Apple Guide_de_l_administrateur_d_Xsan_2.pdf Apple sur FNAC.COM - Pour voir la liste complète des manuels APPLE, cliquez ici

 

 

TELECHARGER LE PDF : http://manuals.info.apple.com/fr/Guide_de_l_administrateur_d_Xsan_2.pdf

 

 

Voir également d'autres Guides APPLE :

Apple-systemoverviewj.pdf-Japon

Apple-Xserve_TO_J070411.pdf-Japon

Apple-Mac_Pro_User_Guide.pdf

Apple-iMacG5_iSight_UG.pdf

Apple-premiers_contacts_avec_iwork_08.pdf

Apple-services_de_collaboration_2e_ed_10.4.pdf

Apple-iPhone_Bluetooth_Headset_Benutzerhandbuch.pdf

Apple-Guide_de_l_utilisateur_de_Keynote08.pdf

APPLE/Apple-Logic-Pro-9-Effectsrfr.pdf

Apple-Logic-Pro-9-Effectsrfr.pdf

Apple-iPod_shuffle_3rdGen_UG_F.pdf

Apple-iPod_classic_160Go_Guide_de_l_utilisateur.pdf

Apple-iBookG4GettingStarted.pdf

Apple-Administration_de_technologies_web_10.5.pdf

Apple-Compressor-4-User-Manual-fr

Apple-MainStage-User-Manual-fr.pdf

Apple-Logic_Pro_8.0_lbn_j.pdf

Apple-PowerBookG4_15inch1.67-1.5GHzUserGuide.pdf

Apple-MacBook_Pro_15inch_Mid2010_CH.pdf

Apple-LED_Cinema_Display_27-inch_UG.pdf

Apple-MacBook_Pro_15inch_Mid2009_RS.pdf

Apple-macbook_pro_13inch_early2011_f.pdf

Apple-iMac_Mid2010_UG_BR.pdf

Apple-iMac_Late2009_UG_J.pdf

Apple-iphone_user_guide-For-iOS-6-Software

Apple-iDVD5_Getting_Started.pdf

Apple-guide_des_fonctionnalites_de_l_ipod_touch.pdf

Apple_iPod_touch_User_Guide

Apple_macbook_pro_13inch_early2011_f

Apple_Guide_de_l_utilisateur_d_Utilitaire_RAID

Apple_Time_Capsule_Early2009_Setup_F

Apple_iphone_4s_finger_tips_guide_rs

Apple_iphone_upute_za_uporabu

Apple_ipad_user_guide_ta

Apple_iPod_touch_User_Guide

apple_earpods_user_guide

apple_iphone_gebruikershandleiding

apple_iphone_5_info

apple_iphone_brukerhandbok

apple_apple_tv_3rd_gen_setup_tw

apple_macbook_pro-retina-mid-2012-important_product_info_ch

apple_Macintosh-User-s-Guide-for-Macintosh-PowerBook-145

Apple_ipod_touch_user_guide_ta

Apple_TV_2nd_gen_Setup_Guide_h

Apple_ipod_touch_manual_del_usuario

Apple_iphone_4s_finger_tips_guide_tu

Apple_macbook_pro_retina_qs_th

Apple-Manuel_de_l'utilisateur_de_Final_Cut_Server

Apple-iMac_G5_de_lutilisateur

Apple-Cinema_Tools_4.0_User_Manual_F

Apple-Personal-LaserWriter300-User-s-Guide

Apple-QuickTake-100-User-s-Guide-for-Macintosh

Apple-User-s-Guide-Macintosh-LC-630-DOS-Compatible

Apple-iPhone_iOS3.1_User_Guide

Apple-iphone_4s_important_product_information_guide

Apple-iPod_shuffle_Features_Guide_F

Liste-documentation-apple

Apple-Premiers_contacts_avec_iMovie_08

Apple-macbook_pro-retina-mid-2012-important_product_info_br

Apple-macbook_pro-13-inch-mid-2012-important_product_info

Apple-macbook_air-11-inch_mid-2012-qs_br

Apple-Manuel_de_l_utilisateur_de_MainStage

Apple-Compressor_3_User_Manual_F

Apple-Color_1.0_User_Manual_F

Apple-guide_de_configuration_airport_express_4.2

Apple-TimeCapsule_SetupGuide

Apple-Instruments_et_effets_Logic_Express_8

Apple-Manuel_de_l_utilisateur_de_WaveBurner

Apple-Macmini_Guide_de_l'utilisateur

Apple-PowerMacG5_UserGuide

Disque dur, ATA parallèle Instructions de remplacement

Apple-final_cut_pro_x_logic_effects_ref_f

Apple-Leopard_Installationshandbok

Manuale Utente PowerBookG4

Apple-thunderbolt_display_getting_started_1e

Apple-Compressor-4-Benutzerhandbuch

Apple-macbook_air_11inch_mid2011_ug

Apple-macbook_air-mid-2012-important_product_info_j

Apple-iPod-nano-Guide-des-fonctionnalites

Apple-iPod-nano-Guide-des-fonctionnalites

Apple-iPod-nano-Guide-de-l-utilisateur-4eme-generation

Apple-iPod-nano-Guide-de-l-utilisateur-4eme-generation

Apple-Manuel_de_l_utilisateur_d_Utilitaire_de_reponse_d_impulsion

Apple-Aperture_2_Raccourcis_clavier

AppleTV_Setup-Guide

Apple-livetype_2_user_manual_f

Apple-imacG5_17inch_harddrive

Apple-macbook_air_guide_de_l_utilisateur

Apple-MacBook_Early_2008_Guide_de_l_utilisateur

Apple-Keynote-2-Guide-de-l-utilisateur

Apple-PowerBook-User-s-Guide-for-PowerBook-computers

Apple-Macintosh-Performa-User-s-Guide-5200CD-and-5300CD

Apple-Macintosh-Performa-User-s-Guide

Apple-Workgroup-Server-Guide

Apple-iPod-nano-Guide-des-fonctionnalites

Apple-iPad-User-Guide-For-iOS-5-1-Software

Apple-Boot-Camp-Guide-d-installation-et-de-configuration

Apple-iPod-nano-Guide-de-l-utilisateur-4eme-generation

Power Mac G5 Guide de l’utilisateur APPLE

Guide de l'utilisateur PAGE '08 APPLE

Guide de l'utilisateur KEYNOTE '09 APPLE

Guide de l'Utilisateur KEYNOTE '3 APPLE

Guide de l'Utilisateur UTILITAIRE RAID

Guide de l'Utilisateur Logic Studio

Power Mac G5 Guide de l’utilisateur APPLE

Guide de l'utilisateur PAGE '08 APPLE

Guide de l'utilisateur KEYNOTE '09 APPLE

Guide de l'Utilisateur KEYNOTE '3 APPLE

Guide de l'Utilisateur UTILITAIRE RAID

Guide de l'Utilisateur Logic Studio

Guide de l’utilisateur ipad Pour le logiciel iOS 5.1

PowerBook G4 Premiers Contacts APPLE

Guide de l'Utilisateur iphone pour le logiciel ios 5.1 APPLE

Guide de l’utilisateur ipad Pour le logiciel iOS 4,3

Guide de l’utilisateur iPod nano 5ème génération

Guide de l'utilisateur iPod Touch 2.2 APPLE

Guide de l’utilisateur QuickTime 7  Mac OS X 10.3.9 et ultérieur Windows XP et Windows 2000

Guide de l'utilisateur MacBook 13 pouces Mi 2010

Guide de l’utilisateur iPhone (Pour les logiciels iOS 4.2 et 4.3)

