 PM6 115 6 Configuration de listes d’ordinateurs Ce chapitre explique comment configurer et gérer des groupes d’ordinateurs. À propos des listes d’ordinateurs Une liste d’ordinateurs comprend un ou plusieurs ordinateurs possédant les mêmes réglages de préférences et disponibles pour des utilisateurs et des groupes particuliers. La création et la modification des listes d’ordinateurs s’effectue dans le Gestionnaire de groupe de travail. Il existe deux listes d’ordinateurs préconfigurées : Ordinateurs hôtes et Ordinateurs Windows. Ces deux listes, ainsi que les listes d’ordinateurs que vous configurez, apparaissent dans la partie gauche de la fenêtre du Gestionnaire de groupe de travail. Les réglages apparaissent dans les volets Liste, Accès et Cache situés dans la partie droite de la fenêtre. Avant de configurer une liste d’ordinateurs, déterminez les noms et les adresses des ordinateurs qui y figureront. On utilise généralement le nom d’ordinateur spécifié dans les préférences de partage des ordinateurs. Vous pouvez, si vous préférez, utiliser un nom descriptif que vous jugez plus approprié. L’adresse de l’ordinateur doit correspondre à l’adresse Ethernet intégrée, propre à chaque ordinateur. (L’adresse Ethernet, ou identifiant Ethernet, d’un ordinateur est aussi appelé adresse MAC). Vous pouvez naviguer à la recherche d’un ordinateur et le Gestionnaire de groupe de travail saisira l’adresse Ethernet et le nom de l’ordinateur à votre place. Un ordinateur client utilise ces données pour rechercher les informations de préférences lorsqu’un utilisateur se connecte. Remarque : pour les listes d’ordinateurs Windows, vous devez connaître le nom NetBIOS de chaque ordinateur client Windows. Tapez ce nom dans le champ Nom de l’ordinateur Windows. Vous ne devez pas connaître l’adresse Ethernet des ordinateurs clients Windows. F0170.book Page 115 Monday, May 2, 2005 12:37 PM116 Chapitre 6 Configuration de listes d’ordinateurs Lorsqu’un ordinateur client démarre, les services de répertoire vérifient s’il existe une liste d’ordinateurs contenant l’adresse Ethernet de cet ordinateur et utilisent les informations de préférences de cette liste d’ordinateurs. En l’absence d’un tel enregistrement, l’ordinateur client utilise les informations de préférences de la liste d’ordinateurs Ordinateurs hôtes. Pour modifier des listes d’ordinateurs ou des préférences de liste d’ordinateurs, vous devez disposer d’autorisations d’administration de domaine. Vous pouvez disposer d’autorisations d’administration pour toutes les listes d’ordinateurs ou pour une partie d’entre elles. Pour plus d’informations sur l’affectation d’autorisations d’administration, consultez le chapitre 4, “Configuration des comptes d’utilisateur”. Listes d’ordinateurs à usage spécial Le Gestionnaire de groupe de travail utilise, par défaut, un ensemble de listes d’ordinateurs préexistantes dédiées chacune à un usage spécial. Ces listes sont les suivantes : • Ordinateurs hôtes : les ordinateurs qui ne figurent dans aucune liste sont ajoutés automatiquement à la liste d’ordinateurs hôtes. Vous pouvez faire hériter des préférences pour les ordinateurs hôtes ou les définir individuellement. • Ordinateurs Windows : la liste Ordinateurs Windows est créée automatiquement dans le répertoire local du serveur et dans le répertoire LDAP d’un maître ou d’une réplique Open Directory. Les administrateurs ne peuvent ni créer ni supprimer une liste Ordinateurs Windows. Pour obtenir des informations et des instructions sur la gestion de la liste Ordinateurs Windows et sur la configuration de Mac OS X Server en tant que contrôleur de domaine principal ou secondaire (PDC ou BDC). • Tous les ordinateurs : cette liste contient tous les enregistrements d’ordinateur, qu’ils figurent déjà dans une liste ou non. Les ordinateurs qui figurent déjà sur l’une ou l’autre liste se trouvent également dans cette liste. Cette liste sert d’emplacement de référence pratique. Création d’une liste d’ordinateurs Une liste d’ordinateurs est un groupe d’ordinateurs dotés des mêmes réglages de préférences et accessibles pour les mêmes utilisateurs et groupes. Vous pouvez utiliser une liste d’ordinateurs pour affecter les mêmes autorisations et préférences à plusieurs ordinateurs. Vous pouvez ajouter jusqu’à 2 000 ordinateurs à une liste d’ordinateurs. Un ordinateur ne peut pas figurer sur plus d’une liste et vous ne pouvez pas ajouter des ordinateurs à la liste Ordinateurs hôtes. F0170.book Page 116 Monday, May 2, 2005 12:37 PMChapitre 6 Configuration de listes d’ordinateurs 117 Pour configurer une liste d’ordinateurs : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Cliquez sur le globe au-dessus de la liste des comptes et choisissez le domaine de répertoires dans lequel vous souhaitez stocker la nouvelle liste d’ordinateurs. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Cliquez sur le bouton Listes d’ordinateurs (à gauche), puis sur Liste (à droite). 5 Choisissez Serveur > Nouvelle liste d’ordinateurs (ou cliquez sur Nouvelle liste d’ordinateurs dans la barre d’outils), puis tapez le nom de la liste d’ordinateurs. 6 Pour utiliser un préréglage, choisissez-en un dans le menu local Préréglages. 7 Pour ajouter un ordinateur à la liste, cliquez sur le bouton Ajouter (+), puis tapez l’adresse Ethernet et le nom de l’ordinateur. Ou bien, cliquez sur le bouton Parcourir (…), puis choisissez un ordinateur. Le Gestionnaire de groupe de travail saisira alors l’adresse Ethernet et le nom de l’ordinateur pour vous. L’adresse de l’ordinateur doit correspondre à l’adresse Ethernet intégrée unique, même si le client est connecté au réseau via AirPort. (L’adresse Ethernet, ou identifiant Ethernet, d’un ordinateur est aussi appelé adresse MAC). Si vous ajoutez un ordinateur manuellement, veillez à utiliser l’adresse Ethernet intégrée pour chaque client. 8 Ajoutez un commentaire (facultatif). Les commentaires sont utiles car ils permettent d’ajouter des informations sur l’emplacement d’un ordinateur, sa configuration (s’il s’agit par exemple d’un ordinateur configuré pour une personne ayant des besoins particuliers) ou les périphériques qui y sont connectés. Vous pouvez également utiliser les commentaires pour ajouter des informations d’identification, telles que le modèle ou le numéro de série de l’ordinateur. 9 Continuez à ajouter des ordinateurs jusqu’à ce que la liste soit complète. 10 Saisissez les informations requises dans les sous-fenêtres Accès et Cache. 11 Enregistrez la liste d’ordinateurs. Une fois que vous avez configuré une liste d’ordinateurs, vous pouvez, si vous le souhaitez, en gérer les préférences. Pour plus d’informations sur l’utilisation des préférences gérées, consultez la section “Définition de préférences” à la page 145 et le chapitre 9, “Gestion des préférences”. F0170.book Page 117 Monday, May 2, 2005 12:37 PM118 Chapitre 6 Configuration de listes d’ordinateurs Création d’un préréglage pour listes d’ordinateurs Vous pouvez sélectionner des réglages pour une liste d’ordinateurs et les enregistrer sous la forme d’un préréglage. Les préréglages fonctionnent comme des modèles ; ils permettent d’appliquer des réglages et des informations présélectionnés à une nouvelle liste d’ordinateurs. Grâce aux préréglages, vous pouvez configurer en toute simplicité plusieurs ordinateurs de façon similaire. L’utilisation des préréglages est limitée à la création de listes d’ordinateurs. Vous ne pouvez pas utiliser de préréglages pour modifier des listes d’ordinateurs existantes. Les réglages de la sous-fenêtre Liste sont spécifiques aux différentes listes d’ordinateurs et ne s’appliquent pas aux préréglages. Pour configurer un préréglage pour des listes d’ordinateurs : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Cliquez sur le globe au-dessus de la liste des comptes et choisissez le domaine de répertoires dans lequel vous souhaitez créer une liste d’ordinateurs à l’aide de préréglages. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Cliquez sur le bouton Listes d’ordinateurs (à gauche), puis sur Liste (à droite). 5 Pour créer un tout nouveau préréglage, créez d’abord une liste d’ordinateurs en cliquant sur Nouvelle liste d’ordinateurs. Pour créer un préréglage à l’aide de données figurant dans une liste d’ordinateurs existante, sélectionnez cette dernière (à gauche). 6 Saisissez les informations requises dans les sous-fenêtres Accès et Cache. 7 Dans le menu local Préréglages, choisissez Enregistrer préréglage. Une fois le préréglage créé, vous ne pouvez plus changer ses réglages, mais vous pouvez le supprimer ou le renommer. Pour modifier le nom d’un préréglage, sélectionnez le préréglage dans le menu local Préréglages, puis cliquez sur Renommer préréglage. Pour supprimer un préréglage, sélectionnez-le dans le menu local Préréglages, puis cliquez sur Supprimer préréglage. F0170.book Page 118 Monday, May 2, 2005 12:37 PMChapitre 6 Configuration de listes d’ordinateurs 119 Utilisation d’un préréglage de liste d’ordinateurs Lorsque vous créez une nouvelle liste d’ordinateurs, vous pouvez sélectionner n’importe quel préréglage dans le menu local Préréglages pour appliquer les réglages initiaux. Il est possible de modifier ultérieurement les réglages de la liste d’ordinateurs avant d’enregistrer la liste. Une fois la liste d’ordinateurs enregistrée, vous ne pouvez plus utiliser le menu Préréglage pour cette liste (pour, par exemple, changer à nouveau de préréglage). Pour utiliser un préréglage pour des listes d’ordinateurs : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Cliquez sur le globe au-dessus de la liste des comptes et choisissez le domaine de répertoires dans lequel vous souhaitez stocker la nouvelle liste d’ordinateurs. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Cliquez sur le bouton Listes d’ordinateurs (à gauche), puis sur Liste (à droite). 5 Dans le menu local Préréglages, choisissez un préréglage. 6 Créez une nouvelle liste (cliquez sur Nouvelle liste d’ordinateurs). 7 Ajoutez ou mettez à jour les réglages nécessaires, puis enregistrez la liste. Ajout d’ordinateurs à une liste d’ordinateurs existante Il est facile ajouter plusieurs ordinateurs à une liste existante. Vous ne pouvez toutefois pas ajouter d’ordinateurs à la liste Ordinateurs hôtes, car cette dernière est prédéfinie pour contenir tous les ordinateurs qui ne figurent sur aucune autre liste d’ordinateurs. Pour ajouter des ordinateurs à une liste : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez la liste d’ordinateurs. Pour sélectionner la liste, cliquez sur le globe au-dessus de la barre d’outils, choisissez le domaine de répertoires qui contient la liste, cliquez sur le bouton Listes d’ordinateurs, puis sélectionnez la liste. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Cliquez sur Liste. 5 Pour utiliser un préréglage, choisissez-en un dans le menu local Préréglages. 6 Cliquez sur le bouton Ajouter (+) et saisissez les informations requises. Ou bien, cliquez sur le bouton Parcourir (…), puis sélectionnez l’ordinateur souhaité. Le Gestionnaire de groupe de travail saisira alors l’adresse Ethernet et le nom de l’ordinateur pour vous. L’adresse de l’ordinateur doit correspondre à l’adresse Ethernet intégrée, propre à chaque ordinateur. (L’adresse Ethernet, ou identifiant Ethernet, d’un ordinateur est aussi appelé adresse MAC). F0170.book Page 119 Monday, May 2, 2005 12:37 PM120 Chapitre 6 Configuration de listes d’ordinateurs 7 Ajoutez un commentaire (facultatif). Les commentaires sont utiles car ils permettent d’ajouter des informations supplémentaires concernant l’emplacement d’un ordinateur, sa configuration (s’il s’agit d’un ordinateur configuré pour une personne ayant des besoins particuliers) ou les périphériques qui y sont connectés. Vous pouvez également utiliser les commentaires pour ajouter des informations d’identification, telles que le modèle ou le numéro de série de l’ordinateur. 8 Cliquer sur Enregistrer. 9 Ajoutez des ordinateurs et des informations jusqu’à ce que votre liste soit complète. Modification d’informations sur un ordinateur Une fois que vous avez ajouté un ordinateur à une liste d’ordinateurs, vous pouvez modifier ses informations chaque fois que c’est nécessaire. Pour modifier les informations d’ordinateur : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez la liste sur laquelle figure l’ordinateur. Pour sélectionner la liste, cliquez sur le globe au-dessus de barre d’outils, choisissez le domaine de répertoires qui contient l’ordinateur à modifier, cliquez sur le bouton Listes d’ordinateurs, puis sélectionnez la liste. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Dans la sous-fenêtre Liste, sélectionnez l’ordinateur dont vous souhaitez modifier les informations, puis cliquez sur le bouton Modifier (crayon). Ou bien, double-cliquez sur l’adresse, la description ou le commentaire d’un ordinateur dans la liste pour modifier les informations directement dans la liste. 5 Modifiez les informations selon vos besoins, puis cliquez sur Enregistrer. Déplacement d’un ordinateur vers une autre liste d’ordinateurs Il peut s’avérer parfois nécessaire de regrouper les ordinateurs différemment. Il est facile de déplacer des ordinateurs d’une liste à l’autre. Remarque : un ordinateur ne peut figurer que sur une seule liste. Vous ne pouvez pas ajouter d’ordinateurs à la liste Ordinateurs hôtes. Pour transférer un ordinateur d’une liste à l’autre : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez la liste sur laquelle l’ordinateur figure. Pour sélectionner la liste, cliquez sur le globe au-dessus de barre d’outils, choisissez le domaine de répertoires qui contient la liste d’ordinateurs à modifier, cliquez sur le bouton Listes d’ordinateurs, puis sélectionnez la liste. F0170.book Page 120 Monday, May 2, 2005 12:37 PMChapitre 6 Configuration de listes d’ordinateurs 121 3 Pour vous authentifier, cliquez sur le cadenas. 4 Dans la sous-fenêtre Liste, sélectionnez l’ordinateur à déplacer, puis cliquez sur le bouton Modifier (crayon). 5 Sélectionnez une liste dans le menu local “Déplacer dans la liste”, puis cliquez sur OK. 6 Cliquer sur Enregistrer. Suppression d’ordinateurs d’une liste d’ordinateurs Une fois que vous avez supprimé un ordinateur d’une liste d’ordinateurs, ce dernier est géré à l’aide de la liste Ordinateurs hôtes. Pour supprimer un ordinateur d’une liste : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez la liste sur laquelle l’ordinateur figure. Pour sélectionner la liste, cliquez sur le globe au-dessus de barre d’outils, choisissez le domaine de répertoires qui contient la liste d’ordinateurs à modifier, cliquez sur le bouton Listes d’ordinateurs, puis sélectionnez la liste. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Dans la sous-fenêtre Liste, sélectionnez un ou plusieurs ordinateurs. 5 Cliquez sur le bouton Supprimer (-), puis sur Enregistrer. Suppression d’une liste d’ordinateurs Si vous n’avez plus besoin des ordinateurs qui figurent dans une liste d’ordinateurs, vous pouvez supprimer la liste entière. Vous ne pouvez pas supprimer la liste Ordinateurs hôtes ni la liste Ordinateurs Windows. Pour supprimer une liste d’ordinateurs : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez la liste. Pour sélectionner la liste, cliquez sur le globe au-dessus de barre d’outils, choisissez le domaine de répertoires qui contient la liste d’ordinateurs à supprimer, cliquez sur le bouton Listes d’ordinateurs, puis sélectionnez la liste. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Choisissez Serveur > Effacer la liste d’ordinateurs sélectionnée ou cliquez sur Supprimer dans la barre d’outils. Avertissement : cette action est irréversible. F0170.book Page 121 Monday, May 2, 2005 12:37 PM122 Chapitre 6 Configuration de listes d’ordinateurs Recherche de listes d’ordinateurs Le Gestionnaire de groupe de travail est doté d’une fonction de recherche permettant de localiser rapidement des listes d’ordinateurs spécifiques. Vous pouvez lancer la recherche au sein d’un domaine sélectionné et filtrer les résultats. Pour rechercher une liste d’ordinateurs : 1 Dans Gestionnaire de groupe de travail, cliquez sur Comptes, sur le bouton Listes d’ordinateurs (à gauche), puis sur Liste (à droite). 2 Pour restreindre votre recherche, cliquez sur le globe au-dessus de la liste des comptes et choisissez un domaine de répertoires : Local : pour rechercher des listes d’ordinateurs dans le domaine de répertoires local. Chemin de recherche : pour rechercher des listes d’ordinateurs dans tous les répertoires qui figurent dans le chemin de recherche du serveur (par exemple, monserveur.mondomaine.com). Autre : pour naviguer et sélectionner le domaine de répertoires dans lequel rechercher les listes d’ordinateurs. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Vous pouvez sélectionner un filtre supplémentaire dans le menu local situé en regard du champ de recherche. 5 Tapez des termes de recherche dans le champ correspondant. Gestion des ordinateurs invités Tout ordinateur inconnu (c’est-à-dire ne figurant sur aucune liste d’ordinateurs) qui se connecte à votre réseau et tente d’accéder à des services est traité comme un ordinateur “hôte”. Les réglages définis pour la liste Ordinateurs hôtes s’appliquent à ces ordinateurs inconnus ou “hôtes”. Une liste Ordinateurs hôtes est créée automatiquement pour le domaine de répertoire local d’un serveur. Si le serveur est un maître ou une réplique Open Directory, une liste Ordinateurs hôtes est également créée pour son domaine de répertoire LDAP. La liste Ordinateurs hôtes n’est pas recommandée pour gérer un grand nombre d’ordinateurs ; la plupart des ordinateurs devraient figurer sur les listes d’ordinateurs normales. Remarque : vous ne pouvez pas ajouter des ordinateurs à la liste Ordinateurs hôtes, déplacer des ordinateurs vers cette dernière ni modifier le nom de la liste. F0170.book Page 122 Monday, May 2, 2005 12:37 PMChapitre 6 Configuration de listes d’ordinateurs 123 Pour configurer une liste d’ordinateurs hôtes : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Cliquez sur le globe au-dessus de la liste des comptes et choisissez le domaine de répertoires qui contient la liste Ordinateurs hôtes à modifier. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Cliquez sur le bouton Listes d’ordinateurs (à gauche), puis sélectionnez Ordinateurs hôtes dans la liste. 5 Cliquez sur Liste (à droite), puis sélectionnez un réglage pour les préférences. Pour configurer des préférences gérées, sélectionnez “Définir ici les préférences de l’ordinateur hôte”. Si vous sélectionnez cette option, cliquez sur Enregistrer et passez à l’étape suivante. Pour que des ordinateurs hôtes aient les mêmes réglages de préférences gérées que le serveur parent (un serveur dont le répertoire LDAP ou le répertoire NetInfo partagé est répertorié dans la politique de recherche du serveur que vous configurez), sélectionnez “Hériter des préférences pour les ordinateurs hôtes”. Si vous sélectionnez cette option, cliquez sur Enregistrer (l’étape suivante n’est pas nécessaire). Remarque : vous devez soit créer des listes de comptes d’ordinateur uniques, soit avoir configuré les ordinateurs hôtes pour définir les préférences dans le chemin de recherche. Sinon, les réglages de gestion ne seront pas placés en mémoire cache sur l’ordinateur local. Les systèmes clients pourraient alors ne plus être gérés une fois déconnectés du réseau. 6 Si vous avez sélectionné Définir, cliquez sur Accès puis sélectionnez les réglages que vous voulez utiliser. Cliquez sur Cache, définissez une fréquence d’effacement de la mémoire cache des préférences, puis cliquez sur Enregistrer. Une fois la liste d’ordinateurs Ordinateurs hôtes configurée, vous pouvez gérer les préférences que vous souhaitez pour cette liste. Pour plus d’informations sur l’utilisation des préférences gérées, consultez la section “Définition de préférences” à la page 145 et le chapitre 9, “Gestion des préférences”. Si vous ne sélectionnez aucun réglage ni aucune préférence pour la liste d’ordinateurs Ordinateurs hôtes, cette dernière n’est pas gérée. Toutefois, si l’utilisateur d’un ordinateur dispose d’un compte d’utilisateur Mac OS X Server avec des préférences de groupe ou d’utilisateur gérés, ces réglages s’appliquent lorsque la personne se connecte avec ce compte d’utilisateur. Si l’utilisateur possède un compte d’administrateur dans le répertoire local de l’ordinateur client, l’utilisateur peut choisir de ne pas être géré à la connexion. Les utilisateurs non gérés peuvent recourir à la commande Aller au dossier pour accéder à un répertoire de départ situé sur le réseau. F0170.book Page 123 Monday, May 2, 2005 12:37 PM124 Chapitre 6 Configuration de listes d’ordinateurs Utilisation des réglages d’accès Les réglages du volet Accès vous permettent de rendre les ordinateurs d’une liste disponibles pour les utilisateurs de groupes. Vous pouvez soit n’autoriser que certains groupes à accéder aux ordinateurs d’une liste, soit autoriser tous les groupes (donc tous les utilisateurs) à accéder aux ordinateurs d’une liste. Vous pouvez également contrôler certains aspects de l’accès des utilisateurs locaux. Restriction de l’accès à des ordinateurs Il est possible de réserver l’accès de certains ordinateurs à des utilisateurs spécifiques. S’il existe par exemple deux ordinateurs équipés de matériel et de logiciels de montage vidéo, vous pouvez les réserver aux utilisateurs qui font de la production vidéo. Créez d’abord une liste d’ordinateurs avec ces ordinateurs, assurez-vous que les utilisateurs disposent de comptes d’utilisateur, ajoutez les utilisateurs à un groupe nommé “Production vidéo”, par exemple, et limlitez l’accès à la liste d’ordinateurs Production vidéo à ce groupe. Remarque : tout utilisateur disposant d’un compte d’administrateur dans le répertoire local d’un ordinateur client pourra toujours se connecter. Pour réserver un ensemble d’ordinateurs pour certains groupes : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez la liste d’ordinateurs. Pour sélectionner la liste, cliquez sur le globe au-dessus de barre d’outils, choisissez le domaine de répertoires qui contient la liste d’ordinateurs, cliquez sur le bouton Listes d’ordinateurs, puis sélectionnez la liste. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Dans la sous-fenêtre Liste, tapez des enregistrements d’ordinateur avec leurs identifiants Ethernet. Vous pouvez utiliser des listes pour restreindre la connexion à certains ordinateurs. Vous pouvez également utiliser la fonction de présentations de réseau pour effectuer cette tâche avec plus de souplesse. (Voir le chapitre 10.) 5 Cliquez sur Accès. 6 Sélectionnez l’option Limiter aux groupes ci-dessous. 7 Cliquez sur le bouton Ajouter (+), puis sélectionnez un ou plusieurs groupes dans le tiroir et faites-les glisser vers la liste de la sous-fenêtre Accès. Pour supprimer un groupe autorisé, sélectionnez-le, puis cliquez sur le bouton Supprimer (–). 8 Cliquer sur Enregistrer. Dans la fenêtre de connexion, seuls les utilisateurs du ou des groupes autorisés apparaîtront ou seront capables de se connecter. F0170.book Page 124 Monday, May 2, 2005 12:37 PMChapitre 6 Configuration de listes d’ordinateurs 125 Mise d’ordinateurs à la disposition de tous les utilisateurs Vous pouvez mettre les ordinateurs d’une liste à la disposition de tout utilisateur provenant de l’un quelconque des groupes que vous avez définis. Pour mettre des ordinateurs à la disposition de tous les utilisateurs : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez la liste d’ordinateurs. Pour sélectionner la liste, cliquez sur le globe au-dessus de barre d’outils, choisissez le domaine de répertoires qui contient la liste d’ordinateurs, cliquez sur le bouton Listes d’ordinateurs, puis sélectionnez la liste. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Cliquez sur le bouton Listes d’ordinateurs, puis sélectionnez une ou plusieurs listes d’ordinateurs. 5 Dans la sous-fenêtre Liste, cochez les enregistrements d’ordinateur souhaités ou saisissez-en un s’il n’en existe pas encore. 6 Cliquez sur la sous-fenêtre Accès. 7 Sélectionnez “Tous les groupes peuvent utiliser l’ordinateur” et “Autoriser les administrateurs d’ordinateur à désactiver la gestion”. 8 Cliquez sur la sous-fenêtre Cache et assurez-vous que le réglage de mise à jour de la mémoire cache des préférences est réglé sur une durée appropriée. Ne réglez pas l’actualisation de la mémoire cache sur 0, sinon la mémoire cache ne pourra pas être créée. Les ordinateurs ne seraient plus gérés une fois déconnectés du réseau. 9 Cliquer sur Enregistrer. Utilisation de comptes d’utilisateur locaux Un compte d’utilisateur local est un compte d’utilisateur défini dans le domaine de répertoire local d’un ordinateur client. Les comptes locaux servent aussi bien aux ordinateurs fixes que portables, qu’ils soient utilisés par une ou plusieurs personne(s). Toute personne dotée d’un compte d’administrateur local sur un ordinateur client peut créer des comptes d’utilisateur local via le volet Comptes dans les préférences Système. Les utilisateurs locaux sont authentifiés en local. Si vous comptez fournir des ordinateurs portables (iBook, par exemple) à plusieurs personnes, vous pouvez attribuer à chaque utilisateur la fonction d’administrateur local de l’ordinateur en sa possession. Un administrateur local dispose d’autorisations plus étendues qu’un utilisateur local ou réseau. Par exemple, un administrateur local peut ajouter des imprimantes, changer des réglages de réseau ou choisir de ne pas être géré. F0170.book Page 125 Monday, May 2, 2005 12:37 PM126 Chapitre 6 Configuration de listes d’ordinateurs La manière la plus simple de gérer les préférences des utilisateurs locaux d’un ordinateur particulier consiste à gérer les préférences de la liste d’ordinateurs à laquelle appartient l’ordinateur et de s’assurer que vous autorisez bien les utilisateurs qui ne disposent que de comptes locaux à utiliser les ordinateurs de la liste d’ordinateurs. Pour autoriser l’accès aux utilisateurs dotés de comptes locaux : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez une liste d’ordinateurs qui prend en charge les ordinateurs avec des utilisateurs locaux. Pour sélectionner une liste, cliquez sur le globe au-dessus de barre d’outils, choisissez le domaine de répertoires qui contient la liste d’ordinateurs, cliquez sur le bouton Listes d’ordinateurs, puis sélectionnez la liste. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Cliquez sur Accès. 5 Sélectionnez “Limiter aux groupes ci-dessous” pour déterminer les groupes de travail qui sont affichés lorsqu’un utilisateur local se connecte. Les comptes d’utilisateur locaux ne peuvent pas être réglés pour restreindre l’accès à des groupes de travail spécifiques. Si vous avez créé des groupes de travail qui doivent être limités à des comptes spécifiques, vous devez créer une liste de comptes d’ordinateur qui ne contient que les groupes de travail disposant d’un accès commun. Pour que la liste des groupes de travail disponibles s’affiche lors de la connexion de l’utilisateur, sélectionnez “Tous les groupes peuvent utiliser l’ordinateur”. Pour n’afficher que certains groupes de travail (dans le cas de comptes non locaux), sélectionnez “Limiter aux groupes ci-dessous”, puis faites glisser des groupes du tiroir vers la liste de la sous-fenêtre Accès. 6 Assurez-vous que l’option Autoriser les utilisateurs de comptes exclusivement locaux est sélectionnée. 7 Cliquer sur Enregistrer. F0170.book Page 126 Monday, May 2, 2005 12:37 PM7 127 7 Configuration des répertoires de départ Mac OS X utilise le répertoire de départ, un dossier réservé à l’usage exclusif d’un utilisateur, pour stocker des préférences système et des réglages gérés. Ce chapitre décrit les principes généraux de configuration et de gestion des répertoires de départ. À propos des répertoires de départ Vous pouvez configurer des répertoires de départ de manière à les rendre accessibles à l’aide soit du protocole AFP (Apple Filing Protocol), soit du système NFS (Network File System) : • Il est préférable d’utiliser le protocole AFP, car il offre une sécurité d’accès par authentification. L’utilisateur doit ouvrir une session avec un nom et un mot de passe valides pour pouvoir accéder aux fichiers. • L’accès aux fichiers NFS n’étant pas basé sur l’authentification des utilisateurs mais sur les adresses IP client, c’est un protocole généralement moins sûr que AFP. N’utilisez NFS que si vous avez besoin de fournir des répertoires de départ à de nombreux utilisateurs travaillant avec des stations de travail UNIX. Pour configurer le répertoire de départ d’un utilisateur dans le Gestionnaire de groupe de travail, utilisez la sous-fenêtre Départ de la fenêtre Comptes. Vous pouvez aussi importer des réglages de répertoire de départ d’utilisateur à partir d’un fichier. Pour savoir comment travailler avec des fichiers d’importation, consultez la section “Importation et exportation d’informations de compte”. Il n’est pas nécessaire que le répertoire de départ d’un utilisateur soit stocké sur le même serveur que le domaine de répertoires contenant son compte d’utilisateur. D’ailleurs, répartir les domaines de répertoires et les répertoires de départ sur plusieurs serveurs peut vous aider à équilibrer la charge de travail entre différents serveurs. “Répartition de répertoires de départ sur plusieurs serveurs” à la page 129 décrit plusieurs de ces scénarios. F0170.book Page 127 Monday, May 2, 2005 12:37 PM128 Chapitre 7 Configuration des répertoires de départ Le répertoire de départ que vous désignez dans la sous-fenêtre Départ peut être utilisé lors de la connexion à partir d’une station de travail Windows ou d’un ordinateur Mac OS X. Cela peut s’avérer pratique pour les utilisateurs dont le compte réside sur un serveur qui fonctionne comme contrôleur de domaine principal Windows. Consultez le guide d’administration des services Windows pour plus d’informations sur la configuration des répertoires de départ pour les utilisateurs de stations de travail Windows. La longueur maximale de chemin de 89 caractères pour les répertoires de départ et les autres points de partage à montage automatique est réduite d’un nombre variable de caractères en fonction de la version de Mac OS X utilisée sur les clients : • 10.2 - 10.2.8 : (marge de 89-24) = 65 caractères max. • 10.3 - 10.3.4 : (marge de 89-38) = 51 caractères max. • 10.3.5 et les versions plus récentes de 10.3 : (marge de 89-24) = 65 caractères max. • 10.4 Tiger : (marge de 89-16) = 73 caractères max. Pour en savoir plus, consultez l’article du site Web d’assistance et de service Apple intitulé “Avoid Spaces and Long Names in Network Home Directory Name, Path”, à l’adresse docs.info.apple.com/article.html?artnum=107695. Évitez les espaces et les noms très longs dans les chemins d’accès aux répertoires de départ réseau Si le chemin absolu du client au répertoire de départ réseau sur le serveur contient des espaces ou plus de 89 caractères, certains types de clients ne peuvent pas se connecter. Un client utilisant, par exemple, le montage automatique avec un répertoire de départ AFP basé sur LDAP ne pourra probablement pas accéder à son répertoire de départ. Pour résoudre ou éviter le problème, assurez-vous que le chemin complet au répertoire de départ réseau ne contient pas d’espaces et ne comporte pas plus de 89 caractères. La barre oblique (/) compte comme caractère. F0170.book Page 128 Monday, May 2, 2005 12:37 PMChapitre 7 Configuration des répertoires de départ 129 Répartition de répertoires de départ sur plusieurs serveurs L’illustration ci-dessous montre un serveur Mac OS X Server destiné au stockage de comptes d’utilisateur et deux autres pour stocker des répertoires de départ AFP. Lorsqu’un utilisateur se connecte, il est authentifié à l’aide d’un compte stocké dans le domaine de répertoires partagé sur le serveur de comptes. L’emplacement du répertoire de départ de l’utilisateur, stocké dans le compte, sert à monter le répertoire de départ qui réside physiquement sur l’un des deux serveurs de répertoires de départ. Les étapes ci-dessous permettent de configurer ce scénario pour les répertoires de départ AFP : Étape 1 : Créez un domaine partagé pour les comptes d’utilisateur sur le serveur de comptes. La création d’un domaine de répertoires LDAP partagé s’effectue en configurant un maître Open Directory conformément aux instructions incluses dans le guide d’administration d’Open Directory. Étape 2 : Configurez un point de partage montable automatiquement pour les répertoires de départ sur chaque serveur. Pour obtenir des instructions sur la manière de configurer des points de partage montables automatiquement, consultez la section “Configuration d’un point de partage AFP montable automatiquement pour des répertoires de départ” à la page 137. Répertoires de départ A à M Serveurs Mac OS X Server Répertoires de départ N à Z Comptes d'utilisateurs F0170.book Page 129 Monday, May 2, 2005 12:37 PM130 Chapitre 7 Configuration des répertoires de départ Étape 3 : Créez les comptes d’utilisateur dans le domaine partagé sur le serveur de comptes. Ce chapitre décrit plus en avant la configuration des comptes de sorte que les répertoires de départ soient stockés dans l’un ou l’autre des points de partage montables automatiquement. Reportez-vous aux instructions de la section “Création de comptes d’utilisateur Mac OS X Server” à la page 67 pour savoir comment configurer les attributs des comptes d’utilisateur, ainsi que celles des sections ultérieures de ce chapitre pour obtenir des détails spécifiques sur la configuration des répertoires de départ. Étape 4 : Configurez les services de répertoire des ordinateurs clients afin que leur politique de recherche inclue le domaine de répertoire partagé sur le serveur de comptes. Consultez le guide d’administration Open Directory pour plus d’informations sur la configuration des politiques de recherche. Quand un utilisateur redémarre son ordinateur, puis ouvre une session en utilisant le compte du domaine partagé, le répertoire de départ est automatiquement créé (si ce n’est déjà fait) sur le serveur approprié et visible sur l’ordinateur de l’utilisateur. Remarque : les répertoires de départ ne sont créés automatiquement, lors de la connexion initiale d’un utilisateur, que sur les points de partage servis par un serveur AFP. Les répertoires de départ NFS doivent être créés manuellement. Spécification d’aucun répertoire de départ Vous pouvez utiliser le Gestionnaire de groupe de travail pour qu’un compte d’utilisateur doté d’un répertoire de départ n’en ait plus. Par défaut, les nouveaux utilisateurs ne disposent d’aucun répertoire de départ. Pour ne définir aucun répertoire de départ : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Ouvrez le domaine de répertoires dans lequel réside le compte d’utilisateur et authentifiez-vous comme administrateur du domaine. Pour ouvrir un domaine de répertoires, cliquez sur le globe au-dessus de la liste des comptes, puis faites votre choix dans le menu local. Pour vous authentifier, cliquez sur le cadenas. 3 Cliquez sur le bouton Utilisateurs, puis sélectionnez un ou plusieurs comptes d’utilisateur. 4 Cliquez sur Départ, puis sélectionnez (Aucun) dans la liste. 5 Cliquer sur Enregistrer. F0170.book Page 130 Monday, May 2, 2005 12:37 PMChapitre 7 Configuration des répertoires de départ 131 Création d’un répertoire de départ pour un utilisateur local sur un serveur Vous pouvez utiliser le Gestionnaire de groupe de travail pour définir des répertoires de départ aux utilisateurs dont les comptes sont stockés dans un domaine de répertoires local du serveur. Vous avez aussi la possibilité d’utiliser des comptes d’utilisateur locaux sur des serveurs autonomes (non accessibles à partir d’un réseau) et des comptes d’administrateur sur un serveur. Ces comptes sont destinés aux utilisateurs qui ouvrent une session directement sur le serveur. Ils ne sont pas destinés aux utilisateurs réseau. Les répertoires de départ des utilisateurs locaux doivent être stockés dans des points de partage AFP, sur le serveur dans lequel résident leurs comptes. Il n’est pas nécessaire que ces points de partage soient montables automatiquement (aucun enregistrement de montage de réseau n’est requis). Pour créer un répertoire de départ pour un compte d’utilisateur local : 1 Assurez-vous qu’un point de partage pour le répertoire de départ existe sur le serveur où réside le compte d’utilisateur local. Vous pouvez utiliser le point de partage prédéfini /Users ou tout autre point de partage AFP préalablement défini sur le serveur. Une autre solution consiste à établir votre propre point de partage. Pour utiliser un point de partage existant, passez à l’étape 4. Pour définir un nouveau point de partage, continuez avec les étapes 2 et 3. Étant donné le principe des quotas de disques de répertoires de départ, vous pouvez configurer les points de partage de répertoire de départ sur une partition différente des autres points de partage. Pour plus d’informations, consultez la section “Définition de quotas de disque” à la page 140. 2 À l’aide du Finder, créez, le cas échéant, le dossier que vous souhaitez utiliser comme point de partage. 3 Dans le Gestionnaire de groupe de travail, connectez-vous au serveur sur lequel réside le compte d’utilisateur local, puis cliquez sur Partage pour configurer le dossier comme point de partage AFP. Cliquez sur Tous (à gauche au-dessus de la liste), puis sélectionnez le dossier. Cliquez sur Général et sélectionnez Partager cet élément et son contenu. Spécifiez les noms du possesseur du point de partage et du groupe en saisissant leur nom dans les champs correspondants ou en y faisant glisser les noms depuis le Finder qui s’ouvre après avoir cliqué sur Utilisateurs et groupes. Réglez les autorisations du Propriétaire sur Lecture et écriture et les autorisations du Groupe et de Tous sur Lecture seule. Cliquer sur Enregistrer. F0170.book Page 131 Monday, May 2, 2005 12:37 PM132 Chapitre 7 Configuration des répertoires de départ 4 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes, puis sélectionnez le compte d’utilisateur avec lequel vous souhaitez travailler. Pour sélectionner un compte d’utilisateur local, cliquez sur le globe au-dessus de la liste des comptes, ouvrez le domaine de répertoires local, cliquez sur le bouton Utilisateurs, puis sélectionnez l’utilisateur dans la liste. 5 Cliquez sur le cadenas et authentifiez-vous en tant qu’administrateur du domaine de répertoires local. 6 Cliquez sur Départ pour configurer le répertoire de départ de l’utilisateur sélectionné. 7 Dans la liste des points de partage, sélectionnez celui que vous souhaitez utiliser. La liste affiche tous les points de partage AFP du serveur auquel vous êtes connecté. 8 Saisissez un quota de disque et spécifiez s’il s’agit de méga-octets (Mo) ou de gigaoctets (Go) (facultatif). 9 Cliquez sur Créer Départ puis sur Enregistrer. Si vous ne cliquez pas sur Créer Départ avant de cliquer sur Enregistrer, le répertoire de départ sera créé la prochaine fois que l’utilisateur redémarrera l’ordinateur client et se connectera à distance. Toutefois, seuls certains clients peuvent se connecter à des serveurs qui hébergent des points de partage dans le domaine local. Pour obtenir des instructions sur la configuration d’un point de partage pour des clients Mac OS X, consultez la section “Création d’un répertoire de départ de réseau” à la page 133. Le nom du répertoire du départ est identique au premier nom abrégé de l’utilisateur. 10 Assurez-vous que le service AFP est actif sur le serveur où réside le répertoire de départ de l’utilisateur local. Pour vérifier l’état du service AFP, ouvrez Admin Serveur et connectez-vous au serveur sur lequel réside le compte d’utilisateur local. Sélectionnez AFP dans la liste Ordinateurs et services, puis cliquez sur Vue d’ensemble. Si l’état indique que le service AFP est arrêté, choisissez Serveur > Démarrer le service ou cliquez sur Démarrer le service dans la barre d’outils. F0170.book Page 132 Monday, May 2, 2005 12:37 PMChapitre 7 Configuration des répertoires de départ 133 Création d’un répertoire de départ de réseau Dans le Gestionnaire de groupe de travail, vous pouvez configurer un répertoire de départ réseau pour un compte d’utilisateur stocké dans un domaine de répertoires partagé. Le répertoire de départ d’un utilisateur peut résider dans tout point de partage AFP ou NFS auquel peut accéder l’ordinateur de l’utilisateur. Le point de partage doit être montable automatiquement. Un point de partage montable automatiquement garantit que le répertoire de départ est automatiquement visible dans /Network/Servers quand l’utilisateur se connecte à un ordinateur Mac OS X configuré pour pouvoir accéder au domaine partagé. Il permet aussi à d’autres utilisateurs d’accéder au répertoire de départ à l’aide du raccourci ~nom-répertoire-départ. Vous pouvez utiliser le Gestionnaire de groupe de travail pour définir un répertoire de départ réseau pour un utilisateur dont le compte est stocké dans le répertoire LDAP d’un maître Open Directory ou dans un autre domaine de répertoires en lecture/écriture accessible depuis le serveur que vous utilisez. Vous pouvez aussi utiliser le Gestionnaire de groupe de travail pour consulter les informations relatives à un répertoire de départ dans tout domaine de répertoires accessible en lecture seule. Pour créer un répertoire de départ de réseau dans un point de partage AFP ou NFS : 1 Assurez-vous que le point de partage existe sur le serveur où vous souhaitez que réside le répertoire de départ et que celui-ci dispose d’un enregistrement de montage de réseau configuré pour les répertoires de départ. Pour obtenir des instructions, consultez la section “Configuration d’un point de partage AFP montable automatiquement pour des répertoires de départ” à la page 137 ou “Configuration d’un point de partage NFS ou SMB montable automatiquement pour des répertoires de départ” à la page 138. 2 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes, puis sélectionnez le compte d’utilisateur avec lequel vous souhaitez travailler. Pour sélectionner un compte, connectez-vous au serveur sur lequel il réside. Cliquez sur le globe au-dessus de la liste des comptes, puis ouvrez le domaine de répertoires dans lequel le compte d’utilisateur réside. Cliquez sur le bouton Utilisateurs, puis sélectionnez l’utilisateur dans la liste des utilisateurs. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Cliquez sur Départ pour configurer le répertoire de départ de l’utilisateur sélectionné. F0170.book Page 133 Monday, May 2, 2005 12:37 PM134 Chapitre 7 Configuration des répertoires de départ 5 Dans la liste des points de partage, sélectionnez celui que vous souhaitez utiliser. La liste affiche l’ensemble des points de partage montables automatiquement et visibles sur le réseau dans le chemin de recherche du serveur auquel vous êtes connecté. Si le point de partage que vous voulez sélectionner ne figure pas dans la liste, cliquez sur Actualiser. S’il n’apparaît toujours pas, c’est qu’il n’est peut-être pas montable automatiquement. Dans ce cas, vous devez configurer un point de partage avec un enregistrement de montage de réseau, configuré pour les répertoires de départ comme décrit à l’étape 1. 6 Saisissez un quota de disque et spécifiez s’il s’agit de méga-octets (Mo) ou de gigaoctets (Go) (facultatif). 7 Cliquez sur Créer Départ puis sur Enregistrer. Si vous ne cliquez pas sur Créer Départ avant de cliquer sur Enregistrer, le répertoire de départ sera créé la prochaine fois que l’utilisateur redémarre l’ordinateur client et qu’il se connecte à distance. Le nom du répertoire du départ est identique au premier nom abrégé de l’utilisateur. 8 Assurez-vous que l’utilisateur redémarre son ordinateur client pour y rendre visible le point de partage. Notez que lorsqu’un utilisateur ouvre une session à l’aide de SSH pour obtenir un accès au serveur par ligne de commande, son répertoire de départ n’est pas monté et il ne peut y accéder qu’en qualité d’invité. Si vous souhaitez déterminer l’emplacement de stockage du répertoire de départ de l’utilisateur dans un point de partage précis et choisir la manière dont il est nommé, cliquez sur le bouton Ajouter (+) ou Dupliquer (icône de copie) pour créer un répertoire de départ personnalisé. Pour obtenir des instructions, consultez “Création d’un répertoire de départ personnalisé”. Création d’un répertoire de départ personnalisé Dans le Gestionnaire de groupe de travail, vous pouvez personnaliser les réglages du répertoire de départ d’un utilisateur. Cette personnalisation s’avère nécessaire lorsque : • Vous souhaitez que le répertoire de départ de l’utilisateur réside dans des répertoires qui ne sont pas situés immédiatement sous le point de partage du répertoire de départ. Par exemple, vous pouvez organiser des répertoires de départ en plusieurs sous-répertoires au sein d’un point de partage. Si Homes correspond au point de partage du répertoire de départ, vous pouvez placer les répertoires de départ des professeurs sous Homes/Teachers et ceux des étudiants sous Homes/Students. F0170.book Page 134 Monday, May 2, 2005 12:37 PMChapitre 7 Configuration des répertoires de départ 135 • Spécifiez un nom de répertoire de départ différent du premier nom abrégé de l’utilisateur. Vous pouvez utiliser le Gestionnaire de groupe de travail pour définir un répertoire de départ personnalisé pour un utilisateur dont le compte est stocké dans un domaine de répertoires local du serveur ou dans un domaine de répertoires partagé accessible depuis le serveur que vous utilisez. Le domaine de répertoires partagé peut être le répertoire LDAP d’un maître Open Directory ou un autre domaine de répertoires en lecture/écriture. Vous pouvez aussi utiliser le Gestionnaire de groupe de travail pour consulter les informations relatives à un répertoire de départ dans tout domaine de répertoires accessible en lecture seule. Pour créer un répertoire de départ personnalisé à l’aide du Gestionnaire de groupe de travail : 1 Assurez-vous que le point de partage existe et qu’il est correctement configuré. Le point de partage destiné au répertoire de départ d’un utilisateur local doit résider dans un point de partage AFP sur le serveur où se trouve le compte de l’utilisateur. Il n’est pas nécessaire que ce point de partage soit montable automatiquement (aucun enregistrement de montage de réseau n’est requis). Le point de partage destiné au répertoire de départ d’un compte d’utilisateur dans un domaine de répertoires partagé peut résider dans un point de partage AFP ou NFS, à condition que l’ordinateur de l’utilisateur puisse y accéder. Le point de partage doit être montable automatiquement, c’est-à-dire qu’il doit y avoir un enregistrement de montage de réseau dans le répertoire. Pour obtenir des instructions, consultez la section “Configuration d’un point de partage AFP montable automatiquement pour des répertoires de départ” à la page 137 ou “Configuration d’un point de partage NFS ou SMB montable automatiquement pour des répertoires de départ” à la page 138. 2 Si vous voulez que le répertoire de départ se trouve dans un dossier du point de partage, utilisez le Finder pour créer tous les dossiers nécessaires dans le chemin entre le point de partage et l’emplacement de stockage du répertoire de départ. 3 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes, puis sélectionnez le compte d’utilisateur avec lequel vous souhaitez travailler. Pour sélectionner un compte, connectez-vous au serveur sur lequel il réside. Cliquez sur le globe au-dessus de la liste des comptes, puis ouvrez le domaine de répertoires dans lequel le compte d’utilisateur réside. Cliquez sur le bouton Utilisateurs, puis sélectionnez l’utilisateur. F0170.book Page 135 Monday, May 2, 2005 12:37 PM136 Chapitre 7 Configuration des répertoires de départ 4 Pour vous authentifier, cliquez sur le cadenas. 5 Cliquez sur Départ pour configurer le répertoire de départ de l’utilisateur sélectionné. 6 Cliquez sur le bouton Ajouter (+) pour ajouter un répertoire de départ personnalisé ou Dupliquer (icône de copie) pour copier un répertoire de départ personnalisé existant. Vous pouvez supprimer un emplacement de répertoire de départ en le sélectionnant, puis en cliquant sur le bouton Supprimer (–). Vous ne pouvez supprimer que les emplacements ajoutés à l’aide du bouton Ajouter ou Dupliquer. 7 Dans le champ URL, vous pouvez soit saisir l’URL complète d’un point de partage AFP existant montable automatiquement et dans lequel vous souhaitez stocker le répertoire de départ, soit ne rien entrer pour un point de partage NFS. Par exemple, si le point de partage AFP est Homes et que vous utilisez DNS, vous pouvez saisir AFP://serveur.exemple.com/Homes. Si vous n’utilisez pas DNS, remplacez le nom DNS du serveur hébergeant le répertoire de départ pas son adresse IP : AFP://192.168.2.1/Homes.” Vous pouvez utiliser ou omettre la barre oblique (/) à la fin de l’URL. 8 Dans le champ Chemin, vous pouvez soit saisir le chemin allant du point de partage AFP au répertoire de départ, en incluant ce dernier mais en excluant le point de partage, soit ne rien entrer pour un point de partage NFS. Par exemple, vous pouvez saisir Teachers/SecondGrade/Smith. Ne placez pas de barre oblique (/) au début ni à la fin du chemin. 9 Dans le champ Départ, entrez le chemin complet du répertoire de départ, en terminant par ce dernier. Insérez une barre oblique (/) au début, mais pas à la fin. Exemple pour un compte d’utilisateur local :/Users/Teachers/SecondGrade/Smith Exemple pour un compte d’utilisateur dans un domaine de répertoires partagé : /Network/Servers/myServer/Homes/Teachers/SecondGrade/Smith Le nom saisi après /Network/Servers/ doit être le nom d’hôte entré lors de la configuration initiale du serveur. Si vous ne le connaissez pas, ouvrez l’application Terminal, tapez nom de domaine et appuyez sur Entrée pour afficher le nom. 10 Cliquez sur OK. 11 Saisissez un quota de disque et spécifiez s’il s’agit de méga-octets (Mo) ou de gigaoctets (Go) (facultatif). F0170.book Page 136 Monday, May 2, 2005 12:37 PMChapitre 7 Configuration des répertoires de départ 137 12 Cliquez sur Créer Départ puis sur Enregistrer. Le nom du répertoire de départ est celui spécifié à l’étape 8. Si vous ne cliquez pas sur Créer Départ avant de cliquer sur Enregistrer, le répertoire de départ sera créé la prochaine fois que l’utilisateur redémarre l’ordinateur client et qu’il se connecte à distance. Remarque : les répertoires de départ ne sont créés automatiquement la première fois qu’un utilisateur se connecte que sur les points de partage servis par un serveur AFP. Les répertoires de départ NFS doivent être créés manuellement. 13 Pour un compte d’utilisateur dans un domaine de répertoires partagé, assurez-vous que l’utilisateur redémarre son ordinateur client afin d’y rendre visible le point de partage. Configuration d’un point de partage AFP montable automatiquement pour des répertoires de départ Vous pouvez utiliser le Gestionnaire de groupe de travail pour configurer des points de partage AFP pour des répertoires de départ. Les répertoires de départ de comptes d’utilisateur stockés dans des domaines de répertoire partagés, comme le répertoire LDAP d’un maître Open Directory, peuvent résider dans tout point de partage AFP accessible par l’ordinateur de l’utilisateur. Ce point de partage doit être montable automatiquement, c’est-à-dire qu’il doit y avoir un enregistrement de montage de réseau dans le domaine de répertoires où réside le compte d’utilisateur. Un point de partage montable automatiquement garantit que le répertoire de départ est automatiquement visible dans /Network/Servers quand l’utilisateur se connecte à un ordinateur Mac OS X configuré pour pouvoir accéder au domaine partagé. Il permet aussi à d’autres utilisateurs d’accéder au répertoire de départ à l’aide du raccourci ~nom-répertoire-départ. Pour configurer un point de partage AFP montable automatiquement pour des répertoires de départ : 1 Sur le serveur où vous souhaitez que résident les répertoires de départ, créez un dossier qui servira de point de partage à ces répertoires de départ. Étant donné le principe des quotas de disques de répertoires de départ, vous pouvez configurer les points de partage de répertoire de départ sur une partition différente des autres points de partage. Pour plus de détails, consultez la rubrique “Définition de quotas de disque” à la page 140. 2 Dans le Gestionnaire de groupe de travail, connectez-vous au serveur de l’étape 1, puis cliquez sur Partage. 3 Cliquez sur Tout (au-dessus de la liste à gauche) et sélectionnez le dossier créé pour le point de partage. F0170.book Page 137 Monday, May 2, 2005 12:37 PM138 Chapitre 7 Configuration des répertoires de départ 4 Dans la fenêtre générale, sélectionnez Partager cet élément et son contenu. 5 Spécifiez les noms du possesseur du point de partage et du groupe en saisissant leur nom dans les champs correspondants ou en y faisant glisser les noms depuis le Finder qui s’ouvre après avoir cliqué sur Utilisateurs et groupes. 6 Réglez les permissions du possesseur sur Lecture et écriture, les autorisations du groupe et de tous sur Lecture seule, puis cliquez sur Enregistrer. 7 Cliquez sur Montage de réseau, et authentifiez-vous comme administrateur du domaine de répertoires dans lequel réside le compte d’utilisateur. Utilisez le menu local Emplacement pour choisir le domaine de répertoires dans lequel réside le compte d’utilisateur. Cliquez ensuite sur le verrou et authentifiez-vous comme administrateur du domaine de répertoires. 8 Sélectionnez Créer un enregistrement de montage pour ce point de partage et Utiliser pour les répertoires de départ des utilisateurs. 9 Assurez-vous que le menu local Protocole est réglé sur AFP, puis cliquez sur Enregistrer. 10 Configurez le point de partage pour pouvoir y accéder en invité, de sorte que les utilisateurs dont les répertoires de départ sont situés sur des serveurs différents puissent accéder au répertoire de départ à l’aide du raccourci ~nom-répertoire-depart/Public. Cliquez sur Protocoles, choisissez Réglages de fichiers Apple dans le menu local, puis veillez à bien sélectionner Partager cet élément via AFP et Autoriser l’accès comme invité AFP. (Options sélectionnées par défaut.) Dans Admin Serveur, assurez-vous que l’option Accès comme invité AFP est activée. Connectez-vous au serveur du répertoire de départ et sélectionnez AFP dans la liste Ordinateurs et services. Cliquez sur Réglages puis sur Accès, et assurez-vous que l’option Autoriser l’accès en invité est sélectionnée. Vérifiez aussi que le service AFP est bien actif. Configuration d’un point de partage NFS ou SMB montable automatiquement pour des répertoires de départ Bien qu’il soit préférable d’utiliser le protocole AFP pour accéder aux répertoires de départ en raison du niveau de sécurité offert, vous pouvez employer le Gestionnaire de groupe de travail pour configurer un point de partage NFS de réseau pour les répertoires de départ. Les points de partage NFS ou SMB peuvent être utilisés pour des répertoires de départ d’utilisateurs définis dans des domaines de répertoires partagés, comme le répertoire LDAP d’un maître Open Directory ou d’un domaine Open Directory. Le point de partage doit être montable automatiquement, c’est-à-dire qu’il doit y avoir un enregistrement de montage de réseau dans le domaine de répertoires où réside le compte d’utilisateur. F0170.book Page 138 Monday, May 2, 2005 12:37 PMChapitre 7 Configuration des répertoires de départ 139 Un point de partage montable automatiquement garantit que le répertoire de départ est automatiquement visible dans /Network/Servers quand l’utilisateur se connecte à un ordinateur Mac OS X configuré pour pouvoir accéder au domaine partagé. Il permet aussi à d’autres utilisateurs d’accéder au répertoire de départ à l’aide du raccourci ~nom-répertoire-départ. Pour configurer un point de partage NFS ou SMB montable automatiquement pour des répertoires de départ : 1 Sur le serveur où vous souhaitez que résident les répertoires de départ, créez un dossier qui servira de point de partage à ces répertoires de départ. Étant donné le principe des quotas de disques de répertoires de départ, vous pouvez configurer les points de partage de répertoire de départ sur une partition différente des autres points de partage. Pour plus de détails, consultez la rubrique “Définition de quotas de disque” à la page 140. 2 Dans le Gestionnaire de groupe de travail, connectez-vous au serveur de l’étape 1, puis cliquez sur Partage. 3 Cliquez sur Tout (au-dessus de la liste à gauche) et sélectionnez le dossier créé pour le point de partage. 4 Cliquez sur Général et sélectionnez Partager cet élément et son contenu. 5 Spécifiez les noms du possesseur du point de partage et du groupe en saisissant leur nom dans les champs correspondants ou en y faisant glisser les noms depuis le Finder qui s’ouvre après avoir cliqué sur Utilisateurs et groupes. 6 Réglez les permissions du possesseur sur Lecture et écriture, les autorisations du groupe et de tous sur Lecture seule, puis cliquez sur Enregistrer. 7 Cliquez sur Protocoles, puis sélectionnez Réglages d’exportation NFS ou SMB dans le menu local. 8 Sélectionnez Exporter cet élément et son contenu vers et veillez à bien choisir l’option Client dans le menu local qui s’affiche dessous. 9 Ajoutez les ordinateurs clients dont vous souhaitez autoriser l’accès au point de partage. Cliquez sur Ajouter et entrez l’adresse IP ou le nom d’hôte du client que vous souhaitez ajouter à la liste d’ordinateurs. Cliquez sur Supprimer pour supprimer l’adresse sélectionnée de la liste. 10 Configurez les autorisations du point de partage. Sélectionnez Régler Utilisateur root sur aucun et décochez les cases restantes. 11 Cliquez sur Montage de réseau, et authentifiez-vous comme administrateur du domaine de répertoires dans lequel réside le compte d’utilisateur. F0170.book Page 139 Monday, May 2, 2005 12:37 PM140 Chapitre 7 Configuration des répertoires de départ Utilisez le menu local Emplacement pour choisir le domaine de répertoires dans lequel réside le compte d’utilisateur. Cliquez ensuite sur le verrou et authentifiez-vous comme administrateur du domaine de répertoires. 12 Sélectionnez Créer un enregistrement de montage pour ce point de partage et Utiliser pour les répertoires de départ des utilisateurs. 13 Choisissez NFS ou SMB dans le menu local Protocole, puis cliquez sur Enregistrer. Définition de quotas de disque Vous pouvez limiter l’espace disque qu’un utilisateur peut utiliser pour stocker des fichiers qu’il possède dans la partition où se trouve son répertoire de départ. Ce quota ne s’applique pas au point de partage du répertoire de départ ni à ce dernier, mais à l’ensemble de la partition dans laquelle le point de partage du répertoire de départ et ce dernier résident. Pour cette raison, lorsqu’un utilisateur place des fichiers dans le dossier d’un autre utilisateur, cela peut avoir des conséquences au niveau du quota de disque de l’utilisateur : • Quand vous copiez un fichier dans la boîte de dépôt AFP d’un utilisateur, le propriétaire de cette dernière devient propriétaire du fichier. • Dans NFS cependant, lorsque vous copiez un fichier dans un autre dossier, vous en restez le propriétaire et l’opération de copie diminue votre quota de disque sur une partition spécifique. F0170.book Page 140 Monday, May 2, 2005 12:37 PMChapitre 7 Configuration des répertoires de départ 141 Pour configurer un quota de disque pour un point de partage du répertoire de départ à l’aide du Gestionnaire de groupe de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Sélectionnez le compte d’utilisateur avec lequel vous souhaitez travailler. Pour sélectionner un compte, connectez-vous au serveur sur lequel le compte réside, cliquez sur le globe au-dessus de la liste des comptes, ouvrez le domaine de répertoires dans lequel le compte d’utilisateur réside, cliquez sur le bouton Utilisateurs, puis sélectionnez l’utilisateur. 3 Pour vous authentifier, cliquez sur le cadenas. 4 Cliquez sur Départ. 5 Spécifiez le quota de disque à l’aide du champ correspondant et du menu local adjacent. 6 Assurez-vous que les quotas de disque sont actifs pour le volume sur lequel réside le point de partage. 7 Cliquez sur Partage, sélectionnez le volume dans la liste Tous, puis choisissez Activer des quotas de disque sur ce volume. Définition de répertoires de départ par défaut à l’aide de préréglages Vous pouvez prédéfinir les réglages du répertoire de départ par défaut des nouveaux utilisateurs au moyen d’un préréglage. Pour obtenir des informations sur la définition et l’utilisation de préréglages, consultez la section “Utilisation de préréglages pour créer des comptes” à la page 73. Déplacement de répertoires de départ Si vous devez déplacer un répertoire de départ, créez-en un nouveau et copiez le contenu de l’ancien dans le nouveau avant de supprimer l’ancien. Suppression de répertoires de départ Lorsque vous supprimez un compte d’utilisateur, le répertoire de départ associé n’est pas automatiquement supprimé. L’administrateur doit supprimer le dossier de départ manuellement en le faisant glisser dans la Corbeille. F0170.book Page 141 Monday, May 2, 2005 12:37 PMF0170.book Page 142 Monday, May 2, 2005 12:37 PM8 143 8 Vue d’ensemble de la gestion des clients Le présent chapitre contient une introduction à la gestion des clients dans Mac OS X. La gestion des clients consiste à administrer de manière centralisée l’environnement informatique de vos utilisateurs. Elle est généralement mise en place en : • gérant l’accès aux imprimantes réseau et aux répertoires de départ résidant sur des serveurs, aux répertoires de groupe et à d’autres dossiers ; • personnalisant l’environnement de travail de l’ordinateur des différents utilisateurs, groupes et ordinateurs via la définition des préférences des comptes d’utilisateur, des comptes de groupe et des listes d’ordinateurs. Vous pouvez également exploiter deux options supplémentaires en matière de gestion des clients : l’installation et le démarrage des ordinateurs clients via le réseau (à l’aide de NetBoot et d’Installation en réseau) et l’administration quotidienne des ordinateurs (à l’aide d’Apple Remote Desktop). Le présent chapitre décrit brièvement chacun de ces sujets dans la mesure où ils s’appliquent à des utilisateurs d’ordinateurs Mac OS X. Ordinateurs et bureaux Gestion du client Applications, dossiers et fichiers Imprimantes et volumes Utilisateurs et groupes F0170.book Page 143 Monday, May 2, 2005 12:37 PM144 Chapitre 8 Vue d’ensemble de la gestion des clients Utilisation de ressources visibles sur le réseau Mac OS X Server permet de rendre diverses ressources visibles sur le réseau, afin que les utilisateurs puissent y accéder à partir d’ordinateurs et d’emplacement différents. Il existe plusieurs ressources importantes visibles sur le réseau : • Répertoires de départ réseau. Un répertoire de départ, souvent appelé également dossier de départ, est un emplacement dans lequel chaque utilisateur Mac OS X peut conserver des fichiers personnels. Les utilisateurs qui possèdent des enregistrements dans un répertoire Open Directory partagé peuvent disposer d’un répertoire de départ réseau, souvent situé sur le serveur où réside leur compte d’utilisateur. Un répertoire de départ contient plusieurs dossiers, tels que les dossiers Bureau, Documents et Public, pour faciliter l’organisation des informations. Une fois connecté, un utilisateur peut accéder à son répertoire de départ réseau en cliquant simplement sur l’icône du dossier de départ dans le Finder. • Dossiers de groupe. Lorsque vous configurez un compte de groupe pour des utilisateurs réseau, vous pouvez associer un dossier de groupe au groupe. Le dossier de groupe est un emplacement dans lequel les membres d’un groupe peuvent échanger des informations électroniques. Un dossier de groupe contient trois dossier par défaut : Documents, Bibliothèque et Public, ce dernier contenant un dossier Boîte de dépôt. Résidant sur le serveur pour permettre un accès aisé via le réseau, le dossier de groupe peut être affiché dans le Dock pour permettre à l’utilisateur d’accéder facilement au réseau chaque fois qu’il veut travailler sur des activités de groupe. F0170.book Page 144 Monday, May 2, 2005 12:37 PMChapitre 8 Vue d’ensemble de la gestion des clients 145 • Autres dossiers partagés. Vous pouvez configurer d’autres dossiers sur le serveur pour permettre aux utilisateurs d’accéder à des applications, de la documentation interne, des annonces, des calendriers et d’autres informations. • Images de démarrage et d’installation. Vous pouvez utiliser des images de démarrage et d’installation situées sur le serveur pour automatiser la configuration des ordinateurs des utilisateurs réseau. L’ordinateur d’un utilisateur peut démarrer à partir d’une image de démarrage stockée sur le serveur. En fait, vous pouvez utiliser le même ordinateur pour un laboratoire de science lorsqu’il démarre à partir d’une image et pour un cours d’anglais lorsqu’il démarre à partir d’une autre image. À chaque nouveau démarrage de l’ordinateur de laboratoire, le système reflète l’état original de l’image de démarrage sélectionnée, indépendamment de ce que les étudiants précédents ont fait sur l’ordinateur. Une image d’installation installe automatiquement des logiciels sur des ordinateurs d’utilisateurs, ce qui rend très facile le déploiement à distance et sans interactions de l’utilisateur du système d’exploitation, d’applications supplémentaires et même de réglages d’ordinateur personnalisés. Définition de préférences Les environnements de travail d’un utilisateur réseau sont gérés en définissant des préférences, c’est-à-diredes réglages qui personnalisent et contrôlent l’environnement informatique d’un utilisateur. La sous-fenêtre Préférences comporte deux onglets : Vue d’ensemble et Détails. L’onglet Vue d’ensemble permet de gérer les préférences système prédéfinies tandis que l’onglet Détails peut être utilisé pour gérer les préférences de toute application ou de tout utilitaire qui se comporte correctement dans Mac OS X. L’onglet Vue d’ensemble est identique pour les utilisateurs et les groupes : Un élément supplémentaire, “Économiseur d’énergie”, apparaît pour les listes d’ordinateurs. F0170.book Page 145 Monday, May 2, 2005 12:37 PM146 Chapitre 8 Vue d’ensemble de la gestion des clients De nombreux facteurs, notamment les responsabilités de l’utilisateur et les problèmes de sécurité, déterminent l’environnement de travail informatique à présenter à un utilisateur. Dans certains cas, l’établissement de directives informelles d’utilisation peut être autorisée. Dans d’autres cas, il peut s’avérer nécessaire de contrôler strictement l’utilisation de l’ordinateur, en définissant et en verrouillant tous les réglages système et en contrôlant toutes les applications. Les préférences que vous définissez doivent implémenter des fonctionnalités système qui répondent au mieux aux besoins de vos utilisateurs et de votre organisation. La puissance des préférences De nombreuses préférences, telles que celles du Dock et du Finder, sont utilisées pour personnaliser l’apparence des bureaux. Vous pouvez par exemple configurer les préférences du Dock et du Finder pour que l’environnement de travail soit très simplifié. D’autres préférences sont utilisées pour gérer les éléments accessibles et contrôlables par l’utilisateur. Vous pouvez par exemple configurer les préférences Accès aux supports pour empêcher les utilisateurs de graver des CD et des DVD ou d’apporter des modifications au disque interne d’un ordinateur. Voici un résumé de la manière dont les préférences affectent l’apparence du bureau et les activités qu’un utilisateur peut effectuer : Cette préférence Adapte l’environnement de travail Limite l’accès et le contrôle En vous laissant gérer Applications x Les applications qu’un utilisateur peut ouvrir Classic x Le démarrage de l’environnement Classic Dock x L’apparence et le contenu du Dock Économiseur d’énergie x Les réglages relatifs au démarrage, à l’extinction, à la réactivation, à la suspension de l’activité et aux performances Le Finder x x L’apparence des icônes du bureau et des éléments du Finder Internet x Les réglages de courrier et Web par défaut F0170.book Page 146 Monday, May 2, 2005 12:37 PMChapitre 8 Vue d’ensemble de la gestion des clients 147 Niveaux de contrôle Vous pouvez définir des préférences pour les comptes d’utilisateur, les comptes de groupe et les listes d’ordinateurs qui sont définis dans un domaine de répertoires partagé. Un utilisateur dont le compte dispose de préférences est appelé un utilisateur géré. Un ordinateur affecté à une liste d’ordinateurs pour laquelle des préférences ont été définies est appelé un ordinateur géré. Un groupe pour lequel des préférences ont été définies est appelé un groupe de travail. Les préférences Économiseur d’énergie et les réglages relatifs à la fenêtre d’ouverture de session ne peuvent être définis que pour des listes d’ordinateurs, mais les autres préférences peuvent être définies pour des utilisateurs, des groupes de travail et /ou des listes d’ordinateurs. Ouverture de session x L’environnement d’ouverture de session Accès aux données x La possibilité d’utiliser des supports enregistrables Mobilité x La création de comptes mobiles Réseau x x Les serveurs proxy à utiliser ou à contourner Impression x Les imprimantes qu’un utilisateur peut utiliser Mise à jour de logiciels x Le serveur à utiliser pour les mises à jour Préférences Système x Les préférences système activées sur l’ordinateur de l’utilisateur Accès universel x Les réglages matériels destinés aux utilisateurs ayant des besoins particuliers en matière de vision, d’audition ou autres Cette préférence Adapte l’environnement de travail Limite l’accès et le contrôle En vous laissant gérer F0170.book Page 147 Monday, May 2, 2005 12:37 PM148 Chapitre 8 Vue d’ensemble de la gestion des clients L’illustration ci-après montre comment les préférences gérées interagissent lorsque les mêmes préférences sont définies à plusieurs niveaux : • Les préférences d’impression, d’ouverture de session, d’applications et certaines préférences du Dock (les éléments qui apparaissent dans le Dock) sont combinées. Par exemple, si vous définissez des préférences d’impression pour des utilisateurs et des ordinateurs, la liste des imprimantes d’un utilisateur contiendra des imprimantes configurées pour l’utilisateur et pour l’ordinateur qu’il utilise. Remarque : on dit que les préférences système gérées sont combinées parce que différents réglages définis dans le Gestionnaire de groupe de travail agissent de manière collective à l’ouverture de session. • D’autres réglages de préférences définis à plusieurs niveaux peuvent être redéfinis à l’ouverture de session. Lorsqu’un utilisateur ouvre une session sur un ordinateur géré et choisit un groupe de travail, les préférences d’utilisateur remplacent les préférences d’ordinateur redondantes et les préférences d’ordinateur remplacent à leur tour les préférences de groupe de travail. Imaginons par exemple que vous souhaitiez empêcher tous les étudiants d’utiliser les périphériques d’enregistrement reliés à un ordinateur de l’université, à l’exception des étudiants qui font office d’assistants. Vous pourriez configurer des préférences Accès aux données pour des groupes de travail ou des listes d’ordinateurs afin de limiter l’accès de tous les élèves, mais remplacer ces restrictions pour les assistants à l’aide de réglages Accès aux données définis au niveau de leur compte d’utilisateur. • Les préférences héritées sont des préférences qui ne sont définies qu’à un seul niveau. Supposons que vous placiez le Dock à gauche de l’écran pour le groupe de travail A, en bas pour la liste d’ordinateurs contenant l’ordinateur 2 et à droite pour l’utilisateur Alice. Si Alice ouvre une session sur l’ordinateur 2 et choisit le groupe de travail A, le Dock apparaîtra à droite sur son écran. Préférences Combinées Redéfinies Héritées Groupe (G) Ordinateur (O) Utilisateur (U) G + O + U F0170.book Page 148 Monday, May 2, 2005 12:37 PMChapitre 8 Vue d’ensemble de la gestion des clients 149 Imaginons maintenant que vous décidiez d’arrêter de gérer les réglages Affichage du Dock pour Alice (vous sélectionnez Jamais dans la sous-fenêtre Affichage du Dock d’Alice). Si Alice ouvre une session sur l’ordinateur 2 et choisit le groupe de travail A, le Dock apparaîtra en bas de l’écran. Dans certains cas, il peut s’avérer plus commode et utile de ne définir certaines préférences qu’à un seul niveau. Vous pouvez, par exemple, définir des préférences d’imprimantes uniquement pour des ordinateurs ; des préférences d’applications uniquement pour des groupes de travail ; et des préférences de Dock uniquement pour des utilisateurs. Dans ce cas, il n’y a ni remplacement ni combinaison de préférences et l’utilisateur hérite des préférences sans qu’il y ait de compétition entre ces dernières. La plupart du temps, vous utiliserez des références au niveau du groupe de travail et de l’ordinateur. • Les préférences de groupe de travail sont particulièrement adaptées pour personnaliser l’environnement de travail (comme, par exemple, la visibilité des applications) de certains groupes d’utilisateurs ou pour utiliser des dossiers de groupe. Par exemple, un étudiant peut appartenir au groupe “Classe 2011” pour des raisons administratives et au groupe de travail “Étudiants” pour limiter ses choix en matière d’applications et lui fournir un dossier partagé de groupe pour qu’il puisse remettre ses travaux. On pourrait imaginer un autre groupe de travail appelé “Enseignants” utilisé pour fournir aux membres du corps enseignant l’accès à des dossiers et des applications destinés à leur usage exclusif. • Les préférences d’ordinateur sont pratiques lorsqu’il s’agit de gérer des préférences pour des utilisateurs indépendamment de leur appartenance à des groupes. Au niveau de l’ordinateur, vous pourriez, par exemple, souhaiter limiter l’accès aux préférences système, gérer des réglages d’économie d’énergie, afficher certains utilisateurs dans la fenêtre d’ouverture de session et empêcher l’enregistrement de fichiers et d’applications sur des disques enregistrables. Les préférences d’ordinateur offrent également un moyen de gérer les préférences des utilisateurs qui ne disposent pas d’un compte réseau, mais qui peuvent ouvrir une session sur un ordinateur Mac OS X à l’aide d’un compte local. (Le compte local, défini à l’aide de la sous-fenêtre Comptes des Préférences Système, réside sur l’ordinateur de l’utilisateur). Vous devriez configurer une liste d’ordinateurs qui gère les comptes exclusivement locaux. Les préférences associées à la liste d’ordinateurs et à tout groupe de travail qu’un utilisateur sélectionne à l’ouverture de session prennent effet. Vous trouverez d’autres informations sur la gestion de l’environnement d’ouverture de session ci-après. F0170.book Page 149 Monday, May 2, 2005 12:37 PM150 Chapitre 8 Vue d’ensemble de la gestion des clients Degrés de permanence Lorsque vous définissez des préférences, vous pouvez choisir de les gérer Toujours ou Une fois. Par défaut, elles ne sont Jamais gérées. • Toujours : cette option permet de maintenir l’application des préférences jusqu’à ce que vous les modifiez sur le serveur. Les applications Mac OS X bien conçues désactiveront également le réglage des préférences Toujours par l’utilisateur. Vous pouvez, par exemple, utiliser l’option Toujours pour vous assurer que les utilisateurs ne peuvent pas ajouter ni supprimer des éléments du Dock. • Une fois : cette option est disponible pour certaines préférences. Il s’agit d’une manière simple et rapide de configurer des préférences par défaut sans les gérer. Vous pourriez, par exemple, configurer un groupe d’ordinateurs pour afficher le Dock d’une certaine manière la première fois que les utilisateurs ouvrent une session. Un utilisateur peut modifier les préférences que vous avez réglées sur Une fois et les modifications sélectionnées s’appliqueront toujours à cet utilisateur. Il est impossible de régler les préférences suivantes sur “Une fois” dans la sous-fenêtre de préférences Vue d’ensemble :Applications, Finder (commandes), Comptes mobiles, Impression, Préférences Système, Ouverture de session (Scripts, Fenêtre d’ouverture de session et Options) et Économiseur d’énergie. Pour ces préférences, vous avez seulement le choix entre Toujours et Jamais. • Souvent : cette option ne s’applique qu’à l’Éditeur de préférences (mode de présentation Détails). Les réglages Souvent sont identiques aux réglages Une fois, sauf qu’ils sont appliqués à chaque ouverture de session et à chaque connexion (ou déconnexion) de l’ordinateur au réseau. Ils sont surtout pratiques pour les réglages d’application qui ne désactivent pas l’interface humaine pour les préférences Toujours. • Jamais : cette option permet à un utilisateur de contrôler ses propres préférences. La modification de certains réglages de préférences, tels que Comptes et Date et heure, nécessitent toutefois le nom et le mot de passe d’un administrateur local. L’option Jamais signifie également que les préférences ne sont pas gérées au niveau de ce compte, mais qu’elles peuvent être gérées à un niveau supérieur de la hiérarchie. F0170.book Page 150 Monday, May 2, 2005 12:37 PMChapitre 8 Vue d’ensemble de la gestion des clients 151 Configuration de l’environnement d’ouverture de session Vous pouvez configurer les préférences d’ouverture de session des listes d’ordinateurs afin de contrôler l’apparence de la fenêtre d’ouverture de session. Si vous configurez, par exemple, les options suivantes pour la fenêtre d’ouverture de session dans le Gestionnaire de groupe de travail : … la fenêtre prendra l’apparence suivante : Le premier utilisateur est, dans ce cas, l’administrateur de l’ordinateur local. Les trois utilisateurs suivants sont des utilisateurs qui disposent de comptes sur le serveur, l’un d’entre eux disposant d’un compte mobile. F0170.book Page 151 Monday, May 2, 2005 12:37 PM152 Chapitre 8 Vue d’ensemble de la gestion des clients Pour ouvrir une session, l’utilisateur sélectionne son nom d’utilisateur dans la liste (si la fenêtre d’ouverture de session est configurée dans ce sens), puis tape un mot de passe lorsqu’il y est invité. Si l’utilisateur fait partie de plusieurs groupes de travail (dans le cas où il s’agit d’un utilisateur réseau ou d’un utilisateur local qui reçoit ses groupes de travail de la liste d’ordinateurs), une liste de groupes de travail est affichée pour qu’il puisse sélectionner l’environnement qui l’intéresse. Notez qu’un utilisateur peut appartenir à un groupe qui n’apparaît pas dans la liste ; seuls les groupes de travail (c’est-à-dire les groupes qui ont des préférences gérées et uniquement les groupes de travail qui appartiennent également aux groupes de travail de la liste d’ordinateurs) sont affichés. Si l’ordinateur est associé à une liste d’ordinateurs qui gère des utilisateurs uniquement locaux, tous les groupes de travail qui ont reçu l’accès à l’ordinateur via la liste d’ordinateurs sont affichés lorsqu’un utilisateur local ouvre une session. L’utilisateur peut sélectionner n’importe lequel d’entre eux. Toutes les préférences associées à l’utilisateur, au groupe de travail choisi et à l’ordinateur utilisé entrent en vigueur immédiatement. Qui peut ouvrir une session ? Mac OS X permet de contrôler l’identité des utilisateurs autorisés à ouvrir une session sur un ordinateur. Cela couvre tous les utilisateurs qui figurent dans la liste d’accès de l’ordinateur. Cette dernière est filtrée car, si à ce moment précis, l’utilisateur a son accès désactivé dans le serveur de mots de passe, il ne figure pas non plus dans la liste. F0170.book Page 152 Monday, May 2, 2005 12:37 PMChapitre 8 Vue d’ensemble de la gestion des clients 153 Mise en mémoire cache des préférences Les préférences peuvent être mises en mémoire cache sur les ordinateurs Mac OS X afin qu’elles restent en vigueur même lorsque l’ordinateur est déconnecté du réseau : • Les préférences d’ordinateur et les préférences de tous les groupes de travail qui peuvent utiliser l’ordinateur sont mises en mémoire cache. • Les préférences d’utilisateur sont toujours mises en mémoire cache pour les utilisateurs qui disposent de comptes mobiles. Lorsqu’un ordinateur client est déconnecté du réseau, seuls les utilisateurs qui disposent de comptes locaux ou les utilisateurs réseau qui disposent de comptes mobiles sur cet ordinateur peuvent se connecter. Aide aux utilisateurs pour trouver des applications Les applications peuvent être stockées localement sur le disque dur de l’ordinateur d’un utilisateur ou sur un serveur dans un point de partage. Si les applications sont stockées localement, les utilisateurs peuvent les trouver dans le dossier Applications. Si des applications sont stockées sur un serveur, l’utilisateur doit se connecter au serveur (en choisissant Aller > Se connecter au serveur, dans le Finder) pour localiser et utiliser les applications. Les applications peuvent également être rendues disponibles à l’aide d’un point de partage monté automatiquement en tant qu’enregistrement de montage /Network/Applications. Pour faciliter la localisation de certaines applications locales, vous pouvez utiliser les préférences Éléments du Dock pour placer dans le Dock de l’utilisateur un alias pointant vers le dossier Mes applications. Le dossier Mes applications contient les alias des applications qu’un utilisateur est autorisé à ouvrir. Cela risque de ralentir l’ouverture de session des utilisateurs gérés car Mac OS X doit effectuer une recherche sur les disques disponibles pour établir cette liste chaque fois que vous vous connectez. La gestion de l’accès des utilisateurs aux applications locales s’effectue en créant des listes d’applications approuvées dans les préférences Applications. Pour établir une liste d’applications approuvées, consultez la section “Création d’une liste d’applications accessibles pour les utilisateurs” à la page 164. Que vous choisissiez d’utiliser l’environnement d’utilisateur du Finder simplifié ou celui du Finder normal, cette liste d’applications approuvées détermine ce que vont trouver les utilisateurs dans le dossier Mes applications situé dans le Dock. Pour plus d’informations sur l’utilisation du Finder simplifié ou du Finder normal, consultez la section “Masquage du message d’alerte présenté lorsque l’utilisateur veut vider la corbeille” à la page 183. Pour placer un alias dans le dossier Mes applications et d’autres dossiers du Dock d’un utilisateur, consultez la section “Ajout d’éléments au Dock d’un utilisateur” à la page 175. F0170.book Page 153 Monday, May 2, 2005 12:37 PM154 Chapitre 8 Vue d’ensemble de la gestion des clients Aide aux utilisateurs pour trouver des dossiers de groupe Si vous avez configuré un dossier de groupe, vous pouvez configurer un accès rapide à ce dernier lorsqu’un utilisateur se connecte au groupe de travail auquel le dossier de groupe est associé. Pour ce faire, utilisez les préférences Éléments du Dock. Pour en savoir plus, consultez la section “Accès aisé aux dossiers de groupes” à la page 174. Pour offrir un accès au disque de groupe contenant le dossier public et la boîte de dépôt du groupe, consultez la section “Fourniture d’un accès aisé au point de partage de groupe” à la page 194. Installation et démarrage via le réseau L’utilisation d’images Installation en réseau et NetBoot résidant sur Mac OS X Server constitue la clé pour une configuration initiale rapide de plusieurs ordinateurs d’utilisateur et une actualisation instantanée des ordinateurs. Les ordinateurs d’utilisateur démarrent à l’aide de ces images automatiquement. Utilisez des images Installation en réseau lorsque vous souhaitez installer des logiciels sur des ordinateurs d’utilisateur. Utilisez des images NetBoot lorsque vous souhaitez actualiser l’environnement des ordinateurs d’utilisateur à chaque démarrage. Mac OS X Server Images Installation en réseau Images NetBoot F0170.book Page 154 Monday, May 2, 2005 12:37 PMChapitre 8 Vue d’ensemble de la gestion des clients 155 L’utilisation d’une image de démarrage en réseau offre de nombreux avantages par rapport au démarrage à partir d’un disque dur local : • L’image NetBoot est verrouillée du point de vue de l’utilisateur. Elle ne peut donc pas être endommagée par accident ou par malveillance. Dans un laboratoire informatique où les étudiants peuvent faire des erreurs ou pendant un cours d’informatique où la protection système ne peut pas être utilisée car des outils de programmation sont utilisés, une image NetBoot permet de redémarrer les ordinateurs afin de rétablir leur état d’origine après chaque utilisation. L’image revient à son état d’origine à chaque démarrage, quelles que soient les modifications apportées au système par l’étudiant précédent. • L’administrateur réseau chargé des tâches de maintenance n’est pas obligé de transporter une valise pleine de CD de diagnostic. Il peut faire démarrer un système à l’aide d’une image réseau qui contient tous les outils de diagnostic et de réparation. • Plusieurs images peuvent être publiées sur le réseau à partir d’un même serveur et plusieurs serveurs peuvent être utilisés pour fournir une même image à un débit optimal. Le serveur peut héberger jusqu’à 25 images différentes ; vous pouvez donc maintenir un ensemble de configurations logicielles personnalisées pour différents groupes de travail et ordinateurs. Vous pouvez, par exemple, utiliser une image pour installer les applications les plus récentes requises par certains utilisateurs et une autre image pour faire démarrer les ordinateurs qui se trouvent dans certaines salles de classe, bureaux ou laboratoires. Administration quotidienne des clients L’administration d’ordinateurs en réseau implique la tenue d’archives, des opérations de service d’assistance et des mises à jour mineures pendant que les utilisateurs sont connectés et travaillent. Pour accomplir ces tâches et d’autres tâches quotidiennes, vous pouvez utiliser Apple Remote Desktop (ARD). ARD fournit un environnement de gestion à distance qui simplifie la configuration, la surveillance et la maintenance d’ordinateurs d’utilisateur : • Observation de l’écran. Affichez les écrans des utilisateurs sur votre ordinateur pour surveiller leurs activités. • Contrôle de l’écran. Montrez aux utilisateurs comment effectuer certaines tâches en contrôlant leurs écrans à partir de votre ordinateur. • Partage d’écrans. Affichez votre écran sur l’écran d’un utilisateur à des fins de formation et de démonstration. • Verrouillage d’écran. Empêchez les utilisateurs d’utiliser leurs ordinateurs. • Communications de texte. Échangez des messages avec un ou plusieurs utilisateurs et collectez les questions et les requêtes provenant de différents utilisateurs. • Gestion du matériel et des logiciels. Examinez les informations sur le matériel et les logiciels installés. Recherchez des fichiers et des dossiers spécifiques sur les ordinateurs des utilisateurs. F0170.book Page 155 Monday, May 2, 2005 12:37 PM156 Chapitre 8 Vue d’ensemble de la gestion des clients • Distribution de logiciels et démarrage. Identifiez les images NetBoot ou Installation en réseau que les ordinateurs d’utilisateur doivent utiliser. Effectuez des installations en réseau et contrôlez le démarrage et l’extinction des ordinateurs de vos utilisateurs. Utilisez ARD pour déployer des fichiers d’installation d’application ou de nouvelles mises à jour système plutôt que d’exécuter Mise à jour de logiciels sur chaque ordinateur. • Dépannage. Effectuez des tâches de dépannage réseau élémentaires en vérifiant les performances du trafic réseau pour toutes vos stations de travail et tous vos serveurs. F0170.book Page 156 Monday, May 2, 2005 12:37 PM9 157 9 Gestion des préférences Ce chapitre fournit des informations sur la gestion des préférences des utilisateurs, des groupes de travail et des ordinateurs. Mode de fonctionnement du Gestionnaire de groupe de travail avec les préférences Mac OS X Le Gestionnaire de groupe de travail vous permet de définir et verrouiller certains réglages système pour les utilisateurs sur le réseau. Vous pouvez soit définir des préférences initiales, puis autoriser les utilisateurs à les modifier, soit maintenir un contrôle administratif permanent sur les préférences (vous pouvez également choisir de n’imposer aucune préférence). Outre les divers réglages d’utilisateurs, de groupes et de listes d’ordinateurs, Gestionnaire de groupe de travail contrôle la plupart des préférences système et d’application principales. L’éditeur de préférences contrôle les autres applications qui requièrent une gestion. Volet des préférences Ce que vous pouvez gérer Applications Applications disponibles pour les utilisateurs Classic Réglages de démarrage Classic, réglages de suspension d’activité et accès aux éléments Classic, tels que les tableaux de bord Dock Emplacement, comportement et éléments du Dock Économiseur d’énergie Options de performances pour les ordinateurs clients et serveurs Mac OS X, utilisation de la batterie pour les ordinateurs portables et options de suspension de l’activité ou de réactivation. Le Finder Comportement du Finder, éléments et apparence du bureau et accès aux commandes du menu Finder Internet Préférences de compte de courrier et de navigateur Web Ouverture de session Présentation de la fenêtre d’ouverture de session, volumes montés et éléments ouverts automatiquement lorsque l’utilisateur ouvre une session F0170.book Page 157 Monday, May 2, 2005 12:37 PM158 Chapitre 9 Gestion des préférences Gestion des préférences Dans Gestionnaire de groupe de travail, les informations sur les utilisateurs, les groupes et les listes d’ordinateurs sont intégrées aux services de répertoires. Après avoir configuré les comptes, vous pouvez gérer leurs préférences. La gestion des préférences implique le contrôle des réglages de certaines préférences Système ainsi que le contrôle de l’accès des utilisateurs aux préférences Système, applications, imprimantes et supports amovibles. Les informations concernant les réglages et les préférences figurant dans les enregistrements d’utilisateurs, de groupes ou d’ordinateurs sont stockées dans un domaine de répertoire auquel le Gestionnaire de groupe de travail peut accéder, tel qu’un répertoire LDAP ou un maître Open Directory. Toutes les préférences sont stockées dans un enregistrement (d’utilisateurs, de groupes ou d’ordinateurs). À l’ouverture de session, le client MCX place ces enregistrements dans un emplacement où la liste de gestion combinée finale est appliquée à l’environnement de l’utilisateur. Une fois les comptes d’utilisateur et de groupe ainsi que les listes d’ordinateurs créés, vous pouvez commencer à gérer leurs préférences via la sous-fenêtre Préférences de Gestionnaire de groupe de travail. Pour gérer les préférences de clients Mac OS X, assurez-vous que chacun dispose d’un répertoire de départ en réseau ou local. Pour obtenir des informations sur la configuration d’un volume de groupe ou de répertoires de départ à l’attention des utilisateurs, consultez le chapitre 4, “Configuration des comptes d’utilisateur”. Accès aux données Réglages pour CD, DVD et disques inscriptibles et réglages pour disques internes et externes, tels que les disques durs ou les disquettes Mobilité Création d’un compte mobile à l’ouverture d’une session Réseau Configuration de serveurs proxy et de réglages spécifiques pour les hôtes et les domaines à ignorer Impression Imprimantes disponibles et accès aux imprimantes Mise à jour de logiciels Serveur spécifique à utiliser pour le service de mise à jour de logiciels Préférences Système Préférences Système accessibles aux utilisateurs Accès universel Réglages permettant de contrôler le comportement de la souris et du clavier, d’améliorer les réglages d’affichage et d’ajuster le son ou la synthèse vocale pour les utilisateurs ayant des besoins particuliers Volet des préférences Ce que vous pouvez gérer F0170.book Page 158 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 159 Remarque : lorsque vous gérez les préférences d’un utilisateur, d’un groupe ou d’un ordinateur, une icône en forme de flèche apparaît en regard de la préférence gérée dans le panneau Préférences, afin d’indiquer l’état de gestion. Vous pouvez sélectionner plusieurs utilisateurs, groupes ou ordinateurs afin d’examiner leurs préférences gérées. Si l’icône de flèche est estompée, les réglages de préférences gérées sont mélangés pour les éléments sélectionnés. À propos de la mémoire cache des préférences La mémoire cache des préférences enregistre les préférences de la liste d’ordinateurs à laquelle appartient l’ordinateur concerné, les préférences des groupes associés à cet ordinateur et les préférences des utilisateurs qui ont récemment ouvert une session sur cet ordinateur. La mémoire cache est utilisée par les utilisateurs réseau mais également par les groupes de travail des comptes mobiles. Les préférences enregistrées peuvent influencer le mode de gestion hors connexion d’un utilisateur et l’emploi de la mémoire cache des préférences peut améliorer les performances. Les préférences en mémoire cache peuvent vous aider à gérer les comptes d’utilisateur locaux sur ordinateurs portables même s’ils ne sont pas connectés à un réseau. Vous pouvez par exemple créer une liste d’ordinateurs à gérer, puis gérer les préférences de la liste d’ordinateurs. Rendez ensuite ces ordinateurs disponibles aux groupes et gérez les préférences des groupes. Enfin, configurez des comptes d’utilisateur locaux sur les ordinateurs. Si un utilisateur décide de travailler hors ligne ou se déconnecte du réseau, il continue d’être géré par les préférences de l’ordinateur et du groupe en mémoire cache. Si vous effectuez une modification qui affecte les informations en cache d’un compte, le Gestionnaire de groupe de travail place un indicateur dans Open Directory pour signaler cette modification. Dès qu’un utilisateur ouvre une session, le client est automatiquement mis à jour. Remarque : la mémoire cache des préférences est automatiquement actualisée si vous modifiez un réglage de compte ou de préférence. Les nouvelles préférences prennent effet lors de l’ouverture ou de la fermeture de session suivante de l’utilisateur. Si ce dernier a déjà ouvert une session mais ne se trouve pas sur le réseau, il doit fermer la session puis l’ouvrir à nouveau afin de mettre à jour la mémoire cache des préférences. Mises à jour régulières de la mémoire cache des préférences gérées Vous pouvez régulièrement mettre à jour la mémoire cache des préférences gérées d’un ordinateur. L’ordinateur contrôle, sur le serveur, les préférences mises à jour en fonction du calendrier que vous avez défini. La mémoire cache est également mise à jour automatiquement chaque fois qu’un changement est apporté à l’une des préférences gérées dans le Gestionnaire de groupe de travail. Si vous gérez des services de répertoires à l’aide d’un autre outil, vous pouvez toujours utiliser le Gestionnaire de groupe de travail pour actualiser la mémoire cache à intervalle régulier. F0170.book Page 159 Monday, May 2, 2005 12:37 PM160 Chapitre 9 Gestion des préférences Pour définir une fréquence de mise à jour de la mémoire cache des préférences gérées : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Cliquez sur le bouton Listes d’ordinateurs et sélectionnez une ou plusieurs listes d’ordinateurs. 4 Cliquez sur Cache. 5 Entrez un chiffre correspondant à la fréquence à laquelle vous souhaitez mettre à jour la mémoire cache, puis choisissez une unité de mise à jour (secondes, minutes, heures, jours ou semaines) à partir du menu local. Par exemple, vous pouvez opter pour une mise à jour tous les 5 jours. 6 Cliquez sur Enregistrer. Remarque : si vous réglez la mise à jour sur “0”, la mémoire cache est désactivée. N’oubliez pas que sans mémoire cache, les préférences gérées ne fonctionnent pas si l’ordinateur est déconnecté du réseau. Mise à jour manuelle de la mémoire cache des préférences Le cas échéant, vous pouvez mettre à jour manuellement la mémoire cache des préférences gérées de chaque ordinateur d’une liste d’ordinateurs donnée. Pour mettre à jour la mémoire cache des préférences gérées : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Cliquez sur le bouton Listes d’ordinateurs et sélectionnez une ou plusieurs listes d’ordinateurs. 4 Cliquez sur la sous-fenêtre Accès et vérifiez (ou ajoutez) les informations demandées. 5 Cliquez sur Cache, sur Mettre à jour le cache, puis sur Enregistrer. Vous pouvez également effectuer la mise à jour directement sur l’ordinateur client. Maintenez la touche Option enfoncée lorsque vous ouvrez une session sur l’ordinateur client (à l’aide d’un nom et d’un mot de passe d’administrateur local), puis cliquez sur Rafraîchir les préférences dans la zone de dialogue affichée. Remarque : si vous exécutez cette action alors que l’ordinateur est déconnecté du réseau, la mémoire cache des préférences est supprimée et l’ordinateur n’est plus géré. F0170.book Page 160 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 161 Gestion des préférences d’utilisateur Vous pouvez gérer les préférences d’utilisateurs individuels selon leurs besoins. Toutefois, si vous disposez d’un grand nombre d’utilisateurs, il peut s’avérer plus efficace de gérer la majorité des préférences par groupe et par ordinateur. Vous réserverez alors la gestion des préférences au niveau de l’utilisateur à des cas spécifiques, tels que pour les administrateurs de domaine de répertoire, les professeurs ou le personnel technique. Il est conseillé de déterminer les préférences dont vous souhaitez laisser le contrôle à l’utilisateur. Si, par exemple, le choix de l’emplacement du Dock de l’utilisateur vous est égal, réglez la gestion de l’affichage du Dock sur Jamais ou sur Une fois. Pour gérer les préférences d’utilisateur : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Cliquez sur le bouton Utilisateurs et sélectionnez un ou plusieurs comptes d’utilisateur dans la liste. 4 Cliquez sur l’icône de la préférence que vous souhaitez gérer. 5 Dans chaque sous-fenêtre de préférence, choisissez un réglage de gestion. Dans certains cas (Impression et Accès aux supports, par exemple), le réglage de gestion est appliqué à toutes les préférences plutôt qu’à certaines sous-fenêtres de préférence uniquement. 6 Sélectionnez des réglages de préférence ou saisissez les informations à utiliser. Certains réglages de gestion ne sont pas disponibles pour préférences données, tout comme certaines préférences ne sont pas disponibles pour des types de comptes. 7 Une fois que vous avez terminé, cliquez sur Appliquer. Gestion des préférences de groupes Les préférences d’un groupe sont partagées par tous les utilisateurs de ce groupe. La définition des préférences au niveau du groupe plutôt que pour chaque utilisateur permet de gagner du temps, notamment si vous disposez d’un nombre important d’utilisateurs gérés. Les utilisateurs pouvant sélectionner un groupe de travail lorsqu’ils se connectent, ils peuvent choisir un groupe doté de réglages gérés approprié à la tâche en cours, à l’emplacement ou à l’environnement utilisé. Il peut s’avérer plus judicieux de définir les préférences une seule fois pour un groupe unique plutôt que de définir des préférences pour chaque membre du groupe, au cas par cas. F0170.book Page 161 Monday, May 2, 2005 12:37 PM162 Chapitre 9 Gestion des préférences Pour gérer les préférences de groupe : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Cliquez sur le bouton Groupes et sélectionnez un ou plusieurs comptes de groupe dans la liste. 4 Cliquez sur l’icône de la préférence que vous souhaitez gérer. 5 Dans chaque sous-fenêtre de préférence, choisissez un réglage de gestion. Dans certains cas (Impression et Accès aux supports, par exemple), le réglage de gestion est appliqué à toutes les préférences plutôt qu’à certaines sous-fenêtres de préférence uniquement. 6 Sélectionnez des réglages de préférence ou saisissez les informations à utiliser. Certains réglages de gestion ne sont pas disponibles pour préférences données, tout comme certaines préférences ne sont pas disponibles pour des types de comptes. 7 Cliquez sur Appliquer. Gestion des préférences d’ordinateurs Les préférences d’ordinateurs sont partagées par tous les ordinateurs d’une liste. Dans certains cas, il peut s’avérer plus utile de gérer des préférences pour des ordinateurs plutôt que pour des utilisateurs ou des groupes. Pour gérer les préférences d’ordinateurs : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Cliquez sur le bouton Listes d’ordinateurs et sélectionnez une ou plusieurs listes d’ordinateurs. Si vous effectuez le réglage des préférences pour le compte Ordinateurs hôtes, vous devez sélectionner le bouton Définir les préférences des ordinateurs hôtes. 