Guide-de-l-utilisateur-iPod-touch-pour-le-logiciel-ios-4-3-APPLE

Guide-de-l-utilisateur-iPad-2-pour-le-logiciel-ios-4-3-APPLE

Guide de déploiement en entreprise iPhone OS

Guide-de-l-administrateur-Apple-Remote-Desktop-3-1

Guide-de-l-utilisateur-Apple-Xserve-Diagnostics-Version-3X103

Guide-de-configuration-AirPort-Extreme-802.11n-5e-Generation

Guide-de-configuration-AirPort-Extreme-802-11n-5e-Generation

Guide-de-l-utilisateur-Capteur-Nike-iPod

Guide-de-l-utilisateur-iMac-21-5-pouces-et-27-pouces-mi-2011-APPLE

Guide-de-l-utilisateur-Apple-Qadministrator-4

Guide-d-installation-Apple-TV-3-eme-generation

User-Guide-iPad-For-ios-5-1-Software

Xsan 2 Guide de l’administrateurK Apple Inc. © 2008 Apple Inc. Tous droits réservés. Conformément aux lois sur les droits d’auteur, il est strictement interdit de reproduire ce manuel, partiellement ou intégralement, sans l’autorisation écrite d’Apple. Le logo Apple est une marque d’Apple Inc., déposée aux États-Unis et dans d’autres pays. En l’absence du consentement écrit d’Apple, l’utilisation à des fins commerciales de ce logo via le clavier (Option + 1) pourra constituer un acte de contrefaçon et/ou de concurrence déloyale. Tous les efforts ont été mis en œuvre pour garantir l’exactitude des informations de ce manuel. Apple n’est pas responsable des erreurs typographiques. Apple 1 Infinite Loop Cupertino, CA 95014-2084 408-996-1010 www.apple.com Apple, le logo Apple, Mac, Mac OS, Macintosh, le logo Mac, Tiger, Xsan et Xserve sont des marques d’Apple Inc. déposées aux États-Unis et dans d’autres pays. Apple Remote Desktop, Finder, Leopard et Spotlight sont des marques d’Apple Inc. ADIC et StorNext sont des marques déposées d’Advanced Digital Information Corporation. Intel, Intel Core et Xeon sont des marques d’Intel Corp. aux États-Unis et dans d’autres pays. PowerPC et le logo PowerPC sont des marques d’International Business Machines Corporation, utilisées sous licence. UNIX est une marque déposée de The Open Group. Les autres noms de sociétés et de produits mentionnés sont des marques de leurs détenteurs respectifs. Les produits de tierce partie ne sont mentionnés qu’à titre indicatif, et aucunement à des fins publicitaires ou de recommandation. Apple se dégage de toute responsabilité quant aux performances ou à l’utilisation de ces produits. Le produit décrit dans ce manuel comprend une technologie de protection de droits d’auteur qui est proté- gée par des droits de méthodes de certains brevets américains et d’autres droits de propriété intellectuelle appartenant à Macrovision Corporation et à d’autres ayants droit. L’utilisation de cette technologie de protection de droits d’auteur est soumise à l’autorisation de Macrovision Corporation et est destinée à un usage personnel ou à d’autres utilisations de visionnage limitées uniquement, à moins d’obtenir une autorisation de Macrovision Corporation pour d’autres utilisations. L’ingénierie inverse ou le désassemblage sont interdits. Le dispositif fait l’objet des numéros de brevet américains 4 631 603, 4 577 216, 4 819 098 et 4 907 093 sous licence uniquement pour des utilisations de visionnage limitées. Publié simultanément aux États-Unis et au Canada. F019-0964-A/16-01-2008 3 1 Table des matières Préface 9 À propos de ce livre 10 Nouveautés d’Xsan 2 10 Compatibilité de version 11 Mise à niveau à partir d’une version antérieure d’Xsan 11 Sources d’informations complémentaires 11 Conventions de notation Chapitre 1 13 Vue d’ensemble d’Xsan 13 Réseaux de zones de stockage Xsan 15 Volumes SAN partagés 15 Contrôleurs de métadonnées 15 Clients 15 Connexions réseau 16 Mode d’organisation du stockage Xsan 17 LUN 17 Réserves de stockage 18 Affinités 18 Volumes 19 Dossiers avec affinités 20 Comment Xsan utilise-t-il l’espace de stockage disponible ? 20 Métadonnées et données de journal 20 Segmentation à un niveau supérieur 21 Sécurité 21 Extension de l’espace de stockage 22 Capacités Xsan Chapitre 2 23 Planification d’un réseau de zones de stockage 23 Configuration logicielle et matérielle Xsan 23 Ordinateurs compatibles 24 Périphériques de stockage compatibles 24 Structure Fibre Channel 25 Réseau TCP/IP Ethernet 26 Services de répertoire4 Table des matières 27 Service de courrier sortant 28 Planification de votre réseau SAN 29 Éléments et directives de planification 36 Planification du réseau TCP/IP Ethernet 37 Utilisation d’un réseau de métadonnées privé 37 Utilisation de commutateurs plutôt que de concentrateurs 37 Planification du réseau Fibre Channel 37 Vérification des performances Fibre Channel de base 38 Si votre structure Fibre Channel fonctionne plus lentement que prévu 39 Configuration des systèmes RAID 39 Installation du programme interne le plus récent 39 Connexion de systèmes RAID à un réseau Ethernet 39 Choix de niveaux RAID adaptés aux LUN 39 Réglage des performances des systèmes RAID Chapitre 3 43 Configuration d’un réseau de zones de stockage 43 Connexion des ordinateurs et des périphériques de stockage 43 Préparation des LUN 44 Utilisation d’Assistant du serveur pour configurer des contrôleurs 44 Gestion des utilisateurs et des groupes à l’aide d’Xsan Admin 45 Utilisation d’un serveur Open Directory existant 45 Utilisation d’un autre serveur d’annuaire 45 Utilisation d’Xsan Admin 45 Installation de l’application Xsan Admin uniquement 45 Connexion à travers un coupe-feu 46 Préférences Xsan Admin 46 Pour obtenir de l’aide 46 Résumé de la configuration du SAN et du volume 47 Configuration d’un volume Xsan sur un réseau de stockage SAN 57 Configuration d’un ordinateur administrateur Xsan 57 Modification du nom d’un SAN 57 Suppression d’un SAN 58 Gestion de plusieurs SAN 58 Configuration de SAN supplémentaires Chapitre 4 59 Gestion de l’espace de stockage SAN 59 Ajout d’espace de stockage 60 Préparation des LUN 60 Recherche des modules de disque dur appartenant à un LUN 61 Ajout de LUN à une réserve de stockage 62 Réorganisation des connexions Fibre Channel 63 Ajout d’une réserve de stockage à un volume 64 Ajout d’un volume à un SANTable des matières 5 65 Configuration d’une affinité de dossier 66 Modification de l’affinité de réserve de stockage d’un dossier 66 Suppression d’une affinité 67 Modifications des réglages de volume avancés 68 Réglage de la taille d’allocation de bloc 68 Modification de la stratégie d’allocation du volume 69 Activation ou désactivation de Spotlight sur un volume 69 Activation ou désactivation des listes de contrôle d’accès 69 Changement du mappage d’identifiants Windows 70 Modification des réglages avancés d’allocation et de mise en mémoire cache 70 Modification du nom d’un volume 71 Modification des réglages de réserve de stockage 71 Choix du type de données d’une balise d’affinité 72 Réglage de la largeur de segment d’une réserve de stockage 73 Vérification de la fragmentation du volume 74 Défragmentation d’un volume 75 Vérification de l’intégrité d’un volume 76 Réparation d’un volume 76 Destruction d’un volume Chapitre 5 77 Gestion des clients et des utilisateurs 78 Ajout d’un client 79 Ajout d’un numéro de série Xsan 80 Déplacement d’un client vers un autre réseau SAN 81 Montage d’un volume sur un client 82 Modification des options de montage 83 Gestion des utilisateurs et des groupes 84 Ajout d’utilisateurs du SAN 85 Suppression d’utilisateurs du SAN 85 Création de groupes 86 Suppression de groupes 86 Modification des membres d’un groupe 87 Contrôle de l’accès client et utilisateur 87 Utilisation du Finder pour contrôler l’accès aux fichiers et aux dossiers 87 Utilisation d’Xsan Admin pour contrôler l’accès aux fichiers et aux dossiers 88 Démontage d’un volume sur un client 89 Restriction d’un client à l’accès en lecture seule 90 Suppression d’un client du réseau SAN 91 Mappage des identifiants d’utilisateur et de groupe Windows 92 Définition de quotas de groupe et d’utilisateur du SAN 93 À propos des quotas d’Xsan 94 Consultation de l’état du quota d’utilisateur 96 Aider les clients à contrôler leurs quotas6 Table des matières 96 Création de dossiers de départ locaux pour des comptes réseau 97 Accès à des ordinateurs clients à distance 98 Contrôle d’un client à l’aide de la fonction de partage d’écran 98 Connexion à un client via SSH dans Terminal 98 Gestion d’un serveur client à l’aide d’Admin Serveur Chapitre 6 99 Gestion des contrôleurs de métadonnées 100 Ajout d’un contrôleur de métadonnées 101 Réglage de la priorité de basculement des contrôleurs 101 Passage à un contrôleur de réserve 102 Recherche du contrôleur qui héberge un volume 103 Affichage de la liste des volumes hébergés par un contrôleur 103 Changement de l’adresse IP d’un contrôleur 104 Accès à distance à des ordinateurs contrôleurs 105 Contrôle d’un contrôleur à l’aide du partage d’écran 105 Connexion à un contrôleur via SSH dans Terminal 106 Gestion d’un contrôleur à l’aide d’Admin Serveur 106 Contrôle de l’état d’un contrôleur Chapitre 7 107 Surveillance de l’état SAN 107 Contrôle de l’état du SAN 108 Contrôle de l’état des volumes 109 Vérification de l’espace disponible sur un volume 110 Vérification de l’espace disponible dans une réserve de stockage 111 Représentation graphique de l’usage des ressources SAN 112 Configuration des notifications d’état 113 Affichage des historiques d’Xsan 114 Vérification des clients d’un volume 115 Détection des défaillances de connexion Fibre Channel Chapitre 8 117 Résolution des problèmes de réseau SAN 117 Si vous ne parvenez pas à vous connecter à un ordinateur à l’aide d’Xsan Admin 117 Si vous ne parvenez pas à installer le logiciel Xsan 117 Si certains ordinateurs ne sont pas répertoriés dans Xsan Admin 118 Si vous ne parvenez pas à monter un volume sur un client 118 Si les LUN RAID ne sont pas accessibles via Fibre Channel 118 Si les fichiers et dossiers créés sur des ordinateurs Mac OS 9 indiquent une date de création erronée 118 Si vous rencontrez des difficultés pour utiliser les outils de ligne de commande 118 Si un LUN ne possède pas autant d’espace que prévu 119 Si vous ne parvenez pas à renommer un volume Xsan dans le Finder 119 Si vous ne parvenez pas à ajouter une réserve de stockage 120 Si les performances Fibre Channel sont moins bonnes que prévuTable des matières 7 120 Si un client ne parvient pas à utiliser un volume après une interruption Fibre Channel 120 Si vous ne parvenez pas à ajouter des LUN à une réserve de stockage 121 Si la capacité indiquée d’un LUN est de 2 To alors qu’elle est en réalité supérieure 121 Si la copie d’un fichier ne se termine pas Annexe A 123 Combinaison de contrôleurs Xsan et de clients StorNext 123 Terminologie 124 Versions logicielles compatibles 124 Licence 125 Utilisation de contrôleurs Xsan avec des clients StorNext Annexe B 127 Utilisation de la ligne de commande 127 Utilisation des commandes shell 128 Envoi de commandes à des ordinateurs distants 128 Affichage des pages man 128 Conventions de notation 129 Installation d’Xsan à partir de la ligne de commande 129 Commandes Xsan 130 Affichage ou modification des réglages d’un volume et d’une réserve de stockage (cvadmin) 133 Manipulation des balises d’affinité (cvaffinity) 133 Copie de fichiers ou de dossiers (cvcp) 134 Vérification ou réparation d’un volume (cvfsck) 135 Étiquetage, listage et suppression d’étiquettes des LUN (cvlabel) 136 Création d’un dossier et assignation d’une affinité (cvmkdir) 136 Création et préallocation d’un fichier (cvmkfile) 137 Initialisation d’un volume (cvmkfs) 137 Modifications de configuration de volume (cvupdatefs) 138 Défragmentation d’un fichier, d’un dossier ou d’un volume (snfsdefrag) 139 Contrôle du système de fichiers Xsan (xsanctl) 140 Montage d’un volume Xsan 140 Démontage d’un volume Xsan 140 Affichage d’historiques 141 Fichiers de configuration Xsan 141 Exemples Glossaire 143 Index 147 9 Préface À propos de ce livre Ce guide vous permettra d’apprendre à utiliser Xsan 2, et à configurer et gérer des volumes sur un réseau de stockage SAN. Ce guide explique comment utiliser Xsan 2 pour combiner des matrices RAID afin de constituer de grands volumes de stockage aisément extensibles que vos clients pourront utiliser comme des disques locaux, mais qui seront en fait partagés via une structure Fibre Channel à haute vitesse. Le chapitre 1 présente une vue d’ensemble d’Xsan et explique comment l’utiliser pour combiner des matrices RAID afin de constituer des volumes de stockage partagés. Le chapitre 2 décrit les configurations matérielles et logicielles requises, et fournit des instructions d’organisation du SAN. Le chapitre 3 montre les étapes de base nécessaires à la configuration d’un réseau SAN. Le chapitre 4 comporte des instructions concernant l’extension de l’espace de stockage, la création de dossiers dotés d’affinités, la modification des réglages de volumes et de réserves de stockage, ainsi que la vérification, la défragmentation et la réparation des volumes SAN. Le chapitre 5 indique comment ajouter des ordinateurs clients à un réseau SAN, monter des volumes sur des clients, contrôler l’accès client et utilisateur aux fichiers du SAN et contrôler l’espace utilisateur à l’aide de quotas. Le chapitre 6 contient des informations sur la gestion des contrôleurs de métadonnées des volumes. Le chapitre 7 indique comment contrôler et rapporter automatiquement l’état d’un réseau SAN. Le chapitre 8 présente une liste de solutions aux problèmes courants que vous pourriez rencontrer.10 Préface À propos de ce livre L’annexe A contient des informations destinées à vous aider à utiliser l’application Terminal pour combiner des contrôleurs de métadonnées Xsan avec des clients Quantum StorNext. L’annexe B décrit les utilitaires de ligne de commande et les fichiers de configuration que vous pouvez utiliser pour gérer un SAN Xsan à l’aide de l’application Terminal. Nouveautés d’Xsan 2 Xsan 2 offre les nouvelles fonctionnalités et capacités suivantes :  L’application Xsan Admin a été améliorée de manière à simplifier la gestion de SAN.  Vous pouvez utiliser Xsan Admin pour activer les voyants d’activité de disque afin d’identifier les LUN.  Un assistant réglages de volume vous aide tout au long du processus de création de volumes destinés à des tâches courantes telles que le montage vidéo et les services de fichiers.  L’assistant réglages de volume organise aussi à votre place l’espace de stockage disponible en réserves de stockage, en fonction de la manière dont vous souhaitez utiliser le volume.  Plusieurs réserves de stockage peuvent avoir la même balise d’affinité.  Chaque volume possède une priorité de basculement distincte. Compatibilité de version Le tableau suivant indique la compatibilité des clients et contrôleurs de métadonnées Xsan 2 avec les anciennes versions d’Xsan et les clients et contrôleurs StorNext. Contrôleur Client Compatible Xsan 2 Xsan 2 (Mac OS X 10.5) Oui Xsan 1.4.2 (Mac OS X 10.4 ou 10.5) Oui Xsan 1.4–1.4.1 Non Xsan 1.3 ou antérieur Non StorNext FX 1.4 ou 2.0 Oui StorNext FS 2.4–3.1 Non Xsan 1.4 ou antérieur Xsan 2 Non StorNext FS 3.1 Xsan 2 Oui StorNext FS 2.4–3.0 Xsan 2 NonPréface À propos de ce livre 11 Mise à niveau à partir d’une version antérieure d’Xsan Pour obtenir des informations sur la mise à niveau de votre réseau de stockage SAN avec Xsan 2 à partir d’une ancienne version d’Xsan, y compris les précautions à prendre avant d’effectuer la mise à niveau et des conseils permettant d’effectuer une mise à niveau à impact minimal sur l’espace de stockage existant, référez-vous au Guide de migration Xsan 2 disponible sur www.apple.com/fr/server/documentation. Sources d’informations complémentaires Conventions de notation Ce guide utilise les conventions suivantes lors des descriptions de commandes shell ou d’autres éléments de ligne de commande. Pour en savoir plus sur Xsan, consultez les documents suivants : Documents Lisez-moi (sur le Disque d’installation d’Xsan) Prenez connaissance des mises à jour importantes et des informations spécifiques Page web de documentation sur les serveurs (www.apple.com/fr/server/documentation) Consultez la documentation Xsan la plus récente disponible en format PDF Site web d’Xsan (www.apple.com/fr/xsan) Visitez la passerelle vers des informations détaillées sur les produits et la technologie Site web d’assistance d’Xsan (www.apple.com/fr/support/fr/xsan) Recherchez des articles sur Xsan en consultant l’organisation d’assistance technique d’Apple Site web de discussions d’Apple (discussions.apple.com) Participez à un groupe de discussions pour partager vos questions, vos connaissances et vos conseils avec d’autres administrateurs Xsan Site web de listes d’envoi d’Apple (www.lists.apple.com) Abonnez-vous à des listes d’envoi afin de pouvoir communiquer par courrier électronique avec d’autres administrateurs Xsan Notation Signification police normale Commande ou chaîne de texte tapée dans une fenêtre de Terminal $ Invite de shell [texte_entre_crochets] Paramètre optionnel (un|autre) Paramètres alternatifs (tapez l’un ou l’autre) italiques Paramètre à remplacer par une valeur [...] Paramètre pouvant être répété Valeur affichée qui dépend de votre configuration SAN1 13 1 Vue d’ensemble d’Xsan Ce chapitre fournit une vue d’ensemble d’Xsan et des réseaux de zones de stockage. Il vous donnera une vue d’ensemble d’Xsan et vous montrera comment l’utiliser pour configurer un réseau de zones de stockage (SAN) afin de fournir un stockage rapide et partagé. Réseaux de zones de stockage Xsan Un réseau de zones de stockage permet de connecter des ordinateurs et des périphériques de stockage afin que les ordinateurs disposent d’un accès rapide et partagé aux fichiers tout en offrant aux administrateurs la possibilité d’étendre la capacité de stockage selon les besoins. Volume San Mac OS X Xsan vous permet d’assembler des matrices RAID en volumes que les clients utilisent comme disques locaux. Les données du fichier se déplace Matrices RAID (LUN) Réserves de stockage14 Chapitre 1 Vue d’ensemble d’Xsan Un réseau SAN Xsan est constitué de :  volumes de données partagés ;  systèmes RAID fournissant un espace de stockage protégé contre les risques de panne de disque ;  au moins un ordinateur agissant comme contrôleur de métadonnées qui associe les matrices RAID et présente leur stockage aux clients sous la forme d’un ou de plusieurs volumes se comportant comme des disques locaux ;  ordinateurs clients qui accèdent à l’espace de stockage en fonction d’autorisations et de quotas ;  réseaux Fibre Channel et Ethernet sous-jacents. L’illustration ci-après présente les composants matériels d’un réseau SAN Xsan. Contrôleur de métadonnées Clients Contrôleur de réserve Matrice RAID de métadonnées (LUN) Commutateur Fibre Channel Ethernet (public) Ethernet (privé) Intranet/ Internet Matrices RAID (LUN) Commutateurs EthernetChapitre 1 Vue d’ensemble d’Xsan 15 Volumes SAN partagés Un utilisateur ou une application sur un ordinateur client accède au stockage SAN partagé tout comme il le ferait avec un volume local. Les volumes Xsan sont des disques logiques constitués de groupes de matrices RAID. Les éléments que vous combinez pour créer un volume Xsan sont décrits dans la rubrique « Mode d’organisation du stockage Xsan » à la page 16. Contrôleurs de métadonnées Lorsque vous configurez un réseau SAN Xsan, vous devez désigner au moins un ordinateur comme contrôleur de métadonnées. Le contrôleur gère les métadonnées du volume, tient un journal du système de fichiers et contrôle les accès simultanés aux fichiers. Les métadonnées contiennent des informations telles que l’endroit où les fichiers sont stockés et la proportion d’espace de stockage allouée aux nouveaux fichiers. Pour garantir la disponibilité du volume, un SAN doit comprendre plusieurs contrôleurs de métadonnées, comme le montre l’illustration page 14. En cas de panne du premier contrô- leur, le relais est assuré par le contrôleur de réserve. Bien que cela ne soit pas recommandé pour que les performances soient optimales, les contrôleurs de métadonnées peuvent également servir de clients, afin que vous puissiez utiliser un contrôleur de réserve en tant que client de travail lorsque le contrôleur principal est en cours de fonctionnement. Clients Les ordinateurs qui permettent aux utilisateurs ou aux applications d’accéder aux volumes SAN sont appelés clients. Les clients échangent des métadonnées avec les contrôleurs via le réseau Ethernet, mais ils utilisent le réseau Fibre Channel pour envoyer ou récupérer des données de fichier sur les systèmes RAID qui fournissent le stockage aux volumes. Connexions réseau Xsan utilise des réseaux indépendants pour connecter les périphériques de stockage, les contrôleurs de métadonnées et les ordinateurs clients : un réseau Fibre Channel et un ou deux réseaux Ethernet. Fibre Channel Xsan déplace les données entre les clients et les volumes SAN via les connexions rapides Fibre Channel. Les contrôleurs utilisent également une connexion Fibre Channel pour déplacer des métadonnées à partir de et vers le volume. Xsan peut exploiter plusieurs connexions Fibre Channel entre les clients et l’espace de stockage. Xsan peut soit alterner les connexions pour chaque opération de lecture et d’écriture, soit affecter chaque matrice RAID d’un volume à l’une des connexions lorsque le volume est monté.16 Chapitre 1 Vue d’ensemble d’Xsan Ethernet Pour éviter que le trafic de métadonnées n’interfère avec les données sur le réseau Fibre Channel, les contrôleurs et les clients Xsan échangent les métadonnées du système de fichiers via un réseau Ethernet distinct. (Les contrôleurs utilisent toutefois Fibre Channel pour la lecture et l’écriture des métadonnées sur un volume.) L’application Xsan Admin utilise également ce réseau Ethernet pour vous permettre de gérer le SAN. Pour empêcher le trafic Internet ou intranet d’interférer avec les communications de métadonnées, il est recommandé de configurer des réseaux Ethernet publics (Internet) et privés (métadonnées) séparés, comme le montre l’illustration page 14. Mode d’organisation du stockage Xsan Même si un volume Xsan monté sur un ordinateur client ressemble à un disque unique, il peut inclure plusieurs disques physiques associés sur plusieurs niveaux utilisant les techniques RAID. L’illustration suivante montre un exemple de la manière dont l’espace disque fourni par les différents modules de disque dur de plusieurs systèmes RAID est combiné en un volume qui apparaît aux utilisateurs sous la forme d’un grand disque local. Les paragraphes suivants décrivent ces éléments et la manière dont vous les associez pour créer des volumes Xsan partagés. Matrices RAID (LUN) Entrelacement des données à travers les LUN Réserves de stockage Balises d’affinité Affinité des dossiers Volume SAN Vidéo Vidéo Audio Autre Métadonnées et journalisation Vidéo Autre Audio RAID 1 RAID 5 RAID 5 RAID 5 RAID 5 RAID 5 RAID 5 RAID 0Chapitre 1 Vue d’ensemble d’Xsan 17 LUN Les plus petits éléments de stockage rencontrés dans Xsan sont des périphériques de stockage logiques appelés LUN (numéro d’unité logique SCSI). Un LUN représente un groupe de disques associés dans une matrice RAID. Vous créez un LUN lorsque vous créez une matrice RAID sur un périphérique de stockage RAID. Le système RAID associe différents modules de disque dur dans une matrice selon le schéma RAID sélectionné. Chaque matrice apparaît sur le réseau Fibre Channel sous la forme d’un LUN. La plupart des systèmes RAID fournis sont déjà configurés en tant que matrices RAID. Les LUN correspondants sont prêts à être utilisés avec Xsan. Si les matrices RAID standard sur vos systèmes RAID ne sont pas adaptées à votre application, vous pouvez utiliser le logiciel de gestion de systèmes RAID pour recréer des matrices basées sur d’autres systèmes RAID ou sur un nombre différent de modules de disque dur. Pour plus d’informations sur les autres systèmes RAID, lisez la rubrique « Choix de systèmes RAID adaptés à vos LUN » à la page 31. L’illustration page 16 montre huit LUN de matrice RAID. Le LUN qui stocke les métadonnées et les informations de journalisation utilise le niveau RAID 1 (en miroir) pour éviter toute perte de métadonnées. Un LUN stocke les données des utilisateurs sur une matrice RAID 0 (entrelacement uniquement) pour une vitesse et une capacité de stockage accrues, mais sans protection des données. Les autres LUN de données utilisent le niveau RAID 5 (parité distribuée) pour des performances et une efficacité de stockage élevées avec protection des données. Xsan voit les matrices RAID comme des LUN qui peuvent être combinés pour créer un volume. Vos LUN RAID sont étiquetés et initialisés pour être utilisés avec le système de fichiers Xsan lorsque vous configurez un volume à l’aide d’Xsan Admin. Réserves de stockage Les LUN sont combinés pour former des réserves de stockage. Une réserve de stockage située sur un petit volume peut consister en une matrice RAID unique, mais un volume plus grand peut être constitué de plusieurs réserves de stockage, incluant chacune plusieurs matrices. Xsan distribue les données de fichier en parallèle sur les LUN d’une réserve de stockage à l’aide d’un système RAID 0 (segmentation). Cela vous permet d’améliorer la vitesse d’accès d’un client en répartissant le stockage disponible sur plusieurs LUN dans une réserve de stockage.18 Chapitre 1 Vue d’ensemble d’Xsan Il est possible de configurer des réserves de stockage présentant différentes caractéristiques de performances ou de récupération en fonction du niveau RAID de leurs LUN, et de leur assigner des dossiers au moyen d’affinités. Les utilisateurs pourront alors sélectionner l’emplacement de stockage des fichiers en fonction de leurs besoins en termes de vitesse ou de sécurité. Consultez la rubrique « Dossiers avec affinités » à la page 19. L’illustration de la page 16 montre sept LUN associés dans quatre réserves de stockage pour les données des utilisateurs. Une réserve utilise une seule matrice RAID 0 (rapide, mais non récupérable). Trois autres réserves utilisent plusieurs matrices RAID 5 (pas aussi rapides, mais récupérables) et Xsan entrelace les données sur les LUN dans chacune de ces réserves de stockage. Vous devez utiliser Xsan Admin pour ajouter des LUN disponibles à des réserves de stockage. Affinités Une balise d’affinité est assignée à chaque réserve de stockage en fonction des caracté- ristiques de performances et de récupération de la réserve. Vous pouvez associer une balise d’affinité à un dossier pour vous assurer que Xsan stocke le contenu du dossier sur une réserve de stockage présentant les caractéristiques souhaitées. Plusieurs réserves de stockage peuvent posséder la même balise d’affinité. Xsan répartit le contenu d’un dossier présentant une balise d’affinité particulière sur des réserves de stockage possédant la même balise d’affinité. Cette stratégie permet d’améliorer les performances si plusieurs utilisateurs lisent et écrivent simultanément des fichiers dans le même dossier, car les opérations de lecture et d’écriture sont réparties sur les réserves de stockage et leurs LUN constitutifs. Vous devez utiliser Xsan Admin pour assigner des balises d’affinité aux réserves de stockage et associer des dossiers à ces balises d’affinité. Volumes Les réserves de stockage sont combinées pour créer les volumes que verront les utilisateurs. Du point de vue de l’utilisateur, le volume SAN est vu et fonctionne comme un grand disque local, sauf que :  La taille du volume peut augmenter à mesure que vous y ajoutez des matrices ou de nouvelles réserves de stockage sous-jacentes.  Plusieurs utilisateurs sur le SAN peuvent accéder aux fichiers sur le volume au même moment. Dans l’illustration de la page 16, cinq réserves de stockage sont combinées pour créer un volume partagé unique. La création de volumes et leur montage sur les ordinateurs clients s’effectuent à l’aide de l’application Xsan Admin.Chapitre 1 Vue d’ensemble d’Xsan 19 L’écran suivant montre comment se présentent les LUN, les réserves de stockage et les volumes lorsque vous les organisez dans Xsan Admin. L’exemple montre un SAN et un volume partagé unique appelé « SanVol ». L’espace de stockage du volume est fourni par trois réserves de stockage, « Meta », « Data1 » et « Data2 », la première reposant sur un seul LUN et les autres sur deux LUN chacune. Dossiers avec affinités Pour contrôler quelles sont les réserves de stockage utilisées pour stocker des fichiers spécifiques (afin de fournir différents niveaux de service à différents utilisateurs ou applications par exemple), vous pouvez associer un dossier d’un volume Xsan avec une affinité affectée à l’une ou plusieurs des réserves de stockage constituant le volume. Par exemple, vous pouvez associer certains dossiers avec une affinité dont les réserves de stockage disposent de LUN plus rapides, et associer d’autres dossiers avec une affinité dont les réserves de stockage disposent de LUN plus sûrs. Ensuite, les utilisateurs peuvent choisir entre un stockage plus rapide et plus sûr en plaçant les fichiers dans le dossier approprié. Dans l’illustration de la page 16, un dossier Autre possède une affinité pour la réserve de stockage la plus rapide basée sur une matrice RAID 0. Tout fichier qu’un utilisateur copie dans le dossier Autre est automatiquement stocké sur la matrice la plus rapide. Les dossiers Vidéo et Audio sont associés au stockage RAID 5 le plus sûr. Volume Réserve de stockage LUN20 Chapitre 1 Vue d’ensemble d’Xsan Comment Xsan utilise-t-il l’espace de stockage disponible ? Xsan stocke les fichiers d’utilisateur et les données du système de fichiers dans des volumes SAN et segmente les données à travers les LUN d’un volume pour obtenir de meilleures performances. Métadonnées et données de journal Xsan enregistre des informations sur les fichiers de volume Xsan à l’aide de fichiers de métadonnées et de journaux de systèmes de fichiers. Les métadonnées du système de fichiers comprennent des informations permettant, par exemple, de savoir quelles sont les parties spécifiques de tel ou tel disque qui sont utilisées pour stocker un fichier particulier et si le fichier est en cours d’accès. Les données de journal comprennent un enregistrement des transactions du système de fichiers qui peut aider à assurer l’intégrité des fichiers en cas de panne. Ces fichiers sont gérés par le contrôleur de métadonnées Xsan, mais elles sont stockées sur des volumes SAN plutôt que sur le contrôleur lui-même. Par défaut, les métadonnées et les données de journal sont stockées dans la première réserve de stockage que vous ajoutez à un volume. Vous pouvez utiliser Xsan Admin pour choisir l’endroit où ces fichiers sont stockés lorsque vous ajoutez des réserves de stockage à un nouveau volume. Segmentation à un niveau supérieur Lorsqu’un système RAID écrit un fichier au moyen de la méthode RAID 0 (entrelacement), il subdivise le fichier en segments et les répartit sur les lecteurs de disque individuels composant la matrice RAID. Cela permet d’améliorer les performances en écrivant les portions de fichier en parallèle (plutôt qu’une à la fois) sur les différents disques de la matrice. Xsan applique la même technique à un autre niveau, plus élevé, de la hiérarchie de stockage. Dans chaque réserve de stockage d’un volume, Xsan segmente les données de fichier à travers les LUN individuels qui constituent la réserve de stockage. Une fois encore, les performances sont améliorées car les données sont écrites en parallèle. Vous pouvez régler les performances du réseau SAN en ajustant la quantité de données écrite sur chaque LUN d’une réserve de stockage (« largeur de segment ») afin de l’adapter à une application critique. Chapitre 1 Vue d’ensemble d’Xsan 21 Sécurité Il existe plusieurs méthodes de contrôle de l’accès à un volume SAN :  Démonter un volume monté sur des ordinateurs clients qui ne devraient pas y avoir accès. Les utilisateurs ne peuvent pas parcourir ou monter les volumes SAN ; seul un administrateur SAN peut monter des volumes SAN sur des clients.  Monter un volume sur un client pour un accès en lecture seule afin d’empêcher les utilisateurs d’un ordinateur client particulier de modifier les données du volume.  Spécifier les autorisations d’accès du propriétaire, du groupe ou générales dans Xsan Admin.  Spécifier les autorisations d’accès du propriétaire, du groupe ou générales dans le Finder.  Contrôler l’accès de l’utilisateur aux fichiers et dossiers d’un volume en configurant des listes de contrôle d’accès (ACL) dans Xsan Admin.  Configurer des zones sur le réseau Fibre Channel sous-jacent afin de séparer les utilisateurs et les volumes. Extension de l’espace de stockage Il existe deux manières d’ajouter de l’espace de stockage à un volume Xsan existant :  ajouter des systèmes RAID (nouveaux LUN) aux réserves de stockage existantes ;  ajouter des réserves de stockage entières au volume. Les deux méthodes requièrent le démontage et le montage automatiques du volume sur les clients. Vous pouvez également ajouter à tout moment de nouveaux volumes à un réseau SAN. Pour obtenir des informations au sujet de l’extension du stockage Xsan, lisez la rubrique « Ajout d’espace de stockage » à la page 59.22 Chapitre 1 Vue d’ensemble d’Xsan Capacités Xsan Le tableau suivant répertorie les limites et les possibilités des volumes Xsan. Paramètre Maximum Nombre d’ordinateurs sur un SAN (contrôleurs de métadonnées et clients) 64 Nombre de volumes sur un SAN 16 Nombre de réserves de stockage dans un volume 512 Nombre de LUN dans une réserve de stockage 32 Nombre de LUN dans un volume 512 Nombre de fichiers dans un volume 4,294,967,296 Taille de LUN Limité uniquement par la taille de la matrice RAID Taille des volumes Limité uniquement par le nombre de LUN et leur taille Taille des fichiers Environ 263 octets Longueur du nom de volume 70 caractères (A–Z, a–z, 0–9 et _ ) Longueur des noms de fichier ou de dossier 251 caractères ASCII Longueur des noms de réseau SAN 255 caractères Unicode Longueur des noms de réserve de stockage 255 caractères ASCII Longueur du nom d’affinité 8 caractères ASCII Nom de LUN (étiquette ou nom de disque) 242 caractères ASCII2 23 2 Planification d’un réseau de zones de stockage Ce chapitre indique les configurations matérielles et logicielles Xsan requises et fournit des directives de planification et des conseils de performances qui peuvent vous aider à concevoir un SAN en fonction de vos besoins. Ce chapitre comprend les rubriques suivantes :  Configuration logicielle et matérielle Xsan (page 23).  Directives de planification SAN (page 28). Configuration logicielle et matérielle Xsan Votre environnement SAN doit remplir les conditions suivantes :  Ordinateurs compatibles.  Périphériques de stockage compatibles.  Structure, adaptateurs et commutateurs Fibre Channel.  Réseau Ethernet.  Services de répertoire (facultatif).  Service de courrier sortant (facultatif). Ordinateurs compatibles Vous pouvez utiliser Xsan 2 sur un ordinateur possédant la configuration minimale suivante : Systèmes basiques  Ordinateurs Macintosh dotés d’un processeur Intel ou PowerPC G5 Mémoire  Les ordinateurs clients doivent disposer d’au moins 2 Go de RAM (les clients équipés d’Xsan 1.4.2 et de Mac OS X 10.4 Tiger ou Mac OS X Server 10.4 Tiger nécessitent au moins 1 Go).24 Chapitre 2 Planification d’un réseau de zones de stockage  Les ordinateurs utilisés comme contrôleurs de métadonnées doivent disposer d’au moins 2 Go de RAM par volume individuel et de 2 Go de RAM supplémentaire pour chaque volume SAN supplémentaire hébergé par le contrôleur. Systèmes d’exploitation compatibles Xsan 2 ne peut être installé que sur des ordinateurs équipés de Mac OS X 10.5 Leopard. ou de Mac OS X Server 10.5 Leopard. Les ordinateurs clients Mac disposant de Xsan 1.4.2 peuvent accéder à un SAN Xsan 2. Ces clients peuvent avoir Leopard ou Tiger. Pour accéder à un réseau SAN Xsan 2, les clients Windows, AIX, IRIX, Linux et Solaris doivent exécuter StorNext File System 2.6 ou 2.7 de Quantum . Pour obtenir des informations détaillées à propos de la compatibilité, consultez la rubrique « Compatibilité de version » à la page 10. Périphériques de stockage compatibles Bien que vous puissiez utiliser n’importe quel périphérique standard de stockage LUN SCSI, ce guide suppose que vous utilisiez des systèmes RAID agréés par Apple comme périphériques de stockage. Pour obtenir les informations les plus récentes concernant les systèmes RAID compatibles, consultez la page web Xsan à l’adresse suivante : www.apple.com/fr/xsan Important : veillez à installer le programme interne le plus récent sur vos systèmes RAID avant de les utiliser avec Xsan. Structure Fibre Channel Contrairement aux métadonnées du système de fichiers, que les contrôleurs et clients échangent via Ethernet, le contenu des fichiers d’un SAN Xsan est transféré par le biais de connexions Fibre Channel (tout comme les métadonnées auxquelles accèdent les contrôleurs sur un volume). Pour configurer les connexions, vous nécessitez :  Une carte PCI, PCI-X ou PCI-E Fibre Channel d’Apple pour chaque ordinateur client et contrôleur.  Un commutateur Fibre Channel compatible.  Câbles Fibre Channel pour connecter les ordinateurs et les périphériques de stockage aux commutateurs afin de former une structure Fibre Channel. Cartes PCI Fibre Channel Installez des cartes PCI, PCI-X ou PCI-E Fibre Channel d’Apple sur tous les ordinateurs Macintosh que vous souhaitez connecter au SAN.Chapitre 2 Planification d’un réseau de zones de stockage 25 Commutateurs Fibre Channel Les commutateurs Fibre Channel de Brocade, Cisco et QLogic ont été testés avec Xsan et les cartes PCI, PCI-X et PCI-E Fibre Channel d’Apple. Pour plus d’informations sur les commutateurs compatibles, consultez la page web Xsan à l’adresse suivante : www.apple.com/fr/xsan Configuration de la structure Vous devez connecter les ordinateurs, périphériques de stockage et commutateurs de votre réseau Fibre Channel pour former une « structure » Fibre Channel. Tous les commutateurs agréés par Apple créent une structure par défaut dès que vous les branchez à l’aide des câbles Fibre Channel. Au sein d’une structure, les câbles Fibre Channel sont connectés à des ports de nœud (port_F ou N). Pour plus d’informations, consultez la documentation fournie avec vos commutateurs Fibre Channel. Réseau TCP/IP Ethernet Les ordinateurs présents sur le SAN doivent également être connectés à un réseau Ethernet. Les contrôleurs et clients Xsan utilisent ce réseau plutôt que le réseau Fibre Channel pour échanger les métadonnées du système de fichiers. Si les ordinateurs de votre SAN doivent communiquer avec des serveurs de répertoire, l’intranet d’une entreprise ou d’un campus ou encore Internet, vous devez connecter chaque client et contrôleur de métadonnées SAN à deux réseaux Ethernet séparés : un sous-réseau privé pour les métadonnées SAN et une connexion distincte pour le trafic du service de répertoire, de l’intranet et d’Internet. Il s’agit d’un élément particulièrement important si vous comptez utiliser le SAN pour des applications à hautes performances telles que des logiciels de montage vidéo. Adresses IP Les ordinateurs clients et contrôleurs de métadonnées doivent disposer d’adresses IP statiques (fixes) pour leurs connexions au réseau Ethernet. Pour la connexion à l’intranet public et à Internet, vous pouvez soit saisir manuellement l’adresse IP statique, le masque de sous-réseau, l’adresse du routeur et l’adresse du serveur DNS de chaque ordinateur, soit configurer un serveur DHCP pour qu’il fournisse certaines ou l’ensemble de ces informations. Si vous souhaitez que les adresses IP soient fournies par le serveur DHCP, ce dernier doit toujours attribuer la même adresse IP statique à chaque ordinateur SAN. N’utilisez pas le protocole DHCP pour attribuer des adresses IP dynamiques aux périphériques SAN.26 Chapitre 2 Planification d’un réseau de zones de stockage En ce qui concerne le réseau de métadonnées SAN, les ordinateurs SAN doivent posséder des adresses IP statiques privées, c’est-à-dire non routables, sauf si vous ne pouvez pas configurer un réseau Ethernet privé séparé pour les métadonnées SAN. Si vous êtes en train de configurer de nouveaux ordinateurs ou des ordinateurs sur lesquels vous venez d’effectuer une installation spéciale de Leopard ou de Leopard Server, Xsan Admin peut se charger d’assigner et de gérer les adresses de votre réseau de métadonnées privé. Si vous choisissez d’assigner des adresses vous-même, vous pouvez utiliser l’une des plages d’adresses IP suivantes sur votre réseau de métadonnées privé (non routé) : Services de répertoire Si vous comptez utiliser des privilèges d’utilisateur et de groupe pour contrôler l’accès aux fichiers et aux dossiers du SAN, vous devez configurer un répertoire central d’utilisateurs et de groupes ou vous joindre à un tel répertoire. Un service de répertoire central vous permet de gérer tous les utilisateurs et groupes SAN à partir d’un seul ordinateur plutôt que de devoir péniblement accéder à chaque client et contrôleur de métadonnées SAN afin de le configurer. Si vous disposez déjà d’un service de répertoire fourni par un serveur Open Directory, vous pouvez confier à l’assistant réglages la tâche de configurer chaque contrôleur de métadonnées et chaque ordinateur client équipé d’Xsan 2 afin qu’il utilise les comptes d’utilisateur et de groupe existants sur le serveur Open Directory. Si vous disposez d’un autre type de service de répertoire, tel qu’Active Directory, vous pouvez configurer chaque contrôleur et chaque client pour qu’il s’y connecte pour les comptes d’utilisateur et de groupe à l’aide de l’application Utilitaire d’annuaire après l’installation initiale. Si vous disposez d’ordinateurs clients équipés de Tiger, utilisez l’application Format de répertoire sur chacun d’eux pour le connecter à un serveur de répertoire. Si votre SAN n’a pas accès à un service de répertoire existant, vous pouvez indiquer lors de la configuration initiale de votre contrôleur de métadonnées principal Xsan que vous voulez utiliser Xsan Admin pour gérer vos utilisateurs et vos groupes. L’assistant réglages crée un serveur maître Open Directory sur votre contrôleur de métadonnées principal Xsan et configure des serveurs répliques Open Directory sur vos contrôleurs de métadonnées secondaires. Le serveur maître Open Directory fournit un répertoire LDAP, l’authentification par signature unique des utilisateurs via Kerberos et la validation des mots de passe à l’aide des méthodes d’authentification courantes. Les répliques améliorent la réactivité et permettent le failover automatique des services Open Directory. Plage d’adresses privées Masque de sous-réseau associé Commentaires 10.0.0.0 – 10.255.255.255 255.0.0.0 10/8 172.16.0.0 – 172.31.255.255 255.240.0.0 172.16/12 192.168.0.0 – 192.168.255.255 255.255.0.0 192.168/16Chapitre 2 Planification d’un réseau de zones de stockage 27 L’assistant réglages configure également les ordinateurs clients équipés d’Xsan 2 afin qu’ils se connectent à votre contrôleur de métadonnées principal Xsan pour les comptes d’utilisateur et de groupe Open Directory. Si vous disposez d’ordinateurs clients équipés de Tiger, vous devez utiliser l’application Format de répertoire sur chacun d’eux pour le connecter au service Open Directory de votre contrôleur de métadonnées principal Xsan. Si vous devez configurer un serveur Open Directory vous-même, vous pouvez utiliser l’application Admin Serveur de Mac OS X Server. Vous pourrez ensuite utiliser l’application Gestionnaire de groupe de travail pour gérer les utilisateurs et les groupes. Pour en savoir plus, référez-vous aux guides Administration d’Open Directory et Gestion des utilisateurs disponibles sur www.apple.com/fr/server/documentation. Remarque : certaines applications s’exécutant sur des ordinateurs clients SAN, comme Final Cut Pro, fonctionnent mieux lorsque les utilisateurs disposent de dossiers de départ locaux, plutôt que de dossiers de départ réseau. Les comptes utilisateurs que vous gérez avec Xsan Admin sont automatiquement configurés avec des dossiers de départ locaux. Pour vous aider à configurer des dossiers de départ locaux pour les comptes utilisateurs que vous ne gérez pas avec Xsan Admin, consultez la rubrique « Création de dossiers de départ locaux pour des comptes réseau » à la page 96. Si vous décidez de ne pas utiliser de service de répertoire central, vous devez configurer les mêmes utilisateurs et groupes dans la sous-fenêtre Comptes des Préférences Système de chaque ordinateur SAN. Important : si vous créez des utilisateurs et des groupes sur chaque ordinateur SAN, assurez-vous que :  Chaque utilisateur ou groupe dispose d’un identifiant utilisateur (UID) ou d’un identifiant de groupe (GID) numérique unique sur le SAN.  Chaque utilisateur ou groupe défini sur plusieurs ordinateurs dispose du même UID ou GID sur chaque ordinateur. Service de courrier sortant Xsan peut envoyer des messages électroniques concernant l’état du SAN, via votre réseau local (sous-réseau IP), sans passer par un serveur de messagerie distinct. Toutefois, l’envoi de notifications à l’extérieur de votre réseau local requiert un serveur SMTP agissant comme passerelle de courrier. Si vous n’avez pas accès à un serveur de courrier sortant, vous pouvez utiliser le service de courrier de Mac OS X Server pour en établir un. Pour plus d’informations, référez-vous au guide Administration du système de messagerie disponible sur www.apple.com/fr/server/documentation.28 Chapitre 2 Planification d’un réseau de zones de stockage Planification de votre réseau SAN L’ajout d’espace de stockage à un SAN Xsan existant n’est rien comparé à la réorganisation d’un SAN une fois que vous l’avez configuré. Il est donc important de planifier le modèle et l’organisation de votre réseau SAN et de son espace de stockage avant de le configurer. Un réseau SAN Xsan est composé des éléments suivants :  Périphériques de stockage (systèmes RAID)  LUN (« logical unit numbers » SCSI, généralement des matrices RAID)  Réserves de stockage (groupes de LUN)  Balises d’affinité (identifient les réserves de stockage présentant les mêmes caracté- ristiques de performances et de protection des données)  Volumes (groupes de réserves de stockage visibles pour les utilisateurs)  Clients (ordinateurs qui utilisent les volumes)  Contrôleurs (ordinateurs qui gèrent les métadonnées des volumes)  Réseau Ethernet utilisé pour échanger des métadonnées de volume  Réseau Fibre Channel utilisé pour transférer des données entre les volumes Avant de tenter de configurer un SAN, vous devez décider du mode d’organisation de ces composants. Prenez le temps de dessiner un diagramme ou un tableau représentant le matériel disponible, organisé en matrices RAID, volumes, ordinateurs clients et contrôleurs de métadonnées, au sein d’une structure répondant à la fois aux besoins des utilisateurs SAN et à vos besoins d’administrateur SAN. Il n’est pas nécessaire de planifier les réserves de stockage ou les balises d’affinité si chaque volume est configuré à l’aide d’un type de volume prédéfini en fonction du type de tâches qui sera pris en charge par ce volume. Questions préliminaires à la planification Lors de la planification, prenez en considération les questions suivantes :  De quelle quantité d’espace de stockage avez-vous besoin ?  Comment souhaitez-vous présenter l’espace de stockage disponible à vos utilisateurs ?  Quelle est l’organisation d’espace de stockage la mieux adaptée au flux de travaux de vos utilisateurs ?  Quels sont les niveaux de performances requis par vos utilisateurs ?  Quelle est l’importance de la haute disponibilité ?  Quelles sont vos exigences en matière de sécurité ? Les réponses à ces questions vous aideront à décider des éléments suivants :  Quels sont les systèmes RAID nécessaires pour vos matrices RAID ?  De combien de volumes SAN avez-vous besoin ?  Comment devront être organisés les volumes individuels ?  Quels sont les types de volumes prédéfinis que vous pouvez choisir pour chaque volume ?Chapitre 2 Planification d’un réseau de zones de stockage 29  Quels LUN doivent être assignés à chaque balise d’affinité ?  Quels sont les clients, utilisateurs et groupes qui devront avoir accès à chaque volume ?  Quels sont les ordinateurs qui joueront le rôle de contrôleurs de métadonnées ?  Avez-vous besoin de contrôleurs de métadonnées de réserve ?  Souhaitez-vous également utiliser des contrôleurs de métadonnées comme clients ?  Est-il nécessaire de personnaliser l’emplacement de stockage des métadonnées et des données de journalisation du système de fichiers ?  Devez-vous adapter la stratégie d’allocation d’un volume ?  Comment configurer votre réseau Ethernet ? Révisez les éléments et les directives des pages suivantes pour vous aider à traduire vos réponses en modèle SAN adapté. Éléments et directives de planification Les paragraphes suivants peuvent vous aider à prendre certaines décisions en matière de modèle SAN. Quantité d’espace de stockage Comme il est facile d’ajouter de l’espace de stockage pour les données des utilisateurs à un réseau SAN Xsan, il vous suffit de choisir un point de départ adéquat. Vous pouvez ajouter de l’espace de stockage ultérieurement, selon vos besoins. Toutefois, puisqu’il n’est pas possible d’étendre une réserve de stockage capable uniquement de stocker des métadonnées de volume et des données de journalisation, essayez dès le départ d’allouer suffisamment d’espace pour les métadonnées. (Vous pouvez ajouter une réserve de stockage entière pour le stockage des métadonnées et des données de journalisation.) Pour obtenir de l’aide sur l’évaluation des exigences pour le stockage de vos métadonnées et de vos données de journalisation, consultez la rubrique « Évaluation des besoins de stockage des métadonnées et des données de journalisation » à la page 35. Notez que le nombre de systèmes RAID utilisés affecte non seulement l’espace disponible mais également les performances du SAN. Voir « Éléments liés aux performances, » ci-dessous. Comment présenter l’espace disponible aux utilisateurs ? Si vous voulez que les utilisateurs travaillant sur un projet particulier voient un volume dédié à leur travail, créez un volume séparé pour chaque projet. Si vous pensez qu’il est acceptable qu’un utilisateur puisse voir un dossier associé à son projet sur un volume contenant également les dossiers d’autres utilisateurs, vous pouvez créer un seul volume et l’organiser en dossiers de projet.30 Chapitre 2 Planification d’un réseau de zones de stockage Éléments liés au flux de travaux Quel est le niveau de partage de fichiers requis par le flux de travaux de vos utilisateurs ? Si, par exemple, différents utilisateurs ou groupes travaillent sur les mêmes fichiers, simultanément ou l’un après l’autre, il s’avère judicieux de stocker ces fichiers sur un volume unique pour éviter l’entretien et le transfert de copies. Xsan utilise le verrouillage de fichiers pour gérer l’accès partagé à une copie unique des fichiers. Éléments liés aux performances Si votre réseau SAN gère une application (telle qu’une application de capture et de lecture vidéo en haute résolution) qui requiert des transferts de données prolongés aussi rapides que possible, tenez compte des éléments suivants lors de la conception de votre réseau SAN :  Configurez les LUN (matrices RAID) en utilisant une configuration RAID offrant de hautes performances. Consultez la rubrique « Choix de systèmes RAID adaptés à vos LUN » à la page 31.  Affectez vos LUN les plus rapides à une balise d’affinité pour l’application. Affectez les LUN plus lents à une balise d’affinité pour les applications moins exigeantes.  Pour augmenter le parallélisme, répartissez vos LUN sur différents contrôleurs RAID. Xsan effectuera ensuite l’entrelacement des données sur les LUN et bénéficiera de transferts simultanés via les deux contrôleurs RAID.  Afin d’augmenter le parallélisme pour une balise d’affinité assignée à des LUN relativement petits (de la taille d’un ou de quelques modules de disque), il vaut mieux créer une tranche de taille similaire à travers tous les disques d’un contrôleur RAID plutôt que créer les LUN à partir d’un ou de deux modules de disque seulement.  Répartissez les transferts de fichiers sur autant de disques et de contrôleurs RAID que possible. Essayez de créer des tranches à travers les disques dans les systèmes RAID, puis assignez ces tranches à la même balise d’affinité.  Pour augmenter le débit, connectez les deux ports des cartes Fibre Channel des clients au tissu.  Stockez les métadonnées de système de fichiers et les données de journalisation sur une réserve de stockage autre que celle des données d’utilisateur et assurez-vous que les LUN de métadonnées ne soient pas sur le même contrôleur RAID que les LUN de données d’utilisateur.  Utilisez un deuxième réseau Ethernet (et un deuxième port Ethernet sur chaque ordinateur SAN) pour les métadonnées SAN ou au moins un routeur pour isoler le réseau Ethernet utilisé par le SAN d’Internet ou d’un éventuel intranet d’entreprise.  Si votre SAN utilise des services de répertoire, des services de messagerie ou d’autres services sur un serveur séparé, connectez les ordinateurs SAN à ce serveur via un réseau Ethernet distinct du réseau de métadonnées SAN.  