4 Cliquez sur l’icône de la préférence que vous souhaitez gérer. 5 Dans chaque sous-fenêtre de cette préférence, choisissez un réglage de gestion. Dans certains cas (Impression et Accès aux supports, par exemple), le réglage de gestion est appliqué à toutes les préférences plutôt qu’à certaines sous-fenêtres de préférence uniquement. F0170.book Page 162 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 163 6 Sélectionnez les réglages des préférences ou entrez les informations que vous souhaitez utiliser. Certains réglages de gestion ne sont pas disponibles pour préférences données, tout comme certaines préférences ne sont pas disponibles pour des types de comptes. 7 Cliquez sur Appliquer. Modification des préférences de plusieurs enregistrements Vous pouvez modifier simultanément les préférences de plusieurs comptes d’utilisateur, comptes de groupe ou listes d’ordinateur. Si certains réglages diffèrent entre plusieurs comptes, une réglette “d’état mixte”, un bouton radio, une case à cocher, un champ texte ou encore une liste peut apparaître. Pour les réglettes, les boutons radio et les cases à cocher, un tiret indique que les réglages ne sont pas identiques pour l’ensemble des comptes sélectionnés. Pour les champs de texte, le terme “Varié” indique un état mixte. Les listes affichent une combinaison d’éléments pour l’ensemble des comptes sélectionnés. Si vous procédez à un réglage mixte, le nouveau réglage sélectionné s’applique à chaque compte. Par exemple, vous sélectionnez trois comptes de groupe dont les réglages de taille du Dock diffèrent. Lorsque vous examinez la sous-fenêtre des préférences de l’affichage du Dock pour ces trois comptes, le curseur de la taille du Dock est centré et comporte un tiret. Si vous déplacez le curseur de la taille du Dock pour l’agrandir, tous les comptes sélectionnés seront dotés de Docks de grande taille. Désactivation de la gestion de préférences spécifiques Après avoir configuré les préférences gérées d’un compte, vous pouvez désactiver la gestion de sous-fenêtres de préférences spécifiques en choisissant Jamais. Remarque : les réglages Une fois et Souvent conservent la dernière valeur appliquée sur l’ordinateur client. Pour désactiver la gestion des préférences au cas par cas : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur l’icône d’une préférence en cours de gestion. F0170.book Page 163 Monday, May 2, 2005 12:37 PM164 Chapitre 9 Gestion des préférences 5 Cliquez sur un bouton pour afficher la sous-fenêtre contenant les réglages de préférence que vous ne souhaitez plus gérer. Dans certains cas (Impression et Accès aux supports, par exemple), vous pouvez ignorer cette étape car les réglages de gestion sont appliqués à toutes les sous-fenêtres de préférence. 6 Sélectionnez Jamais. 7 Cliquez sur Appliquer. Remarque : si les préférences sont gérées à un niveau de hiérarchie plus élevé, le réglage de la gestion sur Jamais n’entraîne pas forcément des préférences non gérées. Lorsque vous changez les réglages de gestion des préférences, le nouveau réglage s’applique à l’ensemble des éléments figurant dans la sous-fenêtre des préférences actif. Pour désactiver totalement la gestion d’une préférence individuelle (comme celle du Dock par exemple), assurez-vous qu’elle est réglée sur Jamais dans chaque sous-fenêtre de cette préférence. Gestion de l’accès aux applications Les réglages du panneau Applications vous permettent d’offrir aux utilisateurs l’accès aux applications. Vous pouvez créer des listes d’applications “approuvées” que les utilisateurs ont le droit d’ouvrir et autoriser ces derniers à ouvrir des éléments sur les volumes locaux. Vous pouvez également empêcher les applications d’ouvrir certaines applications interdites. Remarque : les applications sont identifiées par leur identifiant de groupe (bundle). Comme il est possible pour un utilisateur de modifier cet identifiant afin de contourner l’interdiction d’accès, cette interdiction doit être considérée comme une politique plutôt qu’une barrière infranchissable. Création d’une liste d’applications accessibles pour les utilisateurs Il existe deux méthodes pour contrôler l’accès d’un utilisateur aux applications. Vous pouvez soit fournir l’accès à un ensemble d’applications “approuvées” que les utilisateurs sont autorisés à ouvrir, soit interdire l’accès à des applications “non approuvées”. Si vous créez une liste d’applications approuvées, les utilisateurs peuvent uniquement ouvrir les applications de cette liste. (Vous pouvez toutefois autoriser les applications à ouvrir des utilitaires qui ne figurent pas sur la liste.) Si vous créez une liste d’applications non approuvées, les utilisateurs peuvent ouvrir toutes les applications qui ne figurent pas dans la liste. F0170.book Page 164 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 165 Pour établir la liste des applications accessibles : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Applications. 5 Définissez le réglage de gestion sur Toujours. 6 Sélectionnez “L’utilisateur ne peut ouvrir que ces applications” ou “L’utilisateur peut ouvrir toutes les applications à l’exception de celles-ci”. 7 Ajoutez et supprimez des éléments dans la liste. Pour rechercher une application, cliquez sur Ajouter. Pour sélectionner plusieurs éléments, maintenez la touche Commande enfoncée. 8 Une fois la liste des applications créée, cliquez sur Appliquer. Interdiction aux utilisateurs d’accéder à des applications situées sur des volumes locaux Lorsque les utilisateurs ont accès à des volumes locaux, ils sont également en mesure d’accéder non seulement aux applications situées sur le disque dur local de l’ordinateur, mais également aux applications approuvées sur des CD, des DVD ou d’autres disques externes. Si vous souhaitez interdire ce type d’accès, vous pouvez désactiver l’accès au volume local. Pour empêcher l’accès aux applications locales : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Applications. 5 Définissez le réglage de gestion sur Toujours. 6 Désélectionnez l’option “L’utilisateur peut également ouvrir les applications sur des volumes locaux”. 7 Cliquez sur Appliquer. F0170.book Page 165 Monday, May 2, 2005 12:37 PM166 Chapitre 9 Gestion des préférences Gestion de l’accès aux utilitaires Certaines applications utilisent parfois des utilitaires qui effectuent certaines tâches à leur place. Par exemple, si un utilisateur tente d’ouvrir un lien Web contenu dans un message électronique, l’application de messagerie peut faire appel à un navigateur Web pour afficher la page visée par ce lien. Lorsque vous autorisez des utilisateurs, des groupes ou des listes d’ordinateurs à accéder à un ensemble d’applications, il est recommandé d’ajouter à la liste les utilitaires les plus courants. Si vous autorisez les utilisateurs à ouvrir une application de messagerie par exemple, il est utile d’ajouter également un navigateur Web, un logiciel permettant de lire des fichiers PDF et un visualiseur d’images pour éviter tout problème d’ouverture et de visualisation du contenu ou des pièces jointes des messages électroniques. Lorsque vous configurez une liste d’applications approuvées, vous pouvez choisir d’autoriser ces applications à faire appel à certains utilitaires ne figurant pas sur cette liste. Pour gérer l’accès aux utilitaires : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Applications. 5 Définissez le réglage de gestion sur Toujours. 6 Sélectionnez L’utilisateur ne peut ouvrir que ces applications. 7 Si vous n’avez pas encore créé de liste d’applications approuvées, faites-le (n’oubliez pas d’inclure les utilitaires). Pour rechercher une application, cliquez sur Ajouter. 8 Pour permettre l’accès aux utilitaires, sélectionnez “Autoriser les applications approuvées à lancer celles non approuvées”. 9 Cliquez sur Appliquer. F0170.book Page 166 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 167 Contrôle du fonctionnement des outils UNIX Il arrive que certaines applications, ou le système d’exploitation, requièrent l’utilisation d’outils tels que le convertisseur d’images QuickTime. Il n’est pas possible d’accéder directement à ces outils et ils fonctionnent généralement en arrière-plan, à l’insu de l’utilisateur. Vous pouvez toutefois les activer à l’aide d’une interface de ligne de commande telle que Terminal. Si vous choisissez de ne pas autoriser l’accès à ce type d’outils, certaines applications risquent de ne pas pouvoir fonctionner correctement. L’autorisation améliore la compatibilité entre applications et assure un fonctionnement efficace de ces dernières ; ne l’accordez pas si vous voulez maintenir un niveau de sécurité très élevé. Pour autoriser l’accès aux outils UNIX : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Applications. 5 Définissez le réglage de gestion sur Toujours. 6 Sélectionnez Permettre aux outils Unix de s’exécuter. 7 Cliquez sur Appliquer. Gestion des préférences de Classic Les préférences Classic permettent de définir les options de démarrage de l’environnement Classic, d’en sélectionner le Dossier Système, d’en définir les options de suspension d’activité et de mettre certains éléments du menu Pomme à la disposition des utilisateurs. Le tableau ci-dessous décrit la fonction des réglages du panneau Classic. Panneau des préférences Classic Ce que vous pouvez contrôler Démarrage Le dossier système Classic et les actions au démarrage de Classic Avancé Les éléments du menu Apple, les réglages de suspension de l’activité de Classic et la possibilité pour l’utilisateur de désactiver les extensions ou de reconstruire le fichier du bureau Classic lors du démarrage F0170.book Page 167 Monday, May 2, 2005 12:37 PM168 Chapitre 9 Gestion des préférences Sélection des options de démarrage de Classic Le Gestionnaire de groupe de travail offre plusieurs méthodes pour contrôler le mode et le moment du démarrage de l’environnement Classic. Si les utilisateurs ont souvent besoin de travailler avec des applications fonctionnant avec Classic, il peut s’avérer opportun de programmer le démarrage immédiat de Classic lorsqu’ils se connectent. Si vos utilisateurs n’ont que rarement recours à Classic, vous pouvez faire en sorte que le démarrage de Classic ne se produise que lorsqu’un utilisateur ouvre une application Classic ou un document qui nécessite ce type d’application. Vous pouvez également choisir d’afficher un message signalant le démarrage de Classic et donnant aux utilisateurs la possibilité d’annuler ce démarrage. Pour utiliser les différentes options de démarrage de Classic : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Classic. 5 Cliquez sur Démarrage. 6 Définissez le réglage de gestion sur Toujours. 7 Sélectionnez Démarrer Classic à l’ouverture de session sur cet ordinateur pour démarrer Classic dès qu’un utilisateur ouvre sa session. Lorsque Classic démarre à l’ouverture de session, la fenêtre de démarrage est masquée et l’utilisateur ne peut pas annuler l’opération. Si vos utilisateurs n’ont que rarement recours à Classic, vous pouvez désélectionner cette option afin que Classic ne démarre automatiquement que si un utilisateur ouvre une application ou un document nécessitant cet environnement. Dans ce cas, la fenêtre de démarrage Classic sera visible pour les utilisateurs et ils pourront annuler l’opération. 8 Sélectionnez Avertir au démarrage de Classic pour afficher un message signalant le démarrage de Classic si ce dernier est lancé uniquement lorsqu’un utilisateur tente d’ouvrir une application ou un document Classic. Les utilisateurs peuvent choisir soit de laisser le démarrage de Classic se poursuivre, soit d’annuler la procédure. Désélectionnez cette option si vous ne souhaitez pas que les utilisateurs puissent interrompre le démarrage de Classic. 9 Cliquez sur Appliquer. F0170.book Page 168 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 169 Choix d’un dossier Système Classic Il n’existe le plus souvent qu’un seul Dossier Système Mac OS 9 par ordinateur qui se trouve sur le disque de démarrage Mac OS X. Il n’est donc pas nécessaire de spécifier un Dossier Système Classic. Si un ordinateur possède plusieurs dossiers Système Mac OS 9 sur le disque de démarrage et que vous n’avez pas défini un chemin d’accès spécifique vers l’un de ces dossiers, les utilisateurs verront apparaître un message d’erreur et ne pourront pas utiliser Classic. S’il existe plusieurs dossiers Système Mac OS 9 sur le disque de démarrage d’un ordinateur ou si vous souhaitez utiliser un Dossier Système Mac OS 9 qui se trouve sur un autre disque, vous devez désigner un dossier spécifique à utiliser lorsque Classic est en service. Il est important de spécifier un chemin d’accès au Dossier Système Mac OS 9, lequel doit se trouver au même emplacement relatif sur les disques durs de tous les clients. Si plusieurs dossiers Système Mac OS 9 sont disponibles et que vous n’avez défini aucun réglage dans le panneau Démarrage des préférences Classic, les utilisateurs peuvent choisir parmi les dossiers Système Mac OS 9 disponibles s’ils ont accès aux Préférences Système Classic. Pour choisir un Dossier Système de Classic spécifique : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Classic. 5 Cliquez sur Démarrage. 6 Définissez le réglage de gestion sur Toujours. 7 Saisissez le chemin d’accès au dossier Système Classic que vous souhaitez utiliser, tel que :/Volumes//dossier Système/ ou cliquez sur Choisir pour rechercher le dossier souhaité. Assurez-vous que le chemin d’accès au Dossier Système Classic sur l’ordinateur client est identique au chemin du Dossier Système Classic sur l’ordinateur administrateur. 8 Cliquez sur Appliquer. F0170.book Page 169 Monday, May 2, 2005 12:37 PM170 Chapitre 9 Gestion des préférences Autorisations d’actions spéciales au démarrage Si des utilisateurs gérés ont accès aux Préférences Système Classic, ils peuvent cliquer sur le bouton Démarrer/Redémarrer du panneau Classic pour démarrer ou redémarrer l’environnement Classic. Vous pouvez autoriser les utilisateurs à effectuer des actions spéciales, notamment désactiver des extensions ou reconstruire le fichier du bureau Classic, lorsqu’ils démarrent ou redémarrent Classic à partir de la sous-fenêtre Avancé des Préférences Système Classic. Il est recommandé de n’accorder ces autorisations qu’à certains utilisateurs, comme les membres de votre équipe technique. Pour autoriser des actions spéciales lors du démarrage : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Classic. 5 Cliquez sur Avancé. 6 Définissez le réglage de gestion sur Toujours. 7 Sélectionnez Autoriser modes de démarrage spéciaux. 8 Sélectionnez “Autoriser l’utilisateur à reconstruire le Bureau” pour permettre aux utilisateurs de reconstruire le fichier du bureau Classic. La désactivation de cette option a pour effet d’estomper le bouton Reconstruire le Bureau qui se trouve dans la sous-fenêtre Avancé des Préférences Système Classic. 9 Cliquez sur Appliquer. Contrôle de l’accès aux éléments du menu Pomme de l’environnement Classic Les options de préférences gérées de Classic permettent de contrôler l’accès à certains éléments du menu Pomme de Classic, y compris les tableaux de bord Mac OS 9, le Sélecteur et l’Explorateur réseau. Vous pouvez choisir d’afficher ou de masquer la totalité, certains ou aucun de ces éléments dans le menu Pomme. Les utilisateurs ne peuvent accéder aux éléments masqués à partir du menu Pomme, mais il existe des solutions alternatives telles que lancer le Sélecteur via le Dossier Système Mac OS 9. Pour restreindre davantage l’accès des utilisateurs à ces éléments, vous pouvez utiliser les préférences Applications du Gestionnaire de groupe de travail et déterminer les applications que les utilisateurs peuvent ou ne peuvent pas ouvrir. Pour plus d’informations, consultez la section “Gestion de l’accès aux applications” à la page 164. F0170.book Page 170 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 171 Remarque : interdire l’accès au Sélecteur risque d’affecter ce qui se passe lorsqu’un utilisateur tente d’imprimer à partir de l’environnement Classic si la gestion de l’impression est également en vigueur. Si les utilisateurs ne peuvent pas accéder au Sélecteur, il leur est impossible de configurer de nouvelles imprimantes ou de changer de type d’imprimante (passer d’une imprimante postscript à une non postscript par exemple). Pour masquer ou afficher des éléments du menu Pomme : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Classic. 5 Cliquez sur Avancé, puis définissez les réglages de gestion sur Toujours. 6 Sélectionnez Masquer Tableaux de bord pour supprimer cet élément du menu Pomme. Désélectionnez cette option pour afficher cet élément 7 Sélectionnez Masquer le Sélecteur et l’Explorateur réseau pour supprimer ces deux éléments du menu Pomme. Désélectionnez cette option pour afficher ces éléments. 8 Sélectionnez Masquer autres éléments du menu Apple pour masquer le reste des éléments du menu Pomme. Ce groupe comprend des éléments comme la calculatrice, les touches et les applications récentes. Désélectionnez cette option pour afficher ces éléments du menu Pomme. 9 Cliquez sur Appliquer. Réglage des paramètres de suspension d’activité de Classic Lorsqu’aucune application Classic n’est ouverte, Classic suspend son activité afin de réduire l’utilisation des ressources du système. Vous pouvez régler la durée du délai qui s’écoule entre la fermeture de la dernière application Classic utilisée et la suspension d’activité de l’environnement Classic. Lorsque l’activité de Classic est suspendue, l’ouverture d’une application Classic peut prendre un peu plus de temps. Vous pouvez être amené, dans certaines situations, à utiliser des applications qui fonctionnent à l’arrière-plan, à l’insu de l’utilisateur ou sans interaction avec ce dernier. Si une application est utilisée à l’arrière-plan au moment où l’environnement Classic passe en mode de suspension d’activité, cette application suspendra également son activité. Pour permettre à cette application de fonctionner sans interruption, vous pouvez régler l’option de suspension d’activité de Classic sur Jamais. F0170.book Page 171 Monday, May 2, 2005 12:37 PM172 Chapitre 9 Gestion des préférences Pour procéder aux réglages de suspension d’activité de Classic : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Classic. 5 Cliquez sur Avancé, puis définissez les réglages de gestion sur Toujours. 6 À l’aide de la réglette, définissez la durée avant laquelle Classic passe en veille. Si vous ne souhaitez pas que Classic suspende son activité, glissez le curseur sur Jamais. 7 Cliquez sur Appliquer. Maintien de la cohérence des préférences d’utilisateurs pour l’environnement Classic Classic recherche généralement les données de préférences Mac OS 9 d’un utilisateur particulier dans le Dossier Système Mac OS 9. Si un utilisateur se sert de plusieurs ordinateurs ou si divers utilisateurs travaillent sur le même ordinateur, vous devez vous assurer que Classic utilise les préférences qui se trouvent dans le dossier de départ situé dans ~/Bibliothèque/Classic, afin que chaque utilisateur dispose de ses propres préférences. Si vous choisissez de ne pas utiliser les préférences du dossier de départ personnel de l’utilisateur, sachez que les données Mac OS 9 d’un utilisateur sont enregistrées dans le Dossier Système Mac OS 9 et sont mélangées aux autres données d’utilisateurs. Les utilisateurs disposent par conséquent de préférences partagées et toute modification effectuée par le dernier utilisateur sera appliquée à la connexion de l’utilisateur suivant. Pour choisir l’emplacement de stockage des préférences d’utilisateurs de l’environnement Classic : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Classic. 5 Cliquez sur Avancé, puis définissez les réglages de gestion sur Toujours. F0170.book Page 172 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 173 6 Sélectionnez Utiliser les préférences du dossier de départ pour maintenir des préférences Classic individuelles pour chaque utilisateur. Désélectionnez cette option pour utiliser le dossier Système Mac OS 9 local pour toutes les préférences d’utilisateurs Classic. 7 Cliquez sur Appliquer. Gestion des préférences du Dock Les réglages du Dock permettent de définir le comportement du Dock et de spécifier les éléments devant y apparaître. Le tableau ci-dessous décrit la fonction des réglages du panneau Dock. Contrôle du Dock de l’utilisateur Les réglages du Dock permettent de configurer la position du Dock sur le bureau et de modifier la taille du Dock. Vous pouvez également contrôler les animations du Dock. Pour définir l’apparence et le comportement du Dock : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Dock. 5 Cliquez sur Affichage du Dock. 6 Sélectionnez un réglage de gestion (Une seule fois ou Toujours). 7 Glissez le curseur Taille du Dock afin d’agrandir ou de réduire le Dock. 8 Si vous souhaitez que les éléments du Dock soient agrandis lorsque l’utilisateur place le pointeur dessus, cochez la case Agrandissement, puis positionnez le curseur. L’agrandissement présente de l’intérêt lorsque le Dock comprend de nombreux éléments. 9 Si vous ne souhaitez pas que le Dock soit visible en permanence, sélectionnez Masquage/affichage automatique. Le Dock apparaît alors automatiquement lorsque l’utilisateur place le pointeur sur le bord de l’écran où est situé le Dock. 10 Choisissez de placer le Dock à gauche, à droite ou en bas du bureau. Panneau des préférences du Dock Ce que vous pouvez contrôler Éléments du Dock Les éléments et leur emplacement dans le Dock d’un utilisateur Affichage du Dock L’emplacement et le comportement du Dock F0170.book Page 173 Monday, May 2, 2005 12:37 PM174 Chapitre 9 Gestion des préférences 11 Sélectionnez un effet à appliquer lors du masquage du Dock. 12 Pour ne pas utiliser d’icônes animées dans le Dock à l’ouverture d’une application, désélectionnez Animation à l’ouverture des applications. 13 Cliquez sur Appliquer. Accès aisé aux dossiers de groupes Après avoir configuré un volume de groupe, vous pouvez simplifier l’accès des utilisateurs au répertoire du groupe en plaçant un alias dans leur Dock. Le répertoire du groupe contient le dossier Bibliothèque, le dossier Documents et le dossier Public (incluant une boîte de dépôt) du groupe. Pour obtenir de l’aide sur la configuration d’un point de partage de groupe, lisez la section “Travail avec les réglages du dossier de groupe” à la page 108. Si le répertoire du groupe n’est pas disponible lorsque l’utilisateur clique sur l’icône du dossier de groupe, l’utilisateur doit fournir un nom et un mot de passe pour se connecter au serveur et ouvrir le répertoire. Remarque : ce réglage de préférence ne s’applique qu’aux groupes. Vous ne pouvez pas gérer ce réglage pour les utilisateurs ou les ordinateurs. Pour ajouter un élément du Dock au répertoire de groupe : 1 Si vous n’avez pas encore configuré un point de partage pour le groupe, faites-le avant de continuer. 2 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 3 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 4 Cliquez sur le bouton Groupes et sélectionnez un ou plusieurs comptes de groupe dans la liste. 5 Cliquez sur Dock. 6 Cliquez sur Éléments du Dock. 7 Sélectionnez un réglage de gestion (Une seule fois ou Toujours). Si vous sélectionnez Une fois, l’icône du dossier de groupe apparaît initialement dans le Dock de l’utilisateur, mais ce dernier ne pourra pas la supprimer. 8 Sélectionnez Ajouter un dossier de groupe. 9 Cliquez sur Appliquer. Si vous changez l’emplacement du point de partage du groupe, veillez à utiliser le Gestionnaire de groupe de travail pour mettre à jour l’élément de Dock correspondant pour le groupe. F0170.book Page 174 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 175 Ajout d’éléments au Dock d’un utilisateur Vous pouvez ajouter des applications, des dossiers ou des documents au Dock d’un utilisateur pour en faciliter l’accès. Pour ajouter des éléments au Dock : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Dock. 5 Cliquez sur Éléments du Dock. 6 Sélectionnez un réglage de gestion (Une seule fois ou Toujours). 7 Pour ajouter des applications, des dossiers normaux et des documents au Dock, cliquez sur Ajouter, afin de naviguer et sélectionner l’élément souhaité. Pour supprimer un élément du Dock, sélectionnez-le, puis cliquez sur Supprimer. Vous pouvez réordonner les éléments du Dock qui se trouvent dans la liste en les glissant dans l’ordre d’apparition souhaité. Les applications sont toujours rassemblées d’un côté du Dock, les fichiers et dossiers se trouvant de l’autre côté. 8 Sélectionnez Mes applications, Documents ou Départ du réseau pour ajouter un ou plusieurs de ces éléments au Dock de l’utilisateur. Le dossier Mes applications contient les alias des applications disponibles. Le dossier Documents correspond au dossier Documents qui se trouve dans le répertoire de départ de l’utilisateur. Le dossier de départ réseau est le répertoire de départ de l’utilisateur du compte mobile hébergé sur le serveur. 9 Une fois l’ajout d’éléments du Dock terminé, cliquez sur Appliquer. Interdiction aux utilisateurs d’ajouter ou de supprimer des éléments au Dock Les utilisateurs peuvent habituellement ajouter des éléments à leur propre Dock, mais il est possible de les en empêcher. Si Toujours (Gérer ces réglages) est sélectionné, ils ne pourront pas supprimer les éléments que vous ajoutez au Dock. Pour empêcher les utilisateurs d’ajouter des éléments à leur Dock : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. F0170.book Page 175 Monday, May 2, 2005 12:37 PM176 Chapitre 9 Gestion des préférences Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Dock. 5 Cliquez sur Éléments du Dock, puis définissez les réglages de gestion sur Toujours. 6 Désélectionnez L’utilisateur peut ajouter ou supprimer des éléments du Dock. 7 Cliquez sur Appliquer. Gestion des préférences de l’Économiseur d’énergie Les réglages des préférences de l’Économiseur d’énergie vous aide à économiser l’énergie et la batterie en gérant le moment de la suspension d’activité, de la réactivation et du redémarrage des serveurs et des ordinateurs clients. Le tableau ci-dessous résume ce que vous pouvez contrôler à l’aide des réglages de chaque sous-fenêtre de l’Économiseur d’énergie. Utilisation des réglages de suspension d’activité et de réactivation pour les ordinateurs de bureau La suspension de l’activité d’un ordinateur permet d’économiser l’énergie car elle provoque l’extinction de l’écran et l’arrêt du disque dur. La réactivation d’un ordinateur après une suspension d’activité est un processus plus rapide que le démarrage. Vous pouvez utiliser les réglages des préférences de l’Économiseur d’énergie du Gestionnaire de groupe de travail pour suspendre automatiquement l’activité des ordinateurs après une période d’inactivité spécifiée. D’autres réglages vous permettent de réactiver ou de redémarrer l’ordinateur lorsque certains événements se produisent. Panneau des préférences Économiseur d’énergie Ce que vous pouvez contrôler Bureau La suspension de l’activité de l’ordinateur, de l’écran et du ou des disques durs, ainsi que les options de réactivation et de redémarrage de Mac OS X et de Mac OS X Server Portable Le réglage des performances du processeur, la suspension d’activité similaire à celle d’un ordinateur de bureau, ainsi que les options de réactivation et de redémarrage des sources d’alimentation Adaptateur et Batterie Menu Batterie L’affichage à l’écran d’un indicateur d’état de la batterie Planification La planification quotidienne du démarrage, de l’extinction ou de la suspension de l’activité F0170.book Page 176 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 177 Pour définir des réglages de suspension d’activité et de réactivation : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Économiseur d’énergie. 5 Cliquez sur Bureau. 6 Choisissez soit Mac OS X, soit Mac OS X Server dans le menu local OS, puis réglez la gestion sur Toujours. 7 Pour définir les réglages de suspension d’activité, choisissez Veille dans le menu local Réglages. Faites glisser le curseur pour définir le délai d’attente précédant la suspension d’activité de l’ordinateur. Le réglage par défaut est 1 heure. L’ordinateur ne suspend pas son activité si le curseur est réglé sur Jamais. Si vous souhaitez fixer un délai différent pour l’écran de l’ordinateur, sélectionnez “Suspendre l’activité du moniteur si inactif depuis” et faites glisser le curseur. Le délai choisi ne peut être supérieur au délai adopté pour la suspension d’activité de l’ordinateur. Pour suspendre l’activité de l’ordinateur dès que vous ne l’utilisez plus, sélectionnez “Suspendre l’activité du ou des disques durs dès que possible”. 8 Pour définir des réglages de suspension d’activité et de réactivation, choisissez Options dans le menu local Réglages. Pour réactiver l’ordinateur dès que le modem est activé, sélectionnez “Réactiver quand le modem détecte une sonnerie”. Pour réactiver l’ordinateur dès qu’un administrateur tente d’y accéder à distance, sélectionnez “Réactiver pour permettre l’accès à l’administrateur du réseau Ethernet”. Pour que l’ordinateur redémarre après une panne de courant, sélectionnez Redémarrer automatiquement après une panne de courant. Pour désactiver le redémarrage automatique, désélectionnez cette option. 9 Cliquez sur Appliquer. Pour réactiver manuellement un ordinateur ou un écran en veille, les utilisateurs peuvent cliquer sur le bouton de la souris ou appuyer sur une touche du clavier. F0170.book Page 177 Monday, May 2, 2005 12:37 PM178 Chapitre 9 Gestion des préférences Utilisation des réglages de l’Économiseur d’énergie pour les ordinateurs portables Les réglages d’économiseur d’énergie pour portable vous permettent de varier les conditions de suspension d’activité et de réactivation ainsi que les performances du processeur en fonction de la source d’alimentation utilisée par un ordinateur portable (adaptateur secteur ou batterie). Vous pouvez également faire redémarrer l’ordinateur automatiquement en cas de panne de courant soudaine. Encouragez les utilisateurs à se servir de l’adaptateur secteur de l’ordinateur dès que possible afin d’économiser la batterie. Pour gérer les réglages d’ordinateur portable : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Économiseur d’énergie. 5 Cliquez sur Portable. 6 Choisissez soit Adaptateur, soit Batterie dans le menu local Source d’alimentation, puis réglez la gestion sur Toujours. 7 Pour définir les réglages de suspension d’activité, choisissez Veille dans le menu local Réglages. Faites glisser le curseur pour définir le délai d’attente précédant la suspension d’activité de l’ordinateur. Le réglage par défaut est 1 heure. L’ordinateur ne suspend pas son activité si le curseur est réglé sur Jamais. Pour fixer un délai différent pour l’écran de l’ordinateur, sélectionnez “Suspendre l’activité du moniteur si inactif depuis” et faites glisser le curseur. Le délai choisi ne peut être supérieur à celui adopté pour la suspension d’activité de l’ordinateur. Pour mettre l’ordinateur en veille dès que vous ne l’utilisez plus, sélectionnez Suspendre l’activité du ou des disques durs dès que possible. 8 Pour définir des réglages de suspension d’activité, de réactivation et de performances du processeur, choisissez Options dans le menu local Réglages. Pour réactiver l’ordinateur dès que le modem est activé, sélectionnez “Réactiver quand le modem détecte une sonnerie”. Pour réactiver l’ordinateur dès qu’un administrateur tente d’y accéder à distance, sélectionnez “Réactiver pour permettre l’accès à l’administrateur du réseau Ethernet”. F0170.book Page 178 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 179 Pour que l’ordinateur redémarre après une panne de courant, sélectionnez Redémarrer automatiquement après une panne de courant. Pour désactiver le redémarrage automatique, désélectionnez cette option. Sélectionnez Maximale, Automatique ou Faible dans le menu local Performance du processeur. Le réglage recommandé pour les ordinateurs utilisant un adaptateur est Maximale. Pour les ordinateurs fonctionnant avec une batterie, il est recommandé d’adopter le réglage Automatique. 9 Cliquez sur Appliquer. Pour réactiver manuellement un ordinateur ou un écran en veille, les utilisateurs peuvent cliquer sur le bouton de la souris ou appuyer sur une touche du clavier. Affichage de l’état de la batterie pour les utilisateurs Les ordinateurs portables utilisent une batterie comme source d’énergie directe ou de réserve lorsqu’ils ne sont pas connectés au secteur. L’ordinateur suspend automatiquement son activité pour économiser l’énergie dès que le niveau de charge de la batterie devient trop faible. Il suffit que l’utilisateur reconnecte l’ordinateur à une source d’alimentation directe (en insérant une batterie chargée ou en le connectant un adaptateur secteur) pour réactiver l’ordinateur et se remettre à travailler. Encouragez les utilisateurs à surveiller l’état de leur batterie lorsqu’ils utilisent leur ordinateur en déplacement et à utiliser un adaptateur secteur dès qu’ils en ont la possibilité afin de conserver une batterie totalement chargée. Pour afficher l’état de la batterie dans la barre des menus : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Économiseur d’énergie. 5 Cliquez sur Menu Batterie et définissez les réglages de gestion sur Toujours. 6 Sélectionnez Afficher l’état de la batterie dans la barre des menus pour afficher le menu de la batterie. Pour désactiver le menu de la batterie, désélectionnez cette option. 7 Cliquez sur Appliquer. F0170.book Page 179 Monday, May 2, 2005 12:37 PM180 Chapitre 9 Gestion des préférences Programmation du démarrage, de l’extinction ou de la suspension d’activité automatiques Vous pouvez choisir de suspendre l’activité des ordinateurs ou de les démarrer ou les éteindre à des moments spécifiques du jour ou de la semaine. La programmation de l’arrêt ou de la suspension d’activité peut vous aider à économiser l’énergie pendant des périodes prévues d’inactivité telles que le soir après la journée de travail, pendant les week-ends ou à la fin d’un cours. La programmation du démarrage automatique permet de préparer une classe ou un laboratoire afin que le travail puisse commencer immédiatement. Pour programmer des actions automatiques : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Économiseur d’énergie. 5 Cliquez sur Planification. 6 Choisissez soit Mac OS X, soit Mac OS X Server dans le menu local OS, puis réglez la gestion sur Toujours. 7 Pour programmer le démarrage automatique, sélectionnez Démarrer l’ordinateur, puis choisissez un jour ou une période (en semaine, le week-end ou tous les jours) dans le menu local. Tapez ensuite une heure dans le champ prévu à cet effet. Pour désactiver le démarrage programmé, désélectionnez cette option. 8 Pour programmer la suspension d’activité ou l’extinction automatique, cochez la case et choisissez Suspendre l’activité ou Éteindre dans le menu local. Choisissez ensuite un jour ou une période (en semaine, le week-end ou tous les jours) dans le menu local. Tapez ensuite une heure dans le champ prévu à cet effet. Pour désactiver la suspension d’activité ou l’arrêt programmé, désélectionnez cette option. 9 Cliquez sur Appliquer. F0170.book Page 180 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 181 Gestion des préférences du Finder Vous pouvez contrôler divers aspects des menus et des fenêtres du Finder. Le tableau ci-dessous résume ce que vous pouvez contrôler dans chaque sous-fenêtre des préférences du Finder. Configuration du Finder simplifié Vous pouvez sélectionner le Finder classique ou le Finder simplifié comme environnement d’utilisateur. La présentation et le comportement du Finder normal sont identiques à ceux du bureau Mac OS X standard. Le Finder simplifié offre une interface de navigation plus facile (les dossiers Documents et Mes applications, par exemple, sont affichés dans le Dock de l’utilisateur). Les Préférences Système permettent également de configurer le Finder simplifié sur un ordinateur client (localement). Si vous utilisez Gestionnaire de groupe de travail pour appliquer l’environnement Finder simplifié et que cette fonctionnalité n’est pas activée sur l’ordinateur local, seul le Finder du client est affecté ; les réglages de l’accès au Dock et aux applications doivent être gérés individuellement. Vous pouvez configurer le Finder simplifié sur l’ordinateur local et utiliser les fonctions de gestion du Dock et des applications du Gestionnaire de groupe de travail pour ajouter des éléments de Dock et des accès aux applications. Important : pour les ordinateurs clients utilisant Mac OS X version 10.2 à 10.2.8, n’activez pas le Finder simplifié pour les utilisateurs qui se connectent à un groupe de travail disposant de son propre dossier de groupe (répertoire). Ces utilisateurs ne peuvent pas utiliser d’application car le Finder simplifié empêche l’accès au répertoire de groupe. Panneau des préférences du Finder Ce que vous pouvez contrôler Préférences Le comportement de la fenêtre Finder, Le Finder simplifié, l’affichage d’éléments ouverts sur le bureau, l’affichage des extensions de nom de fichier et l’affichage du message de confirmation de la suppression du contenu de Corbeille Commandes Grâce aux commandes des menus du Finder et du menu Pomme, les utilisateurs peuvent, entre autres, se connecter aisément aux serveurs ou de redémarrer l’ordinateur. Dans certains cas, il peut être préférable de limiter l’accès des utilisateurs à ces commandes. Les réglages de la sous-fenêtre Commandes vous permettent de contrôler la disponibilité de certaines commandes pour les utilisateurs. Présentations Les présentations du Finder vous permettent de modifier la disposition et l’apparence des éléments qui se trouvent sur le bureau d’un utilisateur, dans les fenêtres du Finder et dans le répertoire du premier niveau de l’ordinateur. F0170.book Page 181 Monday, May 2, 2005 12:37 PM182 Chapitre 9 Gestion des préférences Pour activer le Finder simplifié : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Finder. 5 Cliquez sur Préférences, puis sélectionnez un réglage de gestion (Toujours). 6 Si vous sélectionnez Toujours, vous pouvez sélectionner soit “Utiliser le Finder normal”, soit “Utiliser le Finder simplifié” pour limiter l’accès à cet ordinateur. Si vous sélectionnez Une fois, seule l’option “Utiliser le Finder normal” est disponible. 7 Cliquez sur Appliquer. Masquage des disques et des serveurs sur le bureau de l’utilisateur En règle générale, lorsqu’un utilisateur insère un disque, l’icône de ce disque apparaît sur le bureau. Les icônes des disques durs locaux ou des partitions de disques ainsi que celles des volumes de serveurs montés apparaissent également sur le bureau. Si vous ne souhaitez pas que les utilisateurs voient ces éléments sur leur bureau, vous pouvez les masquer. Ces éléments continuent d’apparaître dans le répertoire du niveau supérieur lorsqu’un utilisateur clique sur l’icône Ordinateur figurant dans une barre d’outils du Finder. Pour masquer les icônes de disques et de serveurs sur le bureau : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Finder. 5 Cliquez sur Préférences, puis sélectionnez un réglage de gestion (Une fois ou Toujours). 6 Sous la mention Afficher ces éléments sur le bureau, sélectionnez les éléments que vous souhaitez masquer. 7 Cliquez sur Appliquer. F0170.book Page 182 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 183 Contrôle du comportement des fenêtres du Finder Vous pouvez sélectionner le répertoire à afficher lorsqu’un utilisateur ouvre une nouvelle fenêtre du Finder. Vous êtes également en mesure de définir le contenu devant s’afficher dans les dossiers à leur ouverture. Pour définir des préférences pour les fenêtres du Finder : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Finder. 5 Cliquez sur Préférences, puis sélectionnez un réglage de gestion (Une fois ou Toujours). 6 Sous La nouvelle fenêtre de Finder affiche, spécifiez les éléments à afficher. Sélectionnez Départ pour afficher les éléments du répertoire de départ de l’utilisateur. Sélectionnez Ordinateur pour afficher le répertoire du premier niveau, qui comprend les disques locaux et les volumes montés. 7 Sélectionnez Toujours ouvrir les dossiers dans une nouvelle fenêtre pour afficher le contenu d’un dossier dans une fenêtre séparée lorsqu’il est ouvert par l’utilisateur. Les utilisateurs Mac OS X peuvent normalement parcourir plusieurs dossiers à partir d’une seule fenêtre de Finder. 8 Sélectionnez Ouvrir les fenêtres en présentation par colonne pour une présentation cohérente de l’ensemble des fenêtres. 9 Cliquez sur Appliquer. Masquage du message d’alerte présenté lorsque l’utilisateur veut vider la corbeille Un message d’alerte s’affiche normalement lorsqu’un utilisateur veut vider la corbeille. Si vous ne voulez pas que ce message soit présenté aux utilisateurs, désactivez-le. Pour masquer le message d’avertissement de la corbeille : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Finder. F0170.book Page 183 Monday, May 2, 2005 12:37 PM184 Chapitre 9 Gestion des préférences 5 Cliquez sur Préférences, puis sélectionnez un réglage de gestion (Une fois ou Toujours). 6 Désélectionnez l’option Avertir avant de vider la corbeille. 7 Cliquez sur Appliquer. Affichage des extensions de nom de fichier Une extension de nom de fichier apparaît généralement à la fin d’un nom de fichier (par exemple “.txt” ou “.jpg”) Cette extension permet aux applications d’identifier le type de fichier concerné. Pour afficher les extensions de nom de fichier : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Finder. 5 Sélectionnez un réglage de gestion (Une seule fois ou Toujours). 6 Sélectionnez Toujours afficher les extensions de fichier. 7 Cliquez sur Appliquer. Contrôle de l’accès des utilisateurs aux serveurs distants Les utilisateurs peuvent se connecter à des serveurs distants en sélectionnant la commande Se connecter au serveur du menu Go du Finder, puis en saisissant le nom du serveur ou son adresse IP. Si vous ne souhaitez pas que les utilisateurs visualisent cet élément de menu, vous pouvez masquer la commande. Pour masquer la commande Se connecter au serveur : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Finder. 5 Cliquez sur Commandes, puis définissez les réglages de gestion sur Toujours. 6 Désélectionnez Se connecter au serveur. 7 Cliquez sur Appliquer. F0170.book Page 184 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 185 Contrôle de l’accès des utilisateurs à un iDisk Pour se connecter à un iDisk, les utilisateurs peuvent utiliser la commande Accès à l’iDisk dans le menu Go du Finder. Si vous ne souhaitez pas que les utilisateurs visualisent cet élément de menu, vous pouvez masquer la commande. Pour masquer la commande Accès à l’iDisk : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Finder. 5 Cliquez sur Commandes, puis définissez les réglages de gestion sur Toujours. 6 Désélectionnez Aller à l’iDisk. 7 Cliquez sur Appliquer. Mesures contre l’éjection de disques par les utilisateurs Si vous ne voulez pas que les utilisateurs puissent éjecter des disques (tels que les CD, DVD, disquettes ou disques FireWire), vous pouvez masquer la commande Éjecter du menu Fichier du Finder. Pour masquer la commande Éjecter : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Finder. 5 Cliquez sur Commandes, puis définissez les réglages de gestion sur Toujours. 6 Désélectionnez Éjecter. 7 Cliquez sur Appliquer. F0170.book Page 185 Monday, May 2, 2005 12:37 PM186 Chapitre 9 Gestion des préférences Masquage de la commande Graver le disque dans le Finder Les ordinateurs équipés du matériel adéquat permettent le gravage de disques (écriture d’informations sur des CD ou DVD inscriptibles). Si vous ne voulez pas que les utilisateurs bénéficient de cette possibilité, vous pouvez masquer la commande Graver le disque du menu Fichier du Finder. Pour masquer la commande Graver le disque : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Finder. 5 Cliquez sur Commandes, puis définissez les réglages de gestion sur Toujours. 6 Désélectionnez Graver le disque. 7 Cliquez sur Appliquer. Pour empêcher l’utilisation ou le gravage de CD ou DVD inscriptibles, utilisez les réglages des volets d’accès aux données. Seuls les ordinateurs équipés d’un graveur de CD-RW, d’une unité combinée ou d’un graveur Superdrive permettent de graver des CD. La commande de gravage de disques fonctionne uniquement avec des disques CD-R, CD-RW ou DVD-R. Seul un graveur Superdrive permet de graver des DVD. Contrôle de l’accès des utilisateurs aux dossiers Les utilisateurs peuvent ouvrir un dossier spécifique en sélectionnant la commande Aller au dossier du menu Go du Finder, puis en indiquant le chemin d’accès à ce dossier. Si vous ne souhaitez pas que les utilisateurs disposent de cette autorisation, vous pouvez masquer la commande. Pour masquer la commande Aller au dossier : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Finder. 5 Cliquez sur Commandes, puis définissez les réglages de gestion sur Toujours. F0170.book Page 186 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 187 6 Désélectionnez Aller au dossier. 7 Cliquez sur Appliquer. Suppression des commandes Redémarrer et Éteindre du menu Pomme Pour empêcher les utilisateurs de redémarrer ou d’éteindre leurs ordinateurs, vous pouvez supprimer les commandes Redémarrer et Éteindre du menu Pomme. Pour masquer les commandes Redémarrer et Éteindre : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Finder. 5 Cliquez sur Commandes, puis définissez les réglages de gestion sur Toujours. 6 Désélectionnez Redémarrer et Éteindre. 7 Cliquez sur Appliquer. Une mesure préventive supplémentaire consiste à utiliser les réglages de préférences d’ouverture de session pour rendre les boutons Redémarrer et Éteindre indisponibles (estompés) dans la fenêtre d’ouverture de session. Pour obtenir des instructions, consultez la section “Gestion des préférences d’ouverture de session” à la page 191. Réglage de l’apparence et de la disposition des éléments du bureau Les éléments situés sur le bureau d’un utilisateur se présentent sous forme d’icônes. Vous pouvez contrôler la taille et la disposition des icônes du bureau. Pour définir des préférences pour la présentation du bureau : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Finder. 5 Cliquez sur Présentations, puis sélectionnez un réglage de gestion (Une seule fois ou Toujours). Ce réglage s’applique aux options des trois modes de présentation. F0170.book Page 187 Monday, May 2, 2005 12:37 PM188 Chapitre 9 Gestion des préférences 6 Cliquez sur Bureau. 7 Réglez la taille d’icône à l’aide du curseur. 8 Pour maintenir les éléments alignés en rangs et en colonnes, sélectionnez Aligner sur la grille. Pour trier les éléments en fonction de critères tels que leur nom ou leur type (par exemple, tous les dossiers regroupés ensemble), sélectionnez Garder rangé par, puis choisissez une méthode dans le menu local. 9 Cliquez sur Appliquer. Réglage de l’apparence du contenu des fenêtres du Finder Les éléments des fenêtres de Finder peuvent être présentés par liste ou par icônes. Vous pouvez contrôler certains aspects de la présentation de ces éléments et décider d’afficher ou non la barre d’outils dans une fenêtre du Finder. Les réglages de Présentation par défaut permettent de contrôler l’apparence générale de toutes les fenêtres du Finder. Les réglages de présentation de l’ordinateur permettent de contrôler la présentation du répertoire du premier niveau de l’ordinateur, dans lequel sont affichés les disques durs et les partitions, les disques durs externes, les volumes montés et les supports amovibles tels que les CD ou les disquettes. Pour définir les préférences pour les présentations par défaut et de l’ordinateur : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Finder. 5 Cliquez sur Présentations, puis sélectionnez un réglage de gestion (Une seule fois ou Toujours). Ce réglage s’applique aux options des trois présentations. 6 Cliquez sur Par défaut. 7 Réglez la taille d’icône à l’aide du curseur. 8 Sélectionnez le type de disposition souhaité. Sélectionnez Aucune pour permettre aux utilisateurs de placer librement les icônes sur le bureau. Sélectionnez Aligner sur la grille, pour maintenir les éléments alignés en rangs et en colonnes. F0170.book Page 188 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 189 Sélectionnez Garder rangé pour choisir un mode de disposition dans le menu local. Vous pouvez ranger les éléments par leur nom, leur date de création ou de modification, leur taille ou leur type (vous pouvez, par exemple, regrouper tous les dossiers). 9 Procédez aux réglages de la présentation par liste pour la présentation par défaut. Si vous sélectionnez Utiliser les dates relatives, la date de création ou de modification d’un élément est indiquée par le terme “Aujourd’hui” et non par “3/24/05”, par exemple. Si vous sélectionnez Taille des dossiers, l’ordinateur calcule la taille totale de chaque dossier affiché dans une fenêtre du Finder. Cela risque de prendre beaucoup de temps pour les dossiers de très grande taille. Choisissez une taille pour les icônes de la liste. 10 Cliquez sur Ordinateur, puis procédez aux réglages de la présentation des icônes et de la présentation par liste pour la présentation de l’ordinateur. Les réglages disponibles sont similaires à ceux de la présentation par défaut décrite aux étapes 5 à 9. 11 Cliquez sur Appliquer. Gestion des préférences Internet Les préférences Internet vous permettent de définir les options de messagerie électronique et de navigateur Web. Il se peut que certains navigateurs Internet ou applications de messagerie ne gèrent pas ces réglages. Le tableau ci-dessous décrit la fonction de chacun des réglages du panneau Internet. Réglage des préférences de messagerie Les préférences de messagerie vous permettent de désigner une application de messagerie par défaut et de fournir les informations nécessaires pour votre adresse électronique, le serveur de courrier entrant et le serveur de courrier sortant. Remarque : il se peut que certaines applications de courrier électronique ignorent ces réglages. Pour définir des préférences de messagerie : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Sous-fenêtre des préférences Internet Ce que vous pouvez contrôler Message électronique l’application de courrier électronique par défaut et les données de la messagerie électronique Web le navigateur Web par défaut et les adresses URL de la page d’accueil et de la page de recherche F0170.book Page 189 Monday, May 2, 2005 12:37 PM190 Chapitre 9 Gestion des préférences Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Internet. 5 Cliquez sur Courrier, puis sélectionnez un réglage de gestion (Une seule fois ou Toujours). 6 Pour définir le logiciel de messagerie par défaut, cliquez sur Définir, puis choisissez votre application de messagerie préférée. 7 Tapez les données nécessaires pour l’adresse électronique, le serveur de courrier entrant et le serveur de courrier sortant. 8 Sélectionnez un type de compte de messagerie (POP ou IMAP). 9 Cliquez sur Appliquer. Réglage des préférences du navigateur Web Pour spécifier un navigateur Web par défaut et un emplacement de stockage des fichiers téléchargés, utilisez les réglages Web des préférences Internet. Vous pouvez également choisir une adresse URL de départ pour votre navigateur à l’aide de l’emplacement Page de départ. L’emplacement Page de recherche vous permet de spécifier l’adresse URL d’un moteur de recherche. Remarque : il se peut que certains navigateurs Web ignorent ces réglages. Pour définir des préférences Web : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Internet. 5 Cliquez sur Web, puis sélectionnez un réglage de gestion (Une seule fois ou Toujours). 6 Pour définir le navigateur Web par défaut, cliquez sur Définir et choisissez l’application de navigateur Web que vous préférez. 7 Tapez une adresse URL pour la page de départ. Il s’agit de la première page qui s’affiche lors de l’ouverture du navigateur. 8 Tapez une adresse URL pour la page de recherche. 9 Entrez un emplacement de dossier pour stocker les fichiers téléchargés ou cliquez sur Définir pour rechercher un dossier. 10 Cliquez sur Appliquer. F0170.book Page 190 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 191 Gestion des préférences d’ouverture de session Utilisez les préférences d’ouverture de session pour définir des options d’ouverture de session pour l’utilisateur, fournir des indices de mot de passe et contrôler la capacité de l’utilisateur à redémarrer et à éteindre l’ordinateur à partir de l’écran d’ouverture de session. Vous pouvez également faire automatiquement monter un volume de groupe ou ouvrir des applications à l’ouverture de session de l’utilisateur. Le tableau ci-dessous résume ce que vous pouvez contrôler à l’aide des réglages de chaque sous-fenêtre Ouverture de session. Les scripts, la fenêtre d’ouverture de session et les options ne peuvent être gérés que pour les ordinateurs, pas pour les utilisateurs ou les groupes. Les préférences gérées concernées sont détaillées ci-dessous. Spécification du mode d’ouverture de session de l’utilisateur Selon les options que vous choisissez, l’utilisateur verra s’afficher dans la fenêtre d’ouverture de session soit des champs de nom et de mot de passe, soit une liste d’utilisateurs. Ces réglages s’appliquent uniquement aux listes d’ordinateurs. Pour configurer le mode d’ouverture de session d’un utilisateur : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez une ou plusieurs listes d’ordinateurs. 4 Cliquez sur Ouverture de session. 5 Cliquez sur Fenêtre d’ouverture de session et réglez la gestion sur Toujours. Sous-fenêtre des préférences d’ouverture de session Ce que vous pouvez contrôler Éléments d’ouverture L’accès au volume de groupe, le choix des applications à ouvrir automatiquement pour l’utilisateur, l’autorisation pour l’utilisateur de gérer l’ouverture des éléments Scripts La spécification d’un script à exécuter à l’ouverture ou à la fermeture de session, l’exécution ou la désactivation des scripts LoginHook ou LogoutHook de l’ordinateur du client Fenêtre d’ouverture de session Uniquement pour les listes d’ordinateurs : l’apparence et la fonction des éléments de la fenêtre d’ouverture de session, l’identité des utilisateurs figurant sur la liste si une liste d’utilisateurs est spécifiée Options Uniquement pour les listes d’ordinateurs : la permutation rapide d’utilisateur. Le nombre de minutes d’inactivité entraînant la déconnexion de l’utilisateur F0170.book Page 191 Monday, May 2, 2005 12:37 PM192 Chapitre 9 Gestion des préférences 6 Pour exiger un nom et un mot de passe à l’utilisateur, sélectionnez Champs de saisie Nom et Mot de passe. 7 Pour permettre à l’utilisateur de sélectionner son nom dans une liste, choisissez Liste d’utilisateurs de cet ordinateur. Si vous optez pour l’utilisation d’une liste d’utilisateurs, sélectionnez les catégories d’utilisateurs à afficher dans cette liste. Pour vous assurer qu’un type d’utilisateur particulier ne figure pas dans la liste, désélectionnez le réglage correspondant. Pour autoriser les utilisateurs inconnus, vous pouvez sélectionner Afficher autres utilisateurs. Remarque : si la case “Autoriser les utilisateurs de comptes exclusivement locaux” est décochée (dans Gestionnaire de groupe de travail/Comptes/Listes d’ordinateurs/Accès), les utilisateurs locaux non administrateurs ne peuvent plus ouvrir de session. La case “administrateurs d’ordinateur” s’applique à tous les administrateurs d’ordinateur, qu’il s’agisse de comptes locaux ou réseau. La liste complète qui s’affiche à l’ouverture de session contient uniquement les utilisateurs autorisés à se connecter, c’est-à-dire ceux qui figurent dans la sous-fenêtre d’accès à l’ordinateur. Les utilisateurs disposant de comptes désactivés n’apparaissent pas dans cette liste (voir Réglages de politique de mot de passe). 8 Il est recommandé d’empêcher les utilisateurs d’ouvrir une session à l’aide de la console Darwin (interface de ligne de commande) dans le but de contourner le contrôle. Pour désactiver l’ouverture de session via la console Darwin, décochez l’option Autoriser les utilisateurs à ouvrir une session via >console. 9 Pour désactiver l’ouverture de session automatique en tant qu’utilisateur spécifique dès le démarrage de l’ordinateur, décochez la case “Activer le réglage d’ouverture de session client automatique”. Si vous décidez d’utiliser ce réglage, vous devez régler l’ouverture de session automatique sur l’ordinateur client. Ouvrez Préférences Système, cliquez sur Comptes, cliquez sur Fenêtre d’ouverture de session, sélectionnez Activer le réglage d’ouverture de session client automatique, choisissez un utilisateur dans le menu local, puis saisissez le mot de passe de ce compte. 10 Une fois la sélection des réglages d’ouverture de session gérée terminée, cliquez sur Appliquer. Ouverture automatique d’éléments après l’ouverture de session Vous pouvez faire ouvrir automatiquement les éléments fréquemment utilisés par un utilisateur. Vous pouvez également masquer les éléments qui s’ouvrent automatiquement afin d’éviter l’encombrement de l’écran, tout en gardant l’élément aisément accessible. F0170.book Page 192 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 193 Les éléments s’ouvrent selon leur ordre d’apparition dans les préférences d’Éléments d’ouverture (vous pouvez spécifier cet ordre). À l’ouverture, les éléments s’empilent les uns sur les autres, le dernier élément ouvert étant situé tout en haut de l’écran. Par exemple, si vous ouvrez trois éléments et qu’aucun d’entre eux n’est masqué, l’utilisateur voit la barre des menus du dernier élément ouvert. Si les fenêtres d’une application sont ouvertes, elles peuvent se chevaucher avec les fenêtres d’autres applications. L’utilisateur peut empêcher l’ouverture automatique des éléments en maintenant enfoncée la touche Maj pendant l’ouverture de session jusqu’à ce que le Finder s’affiche sur le bureau ; il est possible de désactiver cette fonctionnalité. Pour qu’un élément s’ouvre automatiquement : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Ouverture de session. 5 Cliquez sur Ouverture à la connexion, puis sélectionnez un réglage de gestion (Une seule fois ou Toujours). 6 Pour ajouter un élément à la liste, cliquez sur Ajouter. 7 Si vous souhaitez qu’un utilisateur ne visualise pas immédiatement un élément, cochez la case Masquer correspondante. L’application reste ouverte, mais ses fenêtres et sa barre de menus demeurent masquées jusqu’à ce que l’utilisateur active l’application (en cliquant sur son icône dans le Dock par exemple). 8 Pour empêcher l’utilisateur de disposer de cette fonction, désélectionnez l’option L’utilisateur peut ajouter et supprimer des éléments supplémentaires. (Cette case est disponible uniquement si les préférences Éléments d’ouverture sont toujours gérées.) Les utilisateurs ne peuvent supprimer que les éléments qu’ils ont ajoutés eux-mêmes à cette liste et non ceux ajoutés par un administrateur. 9 Pour interdire aux utilisateurs d’empêcher l’ouverture automatique d’applications à l’ouverture de session, désélectionnez l’option “L’utilisateur peut appuyer sur Maj pour empêcher les éléments de s’ouvrir”. (Cette case est disponible uniquement si les préférences des éléments d’ouverture sont toujours gérées.) 10 Cliquez sur Appliquer. F0170.book Page 193 Monday, May 2, 2005 12:37 PM194 Chapitre 9 Gestion des préférences Fourniture de l’accès au répertoire de départ réseau d’un utilisateur Ce réglage concerne principalement les comptes mobiles. Si un utilisateur ouvre une session alors qu’il est connecté au réseau, le point de partage contenant son répertoire de départ d’origine (situé sur le serveur) est monté sur le bureau. Remarque : si vous utilisez des répertoires de départ portables avec des comptes mobiles, l’accès direct au dossier de départ réseau n’est recommandé que pour les utilisateurs avancés. En effet, les autres utilisateurs pourraient se tromper de dossier étant donné qu’ils sont nombreux et qu’ils portent tous leur nom d’utilisateur. En outre, ils contiennent tous des dossiers intitulés Documents, Musique, etc., dont certains sont susceptibles de renfermer le même contenu. Pour monter automatiquement le dossier de départ réseau : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un compte d’utilisateur mobile dans la liste des comptes. 4 Cliquez sur Ouverture de session. 5 Cliquez sur Éléments d’ouverture. 6 Sélectionnez un réglage de gestion (Une seule fois ou Toujours). 7 Sélectionnez Aj. point de part. de départ de réseau. 8 Cliquez sur Appliquer. Fourniture d’un accès aisé au point de partage de groupe Après avoir configuré un point de partage de groupe, vous pouvez simplifier la recherche de répertoires de groupes pour les utilisateurs en leur permettant d’accéder automatiquement au point de partage dès l’ouverture de session. (Pour obtenir des informations sur la configuration d’un point de partage de groupe, lisez “Travail avec les réglages du dossier de groupe” à la page 108.) Remarque : ce réglage de préférence ne s’applique qu’aux groupes. Vous ne pouvez pas gérer ce réglage pour les utilisateurs ou les ordinateurs. Pour ajouter un élément d’ouverture au point de partage de groupe : 1 Si vous n’avez pas encore configuré un point de partage pour le groupe ainsi qu’un dossier de groupe, faites-le avant de continuer. 2 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. F0170.book Page 194 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 195 3 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 4 Cliquez sur le bouton Groupes et sélectionnez un ou plusieurs comptes de groupe dans la liste 5 Cliquez sur Ouverture de session. 6 Cliquez sur Éléments d’ouverture. 7 Définissez le réglage de gestion sur Toujours. 8 Sélectionnez Ajouter un point de partage de groupe. 9 Dans la liste sous “Ouvrir automatiquement ces éléments lorsque l’utilisateur ouvre une session”, sélectionnez le point de partage de groupe que vous venez d’ajouter. Si vous ne souhaitez pas que ce point de partage apparaisse dans le Dock, cochez la case Masquer. 10 Assurez-vous que l’option “Monter avec un nom et mot de passe utilisateur” est sélectionnée. 11 Cliquez sur Appliquer. Lorsque l’utilisateur ouvre sa session, l’ordinateur se connecte au point de partage de groupe à l’aide du nom d’utilisateur et du mot de passe donné à l’ouverture de session. Si vous gérez les préférences du Finder et choisissez de ne pas afficher les serveurs connectés, l’icône du volume de groupe n’apparaît pas sur le bureau. L’utilisateur peut toutefois trouver le volume en cliquant sur Ordinateur dans une fenêtre du Finder. Si vous changez l’emplacement du point de partage du groupe, veillez à mettre à jour l’élément d’ouverture correspondant pour le groupe dans le Gestionnaire de groupe de travail. Interdiction de démarrer ou d’arrêter l’ordinateur lors de la connexion Les boutons Redémarrer et Éteindre sont normalement affichés dans le fenêtre d’ouverture de session. Si vous ne voulez pas que l’utilisateur puisse redémarrer ou éteindre l’ordinateur, vous pouvez désactiver ces boutons. Vous pouvez également supprimer les commandes Redémarrer et Éteindre dans le menu Finder. (Pour obtenir des instructions, consultez la section “Gestion des préférences du Finder” à la page 181.) Vérifiez la sous-fenêtre Commandes des préférences Finder et assurez-vous que les boutons Redémarrer et Éteindre ne sont pas sélectionnés. F0170.book Page 195 Monday, May 2, 2005 12:37 PM196 Chapitre 9 Gestion des préférences Remarque : les réglages de la fenêtre d’ouverture de session sont disponibles uniquement pour les listes d’ordinateurs. Pour désactiver les boutons Redémarrer et Éteindre : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Cliquez sur le bouton Listes d’ordinateurs et sélectionnez un ou plusieurs comptes. 4 Cliquez sur Ouverture de session. 5 Cliquez sur Fenêtre d’ouverture de session et réglez la gestion sur Toujours. 6 Désélectionnez les options “Afficher le bouton Redémarrer dans la fenêtre d’ouverture de session” et “Afficher le bouton Éteindre dans la fenêtre d’ouverture de session”. 7 Cliquez sur Appliquer. Utilisation d’indices pour aider les utilisateurs à se souvenir de leur mot de passe Vous pouvez utiliser un “indice” afin d’aider les utilisateurs à se rappeler leur mot de passe. Au bout de trois tentatives consécutives d’ouverture de session à l’aide d’un mot de passe incorrect, une zone de dialogue affiche l’indice généré. Les indices de mot de passe créés pour les utilisateurs locaux sont toujours affichés après trois tentatives, même si l’option d’affichage n’est pas sélectionnée. Les indices de mot de passe ne sont pas utilisés pour les comptes d’utilisateur en réseau. Pour afficher un indice de mot de passe : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Cliquez sur le bouton Listes d’ordinateurs et sélectionnez un ou plusieurs comptes. 4 Cliquez sur Ouverture de session. 5 Cliquez sur Fenêtre d’ouverture de session et réglez la gestion sur Toujours. 6 Sélectionnez Afficher l’indice de mot de passe après 3 tentatives. 7 Cliquez sur Appliquer. F0170.book Page 196 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 197 Activation de la prise en charge de plusieurs utilisateurs simultanés sur un ordinateur client La fonction de changement rapide d’utilisateur vous permet de rendre disponible simultanément plusieurs comptes sur un même ordinateur. La liste des comptes actifs actuels (authentifiés) s’affiche dans un menu situé dans la partie droite de la barre des menus du Finder. Pour basculer sur le compte qui vous intéresse, sélectionnez-le. Si les utilisateurs doivent s’identifier pour basculer sur leur compte, l’utilisateur précédent n’est pas obligé pour autant de fermer sa session. Le changement rapide d’utilisateur s’avère utile pour les ordinateurs utilisés par de petits groupes stables d’utilisateurs. Cependant, il est possible que cette fonction ne marche pas entre des utilisateurs disposant de répertoires de départ réseau ou dont l’accès aux supports est régi par des préférences. Pour activer le changement rapide d’utilisateur : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Cliquez sur le bouton Listes d’ordinateurs et sélectionnez un ou plusieurs comptes. 4 Cliquez sur Ouverture de session. 5 Cliquez sur Options puis définissez les réglages de gestion sur Toujours. 6 Sélectionnez Activer le changement rapide d’utilisateur pour autoriser les utilisateurs à employer cette fonction. Pour désactiver cette option, désélectionnez-la. 7 Cliquez sur Appliquer. Activation de la fermeture de session automatique pour les utilisateurs inactifs Vous pouvez réduire la charge sur vos serveurs et rendre les comptes d’utilisateur plus sûrs en activant la fermeture de session automatique après un délai d’inactivité. Une fois le délai d’inactivité fixé dépassé, la session de l’utilisateur est fermée et la fenêtre d’ouverture de session est à l’écran. Remarque : cette fonctionnalité concerne les clients qui exécutent Mac OS X 10.3 et ultérieur. Pour fermer automatiquement la session d’un utilisateur : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. F0170.book Page 197 Monday, May 2, 2005 12:37 PM198 Chapitre 9 Gestion des préférences Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Cliquez sur le bouton Listes d’ordinateurs et sélectionnez un ou plusieurs comptes. 4 Cliquez sur Ouverture de session. 5 Cliquez sur Fermeture automatique, puis réglez la gestion sur Toujours. 6 Faites glisser le curseur pour fixer le délai pendant lequel l’utilisateur peut demeurer inactif avant que sa session ne soit fermée automatiquement. 7 Cliquez sur Appliquer. Scripts d’ouverture et de fermeture de session Les scripts d’ouverture de session vous permettent d’exécuter un script chaque fois qu’un utilisateur ouvre une session sur un ordinateur particulier. Les scripts d’ouverture et de fermeture de session sont très performants car ils sont exécutés en tant que root. Veillez cependant à ce qu’ils n’altèrent pas les réglages du système ni les fichiers des utilisateurs. Il existe deux méthodes pour ajouter un script d’ouverture de session à un ordinateur. Vous pouvez ajouter un script LoginHook à un ordinateur spécifique ou appliquer un script d’ouverture de session à une liste d’ordinateurs via le Gestionnaire de groupe de travail. Cette section décrit la configuration des scripts d’ouverture de session pour listes d’ordinateurs dans le Gestionnaire de groupe de travail. De la même manière, vous pouvez ajouter des scripts de fermeture de session afin de personnaliser la fermeture de session. Pour configurer un script d’ouverture ou de fermeture de session, exécutez les commandes suivantes sur chaque client : 1 Réglez la clé “EnableMCXLoginScripts” située dans ~root/Library/Preferences/com.apple.loginwidow.plist sur TRUE. $ sudo defaults write com.apple.loginwindow.plist EnableMCXLoginScripts - bool TRUE 2 Si vous le souhaitez, réglez la clé MCXScriptTrust située dans ~root/Library/Preferences/com.apple.loginwidow.plist sur une chaîne TRUST valide. $ sudo defaults write com.apple.loginwindow.plist MCXScriptTrust -string PartialTrust Si cette clé n’est pas définie, elle devient une chaîne TRUST invalide. Le niveau de confiance “FullTrust” est requis pour exécuter les scripts disponibles dans la sousfenêtre Scripts des Préférences Système d’Ouverture de session ci-dessus. F0170.book Page 198 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 199 Les chaînes TRUST correctes peuvent être classées par ordre de confiance “Anonymous”, “DHCP”, “Encryption”, “Authenticated”, “PartialTrust”, “FullTrust”. La spécification d’une chaîne TRUST autorise également les valeurs de confiance supérieures à cette chaîne TRUST. “Anonymous” autorise donc tous les niveaux de confiance ; “PartialTrust” autorise “PartialTrust” et “Full Trust”. Notez que la plupart des nœuds Active Directory prennent en charge “PartialTrust” et non “FullTrust”. Après avoir effectué les deux étapes précédentes, ajoutez le script d’ouverture ou de fermeture de session à la liste d’ordinateurs de votre choix à l’aide de Gestionnaire de groupe de travail. Notez que la taille du script ne peut être supérieure à 30 Ko. Gestion des préférences d’accès aux données Les préférences d’accès aux supports permettent de contrôler les réglages de CD, DVD, disque dur local et disques externes (par exemple, disquettes et lecteurs FireWire), ainsi que le mode d’accès à ces éléments. Le tableau ci-dessous décrit ce que vous pouvez contrôler à l’aide des réglages de chaque sous-fenêtre Accès aux supports. Contrôle de l’accès aux CD, DVD et disques inscriptibles Dans le cas d’un ordinateur pouvant lire ou enregistrer des CD ou des DVD, vous pouvez faire en sorte que les utilisateurs aient accès ou non aux éléments (musique, films, etc.) enregistrés sur ces disques. Il est impossible d’autoriser l’accès à des disques ou des éléments de disque particuliers. Dans le cas d’un ordinateur équipé du matériel approprié, vous pouvez faire en sorte que les utilisateurs puissent ou non graver des disques, c’est-à-dire écrire des informations sur un disque inscriptible tel qu’un CD-R, un CD-RW ou un DVD-R. Il est possible de graver des CD sur tout ordinateur équipé d’un graveur de CD-RW, d’une unité combinée ou d’un graveur Superdrive. Seuls les ordinateurs équipés d’un graveur Superdrive permettent de graver des DVD. Pour contrôler l’accès aux supports disque : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Sous-fenêtre des préférences d’Accès aux supports Ce que vous pouvez contrôler Support disque Les réglages de CD, de DVD et de disque inscriptible (tels que les CD-R, CD-RW ou DVD-R). Les ordinateurs qui ne sont pas équipés du matériel approprié pour utiliser des CD, DVD ou disques inscriptibles ne sont pas affectés par ces options. Autres supports Les disques durs internes et les disques externes autres que les CD et les DVD F0170.book Page 199 Monday, May 2, 2005 12:37 PM200 Chapitre 9 Gestion des préférences Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Accès aux supports. 5 Définissez le réglage de gestion sur Toujours. Ce réglage s’applique à l’ensemble des options de préférences d’accès aux données. 6 Cliquez sur Supports disque et sélectionnez les options souhaitées. 7 Cliquez sur Appliquer. Contrôle de l’accès aux disques durs et aux disques Vous pouvez contrôler l’accès aux lecteurs de disque internes ou externes tels que les lecteurs de disquettes, les lecteurs Zip et les lecteurs FireWire. Remarque : le comportement relatif aux disques durs internes peut légèrement varier en fonction de la version de Mac OS X dont dispose le client (version 10.2, Jaguar ou 10.3, Panther). Pour obtenir des résultats plus fiables, vous pouvez définir des autorisations d’accès aux disques durs internes et aux partitions de disques sur les ordinateurs clients à l’aide des réglages Propriétaire et Autorisations du Finder. Pour restreindre l’accès aux disques internes et externes : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Accès aux supports. 5 Définissez le réglage de gestion sur Toujours. Ce réglage s’applique à l’ensemble des options de préférences d’accès aux données. 6 Cliquez sur Autres Supports et sélectionnez les options souhaitées. Si vous cochez la case Lecture seule, les utilisateurs peuvent visualiser le contenu d’un disque, mais ils n’ont pas le droit de modifier ou d’enregistrer des fichiers sur ce disque. 7 Cliquez sur Appliquer. F0170.book Page 200 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 201 Éjection automatique d’éléments à la fermeture de session de l’utilisateur Si vous autorisez les utilisateurs à accéder à des CD, DVD ou disques externes tels que des disques Zip ou FireWire sur des ordinateurs partagés, il est conseillé d’activer l’éjection automatique des supports amovibles à la fermeture de session de l’utilisateur. Pour éjecter automatiquement les supports enregistrables : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Accès aux supports. 5 Définissez le réglage de gestion sur Toujours. Ce réglage s’applique à l’ensemble des options de préférences d’accès aux données. 6 Cliquez sur Autres supports. 7 Sélectionnez Éjecter tous les disques amovibles à la fermeture de session. 8 Cliquez sur Appliquer. Gestion des préférences de mobilité Si un utilisateur requiert un compte mobile, vous pouvez faire en sorte qu’un tel compte soit automatiquement créé lors de la prochaine ouverture de session de l’utilisateur. Pour en savoir plus sur les comptes mobiles, notamment sur la manière d’utiliser les réglages des préférences de mobilité, lisez le chapitre 3, “Gestion des utilisateurs pour des clients mobiles”. Gestion des préférences Réseau Les préférences Réseau vous permettent de sélectionner et de configurer les serveurs proxy utilisables par les utilisateurs et les groupes. Vous pouvez également spécifier les hôtes et les domaines pour lesquels il est nécessaire d’ignorer les réglages proxy. L’avantage de ce système provient du fait que les utilisateurs et les groupes gérés bénéficient d’une expérience de navigation personnalisée. Configuration des serveurs proxy par port Il est possible de configurer des types spécifiques de proxy réservés à certains utilisateurs ou groupes et de spécifier le port à utiliser. Voici les types de serveurs proxy modifiables individuellement : FTP, Web (HTTP), Web sécurisé (HTTPS), Diffusion en continu (RTSP), SOCKS, Gopher et Configuration de proxy automatique. F0170.book Page 201 Monday, May 2, 2005 12:37 PM202 Chapitre 9 Gestion des préférences L’administrateur système désigne les utilisateurs ou groupes auxquels sont affectés ces proxy et spécifie le proxy auquel ils peuvent accéder dans la sous-fenêtre Préférences de Gestionnaire de groupe de travail. Vous ne pouvez spécifier qu’un type de serveur proxy pour un utilisateur ou un groupe. Pour configurer des serveurs proxy pour un utilisateur ou un groupe : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Réseau. 5 Sélectionnez le type précis de proxy à configurer (FTP, Web, etc.). 6 Spécifiez une adresse URL et un port en respectant la forme suivante :serveurproxy.apple.com:8080/. 7 Cliquez sur Appliquer. Gestion des préférences d’Impression Les préférences d’Impression vous permettent de créer des listes d’imprimantes et de gérer l’accès aux imprimantes. Le tableau ci-dessous décrit la fonction de chacun des réglages du panneau Impression. Attribution d’imprimantes aux utilisateurs Pour fournir aux utilisateurs l’accès aux imprimantes, commencez par configurer une liste d’imprimantes. Vous pouvez ensuite autoriser des utilisateurs ou des groupes spécifiques à employer les imprimantes de la liste. Vous pouvez également rendre les imprimantes disponibles aux ordinateurs. La liste finale d’imprimantes d’un utilisateur consiste en une combinaison d’imprimantes auxquelles lui-même, le groupe sélectionné à la connexion et l’ordinateur en cours d’utilisation peuvent accéder. Pour créer une liste d’imprimantes pour les utilisateurs : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. Sous-fenêtre des préférences d’Impression Ce que vous pouvez contrôler Liste d’imprimantes Les imprimantes disponibles et la possibilité pour l’utilisateur d’ajouter des imprimantes ou d’accéder à une imprimante directement connectée à un ordinateur Accès L’imprimante par défaut et l’accès à des imprimantes spécifiques F0170.book Page 202 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 203 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Impression. 5 Définissez le réglage de gestion sur Toujours. Ce réglage s’applique à l’ensemble des options de préférences d’impression. 6 Cliquez sur Liste des imprimantes. 7 La liste des imprimantes disponibles est générée à partir de la liste des imprimantes réseau disponibles dans Utilitaire de configuration d’imprimante. Sélectionnez une imprimante dans la liste des imprimantes disponibles, puis cliquez sur Ajouter à la liste afin qu’elle soit figure dans la liste des imprimantes de l’utilisateur. Si l’imprimante souhaitée n’apparaît pas dans la liste Imprimantes disponibles, cliquez sur Ouvrir configuration d’imprimante, puis ajoutez l’imprimante à la liste d’imprimantes d’Utilitaire de configuration d’imprimante. 8 Cliquez sur Appliquer. Méthode pour empêcher les utilisateurs de modifier la liste d’imprimantes Il est possible d’empêcher les utilisateurs de modifier la liste des imprimantes disponibles (ajout ou suppression d’imprimantes). Pour restreindre l’accès à la liste des imprimantes : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Impression. 5 Définissez le réglage de gestion sur Toujours. Ce réglage s’applique à l’ensemble des options de préférences d’impression. 6 Cliquez sur Liste des imprimantes. 7 Pour que seul l’administrateur soit autorisé à modifier la liste d’imprimantes, décochez la case Permettre à l’utilisateur de modifier la liste d’imprimantes. 8 Cliquez sur Appliquer. F0170.book Page 203 Monday, May 2, 2005 12:37 PM204 Chapitre 9 Gestion des préférences Restriction de l’accès aux imprimantes connectées à un ordinateur Il est recommandé, dans certaines situations, de n’autoriser que quelques utilisateurs à imprimer via une imprimante connectée directement à leur ordinateur. Dans le cas, par exemple, d’une salle de classe équipée d’un ordinateur connecté à une imprimante, vous pouvez choisir de réserver l’usage de l’imprimante au professeur en lui créant un compte d’administrateur, puis en exigeant la saisie d’un nom et d’un mot de passe d’administrateur pour pouvoir utiliser l’imprimante. Pour limiter l’accès à une imprimante connectée à un ordinateur spécifique : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Impression. 5 Définissez le réglage de gestion sur Toujours. Ce réglage s’applique à l’ensemble des options de préférences d’impression. 6 Si vous souhaitez que l’ordinateur client ait accès à une imprimante réseau, cliquez sur Liste d’imprimantes, sélectionnez l’imprimante et cliquez sur Ajouter à la liste. 7 Pour interdire l’accès des utilisateurs aux imprimantes locales, désélectionnez l’option “Permettre l’utilisation des imprimantes connectées directement à l’ordinateur”. Pour exiger un mot de passe d’administrateur pour utiliser l’imprimante, sélectionnez Requiert un mot de passe d’administrateur. 8 Cliquez sur Appliquer. Définition d’une imprimante par défaut Une fois que vous avez configuré une liste d’imprimantes, vous pouvez désigner l’imprimante qui sera utilisée par défaut. Dès qu’un utilisateur tente d’imprimer un document, l’imprimante choisie apparaît par défaut dans la zone de dialogue d’impression de l’application. Pour définir l’imprimante par défaut : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. F0170.book Page 204 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 205 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Impression. 5 Définissez le réglage de gestion sur Toujours. Ce réglage s’applique à l’ensemble des options de préférences d’impression. 6 Cliquez sur Accès. 7 Choisissez une imprimante dans la liste des imprimantes de l’utilisateur, puis cliquez sur Par défaut. 8 Cliquez sur Appliquer. Restriction de l’accès aux imprimantes Vous pouvez exiger la saisie d’un nom et d’un mot de passe d’administrateur pour l’utilisation de certaines imprimantes. Pour restreindre l’accès à une imprimante spécifique : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Impression. 5 Définissez le réglage de gestion sur Toujours. Ce réglage s’applique à l’ensemble des options de préférences d’impression. 6 Cliquez sur Accès. 7 Sélectionnez une imprimante dans la liste des imprimantes de l’utilisateur, puis sélectionnez Requiert un mot de passe d’administrateur. 8 Cliquez sur Appliquer. Gestion des préférences de mise à jour de logiciels Vous pouvez spécifier un serveur de mise à jour de logiciels par utilisateur ou par groupe. Mac OS X Server vous permet de mettre en place vos propres mises à jour de logiciels à partir d’un serveur local pour des utilisateurs spécifiques. Cela vous permet de libérer de la bande passante sur le réseau externe tout en laissant la possibilité à l’administrateur système de désactiver ou de forcer l’installation de certaines mises à jour. F0170.book Page 205 Monday, May 2, 2005 12:37 PM206 Chapitre 9 Gestion des préférences Pour gérer l’accès à la mise à jour de logiciels : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Mise à jour de logiciels. 5 Définissez le réglage de gestion sur Toujours. 6 Spécifiez une adresse URL en respectant la forme suivante : serveurquelconque.apple.com:8080/. 7 Cliquez sur Appliquer. Gestion de l’accès aux préférences Système Vous pouvez spécifier quelles sont les Préférences Système qui doivent être visibles pour les utilisateurs et quelles sont celles qu’ils sont autorisés à modifier. Les utilisateurs peuvent ouvrir n’importe quel élément des Préférences Système, mais ne peuvent pas forcément en modifier les réglages. Certaines préférences, notamment celles du disque de démarrage, exigent un nom et un mot de passe d’administrateur. Les préférences affichées dans le Gestionnaire de groupe de travail correspondent à celles qui sont installées sur l’ordinateur que vous utilisez. Si votre ordinateur administrateur ne dispose pas de certaines Préférences Système, installez-les ou utilisez Gestionnaire de groupe de travail sur un ordinateur administrateur disposant de ces préférences. Pour gérer l’accès aux préférences Système : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Préférences Système. 5 Définissez le réglage de gestion sur Toujours. 6 Décochez la case Afficher pour chaque élément ne devant pas apparaître dans les Préférences Système d’un utilisateur. 7 Cliquez sur Appliquer. F0170.book Page 206 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 207 Gestion des préférences Accès universel Les réglages Accès universel peuvent améliorer l’expérience de certains utilisateurs. Si, par exemple, un utilisateur souffrant d’un handicap éprouve des difficultés à utiliser un ordinateur ou souhaite modifier son mode de travail, vous pouvez choisir des réglages qui lui permettront de travailler de manière plus efficace. Utilisez le Gestionnaire de groupe de travail pour configurer et gérer les réglages Accès universel pour des groupes de travail ou d’ordinateurs spécifiques destinés aux utilisateurs ayant des besoins particuliers. Le tableau ci-dessous décrit la fonction de chacun des réglages du panneau Accès universel. Manipulation des réglages d’affichage pour l’utilisateur Les préférences Vue du Gestionnaire de groupe de travail permettent aux utilisateurs de régler l’apparence de l’écran. L’utilisateur peut aisément effectuer un zoom avant ou arrière sur le bureau à l’aide de raccourcis clavier (combinaisons de touches spécifiques). Le remplacement des couleurs par des niveaux de gris ou l’utilisation d’un affichage négatif (blanc sur noir) peut faciliter la lecture du texte à l’écran. Remarque : si les réglages d’affichage sont gérés une seule fois, les utilisateurs peuvent alterner entre les options de zoom et de couleurs à l’aide de raccourcis clavier. Si la gestion est réglée sur Toujours, les utilisateurs ne peuvent pas naviguer entre ces options. Pour gérer les préférences Vue : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. Sous-fenêtre des préférences Accès universel Ce que vous pouvez contrôler Vue L’affichage à l’écran et le niveau de zoom du bureau Écoute L’alerte visuelle destinée aux utilisateurs Clavier La vitesse de réaction du clavier lorsque l’utilisateur appuie sur des touches et des combinaisons de touches Souris La réaction du pointeur et la possibilité pour les utilisateurs d’utiliser le pavé numérique au lieu de la souris Options Les combinaisons de touches de raccourci, l’utilisation de périphériques d’aide et la lecture de texte par l’ordinateur dans la sous-fenêtre des préférences Accès universel F0170.book Page 207 Monday, May 2, 2005 12:37 PM208 Chapitre 9 Gestion des préférences 4 Cliquez sur Accès universel. 5 Cliquez sur Vue, puis sélectionnez un réglage de gestion (Une seule fois ou Toujours). 6 Effectuez vos modifications. 7 Pour effectuer un réglage plus précis du zoom, cliquez sur Options de zoom. Faites glisser les curseurs pour fixer un Zoom maximum et un Zoom minimum. Pour afficher une zone d’aperçu, sélectionnez l’option Afficher un rectangle d’aperçu lors d’un zoom arrière. Pour améliorer l’apparence des images agrandies, déselectionnez l’option Lisser les images. 8 Cliquez sur Appliquer. Pour personnaliser davantage l’affichage, vous pouvez utiliser les préférences de présentation du Finder afin de contrôler la taille des icônes des fenêtre du Finder et les préférences d’affichage du Dock pour agrandir les icônes du Dock de l’utilisateur. Si vous comptez gérer des ordinateurs dédiés, vous pourrez utiliser les préférences d’affichage pour modifier la résolution de votre écran et le nombre de couleurs affichées. Pour conserver les préférences d’affichage locales telles que définies, il est recommandé de supprimer l’élément Moniteur de la liste des préférences système disponibles en utilisant les préférences Applications du Gestionnaire de groupe de travail. Pour autoriser l’utilisation d’un périphérique d’aide (tel qu’un lecteur d’écran) sur un ordinateur spécifique, cliquez sur Préférences, sélectionnez une liste d’ordinateurs, cliquez sur Préférences Système, cliquez sur Accès universel, cliquez sur Options, cliquez sur Toujours et enfin, sélectionnez Activer l’accès aux périphériques d’aide. Activation d’une alerte visuelle Il est possible, pour les utilisateurs ayant du mal à entendre les sons d’alerte (tels que le son émis à l’arrivée d’un message ou lorsqu’une erreur survient), de faire clignoter l’écran. Pour activer une alerte visuelle : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Accès universel. 5 Cliquez sur Écoute, puis sélectionnez un réglage de gestion (Une fois ou Toujours). 6 Sélectionnez Faire clignoter l’écran dès qu’un signal d’alerte retentit. 7 Cliquez sur Appliquer. F0170.book Page 208 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 209 Réglage de la réponse du clavier Pour les utilisateurs qui éprouvent des difficultés à appuyer sur plusieurs touches à la fois, vous pouvez utiliser la fonction Touches à auto-maintien pour permettre au clavier d’interpréter une séquence de frappes de touche individuelles comme combinaison de touches. L’ordinateur peut afficher chaque touche activée à l’écran, puis diffuser un son d’alerte dès que la combinaison de touches est terminée. Remarque : si vous activez les raccourcis clavier d’Accès universel, un utilisateur pourra activer ou désactiver les touches à auto-maintien en appuyant cinq fois de suite sur la touche Maj. Si le clavier s’avère trop réactif pour certains utilisateurs qui éprouvent des problèmes avec les frappes répétitives, vous pouvez utiliser la fonction Touches lentes pour augmenter le délai de réponse d’une touche activée. L’ordinateur peut, afin de fournir un “feedback” à l’utilisateur, émettre un “clic” lorsque les touches sont enfoncées. Pour définir la manière dont le clavier réagit aux frappes : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Accès universel. 5 Cliquez sur Clavier, puis sélectionnez un réglage de gestion (Une fois ou Toujours). 6 Sélectionnez Oui pour activer les touches à auto-maintien. Pour désactiver l’alerte de combinaison de touches, désélectionnez Émettre un son lors de la définition d’une touche de modification. Pour désactiver l’affichage à l’écran des touches activées, désélectionnez Afficher les touches appuyées à l’écran. Si ces options ne sont pas sélectionnées, certains utilisateurs peuvent éprouver des difficultés à savoir si une combinaison de touches est terminée ou en cours de saisie. 7 Sélectionnez Oui pour activer les touches lentes. 8 Si vous ne voulez pas que l’ordinateur réagisse aux frappes de touches par un clic, désélectionnez Émettre un son à chaque touche appuyée. 9 Faites glisser le curseur pour fixer le délai entre le moment où une touche est activée et celui où l’ordinateur la reconnaît. 10 Cliquez sur Appliquer. F0170.book Page 209 Monday, May 2, 2005 12:37 PM210 Chapitre 9 Gestion des préférences Réglage du niveau de réponse de la souris et du pointeur La fonction Souris permet aux utilisateurs qui éprouvent des difficultés à utiliser une souris ou qui préfèrent ne pas s’en servir d’utiliser le pavé numérique. Les touches du pavé numérique correspondent aux directions et aux actions de la souris, ce qui permet à l’utilisateur de déplacer le pointeur, de cliquer sur le bouton de la souris, de le maintenir enfoncé ou de le relâcher. Remarque : si vous activez les raccourcis clavier d’Accès universel, un utilisateur pourra activer ou désactiver les Touches de souris en appuyant cinq fois de suite sur la touche Option. Si le pointeur se déplace trop rapidement pour certains utilisateurs, vous pouvez régler sa vitesse de réaction et de déplacement. Pour contrôler les réglages de la souris et du pointeur : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Accès universel. 5 Cliquez sur Souris, puis sélectionnez un réglage de gestion (Une fois ou Toujours). 6 Sélectionnez Oui pour activer les Touches de souris. 7 Pour contrôler la vitesse de réaction du pointeur, faites glisser le curseur Délai initial. 8 Pour contrôler la vitesse de déplacement du pointeur, faites glisser le curseur Vitesse maximale. 9 Cliquez sur Appliquer. F0170.book Page 210 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 211 Activation des raccourcis d’Accès universel Les raccourcis d’Accès universel sont des combinaisons de touches qui permettent d’activer une fonction disponible d’Accès universel telle que le zoom sur l’écran ou les touches à auto-maintien. Si vous décidez de ne pas autoriser les raccourcis d’Accès universel, vos utilisateurs ne pourront peut-être pas utiliser des fonctions telles que le zoom et désactiver les fonctions activées telles que les touches à auto-maintien. Pour autoriser les raccourcis d’Accès universel : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Accès universel. 5 Cliquez sur Options, puis sélectionnez un réglage de gestion (Une seule fois ou Toujours). 6 Sélectionnez Autoriser les raccourcis d’Accès Universel. 7 Cliquez sur Appliquer. Autorisation d’appareils d’aide pour les utilisateurs ayant des besoins particuliers Vous pouvez, si nécessaire, autoriser les utilisateurs gérés à activer des périphériques d’aide tels qu’un lecteur d’écran. Pour autoriser l’utilisation de périphériques d’aide : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié. Pour passer d’un répertoire à un autre, cliquez sur le petit globe situé au-dessus de la liste des comptes. Si vous n’êtes pas authentifié, cliquez sur le cadenas. 3 Sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 4 Cliquez sur Accès universel. 5 Cliquez sur Options, puis sélectionnez le réglage de gestion Toujours. 6 Sélectionnez Autoriser l’accès pour les périphériques d’aide. 7 Cliquez sur Appliquer. F0170.book Page 211 Monday, May 2, 2005 12:37 PM212 Chapitre 9 Gestion des préférences Utilisation de l’éditeur de préférences avec les manifestes de préférences L’éditeur de préférences permet de contrôler les applications, utilitaires ou préférences système Mac OS X bien conçus, qui ne se trouvent pas dans la sous-fenêtre de préférences Vue d’ensemble de Gestionnaire de groupe de travail. Il permet également d’effectuer des tâches d’administration. Certains éditeurs d’applications fournissent des manifestes de préférences qui facilitent le déchiffrage et la modification des préférences de l’application à l’aide de l’éditeur de préférences. Il est possible de modifier les valeurs de clé des préférences d’une application même si celle-ci ne dispose pas d’un manifeste de préférences. Si vous disposez d’une application dotée d’un manifeste de préférences et que vous ouvrez l’éditeur de préférences intégré au Gestionnaire de groupe de travail pour modifier une des valeurs de clé, vous obtiendrez une meilleure description de clés et la modification sera plus facile. Si vous utilisez l’éditeur de préférences avec Safari, par exemple, qui contient un manifeste de préférences, vous pouvez facilement trouver et modifier la page d’accueil affichée lorsqu’un groupe ouvre l’application. Grâce au manifeste de préférences, l’éditeur de préférences est à même de fournir des descriptions précises des clés et des actions qu’elles produisent ; il ne se contente pas d’afficher les noms des valeurs de clé, qui ne sont pas toujours très clairs. Les manifestes de préférences peuvent être stockés dans des groupes (bundle) d’application (dans /Contents/Resources) ou constituer des fichiers autonomes. En tant qu’administrateur, ces manifestes vous aident à modifier et à régler les préférences gérées (en fournissant les noms et les descriptions et en indiquant quelles sont les préférences gérées et quelle est leur méthode de réglage). Ils vous permettent de connaître les valeurs de clé de l’éditeur de préférences prises en compte par une application et vous indiquent comment régler ces clés pour atteindre votre objectif. Les manifestes de préférences permettent tout simplement de mieux visualiser l’éditeur de préférences et ils sont pris en compte automatiquement lorsqu’ils sont associés à une application. Les réglages et modifications apportés aux clés d’une application sont stockés dans les services de répertoire. Lorsque vous modifiez les valeurs de clé des préférences d’une application dans l’éditeur de préférences, tous les utilisateurs, groupes ou listes d’ordinateurs sélectionnés sont alors dotés de ces préférences gérées. F0170.book Page 212 Monday, May 2, 2005 12:37 PMChapitre 9 Gestion des préférences 213 Ajout d’une préférence gérée en l’important depuis une application Il est possible d’importer des clés et des valeurs de préférence via les fichiers de préférences de n’importe quelle application. Cela vous permet de donner à un utilisateur un environnement d’application particulière identique au vôtre. Pour importer un fichier de préférences dans des préférences gérées : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences puis sur Détails. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié, puis sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 3 Cliquez sur Ajouter. 4 Sélectionnez com.apple..plist dans la zone de dialogue et cliquez sur Ajouter. Si l’application dispose d’un manifeste de préférences, il apparaît dans la liste de Gestionnaire de groupe de travail (au format Texte). Les préférences gérées qui ne disposent pas d’un manifeste de préférences sont affichées en italique. Même si une application ne dispose pas d’un manifeste de préférences, vous pouvez utiliser l’éditeur de préférences pour importer et ajouter des préférences existantes (situées dans ~/Bibliothèque/Préférences/) aux services de répertoire et faire en sorte que les préférences des utilisateurs finaux soient conformes à ces préférences. Ainsi, toute application utilisant des préférences Mac OS X peut être gérée. Modification des valeurs de préférence d’une application Une application bien conçue respecte les réglages du manifeste de préférences. Si ce manifeste n’existe pas, c’est à vous, en tant qu’administrateur, de veiller à ce que ces réglages (modifiables dans l’éditeur de préférences) soient appliqués. La gestion des préférences est généralement plus efficace en mode Souvent. En mode Toujours, la préférence peut continuer à être appliquée, mais l’application autorisera probablement qu’elle soit modifiée par l’utilisateur final. Pour modifier les valeurs de préférence d’une application : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences puis sur Détails. 2 Assurez-vous que vous avez sélectionné le répertoire approprié et que vous vous êtes authentifié puis sélectionnez un ou plusieurs utilisateurs, groupes ou listes d’ordinateurs. 3 Double-cliquez sur un élément de la liste (ou sélectionez l’élément et cliquez sur Modifier). F0170.book Page 213 Monday, May 2, 2005 12:37 PM214 Chapitre 9 Gestion des préférences 4 Repérez les valeurs à modifier et effectuez vos modifications. 5 Cliquez sur Appliquer puis sur Terminé. Si vous réglez la clé sur une valeur différente de la valeur du manifeste de préférences d’une application, l’éditeur de préférences vous le signale dans l’écran de modification de la clé. Ce type de modification n’est pas interdit, mais il est recommandé de ne pas l’effectuer. Suppression des valeurs de préférence via l’éditeur de préférences Il est possible de supprimer les préférences de vos applications. En d’autres termes, vous pouvez supprimer les valeurs de préférence modifiées de toute application incluse dans les services de répertoire. Cela n’entraînera pas la suppression de vos manifestes de préférences éventuels. Pour effacer les valeurs de préférence d’une application : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Préférences puis sur Détails. 2 Sélectionnez l’application ou l’identifiant de groupe (bundle) (cette opération ne peut être effectuée que pour une seule application à la fois). 