Choisissez un contrôleur de métadonnées principal différent pour chaque volume et réglez les priorités de failover des volumes afin de minimiser la possibilité que plusieurs volumes basculent sur le même contrôleur de métadonnées.Chapitre 2 Planification d’un réseau de zones de stockage 31 Éléments liés à la disponibilité Si la haute disponibilité constitue un élément important pour vos données, installez au moins un contrôleur de métadonnées de réserve en plus de votre contrôleur de métadonnées principal. Pensez également à configurer des connexions Fibre Channel doubles entre tous les clients, les contrôleurs de métadonnées et les périphériques de stockage à l’aide de commutateurs Fibre Channel redondants. Éléments liés à la sécurité Si votre SAN est destiné à gérer des projets qui requièrent une sécurité et une isolation totales, vous pouvez créer des volumes séparés pour chaque projet, afin d’éviter qu’un client ou un utilisateur non autorisé n’accède aux fichiers d’un volume. En tant qu’administrateur SAN, vous êtes responsable du contrôle des ordinateurs clients autorisés à utiliser un volume. Les clients ne peuvent pas parcourir ni monter des volumes SAN de leur propre initiative. Vous devez utiliser Xsan Admin pour démonter un volume sur des clients qui ne sont pas censés y avoir accès. Vous pouvez également configurer des listes de contrôle d’accès (ACL) dans Xsan Admin ou utiliser les autorisations d’accès aux fichiers standard dans le Finder pour assigner des autorisations d’utilisateurs et de groupes à des dossiers. Choix de systèmes RAID adaptés à vos LUN Une grande partie de la fiabilité et de la récupérabilité des données d’un réseau SAN n’est pas due à Xsan même mais plutôt aux matrices RAID que vous combinez pour créer vos réserves de stockage et vos volumes. Avant de configurer un SAN, vous devez utiliser l’application de configuration ou d’administration de systèmes RAID pour pré- parer les LUN en fonction de systèmes RAID spécifiques. Les LUN configurés en tant que matrices RAID 0 (entrelacement uniquement) ou les LUN basés sur des disques uniques sont difficiles voire impossibles à récupérer s’ils connaissent une panne. Il est recommandé de n’utiliser de tels LUN non protégés que pour les volumes qui contiennent des fichiers de travail ou d’autres données que vous pouvez vous permettre de perdre. AVERTISSEMENT : la perte d’un contrôleur de métadonnées lorsque aucun contrôleur de réserve n’est prévu peut entraîner la perte de toutes les données d’un volume. Il est recommandé d’installer un contrôleur de réserve. AVERTISSEMENT : si un LUN appartenant à un volume Xsan connaît une défaillance et ne peut être récupéré, toutes les données du volume sont alors perdues. Il est fortement recommandé d’utiliser uniquement des LUN redondants (LUN basés sur des systèmes RAID autres que RAID 0) pour créer vos volumes Xsan.32 Chapitre 2 Planification d’un réseau de zones de stockage La plupart des systèmes RAID prennent en charge tous les niveaux RAID. Chaque système RAID offre un équilibre différent entre les performances, la protection des données et l’efficacité du stockage, comme le montre le tableau suivant. Choix du nombre de volumes Un volume constitue la plus grande unité de stockage partagé que l’on trouve sur un réseau SAN. Si vos utilisateurs requièrent un accès partagé à des fichiers, vous devez stocker ces fichiers sur le même volume. Cela rend inutiles les transferts de copies de fichiers entre utilisateurs. D’autre part, si la sécurité constitue un élément critique, l’un des moyens de contrôler l’accès des clients est de créer des volumes séparés et de démonter sur les clients les volumes auxquels ils ne sont pas censés accéder. Un compromis souple pour un équilibre plus classique entre sécurité et accès partagé consiste à créer un volume unique et à en contrôler l’accès à l’aide de privilèges d’accès aux dossiers ou de listes de contrôle d’accès dans Xsan Admin (ou dans Admin Serveur de Mac OS X Server). Choix du mode d’organisation d’un volume Vous pouvez créer des dossiers prédéfinis pour aider les utilisateurs à organiser les données d’un volume ou restreindre leur accès à des zones spécifiques du volume. Vous pouvez contrôler l’accès à ces dossiers en attribuant des autorisations d’accès à l’aide d’Xsan Admin. Les affinités vous permettent d’affecter des dossiers à des réserves de stockage spécifiques. Vous pouvez, par exemple, créer un dossier pour les données qui requièrent un accès rapide et affecter ce dossier à votre réserve de stockage la plus rapide. Niveau RAID Efficacité du stockage Performances de lecture Performances d’écriture Protection des données RAID 0 Optimale Très élevées Optimale Non RAID 1 Faible Élevées Moyennes Oui RAID 3 Élevée à très élevée Moyennes Moyennes Oui RAID 5 Élevée à très élevée Élevées Élevées Oui RAID 0+1 Faible Élevées Élevées OuiChapitre 2 Planification d’un réseau de zones de stockage 33 Assignation de LUN à des balises d’affinité Lorsque vous créez un volume au moyen d’un type de volume prédéfini correspondant à votre scénario SAN, Xsan Admin configure automatiquement des réserves de stockage et des balises d’affinité pour assurer des performances optimales. Il ne vous reste plus qu’à assigner des LUN à chaque balise d’affinité. Xsan Admin détermine le nombre optimal de réserves de stockage à créer en fonction du type de volume et du nombre de LUN que vous assignez à chaque balise d’affinité. Pour obtenir des performances optimales, il est conseillé d’assigner un nombre de LUN correspondant aux multiples de chiffre affichés ci-dessous. Ces valeurs s’appliquent aux balises d’affinité utilisées pour les données d’utilisateurs, pas aux balises d’affinité de métadonnées et de journalisation qui ne requièrent qu’un seul LUN. Vous devez assigner des LUN ayant les mêmes caractéristiques de capacité et de performances à chaque balise d’affinité. Les LUN que vous assignez à une balise d’affinité doivent avoir la même capacité, car les performances élevées d’Xsan sont obtenues en utilisant le système RAID 0 pour entrelacer des données à travers les LUN de chaque réserve de stockage. Ce système d’entrelacement peut utiliser l’espace disponible sur chaque LUN, à raison d’une quantité égale à la capacité du plus petit LUN d’une réserve de stockage. Par conséquent, si les LUN d’un espace de stockage sont de tailles différentes, une partie de la capacité disponible est gaspillée. Ainsi, si une réserve de stockage dispose d’une matrice RAID de 240 Go et d’une autre de 360 Go, 120 Go de la matrice la plus grande demeureront inutilisés. En assignant des LUN de capacités identiques à une balise d’affinité, vous évitez de gaspiller de l’espace de stockage disponible. Si vous utilisez un type de volume comportant plusieurs balises d’affinité pour les données d’utilisateurs, assignez vos LUN les plus rapides à la balise d’affinité qui sera associée aux dossiers dont les contenus bénéficieront le plus des performances élevées. Assignez les LUN les plus lents à une balise d’affinité qui sera associée aux dossiers dont les contenus n’exigent pas de performances élevées. Pour les balises d’affinité de données d’utilisateurs correspondant à ce type de volume Assignez un nombre de LUN correspondant à des multiples de Grappe de serveurs de calendriers 1 Serveur de fichiers général 2 Serveur de dossiers de départ 2 Grappe de serveurs de courrier électronique 1 Grappe de serveurs du producteur Podcast 4 Vidéo de définition standard 4 Vidéo haute définition sans compression 434 Chapitre 2 Planification d’un réseau de zones de stockage Vous pouvez également augmenter les performances des réserves de stockage d’une balise d’affinité en assignant à cette balise une combinaison de LUN hébergés sur différents modules de disques et différents contrôleurs RAID. Cette stratégie améliore les performances en augmentant le parallélisme des transferts de données. Choix des clients sur lesquels sera monté un volume Si vous créez plusieurs volumes, choisissez quels sont ceux qui seront montés sur tel ou tel client. Chaque nouveau volume est initialement monté sur tous les clients. Vous pouvez utiliser Xsan Admin pour démonter un volume monté sur certains clients. Choix des contrôleurs de métadonnées Vous devez choisir au moins un ordinateur comme contrôleur de métadonnées SAN (ordinateur chargé de gérer les métadonnées du système de fichiers). Remarque : les métadonnées et les données de journalisation du système de fichiers sont stockées sur le volume SAN plutôt que sur le contrôleur de métadonnées lui-même. Pour plus d’informations, consultez la rubrique « Choix de l’emplacement de stockage des métadonnées et des données de journalisation » à la page 35. Si vous disposez d’un nombre restreint de clients ou si les performances ne constituent pas pour vous un élément critique, vous pouvez utiliser un seul ordinateur à la fois comme client et comme contrôleur de métadonnées. Vous pouvez même configurer un réseau SAN constitué d’un seul périphérique de stockage et d’un seul ordinateur jouant à la fois le rôle de contrôleur et de client (pour fournir le réseau lié au stockage, par exemple). Si la haute disponibilité constitue un facteur important, vous devez utiliser au moins deux contrôleurs de métadonnées, un contrôleur principal et un contrôleur de réserve. Vous pouvez spécifier des contrôleurs de métadonnées supplémentaires selon vos besoins et définir les priorités de failover de chaque volume pour déterminer l’ordre dans lequel les contrô- leurs sont essayés si le contrôleur principal d’un volume ne répond plus. Si les performances sont un facteur décisif, évitez d’exécuter d’autres services de serveur sur le contrôleur de métadonnées et d’utiliser celui-ci pour repartager un volume SAN via AFP ou NFS. Choix des contrôleurs de réserve Pour garantir la disponibilité permanente des volumes SAN, configurez au moins un contrôleur de métadonnées de réserve capable de prendre le contrôle en cas de défaillance de votre contrôleur de métadonnées principal. Combinaison des clients et des contrôleurs Le même ordinateur peut fonctionner à la fois comme contrôleur de métadonnées et comme client. Il est possible, par exemple, de configurer un réseau SAN constitué d’un seul système RAID et d’un ordinateur fonctionnant à la fois comme contrôleur et comme client. Tout ordinateur désigné comme contrôleur peut également fonctionner comme client. Chapitre 2 Planification d’un réseau de zones de stockage 35 Si, par exemple, vous ne disposez d’aucun ordinateur pouvant être affecté au rôle de contrôleur de métadonnées de réserve, vous pouvez affecter un ordinateur fonctionnant normalement comme client afin qu’il prenne en charge les tâches de contrôleur en cas de défaillance du contrôleur de métadonnées principal. Pour ne pas mélanger les clients et les contrôleurs, vous pouvez configurer des ordinateurs uniquement clients pour vos utilisateurs. Choix de l’emplacement de stockage des métadonnées et des données de journalisation Les métadonnées et les données de journalisation qui décrivent un volume ne sont pas stockées sur le contrôleur de métadonnées du volume, mais bien sur le volume lui-même. Elles sont stockées par défaut dans la première réserve de stockage du volume. Tous les types de volumes prédéfinis configurent une réserve de stockage séparée, utilisée exclusivement pour les métadonnées et les données de journalisation. Pour obtenir des performances optimales, assurez-vous que les LUN que vous affectez à la réserve de stockage des métadonnées et de journalisation sont connectés à un contrôleur RAID différent de celui des LUN que vous affectez aux balises d’affinité des données d’utilisateurs. Si vous configurez un volume personnalisé constitué de plusieurs réserves de stockage, vous pouvez choisir la réserve qui sera utilisée pour stocker les métadonnées et les données de journalisation. Vous obtiendrez peut-être des performances satisfaisantes en combinant les métadonnées et les données de journalisation sur la même réserve de stockage que les données d’utilisateurs, mais pour des performances optimales, il est préférable d’utiliser une réserve de stockage séparée pour les métadonnées et les données de journalisation. Évaluation des besoins de stockage des métadonnées et des données de journalisation Pour évaluer la quantité d’espace requise pour les métadonnées d’un volume Xsan, considérez que 10 millions de fichiers sur un volume exigent environ 10 giga-octets de métadonnées dans la réserve de stockage de métadonnées du volume. Choix d’une stratégie d’allocation Si vous choisissez un type de volume prédéfini lorsque vous configurez un volume, Xsan Admin se charge d’en régler la stratégie d’allocation. Vous pourrez modifier ultérieurement la stratégie d’allocation en modifiant les réglages du volume à l’aide d’Xsan Admin. La stratégie d’allocation que vous choisissez pour un volume détermine l’ordre dans lequel ses réserves de stockage sont remplies par les données. Vous avez le choix entre Round Robin, Remplir ou Équilibrer. Si vous choisissez Round Robin, Xsan écrit les nouvelles données tour à tour dans chaque réserve de stockage du volume. Cette option est normalement la meilleure en ce qui concerne les performances.36 Chapitre 2 Planification d’un réseau de zones de stockage Si vous choisissez Remplir, Xsan écrit toutes les nouvelles données dans la première réserve de stockage du volume jusqu’à ce qu’elle soit remplie, puis passe à la réserve de stockage suivante. Cette option est particulièrement adaptée si vous souhaitez conserver une réserve de stockage particulière inutilisée aussi longtemps que possible. Si vous choisissez Équilibrer, Xsan écrit les nouvelles données dans la réserve de stockage disposant du plus grand espace libre. Planification du réseau TCP/IP Ethernet Les réserves de stockage Xsan utilisent les connexions Ethernet de diverses manières :  Les clients et les contrôleurs de métadonnées Xsan utilisent Ethernet pour échanger des métadonnées de volume.  Les clients Xsan peuvent utiliser Ethernet pour accéder aux réseaux situés en dehors du SAN (intranet d’université ou d’entreprise ou Internet).  Les contrôleurs de métadonnées Xsan peuvent utiliser des connexions Ethernet pour la gestion à distance.  Les systèmes RAID peuvent utiliser les connexions Ethernet pour la gestion du système.  Les commutateurs Fibre Channel peuvent utiliser les connexions Ethernet pour la gestion de commutation. Vous disposez de deux options :  Utiliser un seul réseau Ethernet pour la totalité du trafic. Il s’agit de l’option la moins onéreuse, mais elle est également la moins sûre et risque de ne pas offrir les meilleures performances.  Utiliser deux réseaux distincts : un pour les métadonnées et l’autre pour l’ensemble du trafic IP restant. Cette configuration est légèrement plus onéreuse (elle requiert deux adaptateurs Ethernet pour chaque ordinateur), mais elle offre un très bon niveau de sécurité ainsi que de meilleures performances car le trafic réseau de routine n’affecte pas le trafic des métadonnées des volumes SAN.Chapitre 2 Planification d’un réseau de zones de stockage 37 Utilisation d’un réseau de métadonnées privé Le trafic Ethernet indépendant du SAN peut affecter l’échange des métadonnées entre les contrôleurs et les clients Xsan. L’utilisation, par exemple, de la même connexion pour l’échange de métadonnées Xsan et l’accès à Internet peut ralentir les performances du système de fichiers. De même, l’utilisation du même réseau Ethernet pour connecter les ordinateurs clients aux services de répertoire et aux métadonnées SAN peut affecter les performances du SAN. Si les performances du SAN constituent un élément crucial pour vos utilisateurs ou vos applications, veillez à maintenir une séparation entre le trafic externe et le réseau utilisé par les clients et les contrôleurs de métadonnées pour échanger des métadonnées. Pour obtenir des performances SAN optimales, configurez un réseau TCP/IP Ethernet privé destiné à être utilisé exclusivement par les contrôleurs de métadonnées et les clients Xsan. Pour les autres types de trafic réseau, y compris l’accès à Internet, la gestion de commutation RAID et Fibre Channel, la gestion SAN à distance ou les services de répertoire, connectez chaque client et contrôleur de métadonnées à un deuxième réseau Ethernet à l’aide d’un deuxième port Ethernet. Utilisation de commutateurs plutôt que de concentrateurs Pour obtenir des performances optimales, utilisez des commutateurs Ethernet plutôt que des concentrateurs sur le réseau de métadonnées SAN. Planification du réseau Fibre Channel Xsan utilise des connexions Fibre Channel pour :  Transférer des données d’utilisateur directement entre les clients et les réserves de stockage de données.  Transférer des métadonnées entre les contrôleurs de métadonnées et les réserves de stockage de métadonnées. Vérifiez les performances Fibre Channel et dépannez la structure si le débit de vos connexions ne dépasse pas 2 Go/s. Vérification des performances Fibre Channel de base Étant donné que les périphériques connectés à un réseau Fibre Channel règlent automatiquement leur vitesse afin qu’elle corresponde à celle du périphérique le plus lent de la structure, il est important de vérifier que toutes les connexions de la structure fonctionnent à 2 Go/s. Pour vérifier les performances des connexions Fibre Channel : m Utilisez le logiciel de gestion fourni avec vos commutateurs Fibre Channel pour tester les performances de votre structure Fibre Channel.38 Chapitre 2 Planification d’un réseau de zones de stockage Si votre structure Fibre Channel fonctionne plus lentement que prévu Dans les paragraphes suivants, vous trouverez les éléments à vérifier au cas où votre structure Fibre Channel ne fonctionnerait pas à la vitesse prévue de 2 Go/s. Vérifiez les câbles. Un seul câble défectueux au sein d’une structure peut ralentir tout le réseau. Vérifiez tous les câbles pour vous assurer qu’ils sont capables d’atteindre la vitesse de transmission maximale. Utilisez votre logiciel de gestion de commutation pour trouver le câble défectueux en vérifiant les performances de connexions spécifiques. Utilisez des paires correspondantes d’émetteurs-récepteurs certifiés Consultez les fabricants des périphériques que vous êtes en train de connecter à votre structure afin de vous assurer que les émetteurs-récepteurs (convertisseurs GBIC) utilisés sont certifiés pour une utilisation avec leurs périphériques. Utilisez également des émetteurs-récepteurs identiques (provenant du même fabricant et portant le même numéro de modèle) aux deux extrémités de chaque câble. L’utilisation d’émetteurs-récepteurs optiques non concordants (même s’ils sont tous les deux certifiés pour être utilisés avec vos périphériques) peut provoquer des erreurs de communication Fibre Channel et détériorer les performances du SAN. Vérifiez la configuration du port du commutateur Fibre Channel La requête RSCN générée lorsqu’un client du SAN redémarre peut provoquer des pertes d’images dans les flux vidéo envoyés aux autres clients. Pour éviter d’interrompre le trafic SAN vers les autres clients si l’un des clients redémarre, consultez la documentation du commutateur Fibre Channel pour voir s’il est possible de configurer le commutateur de manière à supprimer les requêtes RSCN sur les ports initiateurs. (Sur les commutateurs Qlogic, par exemple, cette fonction est appelée I/O StreamGuard.) Connectez les périphériques à des lames de contact spécifiques Si votre commutateur Fibre Channel repose sur une architecture en lames de contact, vous pouvez peut-être améliorer les performances en effectuant les opérations suivantes :  Branchez les paires de périphériques qui échangent couramment de grandes quantités de données sur la même lame de contact du commutateur.  Répartissez les charges sur plusieurs lames de contact au lieu de concentrer toute la charge sur une ou deux lames.Chapitre 2 Planification d’un réseau de zones de stockage 39 Configuration des systèmes RAID Les directives ci-après vous aideront à configurer vos systèmes RAID afin de les utiliser comme LUN Xsan. Installation du programme interne le plus récent Pour obtenir des performances et une fiabilité optimales de vos systèmes RAID, veillez à installer les programmes internes les plus récents. Connexion de systèmes RAID à un réseau Ethernet Pour obtenir des performances optimales, ne connectez pas les ports de gestion Ethernet du contrôleur RAID au réseau de métadonnées du SAN. Connectez les ports au réseau Ethernet séparé que vous utilisez pour les autres types de trafic réseau, tels que les services de répertoire, l’accès à Internet et la gestion Xsan à distance. Choix de niveaux RAID adaptés aux LUN Utilisez RAID 1 pour les LUN de métadonnées et RAID 5 pour les LUN de données. Utilisez RAID 1 pour les LUN de métadonnées Le niveau RAID 1 (en miroir) peut fournir des performances légèrement supérieures aux performances du niveau par défaut RAID 5 pour les LUN de métadonnées à deux disques, plus petits, qui sont utilisés par Xsan pour stocker les informations de volume. Un disque unique est en général suffisant pour stocker les métadonnées de volume principales (10 Go d’espace de métadonnées suffisent pour environ 10 millions de fichiers). Le deuxième disque (en miroir) vous assure une protection contre toute perte de métadonnées. Utilisez RAID 5 pour les LUN de données La plupart des systèmes RAID sont optimisés pour donner d’excellents résultats et offrir une redondance de données via la configuration RAID 5. (RAID 5 répartit les données sur les disques disponibles et distribue également les données de parité sur les différents disques.) Certains des systèmes RAID fournis sont déjà configurés en tant que LUN RAID 5. Le niveau RAID 0 (entrelacement sans parité) peut donner des résultats légèrement supé- rieurs en écriture, mais ne fournit aucune protection pour la récupération des données. Le niveau RAID 5 constitue donc un meilleur choix pour les LUN utilisés pour stocker des données d’utilisateur. Réglage des performances des systèmes RAID Les réglages de performances des systèmes RAID, qui affectent des paramètres tels que la mémoire cache de disque, la mémoire cache de contrôleur RAID et le préchargement de lecture, peuvent avoir des effets non négligeables sur les performances des volumes Xsan. Référez-vous aux directives ci-après.40 Chapitre 2 Planification d’un réseau de zones de stockage Activez la mémoire cache de disque Outre la mise en mémoire cache effectuée par le contrôleur RAID, chaque disque d’une matrice peut effectuer sa propre mise en mémoire cache au niveau du disque pour améliorer les performances. Activez la mise en mémoire cache d’écriture par le contrôleur RAID Sans mémoire cache d’écriture du contrôleur RAID, toute requête d’écriture de données sur le LUN associé n’est considérée comme terminée que si les données ont été complè- tement écrites sur les disques physiques qui constituent la matrice. Ce n’est qu’ensuite que la requête d’écriture suivante peut être traitée. (Cette procédure est parfois appelée «mise en mémoire cache à écriture immédiate ».) Lorsque la mémoire cache d’écriture du contrôleur RAID est activée, toute requête d’écriture de données est considéré comme terminée dès que les données sont stockées en mémoire cache. Cette procédure est parfois appelée « mise en mémoire cache à écriture différée ». Les requêtes d’écriture sont traitées plus rapidement, car le système de fichiers doit juste écrire en mémoire cache rapide et ne doit pas attendre les lecteurs de disques plus lents. Veillez à activer la mémoire cache d’écriture sur les contrôleurs RAID qui prennent en charge les réserves de stockage de métadonnées. Bien que certaines requêtes d’écriture importantes puissent bénéficier de la mise en mémoire cache, la plupart du temps, ce n’est pas le cas. En plaçant la réserve de stockage des métadonnées d’un volume sur un contrôleur RAID séparé des réserves de stockage de données, vous pouvez activer la mise en mémoire cache sur le contrôleur RAID utilisé pour les métadonnées et désactiver la mise en mémoire cache sur le contrôleur RAID utilisé pour les données. AVERTISSEMENT : si vous activez la mémoire cache de disque pour un ensemble RAID, assurez-vous que le système est connecté à un système d’alimentation sans coupure (système UPS). Vous risqueriez sinon de perdre les données mises en cache en cas de coupure de courant.Chapitre 2 Planification d’un réseau de zones de stockage 41 Lorsque le système de fichiers utilise la mise en mémoire cache de cette manière, vous devez vous assurer que les données stockées en mémoire cache ne peuvent être perdues avant d’être physiquement écrites sur disque. Contrairement aux données écrites sur disque, qui sont protégées même en cas de panne de courant, les données stockées en mémoire cache ne le sont pas. Pour éviter toute perte de données mises en cache en cas de panne de courant, protégez vos systèmes RAID à l’aide de batteries de secours pour contrôleur RAID ou d’un système d’alimentation sans coupure (système UPS). Activez le préchargement lecture Le préchargement de lecture est une technique qui permet d’améliorer les performances de lecture du système de fichiers lorsque les données sont lues de manière séquentielle, comme c’est le cas pour les flux audio ou vidéo, par exemple. Lorsque le préchargement de lecture est activé, le contrôleur RAID suppose que toute requête de lecture pour un bloc de données particulier sera suivie de requêtes pour les blocs adjacents suivants. Pour faire face à ces requêtes, le contrôleur RAID lit non seulement les données requises, mais également les données suivantes et les stocke en mémoire cache. Si les données sont ensuite réellement demandées, elles sont récupérées en mémoire cache (plus rapide) plutôt que sur les disques durs (plus lents). AVERTISSEMENT : si vous activez la mémoire cache d’écriture du contrôleur sur un système RAID, assurez-vous que le système est doté de batteries de secours pour contrôleur ou, de préférence, qu’il est connecté à un système d’alimentation sans coupure (système UPS).3 43 3 Configuration d’un réseau de zones de stockage Ce chapitre indique étape par étape comment configurer un volume partagé sur un SAN Xsan. Ce chapitre montre comment connecter les réseaux SAN, préparer des matrices RAID (LUN), utiliser l’application Xsan Admin, configurer un nouveau SAN et créer un volume partagé. Il explique également comment administrer Xsan à distance, renommer un SAN, supprimer un SAN, configurer des SAN supplémentaires et gérer plusieurs SAN. Connexion des ordinateurs et des périphériques de stockage Avant d’ouvrir Xsan Admin pour configurer votre SAN, vous devez connecter les ordinateurs clients, les ordinateurs contrôleurs et les périphériques de stockage aux réseaux Fibre Channel et Ethernet du SAN. Assurez-vous que vos réseaux respectent les configurations requises présentées dans les rubriques « Structure Fibre Channel » à la page 24 et « Réseau TCP/IP Ethernet » à la page 25. Préparation des LUN Les nouveaux systèmes RAID incluent une ou plusieurs matrices RAID déjà configurées. À peine installé, votre système RAID fournit donc des LUN que vous pouvez utiliser pour la plupart des applications SAN. Pour plus de