3 Cliquez sur Supprimer. Remarque : aucun manifeste de préférences n’est supprimé, seules les valeurs (existantes) enregistrées dans les services de répertoire via l’éditeur de préférences sont supprimées. F0170.book Page 214 Monday, May 2, 2005 12:37 PM10 215 10 Gestion des présentations de réseau Le présent chapitre fournit des informations sur la gestion des ressources réseau que les utilisateurs peuvent voir et auxquelles ils peuvent accéder. Grâce aux présentations de réseau gérées, vous pouvez contrôler ce que les utilisateurs d’un ordinateur particulier voient lorsqu’ils cliquent sur l’icône Réseau de la barre latérale d’une fenêtre du Finder ou lorsqu’ils choisissent Aller > Réseau dans le Finder. Une présentation de réseau gérée est une liste de ressources réseau que vous personnalisez pour améliorer l’environnement de navigation et de détection des ressources de l’utilisateur. Vous pouvez ajouter des ressources réseau à ce qu’un utilisateur voit déjà ou spécifier exactement les éléments visibles pour l’utilisateur. Vous pouvez personnaliser des présentations de réseau pour un ordinateur individuel, un groupe d’ordinateurs ou tout un sous-réseau. Vous pouvez créer des présentations de réseau gérées qui contiennent un ou plusieurs des composants suivants : • Un voisinage réseau, c’est-à-dire un ensemble de ressources réseau regroupées pour un accès aisé. Un voisinage réseau prend la forme d’un dossier dans une présentation de réseau. Un voisinage peut contenir des ordinateurs, d’autres voisinages et des listes dynamiques. • Un ordinateur, c’est-à-dire tout ordinateur connecté au réseau. Vous pouvez ajouter directement des ordinateurs à une présentation de réseau ou les ajouter à un voisinage situé au sein d’une présentation de réseau. • Une liste dynamique permet de générer automatiquement une liste de ressources réseau à afficher dans un voisinage. Vous pouvez par exemple définir un voisinage appelé Marketing et y afficher tout ordinateur actif sur le sous-réseau du service marketing. F0170.book Page 215 Monday, May 2, 2005 12:37 PM216 Chapitre 10 Gestion des présentations de réseau Types de présentations de réseau gérées Vous pouvez créer trois types de présentations de réseau : • Présentation nommée. Une présentation nommée, personnalisée pour répondre à des besoins spécifiques d’utilisateur, n’est visible que sur des ordinateurs clients spécifiques. Pour associer la présentation à un ordinateur, vous devez l’identifier dans l’enregistrement d’ordinateur ou la nommer à l’aide d’une adresse Ethernet, d’une adresse IP ou d’une chaîne de sous-réseau. Le répertoire dans lequel la présentation nommée est stockée doit se trouver dans le chemin de recherche de l’ordinateur client. • Présentation par défaut. Une présentation nommée par défaut est visible sur un ordinateur client si le répertoire dans lequel la présentation est stockée se trouve dans le chemin de recherche et qu’aucune présentation nommée n’a été affectée à l’ordinateur. • Présentation publique. Une présentation nommée publique est visible sur un ordinateur client si le répertoire dans lequel la présentation est stockée ne fournit pas encore de présentation de réseau à l’ordinateur. Le répertoire peut être n’importe quel répertoire auquel un ordinateur est autorisé à accéder, qu’il se trouve ou non dans son chemin de recherche. Si aucune présentation publique n’est détectée dans l’un de ces répertoires, mais qu’une présentation par défaut s’y trouve, c’est cette dernière qui est affichée. Création d’un présentation de réseau gérée Lorsque vous créez une présentation de réseau, vous associez des voisinages réseau, des ordinateurs et des listes dynamiques à la présentation. Vous devez également définir des informations propres au client, telles que l’identité des ordinateurs clients qui doivent utiliser la présentation. Pour créer une présentation de réseau : 1 Ouvrez le Gestionnaire de groupe de travail, puis cliquez sur Réseau. 2 Cliquez sur le globe au-dessus de la liste Présentations de réseau et choisissez le répertoire de réseau dans lequel vous souhaitez faire résider la présentation. 3 Cliquez sur le cadenas pour vous authentifier en tant qu’administrateur de domaine pour le répertoire. 4 Choisissez Serveur > Nouvelle présentation de réseau, sélectionnez le type de présentation à créer, puis cliquez sur Créer. 5 Si vous définissez une présentation nommée, tapez le nom de la présentation dans la sous-fenêtre Présentation. Si vous souhaitez que la présentation nommée soit utilisée par tous les ordinateurs d’un sous-réseau particulier, donnez-lui comme nom l’identifiant de sous-réseau (10.201.42.0/22). F0170.book Page 216 Monday, May 2, 2005 12:37 PMChapitre 10 Gestion des présentations de réseau 217 Si vous souhaitez que la présentation nommée soit visible par un certain ordinateur, vous pouvez lui donner comme nom l’adresse IP ou l’adresse Ethernet de l’ordinateur. Vous pouvez également spécifier le nom de la présentation dans certains enregistrements d’ordinateur (voir “Activation de la visibilité des présentations de réseau gérées” à la page 225.) 6 Dans la sous-fenêtre Présentation, ajoutez des voisinages, des ordinateurs et des listes dynamiques à la présentation. Pour obtenir des instructions, consultez les sections “Ajout de voisinages à des présentations de réseau gérées” à la page 219, “Affichage d’ordinateurs dans des présentations de réseau gérées” à la page 220 et “Ajout de listes dynamiques à des présentations de réseau gérées” à la page 223. 7 Finalisez la hiérarchie des voisinages. Faites glisser des éléments vers le haut ou vers le bas dans la liste de la sous-fenêtre Présentation pour les ajouter à des voisinages ou les supprimer de voisinages. Les éléments de la liste sont affichés dans l’ordre alphabétique, comme dans le Finder. Si votre présentation contient des ordinateurs et des listes dynamiques que vous n’avez pas placés dans un voisinage, faites-le. L’affichage de toutes les ressources d’un voisinage vous permet d’affecter un nom descriptif à un ensemble de ressources. 8 Configurez des réglages d’ordinateur client pour la présentation à l’aide de la sousfenêtre Réglages. Pour obtenir des instructions, consultez la section “Définition de l’utilisation des présentations de réseau gérées par des ordinateurs clients” à la page 224. 9 Si vous souhaitez rendre la présentation de réseau visible immédiatement sur des ordinateurs clients, cliquez sur Présentation, puis sélectionnez la case Activé. 10 Cliquez sur Enregistrer. Modification de présentations de réseau gérées Une fois que vous avez créé une présentation de réseau gérée, vous pouvez en modifier les attributs et l’activer ou la désactiver. Pour modifier une présentation de réseau : 1 Ouvrez le Gestionnaire de groupe de travail, puis cliquez sur Réseau. 2 Cliquez sur le globe au-dessus de la liste Présentations de réseau et choisissez le répertoire de réseau dans lequel la présentation réside. 3 Cliquez sur le cadenas pour vous authentifier en tant qu’administrateur de domaine pour le répertoire. 4 Dans la liste Présentations de réseau, sélectionnez la présentation que vous souhaitez modifier. F0170.book Page 217 Monday, May 2, 2005 12:37 PM218 Chapitre 10 Gestion des présentations de réseau 5 Suivez les étapes 6 à 9 pour apporter des modifications aux objets de la présentation à l’aide de la sous-fenêtre Présentation. 6 Pour renommer la présentation, tapez le nouveau nom dans le champ Nom. 7 Utilisez la case Activé pour activer ou désactiver la disponibilité de la présentation. 8 Modifiez les objets dans la hiérarchie de la présentation comme vous le souhaitez. Cliquez sur le bouton Ajouter (+) pour ajouter un voisinage, un ordinateur ou une liste dynamique à la présentation. Faites glisser le nouvel objet vers l’emplacement de la hiérarchie de la présentation où vous souhaitez qu’il soit visible. Pour supprimer un objet de la présentation, sélectionnez-le, puis cliquez sur Supprimer (–). Pour modifier un objet de la présentation, sélectionnez-le, puis cliquez sur le bouton Modifier. 9 Pour réorganiser les objets dans la hiérarchie de la présentation, faites-les glisser vers les emplacements de la hiérarchie de la présentation où vous souhaitez qu’ils soient visibles. 10 Cliquez sur Réglages pour utiliser des réglages de client, puis suivez les étapes 11 et 12 en fonction de vos besoins. 11 Modifiez en fonction de vos besoins la liste des ordinateurs clients sur laquelle la présentation est visible. Cliquez sur Ajouter (+) pour rendre la présentation visible sur d’autres ordinateurs clients. À l’aide de la liste déroulante, vous pouvez créer un nouvel enregistrement d’ordinateur ou ouvrir le tiroir d’enregistrement d’ordinateur à partir duquel vous pouvez faire glisser des ordinateurs dans la liste des ordinateurs clients. Pour ne pas afficher la présentation sur un ordinateur client, sélectionnez l’ordinateur, puis cliquez sur Supprimer (–). Pour modifier la présentation qu’un ordinateur peut voir, sélectionnez l’ordinateur, puis cliquez sur le bouton Modifier. Sélectionnez une présentation dans la liste déroulante Présentation de réseau, puis cliquez sur Enregistrer. 12 Accessoirement, modifiez la fréquence à laquelle les ordinateurs clients doivent vérifier si la présentation a été modifiée. 13 Accessoirement, modifiez la manière dont le Finder affiche la présentation. 14 Cliquez sur Enregistrer pour enregistrer vos modifications ou cliquez sur Revenir pour revenir à la dernière présentation de réseau enregistrée. F0170.book Page 218 Monday, May 2, 2005 12:37 PMChapitre 10 Gestion des présentations de réseau 219 Définition de voisinages pour présentations de réseau gérées Vous devez créer des voisinages réseau pour organiser et présenter de manière logique les ressources réseau. Dans la présentation de réseau, un voisinage réseau ressemble à un dossier. Le voisinage peut contenir d’autres voisinages, des ordinateurs et des listes dynamiques. Ajout de voisinages à des présentations de réseau gérées Vous pouvez ajouter autant de voisinages que vous le souhaitez à une présentation de réseau. Les voisinages permettent de regrouper des ressources réseau d’une manière logique et d’organiser la présentation de vos ressources réseau. Pour ajouter un voisinage à une présentation de réseau existante : 1 Ouvrez le Gestionnaire de groupe de travail, puis cliquez sur Réseau. 2 Cliquez sur le globe au-dessus de la liste Présentations de réseau et choisissez le répertoire de réseau dans lequel la présentation réside. 3 Cliquez sur le cadenas pour vous authentifier en tant qu’administrateur de domaine pour le répertoire. 4 Dans la liste Présentations de réseau, sélectionnez la présentation avec laquelle vous souhaitez travailler. 5 Dans la sous-fenêtre Présentation, cliquez sur le bouton Ajouter (+), puis choisissez Nouveau voisinage. 6 Tapez le nom du voisinage, puis cliquez sur Enregistrer. Remarque : il se peut que le Finder ne puisse pas afficher les noms de présentation de réseau gérée étendus (plus de 256 caractères) à cause de problèmes liés à la longueur des noms de fichier/dossier dans le système de fichiers. 7 Ajoutez au moins un ordinateur, une liste dynamique ou un autre voisinage au voisinage. Cliquez sur le bouton Ajouter, puis choisissez l’objet que vous souhaitez ajouter au voisinage. Faites-le ensuite glisser vers le voisinage. 8 Répétez les étapes 5 à 7, si nécessaire. 9 Cliquer sur Enregistrer. F0170.book Page 219 Monday, May 2, 2005 12:37 PM220 Chapitre 10 Gestion des présentations de réseau Suppression de voisinages de présentations de réseau gérées Les voisinages que vous supprimez d’une présentation de réseau gérée sont supprimés de la liste de ressources visibles dans la présentation. Soyez prudent lorsque vous supprimez des voisinages car vous ne serez pas averti s’ils contiennent des éléments. Pour supprimer un voisinage d’une présentation de réseau : 1 Ouvrez le Gestionnaire de groupe de travail, puis cliquez sur Réseau. 2 Cliquez sur le globe au-dessus de la liste Présentations de réseau et choisissez le répertoire de réseau dans lequel la présentation réside. 3 Cliquez sur le cadenas pour vous authentifier en tant qu’administrateur de domaine pour le répertoire. 4 Dans la liste Présentations de réseau, sélectionnez la présentation avec laquelle vous souhaitez travailler. 5 Dans la sous-fenêtre Présentation, sélectionnez le voisinage à supprimer. 6 Cliquez sur le triangle d’affichage pour afficher tout ce que le voisinage contient et confirmez que vous souhaitez bien le supprimer ainsi que tout ce qu’il contient. Faites glisser des objets de voisinage hors du voisinage si vous souhaitez qu’ils restent associés à la présentation. 7 Cliquez sur le bouton Supprimer (–) ou choisissez Serveur > Supprimer. 8 Si vous pensez avoir supprimé des objets par inadvertance, cliquez sur Revenir. Sinon, cliquez sur Enregistrer. Définition d’ordinateurs pour présentations de réseau gérées Vous devez ajoutez des ordinateurs à une définition de présentation de réseau gérée si vous souhaitez fournir à des utilisateurs l’accès à des ordinateurs spécifiques de la présentation. Affichage d’ordinateurs dans des présentations de réseau gérées Vous pouvez afficher un ordinateur dans une présentation de réseau s’il possède un enregistrement d’ordinateur dans le répertoire où réside présentation de réseau. Il se peut que l’enregistrement d’ordinateur existe déjà, sinon, définissez-en un nouveau. Il se peut qu’un enregistrement d’ordinateur existe déjà parce que : • l’ordinateur est géré à l’aide de préférences de liste d’ordinateurs ; • l’ordinateur est déjà associé à une autre présentation de réseau gérée ; • l’ordinateur a été configuré pour utiliser une autre présentation de réseau gérée du répertoire. F0170.book Page 220 Monday, May 2, 2005 12:37 PMChapitre 10 Gestion des présentations de réseau 221 Pour ajouter un ordinateur à une présentation de réseau : 1 Ouvrez le Gestionnaire de groupe de travail, puis cliquez sur Réseau. 2 Cliquez sur le globe au-dessus de la liste Présentations de réseau et choisissez le répertoire de réseau dans lequel la présentation réside. 3 Cliquez sur le cadenas pour vous authentifier en tant qu’administrateur de domaine pour le répertoire. 4 Dans la liste Présentations de réseau, sélectionnez la présentation à utiliser, puis assurez-vous que la sous-fenêtre Présentation est bien sélectionnée. 5 Pour ajouter un ordinateur pour lequel il existe déjà un enregistrement d’ordinateur dans le répertoire actuel, allez à l’étape 6. Pour créer un nouvel enregistrement d’ordinateur, allez à l’étape 7. Pour naviguer à la recherche d’un ordinateur, qu’il dispose ou non d’un enregistrement d’ordinateur, allez à l’étape 8. 6 Pour utiliser un enregistrement d’ordinateur existant, cliquez sur le bouton Ajouter (+), puis sélectionnez Afficher les ordinateurs. Faites glisser un ordinateur depuis le tiroir qui apparaît dans la sous-fenêtre Présentation. 7 Pour créer un nouvel enregistrement d’ordinateur, cliquez sur le bouton Ajouter (+), puis choisissez Nouvel ordinateur. Dans la zone de dialogue qui apparaît, saisissez des informations dans deux champs. Dans le champ Nom, tapez le nom que vous souhaitez utiliser pour identifier l’ordinateur lorsqu’il est affiché dans la présentation. Dans le champ URL, tapez une ou plusieurs adresses URL par lesquelles on peut accéder à l’ordinateur. 8 Vous pouvez cliquez sur le bouton Parcourir pour naviguer et identifier un ordinateur à ajouter. Le serveur lance une recherche sur la base de l’URL pour retrouver des services avec les types de services de fichiers standard (AFP, SMB/CIFS, FTP et NFS). Vous pouvez naviguer à travers tous les ordinateurs que vous voyez normalement sous /Réseau. Sélectionnez un ordinateur dans la liste. Si l’ordinateur que vous sélectionnez dispose déjà d’un enregistrement d’ordinateur, un avertissement apparaît et l’ordinateur n’est pas ajouté à la présentation. Pour ajouter l’ordinateur, utilisez l’étape 6. Si l’ordinateur que vous sélectionnez ne dispose pas encore d’un enregistrement d’ordinateur, un enregistrement d’ordinateur est créé et l’ordinateur est ajouté à la présentation. 9 Cliquer sur Enregistrer. F0170.book Page 221 Monday, May 2, 2005 12:37 PM222 Chapitre 10 Gestion des présentations de réseau Suppression d’ordinateurs de présentations de réseau gérées Lorsque vous supprimez un ordinateur d’une présentation de réseau gérée, il est supprimé de la liste de ressources visibles dans la présentation. Pour supprimer un ordinateur d’une présentation de réseau : 1 Ouvrez le Gestionnaire de groupe de travail, puis cliquez sur Réseau. 2 Cliquez sur le globe au-dessus de la liste Présentations de réseau et choisissez le répertoire de réseau dans lequel la présentation réside. 3 Cliquez sur le cadenas pour vous authentifier en tant qu’administrateur de domaine pour le répertoire. 4 Dans la liste Présentations de réseau, sélectionnez la présentation avec laquelle vous souhaitez travailler. 5 Dans la sous-fenêtre Présentation, sélectionnez l’enregistrement d’ordinateur que vous souhaitez supprimer de la présentation. Pour pouvoir voir l’ordinateur dans la liste, il se peut que vous deviez afficher le contenu des voisinages en cliquant sur les triangles d’affichage. 6 Cliquez sur le bouton Supprimer (–) ou choisissez Serveur > Supprimer. 7 Si vous pensez avoir supprimé un ordinateur par inadvertance, cliquez sur Revenir. Sinon, cliquez sur Enregistrer. 8 Pour supprimer d’autres ordinateurs, répétez les étapes 4 à 6. Vous pouvez supprimer plus d’un ordinateur à la fois en appuyant sur la touche Commande lorsque vous sélectionnez des ordinateurs dans une présentation de réseau. Définition de listes dynamiques pour présentations de réseau gérées Vous pouvez associer des listes dynamiques de ressources réseau à une présentation de réseau. Mac OS X Server génère ces listes de manière dynamique lorsqu’elles sont sélectionnées par un utilisateur, à l’aide de protocoles de détection de services pour lesquels le serveur a été configuré (dans Format de répertoire). F0170.book Page 222 Monday, May 2, 2005 12:37 PMChapitre 10 Gestion des présentations de réseau 223 Ajout de listes dynamiques à des présentations de réseau gérées Vous pouvez automatiser l’affichage de listes de ressources réseau dans une présentation gérée en utilisant des listes dynamiques. Mac OS X et Mac OS X Server peuvent utiliser Open Directory pour détecter les services réseau, tels que les serveurs de fichiers, qui se font connaître via les protocoles de détection de services AppleTalk, SLP ou SMB/CIFS. Vous devez utiliser Format de répertoire sur le serveur hébergeant les présentations de réseau pour activer ou désactiver les différents protocoles de détection de services à utiliser pour fournir des listes dynamiques. Pour ajouter une liste dynamique à une présentation de réseau : 1 Ouvrez le Gestionnaire de groupe de travail, puis cliquez sur Réseau. 2 Cliquez sur le globe au-dessus de la liste Présentations de réseau et choisissez le répertoire de réseau dans lequel la présentation réside. 3 Cliquez sur le cadenas pour vous authentifier en tant qu’administrateur de domaine pour le répertoire. 4 Dans la liste Présentations de réseau, sélectionnez la présentation avec laquelle vous souhaitez travailler. 5 Dans la sous-fenêtre Présentation, cliquez sur le bouton Ajouter (+), puis choisissez Ajouter une liste dynamique. 6 Dans la liste qui apparaît, sélectionnez un emplacement de détection de services. Vous pouvez sélectionner plusieurs emplacements en maintenant la touche Commande enfoncée lorsque vous les sélectionnez. 7 Cliquer sur Ajouter. 8 Cliquer sur Enregistrer. F0170.book Page 223 Monday, May 2, 2005 12:37 PM224 Chapitre 10 Gestion des présentations de réseau Suppression de listes dynamiques de présentations de réseau gérées Lorsque vous supprimez une liste dynamique d’une présentation de réseau gérée, elle est supprimée de la liste de ressources visibles dans la présentation. Pour supprimer une liste dynamique d’une présentation de réseau : 1 Ouvrez le Gestionnaire de groupe de travail, puis cliquez sur Réseau. 2 Cliquez sur le globe au-dessus de la liste Présentations de réseau et choisissez le répertoire de réseau dans lequel la présentation réside. 3 Cliquez sur le cadenas pour vous authentifier en tant qu’administrateur de domaine pour le répertoire. 4 Dans la liste Présentations de réseau, sélectionnez la présentation avec laquelle vous souhaitez travailler. 5 Dans la sous-fenêtre Présentation, sélectionnez la liste dynamique que vous souhaitez supprimer de la présentation. Il se peut que vous deviez afficher le contenu de voisinages à l’aide des triangles d’affichage pour voir la liste. 6 Cliquez sur le bouton Supprimer (–) ou choisissez Serveur > Supprimer. 7 Si vous pensez avoir supprimé une liste par inadvertance, cliquez sur Revenir. Si non, cliquez sur Enregistrer. 8 Pour supprimer d’autres listes dynamiques, répétez les étapes 4 à 7. Vous pouvez supprimer plus d’une liste dynamique à la fois en appuyant sur la touche Commande lorsque vous sélectionnez des ordinateurs dans une présentation de réseau. Définition de l’utilisation des présentations de réseau gérées par des ordinateurs clients Plusieurs techniques sont disponibles pour configurer des ordinateurs afin qu’ils affichent des présentations de réseau gérées et contrôler le comportement des présentations sur les ordinateurs clients. Comment un ordinateur trouve-t-il ses présentations de réseau gérées Lorsqu’un ordinateur Mac OS X démarre, il effectue une recherche dans les répertoires qui se trouvent dans son chemin de recherche. S’il trouve un enregistrement d’ordinateur qui lui est destiné dans un des répertoires et si cet enregistrement est associé à une présentation de réseau gérée, il utilise cette présentation et arrête la recherche. F0170.book Page 224 Monday, May 2, 2005 12:37 PMChapitre 10 Gestion des présentations de réseau 225 Si l’ordinateur ne trouve pas d’enregistrement d’ordinateur associé à une présentation de réseau, il recherche dans les répertoires qui se trouvent dans son chemin de recherche, une présentation de réseau dont le nom répond à l’un des critères suivants (dans l’ordre indiqué) : • l’adresse Ethernet de l’ordinateur ; • l’adresse IP de l’ordinateur ; • la chaîne de sous-réseau de l’ordinateur. S’il trouve une présentation de réseau répondant à l’un de ces critères, l’ordinateur utilise cette présentation et arrête la recherche. S’il n’a toujours pas trouvé de présentation de réseau à ce stade, l’ordinateur cherche alors dans les répertoires qui se trouvent dans son chemin de recherche une présentation par défaut. La première présentation par défaut trouvée est utilisée. Après avoir exploré tous ses chemins de recherche, l’ordinateur client effectue sa recherche dans tous les répertoires auxquels il est autorisé à accéder, aussi bien dans son chemin de recherche qu’en dehors de ce dernier. Pour chaque répertoire, s’il trouve une présentation de réseau publique, il l’affiche dans un dossier portant le nom du serveur hébergeant le répertoire. S’il ne trouve pas de présentation publique mais bien une présentation par défaut, cette dernière est affichée dans un dossier nommé. Activation de la visibilité des présentations de réseau gérées Utilisez l’une des techniques suivantes pour rendre une présentation de réseau nommée visible sur un ordinateur client : • nommez la présentation à l’aide d’un identifiant de sous-réseau comprenant l’ordinateur ; • nommez la présentation d’après l’adresse Ethernet ou l’adresse IP de l’ordinateur ; • nommez la présentation autrement et identifiez-la dans un enregistrement d’ordinateur pour l’ordinateur. Assurez-vous ensuite que le chemin de recherche de l’ordinateur est configuré pour accéder au répertoire dans lequel la présentation est stockée. Les présentations publiques et par défaut sont accessibles sur tout ordinateur client qui est configuré pour accéder aux répertoires dans lesquels elles sont stockées. Pour identifier une présentation de réseau gérée dans un enregistrement d’ordinateur : 1 Ouvrez le Gestionnaire de groupe de travail, puis cliquez sur Réseau. 2 Cliquez sur le globe au-dessus de la liste Présentations de réseau et choisissez le répertoire de réseau dans lequel la présentation réside. 3 Cliquez sur le cadenas pour vous authentifier en tant qu’administrateur de domaine pour le répertoire. F0170.book Page 225 Monday, May 2, 2005 12:37 PM226 Chapitre 10 Gestion des présentations de réseau 4 Dans la liste Présentations de réseau, sélectionnez la présentation souhaitée, puis cliquez sur Réglages. 5 Pour affecter la présentation à un ordinateur pour lequel il existe déjà un enregistrement d’ordinateur dans le répertoire actuel, allez à l’étape 6. Pour affecter la présentation à un ordinateur pour lequel il n’existe pas d’enregistrement d’ordinateur dans le répertoire actuel, allez à l’étape 7. Pour naviguer à la recherche d’un ordinateur, qu’il dispose ou non d’un enregistrement d’ordinateur, allez à l’étape 8. 6 Pour affecter la présentation à un ordinateur qui possède un enregistrement d’ordinateur, cliquez sur le bouton Ajouter (+), puis sélectionnez Afficher les ordinateurs. Faites glisser un ordinateur depuis le tiroir qui est affiché dans la sous-fenêtre Réglages. 7 Pour affecter la présentation à un ordinateur dans un nouvel enregistrement d’ordinateur, cliquez sur le bouton Ajouter (+), puis sélectionnez Nouvel ordinateur. Dans la zone de dialogue qui apparaît, saisissez des informations dans deux champs. Dans le champ Nom, tapez le nom que vous souhaitez utiliser pour identifier l’ordinateur. Dans le champ ID Ethernet, tapez l’adresse Ethernet de l’ordinateur. 8 Vous pouvez cliquez sur le bouton Parcourir pour rechercher un ordinateur auquel vous souhaitez affecter la présentation. Le serveur recherche les ordinateurs qui possèdent le type de service “station de travail”. Il s’agit d’ordinateurs qui sont généralement affichés dans /Network/My Network. Si l’ordinateur que vous sélectionnez dispose d’un enregistrement d’ordinateur, un avertissement apparaît et l’ordinateur n’est pas ajouté à la liste des réglages. Pour ajouter l’ordinateur, utilisez l’étape 6. Si l’ordinateur que vous sélectionnez ne dispose pas d’un enregistrement d’ordinateur, un enregistrement d’ordinateur est créé et l’ordinateur est ajouté à la liste. 9 Cliquer sur Enregistrer. Désactivation de la visibilité des présentations de réseau gérées Si vous ne souhaitez plus qu’un ordinateur utilise un certaine présentation de réseau, vous pouvez : • désactiver la présentation ; • supprimer la présentation ; • dissocier la présentation de l’enregistrement d’ordinateur correspondant ; • changer la présentation associée à l’enregistrement d’ordinateur. F0170.book Page 226 Monday, May 2, 2005 12:37 PMChapitre 10 Gestion des présentations de réseau 227 Si vous avez nommé une présentation d’après un identifiant de sous-réseau et que vous ne souhaitez plus afficher la présentation sur l’un des ordinateurs du sous-réseau, affectez une autre présentation à un enregistrement d’ordinateur de cet ordinateur. Cette autre présentation peut être une autre présentation nommée ou une présentation par défaut. Pour désactiver la visibilité d’une présentation de réseau : 1 Ouvrez le Gestionnaire de groupe de travail, puis cliquez sur Réseau. 2 Cliquez sur le globe au-dessus de la liste Présentations de réseau et choisissez le répertoire de réseau dans lequel la présentation réside. 3 Cliquez sur le cadenas pour vous authentifier en tant qu’administrateur de domaine pour le répertoire. 4 Dans la liste Présentations de réseau, sélectionnez la présentation. 5 Pour désactiver la présentation, allez à l’étape 6. Pour supprimer la présentation, allez à l’étape 7. Pour dissocier la présentation d’un enregistrement d’ordinateur, allez à l’étape 8. Pour changer la présentation affectée à un enregistrement d’ordinateur, allez à l’étape 9. 6 Pour désactiver la présentation, utilisez la sous-fenêtre Présentation. Désélectionnez la case Activé, puis cliquez sur Enregistrer. Aucun des ordinateurs configurés pour utiliser la présentation ne pourra voir la présentation. 7 Pour supprimer la présentation de réseau, choisissez Serveur > Supprimer. 8 Pour supprimer la présentation d’un enregistrement d’ordinateur, utilisez la sous-fenêtre Réglages. Sélectionnez dans la liste l’ordinateur (ou les ordinateurs) dont vous souhaitez désactiver la visibilité de la présentation. Cliquez ensuite sur le bouton Supprimer (–), puis sur le bouton Enregistrer. 9 Pour remplacer la présentation affectée à un enregistrement d’ordinateur par une autre présentation située dans le même répertoire, utilisez la sous-fenêtre Réglages. Sélectionnez l’ordinateur dans la liste, puis cliquez sur le bouton Modifier. Sélectionnez la nouvelle présentation dans la liste déroulante Présentation de réseau, puis cliquez sur Enregistrer. Pour affecter une présentation provenant d’un autre répertoire, cliquez sur le globe audessus de la liste Présentations de réseau pour choisir le répertoire et vous authentifier en tant qu’administrateur de domaine pour le répertoire. Sélectionnez la présentation, puis utilisez la sous-fenêtre Réglages pour associer un enregistrement d’ordinateur de l’ordinateur à la présentation de réseau. F0170.book Page 227 Monday, May 2, 2005 12:37 PM228 Chapitre 10 Gestion des présentations de réseau Définition de la fréquence de rafraîchissement d’une présentation de réseau gérée Vous pouvez actualiser l’affichage d’une présentation de réseau selon une fréquence définie en minutes, heures ou jours. Pour définir la fréquence de rafraîchissement d’une présentation : 1 Ouvrez le Gestionnaire de groupe de travail, puis cliquez sur Réseau. 2 Cliquez sur le globe au-dessus de la liste Présentations de réseau et choisissez le répertoire de réseau dans lequel la présentation réside. 3 Cliquez sur le cadenas pour vous authentifier en tant qu’administrateur de domaine pour le répertoire. 4 Dans la liste Présentations de réseau, sélectionnez la présentation. 5 Dans la sous-fenêtre Réglages, indiquez l’intervalle de rafraîchissement que vous souhaitez appliquer à la présentation. 6 Cliquer sur Enregistrer. Définition du comportement du Finder avec des présentations de réseau gérées Vous pouvez afficher une présentation de réseau gérée dans le Finder d’un ordinateur client soit pour remplacer la liste des ressources réseau du Finder, soit en complément de cette dernière. Pour définir le comportement d’affichage des présentations de réseau gérées dans le Finder : 1 Ouvrez le Gestionnaire de groupe de travail, puis cliquez sur Réseau. 2 Cliquez sur le globe au-dessus de la liste Présentations de réseau et choisissez le répertoire de réseau dans lequel la présentation réside. 3 Cliquez sur le cadenas pour vous authentifier en tant qu’administrateur de domaine pour le répertoire. 4 Dans la liste Présentations de réseau, sélectionnez la présentation. 5 Dans la sous-fenêtre Réglages, sélectionnez “ajouter à la présentation de réseau” pour garder l’affichage par défaut des ressources réseau dans le Finder. Sélectionnez “remplacer la présentation de réseau” pour n’afficher que la présentation de réseau gérée dans le Finder. 6 Cliquer sur Enregistrer. F0170.book Page 228 Monday, May 2, 2005 12:37 PM11 229 11 Résolution des problèmes Ce chapitre peut vous apporter des solutions aux éventuels problèmes lors de l’utilisation du Gestionnaire de groupe de travail. Aide en ligne et site Web d’assistance et de service Apple Si vous ne trouvez pas la réponse à une question dans ces lignes, reportez-vous à l’aide en ligne de Mac OS X Server. Vous pouvez également consulter le site Web d’assistance et de service Apple pour y rechercher des informations et des solutions : docs.info.apple.com/article.html?artnum=75178 Résolution des problèmes liés aux comptes En cas de problèmes relatifs à l’administration de comptes d’utilisateur et de groupe, suivez les suggestions figurant dans cette section. Vous ne parvenez pas à modifier un compte à l’aide du Gestionnaire de groupe de travail Pour pouvoir modifier un compte à l’aide du Gestionnaire de groupe de travail : • Le domaine de répertoire doit être un répertoire LDAP d’un maître Open Directory, d’un domaine NetInfo ou de tout autre domaine de répertoire en lecture/écriture. Seuls ces derniers peuvent être mis à jour à l’aide du Gestionnaire de groupe de travail. • Vous devez être authentifié en tant qu’administrateur du domaine de répertoires. Pour vous authentifier, cliquez sur le cadenas (vers le bas de la fenêtre du Gestionnaire de groupe de travail). F0170.book Page 229 Monday, May 2, 2005 12:37 PM230 Chapitre 11 Résolution des problèmes Vous ne voyez pas certains utilisateurs dans la fenêtre de connexion Lorsque vous procédez à la mise à jour avec Mac OS X 10.4 et à la migration des utilisateurs existants vers un répertoire partagé sur le nouveau serveur, il se peut que certains utilisateurs n’apparaissent pas dans la fenêtre d’ouverture de connexion. Cette fenêtre n’affiche pas les utilisateurs qui possèdent un identifiant d’utilisateur inférieur à 500, mais ces derniers peuvent tout de même ouvrir une session en fournissant leur nom et leur mot de passe. Pour configurer la fenêtre d’ouverture de session d’un ordinateur Mac OS X afin d’afficher les utilisateurs réseau : 1 Configurez un répertoire partagé sur Mac OS X Server. 2 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes. 3 Sélectionnez une liste d’ordinateurs qui résident dans le répertoire partagé. 4 Sélectionnez “Définir ici les préférences de l’ordinateur hôte”, puis cliquez sur Enregistrer. 5 Cliquez sur Préférences, Ouvrir une session, puis sur Fenêtre d’ouverture de session. 6 Sélectionnez “Liste des utilisateurs de cet ordinateur” et “Afficher les utilisateurs du réseau”. Cliquez sur Appliquer. 7 Configurez un ordinateur Mac OS X 10.4 associé à la liste d’ordinateurs pour qu’il utilise le répertoire partagé. Vous ne parvenez pas à déverrouiller un répertoire LDAP Pour apporter des modifications à un domaine de répertoires quelconque, vous devez vous authentifier à l’aide du nom et du mot de passe d’un administrateur de ce répertoire. Par conséquent, pour modifier une entrée dans un répertoire LDAPv3 partagé, vous devez vous authentifier dans le Gestionnaire de groupe de travail à l’aide du nom et du mot de passe d’un compte d’administrateur de ce répertoire LDAPv3. (Vous ne pouvez pas utiliser un compte d’administrateur situé dans /Netinfo/root, le répertoire local de l’ordinateur, pour vous authentifier en tant qu’administrateur d’un répertoire LDAP partagé). F0170.book Page 230 Monday, May 2, 2005 12:37 PMChapitre 11 Résolution des problèmes 231 Vous ne pouvez pas modifier le mot de passe Open Directory d’un utilisateur Pour modifier le mot de passe d’un utilisateur dont le type de mot de passe est Open Directory, vous devez être un administrateur du domaine de répertoire dans lequel l’enregistrement de l’utilisateur réside. De plus, votre compte d’utilisateur doit posséder un mot de passe de type Open Directory. Le compte d’utilisateur spécifié lors de la configuration du maître Open Directory (à l’aide d’Assistant du serveur ou des réglages de services Open Directory dans Admin Serveur) possède un mot de passe Open Directory. Ce compte peut être utilisé pour configurer d’autres comptes d’utilisateur en tant qu’administrateur de domaine de répertoire avec des mots de passe Open Directory. Vous ne pouvez pas changer le type de mot de passe d’un utilisateur en Open Directory Pour changer le mot de passe d’un utilisateur en authentification Open Directory, vous devez être un administrateur du domaine de répertoire dans lequel l’enregistrement de l’utilisateur réside. De plus, votre compte d’utilisateur doit être configuré pour une authentification Open Directory. Le compte d’utilisateur spécifié lors de la configuration du maître Open Directory (à l’aide d’Assistant du serveur ou des réglages de services Open Directory dans Admin Serveur) possède un mot de passe Open Directory. Ce compte peut être utilisé pour configurer d’autres comptes d’utilisateur en tant qu’administrateur de domaine de répertoire avec des mots de passe Open Directory. Vous ne parvenez pas à attribuer des autorisations d’administrateur de serveur Pour affecter des autorisations d’administrateur de serveur à un utilisateur, commencez par vous connecter au serveur concerné dans le Gestionnaire de groupe de travail. Sélectionnez le compte d’utilisateur (ou créez un nouveau compte pour l’utilisateur) dans un domaine de répertoires sur ce serveur, puis sélectionnez “L’utilisateur peut administrer le serveur” dans la sous-fenêtre Élémentaire. F0170.book Page 231 Monday, May 2, 2005 12:37 PM232 Chapitre 11 Résolution des problèmes Les utilisateurs ne parviennent pas à se connecter ni à être authentifiés Testez les techniques suivantes pour déterminer si l’origine du problème d’authentification se situe au niveau de la configuration ou du mot de passe lui-même : • Réinitialisez le mot de passe sur une valeur connue, puis déterminez si le problème persiste. Essayez d’utiliser un mot de passe ASCII sur 7 bits, supporté par la plupart des clients. • Assurez-vous que les caractères contenus dans le mot de passe sont supportés par le protocole d’authentification. Les espaces en début, en milieu et en fin de chaîne, ainsi que les caractères spéciaux (par exemple, option + 8) ne sont pas supportés par tous les protocoles. Par exemple, les espaces en début de chaîne fonctionnent avec POP ou AFP, mais pas avec IMAP. • Assurez-vous que le clavier utilisé par l’utilisateur peut générer tous les caractères qui figurent dans son mot de passe. • L’authentification élémentaire ne gère pas beaucoup de méthodes d’authentification. Pour augmenter la probabilité de prise en charge des applications clientes d’un utilisateur, réglez le type de mot de passe de l’utilisateur sur Open Directory ou suggérez à l’utilisateur d’essayer une autre application. • Si le compte de l’utilisateur réside dans un domaine de répertoires qui n’est pas disponible, vous pouvez créer un compte d’utilisateur dans un domaine de répertoires disponible. • Vérifiez que le logiciel client code le mot de passe afin d’être correctement reconnu. Par exemple, Open Directory reconnaît des chaînes codées UTF-8 pouvant ne pas être envoyées par certains clients. • Assurez-vous que l’application et le système d’exploitation utilisés par l’utilisateur gèrent bien la longueur du mot de passe de l’utilisateur. Les applications Windows qui utilisent la méthode d’authentification Gestionnaire LAN, par exemple, ne gère que les mots de passe de 14 caractères, un mot de passe plus long, même géré par le service Windows de Mac OS X Server, entraînant alors un échec de l’authentification. • Si vous désactivez des méthodes d’authentification du serveur de mots de passe Open Directory, telles que APOP ou CRAM-MD5, les applications de l’utilisateur ne pourront plus s’authentifier à l’aide des méthodes désactivées. Le guide d’administration d’Open Directory explique comment désactiver et activer des méthodes d’authentification à l’aide d’un outil de ligne de commande. Après avoir activé ou désactivé des méthodes d’authentification du serveur de mots de passe Open Directory, il se peut que vous deviez réinitialiser le mot de passe de l’utilisateur. • Pour connaître des astuces permettant de résoudre les problèmes liés à Kerberos, consultez la section “Les utilisateurs ne peuvent pas s’authentifier à l’aide de la signature unique ou de Kerberos” à la page 234. F0170.book Page 232 Monday, May 2, 2005 12:37 PMChapitre 11 Résolution des problèmes 233 • Si un ordinateur Mac OS 8.1 à 8.6 ne parvient pas à s’authentifier pour le service de fichiers Apple, il se peut que le logiciel AppleShare Client de l’ordinateur nécessite une mise à niveau. • Les ordinateurs Mac OS 8.6 doivent utiliser la version 3.8.8 d’AppleShare Client. • Les clients Mac OS 8.1 à 8.5 doivent utiliser la version 3.8.6 d’AppleShare Client. • Les ordinateurs clients Mac OS 8.1 à 8.6 pour lesquels des volumes du serveur de fichiers sont automatiquement montés au démarrage doivent utiliser la version 3.8.3 d’AppleShare Client avec le module DHX UAM (User Authentication Module). Le module DHX UAM est livré avec le logiciel d’installation AppleShare Client 3.8.3. Les utilisateurs dépendant d’un Serveur de mots de passe ne parviennent pas à se connecter Si votre réseau contient un serveur sous Mac OS X Server 10.2, il peut être configuré pour obtenir l’authentification d’un serveur de mots de passe Open Directory hébergé par un autre serveur. Si l’ordinateur du Serveur de mots de passe est déconnecté du réseau, par exemple parce que vous avez débranché la câble du port Ethernet de l’ordinateur, les utilisateurs dont les mots de passe sont validés à l’aide du Serveur de mots de passe ne peuvent pas se connecter parce que son adresse IP n’est pas accessible. Les utilisateurs peuvent se connecter à Mac OS X Server si vous rebranchez l’ordinateur du Serveur de mots de passe au réseau. Pendant que l’ordinateur du serveur de mots de passe est hors ligne, les utilisateurs peuvent se connecter avec des comptes d’utilisateur dont le type de mot de passe est un mot de passe crypté ou un mot de passe Shadow. Les utilisateurs ne peuvent pas se connecter à l’aide de comptes dans un domaine de répertoire partagé Les utilisateurs ne peuvent pas se connecter à l’aide de comptes dans un domaine de répertoire partagé si le serveur hébergeant le répertoire n’est pas accessible. Un serveur peut devenir inaccessible à cause d’un problème lié au réseau, au logiciel de serveur ou au matériel du serveur. Les problèmes liés au matériel ou au logiciel du serveur affectent les utilisateurs qui tentent de se connecter à des ordinateurs Mac OS X et les utilisateurs qui tentent de se connecter au domaine Windows d’un PDC Mac OS X Server. Les problèmes liés au réseau peuvent affecter certains utilisateurs et pas d’autres, en fonction de là où se situe le problème lié au réseau. Les utilisateurs qui disposent de comptes d’utilisateur mobiles peuvent toujours se connecter aux ordinateurs Mac OS X qu’ils utilisaient précédemment. Et les utilisateurs affectés par ces problèmes peuvent se connecter à l’aide d’un compte d’utilisateur local défini sur l’ordinateur, comme, par exemple, le compte d’utilisateur créé pendant la configuration initiale, après l’installation de Mac OS X. F0170.book Page 233 Monday, May 2, 2005 12:37 PM234 Chapitre 11 Résolution des problèmes Les utilisateurs ne peuvent pas accéder à leur répertoire de départ Vérifiez que les utilisateurs ont accès aussi bien au point de partage où sont situés leurs répertoires de départ qu’aux répertoires proprement dits. Les utilisateurs ont besoin d’un accès en lecture pour le point de partage et d’un accès en lecture et en écriture pour leurs répertoires d’accueil. Certains utilisateurs ne peuvent pas changer leur mot de passe Les utilisateurs qui disposent de comptes dans le répertoire LDAP du serveur et qui ont un mot de passe de type “Mot de passe crypté” ne peuvent pas changer leur mot de passe après s’être connecté à partir d’un ordinateur client sous Mac OS X 10.3. Ces utilisateurs peuvent changer leur mot de passe si vous utilisez la sous-fenêtre Avancé de Gestionnaire de groupe de travail pour changer le réglage Type du mot de passe de leur compte en Open Directory. Lorsque vous apportez cette modification, vous devez aussi saisir un nouveau mot de passe. Expliquez ensuite aux utilisateurs qu’ils doivent se connecter à l’aide de ce nouveau mot de passe et le changer dans la sous-fenêtre Comptes des Préférences Système. Un utilisateur Mac OS X d’un domaine NetInfo partagé ne parvient pas à se connecter Ce problème survient lorsqu’un utilisateur tente de se connecter sur un ordinateur Mac OS X via un compte de domaine NetInfo partagé, alors que le serveur hébergeant ce domaine n’est pas accessible. L’utilisateur peut se connecter à l’ordinateur Mac OS X en utilisant le compte d’utilisateur local créé automatiquement lors de la configuration de l’ordinateur en vue d’utiliser un compte NetInfo. Le nom d’utilisateur “Administrateur” est proposé par défaut (ainsi que le nom abrégé “admin”), bien que vous puissiez modifier ces deux noms lorsque l’identifiant d’utilisateur et le mot de passe sont créés au moment de la création du compte. Les utilisateurs ne peuvent pas s’authentifier à l’aide de la signature unique ou de Kerberos En cas d’échec de l’authentification d’un utilisateur ou d’un service utilisant Kerberos, essayez les solutions suivantes : • L’authentification Kerberos est basée sur des horodatages cryptés. S’il existe un écart de plus de 5 minutes entre le centre de distribution de clés, l’ordinateur client et l’ordinateur du service, l’authentification peut échouer. Assurez-vous que les horloges de tous les ordinateurs sont synchronisées à l’aide du service Network Time Protocol (NTP) de Mac OS X Server ou de tout autre serveur horloge de réseau. Pour obtenir des informations sur le service NTP de Mac OS X, consultez le network services administration guide. • Assurez-vous que l’authentification Kerberos est activée pour le service en question. F0170.book Page 234 Monday, May 2, 2005 12:37 PMChapitre 11 Résolution des problèmes 235 • Si un serveur Kerberos servant à la validation de mot de passe est indisponible, réinitialisez le mot de passe de l’utilisateur afin de recourir à un serveur disponible. • Assurez-vous que le serveur fournissant le service Kerberos dispose bien d’un accès direct aux domaines de répertoires contenant les comptes des utilisateurs authentifiés via Kerberos. Les services AFP, de courrier ainsi que d’autres services kerbérisés de Nomdeproduit ont toujours accès aux comptes d’utilisateur qui se trouvent dans le domaine de répertoires local et dans tout domaine de répertoires LDAP éventuel du serveur. Pour obtenir des informations sur la configuration de l’accès à des domaines de répertoire sur d’autres serveurs, consultez le guide d’administration d’Open Directory. • Pour obtenir des informations susceptibles de aider à résoudre certains problèmes, consultez l’historique du centre de distribution de clés (kdc.log). Des informations de configuration incorrectes, comme des noms de fichiers de configuration incorrects, peuvent être détectées à l’aide de ces historiques. • Si des utilisateurs ne peuvent pas s’authentifier à l’aide de la signature unique ou de Kerberos pour des services fournis par un serveur connecté à un domaine Kerberos d’un maître Open Directory, l’enregistrement d’ordinateur du serveur est peut-être mal configuré dans le répertoire LDAP du maître Open Directory. En particulier, le nom du serveur qui figure dans la liste d’ordinateurs doit correspondre au nom DNS complet du serveur et pas simplement au nom d’hôte du serveur. Par exemple, le nom pourrait être serveur2.exemple.com, mais pas juste serveur2. Pour reconfigurer un enregistrement d’ordinateur d’un serveur pour la signature unique et pour l’authentification Kerberos : 1 Supprimez le serveur de la liste d’ordinateurs du répertoire LDAP. 2 Ajoutez à nouveau le serveur à la liste d’ordinateurs. 3 Déléguez à nouveau l’autorité pour connecter le serveur au domaine Kerberos du maître Open Directory. 