détails, consultez la documentation de votre système RAID. À moins d’avoir des besoins spécifiques bien définis, aucune autre préparation n’est nécessaire pour installer les LUN. Si vous souhaitez configurer une combinaison différente de matrices ou de tranches RAID, utilisez l’application de gestion fournie avec vos systèmes RAID pour créer d’autres matrices avant d’ajouter les LUN résultants aux réserves de stockage de votre SAN. Pour obtenir des informations sur comment choisir un système RAID, lisez la rubrique « Choix de systèmes RAID adaptés à vos LUN » à la page 31.44 Chapitre 3 Configuration d’un réseau de zones de stockage Remarque : il n’est pas nécessaire d’employer Utilitaire de disque pour formater des matrices ou des tranches destinées à Xsan. Les LUN sont étiquetés et initialisés dès que vous les ajoutez à une réserve de stockage à l’aide d’Xsan Admin. Après avoir été étiquetés, les LUN ne peuvent plus être modifiés à l’aide d’Utilitaire de disque. Veillez à créer des matrices de taille identique si vous comptez les ajouter à une même réserve de stockage. Pour plus d’informations, consultez la rubrique « Assignation de LUN à des balises d’affinité » à la page 33. Utilisation d’Assistant du serveur pour configurer des contrôleurs L’assistant réglages de Mac OS X Server, Assistant du serveur, peut être utilisé pour configurer des serveurs en tant que contrôleurs de métadonnées Xsan. Assistant du serveur est exécuté automatiquement au démarrage de tout nouveau serveur sur lequel vous avez effectué une installation spéciale de Mac OS X Server 10.5 Leopard. Si vous utilisez Assistant du serveur pour configurer votre contrôleur de métadonnées principal, vous pouvez choisir la manière de gérer les utilisateurs et les groupes Xsan. Gestion des utilisateurs et des groupes à l’aide d’Xsan Admin Si vous utilisez Assistant du serveur pour configurer votre contrôleur de métadonnées principal, vous pouvez choisir de gérer les utilisateurs et les groupes SAN à l’aide d’Xsan Admin. Il s’agit de l’option recommandée si vous ne disposez pas encore d’un serveur d’annuaire et que vous comptez avoir jusqu’à 20 utilisateurs SAN. Ces utilisateurs posséderont des dossiers de départ sur leur ordinateurs (plutôt que des dossiers de départ réseau sur le serveur). Important : vous ne pouvez choisir l’option permettant de gérer les utilisateurs et les groupes à l’aide d’Xsan Admin que si vous utilisez Assistant du serveur pour configurer votre contrôleur de métadonnées principal. Il est impossible de régler cette option après avoir configuré le contrôleur principal à l’aide d’Assistant du serveur. Si vous choisissez cette option, Assistant du serveur fait du contrôleur de métadonnées principal un maître Open Directory. Xsan Admin configure ensuite automatiquement les contrôleurs de métadonnées de réserve en serveurs répliques Open Directory. Pour le maître et les répliques Open Directory, le nom d’utilisateur de l’administrateur de répertoire est Directory Administrator, son nom abrégé est diradmin et le mot de passe est au départ identique au mot de passe du compte administrateur que vous avez créé à l’aide d’Assistant du serveur.Chapitre 3 Configuration d’un réseau de zones de stockage 45 Xsan Admin configure également automatiquement les ordinateurs clients équipés d’Xsan 2 afin qu’ils se connectent à votre contrôleur de métadonnées principal Xsan pour les comptes d’utilisateur et de groupe Open Directory. Si vous disposez d’ordinateurs clients équipés de Tiger, vous devez utiliser l’application Format de répertoire sur chacun d’eux pour le connecter au service Open Directory de votre contrôleur principal Xsan. Utilisation d’un serveur Open Directory existant Si vous disposez d’un serveur Open Directory existant, vous pouvez laisser à Assistant du serveur la tâche de configurer votre contrôleur de métadonnées principal afin d’obtenir les utilisateurs et les groupes depuis ce serveur. Ensuite, lorsque vous configurerez votre SAN, l’assistant réglages Xsan configurera automatiquement les contrôleurs de métadonnées de réserve et les ordinateurs clients équipés d’Xsan 2, afin qu’ils se connectent au serveur Open Directory pour les utilisateurs et les groupes. Utilisation d’un autre serveur d’annuaire Lorsque vous utilisez Assistant du serveur pour configurer votre contrôleur de métadonnées principal, vous pouvez aussi choisir de vous connecter plus tard à un serveur d’annuaire existant, tel qu’Active Directory ou Open Directory, après avoir terminé la configuration. Dans ce cas, vous pouvez utiliser Utilitaire d’annuaire (dans /Applications/Utilitaires/) sur chaque contrôleur de métadonnées et ordinateur client pour établir une connexion à votre serveur d’annuaire. Si vous disposez d’ordinateurs clients équipés de Tiger, utilisez Format de répertoire pour les connecter à votre serveur d’annuaire. Utilisation d’Xsan Admin Vous devez utiliser l’application Xsan Admin (installée dans /Applications/Server/) pour configurer et gérer votre SAN. Vous pouvez utiliser Xsan Admin pour gérer un SAN Xsan 2 à partir de n’importe quel ordinateur ayant accès au même intranet public que le SAN. Installation de l’application Xsan Admin uniquement Vous pouvez installer Xsan Admin sur tout ordinateur que vous souhaitez utiliser pour gérer le SAN. Consultez la rubrique « Configuration d’un ordinateur administrateur Xsan » à la page 57. Connexion à travers un coupe-feu S’il existe un coupe-feu entre le SAN et l’ordinateur sur lequel vous exécutez Xsan Admin, assurez-vous que le port 311 du coupe-feu est ouvert afin de permettre à Xsan Admin de communiquer avec les ordinateurs du SAN.46 Chapitre 3 Configuration d’un réseau de zones de stockage Préférences Xsan Admin Ouvrez Xsan Admin et choisissez Xsan Admin > Préférences pour modifier ces réglages :  L’intervalle d’actualisation de l’état SAN.  La quantité d’informations d’historique affichées.  Le nombre maximum d’utilisateurs à répertorier lors des recherches. Pour obtenir de l’aide Xsan Admin comprend une aide à l’écran. Utilisez le menu Aide ou cliquez sur le bouton d’aide dans une zone de dialogue ou une sous-fenêtre d’Xsan Admin. Résumé de la configuration du SAN et du volume Pour configurer un volume partagé sur un SAN, vous devrez effectuer les tâches suivantes. 1 Configurer le réseau Fibre Channel (page 47). 2 Configurer le réseau Ethernet (page 47). 3 Configurer les ordinateurs pour qu’ils utilisent un serveur d’horloge de réseau (page 48). 4 Configurer les utilisateurs et groupes SAN (page 48). 5 Configurer les systèmes RAID (page 50). 6 Configurer une matrice de métadonnées (page 50). 7 Installer le logiciel Xsan sur les ordinateurs SAN (page 50.) 8 Configurer le SAN (page 52). 9 Créer un volume (page 54). 10 (Facultatif) Configurer des notifications d’état (page 56). 11 (Facultatif) Assigner des dossiers à des balises d’affinité (page 56). 12 (Facultatif) Définir des quotas d’utilisateur et de groupe (page 56).Chapitre 3 Configuration d’un réseau de zones de stockage 47 Configuration d’un volume Xsan sur un réseau de stockage SAN Étape 1 : Configurer le réseau Fibre Channel m Connectez les ordinateurs contrôleurs, les ordinateurs clients et les systèmes de stockage RAID à un commutateur Fibre Channel pour créer une structure Fibre Channel pour le SAN. Veillez à configurer le commutateur et à établir les connexions afin de créer une structure Fibre Channel. Pour en savoir plus, consultez les directives et la configuration requise à la rubrique « Structure Fibre Channel » à la page 24. Étape 2 : Configurer les réseaux Ethernet 1 Connectez les ordinateurs contrôleurs, les ordinateurs clients et les systèmes RAID à l’intranet public et à Internet. 2 Si vous comptez utiliser un réseau de métadonnées privé pour bénéficier des performances qu’il procure, configurez son commutateur Ethernet et connectez-y les ordinateurs SAN. 3 Configurez les réglages réseau sur le client et sur les ordinateurs contrôleurs. Vous pouvez, pour le port Ethernet public de chaque ordinateur, configurez les réglages TCP/IP suivants :  Manuellement : vous devez saisir l’adresse IP, le masque de sous-réseau, l’adresse du routeur et l’adresse du serveur DNS pour chaque ordinateur.  Utilisation de DHCP avec une adresse manuelle : vous devez saisir l’adresse IP statique de l’ordinateur et votre serveur DHCP fournit les autres réglages de connexion TCP/IP.  Utilisation de DHCP : votre serveur DHCP fournit une adresse IP statique ainsi que les autres réglages TCP/IP pour les ordinateurs clients. (Cette méthode de configuration n’est disponible que pour la configuration des contrôleurs de métadonnées.) Le serveur DHCP doit être configuré pour toujours attribuer la même adresse IP statique à chaque ordinateur SAN. En ce qui concerne le réseau de métadonnées privé, vous pouvez laisser à l’assistant réglages Xsan le soin de configurer les réglages réseau si vous configurez de nouveaux ordinateurs ou des ordinateurs sur lesquels vous venez d’effectuer une installation spé- ciale de Leopard ou de Leopard Server. Pour être sûr que l’assistant réglages Xsan vous propose cette option, ne configurez pas le port Ethernet connecté au réseau de métadonnées privé :  Sur des ordinateurs clients équipés de Leopard, laissez ce port Ethernet non configuré dans les préférences Réseau.  Sur des contrôleurs de métadonnées et des clients équipés de Leopard Server, désactivez ce port Ethernet lorsque vous utilisez l’assistant réglages Mac OS X Server. L’assistant réglages Xsan propose de configurer le réseau de métadonnées privé s’il détecte exactement un port Ethernet non configuré disponible sur chaque ordinateur ou si chaque ordinateur possède déjà un port Ethernet doté d’une adresse IP privée sur le même sous-réseau IP et d’un masque de sous-réseau égal à 255.255.255.0. 48 Chapitre 3 Configuration d’un réseau de zones de stockage Pour obtenir des informations sur les adresses IP privées et sur les réglages réseau à effectuer pour que l’assistant réglages Xsan ne configure pas les réglages du réseau de métadonnées sur les ordinateurs SAN, reportez-vous à la rubrique « Réseau TCP/IP Ethernet » à la page 25. Étape 3 : Configurer les ordinateurs SAN pour qu’ils utilisent un serveur d’horloge de réseau m Pour assurer la cohérence des métadonnées temporelles à travers tous les ordinateurs du SAN, ouvrez les préférences Date et heure et choisissez le même serveur d’horloge réseau pour tous les contrôleurs de métadonnées et ordinateurs clients. Si vous êtes en train de configurer un nouveau serveur ou un ordinateur sur lequel vous avez effectué une installation spéciale de Leopard Server, vous pouvez choisir un serveur d’horloge réseau dans la sous-fenêtre Fuseau horaire de l’assistant réglages Mac OS X Server. Étape 4 : Configurer les utilisateurs et groupes SAN Voici plusieurs moyens permettant de configurer les utilisateurs et les groupes de votre SAN : m Si vous configurez un nouveau contrôleur de métadonnées principal ou un contrôleur sur lequel vous venez d’effectuer une installation spéciale de Leopard Server, sélectionnez une option dans la sous-fenêtre « Utilisateurs et groupe » de l’assistant réglages Mac OS X Server.Chapitre 3 Configuration d’un réseau de zones de stockage 49  Gérer les utilisateurs et les groupes à l’aide d’Xsan Admin : sélectionnez cette option afin que l’assistant réglages du serveur crée un répertoire centralisé d’utilisateurs et de groupes sur le contrôleur de métadonnées principal. Important : cette option ne peut être sélectionnée que pendant la configuration de Leopard Server sur le contrôleur de métadonnées principal. Il est impossible de la régler après avoir utilisé l’assistant réglages Mac OS X Server sur le contrôleur principal. L’option de créer quelques comptes d’utilisateur vous est présentée plus tard dans la sous-fenêtre « Ajouter des comptes d’utilisateur ». L’assistant réglages Mac OS X Server crée des comptes d’utilisateur dans le répertoire LDAP du serveur Open Directory qu’il crée sur votre contrôleur de métadonnées principal. Après la configuration, vous devez utiliser Xsan Admin pour créer et supprimer des utilisateurs et des groupes ou pour modifier l’adhésion à des groupes. Pour obtenir des informations sur les serveurs Open Directory, consultez la rubrique « Services de répertoire » à la page 26.  Utiliser les utilisateurs et les groupes existants provenant d’un serveur Open Directory : sélectionnez cette option pour que l’assistant réglages Mac OS X Server configure le contrôleur de métadonnées principal afin qu’il se connecte au serveur Open Directory dont vous avez spécifié le nom DNS ou l’adresse IP. Si vous choisissez cette option, Xsan Admin configure automatiquement tous les autres ordinateurs SAN équipés d’Xsan 2 pour qu’ils utilisent le serveur Open Directory.  Se connecter à un serveur de répertoire plus tard : sélectionnez cette option si vous disposez d’un autre type de serveur d’annuaire, tel qu’Active Directory. Après avoir configuré le contrôleur de métadonnées principal, utilisez l’application Utilitaire d’annuaire sur chaque ordinateur SAN équipé de Leopard ou de Leopard Server pour connecter l’ordinateur à votre serveur d’annuaire. Si vous avez des ordinateurs clients équipés de Mac OS X 10.4 Tiger ou Mac OS X Server 10.4 Tiger, utilisez l’application Format de répertoire pour les connecter au répertoire des utilisateurs et des groupes. m Si vous choisissez de ne pas utiliser de service de répertoire, vous devez créer le même ensemble d’utilisateurs et de groupes dans les Préférences Système de chaque ordinateur SAN. Important : si vous créez des utilisateurs et des groupes individuellement sur chaque ordinateur SAN, assurez-vous que chaque utilisateur ou groupe dispose d’un identifiant numérique (UID pour les utilisateurs, GID pour les groupes) unique à travers tout le SAN et que tous les utilisateurs et groupes SAN possèdent le même UID ou GID sur tous les ordinateurs SAN. Pour cela, vous pouvez notamment créer sur chaque ordinateur une liste d’utilisateurs et de groupes identique, dans le même ordre, suite à une installation propre du système d’exploitation.50 Chapitre 3 Configuration d’un réseau de zones de stockage Étape 5 : Configurer des systèmes RAID 1 Suivez les instructions fournies avec vos systèmes RAID pour les activer et configurer leurs réglages de réseau, de gestion et de sécurité. 2 Si vos systèmes RAID ont été fournis avec des ensembles RAID déjà configurés, ils seront automatiquement détectés lors de la configuration du SAN et vous pourrez ignorer l’étape 6, « Créer une matrice de métadonnées. » Sinon, utilisez le logiciel de gestion fourni avec le système RAID pour créer des matrices basées sur les schémas RAID de votre choix, en veillant à laisser trois disques non assignés sur un système pour pouvoir créer un petit LUN de métadonnées distincts comme l’explique l’étape suivante. Les nouveaux systèmes RAID sont généralement préconfigurés sous forme d’un ensemble de matrices RAID prêtes à être utilisées comme LUN. Pour obtenir de l’aide sur le choix d’autres systèmes RAID, lisez la rubrique « Choix de systèmes RAID adaptés à vos LUN » à la page 31. Étape 6 : Créer une matrice de métadonnées Dix giga-octets (Go) d’espace disque suffisent pour stocker les métadonnées d’un volume contenant 10 millions de fichiers, par conséquent, une matrice RAID 1 (miroir) à deux disques est généralement suffisante pour stocker les métadonnées de votre volume SAN. Si vous dédiez un disque de réserve à cette matrice afin de garantir la disponibilité, trois disques seront suffisants pour vos métadonnées SAN. Si toutes vos matrices RAID sont constituées de quatre disques ou plus, vous pouvez en convertir une en petite matrice de métadonnées pour pouvoir réutiliser les disques supplémentaires. 1 Si vous ne disposez pas de trois disques de réserve ou que tous les disques de vos systèmes RAID appartiennent déjà à des matrices RAID, utilisez l’application de gestion de votre système RAID pour supprimer une matrice existante. 2 Utilisez deux des disques pour créer une nouvelle matrice RAID 1 (miroir) à deux disques. 3 Désignez le troisième disque comme disque de réserve de la matrice. 4 Vous pouvez utiliser tout disque surnuméraire provenant de la matrice d’origine comme disque de réserve ou pour créer une autre matrice. Pour des performances optimales, les matrices RAID utilisées pour les métadonnées ne doivent pas se trouver sur le même contrôleur RAID que celles utilisées pour les données d’utilisateurs. Étape 7 : Installez le logiciel Xsan sur les clients et les contrôleurs Sur chaque ordinateur client connecté au SAN, insérez le disque d’installation d’Xsan et installez le logiciel Xsan. Installez ensuite le logiciel Xsan sur les serveurs qui seront utilisés comme contrôleurs de métadonnées de réserve. Enfin, installez le logiciel sur le serveur qui sera le contrôleur de métadonnées principal. Chapitre 3 Configuration d’un réseau de zones de stockage 51 Remarque : si vous utilisez Assistant du serveur pour configurer un serveur en tant que contrôleur de métadonnées, il vous invitera à insérer le disque d’installation d’Xsan au moment d’installer le logiciel Xsan. Le dernier ordinateur sur lequel vous installerez le logiciel Xsan devra être le contrôleur de métadonnées principal. Pour installer le système de fichiers Xsan et l’application Xsan Admin : m Insérez le disque d’installation d’Xsan, double-cliquez sur l’icône Install Xsan.mpkg, puis suivez les instructions à l’écran pour installer le logiciel Xsan. Si vous configurez un nouveau contrôleur de métadonnées ou un contrôleur sur lequel vous venez d’effectuer une installation spéciale de Leopard Server, l’assistant réglages vous invite à insérer le disque d’installation d’Xsan au moment d’installer le logiciel Xsan. Pour installer uniquement le système de fichiers Xsan sans installer Xsan Admin : 1 Insérez le disque d’installation d’Xsan, double-cliquez sur l’icône Install Xsan.mpkg, puis suivez les instructions affichées à l’écran jusqu’à la sous-fenêtre Installation personnalisée. Si vous configurez un nouveau contrôleur de métadonnées ou un contrôleur sur lequel vous venez d’effectuer une installation spéciale de Leopard Server, l’assistant réglages vous invite à insérer le disque d’installation d’Xsan au moment d’installer le logiciel Xsan. 2 Dans la sous-fenêtre Installation personnalisée, désélectionnez Xsan Admin, cliquez sur Continuer, puis suivez le reste des instructions pour n’installer que le système de fichiers Xsan. Pour installer le logiciel Xsan sur un ordinateur dépourvu d’écran ou de clavier : 1 Insérez le disque d’installation d’Xsan dans l’ordinateur en question. 2 Ouvrez une session sur un ordinateur qui dispose d’un clavier et d’un écran. 3 Dans le Finder, choisissez Aller > Se connecter au serveur, puis tapez vnc://adresse dans le champ Adresse du serveur, en remplaçant adresse par l’adresse IP ou le nom DNS de l’ordinateur cible. 4 Cliquez sur Se connecter, puis tapez le nom et le mot de passe d’un compte administrateur sur l’ordinateur cible. 5 Dans la fenêtre de partage d’écran, ouvrez l’icône du disque d’installation d’Xsan, double-cliquez sur l’icône Xsan.mpkg et suivez les instructions affichées à l’écran. Si vous souhaitez n’installer que le système de fichiers Xsan, désélectionnez l’option Xsan Admin dans la sous-fenêtre Installation personnalisée. Vous pouvez également utiliser l’application Apple Remote Desktop (vendue séparément) pour installer à distance le logiciel Xsan sur plusieurs ordinateurs à la fois. Pour obtenir des informations sur l’application Apple Remote Desktop, visitez le site www.apple.com/fr/remotedesktop.52 Chapitre 3 Configuration d’un réseau de zones de stockage À partir de la ligne de commande Pour obtenir des informations sur l’installation du logiciel Xsan à l’aide d’outils de ligne de commande dans Terminal, consultez la rubrique « Installation d’Xsan à partir de la ligne de commande » à la page 129. Étape 8 : Configurer le SAN Vous devez utiliser Xsan Admin pour configurer le SAN. La première fois que vous utilisez Xsan Admin sur un ordinateur, l’assistant réglages Xsan est automatiquement lancé. 1 Ouvrez Xsan Admin (dans /Applications/Server/). Xsan Admin s’ouvre automatiquement dès que vous avez terminé l’installation du logiciel Xsan sur votre ordinateur contrôleur de métadonnées principal. Vous pouvez également ouvrir Xsan Admin sur n’importe quel ordinateur connecté via un intranet ou Internet à vos ordinateurs SAN. (Xsan Admin peut être utilisé sur un ordinateur qui n’est connecté ni au réseau de métadonnées privé du SAN ni à son réseau Fibre Channel.) 2 Dans la sous-fenêtre Introduction, cliquez sur Continuer. 3 Dans la sous-fenêtre « Configuration initiale du SAN », sélectionnez « Configurer un nouveau SAN ». Pour obtenir des informations sur la connexion à un SAN existant, consultez la rubrique « Gestion de plusieurs SAN » à la page 58. 4 Dans la sous-fenêtre Réglages SAN, saisissez un nom pour le SAN, puis saisissez le nom et l’adresse électronique de l’administrateur SAN.Chapitre 3 Configuration d’un réseau de zones de stockage 53 5 Dans la sous-fenêtre Ajouter des ordinateurs, vérifiez que tous les ordinateurs que vous voulez inclure dans le SAN sont sélectionnés. Si l’un des ordinateurs que vous voulez inclure ne figure pas dans la liste, assurez-vous que le logiciel Xsan y est installé et que l’ordinateur est connecté au réseau Ethernet de métadonnées privé, puis vérifiez les réglages réseau dans les préférences Réseau de l’ordinateur. Vous pouvez également tenter de cliquer sur « Ajouter un ordinateur distant » et de saisir l’adresse de l’ordinateur. 6 Dans la sous-fenêtre « Authentifier les ordinateurs du SAN », choisissez la méthode qui sera utilisée pour fournir des informations d’authentification aux ordinateurs du SAN :  Utiliser les mêmes informations d’authentification pour tous les ordinateurs du SAN : sélectionnez cette option pour qu’Xsan Admin authentifie tous les ordinateurs à l’aide du nom d’administrateur et de l’adresse que vous avez saisis dans cette sous-fenêtre.  S’authentifier auprès de chaque ordinateur du SAN : sélectionnez cette option pour authentifier chaque ordinateur individuellement. 7 Dans la sous-fenêtre Numéros de série, tapez vos numéros de série Xsan. Vous pouvez cliquer sur « Ajouter un numéro de série » et saisir un numéro ou faire glisser un fichier texte contenant les numéros de série dans la liste. 8 Dans la sous-fenêtre « Choisissez les contrôleurs de métadonnées », sélectionnez seulement votre contrôleur principal et vos contrôleurs de réserve. Désélectionnez tout ordinateur client seul apparaissant dans la liste. 9 Si la sous-fenêtre « Réseau de métadonnées privé » est affichée, vous pouvez laisser Xsan Admin gérer les adresses réseau privées pour tous les ordinateurs du SAN. 10 Si la sous-fenêtre Réseau SAN est affichée, choisissez votre réseau privé dans le menu local Réseau de métadonnées. La sous-fenêtre Réseau SAN n’apparaît pas si vous avez choisi, à l’étape précédente, de laisser Xsan Admin gérer les adresses réseau privées. 11 Vérifiez la sous-fenêtre Résumé, et si tous les réglages sont corrects, cliquez sur Continuer. Pour modifier un réglage, cliquez sur Revenir jusqu’à atteindre la sous-fenêtre dans laquelle vous pouvez corriger le réglage. Cliquez ensuite sur Continuer jusqu’à revenir à la sous-fenêtre Résumé.54 Chapitre 3 Configuration d’un réseau de zones de stockage Étape 9 : Créer un volume À la fin de la configuration SAN de base, l’assistant réglages Xsan vous demande si vous souhaitez créer un volume. 1 Dans la sous-fenêtre Créer le volume, sélectionnez Créer un volume maintenant, puis cliquez sur Continuer. Si vous voulez configurer les volumes ultérieurement, suivez les instructions de la rubrique « Ajout d’un volume à un SAN » à la page 64. 2 Dans la sous-fenêtre Nom et type du volume, saisissez un nom pour le volume, puis choisissez un type de volume correspondant au type de tâches que le volume prendra en charge. Vous pouvez également, si nécessaire, cliquer sur Réglages avancés. Pour le nom de volume, n’utilisez que des lettres majuscules (A–Z) ou minuscules (a–z), des chiffres (0–9) et des caractères de soulignement ( _ ). N’utilisez pas d’espaces ou de traits d’union. La longueur est limitée à 70 caractères. Le type de volume que vous choisissez détermine la manière dont l’assistant réglages configure les balises d’affinité et les réserves de stockage sur le volume. Pour plus d’informations, consultez la rubrique « Mode d’organisation du stockage Xsan » à la page 16. L’accès aux Réglages avancés permet de modifier les réglages de volumes ci-dessous.  Taille d’allocation de bloc : si vous n’êtes pas sûr de la valeur à choisir, utilisez la taille prédéfinie ou lisez la rubrique « Réglage de la taille d’allocation de bloc » à la page 68.Chapitre 3 Configuration d’un réseau de zones de stockage 55  Stratégie d’allocation : choisissez la manière dont l’espace de stockage sera alloué aux fichiers dans les réserves de stockage appartenant au volume. Si vous choisissez Round Robin, chaque nouvelle requête d’espace sera affectée à la réserve de stockage disponible suivante et ainsi de suite. Si vous choisissez Remplir, tout l’espace sera alloué à la première réserve de stockage jusqu’à ce qu’elle soit pleine, puis à la deuxième réserve de stockage et ainsi de suite. Si vous choisissez Équilibrer, l’espace sera alloué à la réserve de stockage disposant du plus grand espace libre. Pour plus d’informations, consultez la rubrique « Choix d’une stratégie d’allocation » à la page 35.  Spotlight : activez cette fonction si vous voulez que les clients Macintosh puissent effectuer des recherches sur le contenu du volume à l’aide de Spotlight.  Listes de contrôle d’accès : ne désactivez pas cette option si vous souhaitez utiliser des listes de contrôle d’accès dans Xsan Admin pour contrôler l’accès au volume et à son contenu.  Mappage d’id. Windows : si vous prévoyez d’avoir des clients Windows sur votre réseau SAN, choisissez le mode de mappage pour les informations d’utilisateur et de groupe avec les identifiants d’utilisateur et de groupe compatibles Xsan dont ils auront besoin pour accéder à ce volume. Pour plus d’informations, consultez la rubrique « Mappage des identifiants d’utilisateur et de groupe Windows » à la page 91. 3 Dans la sous-fenêtre « Configurer les affinités du volume » (ou dans la sous-fenêtre « Configurer stockage du volume », si vous configurez un type de volume personnalisé), faites glisser les LUN de la colonne de gauche vers la balise d’affinité correspondante (ou sur une réserve de stockage personnalisée) dans la colonne de droite. a Faites glisser le LUN de métadonnées spécial que vous avez créé (à l’étape 6, « Créer une matrice de métadonnées ») sur la balise d’affinité MetadataAndJournal (ou dans la réserve de stockage personnalisée). b Faites glisser vos autres LUN sur les autres balises d’affinités (ou réserves de stockage). Pour ne pas gaspiller de l’espace de stockage, tous les LUN affectés à une balise d’affinité (ou à une réserve de stockage) doivent être de même taille. c Une fois terminé, cliquez sur Continuer. Pour obtenir des informations sur le nombre optimal de LUN à assigner à une balise d’affinité, consultez la rubrique « Assignation de LUN à des balises d’affinité » à la page 33. Vous pouvez sélectionner une balise d’affinité, puis cliquez sur Réglages pour changer son nom ou d’autres réglages indiqués ci-dessous. Si vous créez un volume personnalisé, vous pouvez le sélectionner puis cliquer sur « Réglages de réserve de stockage » pour modifier le nom de la réserve de stockage ou d’autres réglages énumérés ci-dessous.  Balise d’affinité (ou Nom de la réserve de stockage) : saisissez le nom de la balise d’affinité (ou de la réserve de stockage personnalisée). Si vous constatez que le bouton OK est désactivé après avoir tapé le nom, c’est que ce nom est réservé ; essayezen un autre. La liste des noms réservés est indiquée au chapitre 8.56 Chapitre 3 Configuration d’un réseau de zones de stockage  Utiliser pour : choisissez les types de données qui peuvent être stockés dans les réserves de stockage possédant cette balise d’affinité (ou dans la réserve de stockage personnalisée).  Largeur de segment : indiquez la quantité de données à écrire ou à lire sur chaque LUN des réserves de stockage possédant cette balise d’affinité (ou de chaque LUN de la réserve de stockage personnalisée) avant de passer au LUN suivant. Cette valeur peut affecter les performances. Si vous n’êtes pas sûr de la valeur à choisir, utilisez la valeur prédéfinie ou lisez la rubrique « Réglage de la largeur de segment d’une réserve de stockage » à la page 72. 4 Si la sous-fenêtre « Priorité de basculement du volume » est affichée, arrangez la liste de sorte qu’un nombre minimal de volume SAN possède le même contrôleur de métadonnées en tête de leurs listes de priorités de basculement, puis cliquez sur Continuer. 5 Dans la sous-fenêtre Configuration terminée, cliquez sur Continuer. Xsan Admin affiche un résumé de votre configuration SAN et le nouveau volume est monté et prêt à utiliser dans le Finder de tous les clients et contrôleurs de métadonnées. Pour obtenir des informations sur la création de volumes supplémentaires, consultez la rubrique « Ajout d’un volume à un SAN » à la page 64. Étape 10 : (Facultatif) Personnaliser les notifications d’état SAN Xsan est configuré initialement pour notifier l’administrateur par courrier électronique lorsque l’état du SAN change. Vous pouvez faire envoyer les notifications à d’autres adresses électroniques ou de messagerie et choisir des conditions de déclenchement de notification pour chacune de ces adresses. Si vous ne voulez pas personnaliser les notifications maintenant, vous pouvez le faire ultérieurement. Pour obtenir des instructions, référez-vous à la rubrique « Configuration des notifications d’état » à la page 112. Étape 11 : (Facultatif) Assigner des dossiers à des balises d’affinité Pour forcer le stockage des fichiers dans des réserves de stockage particulière, assignez la balise d’affinité des réserves à un dossier. Les fichiers que les utilisateurs placeront dans ce dossier seront alors exclusivement stockés dans les réserves de stockage possé- dant cette balise d’affinité. Pour obtenir des instructions, référez-vous à la rubrique « Configuration d’une affinité de dossier » à la page 65. Étape 12 : (Facultatif) Définir des quotas d’utilisateur et de groupe Vous pouvez définir des quotas afin de contrôler la quantité d’espace utilisée par chaque utilisateur ou groupe sur chaque volume SAN. Pour obtenir des instructions, référez-vous à la rubrique « Définition de quotas de groupe et d’utilisateur du SAN » à la page 92.Chapitre 3 Configuration d’un réseau de zones de stockage 57 Configuration d’un ordinateur administrateur Xsan Vous pouvez installer l’application Xsan Admin sur n’importe quel ordinateur équipé de Mac OS X 10.5 Leopard ou Mac OS X Server 10.5 Leopard, puis utiliser cet ordinateur pour administrer à distance un SAN Xsan 2. L’ordinateur administrateur doit être capable de se connecter à tous les ordinateurs du SAN via votre intranet public ou Internet. Il ne doit pas nécessairement être connecté au réseau de métadonnées privé du SAN ni à son réseau Fibre Channel. Pour n’installer que l’application Xsan Admin : m Insérez le disque d’installation d’Xsan, ouvrez le dossier Other Installs, double-cliquez sur l’icône XsanAdmin.mpkg, puis suivez les instructions affichées à l’écran. Pour obtenir des informations sur l’utilisation d’Xsan Admin afin de gérer un SAN à distance, consultez la rubrique « Gestion de plusieurs SAN » à la page 58. Modification du nom d’un SAN Le nom du SAN est affiché dans la sous-fenêtre Vue d’ensemble d’Xsan Admin. Le nom du SAN est défini au moment de la configuration du SAN. Vous pouvez modifier ce nom à l’aide d’Xsan Admin. Pour modifier le nom d’un SAN : 1 Ouvrez Xsan Admin (dans /Applications/Server/) et cliquez sur Vue d’ensemble. 2 Choisissez « Modifier les propriétés du SAN » dans le menu local Action (engrenage). 3 Tapez un nom dans le champ Nom du SAN, puis cliquez sur Enregistrer. Suppression d’un SAN Suivez les étapes ci-dessous pour désactiver un SAN et supprimer ses contrôleurs de métadonnées, ses clients et ses volumes. Pour supprimer un SAN : 1 Si vous voulez que les fichiers qui se trouvent sur les volumes du SAN demeurent disponibles après la suppression du SAN, faites-en une copie de sauvegarde. 2 Ouvrez Xsan Admin (dans /Applications/Server/) et cliquez sur Vue d’ensemble. 3 Choisissez Détruire le SAN dans le menu local Action (engrenage). AVERTISSEMENT : la suppression d’un SAN entraîne la destruction de ses volumes. Les données stockées sur les volumes ne seront plus disponibles.58 Chapitre 3 Configuration d’un réseau de zones de stockage Gestion de plusieurs SAN Vous pouvez utiliser Xsan Admin pour gérer plusieurs SAN Xsan 2. L’ordinateur sur lequel est installé Xsan Admin ne doit pas nécessairement être connecté au réseau de métadonnées privé du SAN ni à son réseau Fibre Channel, mais il doit être capable de se connecter aux ordinateurs du SAN via votre intranet public ou via Internet. Pour gérer un autre SAN : 1 Ouvrez Xsan Admin et choisissez Fichier > Nouveau. 2 Dans la sous-fenêtre Introduction, cliquez sur Continuer. 3 Sélectionnez « Se connecter à un SAN existant », cliquez sur Continuer et suivez les instructions affichées à l’écran. Configuration de SAN supplémentaires Vous pouvez utiliser Xsan Admin pour configurer plusieurs SAN. Pour ajouter un nouveau SAN : 1 Installez le matériel, connectez les réseaux Ethernet et Fibre Channel, configurez les ordinateurs clients, configurez les contrôleurs de métadonnées de réserve si vous en avez, configurez les systèmes RAID, créez une matrice de métadonnées, puis configurez le contrôleur de métadonnées principal conformément aux instructions présentées plus haut dans ce chapitre. Si vous effectuez pour la première fois la configuration d’un SAN, référez-vous aux directives de planification indiquées dans le chapitre 2, ainsi qu’aux instructions détaillées qui se trouvent au début de ce chapitre. 2 Ouvrez Xsan Admin sur l’ordinateur que vous comptez utiliser pour configurer et gérer le nouveau SAN. 3 Choisissez Fichier > Nouveau et suivez les instructions de la rubrique « Configurer le SAN » à la page 52.4 59 4 Gestion de l’espace de stockage SAN Vous pouvez utiliser Xsan Admin et les outils de ligne de commande associés pour étendre, ajouter, modifier, vérifier et réparer des volumes SAN. Ce chapitre explique comment étendre un volume Xsan existant pour offrir de l’espace libre supplémentaire. Il contient également des informations sur les réglages de volume et de réserve de stockage et montre comment vérifier et résoudre les problèmes d’inté- grité et de fragmentation des volumes. Ajout d’espace de stockage Pour augmenter l’espace de stockage de votre SAN, vous pouvez :  Ajouter des LUN aux réserves de stockage existantes  Ajouter des réserves de stockage aux volumes existants  Ajouter de nouveaux volumes L’ajout de LUN à une réserve de stockage permet d’augmenter la taille d’un volume existant et peut améliorer les performances du SAN grâce à l’augmentation du nombre de contrôleurs RAID et de chemins d’accès aux données entre les clients et l’espace de stockage. Lors des opérations d’extension, Xsan Admin arrête le volume et le démonte des clients pendant qu’il ajoute de nouveaux LUN. L’ajout d’une réserve de stockage entière à un volume permet aussi d’augmenter l’espace de stockage disponible et nécessite également qu’Xsan Admin arrête le volume et le démonte des clients. Lorsque vous créez un volume à partir d’un type de volume personnalisé, vous travaillez directement avec des réserves de stockage. Par contre, lorsque vous créez un volume à partir d’un type de volume Xsan intégré (tel que Serveur de fichiers général ou Grappe de serveurs de calendrier), vous n’intervenez pas directement sur les réserves de stockage. Dans ce cas, vous travaillez avec des balises d’affinité représentant une ou plusieurs réserves de stockage. Xsan Admin organise pour vous les LUN disponibles en réserves de stockage en fonction des exigences de performances du type de volume choisi.60 Chapitre 4 Gestion de l’espace de stockage SAN Préparation des LUN Chaque LUN d’un volume Xsan est une matrice RAID. La façon dont vous configurez vos matrices dépend du périphérique de stockage que vous utilisez. Si vous ajoutez des systèmes RAID à votre SAN, ils seront peut-être prêts à être utilisés dès leur installation. Bon nombre de systèmes RAID sont en effet déjà configurés pour une ou plusieurs matrices RAID, et chaque matrice devrait apparaître dans l’assistant réglages Xsan comme un LUN utilisable. Pour créer un autre jeu de LUN pour votre SAN, utilisez l’application fournie avec votre système RAID pour créer, par exemple, des LUN basés sur des systèmes RAID différents ou des LUN basés sur des segments de matrice. Recherche des modules de disque dur appartenant à un LUN Pour vérifier quels sont les modules de disque qui appartiennent à un LUN, vous pouvez utiliser Xsan Admin pour allumer les témoins d’activité de disque sur le système RAID hébergeant les LUN. Pour rechercher les disques d’un LUN : m Dans Xsan Admin, sélectionnez les LUN dans la liste Ressources SAN, sélectionnez un LUN dans la liste des LUN, puis cliquez sur le bouton « Identifier les LUN à l’aide des voyants RAID » dans le coin inférieur droit de la fenêtre. Cliquez pour activer les témoins d’activité de disque du LUN sélectionné.Chapitre 4 Gestion de l’espace de stockage SAN 61 Ajout de LUN à une réserve de stockage Il est possible d’augmenter la taille d’un volume SAN en ajoutant des LUN (matrices ou tranches de matrice RAID) aux réserves de stockage du volume. Si vous étendez un volume basé sur un type de volume intégré, vous ajoutez des LUN aux balises d’affinité et Xsan Admin affecte pour vous ces LUN aux réserves de stockage sous-jacentes. Si vous étendez un volume personnalisé, vous ajoutez directement des LUN aux réserves de stockage. Remarque : une réserve de stockage ne peut contenir plus de 32 LUN, le nombre total de LUN d’un volume ne peut être supérieur à 512, et vous ne pouvez pas ajouter de LUN à une réserve de stockage contenant uniquement des données de journal ou des métadonnées. Choix de LUN compatibles Les LUN que vous ajoutez à une réserve de stockage existante doivent avoir au minimum la même taille que les autres LUN de la réserve. Si l’un des nouveaux LUN est plus grand que les autres LUN de la réserve, sa capacité excédentaire ne pourra pas être utilisée. Essayez donc toujours d’ajouter des LUN disposant de performances et de capacités identiques ou similaires aux LUN qui font déjà partie de la réserve de stockage. Le mélange de LUN de tailles ou de vitesses différentes dans une même réserve de stockage entraîne des pertes de capacité et éventuellement de performances. Menu Action62 Chapitre 4 Gestion de l’espace de stockage SAN Pour ajouter un LUN à une réserve de stockage : 1 Si ce n’est pas déjà fait, connectez le système RAID qui héberge le LUN au réseau Fibre Channel du SAN et allumez-le. 2 Dans Xsan Admin, sélectionnez Volumes dans la liste Ressources SAN. 3 Sélectionnez le volume dans la liste et choisissez Expansion du volume dans le menu local Action (engrenage). 4 Dans la sous-fenêtre Étiqueter les LUN de l’assistant, choisissez entre l’étiquetage individuel des LUN sans étiquette ou leur étiquetage séquentiel à partir d’un préfixe d’étiquette. Si vous utilisez un préfixe d’étiquette, Xsan Admin ajoute un nombre après le préfixe pour créer une étiquette unique pour chaque LUN. Par exemple, si vous utilisez le préfixe « LUN », vos LUN seront étiquetés « LUN1 », « LUN2 », etc. Les LUN portant déjà une étiquette ne sont pas affectés par cette opération. Si vous choisissez d’étiqueter vos LUN individuellement, cliquez sur « Modifier l’étiquette du LUN » dans la sous-fenêtre suivante, puis tapez une nouvelle étiquette. Les LUN déjà étiquetés ne sont pas modifiés. 5 Dans la sous-fenêtre « Configurer stockage du volume », faites glisser les nouveaux LUN sur des balises d’affinité (ou des réserves de stockage s’il s’agit d’un volume personnalisé). 6 Cliquez sur Continuer pour démonter et arrêter le volume, ajouter le nouvel espace de stockage, puis remonter le volume étendu. À partir de la ligne de commande Vous pouvez également ajouter des LUN à une réserve de stockage en modifiant le fichier de configuration du volume associé et en utilisant la commande cvlabel dans Terminal. Pour en savoir plus, consultez les pages man de cvfs_config et cvlabel ou les rubriques « Fichiers de configuration Xsan » à la page 141 et « Étiquetage, listage et suppression d’étiquettes des LUN (cvlabel) » à la page 135. Réorganisation des connexions Fibre Channel Si vous devez réarranger vos connexions Fibre Channel après avoir ajouté des LUN à votre SAN, procédez toujours en démontant les volumes SAN des clients avant de déconnecter les câbles Fibre Channel ou de désactiver les commutateurs Fibre Channel. Toute déconnexion ou interruption d’une connexion Fibre Channel entre un client et un volume monté risque de provoquer des problèmes avec les applications clientes qui utilisent le volume et de rendre ce dernier difficile à monter à nouveau.Chapitre 4 Gestion de l’espace de stockage SAN 63 Ajout d’une réserve de stockage à un volume Vous pouvez ajouter de l’espace libre à un volume SAN en ajoutant une réserve de stockage au volume. Étendre un volume basé sur un type de volume intégré revient à créer une nouvelle balise d’affinité à laquelle on ajoute des LUN. Xsan Admin crée et organise pour vous de nouvelles réserves de stockage au sein de cette balise. Si vous procédez à l’extension d’un volume personnalisé, vous créez de fait de nouvelles réserves de stockage directement dans ce volume et vous lui ajoutez directement des LUN. Pour ajouter une réserve de stockage : 1 Si nécessaire, connectez les systèmes RAID qui hébergent les LUN de la réserve de stockage au réseau Fibre Channel du SAN et allumez-les. 2 Dans Xsan Admin, sélectionnez Volumes dans la liste Ressources SAN. 3 Sélectionnez le volume dans la liste et choisissez Expansion du volume dans le menu local Action (engrenage). 4 Dans la sous-fenêtre Étiqueter les LUN de l’assistant, choisissez entre l’étiquetage individuel des LUN sans étiquette ou leur étiquetage séquentiel à partir d’un préfixe d’étiquette. Si vous utilisez un préfixe d’étiquette, Xsan Admin ajoute un nombre après le préfixe pour créer une étiquette unique pour chaque LUN. Par exemple, si vous utilisez le préfixe « LUN », vos LUN seront étiquetés « LUN1 », « LUN2 », etc. Les LUN déjà étiquetés ne sont pas affectés. Si vous choisissez d’étiqueter vos LUN individuellement, cliquez sur « Modifier l’étiquette du LUN » dans la sous-fenêtre suivante, puis tapez une nouvelle étiquette. 5 Dans la sous-fenêtre « Configurer stockage du volume », cliquez sur Nouvelle balise d’affinité (ou Nouvelle réserve) pour ajouter une balise d’affinité (ou une réserve de stockage), puis faites glisser des LUN sur la nouvelle balise (ou réserve). 6 Cliquez sur Continuer pour démonter et arrêter le volume, ajouter le nouvel espace de stockage, puis remonter le volume étendu. À partir de la ligne de commande Vous pouvez également ajouter une réserve de stockage en modifiant le fichier de configuration du volume associé dans Terminal. Pour en savoir plus, consultez la page man de cvfs_config ou la rubrique « Fichiers de configuration Xsan » à la page 141.64 Chapitre 4 Gestion de l’espace de stockage SAN Ajout d’un volume à un SAN Un seul SAN Xsan peut donner accès à plusieurs volumes. Pour ajouter un volume : 1 Dans Xsan Admin, sélectionnez Volumes dans la liste Ressources SAN, puis cliquez sur le bouton Ajouter un volume (+). 2 Dans la sous-fenêtre « Nom et type du volume » de l’assistant, saisissez un nom pour le volume, puis choisissez un type de volume correspondant au type de tâches que le volume prendra en charge. Xsan Admin effectue les réglages du volume sous-jacent de manière appropriée. 3 Dans la sous-fenêtre « Configurer les affinités du volume » (« Configurer stockage du volume », si vous choisissez le type de volume personnalisé), faites glisser les nouveaux LUN sur des balises d’affinité (ou des réserves de stockage). 4 Dans la sous-fenêtre « Priorité de basculement du volume », faites glisser, si possible, le contrôleur destiné à héberger le volume au sommet de la liste. Disposez les autres contrôleurs dans l’ordre décroissant. Pour obtenir des informations sur les réglages avancés, consultez la rubrique « Modifications des réglages de volume avancés » à la page 67 ou « Modification des réglages de réserve de stockage » à la page 71. Une fois terminé, le volume est automatiquement monté sur tous les clients du SAN. Cliquez pour ajouter un nouveau volume. Sélectionnez cette option pour voir les volumes actuels.Chapitre 4 Gestion de l’espace de stockage SAN 65 À partir de la ligne de commande Vous pouvez également ajouter un volume en définissant un fichier de configuration. Pour en savoir plus, consultez la page man de cvfs_config ou la rubrique « Fichiers de configuration Xsan » à la page 141. Configuration d’une affinité de dossier Chaque réserve de stockage d’un volume possède une balise d’affinité. Vous pouvez utiliser la balise pour vous assurer que les fichiers d’un dossier sont stockés dans une réserve de stockage particulière. Les dossiers de fichiers sans affinités sont stockés dans la première réserve de stockage disponible en fonction de la stratégie d’allocation du volume. Il peut arriver que certaines de vos réserves de stockage soient plus grandes, plus rapides ou mieux protégées que d’autres. L’utilisation d’affinités vous permet de garantir qu’une application ou une tâche qui requiert une vitesse élevée ou une meilleure protection stockera ses fichiers dans une réserve de stockage appropriée. Avec Xsan Admin, vous pouvez assigner une affinité à un dossier existant ou créer un nouveau dossier doté d’une infinité. Menu local Action66 Chapitre 4 Gestion de l’espace de stockage SAN Pour assigner une balise d’affinité à un dossier : 1 Dans Xsan Admin, sélectionnez Gestion des fichiers dans la liste Ressources SAN. 2 Sélectionnez le dossier dans les colonnes affichant la liste du contenu du volume, choisissez Définir l’affinité dans le menu local Action (engrenage), puis choisissez une balise d’affinité. Si le dossier n’existe pas encore, vous pouvez choisir Nouveau dossier dans le menu local Action (engrenage), taper un nom pour le dossier, puis choisir une balise d’affinité. À partir de la ligne de commande Vous pouvez également affecter une affinité à un dossier à l’aide de la commande cvmkdir dans Terminal. Pour en savoir plus, consultez la page man de cvmkdir. Modification de l’affinité de réserve de stockage d’un dossier Xsan Admin vous permet de changer l’affinité d’un dossier, afin que tout nouveau fichier placé dans ce dossier soit stocké dans une nouvelle réserve de stockage. Pour changer l’affinité d’un dossier : 1 Dans Xsan Admin, sélectionnez Gestion des fichiers dans la liste Ressources SAN. 2 Sélectionnez le dossier, choisissez Définir l’affinité dans le menu local Action (engrenage), puis choisissez la nouvelle balise d’affinité. 3 Cliquez sur OK. Les fichiers qui se trouvent déjà dans le dossier ne sont pas automatiquement déplacés vers la nouvelle réserve de stockage. Pour placer ces fichiers dans une réserve de stockage possédant la nouvelle balise d’affinité, utilisez la commande snfsdefrag dans Terminal. Pour obtenir des informations et un exemple, consultez la page man de snfsdefrag. Suppression d’une affinité Il est possible d’annuler l’affinité d’un dossier pour une réserve de stockage en choisissant Aucune comme affinité de dossier. Pour supprimer la balise d’affinité d’un dossier : 1 Dans Xsan Admin, sélectionnez Gestion des fichiers dans la liste Ressources SAN. 2 Sélectionnez le dossier, choisissez Définir l’affinité dans le menu local Action (engrenage), puis choisissez Aucune comme balise d’affinité.Chapitre 4 Gestion de l’espace de stockage SAN 67 Modifications des réglages de volume avancés Si votre volume SAN exige une configuration particulière, vous pouvez modifier les réglages de volume standard lorsque vous créez un volume. Vous pouvez également modifier ces réglages pour un volume existant, à l’exception du nom de volume et de la taille d’allocation de bloc. Remarque : pour modifier le nom ou la taille d’allocation de bloc d’un volume, vous devez détruire et recréer le volume. Pour afficher ou modifier les réglages de volume : m Sélectionnez Volumes dans la liste Ressources SAN, sélectionnez le volume dans la liste, puis choisissez « Modifier les paramètres du volume » dans le menu local Action (engrenage). Les rubriques suivantes contiennent des informations sur chacun de ces réglages.68 Chapitre 4 Gestion de l’espace de stockage SAN Réglage de la taille d’allocation de bloc Xsan utilise conjointement la taille d’allocation de bloc et la largeur de segment de la réserve de stockage pour choisir le mode d’écriture des données sur un volume. Si vous créez un volume à partir d’un type de volume intégré (tel que Serveur de fichiers général ou Grappe de serveurs de calendrier), Xsan Admin choisit automatiquement des valeurs optimales. Pour la plupart des volumes, les valeurs prédéfinies de largeur de segment de réserve de stockage et de taille d’allocation de bloc permettent de bonnes performances. Il existe toutefois certains cas où il est possible d’améliorer les performances en lecture ou en écriture en modifiant ces réglages pour les adapter à une application spécifique. Par exemple, si votre application critique lit et écrit de petits blocs de données, vous pouvez améliorer les performances en choisissant une taille d’allocation de bloc adaptée. Ainsi, si vos applications lisent et écrivent des blocs de données de 16 Ko, vous pouvez choisir une taille d’allocation de bloc adaptée (16 Ko) et utiliser la formule ci-dessous pour calculer une largeur de segment correspondante pour les réserves de stockage du volume : Largeur de segment = (taille de transfert / nombre de LUN) / taille d’allocation de bloc où la largeur de segment est exprimée en blocs, alors que les tailles de transfert et d’allocation de bloc sont exprimées en octets. Les ordinateurs exécutant Mac OS X ou Mac OS X Server ont une taille de transfert optimale de 1 Mo. Si dans notre exemple il y a quatre LUN dans les réserves de stockage de données du volume, la valeur calculée sera : Largeur de segment = (1048576 / 4) / 16384 Ce qui nous donne une largeur de segment de 16. Modification de la stratégie d’allocation du volume Vous pouvez modifier la stratégie d’allocation d’un volume afin de déterminer la manière dont l’espace destiné aux nouveaux fichiers ou tout espace supplémentaire ajouté pour les fichiers existants est alloué dans les réserves de stockage appartenant au volume.  Round Robin : chaque nouvelle requête d’espace est affectée à la première réserve de stockage disponible dans le volume.  Remplir : toutes les données sont stockées dans la réserve de stockage jusqu’à ce qu’elle soit remplie, puis dans la réserve suivante, etc.  Équilibrer : les nouvelles données sont écrites dans la réserve de stockage disposant du plus grand espace disponible.Chapitre 4 Gestion de l’espace de stockage SAN 69 Activation ou désactivation de Spotlight sur un volume Vous pouvez utiliser Xsan Admin pour déterminer si un volume peut être indexé et faire l’objet de recherches à l’aide de Spotlight. Pour activer ou désactiver Spotlight sur un volume : 1 Dans Xsan Admin, sélectionnez Volumes dans la liste Ressources SAN. 2 Sélectionnez le volume et choisissez « Modifier les paramètres du volume » dans le menu local Action (engrenage). 3 Cochez ou décochez la case située en regard de Spotlight, puis cliquez sur OK. Activation ou désactivation des listes de contrôle d’accès Xsan Admin permet de spécifier si le système de fichiers Xsan utilise des listes de contrôle d’accès (ACL) sur un volume. Les clients Xsan 2, Xsan 1.4 et Windows StorNext peuvent reconnaître les listes de contrôle d’accès. Les clients UNIX ignorent les listes de contrôle d’accès sur les volumes Xsan. Si vous possédez un mélange de clients Windows et de clients Xsan, ils doivent tous être liés au même domaine de répertoire, que ce dernier soit fourni par Open Directory configuré en contrôleur de domaine principal ou par Active Directory de Windows. Remarque : si vous activez les listes de contrôle d’accès alors que votre SAN comporte des clients qui ne les prennent pas en charge, évitez d’utiliser ces clients pour modifier les informations de propriété de fichiers ou de dossiers afin d’éviter toute incohérence. Pour activer ou désactiver les listes de contrôle d’accès : 1 Dans Xsan Admin, sélectionnez Volumes dans la liste Ressources SAN. 2 Sélectionnez le volume et choisissez « Modifier les paramètres du volume » dans le menu local Action (engrenage). 