4 Liez à nouveau le serveur au maître Open Directory pour la signature unique et pour l’authentification Kerberos. Pour des instructions détaillées, consultez la section “Ajout d’ordinateurs à une liste d’ordinateurs existante” à la page 119, “Suppression d’ordinateurs d’une liste d’ordinateurs” à la page 121 et le guide d’administration d’Open Directory. Résolution des problèmes de gestion des préférences Cette section décrit certains des problèmes que vous pouvez rencontrer en utilisant le Gestionnaire de groupe de travail pour configurer des comptes ou gérer des clients Mac OS X. Elle fournit également des conseils de dépannage et des solutions possibles. Si le problème que vous rencontrez ne trouve pas de solution ici, reportez-vous aux rubriques de l’aide en ligne du Gestionnaire de groupe de travail ou consultez le site Web d’assistance et de service Apple (www.apple.com/fr/support/). F0170.book Page 235 Monday, May 2, 2005 12:37 PM236 Chapitre 11 Résolution des problèmes Vous ne parvenez pas à appliquer les réglages Web par défaut Si vous gérez des préférences Internet à l’aide du Gestionnaire de groupe de travail et configurez un navigateur Web par défaut, une page d’accueil ou de recherche par défaut ou un emplacement spécifique destiné à conserver les fichiers téléchargés, certaines applications risquent de ne pas accepter ces réglages. Vous devrez peut-être configurer une page d’accueil par défaut en utilisant plutôt les réglages de préférences de l’application. Vous ne parvenez pas à appliquer les réglages de courrier par défaut Si vous gérez des préférences Internet à l’aide du Gestionnaire de groupe de travail et configurez un lecteur de messages, une adresse de courrier ou des serveurs de courrier par défaut, certaines applications risquent de ne pas accepter ces réglages. Il vous faudra peut-être utiliser les préférences de l’application de messagerie de l’ordinateur client. Les utilisateurs ne voient pas de liste de groupes de travail lors de la connexion Si l’utilisateur d’un compte réseau ne voit pas une liste de groupes de travail lorsqu’il se connecte : • Il se peut que cet utilisateur appartienne à un ou aucun groupe. Maintenez la touche Option enfoncée pendant la connexion pour afficher la liste des groupes de travail. • Il se peut que l’ordinateur de l’utilisateur n’appartienne à aucune liste d’ordinateurs. Ajoutez-le à une liste d’ordinateurs ou à la liste Ordinateurs hôtes. Si l’utilisateur d’un compte local ne voit pas une liste de groupes de travail lorsqu’il se connecte : • L’ordinateur de cet utilisateur n’est peut-être associé à aucun groupe de travail. Affectez un ou plusieurs groupes à la liste d’ordinateurs (ou à la liste Ordinateurs hôtes) dont fait partie l’ordinateur. • Il se peut que l’ordinateur de l’utilisateur n’appartienne à aucune liste d’ordinateurs. Ajoutez-le à une liste d’ordinateurs ou à la liste Ordinateurs hôtes. Les utilisateurs ne parviennent pas à ouvrir des fichiers Généralement, lorsque les utilisateurs double-cliquent sur un fichier dans le Finder ou sélectionnent un fichier à ouvrir à l’aide du menu Fichier du Finder, une application par défaut appropriée ouvre le fichier. Si les utilisateurs travaillent dans un environnement géré, cette méthode peut ne pas fonctionner. Supposons par exemple que l’application Aperçu soit désignée par défaut pour lire les fichiers PDF. Un utilisateur se connecte, puis double-clique sur un fichier PDF qui se trouve sur son bureau. Si les réglages de gestion appliqués à cet utilisateur ne prévoient pas l’accès à Aperçu, le fichier ne pourra pas être ouvert de cette manière. Si l’utilisateur est autorisé à accéder à une autre application capable de lire les fichiers PDF, il pourra lancer cette application afin d’ouvrir le fichier. F0170.book Page 236 Monday, May 2, 2005 12:37 PMChapitre 11 Résolution des problèmes 237 Pour vous assurer que les applications les plus utilisées sont accessibles aux utilisateurs, groupes ou listes d’ordinateurs, utilisez le Gestionnaire de groupe de travail pour ajouter l’application à la liste de la sous-fenêtre Applications des préférences. Les utilisateurs ne parviennent pas à ajouter des imprimantes à la liste d’imprimantes Les utilisateurs peuvent ajouter des imprimantes à la liste d’imprimantes de Configuration d’imprimante si vous sélectionnez Toujours comme option de gestion pour les préférences d’imprimante, puis choisissez Autoriser l’utilisateur à ajouter des imprimantes à la liste. Toutefois, si l’utilisateur tente d’imprimer un document à partir d’une application, il ne verra pas les imprimantes qu’il a ajoutées dans la liste des imprimantes disponibles. Le Gestionnaire de groupe de travail permet aux administrateurs d’interdire l’accès à des imprimantes ou de mettre un nombre quelconque d’imprimantes à la disposition d’utilisateurs, de groupes ou de listes d’ordinateurs spécifiques à l’aide de la sousfenêtre Liste d’imprimantes des préférences Imprimante. Remarque : si l’option Autoriser l’utilisateur à ajouter des imprimantes à la liste n’est pas sélectionnée, un mot de passe d’administrateur est nécessaire pour ajouter ou retirer des imprimantes de Configuration d’imprimante. Les éléments d’ouverture ajoutés par un utilisateur ne s’ouvrent pas Le Gestionnaire de groupe de travail vous permet d’utiliser des réglages d’éléments d’ouverture pour spécifier les éléments qui seront ouverts automatiquement lors de la connexion d’un utilisateur. L’ensemble des éléments qui s’ouvrent à la connexion dépend de ceux spécifiés par l’utilisateur, de l’ordinateur utilisé et du groupe choisi lors de la connexion. Un utilisateur peut ajouter des éléments d’ouverture supplémentaires s’il en a reçu l’autorisation. Toutefois, si vous sélectionnez Une fois comme option de gestion pour les éléments d’ouverture, tout élément ajouté par l’utilisateur sera supprimé à sa prochaine connexion. L’utilisateur pourra par la suite ajouter d’autres éléments d’ouverture s’il est autorisé à le faire. F0170.book Page 237 Monday, May 2, 2005 12:37 PM238 Chapitre 11 Résolution des problèmes Les éléments du Dock placés par un utilisateur sont manquants Le Gestionnaire de groupe de travail vous permet d’utiliser des réglages d’éléments du Dock pour spécifier les éléments qui apparaissent dans le Dock d’un utilisateur. L’ensemble des éléments du Dock d’un utilisateur dépend des éléments spécifiés par l’utilisateur, de l’ordinateur utilisé et du groupe choisi lors de la connexion. Un utilisateur peut ajouter des éléments supplémentaires à son Dock s’il en a reçu l’autorisation. Toutefois, si vous sélectionnez Une fois comme option de gestion pour les éléments du Dock, tout élément ajouté par l’utilisateur sera supprimé lors de sa prochaine connexion. L’utilisateur pourra par la suite placer des éléments supplémentaires dans le Dock s’il est autorisé à le faire. Le Dock d’un utilisateur comporte des éléments en double Lorsque vous utilisez le Gestionnaire de groupe de travail pour configurer les mêmes préférences d’élément de Dock pour plusieurs types de compte (utilisateur, groupe ou ordinateur), il se peut que le Dock d’un utilisateur géré contienne des éléments en double. Il peut arriver, par exemple, qu’une icône d’application soit affichée plusieurs fois dans le Dock de l’utilisateur. Cela n’a pas d’incidence sur les éléments du Dock ; tous fonctionnent parfaitement. Vous pouvez corriger ce problème en supprimant les réglages d’élément de Dock de tous les comptes affectés, puis en les redéfinissant. Un point d’interrogation apparaît dans le Dock des utilisateurs Vous pouvez utiliser le Gestionnaire de groupe de travail pour contrôler les éléments qu’un utilisateur peut voir dans son Dock. Les éléments du Dock sont en fait des alias qui renvoient à des éléments originaux stockés ailleurs, comme sur le disque dur ou sur un serveur distant par exemple. Si les éléments d’origine sont situés sur un serveur distant et que l’utilisateur n’est pas connecté à ce serveur, les éléments correspondants du Dock apparaîtront sous forme de points d’interrogation. L’utilisateur peut cliquer sur un point d’interrogation pour se reconnecter à un serveur (le serveur invitera éventuellement l’utilisateur à saisir un mot de passe). Une fois l’utilisateur connecté au serveur contenant les éléments orignaux, les icônes de son Dock retrouvent leur aspect normal et il est possible de cliquer dessus pour ouvrir l’élément correspondant. F0170.book Page 238 Monday, May 2, 2005 12:37 PMChapitre 11 Résolution des problèmes 239 Un message d’erreur inattendue est affiché à l’intention des utilisateurs Si vous gérez les préférences Classic et que vous essayez d’utiliser les tableaux de bord des applications Gestionnaire d’extensions, Partage de fichiers et Mise à jour de logiciels, il se peut qu’un message du type L’opération n’a pu être effectuée en raison d’un erreur inopinée (code d’erreur 1016) soit affiché. Ce message indique qu’un administrateur a restreint l’accès à l’élément auquel l’utilisateur tente d’accéder, en interdisant par exemple l’ouverture d’une application spécifique par cet utilisateur. Les utilisateurs ne sont pas autorisés à accéder aux tableaux de bord mentionnés cidessus lorsque les préférences Classic sont gérées. Ce type de message peut également être envoyé aux utilisateurs si vous avez choisi Masquer le Sélecteur et l’Explorateur réseau et qu’ils essaient d’utiliser le Sélecteur. Le message apparaît également si un utilisateur tente d’ouvrir une application non approuvée (ne figurant pas dans le panneau Éléments des préférences Applications du Gestionnaire de groupe de travail) soit sous l’environnement Classic, soit sous Mac OS X. F0170.book Page 239 Monday, May 2, 2005 12:37 PMF0170.book Page 240 Monday, May 2, 2005 12:37 PM 241 A Annexe A Importation et exportation d’informations de compte L’annexe A fournit des instructions pour l’importation et l’exportation d’informations de compte. Plusieurs outils, comme le Gestionnaire de groupe de travail et dsimport, sont disponibles pour exporter et importer des comptes. Quels sont les éléments que l’on peut exporter et importer Mac OS X Server contient des fonctionnalités d’exportation intégrées à Gestionnaire de groupe de travail. L’exportation est désormais un processus en deux étapes effectué à partir de l’une ou l’autre des trois sous-fenêtres Comptes de Gestionnaire de groupe de travail : Utilisateurs, Groupes et Listes d’ordinateurs. Il est possible d’exporter toute information que vous pouvez mettre en surbrillance dans les Comptes de Gestionnaire de groupe de travail en sélectionnant simplement Serveur > Exporter. Cela vaut pour un ou plusieurs utilisateurs dans la sous-fenêtre Utilisateurs, un ou plusieurs groupes dans la sous-fenêtre Groupes ou un ou plusieurs ordinateurs ou listes dans la sousfenêtre Listes d’ordinateurs des Comptes de Gestionnaire de groupe de travail. Le guide d’administration d’Open Directory répertorie de nombreux types d’enregistrements et leurs attributs les plus connus et décrit comment afficher et modifier les attributs autorisés pour chaque type d’enregistrement dans un répertoire LDAP particulier. F0170.book Page 241 Monday, May 2, 2005 12:37 PM242 Annexe A Importation et exportation d’informations de compte Vous pouvez importer tous les types d’enregistrements répertoriés dans Gestionnaire de groupe de travail, y compris mais sans s’y limiter, les types d’enregistrements suivants : utilisateurs, groupes, listes d’ordinateurs, ordinateurs, etc. À partir de Mac OS X 10.4, vous pouvez même importer des attributs partiels d’enregistrements individuels, tels que les attributs UserName, UserData, FirstName, MiddleName, LastName, AllNames, ENetAddress, NetDomains, NetGroups, HostServices, People, Locations, SharePoints, etc. Vous pouvez même combiner des attributs provenant de différents enregistrements pour importer tout ensemble d’informations que vous pouvez générer manuellement. Vous pouvez utiliser l’outil dsimport pour importer un nombre quelconque d’enregistrements à partir d’un fichier de texte avec séparateurs utilisant n’importe quels attributs définis dans le fichier suivant : /System/Library/Frameworks/DirectoryService.framework/Headers/DirServicesConst.h Le seul attribut obligatoire dans un enregistrement est le nom de l’enregistrement. Remarque : vous devrez redéfinir le mot de passe des comptes d’utilisateur dont le type de mot de passe est Open Directory. L’importation de mots de passe ne fonctionne généralement que si le mot de passe est stocké sous la forme d’une chaîne de texte dans le fichier d’importation, car le format de mot de passe stocké dans les fichiers de mot de passe standard ne peut pas être récupéré à partir de la forme cryptée dans laquelle il est enregistré. Le guide d’administration d’Open Directory décrit comment les attributs de compte d’utilisateur et de groupe que vous pouvez importer varient en fonction du type de fichier d’importation, comme par exemple : • Fichiers XML créés avec Mac OS X Server version 10.1 ou antérieures • Fichiers XML créés avec AppleShare IP 6.3 • Fichiers délimités par des caractères Vous ne pouvez pas utiliser de fichier d’importation pour modifier les utilisateurs prédéfinis suivants : daemon, root, nobody, unknown ou www, ni pour modifier les groupes prédéfinis suivants : admin, bin, daemon, dialer, mail, network, nobody, nogroup, operator, staff, sys, tty unknown, utmp, uucp, wheel ou www. Vous pouvez toutefois ajouter des utilisateurs aux groupes wheel et admin. Remarque : les mots de passe ne peuvent pas être exportés à l’aide de Gestionnaire de groupe de travail ni par aucune autre méthode. Si vous importez des comptes d’utilisateur à partir d’un fichier exporté, n’oubliez pas de définir les mots de passe manuellement ou de donner à l’attribut du mot de passe une valeur par défaut connue qui pourra être modifiée ultérieurement. F0170.book Page 242 Monday, May 2, 2005 12:37 PMAnnexe A Importation et exportation d’informations de compte 243 Utilisation du Gestionnaire de groupe de travail pour importer des utilisateurs et des groupes Vous pouvez utiliser le Gestionnaire de groupe de travail pour importer des comptes d’utilisateur et de groupe dans le répertoire LDAP d’un maître Open Directory ou dans un domaine NetInfo. Quand un fichier est importé, le Gestionnaire de groupe de travail identifie automatiquement le format d’enregistrement. Pour obtenir des informations sur la création de fichiers à importer, consultez les sections suivantes : • “Utilisation de fichiers XML créés avec Mac OS X Server 10.1 ou antérieur” à la page 245 • “Utilisation de fichiers XML créés avec AppleShare IP 6.3” à la page 246 • “Utilisation de fichiers délimités par des caractères” à la page 247 Pour importer des comptes à l’aide du Gestionnaire de groupe de travail : 1 Créez un fichier délimité par des caractères ou XML contenant les comptes à importer, puis placez-le de manière à ce qu’il soit accessible du serveur sur lequel vous utilisez le Gestionnaire de groupe de travail. Le répertoire LDAP d’un maître Open Directory prend en charge jusqu’à 100 000 enregistrements. Pour les bases de données NetInfo locales, veillez à ce que le fichier ne contienne pas plus de 10 000 enregistrements. 2 Dans Gestionnaire de groupe de travail, cliquez sur Comptes, puis sur l’icône de globe située sous la barre d’outils et choisissez le domaine de répertoires dans lequel vous souhaitez importer les comptes. 3 Cliquez sur le cadenas pour vous authentifier en tant qu’administrateur de domaine. 4 Facultativement, vous pouvez définir un préréglage de compte d’utilisateur dans le répertoire LDAP du serveur. Lorsque vous créez un préréglage pour l’importation de comptes d’utilisateur, définissez des options de mot de passe afin que les utilisateurs soient forcés de changer leur mot de passe lors de leur prochaine connexion. De la sorte, il n’est pas nécessaire de spécifier des mots de passe individuels pour chacun des utilisateurs dans le fichier d’exportation ou dans Gestionnaire de groupe de travail après l’importation des utilisateurs. Pour accéder aux options de mot de passe, cliquez sur Avancé, puis sur Options. Consultez la section “Création d’un préréglage pour des comptes d’utilisateur” à la page 72. 5 Vous pouvez également définir un préréglage de compte de groupe dans le répertoire LDAP du serveur. Consultez la section “Création d’un préréglage pour des comptes de groupe” à la page 102. 6 Choisissez Importation dans le menu Serveur, puis sélectionnez le fichier d’importation. 7 Sélectionnez l’une des options Gestion des doublons pour spécifier la marche à suivre si le nom abrégé d’un compte en cours d’importation est identique à celui d’un compte existant. F0170.book Page 243 Monday, May 2, 2005 12:37 PM244 Annexe A Importation et exportation d’informations de compte L’option Écraser enregistrement existant permet de supprimer tout enregistrement existant dans le domaine de répertoires. L’option Ignorer nouvel enregistrement ignore un compte situé dans le fichier d’importation. L’option Ajouter aux champs vides fusionne les données du fichier d’importation dans le compte existant lorsque les données correspondent à un attribut auquel n’est attribuée aucune valeur. L’option Ajouter à l’enregistrement existant ajoute des données aux données déjà présentes dans le compte attribut particulier à plusieurs valeurs situé dans le compte existant. Il n’y a pas création de doublons. Cette option peut par exemple être utilisée pour importer de nouveaux membres dans un groupe existant. 8 Si vous le souhaitez, choisissez un préréglage utilisateur et/ou préréglage de groupe dans les menus locaux de préréglages pour utilisateurs ou de préréglages pour groupes. 9 Dans le champ ID du premier utilisateur, vous pouvez entrer l’identifiant d’utilisateur à partir duquel commencer l’affectation d’identifiants aux nouveaux comptes d’utilisateur pour lesquels le fichier d’importation ne contient pas identifiant d’utilisateur. 10 Dans le champ ID du groupe principal, vous pouvez entrer l’identifiant de groupe à affecter aux nouveaux comptes d’utilisateur pour lesquels le fichier d’importation ne contient pas d’identifiant de groupe principal. 11 Cliquez sur Importation pour lancer l’opération d’importation. Utilisation du Gestionnaire de groupe de travail pour exporter des utilisateurs et des groupes Avec le Gestionnaire de groupe de travail, vous pouvez exporter des comptes d’utilisateur et de groupe à partir du répertoire LDAP d’un maître Open Directory ou d’un domaine NetInfo vers un fichier délimité par des caractères, lequel peut à son tour être importé dans un domaine NetInfo ou LDAP différent. Pour exporter des comptes à l’aide du Gestionnaire de groupe de travail : 1 Dans Gestionnaire de groupe de travail, cliquez sur Comptes, puis sur l’icône représentant un globe sous la barre d’outils et choisissez le domaine de répertoires à partir duquel vous souhaitez exporter des comptes. 2 Cliquez sur le cadenas pour vous authentifier en tant qu’administrateur de domaine. 3 Cliquez sur le bouton Utilisateurs pour exporter des utilisateurs ou sur le bouton Groupes pour exporter des groupes. F0170.book Page 244 Monday, May 2, 2005 12:37 PMAnnexe A Importation et exportation d’informations de compte 245 4 Pour exporter l’ensemble des comptes de la liste, sélectionnez-les tous. Pour exporter un compte spécifique, sélectionnez-le. Pour exporter plusieurs comptes, sélectionnezles en maintenant enfoncée la touche Commande ou Maj. 5 Choisissez Exporter dans le menu Serveur. 6 Spécifiez le nom à attribuer au fichier d’exportation ainsi que son emplacement. 7 Cliquez sur Exporter. Utilisation de dsimport pour importer des utilisateurs et des groupes Vous pouvez utiliser l’outil de ligne de commande dsimport pour importer des comptes d’utilisateur et de groupe dans un répertoire. dsimport permet la journalisation à trois niveaux grâce à l’option -l. Pour obtenir des instructions, consultez la page man ou le guide d’administration de la ligne de commande. Utilisation de fichiers XML créés avec Mac OS X Server 10.1 ou antérieur Vous pouvez utiliser Admin Serveur pour créer un fichier d’exportation à partir des versions 10.1 ou antérieures de Mac OS X Server, puis importer ce fichier dans le répertoire LDAP d’un maître Open Directory ou dans un domaine NetInfo à l’aide du Gestionnaire de groupe de travail ou de dsimport. Les attributs d’utilisateurs ci-dessous sont exportés dans ces fichiers XML. Les attributs entre chevrons (<>) sont obligatoires et génèrent un message d’erreur s’ils sont absents lorsque vous utilisez le fichier en tant que fichier d’importation : • indication signalant si un utilisateur peut se connecter • indication signalant si un utilisateur est un administrateur de serveur • • shell • commentaire • et • données de courrier Apple • ara (Apple Remote Access ; cette donnée est ignorée) F0170.book Page 245 Monday, May 2, 2005 12:37 PM246 Annexe A Importation et exportation d’informations de compte Les attributs de comptes ci-après peuvent figurer dans ces fichiers XML : • • noms abrégés d’autres membres Utilisation de fichiers XML créés avec AppleShare IP 6.3 Vous pouvez utiliser l’application Admin Web et Fichier pour créer un fichier d’exportation sur un serveur AppleShare IP 6.3, puis importer ce fichier dans le répertoire LDAP d’un maître Open Directory ou dans un domaine NetInfo à l’aide du Gestionnaire de groupe de travail ou de dsimport. Les attributs d’utilisateurs ci-dessous sont exportés dans ces fichiers XML. Les attributs entre chevrons (<>) sont obligatoires et génèrent un message d’erreur s’ils sont absents lorsque vous utilisez le fichier en tant que fichier d’importation : • (associé à un nom complet) • inetAlias (associé à un nom abrégé) • commentaire • indication signalant si un utilisateur peut se connecter • et • données de courrier Apple • indicateur signalant si l’utilisateur est un administrateur de serveur, si le mot de passe a changé et permettant de forcer la modification du mot de passe (ces données sont ignorées). L’outil dsimport génère des identifiants d’utilisateur lorsque vous importez ce fichier XML à l’aide du paramètre -s pour déterminer l’identifiant d’utilisateur de départ et incrémente l’identifiant d’utilisateur de chaque nouveau compte importé par la suite d’une unité. Il génère des ID de groupe principal à l’aide du paramètre -r. Lorsque vous procédez à une importation à l’aide du Gestionnaire de groupe de travail, les identifiants d’utilisateur et les identifiants de groupe principal sont générés au moment spécifié dans la boîte de dialogue. Les attributs de comptes ci-après peuvent figurer dans ces fichiers XML : • • noms abrégés d’autres membres F0170.book Page 246 Monday, May 2, 2005 12:37 PMAnnexe A Importation et exportation d’informations de compte 247 L’outil dsimport génère des identifiants de groupe lorsque vous importez ce fichier XML à l’aide du paramètre -r pour déterminer l’identifiant de groupe de départ et incrémenter l’identifiant de groupe de chaque nouveau compte importé par la suite d’une unité. Lorsque vous procédez à une importation à l’aide du Gestionnaire de groupe de travail, les identifiants de groupe sont générés à l’aide des informations fournies pour ceux de groupe principal dans la boîte de dialogue d’importation. Utilisation de fichiers délimités par des caractères Vous pouvez créer un fichier délimité par des caractères à l’aide du Gestionnaire de groupe de travail ou de dsimport afin d’exporter des comptes vers un fichier dans le répertoire LDAP d’un maître Open Directory ou dans un domaine NetInfo. Vous pouvez également créer un fichier délimité par des caractères soit manuellement, soit en utilisant une application de base de données ou de tableur. Le premier enregistrement du fichier doit être représentatif du format de chaque compte du fichier. Il existe trois options : • écrire une description d’enregistrement complète ; • utiliser le raccourci StandardUserRecord ; • utiliser le raccourci StandardGroupRecord. Les autres enregistrements du fichier décrivent les comptes d’utilisateur et de groupe, encodés au format décrit par le premier enregistrement. Écriture d’une description d’enregistrement Une description d’enregistrement identifie les champs de chaque enregistrement que vous souhaitez importer à partir d’un fichier délimité par des caractères, indique comment les enregistrements, les champs et les valeurs sont séparées et décrit le caractère d’échappement qui précède les caractères spéciaux dans un enregistrement. Encodez la description d’enregistrement à l’aide des éléments suivants dans l’ordre spécifié, en les séparant par un espace : • indicateur de fin d’enregistrement (en notation hexa) ; • caractère d’échappement (en notation hexa) ; • séparateur de champ (en notation hexa) ; • séparateur de valeur (en notation hexa) ; • type de comptes du fichier (DSRecTypeStandard:Users ou DSRecTypeStandard:Groups) ; • nombre d’attributs par compte ; • liste des attributs. F0170.book Page 247 Monday, May 2, 2005 12:37 PM248 Annexe A Importation et exportation d’informations de compte Pour les comptes d’utilisateur, la liste d’attributs doit, pour être complète, posséder un nom d’enregistrement et contenir les informations suivantes : • RecordName (nom abrégé de l’utilisateur) • RealName (nom complet de l’utilisateur) • Répertoire d’accueil NFS • Password • UniqueID (identifiant d’utilisateur)1 • PrimaryGroupID1 De plus, vous pouvez inclure : • UserShell (le shell par défaut) • NFSHomeDirectory (le chemin d’accès au répertoire de départ de l’utilisateur sur son ordinateur) • D’autres types de données d’utilisateur décrits dans le guide d’administration d’Open Directory Pour les compte de groupe, la liste d’attributs doit contenir les attributs suivants : • RecordName (le nom du groupe) • PrimaryGroupID (l’identifiant de groupe) • GroupMembership Voici un exemple de description d’enregistrement : 0x0A 0x5C 0x3A 0x2C dsRecTypeStandard:Users 7 RecordName Password UniqueID PrimaryGroupID RealName NFSHomeDirectory UserShell Voici un exemple d’enregistrement encodé à l’aide de la description : jim:Adl47E$:408:20:J. Dupont, Jean:/Network/Servers/somemac/Homes/jim:/bin/ csh Un enregistrement est composé de valeurs délimitées par des deux-points. Utilisez un double deux-points (::) pour indiquer qu’il manque une valeur. Lorsque vous importez des mots de passe d’utilisateur, vous pouvez insérer les informations suivantes dans la liste des attributs pour régler le type de mot de passe de l’utilisateur sur Open Directory : dsAttrTypeStandard:AuthMethod 1. Vous pouvez omettre ces derniers si vous spécifiez un identifiant d’utilisateur de départ et un identifiant de groupe principal par défaut lorsque vous importez le fichier. F0170.book Page 248 Monday, May 2, 2005 12:37 PMAnnexe A Importation et exportation d’informations de compte 249 La méthode permettant de régler le type de mot de passe d’un utilisateur importé sur Open Directory nécessite que les données importées possèdent une valeur pour le mot de passe. Si la valeur de mot de passe est absente pour un utilisateur, l’enregistrement d’utilisateur correspondant sera créé avec un type de mot de passe crypté ou shadow. Insérez ensuite les informations suivantes dans l’enregistrement formaté (dans notre exemple, le mot de passe de l’utilisateur est “mdp”) : dsAuthMethodStandard\:dsAuthClearText:mdp Remarque : dans cet exemple, le deux-points (:) constitue le séparateur de champs. Comme il y a un deux-points dans la description de cet attribut, il faut utiliser le caractère d’échappement pour indiquer que le deux-points ne doit pas être traité comme un délimiteur. Le caractère d’échappement dans cet exemple est la barre oblique inverse ( \ ). Si le séparateur de champs est un caractère différent du deuxpoints, il n’est pas nécessaire d’utiliser de caractère d’échappement. Voici un exemple d’en-tête provenant d’un fichier d’importation d’utilisateurs standard contenant des utilisateurs qui utilisent le serveur de mots de passe. Il doit être saisi sous la forme d’une ligne de texte dans laquelle les éléments sont séparés par des espaces et sans sauts de ligne, comme ci-dessous. Même si votre navigateur adapte le texte aux dimensions de l’écran, vous pouvez constater que la ligne ne contient pas de sauts de ligne si vous la copiez et la collez dans un éditeur de texte dans lequel le renvoi automatique à la ligne est désactivé : 0x0A 0x5C 0x3A 0x2C dsRecTypeStandard:Users 8 dsAttrTypeStandard:RecordName dsAttrTypeStandard:AuthMethod dsAttrTypeStandard:Password dsAttrTypeStandard:UniqueID dsAttrTypeStandard:PrimaryGroupID dsAttrTypeStandard:Comment dsAttrTypeStandard:RealName dsAttrTypeStandard:UserShell Voici un exemple d’enregistrement formaté avec les valeurs et les attributs suivants : : Nom de l’enregistrement (nom abrégé) : jdupont Méthode d’authentification : dsAuthClearText Mot de passe : mdp1 Identifiant unique : 1242 Identifiant de groupe principal : 20 Commentaires : Nom réel (nom complet) : Jean Dupont Shell utilisateur : /bin/tcsh jdupont:dsAuthMethodStandard\:dsAuthClearText:mdp1:1242:20::Jean Dupont:/ bin/tcsh F0170.book Page 249 Monday, May 2, 2005 12:37 PM250 Annexe A Importation et exportation d’informations de compte Remarque : dans cet exemple, les deux-points (:) sont également utilisés comme séparateurs de champs et la barre oblique inverse (\) comme caractère d’échappement. Comme ces exemples l’illustrent, vous pouvez soit utiliser le préfixe dsAttrTypeStandard: si vous faites référence à un attribut, soit l’omettre. Lorsque vous utilisez Gestionnaire de groupe de travail pour exporter des fichiers délimités par des caractères, il utilise le préfixe dans le fichier généré. F0170.book Page 250 Monday, May 2, 2005 12:37 PM 251 B Annexe B Autorisations de liste ACL et adhésions de groupe via GUID Mac OS X Server 10.4 fournit un nouvel attribut d’utilisateur et de groupe pour la détermination des autorisations et de l’adhésion aux groupes du système de fichiers. Mac OS X 10.4 s’écarte ainsi des pratiques historiques du système UNIX qui consistaient à : • ne baser les autorisations de système de fichiers que sur les attributs UID et GID ; • baser l’adhésion de groupe sur le nom abrégé d’utilisateur. Ce changement permet à Mac OS X 10.4 d’ajouter des listes ACL aux autorisations POSIX standard du système de fichiers. Il permet également à Mac OS X 10.4 de maintenir les adhésions de groupe lors du changement des noms abrégés d’utilisateur et de gérer les adhésions de groupe imbriquées. Cette amélioration des fonctionnalités ne supprime ni ne modifie les autorisations POSIX et n’affecte pas l’interopérabilité de Mac OS X avec les systèmes UNIX hérités ou d’autres systèmes d’exploitation. Important : après la mise à niveau avec Mac OS X Server 10.4 ou la migration de votre serveur vers ce système, il est vivement recommandé de créer une nouvelle copie de sauvegarde en exportant les comptes d’utilisateur et de groupe existants qui disposent désormais d’attributs GUID. Si vous devez restaurer des comptes utilisateur ou de groupe ultérieurement, ce nouveau fichier d’exportation vous permettra d’importer les utilisateurs et les groupes en conservant leur nouveau GUID. Rôle des GUID À partir de Mac OS X 10.4, un identifiant universel appelé identifiant GUID (de l’anglais “Globally Unique Identifier”, prononcez “gou-id”) fournit l’identité d’utilisateur et de groupe pour les autorisations ACL. Le GUID associe également un utilisateur à des adhésions de groupe et de groupes imbriqués. F0170.book Page 251 Monday, May 2, 2005 12:37 PM252 Annexe B Autorisations de liste ACL et adhésions de groupe via GUID Les outils d’administration de Mac OS X Server 10.2 et ultérieur affectent déjà automatiquement un nouvel identifiant GUID à chaque nouveau compte d’utilisateur et à chaque compte d’utilisateur importé, mais Mac OS X 10.4 est la première version à utiliser les GUID et à les incorporer dans les fichiers d’exportation. L’identifiant GUID est un attribut masqué. Pour afficher l’attribut GUID, utilisez l’Inspecteur du Gestionnaire de groupe de travail. Désormais, si deux utilisateurs peuvent avoir des noms étendus, noms abrégés, identifiants d’utilisateur et identifiants de groupe identiques, ils possèdent néanmoins des identifiants GUID différents. Ils pourront donc avoir des autorisations ACL différentes et appartenir à des groupes différents. Comme l’identifiant GUID est une valeur de 128 bits, la probabilité d’obtenir des doublons est extrêmement faible. En tant qu’administrateur, vous devez maintenant vous assurer qu’il est possible de restaurer des comptes d’utilisateur en conservant les GUID. La restauration des comptes d’utilisateur avec leurs identifiants UID, GID et leur nom abrégé, mais sans leur identifiant GUID ne permet pas de restaurer les autorisations ACL ni l’adhésion de groupe sous Mac OS X 10.4 ou ultérieur. Les listes de contrôle d’accès ACL complètent les autorisations POSIX Une liste ACL est une liste d’entrées de contrôle d’accès (en anglais “Access Control Entry” ou ACE), qui spécifient les autorisations d’accès à un dossier et à son contenu données ou refusées à un groupe ou un utilisateur. Les listes ACL spécifient également la manière dont leurs autorisations sont propagées à travers les hiérarchies de fichiers. Vous pouvez définir des autorisations ACL en plus des autorisations POSIX standard. Tout fichier ou dossier dispose toujours d’autorisations POSIX. À moins qu’un administrateur n’attribue des autorisations ACL, les autorisations POSIX continuent de déterminer l’accès dont bénéficient les utilisateurs dans un système Mac OS X 10.4. Si vous attribuez des autorisations ACL, elles auront priorité sur les autorisations POSIX standard. Pour en savoir plus sur les autorisations ACL et POSIX, consultez les guide des services de fichiers. Identifiants GUID et groupes Mac OS X 10.4 vérifie l’adhésion de groupe et de groupes imbriqués à l’aide des identifiants GUID. L’identifiant GUID d’un groupe est également utilisé par les listes ACL du système de fichiers et est stocké sur disque dans l’entrée ACE. Le nom abrégé d’utilisateur hérité n’est utilisé que s’il n’y a pas d’identifiant GUID dans l’enregistrement de groupe. F0170.book Page 252 Monday, May 2, 2005 12:37 PMAnnexe B Autorisations de liste ACL et adhésions de groupe via GUID 253 Autorisations et synchronisation de fichiers Pour que des fichiers synchronisés sur deux ordinateurs aient les mêmes autorisations POSIX, il faut que leurs identifiants UID soient identiques sur les deux ordinateurs. Pour avoir les mêmes autorisations ACL sur les deux ordinateurs, il faut que les identifiants GUID correspondent également. Cela peut se faire à l’aide de Gestionnaire de groupe de travail, d’outils de ligne de commande d’édition de répertoire ou, plus simplement, en partageant le même répertoire entre les deux ordinateurs. Les répertoires de départ portables PHD (Portable Home Directories) obligent l’utilisateur à disposer du même identifiant GUID dans le compte d’utilisateur local sur l’ordinateur de l’utilisateur et dans le compte d’utilisateur réseau sur un serveur Open Directory. Cela permet de s’assurer que les autorisations de fichiers sont identiques que l’utilisateur se connecte à l’aide du compte d’utilisateur local (lorsqu’il est déconnecté du réseau) ou du compte d’utilisateur réseau. Pour obtenir des information sur l’implémentation des identifiants GUID dans des répertoires, consultez le guide d’administration d’Open Directory. Interopérabilité des identifiants de sécurité SID et de Windows Les identifiants de sécurité SID (Security identifiers) pour systèmes Windows possèdent des fonctions semblables aux identifiants GUID pour systèmes Mac OS X. Chaque fois que Mac OS X affecte un identifiant GUID à un processus ou à un fichier, un identifiant SID est affecté également. Cela permet aux systèmes Mac OS X de fonctionner de manière transparente avec les systèmes Windows. Importation et exportation d’utilisateurs La possession d’un fichier d’exportation contenant un identifiant GUID pour chaque utilisateur et groupe vous permet de restaurer rapidement des utilisateurs et des groupes en conservant intactes leurs autorisations de fichiers ni leurs adhésions de groupe. L’attribut GUID est automatiquement inclus lors de l’exportation des enregistrements d’utilisateur à partir de Gestionnaire de groupe de travail ou de la ligne de commande sous Mac OS X Server 10.4. Si vous perdez des comptes d’utilisateur et créez de nouveaux comptes portant les mêmes identifiants d’utilisateur UID, identifiants de groupe GID et noms abrégés que les comptes perdus, les nouveaux comptes recevront de nouveaux identifiants GUID. Le nouvel identifiant GUID d’un utilisateur ne sera pas identique à l’identifiant GUID précédent et l’utilisateur ne conservera donc pas les anciennes autorisations ACL ou adhésions de groupe. De même, si vous importez des utilisateurs ou des groupes à partir d’un fichier ne contenant pas d’attribut GUID, Mac OS X Server affectera de nouveaux identifiants GUID à chaque utilisateur et groupe importé. F0170.book Page 253 Monday, May 2, 2005 12:37 PMF0170.book Page 254 Monday, May 2, 2005 12:37 PM 255 Glossaire Glossaire Ce glossaire définit les termes et les abréviations apparaissant dans l’aide en ligne ou les différents manuels de référence de Mac OS X Server. Les références à des termes définis ailleurs dans ce glossaire apparaissent en italiques. administrateur Utilisateur disposant d’autorisations d’administration de serveur ou de domaine de répertoires. Les administrateurs sont toujours membres du groupe “admin” prédéfini. adresse IP dynamique Adresse IP attribuée pour une durée limitée ou jusqu’à ce que l’ordinateur client n’en ait plus besoin. adresse IP statique Adresse IP affectée de manière permanente à un ordinateur ou un périphérique. AFP Apple Filing Protocol. Protocole client/serveur utilisé par le service de fichiers Apple sur les ordinateurs compatibles Macintosh pour partager des services de fichiers et de réseau. AFP utilise TCP/IP et d’autres protocoles pour les communications entre ordinateurs d’un réseau. attribut d’autorité d’authentification Valeur qui identifie le système de validation de mot de passe spécifié pour un utilisateur et fournit, si nécessaire, des informations supplémentaires. autorisations Droit d’accéder à des zones restreintes d’un système ou d’effectuer certaines tâches (telles que des tâches de gestion) dans le système. BIND Berkeley Internet Name Domain Programme inclus dans Mac OS X Server et qui implémente le service DNS. Ce programme est également appelé démon lorsqu’il est en cours d’exécution. boîte de dépôt Dossier partagé dont les privilèges permettent à d’autres utilisateurs d’écrire des données dans son contenu, mais pas de le lire. Seul le propriétaire de la boîte peut y accéder sans restriction. Les boîtes de dépôt ne doivent être créées qu’à l’aide d’AFP. Lorsqu’un dossier est partagé via AFP, l’appartenance d’un élément placé dans la boîte est automatiquement transférée au propriétaire du dossier qui peut alors accéder sans restriction et contrôler tous les éléments de la boîte de dépôt. F0170.book Page 255 Monday, May 2, 2005 12:37 PM256 Glossaire BSD Berkeley System Distribution. Version d’UNIX sur laquelle repose le logiciel Mac OS X. cache des préférences Emplacement de stockage servant à héberger les préférences de l’ordinateur et celles des groupes associés à cet ordinateur. Les préférences mises en cache vous aident à gérer des comptes d’utilisateurs locaux sur des ordinateurs portables. caractère générique Plage de valeurs possibles pour tout segment d’une adresse IP. CGI Common Gateway Interface. Script ou programme permettant d’ajouter des fonctions dynamiques à un site Web. Un script CGI transmet les informations entre un site Web et une application au service du site. chemin de recherche Voir politique de recherche. client géré Utilisateur, groupe ou ordinateur dont les autorisations d’accès et/ou les préférences sont sous le contrôle d’un administrateur. client sans système Ordinateur sur le disque dur duquel aucun système d’exploitation n’est installé. Les ordinateurs sans système peuvent démarrer à partir d’une image disque installée sur un serveur NetBoot. compte d’ordinateur Voir liste d’ordinateurs. comptes prédéfinis Comptes d’utilisateurs créés automatiquement lorsque vous installez Mac OS X. Certains comptes de groupes sont également prédéfinis. coupe-feu Logiciel destiné à protéger les applications réseau exécutées sur votre serveur. Le service de coupe-feu IP, intégré au logiciel Mac OS X Server, examine les paquets IP entrants et les refuse ou les accepte en fonction des filtres établis. délai de bail Période limitée durant laquelle les adresses IP sont affectées. Avec des baux courts, DHCP peut réaffecter des adresses IP sur des réseaux comptant plus d’ordinateurs que d’adresses disponibles. démon nfsd Processus de serveur NFS tournant en permanence en arrière-plan et traitant les requêtes de lecture et d’écriture provenant des clients. Plus il y a de démons disponibles et plus nombreux sont les clients qui peuvent être servis simultanément. DHCP Dynamic Host Configuration Protocol. Protocole utilisé pour la répartition dynamique d’adresses IP entre les ordinateurs clients. Chaque fois qu’un ordinateur client démarre, le protocole recherche un serveur DHCP et demande une adresse IP au serveur DHCP rencontré. Ce serveur cherche une adresse IP disponible et l’envoie à l’ordinateur client accompagnée d’un délai de bail—période pendant laquelle l’ordinateur client est autorisé à utiliser l’adresse. F0170.book Page 256 Monday, May 2, 2005 12:37 PMGlossaire 257 DNS Domain Name System. Base de données distribuée qui fait correspondre des adresses IP à des noms de domaines. Un serveur DNS, appelé également serveur de noms, conserve la liste des noms et des adresses IP associées à chaque nom. DNS en multidiffusion Protocole développé par Apple pour la détection automatique d’ordinateurs, de périphériques et de services sur les réseaux IP. Ce protocole standard Internet à l’état de proposition est parfois également appelé “ZeroConf”. Pour plus d’informations, consultez le site www.apple.fr ou www.zeroconf.org. Pour voir comment ce protocole est utilisé dans Mac OS X Server, voir nom d’hôte local. domaine de répertoire Base de données spécialisée qui stocke des informations de référence sur les utilisateurs et les ressources réseau nécessaires au logiciel système et aux applications. La base de données est optimisée pour gérer de nombreuses requêtes d’informations et trouver et obtenir rapidement ces informations. Le domaine de répertoires peut également être appelé nœud de répertoire ou simplement répertoire. domaine local Domaine de répertoires accessible uniquement à partir de l’ordinateur sur lequel il réside. dossier de groupe Répertoire servant à organiser les documents et les applications d’un intérêt particulier pour les membres d’un groupe et leur permettant d’échanger des informations. enfant Ordinateur dont les informations de configuration proviennent du domaine de répertoire partagé d’un parent. enregistrement MX Enregistrement Mail Exchange. Entrée d’un tableau DNS qui détermine l’ordinateur gérant le courrier pour un domaine Internet. Lorsqu’un serveur de courrier doit remettre des messages à un domaine Internet, il demande l’enregistrement MX du domaine concerné. Le serveur envoie les messages à l’ordinateur spécifié dans l’enregistrement MX. étendue Groupe de services. Une étendue peut consister en regroupements logiques d’ordinateurs, tels que tous les ordinateurs utilisés par le département de production ou en regroupements physiques, tels que tous les ordinateurs situés au premier étage d’un bâtiment. Vous pouvez définir une étendue en tant que partie ou ensemble de votre réseau. exportation Dans le système NFS (Network File System), moyen de partager un répertoire avec des clients sur un réseau. À définir pour le contexte RAID. FAI Fournisseur d’accès à Internet. Entreprise qui commercialise l’accès à Internet et fournit généralement un service d’hébergement de sites Web pour le commerce électronique, ainsi que des services de courrier. F0170.book Page 257 Monday, May 2, 2005 12:37 PM258 Glossaire file d’attente d’impression Zone dans laquelle les tâches d’impression attendent qu’une imprimante soit disponible. Le service d’impression de Mac OS X Server utilise les files d’attente d’impression sur le serveur pour faciliter la gestion. filtre Méthode de “filtrage” utilisée pour contrôler l’accès à un serveur. Un filtre est constitué d’une adresse IP, d’un masque de sous-réseau et parfois d’un numéro de port et d’un type d’accès. L’adresse IP et le masque de sous-réseau déterminent la plage d’adresses IP à laquelle s’applique le filtre. Finder simplifié Environnement utilisateur comportant tableaux et grandes icônes et qui offre aux débutants une interface conviviale et simple. Les volumes ou disques montés auxquels les utilisateurs ont accès apparaissent dans des tableaux plutôt que sur le bureau standard. FTP File Transfer Protocol. Protocole permettant aux ordinateurs de transférer des fichiers sur un réseau. Les clients FTP dont le système d’exploitation gère le protocole FTP peuvent se connecter à un serveur de fichiers et télécharger des fichiers, en fonction des autorisations d’accès dont ils bénéficient. La plupart des navigateurs Internet et bon nombre d’applications gratuites peuvent être utilisés pour accéder à un serveur FTP. groupe Ensemble d’utilisateurs ayant les mêmes besoins. Les groupes simplifient l’administration des ressources partagées. groupe de travail Ensemble d’utilisateurs pour lesquels vous définissez des préférences et des autorisations de groupe. Toutes les préférences que vous définissez pour un groupe sont stockées dans le compte de groupe. groupe principal Groupe par défaut d’un utilisateur. Le système de fichiers utilise l’identifiant du groupe principal lorsqu’un utilisateur accède à un fichier dont il n’est pas le possesseur. hiérarchie de domaine de répertoire Mode d’organisation des domaines de répertoires partagés et locaux. Une hiérarchie possède une structure arborescente inversée, le domaine racine (root) étant placé en haut et les domaines locaux en bas. hôte de courrier Ordinateur qui fournit le service de courrier. HTML Hypertext Markup Language. Ensemble de symboles ou de codes insérés dans un fichier à afficher par un navigateur Web. Le balisage indique au navigateur Web comment afficher les mots et images d’une page Web pour l’utilisateur. HTTP Hypertext Transfer Protocol. Protocole client/serveur pour le Web. Le protocole HTTP constitue pour un navigateur Web un moyen d’accès à un serveur Web et de requête de documents hypermedia HTML. IANA Internet Assigned Numbers Authority. Organisation chargée d’attribuer des adresses IP et des paramètres de protocole, ainsi que de gérer des noms de domaines. F0170.book Page 258 Monday, May 2, 2005 12:37 PMGlossaire 259 ICMP Internet Control Message Protocol. Protocole dédié au contrôle des messages et à la génération de rapports d’erreurs, utilisé entre serveurs hôtes et passerelles. Par exemple, certaines applications Internet utilisent le protocole ICMP pour envoyer un paquet en aller-retour entre deux hôtes, déterminer ainsi la durée requise par le trajet et détecter ainsi d’éventuels problèmes sur le réseau. Id. Util. Identifiant d’utilisateur. Numéro qui identifie un utilisateur de manière unique dans un système de fichiers. Les ordinateurs Mac OS X utilisent les identifiants d’utilisateurs pour contrôler l’appartenance de répertoires et de fichiers à un utilisateur. identifiant de groupe principal Numéro unique identifiant un groupe principal. IGMP Internet Group Management Protocol. Protocole Internet utilisé par les hôtes et les routeurs pour envoyer des paquets à des listes d’hôtes volontaires, dans le cadre d’un processus appelé multidiffusion. Le Serveur Enchaînement QuickTime (QTSS) utilise l’adressage multidiffusion, de même que le protocole SLP (Service Location Protocol). image disque Fichier qui, une fois ouvert, crée sur un bureau Mac OS une icône dont la présentation et le comportement sont similaires à ceux d’un véritable disque ou volume. Les ordinateurs clients peuvent, à l’aide de NetBoot, démarrer via le réseau à partir d’une image disque basée sur un serveur et contenant un logiciel système. Les fichiers d’image disque présentent l’extension .img ou .dmg. Les deux formats d’image sont similaires et sont représentés par la même icône dans le Finder. Le format .dmg ne peut pas être utilisé sur les ordinateurs qui exécutent Mac OS 9. image fantôme Fichier créé par le processus démon NetBoot pour chaque client utilisant NetBoot, pour lequel les applications qui s’exécutent sur le client peuvent écrire des données temporaires. IMAP Internet Message Access Protocol. Protocole client/serveur de courrier permettant aux utilisateurs de stocker leur courrier sur le serveur de courrier plutôt que de le télécharger sur l’ordinateur local. Le courrier demeure sur le serveur jusqu’à ce que l’utilisateur décide de l’effacer. IP Internet Protocol. Également désigné par IPv4. Méthode utilisée conjointement avec le protocole TCP (Transmission Control Protocol) pour envoyer des données d’un ordinateur à un autre via un réseau local ou via Internet. Le protocole IP envoie les paquets de données, alors que le protocole TCP se charge de leur suivi. Kerberos Système d’authentification réseau sécurisé. Kerberos utilise des tickets, délivrés pour un utilisateur, un service et une période déterminés. Une fois l’utilisateur authentifié, celui-ci peut accéder à des services supplémentaires sans devoir resaisir de mot de passe (signature unique) pourvu que ces services aient été configurés pour accepter les tickets Kerberos. Mac OS X Server utilise Kerberos v5. F0170.book Page 259 Monday, May 2, 2005 12:37 PM260 Glossaire LDAP Lightweight Directory Access Protocol. Protocole client/serveur standard pour accéder à un domaine de répertoires. liste d’ordinateurs Liste d’ordinateurs partageant les mêmes réglages de préférences et accessibles par les mêmes utilisateurs et groupes. LPR Line Printer Remote. Protocole standard d’impression via TCP/IP. maître Open Directory Serveur qui fournit le service de répertoire LDAP, le service d’authentification Kerberos et le serveur de mots de passe Open Directory. MBONE Multicast Backbone. Réseau virtuel gérant la multidiffusion IP. Un réseau MBONE utilise le même support physique qu’Internet, sauf qu’il est conçu pour réassembler les paquets de données de multidiffusion afin qu’ils s’apparentent à des paquets de données de diffusion individuelle. MIB Management Information Base. Base de données virtuelle permettant de surveiller un périphérique à l’aide d’applications SNMP. MIME Multipurpose Internet Mail Extensions. Standard Internet utilisé pour spécifier comment un navigateur Web doit traiter un fichier possédant certaines caractéristiques. L’extension du fichier indique son type. Vous pouvez déterminer la façon dont un serveur doit réagir lorsqu’il reçoit des fichiers portant certains suffixes. Chaque suffixe et la réponse qui lui correspond constituent une association de type MIME. MTA Mail Transfer Agent. Service de courrier qui envoie le courrier sortant, reçoit le courrier entrant à l’attention des destinataires locaux et fait suivre le courrier entrant des destinataires non locaux vers d’autres MTA. multi-adressage Capacité à gérer plusieurs connexions réseau. Lorsque plusieurs connexions sont disponibles, Mac OS X sélectionne celle adéquate en fonction de l’ordre spécifié dans les préférences réseau. NetBIOS Network Basic Input/Output System. Programme permettant aux applications situées sur différents ordinateurs de communiquer au sein d’un réseau local. NetInfo L’un des protocoles Apple d’accès à un domaine de répertoires. NFS Network File System. Protocole client/serveur utilisant le protocole IP (Internet Protocol) pour permettre aux utilisateurs distants d’accéder à des fichiers comme s’ils se trouvaient sur leur disque. Le service NFS exporte les volumes partagés vers les ordinateurs en fonction de l’adresse IP, plutôt que du nom et mot de passe utilisateur. nœud de répertoire Voir domaine de répertoire. nom abrégé Abréviation du nom d’un utilisateur. Le nom abrégé est utilisé par Mac OS X pour les répertoires de départ, l’authentification et les adresses électroniques. F0170.book Page 260 Monday, May 2, 2005 12:37 PMGlossaire 261 nom canonique Nom “réel” d’un serveur, si vous lui avez attribué un “surnom” ou un alias. Le serveur courrier.apple.com, par exemple, peut avoir comme nom canonique SrvCourrier473.apple.com. nom complet Forme longue d’un nom d’utilisateur ou de groupe. Voir aussi nom d’utilisateur. nom complet Voir nom long. nom d’hôte local Nom qui désigne un ordinateur sur un sous-réseau local. Il peut être utilisé sans système DNS global afin de résoudre les noms en adresses IP. Il est constitué de lettres minuscules, de chiffres et de traits d’union (sauf en tant que dernier caractère), et se termine par “.local” (par exemple, factures-ordinateur.local). Bien que le nom soit défini par défaut à partir du nom d’ordinateur, l’utilisateur peut définir ce nom dans la sous-fenêtre Réseau des Préférences Système. Il peut être modifié facilement et utilisé partout où un nom DNS ou un nom de domaine complet est utilisé. Il peut uniquement être résolu sur le même sous-réseau que l’ordinateur qui l’utilise. nom d’utilisateur Nom complet d’un utilisateur, parfois qualifié de réel. Voir aussi nom abrégé. Open Directory Architecture des services de répertoires Apple qui peut accéder à des informations de référence sur les utilisateurs et les ressources réseau à partir de domaines de répertoires utilisant les protocoles LDAP, NetInfo, ou Active Directory, les fichiers de configuration BSD et les services de réseau. ORBS Open Relay Behavior-modification System. Service Internet qui répertorie dans une liste noire les serveurs connus pour être des relais ouverts ou supposés comme tels pour les expéditeurs de courrier indésirable. Les serveurs ORBS sont également appelés serveurs “trou noir”. ordinateur administrateur Ordinateur Mac OS X sur lequel vous avez installé les applications de serveur situées sur le CD Serveur Mac OS X Server Admin. ordinateur invité Ordinateur inconnu ne figurant dans aucune liste d’ordinateurs de votre serveur. parent Ordinateur dont le domaine de répertoires partagé fournit des informations de configuration à un autre ordinateur. PHP PHP Hypertext Preprocessor (à l’origine Personal Home Page). Langage de script incorporé au langage HTML et utilisé pour créer des pages Web dynamiques. point de partage Dossier, disque dur (ou partition de disque dur) ou CD accessible via le réseau. Un point de partage constitue le point d’accès situé au premier niveau d’un groupe d’éléments partagés. Les points de partage peuvent être partagés à l’aide des protocoles AFP, Windows SMB, NFS (exportation) ou FTP. F0170.book Page 261 Monday, May 2, 2005 12:37 PM262 Glossaire point de relais Voir relais ouvert. politique de recherche Liste des