3 Cochez ou décochez la case située en regard de « Listes de contrôle d’accès », puis cliquez sur OK. Changement du mappage d’identifiants Windows Si vous possédez des clients Windows sur votre SAN, ce réglage détermine comment ces derniers établissent une équivalence entre leurs informations d’utilisateur et de groupe et les identifiants d’utilisateur et de groupe compatibles Xsan dont ils ont besoin pour accéder à ce volume. Pour plus d’informations, consultez la rubrique « Mappage des identifiants d’utilisateur et de groupe Windows » à la page 91.70 Chapitre 4 Gestion de l’espace de stockage SAN Modification des réglages avancés d’allocation et de mise en mémoire cache Les réglages de volume qui contrôlent l’allocation de l’espace destiné aux fichiers de taille croissante et la mise en mémoire cache des structures de données relatives aux fichiers sont déterminés par Xsan Admin en fonction du type de volume que vous avez configuré. Vous pouvez, si nécessaire, utiliser Xsan Admin afin d’ajuster ces réglages avancés d’allocation et de mise en mémoire cache pour un volume. Important : ne modifiez ces réglages que si vous comprenez leur rôle en termes de performances du volume ou si un technicien agréé Apple vous a expliqué comment les modifier. Pour modifier les réglages de volumes avancés : m Dans Xsan Admin, sélectionnez Volumes dans la liste Ressources SAN, sélectionnez le volume souhaité, puis choisissez « Modifier les paramètres du volume » dans le menu local Action (engrenage). Min. expansion de fichiers : nombre de blocs de stockage ajoutés au fichier pour la première demande d’extension. Incrément expansion de fichiers : nombre de blocs de stockage par lequel la demande d’extension est augmentée à chaque demande supplémentaire. Max. expansion de fichiers : demande d’extension maximale autorisée. Taille de cache des Inodes : nombre maximal de structures de données d’inodes qui peuvent être mises en mémoire cache sur le volume par le contrôleur de métadonnées. Taille de cache de mémoire tampon : quantité de mémoire que le contrôleur de métadonnées peut allouer pour le stockage des métadonnées d’un volume. Modification du nom d’un volume Pour modifier le nom d’un volume, vous devez réinitialiser le volume avec son nouveau nom. Vous ne pouvez pas renommer un volume Xsan à l’aide du Finder. Pour renommer un volume : m Dans Xsan Admin, sélectionnez Volumes dans la liste Ressources SAN, sélectionnez le volume souhaité, puis choisissez « Réinitialiser le volume » dans le menu local Action (engrenage). AVERTISSEMENT : la réinitialisation d’un volume détruit toutes les informations qu’il contient.Chapitre 4 Gestion de l’espace de stockage SAN 71 Modification des réglages de réserve de stockage L’assistant réglages SAN choisit les réglages de réserve de stockage appropriés en fonction du type de volume que vous créez. Pour déterminer vous-même vos réglages de réserve de stockage, choisissez une balise d’affinité ou une réserve de stockage dans la sous-fenê- tre « Configurer les affinités du volume » de l’assistant réglages SAN lorsque vous créez le volume, puis cliquez sur le bouton Réglages qui se trouve sous la liste. Le meilleur moyen de configurer un réseau SAN consiste à planifier méticuleusement son organisation avant de le configurer, en tenant compte des réglages des réserves de stockage qui en constituent les volumes. Pour modifier les réglages de réserve de stockage d’un volume existant, vous devez détruire, puis recréer le volume. Choix du type de données d’une balise d’affinité « Utiliser pour » spécifie le type de données qui peut être stocké dans une réserve de stockage particulière ou dans n’importe quelle réserve de stockage possédant la balise d’affinité correspondante. Pour définir le type de données d’une réserve de stockage : m Le type de données doit être défini lorsque la réserve de stockage (ou la balise d’affinité) est créée. Il est impossible de modifier le type de données d’une réserve existante. Pour définir le type de données, cliquez sur le bouton Réglages (ou Réglages de réserve) dans la sous-fenêtre « Configurer les affinités du volume » de l’assistant réglages lorsque vous ajoutez cette réserve pour la première fois. saisissez un nom pour la balise d’affinité (ou réserve de stockage personnalisée). Si vous constatez que le bouton OK est désactivé après avoir tapé le nom, c’est que ce nom est réservé ; essayez-en un autre. La liste des noms réservés est indiquée au chapitre 8.72 Chapitre 4 Gestion de l’espace de stockage SAN Réglage de la largeur de segment d’une réserve de stockage Xsan utilise conjointement la largeur de segment de la réserve de stockage et la taille d’allocation de bloc du volume pour choisir le mode d’écriture des données sur un volume. Pour la plupart des réseaux SAN, les valeurs par défaut de largeur de segment de réserve de stockage et de taille d’allocation de bloc de volume permettent de bonnes performances. Il existe toutefois certains cas où il est possible d’améliorer les performances en lecture et en écriture en modifiant ces valeurs afin de les adapter à une application spécifique. La largeur de segment d’une réserve de stockage correspond au nombre de blocs d’allocation de fichier qui sont écrits sur un LUN de la réserve avant de passer au LUN suivant. Pour choisir une largeur de segment efficace, vous devez tenir compte de trois facteurs :  la taille de transfert de données (1 Mo) utilisée sous Mac OS X et Mac OS X Server,  le nombre de LUN dans la réserve de stockage,  la taille des blocs de données écrits et lus par l’application critique qui utilise le volume (reflétée dans la taille d’allocation de bloc pour le volume). Après avoir pris connaissance de ces valeurs, choisissez une largeur de segment à l’aide de la formule : Largeur de segment = (taille de transfert / nombre de LUN) / taille d’allocation de bloc où la largeur de segment est exprimée en blocs, alors que les tailles de transfert et d’allocation de bloc sont exprimées en octets. Ainsi, si vous utilisez une application telle que Final Cut Pro pour déplacer de grandes quantités de données vidéo à partir de ou vers une réserve de stockage constituée de 4 LUN, choisissez une taille d’allocation de bloc de 256 ko et utilisez la formule pour obtenir une largeur de segment de 1 bloc. Xsan écrira alors 256 Ko de données, tour à tour, sur chaque LUN de votre réserve de stockage vidéo. Pour définir la largeur de segment d’une réserve de stockage : m La largeur de segment doit être définie à la création du volume. Elle ne peut être modifiée sur un volume existant. Pour définir la largeur de segment, cliquez sur le bouton Réglages situé sous la liste Balise d’affinité, dans la sous-fenêtre « Configurer les affinités du volume » de l’assistant réglages, lorsque vous créez le volume.Chapitre 4 Gestion de l’espace de stockage SAN 73 Vérification de la fragmentation du volume Lorsque vous créez un fichier, Xsan le divise en morceaux et répartit ces morceaux de manière efficace entre les LUN constituant l’une des réserves de stockage du volume. Au fil du temps et des modifications du fichier, ces morceaux peuvent s’éparpiller et leur répartition devenir de moins en moins efficace. Vous pouvez utiliser cvfsck pour vérifier l’état de la fragmentation des fichiers sur vos volumes. Pour vérifier la fragmentation de volumes : 1 Ouvrez Terminal (dans /Applications/Utilitaires/). 2 Si vous n’êtes pas en train de travailler au niveau de l’ordinateur contrôleur du réseau SAN, utilisez SSH pour vous connecter à distance au contrôleur : $ ssh utilisateur@ordinateur où utilisateur correspond à un utilisateur administrateur sur l’ordinateur contrôleur et ordinateur correspond au nom ou à l’adresse IP du contrôleur. 3 Exécutez l’utilitaire de ligne de commande cvfsck avec l’option -f : $ sudo cvfsck -f volume Pour en savoir plus, consultez la page man de cvfsck.74 Chapitre 4 Gestion de l’espace de stockage SAN Défragmentation d’un volume Défragmenter un fichier consiste à réassembler ses morceaux de la manière la plus efficace possible. Vous pouvez utiliser la commande snfsdefrag pour défragmenter un fichier, un dossier ou un volume entier. Pour défragmenter un fichier, un dossier ou un volume : 1 Ouvrez Terminal (dans /Applications/Utilitaires/). 2 Si vous n’êtes pas en train de travailler au niveau de l’ordinateur contrôleur du réseau SAN, utilisez SSH pour vous connecter à distance au contrôleur : $ ssh utilisateur@ordinateur où utilisateur correspond à un utilisateur administrateur sur l’ordinateur contrôleur et ordinateur correspond au nom ou à l’adresse IP du contrôleur. 3 Exécutez la commande snfsdefrag. Pour défragmenter un ou plusieurs fichiers individuels : $ sudo snfsdefrag nom_de_fichier [nom_de_fichier ... ] Pour défragmenter un dossier entier : $ sudo snfsdefrag -r dossier Pour défragmenter un volume entier, remplacez dossier par le nom du volume. Pour en savoir plus, consultez la page man de snfsdefrag ou la rubrique « Défragmentation d’un fichier, d’un dossier ou d’un volume (snfsdefrag) » à la page 138.Chapitre 4 Gestion de l’espace de stockage SAN 75 Vérification de l’intégrité d’un volume Si les utilisateurs du SAN éprouvent des difficultés à accéder à des fichiers, vous pouvez utiliser la commande cvfsck pour vérifier l’intégrité d’un volume, de ses métadonnées et de ses fichiers. Pour vérifier un volume : 1 Ouvrez Terminal (dans /Applications/Utilitaires/). 2 Si vous n’êtes pas en train de travailler au niveau de l’ordinateur contrôleur du réseau SAN, utilisez SSH pour vous connecter à distance au contrôleur : $ ssh utilisateur@ordinateur où utilisateur correspond à un utilisateur administrateur sur l’ordinateur contrôleur et ordinateur correspond au nom ou à l’adresse IP du contrôleur. 3 Exécutez l’utilitaire de ligne de commande cvfsck (dans /Bibliothèque/Filesystems/ Xsan/bin/) pour vérifier le volume sans effectuer de réparations : $ sudo cvfsck -vn volume Un message vous préviendra que le journal est actif ; c’est normal. Pour en savoir plus sur cette commande, consultez la page de man cvfsck.76 Chapitre 4 Gestion de l’espace de stockage SAN Réparation d’un volume Si l’utilitaire cvfsck permet de détecter des problèmes sur un volume, vous pouvez utiliser la même commande pour réparer le volume concerné. Pour réparer un volume : 1 Arrêtez le volume. Ouvrez Xsan Admin, sélectionnez le volume, puis cliquez sur Arrêter le volume dans le menu local Action (engrenage). 2 Ouvrez Terminal (dans /Applications/Utilitaires/). Si vous n’êtes pas en train de travailler au niveau de l’ordinateur contrôleur du réseau SAN, utilisez SSH pour vous connecter à distance au contrôleur : $ ssh utilisateur@ordinateur où utilisateur correspond à un utilisateur administrateur sur l’ordinateur contrôleur et ordinateur correspond au nom ou à l’adresse IP du contrôleur. 3 Exécutez l’utilitaire de ligne de commande cvfsck (dans /Bibliothèque/Filesystems/Xsan/ bin/) pour relire les événements enregistrés dans le journal du système de fichiers : $ sudo cvfsck -j volume 4 Vérifiez le volume pour voir si d’autres réparations sont nécessaires : $ sudo cvfsck -vn volume 5 Si le rapport généré lors des étapes précédentes répertorie d’autres problèmes, tapez la commande suivante pour effectuer une vérification et une réparation complètes du volume : $ sudo cvfsck -vw volume Pour en savoir plus sur cette commande, consultez la page de man cvfsck. Destruction d’un volume Vous pouvez détruire un volume afin de réutiliser ses LUN pour créer de nouveaux volumes. Pour détruire un volume : m Dans Xsan Admin, sélectionnez Volumes dans la liste Ressources SAN, sélectionnez le volume dans la liste, puis choisissez « Détruire le volume » dans le menu local Action (engrenage).5 77 5 Gestion des clients et des utilisateurs Xsan Admin et les outils de ligne de commande associés vous permettent d’ajouter, de contrôler et de supprimer des ordinateurs clients et leurs utilisateurs. Les clients Xsan sont des ordinateurs disposant de connexions Fibre Channel à un SAN. Les utilisateurs d’un réseau SAN ouvrent une session sur des ordinateurs clients afin d’accéder à des fichiers stockés sur des volumes SAN. Ce chapitre explique comment ajouter des clients, contrôler leur accès à des volumes et gérer leurs quotas d’utilisateurs.78 Chapitre 5 Gestion des clients et des utilisateurs Ajout d’un client Pour qu’un ordinateur puisse utiliser un volume SAN, vous devez l’ajouter comme client au SAN. Ces instructions vous indiquent comment ajouter un ordinateur client à un réseau SAN existant. Pour ajouter un ordinateur client à un réseau SAN : 1 Connectez le client aux réseaux Ethernet et Fibre Channel du SAN. 2 Installez le logiciel Xsan sur le client. 3 Ouvrez Xsan Admin, sélectionnez Ordinateurs dans la liste Ressources SAN, puis cliquez sur le bouton Ajouter (+). 4 Dans la sous-fenêtre « Ajouter des ordinateurs » de l’assistant, assurez-vous qu’une coche est placée en regard du nouveau client dans la liste, puis cliquez sur Continuer. Si le client n’apparaît pas dans la liste, cliquez sur « Ajouter un ordinateur distant » et ajoutez-le. 5 Dans la sous-fenêtre Authentifier les clients, tapez les nom et mot de passe d’administrateur du client, puis cliquez sur Continuer. 6 Si aucune licence n’est disponible, la sous-fenêtre Licences s’affiche pour que vous puissiez en ajouter une. Bouton Ajouter Sélectionnez cet élé- ment pour voir les ordinateurs du SAN.Chapitre 5 Gestion des clients et des utilisateurs 79 7 Dans la sous-fenêtre « Choisissez les contrôleurs de métadonnées » de l’assistant, assurezvous qu’aucune coche ne figure en regard du nouveau client dans la liste, puis cliquez sur Continuer. 8 Cliquez sur Continuer dans la sous-fenêtre Résumé. Ajout d’un numéro de série Xsan Si vous avez acheté des numéros de série supplémentaires du logiciel Xsan pour les ordinateurs clients que vous souhaitez ajouter à votre SAN, tapez ces numéros dans Xsan Admin. Pour ajouter un numéro de série Xsan : 1 Dans Xsan Admin, sélectionnez Numéros de série dans la liste Ressources SAN. 2 Cliquez sur le bouton Ajouter (+). 3 Tapez le numéro de série, le propriétaire enregistré et les informations de la société fournies par Apple, puis cliquez sur OK. Si vos numéros de série figurent dans un fichier texte, il vous suffit de faire glisser ce fichier dans la liste Numéro de série dans Xsan Admin. Sélectionnez cet élé- ment pour voir les numé- ros de série actuels. Bouton Ajouter80 Chapitre 5 Gestion des clients et des utilisateurs Déplacement d’un client vers un autre réseau SAN Vous pouvez transférer un client d’un SAN Xsan vers un autre SAN situé sur le même sous-réseau Ethernet et le même réseau Fibre Channel. Pour déplacer un ordinateur client vers un autre SAN : 1 Dans Xsan Admin, sélectionnez Ordinateurs dans la liste Ressources SAN. 2 Sélectionnez l’ordinateur dans la liste, puis choisissez « Supprimer l’ordinateur du SAN » dans le menu local Action (engrenage). 3 Dans Xsan Admin, ouvrez la fenêtre correspondant au SAN vers lequel vous voulez déplacer l’ordinateur. 4 Dans la fenêtre du nouveau SAN, sélectionnez Ordinateurs dans la liste Ressources SAN, puis cliquez sur le bouton Ajouter (+). 5 Assurez-vous que la case en regard de l’ordinateur dans la liste est cochée, puis cliquez sur Continuer. 6 Dans la sous-fenêtre Authentifier les clients, tapez les nom et mot de passe d’administrateur du client, puis cliquez sur Continuer.Chapitre 5 Gestion des clients et des utilisateurs 81 Montage d’un volume sur un client Les volumes créés sont automatiquement montés sur les ordinateurs du SAN. Toutefois, si vous démontez de manière explicite un volume monté sur un client, vous devrez le monter à nouveau pour restaurer l’accès à ce volume. Pour monter un volume Xsan sur un client : 1 Dans Xsan Admin, sélectionnez Points de montages dans la liste Ressources SAN. 2 Sélectionnez le client dans la liste. 3 Sélectionnez le volume dans le menu local Volume. 4 Pour permettre au client de modifier des fichiers sur le volume, cliquez sur le bouton « Monter en lecture et écriture » ou choisissez « Monter en lecture et écriture » dans le menu local Action (engrenage). Pour empêcher le client de modifier le volume, choisissez « Monter en lecture seule » dans le menu local Action (engrenage). Un volume demeure monté jusqu’à ce que vous le démontiez ou que l’utilisateur du client le démonte, même si l’utilisateur ferme sa session ou que l’ordinateur client redémarre. Si un utilisateur démonte le volume, il est automatiquement remonté au bout de quelques instants. Sélectionnez cet élément pour voir les ordinateurs sur lesquels le volume n’est pas monté. Bouton Monter en lecture et écriture Sélectionnez le volume82 Chapitre 5 Gestion des clients et des utilisateurs À partir de la ligne de commande Vous pouvez également monter un volume sur un client à l’aide de la commande xsanctl dans Terminal. Pour en savoir plus, consultez la page man de la commande xsanctl ou la rubrique « Montage d’un volume Xsan » à la page 140. Modification des options de montage Vous pouvez utiliser Xsan Admin pour modifier des réglages susceptibles d’affecter les performances d’accès au volume. Pour modifier les options de montage : 1 Dans Xsan Admin, sélectionnez Points de montages dans la liste Ressources SAN. 2 Sélectionnez le client dans la liste. 3 Sélectionnez le volume dans le menu local Volume. 4 Choisissez « Modifier les options de montage » dans le menu local Action (engrenage). Taille du cache du répertoire : contrôle le nombre d’entrées de répertoire du système de fichiers qui sont mises en mémoire cache sur le client pour chaque volume SAN. L’augmentation de cette valeur peut s’avérer utile si le volume contient un grand nombre de petits fichiers (par exemple, s’il héberge un serveur de dossiers de départ, un serveur de courrier électronique ou un serveur de calendrier). Segments travailleur client : contrôle le nombre de processus utilisés pour communiquer avec le volume. Il peut être utile d’augmenter cette valeur si vous montez de nombreux volumes sur un client. Retarder les mises à jour des temps d’accès jusqu’à ce que les fichiers soient fermés : permet d’augmenter les performances en réduisant le nombre d’actualisations des temps d’accès à un fichier fréquemment lu (pour la diffusion de flux vidéo en direct par exemple). Si cette option n’est pas activée, le temps d’accès aux fichiers est actualisé chaque fois que le fichier est lu. Pour en savoir plus, référez-vous aux descriptions de ces paramètres dans la page man de mount_acfs.Chapitre 5 Gestion des clients et des utilisateurs 83 Gestion des utilisateurs et des groupes Selon la configuration initiale de votre réseau SAN, vous pouvez gérer les utilisateurs et les groupes à l’aide d’Xsan Admin ou de Gestionnaire de groupe de travail de Mac OS X Server. Gestion des utilisateurs et des groupes à l’aide d’Xsan Admin Lorsque vous configurez vos contrôleurs SAN pour la première fois, vous pouvez utiliser Xsan Admin pour gérer vos comptes d’utilisateur et de groupe SAN. Un maître Open Directory est créé sur votre contrôleur de métadonnées primaire et des répliques sont créées sur vos contrôleurs de réserve. Vous pouvez ensuite utiliser Xsan Admin pour créer et supprimer des comptes utilisateurs et de groupe. Gestion des utilisateurs et des groupes à l’aide de Gestionnaire de groupe de travail Si vous choisissez de ne pas gérer les comptes à l’aide d’Xsan Admin (par exemple si vous avez un répertoire existant de comptes utilisateurs et de groupe), utilisez l’outil de gestion de répertoires adéquat pour ajouter ou supprimer des comptes. Si vous disposez par exemple d’un serveur Open Directory existant, vous pouvez utiliser Gestionnaire de groupe de travail dans Mac OS X Server pour gérer les comptes d’utilisateur et de groupe, et Utilitaire d’annuaire pour associer les ordinateurs du SAN à ce répertoire. Pour plus d’informations, consultez l’ensemble de documents relatifs à Mac OS X Server.84 Chapitre 5 Gestion des clients et des utilisateurs Ajout d’utilisateurs du SAN Seuls les utilisateurs figurant dans le répertoire du SAN peuvent ouvrir une session sur un ordinateur client et accéder aux volumes Xsan. Vous pouvez utiliser Xsan Admin pour ajouter des utilisateurs à votre réseau SAN. Remarque : ces instructions s’appliquent uniquement si, lors de la configuration initiale du SAN, vous avez choisi d’utiliser Xsan Admin pour gérer les utilisateurs et les groupes. Si vous disposez d’une autre configuration de répertoire, utilisez le logiciel de gestion de votre répertoire pour ajouter des comptes utilisateurs. Pour ajouter un utilisateur : 1 Dans Xsan Admin, sélectionnez Utilisateurs et groupes dans la liste Ressources SAN. Les utilisateurs et les groupes ne sont affichés que si vous avez choisi lors de la configuration initiale de confier à Xsan la tâche de gérer les utilisateurs et les groupes. 2 Cliquez sur le bouton Utilisateurs situé au-dessus de la liste des utilisateurs et des groupes. 3 Cliquez sur le bouton Ajouter (+). 4 Saisissez un nom et un mot de passe d’utilisateur puis cliquez sur OK. Bouton Ajouter Sélectionnez cet élément pour voir les utilisateurs actuels du SAN.Chapitre 5 Gestion des clients et des utilisateurs 85 Suppression d’utilisateurs du SAN Seuls les utilisateurs figurant dans le répertoire du SAN peuvent ouvrir une session sur un ordinateur client et accéder aux volumes Xsan. Vous pouvez utiliser Xsan Admin pour supprimer des utilisateurs du répertoire de votre SAN. Remarque : ces instructions s’appliquent uniquement si, lors de la configuration initiale du SAN, vous avez choisi d’utiliser Xsan Admin pour gérer les utilisateurs et les groupes. Si vous disposez d’une autre configuration de répertoire, utilisez le logiciel de gestion de votre répertoire pour supprimer des comptes utilisateurs. Pour supprimer un utilisateur : 1 Dans Xsan Admin, sélectionnez Utilisateurs et groupes dans la liste Ressources SAN. 2 Sélectionnez l’utilisateur dans la liste et choisissez « Supprimer l’utilisateur ou le groupe » dans le menu local Action (engrenage). Création de groupes Vous pouvez créer des groupes d’utilisateurs afin de simplifier la gestion des utilisateurs. Si vous décidez de confier à Xsan la tâche de gérer vos utilisateurs et vos groupes, vous disposez déjà d’un groupe, nommé Groupe de travail (Workgroup), qui contient l’ensemble de vos utilisateurs. Remarque : ces instructions s’appliquent uniquement si, lors de la configuration initiale du SAN, vous avez choisi d’utiliser Xsan Admin pour gérer les utilisateurs et les groupes. Si vous disposez d’une autre configuration de répertoire, utilisez le logiciel de gestion de votre répertoire pour ajouter des comptes de groupe. Pour ajouter un groupe : 1 Dans Xsan Admin, sélectionnez Utilisateurs et groupes dans la liste Ressources SAN. 2 Cliquez sur le bouton de filtre Groupes situé au-dessus de la liste des utilisateurs et des groupes. 3 Cliquez sur le bouton Ajouter (+). 4 Saisissez un nom et un mot de passe de groupe. 5 Cochez la case en regard des utilisateurs qui appartiennent au groupe. 6 Cliquez sur OK.86 Chapitre 5 Gestion des clients et des utilisateurs Suppression de groupes Vous pouvez utiliser Xsan Admin pour supprimer un groupe. Remarque : ces instructions s’appliquent uniquement si, lors de la configuration initiale du SAN, vous avez choisi d’utiliser Xsan Admin pour gérer les utilisateurs et les groupes. Si vous disposez d’une autre configuration de répertoire, utilisez le logiciel de gestion de votre répertoire pour supprimer des comptes de groupe. Pour supprimer un groupe : 1 Dans Xsan Admin, sélectionnez Utilisateurs et groupes dans la liste Ressources SAN. 2 Sélectionnez le groupe dans la liste et choisissez « Supprimer l’utilisateur ou le groupe » dans le menu local Action (engrenage). Modification des membres d’un groupe Vous pouvez utiliser Xsan Admin pour modifier les membres d’un groupe à tout moment. Remarque : ces instructions s’appliquent uniquement si, lors de la configuration initiale du SAN, vous avez choisi d’utiliser Xsan Admin pour gérer les utilisateurs et les groupes. Si vous disposez d’une autre configuration de répertoire, utilisez le logiciel de gestion de votre répertoire pour modifier les membres d’un groupe. Pour modifier les membres d’un groupe : 1 Dans Xsan Admin, sélectionnez Utilisateurs et groupes dans la liste Ressources SAN. 2 Sélectionnez le groupe dans la liste, puis cliquez sur le bouton Édition dans le coin inférieur droit de la fenêtre. 3 Cochez la case située en regard d’un utilisateur pour ajouter cet utilisateur ou groupe. Décochez la case pour supprimer cet utilisateur. 4 Cliquez sur OK.Chapitre 5 Gestion des clients et des utilisateurs 87 Contrôle de l’accès client et utilisateur Pour contrôler l’accès aux informations conservées dans les volumes du SAN, vous pouvez :  utiliser la fenêtre Lire les informations dans le Finder pour appliquer des options de contrôle d’accès de base à un fichier ou un dossier ;  utiliser Xsan Admin ou l’application Admin Serveur de Mac OS X Server pour appliquer un ensemble complet de restrictions par liste de contrôle d’accès ;  démonter un volume SAN monté sur des ordinateurs clients spécifiques (contrôle au niveau du volume) ;  limiter un ordinateur client à n’accéder à un volume qu’en lecture seule (contrôle au niveau du volume) ;  supprimer un client d’un SAN (contrôle au niveau du SAN). Utilisation du Finder pour contrôler l’accès aux fichiers et aux dossiers Pour limiter l’accès à un fichier ou à un dossier sur un volume Xsan, vous pouvez utiliser la fenêtre Lire les informations dans le Finder. Pour attribuer des autorisations à l’aide du Finder : m Dans une fenêtre du Finder, sélectionnez le fichier ou le dossier concerné, choisissez Fichier > Lire les informations, puis ouvrez la section Partage et permissions. Utilisation d’Xsan Admin pour contrôler l’accès aux fichiers et aux dossiers Pour limiter l’accès d’un utilisateur à des éléments particuliers sur un volume SAN, vous pouvez utiliser Xsan Admin pour adapter les autorisations au moyen de listes de contrôle d’accès (ACL). Pour attribuer des autorisations à l’aide d’Xsan Admin : 1 Assurez-vous que les listes de contrôle d’accès sont activées sur le volume. Pour obtenir de l’aide, consultez la « Activation ou désactivation des listes de contrôle d’accès » à la page 69. 2 Dans Xsan Admin, sélectionnez Gestion des fichiers dans la liste Ressources SAN. 3 Sélectionnez le fichier ou le dossier à protéger, puis choisissez Définir les autorisations dans le menu local Action (engrenage).88 Chapitre 5 Gestion des clients et des utilisateurs Démontage d’un volume sur un client Pour empêcher un client d’accéder à un volume, vous pouvez démonter le volume monté sur ce client. Les clients ne peuvent pas monter eux-mêmes des volumes SAN ; seul un administrateur est habilité à monter un volume SAN sur un client. Remarque : un utilisateur peut démonter temporairement un volume SAN d’un ordinateur client en l’éjectant dans le Finder comme n’importe quel autre volume monté. Le volume est toutefois automatiquement remonté après quelques instants. Pour vous assurer qu’un volume reste démonté, utilisez Xsan Admin pour le démonter. Pour démonter un volume : 1 Dans Xsan Admin, sélectionnez Points de montages dans la liste Ressources SAN. 2 Choisissez le volume dans le menu local Volume. 