domaines de répertoire parmi lesquels un ordinateur Mac OS X effectue ses recherches lorsqu’il a besoin d’informations de configuration. Désigne également l’ordre dans lequel les domaines sont pris en compte lors de la recherche. Parfois appelé “chemin de recherche”. POP Post Office Protocol. Protocole destiné à récupérer le courrier entrant. Une fois qu’un utilisateur a récupéré son courrier POP, ce dernier est stocké sur l’ordinateur de l’utilisateur et, généralement, supprimé automatiquement du serveur de courrier. préférences gérées Préférences Système ou d’applications sous le contrôle d’un administrateur. Le Gestionnaire de groupe de travail permet aux administrateurs de contrôler les réglages de certaines préférences système pour les clients gérés Mac OS X. préréglages Attributs d’origine par défaut que vous spécifiez pour les nouveaux comptes créés à l’aide du Gestionnaire de groupe de travail. Vous ne pouvez utiliser les préréglages que lors de la création d’un compte. profil d’utilisateur Ensemble de réglages personnels relatifs au bureau et aux préférences, que Windows enregistre pour un utilisateur et applique chaque fois que ce dernier se connecte. propriétaire Le propriétaire d’un élément peut définir des autorisations de Lecture et écriture, Lecture seule ou Accès interdit pour le Propriétaire, le groupe et les Autres. Le propriétaire peut également attribuer la propriété d’un élément à un autre utilisateur et affecter des autorisations de groupe à un autre groupe. Par défaut, le propriétaire dispose d’autorisations Lecture et écriture. QTSS QuickTime Streaming Server. Technologie permettant de diffuser des données en temps réel sur Internet. relais Dans QuickTime Streaming Server, un relais reçoit un flux entrant et le réexpédie vers un serveur de diffusion en continu ou plus. Les relais permettent de réduire la consommation de bande passante Internet et sont très utiles pour les diffusions avec de nombreux spectateurs dans différents emplacements. En terme de courrier électronique Internet, un relais est un petit serveur SMTP de courrier électronique qui envoie le courrier entrant à un autre serveur SMTP plutôt qu’à sa destination finale. relais ouvert Serveur recevant et transférant automatiquement le courrier vers un autre serveur. Les émetteurs de courrier indésirable exploitent les serveurs relais ouverts, afin que leurs propres serveurs de courrier ne figurent pas sur les listes noires référençant les sources de courrier indésirable. répartition de la charge Processus qui consiste à répartir sur plusieurs services les demandes de services réseau effectuées par les ordinateurs clients, afin d’optimiser les performances. F0170.book Page 262 Monday, May 2, 2005 12:37 PMGlossaire 263 répertoire de départ Dossier destiné à l’usage personnel d’un utilisateur. Entre autres, Mac OS X utilise également le répertoire de départ pour stocker des Préférences Système et des réglages d’utilisateur gérés pour les utilisateurs Mac OS X. répertoire de départ local Répertoire de départ résidant sur le disque dur de l’ordinateur auquel est connecté un utilisateur. Il n’est accessible que par ouverture de session directe sur l’ordinateur où il réside, sauf si vous ouvrez une session sur l’ordinateur via SSH. réseau géré Éléments que les clients gérés sont autorisés à “voir” lorsqu’ils cliquent sur l’icône Réseau dans une fenêtre du Finder. Les administrateurs contrôlent ce réglage à l’aide du Gestionnaire de groupe de travail. Également appelé “présentation de réseau”. ROM de démarrage Instructions sur les exigences matérielles utilisées par un ordinateur au cours des premières étapes du démarrage. royaume À définir ; terme général avec plusieurs applications. Voir royaume WebDAV, royaume Kerberos. royaume Kerberos Domaine d’authentification comprenant les utilisateurs et les services enregistrés auprès du même serveur Kerberos. Les services et utilisateurs enregistrés font confiance au serveur Kerberos pour vérifier l’identité de chacun. royaume WebDAV Région d’un site Web, généralement un dossier ou un répertoire, réservé aux utilisateurs et groupes WebDAV. RTP Real-Time Transport Protocol. Protocole de transport réseau de bout en bout adapté aux applications qui transmettent des données en temps réel (audio, vidéo ou simulation) par l’intermédiaire de services réseau en multi ou monodiffusion. RTSP Real Time Streaming Protocol. Protocole de niveau applicatif servant à contrôler la transmission des données ayant des propriétés de temps réel. Ce protocole RTSP propose une structure extensible qui permet de transmettre les données en temps réel sous contrôle et sur demande, des données audio ou vidéo par exemple. Les sources de données peuvent inclure aussi bien des données en direct que des clips enregistrés. SDP Session Description Protocol. Fichier texte utilisé avec un serveur d’enchaînement QuickTime pour fournir des informations sur le format, la synchronisation et la paternité d’une diffusion en direct, ainsi qu’indiquer à l’utilisateur comment effectuer la syntonisation. serveur de noms Serveur d’un réseau qui tient à jour une liste des noms de domaines et des adresses IP associées à chaque nom. Voir aussi DNS, WINS. serveur NetBoot Serveur Mac OS X sur lequel le logiciel NetBoot est installé et configuré pour autoriser les clients à démarrer à partir d’images disque situées sur le serveur. F0170.book Page 263 Monday, May 2, 2005 12:37 PM264 Glossaire serveur proxy Serveur placé entre une application cliente, telle qu’un navigateur Web, et un serveur réel. Le serveur proxy intercepte toutes les requêtes destinées au serveur réel pour vérifier s’il ne peut y répondre lui-même. Si tel n’est pas le cas, il fait suivre la requête au serveur réel. services de répertoire Services fournissant au logiciel système et aux applications un accès uniforme aux domaines de répertoire et autres sources d’informations sur les utilisateurs et les ressources. SLP DA Service Location Protocol Directory Agent. Protocole utilisé pour répertorier les services disponibles sur un réseau, afin de permettre aux utilisateurs d’y accéder facilement. Lorsqu’un service est ajouté au réseau, il utilise le protocole SLP pour s’enregistrer sur le réseau. SLP/DA conserve les services de réseau enregistrés dans un emplacement centralisé. SMB/CIFS Server Message Block/Common Internet File System. Protocole permettant à des ordinateurs clients d’accéder à des fichiers et à des services de réseau. Il peut être utilisé via TCP/IP, Internet ou d’autres protocoles. Les services Windows utilisent le protocole SMB/CIFS pour fournir l’accès aux serveurs, imprimantes et autres ressources réseau. SMTP Simple Mail Transfer Protocol. Protocole utilisé pour envoyer et transférer du courrier. Sa capacité à placer les messages entrants en file d’attente étant limitée, il n’est généralement utilisé que pour envoyer des messages, POP ou IMAP étant utilisés pour les recevoir. SNMP Simple Network Management Protocol. Ensemble de protocoles standard utilisés pour gérer et contrôler des périphériques réseau sur plusieurs plates-formes. sous-réseau Regroupement d’ordinateurs clients faisant partie du même réseau, structuré en fonction de l’emplacement physique (les différents étages d’un bâtiment, par exemple) ou de l’utilisation (tous les élèves d’une même classe par exemple). L’utilisation de sous-réseaux permet de simplifier les tâches d’administration. Voir aussi sous-réseau IP. sous-réseau IP Partie d’un réseau IP, pouvant être un segment de réseau physiquement indépendant, partageant une adresse réseau avec d’autres parties du réseau et identifiée par un numéro de sous-réseau. spam Courrier non sollicité, indésirable. SSL Secure Sockets Layer. Protocole permettant d’envoyer sur Internet des informations cryptées et authentifiées. Les versions plus récentes de SSL sont appelées TLS (Transport Level Security). F0170.book Page 264 Monday, May 2, 2005 12:37 PMGlossaire 265 TCP Transmission Control Protocol. Méthode utilisée avec le protocole IP (Internet Protocol) pour envoyer, via Internet, des données sous forme d’unités de messages entre ordinateurs. Le protocole IP se charge de gérer le transfert des données, alors que le protocole TCP effectue le suivi individuel des unités de données (paquets). Chaque message est fractionné en plusieurs unités afin d’assurer un routage efficace via Internet. Tomcat Implémentation de référence officielle de Java Servlet 2.2 et JavaServer Pages 1.1, deux technologies complémentaires développées dans le cadre de Java Community Process. tous Tout utilisateur pouvant se connecter à un serveur de fichiers : utilisateur référencé ou invité, utilisateur FTP anonyme ou visiteur d’un site Web. TTL Time-to-live, ou durée de vie. Durée spécifiée pendant laquelle les informations DNS sont stockées en cache. Lorsqu’une paire nom de domaine/adresse IP se trouve en cache depuis plus longtemps que la durée TTL spécifiée, l’entrée est supprimée du cache du serveur de noms (mais pas du serveur DNS principal). UDP User Datagram Protocol. Méthode de communication utilisant le protocole IP pour envoyer une unité de données (datagramme) d’un ordinateur à un autre sur un réseau. Les applications réseau devant échanger de toutes petites unités de données peuvent utiliser le protocole UDP à la place de TCP. Unicode Standard affectant un nombre unique à chaque caractère, sans tenir compte de la langue ou du système d’exploitation utilisé pour afficher la langue. USB Universal Serial Bus. Standard de communication entre un ordinateur et des périphériques externes utilisant un câble de connexion directe bon marché. utilisateur inactif Utilisateur connecté au serveur, mais qui n’en sollicite plus le volume depuis un certain de temps. utilisateur invité Utilisateur pouvant se connecter à votre serveur sans fournir de nom ni de mot de passe. utilisateur virtuel Autre adresse électronique (nom abrégé) d’un utilisateur. Similaire à un alias, mais impliquant la création d’un nouveau compte d’utilisateur. valide Uniform Resource Locator. Adresse d’un ordinateur, d’un fichier ou d’une ressource accessible sur un réseau local ou sur Internet. L’adresse URL se compose du nom du protocole utilisé pour accéder à la ressource, du nom de domaine qui identifie un ordinateur spécifique sur Internet et de la description hiérarchique de l’emplacement du fichier sur l’ordinateur. F0170.book Page 265 Monday, May 2, 2005 12:37 PM266 Glossaire VPN Virtual Private Network. Réseau privé virtuel utilisant le cryptage ainsi que d’autres technologies pour fournir des communications sécurisées sur un réseau public, en général Internet. Ces réseaux sont généralement moins onéreux que des réseaux privés réels qui recourent à des lignes privées, mais s’appuient sur le même système de cryptage aux deux extrémités de la ligne. Le cryptage peut être réalisé par des logiciels de coupe-feu ou par des routeurs. WebDAV Web-based Distributed Authoring and Versioning. Environnement de création en direct permettant aux utilisateurs clients d’extraire des pages Web d’un site, de les modifier, puis de les replacer sur le site sans que ce dernier ne cesse de fonctionner. WINS Windows Internet Naming Service. Service de résolution de noms utilisé par les ordinateurs Windows pour faire correspondre les noms des clients avec des adresses IP. Un serveur WINS peut se trouver soit sur le réseau local, soit sur Internet. F0170.book Page 266 Monday, May 2, 2005 12:37 PM267 Index Index A accès à des ordinateurs 124 au point de partage de groupe 194 au répertoire de départ 194 aux applications 164, 166 aux dossiers 186 aux dossiers de groupes(ajouter un élément au Dock) 174 aux éléments de menu (Redémarrer, Éteindre) 187 aux éléments du menu (Classic) 170 aux icônes de disque et de serveur 182 aux iDisk 185 aux outils UNIX 167 aux serveurs distants 184 aux supports 199 administrateur de domaine 43 administrateurs de serveur autorisations 82 adresses ajout pour les utilisateurs 14 AFP (Apple Filing Protocol) configuration de points de partage à l’aide de 137 aide 15 AirPort 62 applications gestion de l’accès 164–167 authentification 45, 48 résolution de problèmes 232 autorisations 32, 53, 71, 80–89, 105, 111, 131, 200 administrateur de serveur 83 administration de domaine de répertoire 83 B bouton Groupes 46 bouton Listes des ordinateurs 46 bouton Utilisateurs 46 bureau apparence des éléments du bureau 187 autoriser l’utilisateur à reconstruire 170 C cache des préférence comment la vider 160 cache des préférences mise à jour 159 Carnet d’adresses 14 changement rapide d’utilisateur 197 clients mobiles 55–62 commande Graver le disque 186 commentaires modification 87 compte d’administrateur de domaine 36 comptes actualisation de la liste 49 personnalisation de la liste 38 recherche de comptes spécifiques 50 Voir aussi comptes d’utilisateur, comptes de groupe, listes d’ordinateurs, comptes d’invités 37 comptes d’utilisateur commentaires 87 création 67 création de comptes LDAPv3 en lecture/ écriture 68 désactivation 72 groupe par défaut 88 lecture seule 70 locaux 125 modification 68 modification des 69 mots-clés 87 préréglages 72–74 suppression 71 utilisateurs invités 70 comptes d’utilisateurs invités 71 comptes de groupe ajout d’utilisateurs 89, 105 à propos des 27, 99 attribution du nom 106 création 101 création de préréglages 102 définition d’identifiants 107 définition du groupe principal d’un utilisateur 88 en lecture seule 104 F0170.book Page 267 Monday, May 2, 2005 12:37 PM268 Index gestion des préférences 161 modification 102, 103, 104 suppression 114 suppression d’utilisateurs 90, 106 vérification des groupes auxquels appartient un utilisateur 90 connexion résolution de problèmes 232, 233, 234 D dépannage 229–239 utilisateurs et groupes 229 Dock ajout d’éléments 175 contrôle des éléments 175 données ajout d’informations personnelles pour les utilisateurs 14 sauvegarde et restauration 53 données d’utilisateurs ajout de données personnelles 14 dossiers pour groupes 38 dossiers de groupe accessible à plusieurs groupes 114 à propos des 27 configuration 108 dans un nouveau point de partage 110 dans un point de partage existant 109 dans un sous-dossier d’un point de partage 112 option pas de dossier de groupe 108 dossier Système spécification pour Classic 169 dsimport importation d’utilisateurs et de groupes 245 paramètres d’importation 245 duplication de réglages Voir préréglages E éjection de disques 185, 201 état de la batterie 179 exportation d’utilisateurs et de groupes 47 exportation de point de partage NFS 138 extensions désactivation (Classic) 170 extensions de nom de fichier 184 F Fenêtres du Finder 188 fermeture de session automatique 197 fermeture de session pour les utilisateurs inactifs 197 Finder simplifié 181 G gestion des clients, Mac OS X résolution des problèmes 235–239 gestion de serveur informations supplémentaires 18 gestion des préférences, Mac OS X désactivation 163 icône d’indication 159 modification de plusieurs enregistrements 163 navigateurs 190 préférences Accès aux données 199 préférences Accès universel 207 préférences Autres supports d’Accès aux données 199 préférences avancées de Classic 167 préférences Classic 167 préférences d’applications 164 préférences d’impression 202 préférences d’ordinateur 162 préférences d’ouverture de session 191 préférences d’utilisateur 161 préférences de groupe 161 préférences de l’Économiseur d’énergie 176 préférences du Dock 173 préférences du Finder 181 préférences Internet 189 réglages Classic 169 réglages Commandes du Finder 181 réglages d’affichage du Dock 173 réglages d’impression Liste d’imprimantes 202 réglages de courrier électronique via Internet 189 réglages des éléments du Dock 173 réglages Disques de données d’Accès aux données 199 réglages Éléments d’ouverture 191 réglages Présentations du Finder 181 réglages Web Internet 190 Gestionnaire de groupe de travail exportation d’utilisateurs et de groupes dans 244 importation d’utilisateurs et de groupes dans 243 préférences système et 157 résolution des problèmes 229 utilisation 46 vue d’ensemble 19 gestions des clients, Mac OS X gestion des préférences 158 groupes de travail description 27 I identifiants d’utilisateur 81 importation d’utilisateurs et de groupes 47 importation et exportation à partir du Gestionnaire de groupe de travail 244 avec le Gestionnaire de groupe de travail 243 F0170.book Page 268 Monday, May 2, 2005 12:37 PMIndex 269 création de fichiers délimités par des caractères 247 création de fichiers XML à l’aide d’Admin Serveur 245 création de fichiers XML à l’aide d’AppleShare IP 246 formats de fichier pris en charge 242 impression gestion 93–96, 202–205 informations 14 K Kerberos résolution de problèmes 234 L listes d’ordinateurs ajout d’ordinateurs 119 à propos des 28, 115 création 116 création d’un préréglage 118 déplacement d’ordinateurs 120 pour les ordinateurs Windows 115 recherche 122 suppression d’ordinateurs 121 M Mac OS X Server informations supplémentaires 17 menus contrôle de l’accès (Classic) 170 messagerie préférences 189 mots-clés 86–87 mots de passe 82 indices 196 modification impossible 231 mots de passe Open Directory résolution de problèmes 231 N NFS (Network File System) configuration de points de partage via 138 noms iChat 14 numéros de téléphone ajout pour les utilisateurs 14 O Open Directory 31, 34, 60, 65 ordinateur administrateur 35 ordinateurs gestion des préférences 162 modification d’informations 120 ordinateurs hôtes 122 ordinateurs portables configuration 55 réglages de l’Économiseur d’énergie 178 Voir aussi clients mobiles ordinateurs Windows 35, 38, 97 outils UNIX contrôle de l’accès 167 P points de partage 46 AFP 137 NFS 138 préférences Classic 167–173 préférences d’accès universel 207–211 préférences d’écoute 208 préférences d’ouverture de session 191–198 préférences d’utilisateur gestion, Mac OS X 161 préférences de clavier 209 préférences de l’économiseur d’énergie 176–180 préférences de la souris 210 préférences du Dock 173–176 préférences du Finder 181–189 préférences du navigateur 190 préférences du navigateur Web 190 préférences gérées Voir gestion des préférences préférences Système 205, 206 préférences vue 207 préréglages pour comptes de groupe 102 pour les comptes d’utilisateur 72–74 pour listes d’ordinateurs 115–120 R recherche comptes 47–51 réglages d’ouverture de session 84 réglages de courrier 91–93 réglages de membres 105–107 Réglages de suspension de l’activité 176 réglages du démarrage et de l’extinction 180 répertoires de départ à propos des 20, 127 configuration 127 création pour des utilisateurs locaux 131 dans un point de partage AFP 137 dans un point de partage NFS 138 déplacement 141 personnalisation 134 pour ordinateurs Windows 128 réglages de quotas de disque des 140 répartition sur plusieurs serveurs 129 réseau 133 résolution des problèmes 234 spécification d’aucun répertoire de départ 130 F0170.book Page 269 Monday, May 2, 2005 12:37 PM270 Index suppression 141 ressources Mac OS X Server 17 S service sans fil gestion des clients 62 site Web d’Apache 18 Sous-fenê 14 Suppression 121 synchronisation données de compte mobile 56 U utilisateurs définition de noms 74–82 utilisateurs et groupes résolution des problèmes 229 utilitaires 166 F0170.book Page 270 Monday, May 2, 2005 12:37 PM Mac OS X Server Administration des services réseau Pour la version 10.4 ou ultérieure Apple Computer, Inc. © 2005 Apple Computer, Inc. Tous droits réservés. Le détenteur ou l’utilisateur autorisé d’une copie valide du logiciel de Mac Os X Server peut reproduire cette publication dans le but d’apprendre à utiliser le logiciel. Cette publication ne peut être reproduite ou transmise en tout ou partie à des fins commerciales, comme la vente de copies de cette publication ou la fourniture d’un service d’assistance payant. Tout a été mis en œuvre pour que les informations contenues dans ce manuel soient exactes. Apple Computer, Inc., n’est pas responsable des erreurs d’impression ou de typographie. Apple 1 Infinite Loop Cupertino, CA 95014-2084 408-996-1010 www.apple.com L’utilisation du logo “clavier” d’Apple (Option + Maj + K) à des fins commerciales, sans le consentement préalable écrit d’Apple, pourra constituer un acte de contrefaçon et/ou de concurrence déloyale, contraire aux lois en vigueur. Apple, le logo Apple, AirPort, AppleScript, AppleShare, AppleTalk, Mac, Mac OS, Macintosh, Power Mac, Power Macintosh, QuickTime, Sherlock et WebObjects sont des marques déposées d’Apple Computer, Inc., aux États-Unis et dans d’autres pays. Java et tous les logos et marques dérivés de Java sont des marques ou des marques déposées de Sun Microsystems, Inc. aux États-Unis et dans d’autres pays. UNIX est une marque déposée aux États-Unis et dans d’autres pays, sous licence exclusive de X/Open Company Ltd. Tous les autres noms de produits sont des marques de leurs propriétaires respectifs. Les produits commercialisés par des entreprises tierces ne sont mentionnés qu’à titre d’information, sans aucune intention de préconisation ni de recommandation. Apple ne se porte pas garant de ces produits et décline toute responsabilité quant à leur utilisation et à leur fonctionnement. F019-0165/3-24-05 3 1 Table des matières Préface 9 À propos de ce guide 9 Nouveautés de la version 10.4 9 Contenu de ce guide 10 Utilisation de ce guide 10 Utilisation de l’aide à l’écran 11 La suite Mac OS X Server 13 Obtenir des mises à jour de documentation 13 Informations complémentaires Chapitre 1 15 Connecter votre réseau à Internet 15 Comprendre Assistant réglages de passerelle 16 Utilisation de l’Assistant réglages de passerelle 17 Exemples de configurations 17 Connexion d’un réseau local câblé à Internet 19 Connexion d’un réseau local câblé et des clients sans fil à Internet 21 Connexion d’un réseau local sans fil à Internet Chapitre 2 23 Service DHCP 23 Avant de configurer le service DHCP 24 Création de sous-réseaux 24 Affectation dynamique d’adresses IP 24 Utilisation d’adresses IP statiques 25 Localisation du serveur DHCP 25 Interaction avec d’autres serveurs DHCP 25 Utilisation de plusieurs serveurs DHCP sur un réseau 25 Affectation d’adresses IP réservées 26 Complément d’informations sur le processus DHCP 26 Configuration initiale du service DHCP 27 Gestion du service DHCP 27 Démarrage et arrêt du service DHCP 27 Création de sous-réseaux dans le service DHCP 28 Modification des réglages des sous-réseaux dans le service DHCP 28 Suppression de sous-réseaux du service DHCP4 Table des matières 28 Désactivation temporaire des sous-réseaux 29 Modification de la durée du bail des adresses IP d’un sous-réseau 29 Réglage du serveur DNS pour un sous-réseau DHCP 30 Configuration des options LDAP pour un sous-réseau 30 Configuration des options WINS pour un sous-réseau 31 Affectation d’adresses IP statiques à l’aide de DHCP 32 Suppression ou modification de mappages d’adresses statiques 32 Contrôle du service DHCP 32 Affichage de la vue d’ensemble de l’état du service DHCP 33 Réglage du niveau de détail de l’historique du service DHCP 33 Visualisation des entrées d’historique du service DHCP 33 Visualisation de la liste des clients DHCP 34 Configurations réseau courantes qui utilisent DHCP 37 Autres sources d’informations Chapitre 3 39 Service DNS 40 Avant de configurer le service DNS 40 DNS et BIND 40 Configuration de plusieurs serveurs de noms 41 Configuration initiale du service DNS 43 Gestion du service DNS 43 Démarrage et arrêt du service DNS 44 Activation ou désactivation des transferts de zone 44 Activation ou désactivation de la récursion 45 Gestion de zones DNS 46 Ajout d’une zone principale 47 Ajout d’une zone secondaire 47 Duplication d’une zone 48 Modification d’une zone 48 Suppression d’une zone 48 Utilisation d’un fichier de zone 49 Gestion d’enregistrements d’ordinateur DNS 50 Ajout d’un enregistrement d’ordinateur à une zone DNS 51 Modification d’un enregistrement d’ordinateur dans une zone DNS 52 Suppression d’un enregistrement d’ordinateur d’une zone DNS 52 Contrôle du DNS 52 Affichage de l’état du service DNS 53 Affichage des entrées d’historique DNS 53 Modification du niveau de détail de l’historique DNS 53 Modification de l’emplacement du fichier d’historique DNS 54 Sécurisation du serveur DNS 54 DNS Spoofing 55 Exploration de donnéesTable des matières 5 55 Profilage du service DNS 56 Déni de service (en anglais “Denial of Service” ou “DoS”) 56 “Service Piggybacking” 57 Tâches courantes d’administration du réseau utilisant le service DNS 57 Configuration des enregistrements MX 60 Configuration d’un espace de noms derrière une passerelle NAT 60 Répartition de la charge du réseau (ou permutation circulaire) 61 Configuration d’un réseau TCP/IP privé 62 Hébergement de plusieurs services Internet à une seule adresse IP 62 Hébergement de plusieurs domaines sur le même serveur 63 Autres sources d’informations Chapitre 4 65 Service de coupe-feu IP 66 Pratiques élémentaires en matière de coupe-feu 68 Démarrage du coupe-feu 68 Comprendre les règles de coupe-feu 69 Une règle de coupe-feu, qu’est-ce que c’est ? 71 Utilisation de plages d’adresses 71 Mécanisme et ordre de priorité des règles 72 Adresses IP multiples 72 Configuration initiale du service de coupe-feu 74 Gestion du service de coupe-feu 74 Gestion de coupe-feu Panther Server 10.3 avec Admin Serveur de Tiger Server 10.4 74 Démarrage et arrêt du service de coupe-feu 74 Création d’un groupe d’adresses 75 Modification ou suppression d’un groupe d’adresses 76 Duplication d’un groupe d’adresses 76 Ouverture du coupe-feu pour les services standard 77 Ajout de ports personnalisés à la liste des services 78 Modification ou suppression d’éléments dans la liste des services 78 Création d’une règle de coupe-feu IP avancée 79 Modification ou suppression de règles de coupe-feu IP avancées 80 Modification de l’ordre des règles de coupe-feu IP avancées 80 Activation du mode furtif 81 Initialisation d’un serveur injoignable 81 Contrôle du service de coupe-feu 82 Comprendre le panneau Règles actives 82 Affichage de la vue d’ensemble de l’état du coupe-feu 82 Affichage des règles de règles de coupe-feu actives 83 Configuration des historiques du service de coupe-feu 83 Affichage de l’historique du coupe-feu 84 Affichage des paquets refusés 85 Affichage des paquets consignés par des règles de coupe-feu6 Table des matières 85 Dépannage de règles de coupe-feu IP avancées 86 Exemples pratiques 86 Utilisation d’un coupe-feu IP avec la traduction d’adresses de réseau 87 Blocage de l’accès Web à des utilisateurs Internet 88 Consignation de l’accès à Internet par les utilisateurs du réseau local 88 Blocage du courrier indésirable 89 Client autorisé à accéder au serveur de fichiers Apple 90 Tâches courantes d’administration réseau utilisant le service de coupe-feu 90 Prévention des attaques par déni de service (DoS) 90 Contrôle ou autorisation de l’utilisation du réseau en peer-to-peer 91 Contrôle ou activation de l’utilisation des jeux en réseau 92 Références de ports 97 Autres sources d’informations Chapitre 5 99 Service NAT 99 Utilisation de la traduction d’adresses de réseau avec d’autres services réseau 100 Vue d’ensemble de la configuration d’un réseau local avec traduction des adresses de réseau 101 Démarrage et arrêt du service NAT 101 Configuration du service NAT 102 Création d’une passerelle sans traduction d’adresses de réseau 103 Configuration de la réexpédition de port 104 Exemples de réexpédition du trafic du port 105 Contrôle du service NAT 105 Affichage de la vue d’ensemble de l’état NAT 106 Tâches d’administration réseau courantes qui utilisent la traduction d’adresses de réseau 106 Liaison d’un réseau local à Internet via une adresse IP 108 Configuration d’un tournoi de jeux en réseau 109 Configuration de serveurs virtuels 111 Autres sources d’informations Chapitre 6 113 Service VPN 114 VPN et sécurité 114 Protocoles de transport 114 Méthode d’authentification 115 Avant de configurer le service VPN 116 Configuration d’autres services réseau pour VPN 116 Gestion du service VPN 116 Démarrage ou arrêt du service VPN 116 Activation et configuration du protocole de transport L2TP 117 Activation et configuration du protocole de transport PPTP 118 Configuration de réglages réseau supplémentaires pour les clients VPNTable des matières 7 118 Configuration des définitions de routage réseau VPN 120 Limitation de l’accès VPN à certains utilisateurs ou groupes 121 Limitation de l’accès VPN à certains adresses IP entrantes 122 Instructions de configuration supplémentaires 124 Contrôle du service VPN 124 Affichage de la vue d’ensemble de l’état du VPN 124 Configuration du niveau de détail de l’historique du service VPN 124 Affichage de l’historique du VPN 125 Affichage des connexions client VPN 125 Tâches d’administration réseau courantes qui utilisent le VPN 125 Liaison d’un ordinateur d’un réseau local avec un réseau distant 127 Accès à un élément de parc informatique situé derrière le coupe-feu du réseau distant 128 Liaison de deux sites réseau distants ou plus 132 Autres sources d’informations Chapitre 7 133 Service NTP 133 Fonctionnement du service NTP 134 Utilisation du service NTP sur votre réseau 134 Configuration du service NTP 135 Configuration de NTP sur des clients 135 Autres sources d’informations Chapitre 8 137 Prise en charge des réseaux locaux virtuels 137 Comprendre les réseaux locaux virtuels 137 Configuration de l’adhésion des clients à un réseau local virtuel 138 Autres sources d’informations Chapitre 9 139 Gestion IPv6 140 Services compatibles IPv6 140 Adresses IPv6 dans Admin Serveur 140 Adresses IPv6 140 Notation 141 Adresses réservées IPv6 141 Modèle d’adressage IPv6 141 Types d’adresse IPv6 142 Autres sources d’informations Glossaire 143 Index 157 9 Préface À propos de ce guide Le présent guide explique comment configurer et administrer les services réseau de Mac OS X Server. Nouveautés de la version 10.4 La version 10.4 de Nomdeproduit comporte de nombreuses améliorations et nouvelles fonctionnalités par rapport à la version 10.3. Parmi celles-ci, citons les suivantes : • Nouvel Assistant réglages de passerelle • Interface DNS revue et améliorée • Mappage d’adresses IP statiques via DHCP • Interface de coupe-feu revue et améliorée • Aide sur VPN étendue • Aide sur NAT étendue • Informations sur la prise en charge de VLAN Contenu de ce guide Ce guide comporte neuf chapitres et un glossaire : • Le chapitre 1, “Connecter votre réseau à Internet”, à la page 15 explique comment utiliser Assistant réglages de passerelle pour connecter votre réseau à Internet. • Le chapitre 2, “Service DHCP”, à la page 23 explique comment configurer et utiliser DHCP pour affecter des adresses IP sur votre réseau. • Le chapitre 3, “Service DNS”, à la page 39 explique comment utiliser Nomdeproduit en tant que serveur de noms de domaine. • Le chapitre 4, “Service de coupe-feu IP”, à la page 65 explique comment maintenir la sécurité d’un réseau à l’aide d’un coupe-feu. • Le chapitre 5, “Service NAT”, à la page 99 explique comment configurer et utiliser la traduction d’adresses de réseau pour connecter plusieurs ordinateurs à Internet avec une seule adresse IP publique. • Le chapitre 6, “Service VPN”, à la page 113 explique comment configurer et utiliser VPN pour permettre à des utilisateurs distants d’accéder en toute sécurité à votre réseau local privé.10 Préface À propos de ce guide • Le chapitre 7, “Service NTP”, à la page 133 explique comment faire de votre serveur un serveur d’horloge. • Le chapitre 8, “Prise en charge des réseaux locaux virtuels”, à la page 137 contient des informations utiles sur la prise en charge de VLAN pour certaines configurations matérielles de serveur. • Le chapitre 9, “Gestion IPv6”, à la page 139 contient des informations utiles sur IPv6 et sur les services qui prennent en charge l’adressage IPv6. • Le “Glossaire” à la page 143 contient des définitions des principaux termes utilisés dans ce guide. Utilisation de ce guide Chaque chapitre couvre un service réseau particulier. Lisez le chapitre qui correspond au service que vous prévoyez de fournir à vos utilisateurs. Vous y trouverez des informations sur le fonctionnement du service, son utilité, les stratégies d’utilisation, sa configuration initiale et son administration dans le temps. Lisez également les chapitres qui traitent des services avec lesquels vous n’êtes pas familiarisé. Vous constaterez peut-être que certains des services que vous n’aviez pas utilisés jusqu’à présent peuvent vous permettre de gérer votre réseau de manière plus efficace et d’en améliorer les performances pour vos utilisateurs. La plupart des chapitres se terminent par une section appelée “Autres sources d’informations”. Cette section vous dirige vers des sites Web et des documents de référence contenant davantage d’informations sur le service concerné. Utilisation de l’aide à l’écran Vous pouvez afficher des instructions et d’autres informations utiles sur la suite serveur en utilisant l’aide à l’écran. Sur un ordinateur qui exécute Mac OS X Server, vous pouvez accéder à l’aide à l’écran après avoir ouvert le Gestionnaire de groupe de travail ou Admin Serveur. À partir du menu d’aide, sélectionnez l’une des options : • Aide Gestionnaire de groupe de travail ou Aide Admin Serveur affiche des informations sur l’application. • Aide Mac OS X Server affiche la page d’aide principale du serveur, à partir de laquelle vous pouvez rechercher des informations sur le serveur. • Documentation vous permet d’accéder au site www.apple.com/fr/server/documentation, à partir duquel vous pouvez télécharger la documentation du serveur.Préface À propos de ce guide 11 Vous pouvez également accéder à l’aide à l’écran à partir du Finder ou d’autres applications d’un serveur ou d’un ordinateur administrateur. Un ordinateur administrateur est un ordinateur Mac OS X sur lequel est installé un logiciel d’administration de serveur. Utilisez le menu Aide afin d’ouvrir Visualisation Aide, puis choisissez Bibliothèque > Aide Mac OS X Server. Pour consulter les toutes dernières rubriques d’aide, assurez-vous que l’ordinateur serveur ou administrateur est connecté à Internet lorsque vous utilisez Visualisation Aide. Visualisation Aide extrait et met en cache automatiquement les toutes dernières rubriques d’aide sur Internet concernant le serveur. Lorsque vous n’êtes pas connecté à Internet, Visualisation Aide affiche les rubriques d’aide mises en cache. La suite Mac OS X Server La documentation de Mac OS X Server comprend une série de guides présentant les services offerts ainsi que les instructions relatives à leur configuration, leur gestion et leur dépannage. Tous les guides sont disponibles au format PDF via : www.apple.com/fr/server/documentation/ Ce guide ... explique comment : Mac OS X Server Premiers contacts pour la version 10.4 ou ultérieure installer Mac OS X Server et le configurer pour la première fois. Mac OS X Server Mise à niveau et migration vers la version 10.4 ou ultérieure utiliser les données et réglages des services actuellement utilisés sur les versions antérieures du serveur. Mac OS X Server Gestion des utilisateurs pour la version 10.4 ou ultérieure créer et gérer les utilisateurs, groupes et listes d’ordinateurs ; configurer les préférences gérées des clients Mac OS X. Mac OS X Server Administration des services de fichiers pour la version 10.4 ou ultérieure partager des volumes ou dossiers de serveur sélectionnés parmi les clients du serveur via les protocoles suivants : AFP, NFS, FTP et SMB/CIFS. Mac OS X Server Administration du service d'impression pour la version 10.4 ou ultérieure héberger les imprimantes partagées et gérer les files d’attente et travaux d’impression associés. Mac OS X Server Administration des images système et de la mise à jour de logiciels pour la version 10.4 ou ultérieure utiliser NetBoot et Installation en réseau pour créer des images disque à partir desquelles les ordinateurs Macintosh peuvent démarrer sur le réseau ; configurer un serveur de mise à jour de logiciels pour la mise à jour d’ordinateurs clients via le réseau. Mac OS X Server Administration du service de messagerie pour la version 10.4 ou ultérieure installer, configurer et administrer les services de courrier sur le serveur. Mac OS X Server Administration des technologies Web pour la version 10.4 ou ultérieure configurer et gérer un serveur Web, dont WebDAV, WebMail, et les modules Web.12 Préface À propos de ce guide Mac OS X Server Administration des services réseau pour la version 10.4 ou ultérieure installer, configurer et administrer les services DHCP, DNS, VPN, NTP, de coupe-feu IP et NAT sur le serveur. Mac OS X Server Administration d'Open Directory pour la version 10.4 ou ultérieure gérer les services de répertoires et d’authentification. Mac OS X Server Administration de QuickTime Streaming Server 5.5 pour la version 10.4 ou ultérieure configurer et gérer les services d’enchaînement QuickTime. Mac OS X Server Administration des services Windows pour la version 10.4 ou ultérieure configurer et gérer des services tels que PDC, BDC, fichiers et impression pour les utilisateurs d’ordinateurs Windows. Mac OS X Server Migration à partir de Windows NT pour la version 10.4 ou ultérieure déplacer des comptes, des dossiers partagés et des services à partir de serveurs Windows NT vers Mac OS X Server. Mac OS X Server Administration du serveur d’applications Java pour la version 10.4 ou ultérieure configurer et administrer un serveur d’applications JBoss sur Mac OS X Server. Mac OS X Server Administration de la ligne de commande pour la version 10.4 ou ultérieure utiliser les commandes et les fichiers de configuration pour exécuter les tâches d’administration du serveur via l’interpréteur de commandes UNIX. Mac OS X Server Administration des services de collaboration pour la version 10.4 ou ultérieure configurer et gérer Weblog, la discussion en ligne et d’autres services qui facilitent les interactions entre utilisateurs. Mac OS X Server Administration de la haute disponibilité pour la version 10.4 ou ultérieure gérer le basculement IP, l’agrégation des liens, l’équilibrage de charge et d’autres configurations matérielles et logicielles pour garantir la haute disponibilité des services de Nomdeproduit. Mac OS X Server Administration Xgrid pour la version 10.4 ou ultérieure gérer des clusters de calcul Xserve à l’aide de l’application Xgrid. Mac OS X Server Glossaire : Contient la terminologie relative à Mac OS X Server, Xserve, Xserve RAID et Xsan interpréter les termes utilisés pour les produits de serveur et les produits de stockage. Ce guide ... explique comment :Préface À propos de ce guide 13 Obtenir des mises à jour de documentation Apple publie régulièrement de nouvelles rubriques d’aide à l’écran, des guides révisés et des documents de solutions. Les nouvelles rubriques d’aide incluent des mises à jour des guides les plus récents. • Pour afficher de nouvelles rubriques d’aide à l’écran, assurez-vous que votre ordinateur serveur ou administrateur est connecté à Internet et cliquez sur le lien Informations de dernière minute dans la page d’aide principale de Mac OS X Server. • Pour télécharger les guides et documents de solutions les plus récents au format PDF, rendez-vous à la page Web de documentation de Mac OS X Server : www.apple.com/fr/server/documentation. Informations complémentaires Pour plus d’informations, consultez les ressources suivantes : Documents Ouvrez-moi : mises à jour importantes et informations spécifiques. Recherchez-les sur les disques du serveur. Site Web de Mac OS X Server : passerelle vers des informations détaillées sur des produits et technologies. www.apple.com/fr/macosx/server/ Site Web Service & Support AppleCare : accès à des centaines d’articles provenant de l’organisation d’assistance d’Apple. www.apple.com/fr/support/ Formation des clients Apple : cours en salle et autoformations afin de développer vos compétences en termes d’administration de serveur. train.apple.com Groupes de discussion Apple : moyen de partager des questions, des connaissances et des conseils avec d’autres administrateurs. discussions.info.apple.com Répertoire de liste de diffusion Apple : abonnez-vous à des listes de diffusion afin de pouvoir communiquer par courrier électronique avec d’autres administrateurs. www.lists.apple.com 1 15 1 Connecter votre réseau à Internet Utilisez Assistant réglages de passerelle pour connecter votre réseau à Internet. Il vous guide lors de la configuration initiale d’un serveur destiné à servir de passerelle entre votre réseau privé et Internet. Comprendre Assistant réglages de passerelle Assistant réglages de passerelle vous aide à configurer rapidement et aisément un serveur sous Mac OS X Server 10.4 pour partager votre connexion à Internet avec votre réseau local (LAN). Après vous avoir fait faire quelques choix en matière de configuration, l’assistant enregistre tous les réglages nécessaires au partage de la connexion du serveur. En fonction des choix réalisés en matière de configuration, l’Assistant exécute les tâches suivantes : • Affecter au serveur une adresse IP statique par interface réseau interne. L’adresse affectée est 192.168.x.1. Le numéro utilisé pour x est déterminé par l’ordre de l’interface réseau dans la sous-fenêtre des Préférences Système Réseau. Par exemple, pour la première interface, x est égal à 0, pour la seconde interface de la liste, x est égal à 1. • Autoriser DHCP à allouer des adresses sur le réseau interne, en supprimant les sousréseaux DHCP existants. • Réserver certaines adresses internes (192.168.x.x) pour DHCP. Lorsque VPN n’est pas activé, chaque interface peut allouer les adresses 192.168.x.2-192.168.x.254. • Activer VPN (facultatif) pour autoriser les clients externes autorisés à se connecter au réseau local. Comme VPN L2TP est activé, vous devez saisir le secret partagé que les connexions client doivent utiliser. • Réserver certaines adresses internes (192.168.x.x) pour VPN. Si VPN est sélectionné, la moitié des adresses IP allouées dans la plage DHCP est réservée pour les connexions VPN. Les adresses 192.168.x.128-192.168.x.254 sont allouées aux connexions VPN.16 Chapitre 1 Connecter votre réseau à Internet • Activer le coupe-feu IP pour sécuriser le réseau interne. Des groupes d’adresses sont ajoutées pour chaque interface de réseau interne, tout le trafic étant autorisé à partir des plages d’adresses DHCP créées vers toute adresse de destination. • Activer la traduction d’adresses de réseau sur le réseau interne et ajouter une règle de détournement NAT au coupe-feu IP pour diriger le trafic réseau vers l’ordinateur approprié. Cela protège également le réseau interne des connexions externes non sollicitées. • Activer DNS sur le serveur configuré pour mettre les recherches en mémoire pour améliorer les temps de réponse DNS pour les clients internes. Vous aurez l’occasion de passer en revue les modifications proposées avant que ces réglages ne soient activés. Les réglages existants seront écrasés par ceux configurés dans l’assistant. Vous pouvez apporter des modifications supplémentaires à la configuration des services à l’aide d’Admin Serveur. Pour plus d’instructions sur l’un ou l’autre service réseau, consultez la section correspondante dans ce guide. Si vous exécutez à nouveau l’Assistant réglages de passerelle, il écrasera tous les réglages manuels que vous avez définis. Utilisation de l’Assistant réglages de passerelle Vous pouvez accéder à l’Assistant réglages de passerelle de deux manières différentes. Vous pouvez : • ouvrir /Applications/Server/Assistant réglages de passerelle ou • choisir Présentation > Assistant réglages de passerelle dans Admin Serveur Suivez les instructions de l’assistant et cliquez sur Continuer après chaque page. Lisez avec attention les informations de sortie finales et assurez-vous que la configuration vous convient avant de finaliser les réglages. Avertissement : bien qu’Assistant réglages de passerelle puisse être utilisé pour configurer des serveurs distants, vous pourriez vous priver accidentellement de votre accès administratif au serveur distant.Chapitre 1 Connecter votre réseau à Internet 17 Exemples de configurations La section qui suit contient quelques exemples de configurations réalisées à l’aide d’Assistant réglages de passerelle. Toutes ces configurations partent du principe que les informations fictives suivantes sont utilisées : • Vous disposez d’une adresse IP statique allouée par votre FAI (fournisseur d’accès à Internet) qui sera utilisée par le serveur. • Le serveur est un XServe G5 équipé de 2 ports Ethernet intégrés en tant qu’interfaces réseau, Ethernet 1 (en0) et Ethernet 2 (en1), sauf indication contraire. • Les adresses IP à utiliser sur votre réseau local interne sont les adresses IP pour réseau local internes standard : 192.168.x.x Connexion d’un réseau local câblé à Internet Vous pouvez utiliser Assistant réglages de passerelle pour connecter un réseau local (LAN) câblé à Internet. Votre réseau local peut comporter un nombre quelconque d’ordinateurs connectés entre eux par des concentrateurs et commutateurs Ethernet, mais doit disposer d’un point de contact avec Internet ; la passerelle. Au terme de ce processus, tous les ordinateurs du réseau local : • peuvent faire configurer des adresses IP et des réglages de réseau par DHCP ; • peuvent accéder à Internet (tant que la connexion de la passerelle à Internet est présente) ; • ne sont pas accessibles par les connexions réseau non autorisées provenant d’Internet ; • sont accessibles aux clients VPN autorisés par Internet (si cela est configuré) ; • bénéficient de la mise en mémoire cache des recherches DNS sur la passerelle, ce qui accélère la résolution DNS. Pour connecter un réseau local câblé à Internet : 1 Branchez la connexion à Internet dans le port Ethernet 1 (en0) intégré du XServe. 2 Branchez la connexion à votre réseau local dans le port Ethernet 2 (en1) intégré du XServe. 3 Ouvrez Assistant réglages de passerelle. Vous pouvez l’ouvrir à partir du dossier /Applications/Server/ ou via le menu Présentation d’Admin Serveur. Tapez l’adresse, le nom et le mot de passe de l’administrateur du serveur que vous souhaitez configurer. 4 Désignez Ethernet intégré 1 comme votre interface WAN (Internet).18 Chapitre 1 Connecter votre réseau à Internet 5 Désignez Ethernet intégré 2 comme votre interface LAN (partage). Votre interface LAN est généralement celle qui est connectée à votre réseau local. Tous les ordinateurs sur le réseau local vont partager la connexion Internet du serveur via l’interface WAN du serveur. Si votre serveur dispose de plus d’une interface disponible à ce stade (Ethernet 2 ou Ethernet 3, etc.), choisissez celles à activer. 6 Choisissez de faire ou non de cette passerelle un point d’entrée VPN dans votre LAN. Si vous choisissez d’activer VPN, vous devez disposer d’un “secret partagé”. Un secret partagé est une phrase clé que tous les utilisateurs doivent saisir pour établir une connexion sécurisée avec la passerelle VPN. Il est recommandé d’utiliser une phrase clé très sûre plutôt que le mot de passe d’un utilisateur ou administrateur sur le serveur de passerelle. Pour en savoir plus sur VPN, consultez le chapitre 6, “Service VPN”, à la page 113. 7 Vérifiez et confirmez les modifications. Options : Vous pouvez affiner divers réglages de cette configuration élémentaire. Le reste de la configuration se fait à l’aide d’Admin Serveur. Par exemple, vous pouvez utiliser Admin Serveur pour configurer l’affectation automatique de certaines adresses IP à des ordinateurs spécifiques. Vous devez ajouter des mappages d’adresses statiques dans l’onglet Réglages de la section DHCP. Pour plus de détails, consultez le chapitre 2, “Service DHCP”. Vous pouvez en outre modifier les réglages relatifs au coupe-feu IP pour autoriser certaines connexions d’Internet vers le réseau local. Vous devez modifier les réglages relatifs au coupe-feu en ouvrant les ports IP souhaités et configurer le renvoi de ports (en éditant des fichiers UNIX à partir de l’invite de la ligne de commande) pour désigner l’ordinateur du réseau local qui acceptera le trafic entrant.Chapitre 1 Connecter votre réseau à Internet 19 Connexion d’un réseau local câblé et des clients sans fil à Internet Vous pouvez utiliser Assistant réglages de passerelle pour connecter un réseau local câblé et des clients sans fil à Internet. Votre réseau local peut comporter un nombre quelconque d’ordinateurs connectés entre eux par des concentrateurs et commutateurs Ethernet, mais doit disposer d’un point de contact avec Internet : la passerelle. Votre réseau local doit aussi comporter une borne d’accès AirPort pour connecter les ordinateurs sans fil au reste du réseau câblé. Tous vos clients sans fil doivent pouvoir se connecter au réseau sans fil de la borne d’accès AirPort pour être reliés au réseau local câblé. Au terme de ce processus, les ordinateurs du réseau local et ceux connectés à la borne d’accès AirPort : • peuvent faire configurer des adresses IP et des réglages de réseau par DHCP ; • peuvent accéder à Internet (tant que la connexion de la passerelle à Internet est présente) ; • ne sont pas accessibles par les connexions réseau non autorisées provenant de la connexion câblée vers Internet ; • sont accessibles aux clients VPN autorisés par Internet (si cela est configuré) ; • bénéficient de la mise en mémoire cache des recherches DNS sur la passerelle, ce qui accélère la résolution DNS. Pour connecter un réseau local câblé et des clients sans fil à Internet : 1 Branchez la connexion à Internet dans le port Ethernet 1 (en0) intégré du XServe. 2 Branchez la connexion à votre réseau local dans le port Ethernet 2 (en1) intégré du XServe. 3 Connectez le port de la borne d’accès AirPort (le port WAN s’il y en a deux) au réseau câblé. 4 À l’aide d’Utilitaire Admin AirPort (ou d’Assistant réglages AirPort), configurez la borne d’accès pour se connecter à l’aide d’Ethernet pour obtenir sa propre adresse par DHCP. 5 Dans le panneau Réseau, vérifiez que la case “Distribuer les adresses IP” est désélectionnée. 6 Cliquez sur Mise à jour pour modifier les réglages de la borne d’accès. 7 Ouvrez le Assistant réglages de passerelle. Vous pouvez l’ouvrir à partir du dossier /Applications/Server/ ou via le menu Présentation d’Admin Serveur. Tapez l’adresse, le nom et le mot de passe de l’administrateur du serveur que vous souhaitez configurer. 8 Désignez Ethernet intégré 1 comme votre interface WAN (Internet).20 Chapitre 1 Connecter votre réseau à Internet 9 Désignez Ethernet intégré 2 comme votre interface LAN (partage). Votre interface LAN est généralement celle qui est connectée à votre réseau local. Tous les ordinateurs sur le réseau local vont partager la connexion Internet du serveur via l’interface WAN du serveur. Si votre serveur dispose de plus d’une interface disponible à ce stade (Ethernet 2 ou Ethernet 3, etc.), choisissez celles à activer. 10 Choisissez de faire ou non de cette passerelle un point d’entrée VPN dans votre LAN. Si vous choisissez d’activer VPN, vous devrez disposer d’un “secret partagé”. Un secret partagé est une phrase clé que tous les utilisateurs doivent fournir pour établir une connexion sécurisée avec la passerelle VPN. Il est recommandé d’utiliser une phrase clé très sûre plutôt que le mot de passe d’un utilisateur ou administrateur sur le serveur de passerelle. Pour en savoir plus sur VPN, consultez le chapitre 6, “Service VPN”, à la page 113. 11 Vérifiez et confirmez les modifications. Options : Vous pouvez affiner divers réglages de cette configuration élémentaire. Le reste de la configuration se fait à l’aide d’Admin Serveur. Par exemple, vous pouvez utiliser Admin Serveur pour configurer l’affectation automatique de certaines adresses IP à des ordinateurs spécifiques. Vous devez ajouter des mappages d’adresses statiques dans l’onglet Réglages de la section DHCP. Pour plus de détails, consultez le chapitre 2, “Service DHCP”. Vous pouvez en outre modifier les réglages relatifs au coupe-feu IP pour autoriser certaines connexions d’Internet vers le réseau local. Vous devez modifier les réglages relatifs au coupe-feu en ouvrant les ports IP souhaités et configurer le renvoi de ports dans le panneau NAT pour désigner l’ordinateur du réseau local qui acceptera le trafic entrant.Chapitre 1 Connecter votre réseau à Internet 21 Connexion d’un réseau local sans fil à Internet Connecter vos clients sans fil à Internet par une passerelle Mac OS X Server offre quelques avantages par rapport à l’utilisation des fonctions intégrées de la borne d’accès. La passerelle peut fournir un contrôle de coupe-feu IP avancé, l’affectation DHCP des adresses IP statiques, la mise en mémoire cache DNS et des connexions VPN entrantes vers le réseau local. Si vous ne souhaitez pas utiliser ces fonctions avancées ou que vous n’en n’avez pas besoin, vous pouvez utiliser la borne d’accès AirPort pour connecter vos clients sans fil à Internet, sans mettre de serveur Mac OS X Server entre les bornes d’accès et Internet. Pour bénéficier des fonctionnalités de la passerelle, utilisez la borne d’accès comme un pont entre vos clients sans fil et la passerelle. Chaque client se connecte à la borne d’accès qui envoie le trafic réseau par la passerelle. Tous vos clients sans fil doivent pouvoir se connecter au réseau sans fil de la borne d’accès AirPort pour être reliés à la passerelle. Au terme de ce processus, les ordinateurs connectés à la borne d’accès AirPort : • peuvent faire configurer des adresses IP et des réglages de réseau par DHCP ; • peuvent accéder à Internet (tant que la connexion de la passerelle à Internet est présente) ; • ne sont pas accessibles par les connexions réseau non autorisées provenant de la connexion câblée vers Internet ; • sont accessibles aux clients VPN autorisés par Internet (si cela est configuré) ; • bénéficient de la mise en mémoire cache des recherches DNS sur la passerelle, ce qui accélère la résolution DNS. Pour connecter un réseau local câblé et des clients sans fil à Internet : 1 Branchez la connexion à Internet dans le port Ethernet 1 (en0) intégré du XServe. 2 Connectez le port de la borne d’accès AirPort (le port WAN, s’il y en a deux) au port Ethernet intégré 2 (en1) du XServe. 3 À l’aide d’Utilitaire Admin AirPort (ou d’Assistant réglages AirPort), configurez la borne d’accès pour se connecter à l’aide d’Ethernet pour obtenir sa propre adresse par DHCP. 4 Dans le panneau Réseau, vérifiez que la case “Distribuer les adresses IP” est désélectionnée. 5 Cliquez sur Mise à jour pour modifier les réglages de la borne d’accès. 6 Ouvrez l’Assistant réglages de passerelle. Vous pouvez l’ouvrir à partir du dossier /Applications/Server/ ou via le menu Présentation d’Admin Serveur. Tapez l’adresse, le nom et le mot de passe de l’administrateur du serveur que vous souhaitez configurer.22 Chapitre 1 Connecter votre réseau à Internet 7 Désignez Ethernet intégré 1 comme votre interface WAN (Internet). 8 Désignez Ethernet intégré 2 comme votre interface LAN (partage). Votre interface LAN est généralement celle qui est connectée à votre réseau local. Tous les ordinateurs sur le réseau local vont partager la connexion Internet du serveur via l’interface WAN du serveur. Si votre serveur dispose de plus d’une interface disponible à ce stade (Ethernet 2 ou Ethernet 3, etc.), choisissez celles à activer. 9 Choisissez de faire ou non de cette passerelle un point d’entrée VPN dans votre LAN. Si vous choisissez d’activer VPN, vous devrez disposer d’un “secret partagé”. Un secret partagé est une phrase clé que tous les utilisateurs doivent fournir pour établir une connexion sécurisée avec la passerelle VPN. Il est recommandé d’utiliser une phrase clé très sûre plutôt que le mot de passe d’un utilisateur ou administrateur sur le serveur de passerelle. Pour en savoir plus sur VPN, consultez le chapitre 6, “Service VPN”, à la page 113. 10 Vérifiez et confirmez les modifications. Options : Vous pouvez affiner divers réglages de cette configuration élémentaire. Le reste de la configuration se fait à l’aide d’Admin Serveur. Par exemple, vous pouvez utiliser Admin Serveur pour configurer l’affectation automatique de certaines adresses IP à des ordinateurs spécifiques. Vous devez ajouter des mappages d’adresses statiques dans l’onglet Réglages de la section DHCP. Pour plus de détails, consultez le chapitre 2, “Service DHCP”. Vous pouvez en outre modifier les réglages relatifs au coupe-feu IP pour autoriser certaines connexions d’Internet vers le réseau local. Vous devez modifier les réglages relatifs au coupe-feu en ouvrant les ports IP souhaités et configurer le renvoi de ports dans le panneau NAT pour désigner l’ordinateur du réseau local qui acceptera le trafic entrant.2 23 2 Service DHCP Le service DHCP (Dynamic Host Configuration Protocol) vous permet d’administrer les adresses IP et de les distribuer à des ordinateurs clients à partir de votre serveur. Lors de la configuration du serveur DHCP, vous affectez un bloc d’adresses IP qui peuvent être mises à la disposition des clients. Chaque fois qu’un ordinateur client configuré pour utiliser le service DHCP démarre, il recherche le serveur DHCP sur votre réseau. S’il en détecte un, l’ordinateur client demande alors une adresse IP. Le serveur DHCP recherche une adresse IP disponible et l’envoie à l’ordinateur client en indiquant une “période de bail” (durée pendant laquelle l’ordinateur client pourra utiliser cette adresse) et les informations relatives à la configuration. Vous pouvez utiliser le module DHCP d’Admin Serveur pour : • Configurer et administrer le service DHCP. • Créer et administrer des sous-réseaux. • Configurer les options DNS, LDAP et WINS pour des ordinateurs clients. • Visualiser la durée de bail des adresses DHCP. Si votre organisation compte plus d’ordinateurs clients que d’adresses IP, vous avez avantage à utiliser le service DHCP. Les adresses IP sont affectées au cas par cas et lorsqu’elles ne sont pas nécessaires, elles sont mises à la disposition des autres clients. Si nécessaire, vous pouvez utiliser une combinaison d’adresses IP statiques et dynamiques pour votre réseau. Pour plus de détails sur l’affectation statique et dynamique d’adresses IP, consultez la section suivante. Les organisations peuvent profiter des fonctions du service DHCP, telles que la possibilité de définir les options DNS (Domain Name System) et LDAP (Lightweight Directory Access Protocol) pour des ordinateurs clients sans autre configuration nécessaire sur l’ordinateur client. Avant de configurer le service DHCP Avant d’installer le service DHCP, lisez la présente section pour obtenir des informations sur la création de sous-réseaux, l’affectation d’adresses IP statiques et dynamiques, la localisation de votre serveur sur le réseau et la possibilité d’ignorer des adresses IP réservées.24 Chapitre 2 Service DHCP Création de sous-réseaux Les sous-réseaux sont des regroupements d’ordinateurs se trouvant sur le même réseau afin de simplifier leur administration. Vous pouvez organiser des sous-réseaux à votre convenance. Par exemple, vous pouvez créer des sous-réseaux pour divers groupes dans votre organisation ou différents étages d’un immeuble. Une fois que vous avez regroupé les ordinateurs clients en sous-réseaux, vous pouvez configurer des options pour tous les ordinateurs d’un sous-réseau en une seule fois plutôt que de définir des options pour chaque ordinateur client individuellement. Chaque sous-réseau doit disposer d’un mode de connexion aux autres sous-réseaux. Un périphérique appelé routeur permet généralement de relier les sous-réseaux. Affectation dynamique d’adresses IP Avec l’affectation dynamique, une adresse IP est affectée pour une durée limitée (la durée de bail), ou jusqu’à ce que l’ordinateur client n’ait plus besoin de l’adresse IP, selon le cas qui se présente en premier. En utilisant des délais courts, le protocole DHCP peut réaffecter des adresses IP sur les réseaux ayant plus d’ordinateurs que d’adresses IP. Les délais sont renouvelés automatiquement si l’adresse n’est pas utilisée par un autre ordinateur. Les adresses affectées aux clients d’un réseau VPN (Virtual Private Network) sont distribuées de la même manière que les adresses DHCP, mais ne proviennent pas de la même plage d’adresses qu’elles. Si vous prévoyez d’utiliser un réseau VPN, veillez à laisser quelques adresses DHCP non affectées pour le réseau VPN. Pour en savoir plus sur le réseau VPN, reportez-vous au chapitre 6, “Service VPN”, à la page 113. Utilisation d’adresses IP statiques Les adresses IP statiques sont affectées à un ordinateur ou à un périphérique une seule fois et ne changent pas. Vous pouvez en affecter à des ordinateurs devant assurer une présence Internet continue, tels que les serveurs Web. Les autres périphériques qui doivent être continuellement disponibles pour les utilisateurs du réseau, comme les imprimantes, peuvent également profiter des adresses IP statiques. Les adresses IP statiques peuvent être configurées soit en saisissant manuellement l’adresse IP sur l’ordinateur ou le périphérique qui est affecté à l’adresse, soit en configurant DHCP pour fournir la même adresse à un ordinateur ou périphérique spécifique à chaque demande. Les adresses affectées par DHCP permettent des modifications de la configuration des adresses sur le serveur DHCP plutôt que sur les différents clients. Les adresses IP statiques configurées manuellement permettent d’éviter les problèmes que certains services peuvent rencontrer avec les adresses DHCP et d’éviter le délai nécessaire à l’affectation des adresses DHCP. N’incluez pas des plages d’adresses IP affectées manuellement dans la plage d’adresses distribuées par DHCP.Chapitre 2 Service DHCP 25 Il est possible de configurer DHCP pour toujours affecter la même adresse à un ordinateur, ce qui vous permet de profiter à la fois des avantages des adresses statiques et des avantages de la configuration réseau centralisée. Pour plus de détails, consultez la section “Affectation d’adresses IP statiques à l’aide de DHCP” à la page 31. Localisation du serveur DHCP Lorsqu’un ordinateur client recherche un serveur DHCP, il diffuse un message. Si votre serveur DHCP se trouve sur un sous-réseau différent de celui de l’ordinateur client, vous devez vérifier que les routeurs qui connectent vos sous-réseaux peuvent réexpédier les diffusions du client et les réponses du serveur DHCP. Tout agent ou routeur relais de votre réseau pouvant relayer des communications BootP fonctionnera avec le serveur DHCP. Si vous ne disposez d’aucun moyen pour relayer les communications BootP, vous devez placer le serveur DHCP sur le même sous-réseau que votre ordinateur client. Interaction avec d’autres serveurs DHCP Votre réseau peut comporter d’autres serveurs DHCP, tels que les bornes d’accès AirPort. Mac OS X Server peut cohabiter avec d’autres serveurs DHCP tant que chacun d’eux utilise un pool unique d’adresses IP. Toutefois, vous pouvez souhaiter que votre serveur DHCP fournisse une adresse de serveur LDAP pour la configuration automatique de l’ordinateur client dans les environnements gérés. Les bornes d’accès AirPort ne peuvent pas fournir d’adresse de serveur LDAP. Pour utiliser la fonction de configuration automatique, vous devez donc configurer les bornes d’accès AirPort en mode pont Ethernet et régler Mac OS X Server pour qu’il fournisse le service DHCP. Si les bornes d’accès AirPort se trouvent sur des sous-réseaux distincts, vos routeurs doivent être configurés pour réexpédier les diffusions des clients et les réponses du serveur DHCP comme décrit précédemment. Si vous souhaitez proposer le service DHCP avec les bornes d’accès AirPort, vous ne pouvez pas utiliser la fonction de configuration automatique de l’ordinateur client et devez donc saisir manuellement les adresses du serveur LDAP sur les stations de travail clientes. Utilisation de plusieurs serveurs DHCP sur un réseau Plusieurs serveurs DHCP peuvent se trouver sur le même réseau. Toutefois, il est important qu’ils soient correctement configurés pour éviter toute interférence entre eux. Chaque serveur doit disposer d’un fonds unique d’adresses IP à distribuer. Affectation d’adresses IP réservées Certaines adresses IP ne peuvent pas être affectées à des hôtes individuels. Il s’agit d’adresses réservées pour des boucles et pour diffusion. Votre FAI ne peut vous affecter des adresses de ce type. Si vous essayez de configurer votre serveur DHCP pour utiliser ce type d’adresses, vous recevrez un avertissement vous indiquant que ces adresses ne sont pas valides, et il vous faudra saisir des adresses valides.26 Chapitre 2 Service DHCP Complément d’informations sur le processus DHCP Mac OS X Server utilise un processus démon appelé “bootpd”, qui est responsable de l’affectation des adresses du service DHCP. Pour plus d’informations sur bootpd et ses options de configuration avancées, vous pouvez accéder à la page man bootpd en tapant la commande suivante dans Terminal : man bootpd Configuration initiale du service DHCP Si vous avez utilisé l’Assistant réglages pour configurer des ports sur votre serveur au moment de l’installation de Mac OS X Server, certaines données DHCP sont déjà configurées. Pour terminer la configuration du service DHCP, vous devez suivre les instructions indiquées dans cette section. Pour chaque étape, vous trouverez un complément d’information sur les réglages à la section “Gestion du service DHCP” à la page 27. Étape 1 : Création de sous-réseaux Les instructions suivantes expliquent comment créer un pool d’adresses IP partagées par les ordinateurs clients sur votre réseau. Vous créez une plage d’adresses partagées pour chaque sous-réseau. Ces adresses sont affectées par le serveur DHCP lorsqu’un client émet une requête. Consultez la section “Création de sous-réseaux dans le service DHCP” à la page 27. Étape 2 : Définition des historiques pour le service DHCP Vous pouvez consigner l’activité et les erreurs du service DHCP afin de contrôler les requêtes et identifier les problèmes de votre serveur. Le service DHCP enregistre des messages de diagnostic dans le fichier historique du système. Pour éviter que ce fichier ne devienne trop volumineux, vous pouvez supprimer la plupart des messages en modifiant les réglages de l’historique dans la fenêtre Consignation des réglages du service DHCP. Pour en savoir plus sur la configuration des historiques pour le service DHCP, consultez la section “Réglage du niveau de détail de l’historique du service DHCP” à la page 33. Étape 3 : Démarrage du service DHCP Consultez la section “Démarrage et arrêt du service DHCP” à la page 27.Chapitre 2 Service DHCP 27 Gestion du service DHCP Cette section explique comment configurer et gérer le service DHCP sur Mac OS X Server. Cela comprend le démarrage du service, la création de sous-réseaux et la définition de réglages facultatifs tels que LDAP ou DNS pour un sous-réseau. Démarrage et arrêt du service DHCP Procédez comme suit pour démarrer ou arrêter le service DHCP. Au moins un sous-réseau doit être créé et activé. Pour démarrer ou arrêter le service DHCP : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Vérifiez qu’au moins une interface réseau et sous-réseau est configurée et sélectionnée. 3 Cliquez sur Démarrer le service ou Arrêter le service. Lorsque le service est activé, le bouton Arrêter le service est disponible. Création de sous-réseaux dans le service DHCP Les sous-réseaux sont des regroupements d’ordinateurs clients sur le même réseau, qui peuvent être organisés par emplacement (différents étages d’un immeuble, par exemple) ou par utilisation (tous les élèves de 3e, par exemple). Chaque sous-réseau possède au moins une plage d’adresses IP. Pour créer un sous-réseau : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Sous-réseaux. 4 Cliquez sur le bouton Ajouter ( + ). 5 Sélectionnez l’onglet Général. 6 Saisissez un nom descriptif pour le nouveau sous-réseau (facultatif). 7 Saisissez une adresse IP de début et de fin pour la plage de ce sous-réseau. Les adresses doivent être contiguës et ne peuvent empiéter sur les plages d’autres sous-réseaux. 8 Saisissez le masque de sous-réseau pour la plage d’adresses du réseau. 9 Choisissez l’Interface du réseau dans le menu local. 10 Saisissez l’adresse IP du routeur de ce sous-réseau. Si le serveur que vous êtes en train de configurer est le routeur du sous-réseau, saisissez l’adresse IP interne LAN de ce serveur comme adresse du routeur. 11 Définissez la durée du bail en heures, jours, semaines ou mois.28 Chapitre 2 Service DHCP 12 Si vous souhaitez définir des informations DNS, LDAP ou WINS pour ce sous-réseau, saisissez-les maintenant. Pour plus d’informations, consultez les sections “Réglage du serveur DNS pour un sousréseau DHCP” à la page 29, “Configuration des options LDAP pour un sous-réseau” à la page 30 et “Configuration des options WINS pour un sous-réseau” à la page 30. 13 Cliquez sur Enregistrer. Modification des réglages des sous-réseaux dans le service DHCP Utilisez Admin Serveur pour modifier les réglages d’un sous-réseau DHCP existant. Vous pouvez modifier la plage d’adresses IP, le masque de sous-réseau, l’interface réseau, le routeur ou la durée du bail. Pour modifier les réglages du sous-réseau : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Sous-réseaux. 4 Sélectionnez un sous-réseau. 5 Cliquez sur le bouton Modifier ( / ). 6 Effectuez les changements souhaités. Ces changements peuvent inclure l’ajout d’informations sur DNS, LDAP ou WINS. Vous pouvez également redéfinir des plages d’adresses ou rediriger l’interface réseau qui répond aux requêtes DHCP. 7 Cliquer sur Enregistrer. Suppression de sous-réseaux du service DHCP Vous pouvez supprimer des sous-réseaux et des plages d’adresses IP de sous-réseaux qui ne seront plus distribuées aux clients. Pour supprimer des sous-réseaux ou des plages d’adresses : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez un sous-réseau. 4 Cliquez sur le bouton Supprimer ( - ). 5 Cliquez sur Enregistrer pour confirmer la suppression. Désactivation temporaire des sous-réseaux Vous pouvez suspendre temporairement un sous-réseau sans perdre ses réglages. Cela signifie qu’aucune adresse IP de la plage du sous-réseau ne sera distribuée à un client sur l’interface sélectionnée.Chapitre 2 Service DHCP 29 Pour désactiver un sous-réseau : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Sous-réseaux. 4 Désélectionnez la case “Activer” à côté du sous-réseau que vous souhaitez désactiver. Modification de la durée du bail des adresses IP d’un sous-réseau Vous pouvez modifier la durée pendant laquelle les adresses IP d’un sous-réseau sont disponibles pour les ordinateurs clients. Pour changer la durée de bail d’une plage d’adresses de sous-réseau : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Sous-réseaux. 4 Sélectionnez une plage de sous-réseaux, puis cliquez sur le bouton Modifier ( / ). 5 Sélectionnez l’onglet Général. 6 Sélectionnez une échelle de temps dans le menu local Durée du bail (heures, jours, semaines ou mois). 7 Saisissez un nombre dans le champ Durée du bail. 8 Cliquer sur Enregistrer. Réglage du serveur DNS pour un sous-réseau DHCP Vous pouvez choisir les serveurs DNS et le nom du domaine par défaut qu’un sous-réseau doit utiliser. Le service DHCP fournit ces informations aux ordinateurs clients du sous-réseau. Pour définir des options DNS pour un sous-réseau : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Sous-réseaux. 4 Sélectionnez une sous-réseau, puis cliquez sur le bouton Modifier ( / ). 5 Sélectionnez l’onglet DNS. 6 Saisissez le domaine par défaut du sous-réseau. 7 Saisissez les adresses IP des serveurs de noms principal et secondaire que vous souhaitez que les clients DHCP utilisent. 8 Cliquer sur Enregistrer.30 Chapitre 2 Service DHCP Configuration des options LDAP pour un sous-réseau Vous pouvez utiliser DHCP pour fournir à vos clients des informations sur le serveur LDAP au lieu d’effectuer une configuration manuelle pour chacun d’eux. L’ordre d’apparition des serveurs LDAP détermine l’ordre de recherche dans la règle de recherche automatique Open Directory. Si vous utilisez actuellement Mac OS X Server comme serveur maître LDAP, les options LDAP contiennent déjà les informations de configuration nécessaires. Si votre serveur maître LDAP est une autre machine, vous devez connaître le nom de domaine ou l’adresse IP de la base de données LDAP que vous souhaitez utiliser. Vous devez également connaître la base de recherche LDAP. Pour définir les options LDAP d’un sous-réseau : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Sous-réseaux. 4 Sélectionnez une sous-réseau, puis cliquez sur le bouton Modifier ( / ). 5 Cliquez sur l’onglet LDAP. 6 Saisissez le nom de domaine ou l’adresse IP du serveur LDAP pour ce sous-réseau. 7 Saisissez la base de recherche pour les recherches LDAP. 8 Saisissez le numéro de port LDAP, si vous utilisez un port non standard. 9 Sélectionnez LDAP via SSL, si nécessaire. 10 Cliquer sur Enregistrer. Configuration des options WINS pour un sous-réseau Vous pouvez fournir des informations complémentaires aux ordinateurs clients exécutant Windows dans un sous-réseau en ajoutant les réglages spécifiques de Windows aux données de configuration du réseau DHCP. Ces réglages spécifiques de Windows permettent aux clients Windows de parcourir leur Voisinage réseau. Vous devez connaître le nom de domaine ou l’adresse IP des serveurs principal et secondaire WINS/NBNS (il s’agit généralement de l’adresse IP du serveur DHCP), ainsi que le type de nœud NBT (qui est généralement “diffusion”). Le serveur NBDD et l’identifiant (ID) d’étendue NetBIOS ne sont généralement pas utilisés, mais vous pouvez en avoir besoin, selon la configuration de vos ordinateurs clients Windows et de l’infrastructure réseau de Windows.Chapitre 2 Service DHCP 31 Pour définir les options WINS pour un sous-réseau : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Sous-réseaux. 4 Sélectionnez une sous-réseau, puis cliquez sur le bouton Modifier ( / ). 5 Cliquez sur l’onglet WINS. 6 Saisissez le nom de domaine ou l’adresse IP des serveurs principal et secondaire WINS/NBNS pour ce sous-réseau. 7 Saisissez le nom de domaine ou l’adresse IP du serveur NBDD pour ce sous-réseau. 8 Choisissez le type de nœud NBT dans le menu local. 9 Saisissez l’identifiant (ID) d’étendue NetBIOS. 10 Cliquer sur Enregistrer. Affectation d’adresses IP statiques à l’aide de DHCP Vous pouvez affecter les mêmes adresses à des ordinateurs, si vous le souhaitez. Cela vous permet de conserver la facilité de configuration de DHCP tout en ayant des serveurs ou des services statiques. Pour affecter la même adresse IP à un ordinateur, vous devez connaître l’adresse Ethernet de l’ordinateur (on l’appelle parfois également l’adresse MAC ou l’adresse matérielle). Chaque interface réseau dispose de sa propre adresse Ethernet. N’oubliez pas qu’un ordinateur qui passe d’un réseau câblé à un réseau sans fil utilise deux adresses Ethernet différentes, l’une pour la connexion câblée, l’autre pour la connexion sans fil. Pour affecter des adresses IP statiques : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Cliquez sur Cartes statiques. 4 Cliquez sur le bouton Ajouter ( + ). 5 Saisissez l’adresse Ethernet de l’ordinateur qui doit recevoir une adresse statique. 6 Saisissez l’adresse IP que vous souhaitez lui affecter. 7 Saisissez le nom de l’ordinateur. 8 Cliquez sur OK. 9 Cliquer sur Enregistrer.32 Chapitre 2 Service DHCP Suppression ou modification de mappages d’adresses statiques Vous pouvez modifier ou supprimer les mappages statiques comme vous le souhaitez. Pour modifier ou supprimer un mappage d’adresses statiques : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Cliquez sur Cartes statiques. 4 Sélectionnez le mappage à modifier ou supprimer. 5 Cliquez sur le bouton Modifier ( / ) ou Supprimer ( - ). 6 Si vous modifiez le mappage, apportez les modifications souhaitées, puis cliquez sur OK. 7 Cliquer sur Enregistrer. Contrôle du service DHCP Vous aurez besoin de contrôler le service DHCP. Vous avez deux possibilités pour contrôler le service DHCP. D’abord vous pouvez afficher la liste des clients, ensuite vous pouvez surveiller les fichiers d’historique générés par le service. Vous pouvez utiliser les historiques du service pour vous aider à résoudre des problèmes de réseau. Les sections suivantes traitent de ces modes de contrôle du service DHCP. Affichage de la vue d’ensemble de l’état du service DHCP La vue d’ensemble de l’état du service DHCP propose un récapitulatif sommaire de ce dernier. Elle indique si le service est actif, le nombre de clients qu’il comporte et l’heure à laquelle il a démarré. Il indique également le nombre d’adresses IP affectées de manière statique depuis vos sous-réseaux, ainsi que la date de la dernière mise à jour de la base de données clients. Pour afficher la vue d’ensemble : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur le bouton Vue d’ensemble.Chapitre 2 Service DHCP 33 Réglage du niveau de détail de l’historique du service DHCP Vous pouvez choisir le niveau de détail souhaité pour les historiques du service DHCP. • “Faible (erreurs uniquement)” indiquera les cas où vous devez intervenir immédiatement (par exemple, si le serveur DHCP ne démarre pas). Ce niveau correspond au rapport de bootpd en mode “quiet” (silencieux), identifié par l’indicateur “-q”. • “Moyen (erreurs et messages)” peut vous avertir lorsque des données sont incohérentes, mais que le serveur DHCP peut encore fonctionner. Ce niveau correspond au rapport par défaut de bootpd. • “Élevé (tous les événements)” enregistre toute l’activité du service DHCP, y compris les fonctions routines. Ce niveau correspond au rapport de bootpd en mode “verbose” (maximal), identifié par l’indicateur “-v”. Pour configurer le niveau de détail de l’historique : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Consignation. 4 Choisissez l’option de consignation souhaitée. 5 Cliquer sur Enregistrer. Visualisation des entrées d’historique du service DHCP Si vous avez activé la consignation pour le service DHCP, vous pouvez consulter l’historique système pour connaître les erreurs DHCP. L’affichage d’historique est le fichier .log système filtré pour “bootpd”. Vous pouvez encore restreindre les règles à l’aide du champ de filtrage de texte. Pour afficher des entrées d’historique DHCP : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur Historique. Visualisation de la liste des clients DHCP La fenêtre Clients DHCP fournit les informations suivantes pour chaque client : • l’adresse IP fournie au client ; • le nombre de jours restant pour la durée du bail tant qu’il n’est pas inférieur à 24 heures, et ensuite, le nombre d’heures et de minutes ; • l’identifiant du client DHCP qui correspond en général, mais pas systématiquement, à l’adresse matérielle ; • le nom de l’ordinateur ; • l’identifiant Ethernet.34 Chapitre 2 Service DHCP Pour afficher la liste des clients DHCP : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur Clients. Cliquez sur un en-tête de colonne pour trier la liste selon divers critères. Configurations réseau courantes qui utilisent DHCP La section qui suit contient des exemples de configurations DHCP pour différentes utilisations du réseau. Lorsque vous configurez un réseau privé, vous devez choisir vos adresses IP parmi les blocs d’adresses que l’IANA (Internet Assigned Numbers Authority) réserve aux réseaux privés (Intranets) : • 10.0.0.0 à –10.255.255.255 (préfixe 10/8) • 172.16.0.0 à –172.31.255.255 (préfixe 172.16/12) • 192.168.0.0–192.168.255.255 (préfixe 192.168/16) Utilisation de DHCP pour la fourniture d’adresses IP derrière une passerelle NAT Utilisez DHCP pour fournir des adresses IP aux ordinateurs qui se trouvent derrière une passerelle NAT. Bien que cela ne soit pas absolument nécessaire (la traduction d’adresses de réseau peut être utilisée avec des adresses IP statiques plutôt qu’avec DHCP), cela permet une configuration aisée des ordinateurs clients. Pour plus de détails, consultez la section “Liaison d’un réseau local à Internet via une adresse IP” à la page 106. Configuration Groupe de travail Imaginons que vous ayez un petit groupe de travail qui dispose de son propre groupe d’adresses DHCP. Vous avez également une imprimante connectée par IP, un serveur de fichiers et un serveur Open Directory (sur le réseau ou pas) à des fins de gestion des utilisateurs. Pour utiliser DHCP dans cette configuration, vous devez disposer d’un : • Coupe-feu opérationnel et configuré qui autorise les connections LDAP et d’imprimante (impression IP). Pour plus de détails, consultez le chapitre 4, “Service de coupe-feu IP”. • Serveur Open Directory ou LDAP opérationnel et configuré sur lequel des utilisateurs sont définis. Pour en savoir plus, consultez les guides “Mac OS X Server Administration d'Open Directory pour la version 10.4 ou ultérieure” et “Mac OS X Server Gestion utilisateur pour la version 10.4 ou ultérieure”.Chapitre 2 Service DHCP 35 La configuration de DHCP, dans cet exemple, implique l’utilisation du mappage d’adresses IP statiques et des réglages réseau supplémentaires sur les clients. Vous pourriez configurer cela de la manière suivante : • Pour une imprimante qui doit recevoir une adresse IP statique, vérifiez que la plage d’adresses DHCP affectée ne contient pas l’adresse IP statique de l’imprimante. Si celle-ci peut être configurée pour accepter une adresse via DHCP, ne vous souciez pas d’un éventuel chevauchement. Pour plus de détails, consultez la section “Utilisation d’adresses IP statiques” à la page 24. • Pour un serveur de fichiers qui doit toujours recevoir la même adresse, utilisez le mappage IP statique de Mac OS X Server pour toujours affecter la même adresse IP à son adresse Ethernet. Pour plus de détails, consultez la section “Affectation d’adresses IP statiques à l’aide de DHCP” à la page 31. • Pour la configuration de DHCP, activez les options LDAP pour les clients DHCP. Cela donne automatiquement aux clients les informations de répertoire dont ils ont besoin. Pour plus de détails, consultez la section “Configuration des options LDAP pour un sous-réseau” à la page 30. • Pour la configuration des clients Mac OS X, vérifiez que la méthode de configuration IPv4 dans la sous-fenêtre Réseau des Préférences Système est réglée sur “DHCP”. Cette configuration permet aux ordinateurs sur le réseau d’être gérés par un serveur LDAP ou Open Directory et d’obtenir l’ensemble de leur configuration de mise en réseau de DHCP. Ils peuvent avoir accès à une adresse IP statique ou aux adresses IP affectées de manière constante sur le même réseau. Vous bénéficiez en outre de la configuration centralisée pour tous les ordinateurs clients. Configuration Laboratoire d’étudiants La configuration Laboratoire d’étudiants est semblable à la configuration Groupe de travail, mais ajoute un service supplémentaire qui utilise DHCP : Netboot. En plus de DHCP pour la configuration de mise en réseau centralisée, Netboot standardise les environnements de démarrage en faisant démarrer tous les ordinateurs clients à partir d’une image disque qui se trouve sur un serveur NetBoot central. Cette configuration est identique à la “Configuration Groupe de travail” à la page 34, mais avec les exceptions suivantes : • Il peut y avoir des ressources d’adresses statiques ou pas. Cela dépend de la composition du laboratoire, bien entendu. Vous pouvez avoir une imprimante ou un serveur de fichiers de classe, mais si vous utilisez un chariot mobile que vous déplacez de classe en classe, vous n’allez pas emmener un serveur et une imprimante avez vous.36 Chapitre 2 Service DHCP • NetBoot est activé et configuré, ainsi que les réglages de coupe-feu pour le prendre en charge. Tout client sur le réseau peut être configuré pour démarrer à partir du serveur NetBoot. De nouveaux ordinateurs peuvent être déployés en définissant l’image NetBoot comme disque de démarrage de l’ordinateur. Aucune autre configuration n’est nécessaire et il est aisé de modifier ultérieurement l’usage auquel les ordinateurs sont destinés car le disque dur peut ne pas être modifié. Cette configuration permet aux ordinateurs sur le réseau d’être gérés par un serveur LDAP ou Open Directory et d’obtenir l’ensemble de leur configuration de mise en réseau de DHCP. L’environnement informatique est également configuré de manière centralisée pour tous les ordinateurs clients. Les nouveaux clients peuvent être ajoutés ou remplacés sans efforts. Configuration Bistrot La configuration Bistrot ne concerne pas nécessairement un bistrot. Il s’agit d’un type de configuration destiné à un environnement d’adressage entièrement dynamique, sans gestion des utilisateurs et sans autre service fourni que l’accès à Internet, l’accès à un DNS et, éventuellement, l’un ou l’autre service. Elle se caractérise par un grand nombre d’utilisateurs mobiles de passage qui utilisent l’accès à Internet, puis repartent. Cette configuration pourrait être utilisée dans des situations réelles, comme, par exemple, pour un réseau sans fil dans un établissement d’enseignement supérieur ou un bureau commun destiné aux consultants de passage. Pour utiliser DHCP dans cette configuration, vous devez disposer d’un : • Coupe-feu opérationnel et configuré qui autorise uniquement le trafic sortant vers le Web et les recherches sortantes DNS. Vous pouvez placer ce réseau en dehors de votre coupe-feu et vérifier que le trafic réseau des adresses IP affectées par DHCP est parfaitement contrôlé et surveillé. Pour plus de détails, consultez le chapitre 4, “Service de coupe-feu IP”. Vous pouvez configurer le service DHCP comme suit : • Rendez la configuration de mise en réseau automatique. Configurez les clients DHCP pour recevoir le plus de configuration réseau possible via DHCP. • Ne donnez pas aux clients DHCP des options qu’ils ne sont pas censés avoir. Ne leur donnez pas d’informations supplémentaires sur votre organisation via des informations LDAP. Vous pouvez donner aux clients Windows des options réseau supplémentaires. Pour plus de détails, consultez la section “Configuration des options WINS pour un sous-réseau” à la page 30. Avertissement : vérifiez que les éventuelles informations sensibles qui se trouvent sur votre réseau local sont bien protégées derrière un coupe-feu supplémentaire sur un autre réseau si vous hébergez des utilisateurs temporaires non authentifiés.Chapitre 2 Service DHCP 37 • Limitez l’usage des ressources. Un grand nombre d’utilisateurs peut entraîner l’utilisation de beaucoup de bande passante. Vous pourriez réduire le nombre de clients DHCP pouvant se connecter simultanément en autorisant uniquement l’affectation d’un nombre réduit d’adresses. Pour plus de détails, consultez la section “Création de sous-réseaux dans le service DHCP” à la page 27. • Gardez un rythme de réaffectation des adresses élevé. Vous souhaiterez rendre la durée de bail des adresses aussi courte que possible. De la sorte, comme les utilisateurs vont et viennent sur le réseau, les adresses peuvent être réaffectées aussi rapidement que possible. Pour plus de détails, consultez la section “Création de sous-réseaux dans le service DHCP” à la page 27. • Surveillez le trafic. Gardez un œil sur les connexion et les clients DHCP, la connexion des paquets de règles du coupe-feu ou d’autres outils de surveillance. Les points d’accès ouverts peuvent constituer un danger s’ils ne sont pas gardés avec vigilance. Autres sources d’informations Les documents RFC (Request for Comments) offrent un aperçu d’un protocole ou service et présentent de manière détaillée comment le protocole doit se comporter. Si vous êtes administrateur serveur débutant, vous trouverez probablement certaines informations utiles dans les RFC. Si vous êtes administrateur serveur expérimenté, vous trouverez tous les détails techniques sur un protocole particulier dans le document RFC correspondant. Vous pouvez rechercher des documents RFC par numéro sur le site : www.ietf.org/rfc.html Pour des informations détaillées sur le service DHCP, consultez le RFC 2131. Pour en savoir plus sur bootpd et ses options de configuration avancées, consultez la page man de bootpd dans le Terminal en tapant : man bootpd3 39 3 Service DNS Lorsque vos clients cherchent à se connecter à une ressource réseau, telle qu’un serveur Web ou un serveur de fichiers, ils utilisent en général son nom de domaine (comme www.exemple.com) plutôt que son adresse IP (comme 192.168.12.12). Le système DNS (Domain Name System) est une base de données distribuée mappant des adresses IP vers des noms de domaines afin que vos clients localisent les ressources par leur nom plutôt que par leur adresse numérique. Un serveur DNS met à jour la liste des noms de domaines et des adresses IP associées à chaque nom. Lorsqu’un ordinateur a besoin de l’adresse IP correspondant à un nom, il envoie un message au serveur DNS (également appelé serveur de noms). Le serveur de noms cherche l’adresse IP et la renvoie à l’ordinateur. Si le serveur de noms ne trouve pas l’adresse IP en local, il envoie des messages à d’autres serveurs de noms sur Internet pour l’obtenir. Le processus de configuration et de maintenance d’un serveur DNS est complexe. C’est pourquoi de nombreux administrateurs font appel à leur fournisseur d’accès à Internet (FAI) pour les services DNS. Si tel est le cas, il ne vous reste plus qu’à configurer vos préférences réseau avec l’adresse IP du serveur de noms que votre fournisseur vous a indiquée. Si votre fournisseur ne peut pas traiter les demandes DNS pour votre réseau et que l’une des affirmations suivantes se vérifie, vous devez configurer le service DNS : • Vous n’avez pas la possibilité d’utiliser le service DNS de votre FAI ou toute autre source. • Vous envisagez de modifier souvent l’espace de noms et voulez le gérer vous-même. • Vous disposez d’un serveur de courrier sur votre réseau et rencontrez des problèmes de coordination avec le fournisseur chargé de votre domaine. • Vous avez des craintes en matière de sécurité concernant le fait de donner les noms et les adresses des ordinateurs de votre réseau à une organisation extérieure (votre fournisseur d’accès à Internet). Mac OS X Server utilise Berkeley Internet Name Domain (BIND v.9.2.2) pour l’implémentation des protocoles DNS. BIND est une implémentation open source utilisée par la majorité des serveurs de noms sur Internet.40 Chapitre 3 Service DNS Avant de configurer le service DNS Cette section comporte des informations dont il est recommandé de tenir compte avant de configurer le service DNS sur votre réseau. Les problèmes qu’implique l’administration DNS sont aussi complexes que nombreux. Vous ne devez procéder à la configuration du service DNS sur votre réseau que si vous vous êtes un administrateur DNS expérimenté. Vous pouvez envisager de créer un alias de messagerie appelé “hostmaster” pour recevoir le courrier et l’envoyer à la personne qui fait fonctionner le serveur DNS sur votre site. Cela permet aux utilisateurs et aux autres administrateurs DNS de vous contacter au sujet de problèmes liés au service DNS. DNS et BIND Vous devez maîtriser complètement ce domaine avant de configurer votre propre serveur DNS. Pour vous documenter sur le DNS, lisez DNS and BIND, 4ème édition, de Paul Albitz et Cricket Liu (O’Reilly and Associates, 2001). Remarque : Apple peut vous aider à trouver un conseiller réseau pour implémenter votre service DNS. Vous pouvez prendre contact avec Apple Professional Services et Apple Consultants Network sur le Web à l’adresse www.apple.com/fr/services/ ou www.apple.com/consultants. Configuration de plusieurs serveurs de noms Vous devez configurer au moins un serveur de noms principal et un autre secondaire. De cette manière, le serveur de noms secondaire peut prendre la relève au cas où le serveur de noms principal s’arrête subitement. Un serveur secondaire obtient des données du serveur principal en copiant régulièrement toutes les informations sur le domaine de ce dernier. Une fois que le serveur de noms obtient le couple nom/adresse d’un hôte dans un autre domaine (c’est-à-dire en dehors du domaine qu’il dessert), les informations sont mises en cache afin de garantir que les adresses IP des noms récemment résolus sont stockées pour une utilisation ultérieure. Les informations DNS sont en général mises en cache sur votre serveur de noms pour une durée déterminée, désignée par la valeur time-to-live (TTL). Lorsque la valeur TTL d’un couple nom de domaine/adresse IP est arrivée à expiration, l’entrée correspondante est supprimée de la mémoire cache du serveur de noms. Votre serveur redemande alors les informations dont il a besoin.Chapitre 3 Service DNS 41 Configuration initiale du service DNS Si vous utilisez un serveur de noms DNS externe et avez entré son adresse IP dans l’Assistant réglages, vous n’avez rien d’autre à faire. Si vous configurez votre propre serveur DNS, suivez les étapes décrites dans cette section. Étape 1 : Enregistrement de votre nom de domaine L’enregistrement d’un nom de domaine est géré par une organisation centralisée nommée IANA (Internet Assigned Numbers Authority). IANA garantit l’unicité des noms de domaines à travers Internet. (Consultez la page www.iana.org pour en savoir plus.) Si vous n’enregistrez pas votre nom de domaine, votre réseau ne pourra pas communiquer sur Internet. Une fois le nom de domaine enregistré, vous pouvez créer des sous-domaines si votre serveur DNS est configuré sur votre réseau pour effectuer le suivi des noms et des adresses IP des sous-domaines. Par exemple, si vous enregistrez le nom de domaine “exemple.com”, vous pouvez créer les sous-domaines “hôte1.exemple.com”, “courrier.exemple.com” ou “www.exemple.com”. Le serveur d’un sous-domaine peut s’appeler “principal.www.exemple.com” ou “sauvegarde.www.exemple.com.” Le serveur DNS pour exemple.com assure le suivi des informations pour ses sous-domaines, telles que les noms d’hôtes (ou d’ordinateurs), les adresses IP statiques, les alias et les échangeurs de courrier. Si votre FAI gère votre service DNS, vous devrez l’informer de toutes les modifications apportées à votre espace de noms, y compris l’ajout de sous-domaines. La plage d’adresses IP utilisées pour un domaine donné doit être clairement précisée avant la configuration. Ces adresses sont uniquement utilisées pour un domaine spécifique (et jamais par un autre domaine ou sous-domaine). La plage d’adresses doit être communiquée à votre administrateur réseau ou fournisseur d’accès. Étape 2 : Formation et planification Si c’est la première fois que vous travaillez avec le DNS, vous devez apprendre et comprendre les concepts, les outils et les fonctions DNS de Mac OS X Server et de BIND. Reportez-vous à la section “Autres sources d’informations” à la page 63. Ensuite, planifiez votre service DNS. Vous pouvez vous poser les questions suivantes lors de la planification : • Avez-vous réellement besoin d’un serveur DNS local ? Votre FAI fournit-il le service DNS ? Pourriez-vous utiliser les noms DNS multi-diffusion à la place ? • De combien de serveurs aurez-vous besoin pour la charge prévue ? De combien de serveurs aurez-vous besoin pour les sauvegardes ? Ainsi, vous devrez désigner un second, voire un troisième ordinateur pour le service DNS de sauvegarde. • Quelle est votre stratégie de sécurité en cas d’utilisation illicite ? • À quelle fréquence devez-vous programmer les inspections ou tests périodiques des enregistrements DNS pour vérifier l’intégrité des données ?42 Chapitre 3 Service DNS • Combien de services ou de périphériques (comme un site Web intranet ou une imprimante réseau) auront-ils besoin d’un nom ? Il existe deux façons de configurer le service DNS sur Mac OS X Server. La première (recommandée) consiste à configurer le service DNS en utilisant Admin Serveur. Pour plus d’informations, reportez-vous à la section “Gestion du service DNS” à la page 43 pour les instructions. La seconde façon de configurer le DNS consiste à modifier le fichier de configuration de BIND. BIND est le jeu de programmes utilisé par Mac OS X Server qui implémente le DNS. L’un de ces programmes est le démon des noms ou named. Pour installer et configurer BIND, vous devez modifier le fichier de configuration et le fichier de zone. Le fichier de configuration se trouve dans le fichier suivant : /etc/named.conf Le nom du fichier de zone est créé à partir du nom de la zone. Ainsi, le fichier de zone “exemple.com” se trouve dans le fichier suivant : /var/named/exemple.com.zone Si vous modifiez named.conf pour configurer BIND, ne modifiez en aucun cas les réglages relatifs à l’instruction de contrôle inet. Si vous le faites, Admin Serveur ne pourra plus extraire d’informations d’état pour DNS. Les réglages inet doivent être les suivants : controls { inet 127.0.0.1 port 54 allow {any;} keys { "rndc-key"; }; }; Étape 3 : Configuration des réglages de base du DNS Pour plus de détails, consultez la section “Gestion du service DNS” à la page 43. Décidez si vous allez autoriser la récursion ou les transferts de zone. Étape 4 : Création d’une zone DNS Utilisez Admin Serveur pour configurer des zones DNS. Pour obtenir des instructions, consultez la section “Gestion de zones DNS” à la page 45. Après avoir ajouté une zone principale, Admin Serveur crée automatiquement un enregistrement NS portant le même nom que la SOA (Source of Authority). Chaque fois que vous créez une zone, Mac OS X Server crée une zone de recherche inverse. Les zones de recherche inverse convertissent les adresses IP en noms de domaine, alors que les recherches normales convertissent les noms de domaine en adresses IP.Chapitre 3 Service DNS 43 Étape 5 : Ajout d’enregistrements d’ordinateur DNS à la zone Utilisez Admin Serveur pour ajouter des enregistrements supplémentaires à votre zone. Créez un enregistrement d’adresse pour tous les ordinateurs ou périphériques (imprimante, serveur de fichiers, etc.) possédant une adresse IP statique et ayant besoin d’un nom. Divers enregistrements de zone DNS sont créés à partir des entrées d’ordinateur DNS. Pour obtenir des instructions, consultez la section “Gestion d’enregistrements d’ordinateur DNS” à la page 49. Étape 6 : Configuration d’un enregistrement MX (Mail Exchange) (facultatif) Si vous proposez un service de courrier sur Internet, vous devez configurer un enregistrement MX pour votre serveur. Pour plus de détails, consultez la section “Configuration des enregistrements MX” à la page 57. Étape 7 : Configuration du coupe-feu IP Vous allez devoir configurer votre coupe-feu pour vous assurer que votre service DNS est protégé des attaques et accessible par vos clients. Pour en savoir plus sur la configuration d’un coupe-feu IP, consultez le chapitre 4, “Service de coupe-feu IP”. Étape 8 : Démarrage du service DNS Mac OS X Server offre une interface simple pour démarrer et arrêter le service DNS. Pour plus de détails, consultez la section “Démarrage et arrêt du service DNS” à la page 43. Gestion du service DNS Mac OS X Server offre une interface simple pour démarrer et arrêter le service DNS et visualiser les historiques et les états. Les réglages DNS de base peuvent être configurés à l’aide d’Admin Serveur. Les fonctions plus avancées nécessitent la configuration du BIND à partir de la ligne de commande et ne sont pas traitées dans ce manuel. Démarrage et arrêt du service DNS Procédez comme suit pour démarrer ou arrêter le service DNS. N’oubliez pas de redémarrer le service DNS après chaque modification du service DNS effectuée dans Admin Serveur. Pour démarrer ou arrêter le service DNS : 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Assurez-vous qu’au moins une Zone et sa zone de recherche inverse sont créées et entièrement configurées. 3 Cliquez sur Démarrer le service ou Arrêter le service. Le démarrage et l’arrêt du service peuvent prendre un instant.44 Chapitre 3 Service DNS Activation ou désactivation des transferts de zone Dans le DNS (Domain Name System), le “transfert de zone” permet de dupliquer les données de zone sur les serveurs DNS de référence. Les serveurs DNS secondaires utilisent les transferts de zone pour acquérir leurs données sur les serveurs DNS principaux. Les transferts de zone doivent être activés pour utiliser les serveurs DNS secondaires. Pour activer ou désactiver le transfert de zone : 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Général. 4 Sélectionnez ou désélectionnez “Autoriser les transferts de zone”, selon le cas. Activation ou désactivation de la récursion La récursion est un procédé permettant de résoudre complètement les noms de domaine en adresses IP. Les applications des utilisateurs dépendent du serveur DNS pour l’exécution de cette fonction. Les autres serveurs DNS qui lancent des requêtes sur le vôtre n’ont pas à effectuer la récursion. Pour empêcher des utilisateurs malveillants de corrompre les enregistrements de la zone principale (“corruption de cache” ou “cache poisoning”) ou de favoriser une utilisation illicite du service D