3 Sélectionnez le client dans la liste et cliquez sur le bouton Démonter. Pour sélectionner plusieurs clients à démonter, maintenez la touche Commande ou Maj enfoncée tout en sélectionnant des clients dans la liste. Sélectionnez cet élément pour voir les ordinateurs sur lesquels le volume est actuellement monté. Bouton Démonter Sélectionnez le volumeChapitre 5 Gestion des clients et des utilisateurs 89 Restriction d’un client à l’accès en lecture seule Pour empêcher l’utilisateur d’un ordinateur client de modifier des données sur un volume SAN, vous pouvez monter le volume en lecture seule sur le client. Pour monter un volume en lecture seule : 1 Dans Xsan Admin, sélectionnez Points de montages dans la liste Ressources SAN. 2 Choisissez le volume dans le menu local Volume. 3 Sélectionnez le client. 4 Choisissez « Monter en lecture seule » dans le menu local Action (engrenage). Si le volume est déjà monté sur le client, Xsan Admin le démonte puis le remonte avec un accès en lecture seule. Sélectionnez le volume Sélectionnez cet élément pour voir les ordinateurs sur lesquels le volume n’est pas monté. Menu Action90 Chapitre 5 Gestion des clients et des utilisateurs Suppression d’un client du réseau SAN Vous pouvez supprimer un ordinateur client d’un SAN pour l’empêcher d’accéder aux volumes du SAN. Pour supprimer un client d’un SAN : 1 Dans Xsan Admin, sélectionnez Ordinateurs dans la liste Ressources SAN, sélectionnez le client, puis choisissez « Supprimer l’ordinateur du SAN » dans le menu local Action (engrenage). Si des volumes SAN sont montés sur le client, Xsan Admin les démonte automatiquement. 2 Pour supprimer le logiciel Xsan de l’ordinateur, insérez le disque d’installation d’Xsan dans l’ordinateur client puis double-cliquez sur Uninstall Xsan.pkg. 3 Pour empêcher toute connexion éventuelle au réseau SAN, déconnectez physiquement l’ordinateur client des réseaux Ethernet et Fibre Channel du SAN. Sélectionnez cet élément pour voir les ordinateurs du SAN. Menu ActionChapitre 5 Gestion des clients et des utilisateurs 91 Mappage des identifiants d’utilisateur et de groupe Windows Vous pouvez utiliser le réglage de mappage d’identifiant de Windows d’un volume pour indiquer de quelle manière les clients Windows associent les informations d’utilisateur et de groupe aux identifiants d’utilisateur (UID) et de groupe (GID) compatibles avec Xsan dont ils ont besoin pour pouvoir accéder aux volumes Xsan. Remarque : pour pouvoir utiliser le mappage d’identifiant, les clients Windows doivent exécuter StorNext 2.7. Les contrôleurs et clients Xsan doivent exécuter Xsan 1.4.2 ou ultérieur. Les clients Windows peuvent utiliser une de ces méthodes pour fournir des UID et GID :  Générer des id. à partir de GUID : les clients Windows génèrent des UID et des GID de manière dynamique en fonction des informations GUID (Globally Unique Identifier) figurant dans un domaine Active Directory. Choisissez cette méthode pour les ordinateurs Macintosh du réseau SAN qui sont associés (connectés) à Active Directory avec les options d’association définies de manière à générer automatiquement des identifiants.  Utiliser les id. de LDAP (RFC 2307) : les clients Windows obtiennent les valeurs d’UID et de GID des attributs uidNumber et gidNumber figurant sur les fiches Active Directory. Choisissez cette méthode pour les ordinateurs Macintosh du réseau SAN qui sont associés à Active Directory avec les options d’association définies de manière à mapper les identifiants avec uidNumber et gidNumber. Les options d’association d’Active Directory sont définies à l’aide de l’Utilitaire d’annuaire dans Mac OS X 10.5 Leopard ou de Format de répertoire dans Mac OS X 10.4 Tiger. Ces applications se trouvent dans /Applications/Utilitaires. Important : pour éviter les conflits d’identifiant, veillez à ce que tous les ordinateurs du réseau SAN utilisent le même domaine Active Directory et la même méthode de mappage d’identifiant. Pour sélectionner une méthode de mappage d’identifiant Windows : 1 Dans Xsan Admin, sélectionnez Volumes dans la liste Ressources SAN, puis choisissez « Modifier les paramètres du volume » dans le menu local Action (engrenage). 2 Choisissez une méthode de mappage dans le menu local de mappage d’identifiant Windows. Si vous choisissez « Utilisation d’identifiants provenant de LDAP (RFC 2307) », vous pouvez modifier les numéros utilisés lorsqu’une fiche de répertoire n’inclut pas d’attribut uidNumber ou gidNumber. 3 Cliquez sur OK. Xsan Admin démonte automatiquement le volume de tous les clients et contrôleurs et arrête le volume avant de modifier la méthode de mappage de l’identifiant Windows, puis démarre le volume et le monte sur chaque ordinateur sur lequel il était monté.92 Chapitre 5 Gestion des clients et des utilisateurs Définition de quotas de groupe et d’utilisateur du SAN Vous pouvez utiliser Xsan Admin pour définir des quotas destinés à gérer l’espace de stockage disponible pour un utilisateur ou un groupe. Pour définir un quota de stockage pour un utilisateur ou un groupe : 1 Dans Xsan Admin, sélectionnez Utilisateurs et groupes dans la liste Ressources SAN. Si vous n’utilisez pas Xsan Admin pour gérer les utilisateurs et les groupes, vous verrez apparaître Quotas plutôt qu’Utilisateurs et groupes dans la liste Ressources SAN. 2 Choisissez un volume dans le menu local Volume. 3 Sélectionnez un utilisateur ou un groupe dans la liste. Pour sélectionner plusieurs utilisateurs ou groupes, maintenez la touche Commande ou Maj enfoncée tout en sélectionnant les clients ou les groupes dans la liste. Pour ajouter un utilisateur ou un groupe, cliquez sur le bouton Utilisateurs ou sur le bouton Groupes au-dessus de la liste, puis cliquez sur le bouton Ajouter (+). 4 Cliquez sur le bouton Édition. 5 Saisissez un quota rigide, un quota souple et un délai de grâce, puis cliquez sur OK.Chapitre 5 Gestion des clients et des utilisateurs 93 Si vos ordinateurs Xsan se connectent à un autre Mac OS X Server pour les comptes utilisateurs et de groupe, utilisez Gestionnaire de groupe de travail ou les Préférences serveur pour créer des utilisateurs et des groupes selon vos besoins. Si des utilisateurs et des groupes existants ne figurent pas dans la liste lorsque vous cliquez sur le bouton Ajouter, ouvrez l’Utilitaire d’annuaire (dans /Applications/Utilitaires/) sur votre ordinateur et assurez-vous qu’il est connecté au bon serveur pour l’authentification. Tous les ordinateurs du SAN doivent utiliser le même service d’annuaire À partir de la ligne de commande Vous pouvez également définir des quotas d’utilisateur à l’aide de la commande cvadmin quotas set dans Terminal. Pour en savoir plus, consultez la page man de cvadmin ou la rubrique « Affichage ou modification des réglages d’un volume et d’une réserve de stockage (cvadmin) » à la page 130. À propos des quotas d’Xsan Xsan applique deux quotas d’espace disque pour chaque utilisateur ou groupe concerné par ce type de restriction : un quota souple et un quota rigide. Vous pouvez combiner ces quotas afin de fixer des limites claires à la quantité d’espace de stockage qu’un utilisateur ou un groupe peut utiliser, tout en permettant un accès temporaire à un espace supplé- mentaire pour les besoins de stockage inattendus. Vous devez spécifier individuellement les quotas de chaque volume sur un réseau SAN. Un utilisateur pour lequel aucun quota n’a été défini peut utiliser la totalité de l’espace disponible sur un volume. Quota souple Le quota souple représente l’espace maximum qu’un utilisateur ou un groupe est censé utiliser de manière régulière. Il est appelé « souple » car il est possible de le dépasser par une quantité permettant d’atteindre au maximum le quota rigide et ce, pendant une durée équivalente à la période de grâce que vous avez spécifiée. Quota rigide Le quota rigide représente la quantité d’espace absolue qu’un utilisateur ou un groupe peut occuper. Il est interdit aux utilisateurs d’utiliser un espace supérieur à la quantité spécifiée par leur quota rigide. Période de grâce Les utilisateurs ou les groupes peuvent dépasser le quota souple sans pénalité à condition de revenir à leur quota souple pendant la période de grâce spécifiée. Transformation des quotas souples en quotas rigides Si un utilisateur ou un groupe dépasse le quota souple au-delà du délai de grâce, ce quota est alors transformé en quota rigide. L’utilisateur ou le groupe ne pourra pas enregistrer de données supplémentaires sur le volume tant que l’utilisateur ou les membres du groupe n’auront pas supprimé assez d’anciens fichiers pour ramener leur utilisation en dessous du quota souple.94 Chapitre 5 Gestion des clients et des utilisateurs Exemple Supposons que vous affectiez un quota souple de 75 Go, un quota rigide de 100 Go et une période de grâce de 48 heures à l’utilisateur Jean. Les fichiers de Jean peuvent à tout moment occuper jusqu’à 75 Go, aussi longtemps que cela est nécessaire. Si Jean est pris de court par l’arrivée de fichiers supplémentaires inattendus ou exceptionnellement volumineux, il peut toujours les copier sur le volume, jusqu’à atteindre un total de 100 Go. Il aura alors 48 heures pour supprimer des fichiers afin de revenir sous la limite souple de 75 Go. Si après 48 heures Jean utilise toujours plus de 75 Go, Xsan réinitialisera son quota rigide à 75 Go et le forcera à réduire l’espace utilisé. Jean ne pourra plus copier ou enregistrer des fichiers supplémentaires sur le volume tant qu’il n’aura pas supprimé suffisamment de fichiers pour revenir sous le quota de 75 Go. Définissez des utilisateurs SAN de manière cohérente pour avoir des quotas précis Pour garantir la précision des informations de quota d’utilisateur Xsan, assurez-vous que les noms d’utilisateur et les identifiants coïncident sur tous les ordinateurs du réseau SAN. Pour plus d’informations, consultez la rubrique « Configurer les utilisateurs et groupes SAN » à la page 48. Consultation de l’état du quota d’utilisateur Vous pouvez utiliser Xsan Admin pour vérifier les quotas du système de fichiers, afin de voir quelle est la part d’espace alloué utilisée par les utilisateurs et les groupes. Quota souple (ligne verticale) Quota rigideChapitre 5 Gestion des clients et des utilisateurs 95 Pour afficher l’état du quota : m Dans Xsan Admin, sélectionnez « Utilisateurs et groupes » ou Quotas dans la liste Ressources SAN. (Utilisateurs et groupes n’est affiché que si vous avez choisi de confier à Xsan Admin la tâche de gérer les utilisateurs et les groupes. Sinon, c’est Quotas qui est affiché.) Pour être sûr de consulter les informations les plus récentes, cliquez sur Rafraîchir, en haut de la fenêtre. Xsan Admin affiche les informations suivantes pour chaque utilisateur ou groupe :  Utilisé : quantité d’espace occupé par les fichiers de l’utilisateur.  Quota : quotas souples et rigides. Par exemple, « 75 Mo – 100 Mo » indique un quota souple de 75 Mo et un quota rigide de 100 Mo.  État du quota : la barre d’état représente l’allocation totale, de zéro sur la gauche jusqu’au quota rigide sur la droite. La petite ligne verticale à l’intérieur de la barre indique le quota souple. La portion en couleur de la barre montre la quantité d’espace que l’utilisateur ou le groupe utilise actuellement. La couleur verte indique que l’utilisateur ou le groupe se situe en dessous du quota souple. Le jaune indique un dépassement du quota souple, mais pendant une durée qui respecte les limites fixées par la période de grâce. Le rouge indique que l’utilisateur a atteint son quota rigide, probablement parce que le quota souple a été dépassé au-delà du délai de grâce et a été transformé en quota rigide. Vous pouvez configurer Xsan afin qu’il vous avertisse par courrier électronique ou par message de texte dès qu’un utilisateur ou un groupe dépasse un pourcentage spécifique du quota. Consultez la rubrique « Configuration des notifications d’état » à la page 112. Pour en savoir plus sur les quotas et la manière de les définir, consultez la rubrique « Définition de quotas de groupe et d’utilisateur du SAN » à la page 92. À partir de la ligne de commande Vous pouvez également vérifier les quotas d’utilisateur à l’aide de la commande cvadmin quotas get dans Terminal. Pour en savoir plus, consultez la page man de cvadmin ou la rubrique « Affichage ou modification des réglages d’un volume et d’une réserve de stockage (cvadmin) » à la page 130.96 Chapitre 5 Gestion des clients et des utilisateurs Aider les clients à contrôler leurs quotas Les utilisateurs SAN qui travaillent sur des ordinateurs clients, mais qui n’ont pas accès à Xsan Admin peuvent utiliser l’application Quotas d’utilisateur Xsan pour vérifier leurs propres quotas. Pour contrôler votre quota à partir d’un ordinateur client : m Ouvrez l’application Quotas d’utilisateur Xsan (dans /Applications/Server/). Création de dossiers de départ locaux pour des comptes réseau L’utilisation d’un répertoire centralisé simplifie la gestion des comptes d’utilisateur pour les ordinateurs clients associés au SAN. Cependant, certaines applications, telles que Final Cut Pro, fonctionnent de manière optimale lorsqu’un utilisateur possède un dossier de départ local sur le client qu’il utilise. Les comptes utilisateurs que vous gérez avec Xsan Admin sont automatiquement configurés avec des dossiers de départ locaux. Si les utilisateurs de votre réseau SAN disposent de comptes sur un autre système de répertoire et possèdent des dossiers de départ réseau, vous pouvez configurer des dossiers de départ locaux pour eux. Pour créer un dossier de départ local pour un compte d’utilisateur de réseau : 1 Ouvrez Gestionnaire de groupe de travail et authentifiez-vous auprès du maître Open Directory de votre réseau SAN. 2 Cliquez sur l’onglet Utilisateurs, sélectionnez un utilisateur, puis cliquez sur Départ. 3 Si /Utilisateurs apparaît dans la liste des emplacements de départ, sélectionnez cet élément puis cliquez sur Enregistrer. Si /Utilisateurs ne figure pas dans la liste, cliquez sur le bouton Ajouter (+). Saisissez ensuite les informations suivantes dans le champ Chemin complet (en remplaçant nomabrégé par le nom abrégé de l’utilisateur) : /Utilisateurs/nomabrégé Laissez tous les autres champs vides, cliquez sur OK puis sur Enregistrer. Le dossier de départ de l’utilisateur est créé sur le client lors de la première ouverture de session.Chapitre 5 Gestion des clients et des utilisateurs 97 Accès à des ordinateurs clients à distance Xsan Admin peut vous aider à vous connecter à un ordinateur client Xsan pour vous permettre de l’observer ou de le contrôler via le réseau. À l’aide d’Xsan Admin, vous pouvez :  Démarrer une session de partage d’écran afin d’observer ou de contrôler un autre ordinateur.  Ouvrir Terminal pour pouvoir ouvrir une session via SSH et contrôler un autre ordinateur.  Vous connecter à un autre serveur du réseau et le gérer à l’aide d’Admin Serveur. Menu Action98 Chapitre 5 Gestion des clients et des utilisateurs Contrôle d’un client à l’aide de la fonction de partage d’écran Vous pouvez utiliser la fonction de partage d’écran de Mac OS X 10.5 Leopard pour afficher et contrôler l’écran d’un client du SAN sur le réseau. Xsan Admin peut démarrer une session de partage d’écran avec le client. Pour se connecter à un client à l’aide de la fonction de partage d’écran de Leopard : 1 Dans Xsan Admin, sélectionnez Ordinateurs dans la liste Ressources SAN. 2 Sélectionnez le client que vous souhaitez observer ou contrôler. 3 Choisissez « Se connecter via partage d’écran » dans le menu local Action (engrenage). Si vous rencontrez des difficultés pour partager l’écran d’un ordinateur distant, consultez la sous-fenêtre Partage des Préférences Système sur l’ordinateur distant et assurezvous que le service Gestion à distance est activé. Si vous avez du mal à démarrer une session de partage d’écran avec un client Xsan, ouvrez la sous-fenêtre des préférences Sécurité sur le client, cliquez sur Coupe-feu, puis assurez-vous que l’option de blocage de toutes les connexions entrantes n’est pas sélectionnée. Connexion à un client via SSH dans Terminal Vous pouvez utiliser l’outil Secure Shell (SSH) de la ligne de commande pour ouvrir une session sur un client du SAN sur le réseau. Xsan Admin peut démarrer une session SSH avec le client ou le contrôleur. Pour se connecter à un client via SSH : 1 Dans Xsan Admin, sélectionnez Ordinateurs dans la liste Ressources SAN. 2 Sélectionnez le client auquel vous souhaitez vous connecter. 3 Choisissez « Connexion via SSH » dans le menu local Action (engrenage). Si vous rencontrez des difficultés pour établir une connexion SSH, consultez la sousfenêtre Partage des Préférences Système sur l’ordinateur distant et assurez-vous que le service Session à distance est activé. Si vous avez du mal à établir une connexion SSH avec un client Xsan, ouvrez la sous-fenêtre des préférences Sécurité sur le client, cliquez sur Coupe-feu, puis assurez-vous que l’option de blocage de toutes les connexions entrantes n’est pas sélectionnée. Gestion d’un serveur client à l’aide d’Admin Serveur Vous pouvez gérer à distance Mac OS X Server sur un client en utilisant l’application Admin Serveur. Xsan Admin peut ouvrir une connexion Admin Serveur sur un serveur client distant. Pour se connecter à un contrôleur ou à un serveur client à l’aide d’Admin Serveur : 1 Dans Xsan Admin, sélectionnez Ordinateurs dans la liste Ressources SAN. 2 Sélectionnez le client auquel vous souhaitez vous connecter. 3 Choisissez « Se connecter à l’aide d’Admin Serveur » dans le menu local Action (engrenage).6 99 6 Gestion des contrôleurs de métadonnées Pour augmenter la redondance et la sécurité du SAN, vous pouvez ajouter, remplacer et surveiller les contrôleurs de métadonnées Xsan. Chaque volume SAN que vous configurez est géré par un contrôleur de métadonnées. Afin de garantir la disponibilité du volume pour les clients, même si le contrôleur de métadonnées principal ne répond plus, vous pouvez configurer des contrôleurs de réserve afin que l’un d’entre eux prenne le relais en cas de défaillance du contrôleur principal. Ce chapitre vous explique comment ajouter des contrôleurs de métadonnées, définir leurs priorités de basculement et forcer le basculement des volumes du contrôleur principal vers un contrôleur de réserve.100 Chapitre 6 Gestion des contrôleurs de métadonnées Ajout d’un contrôleur de métadonnées Vous pouvez ajouter un ou plusieurs contrôleurs de métadonnées à un SAN, afin que les volumes soient toujours disponibles en cas de défaillance du contrôleur principal. Tout ordinateur configuré pour agir comme contrôleur de métadonnées peut également fonctionner comme client. Vous pouvez donc utiliser un client existant si vous ne souhaitez pas consacrer un ordinateur au rôle exclusif de contrôleur de réserve. Pour ajouter un contrôleur de métadonnées : 1 Connectez le nouvel ordinateur contrôleur aux réseaux Fibre Channel et Ethernet du SAN, puis installez le logiciel Xsan. 2 Ouvrez Xsan Admin, sélectionnez Ordinateurs dans la liste Ressources SAN, puis cliquez sur le bouton Ajouter (+). 3 Lorsque l’assistant s’ouvre, sélectionnez le nouvel ordinateur contrôleur dans la liste d’ordinateurs puis cliquez sur Continuer. Si l’ordinateur n’apparaît pas dans la liste, cliquez sur « Ajouter un ordinateur distant » et ajoutez-le. 4 Dans la sous-fenêtre Authentifier les clients, tapez les nom et mot de passe d’administrateur de l’ordinateur. 5 Dans la sous-fenêtre « Choisissez les contrôleurs de métadonnées », cochez la case en regard de l’ordinateur dans la liste, puis cliquez sur Continuer. Sélectionnez cet élément pour voir les ordinateurs du SAN. Cliquez pour ajouter un nouvel ordinateur.Chapitre 6 Gestion des contrôleurs de métadonnées 101 Réglage de la priorité de basculement des contrôleurs En cas de défaillance du contrôleur de métadonnées principal d’un volume, Xsan utilise les priorités de basculement des contrôleurs de réserves disponibles pour choisir le contrôleur sur lequel basculer. Pour définir la priorité de basculement d’un contrôleur de métadonnées : 1 Ouvrez Xsan Admin, sélectionnez Volumes dans la liste Ressources SAN, puis choisissez « Modifier la priorité de basculement » dans le menu local Action (engrenage). 2 Faites glisser les contrôleurs de métadonnées vers le haut ou vers le bas dans la liste affichée. Plus un contrôleur est proche de la tête de liste, plus il est probable qu’il sera amené à héberger le volume. 3 Cliquez sur OK. Passage à un contrôleur de réserve Vous pouvez utiliser Xsan Admin pour forcer un contrôleur de métadonnées actif à céder le contrôle d’un volume à un contrôleur de réserve. Pour attribuer le contrôle d’un volume à un contrôleur de métadonnées de réserve : 1 Ouvrez Xsan Admin et sélectionnez Volumes dans la liste Ressources SAN. 2 Sélectionnez le volume dans la liste et choisissez « Forcer le basculement » dans le menu local Action (engrenage). À partir de la ligne de commande Vous pouvez également attribuer le contrôle d’un volume à un contrôleur de métadonnées de réserve à l’aide de la commande cvadmin fail dans Terminal. Pour en savoir plus, consultez la page man de cvadmin ou la rubrique « Affichage ou modification des réglages d’un volume et d’une réserve de stockage (cvadmin) » à la page 130.102 Chapitre 6 Gestion des contrôleurs de métadonnées Recherche du contrôleur qui héberge un volume Le contrôle d’un volume peut passer d’un contrôleur de métadonnées à un autre après un basculement de contrôleur. Vous pouvez utiliser Xsan Admin pour identifier le contrôleur qui héberge actuellement un volume particulier. Pour afficher le contrôleur d’un volume : m Dans Xsan Admin, sélectionnez Volumes dans la liste Ressources SAN et consultez la colonne Hébergé par. À partir de la ligne de commande Vous pouvez également identifier le contrôleur qui héberge un volume à l’aide de la commande cvadmin dans Terminal. Ouvrez Terminal sur le contrôleur et tapez : $ sudo cvadmin -e select Pour en savoir plus, consultez la page man de cvadmin ou la rubrique « Affichage ou modification des réglages d’un volume et d’une réserve de stockage (cvadmin) » à la page 130. Le contrôleur hébergeant le volumeChapitre 6 Gestion des contrôleurs de métadonnées 103 Affichage de la liste des volumes hébergés par un contrôleur Xsan Admin ou la commande cvadmin peuvent être utilisés pour identifier les volumes du SAN qui sont hébergés par un contrôleur de métadonnées particulier. Pour afficher la liste des volumes hébergés : m Dans Xsan Admin, sélectionnez Volumes dans la liste Ressources SAN, puis cliquez sur le titre de la colonne « Hébergé par » pour trier la liste en fonction des contrôleurs. À partir de la ligne de commande Vous pouvez également savoir quels volumes sont hébergés par un contrôleur à l’aide de la commande cvadmin select dans Terminal. Pour en savoir plus, consultez la page man de cvadmin ou la rubrique « Affichage ou modification des réglages d’un volume et d’une réserve de stockage (cvadmin) » à la page 130. Changement de l’adresse IP d’un contrôleur Suivez ces instructions pour changer l’adresse IP d’un contrôleur de métadonnées Xsan. Pour changer l’adresse IP d’un contrôleur de métadonnées : 1 Assurez-vous que votre contrôleur de réserve est prêt. Pour vérifier l’état du contrôleur de réserve, ouvrez Xsan Admin et sélectionnez Ordinateurs dans la liste Ressources SAN. 2 Dans la sous-fenêtre Ordinateurs d’Xsan Admin, sélectionnez le contrôleur, puis choisissez « Supprimer l’ordinateur du SAN » dans le menu local Action (engrenage). 3 Changez l’adresse IP de l’ordinateur dans la sous-fenêtre Réseau des Préférences Système. 4 Redémarrez l’ordinateur. 5 Ajoutez à nouveau l’ordinateur au réseau SAN en tant que contrôleur avec sa nouvelle adresse. Dans Xsan Admin, sélectionnez Ordinateurs dans la liste Ressources SAN, puis cliquez sur le bouton Ajouter (+). Si vous souhaitez rendre le contrôle d’un volume actuellement hébergé par le contrô- leur de réserve au contrôleur doté de la nouvelle adresse IP, sélectionnez le volume dans la sous-fenêtre Volumes d’Xsan Admin et choisissez « Forcer le basculement » dans le menu Action (engrenage). Vous pouvez également forcer le changement à partir de la ligne de commande en tapant : $ sudo cvadmin -e "fail volume" où volume correspond au nom du volume Xsan. AVERTISSEMENT : pour éviter de perdre toutes les données des volumes hébergés par le contrôleur de métadonnées, vous devez disposer d’un contrôleur de réserve.104 Chapitre 6 Gestion des contrôleurs de métadonnées Accès à distance à des ordinateurs contrôleurs Xsan Admin peut vous aider à vous connecter à un contrôleur Xsan pour vous permettre de l’observer ou de le contrôler via le réseau. À l’aide d’Xsan Admin, vous pouvez :  Démarrer une session de partage d’écran afin d’observer ou de contrôler un autre ordinateur.  Ouvrir Terminal pour pouvoir ouvrir une session via SSH et contrôler un autre ordinateur.  Vous connecter à un autre contrôleur ou client du réseau et le gérer à l’aide d’Admin Serveur.Chapitre 6 Gestion des contrôleurs de métadonnées 105 Contrôle d’un contrôleur à l’aide du partage d’écran Vous pouvez utiliser la fonction de partage d’écran de Mac OS X 10.5 Leopard pour afficher et contrôler l’écran d’un contrôleur SAN sur le réseau. Pour se connecter à un contrôleur à l’aide de la fonction de partage d’écran de Leopard : 1 Dans Xsan Admin, sélectionnez Ordinateurs dans la liste Ressources SAN. 2 Sélectionnez le contrôleur que vous souhaitez observer ou contrôler. 3 Choisissez « Se connecter via partage d’écran » dans le menu local Action (engrenage). Si vous rencontrez des difficultés pour partager l’écran d’un ordinateur distant, consultez la sous-fenêtre Partage des Préférences Système sur l’ordinateur distant et assurez-vous que le service Gestion à distance est activé. Si l’ordinateur exécute Mac OS X Server 10.5 Leopard, assurez-vous que la gestion à distance est activée dans la sous-fenêtre des réglages généraux d’Admin Serveur. Connexion à un contrôleur via SSH dans Terminal Vous pouvez utiliser l’outil Secure Shell (SSH) de la ligne de commande pour ouvrir une session sur un contrôleur SAN sur le réseau. Pour se connecter à un contrôleur via SSH : 1 Dans Xsan Admin, sélectionnez Ordinateurs dans la liste Ressources SAN. 2 Sélectionnez le contrôleur auquel vous souhaitez vous connecter. 3 Choisissez « Connexion via SSH » dans le menu local Action (engrenage). Si vous rencontrez des difficultés pour établir une connexion SSH, consultez la sous-fenê- tre Partage des Préférences Système sur l’ordinateur distant et assurez-vous que le service Session à distance est activé. Si l’ordinateur exécute Mac OS X Server 10.5 Leopard, assurez-vous que l’ouverture de session à distance est activée dans la sous-fenêtre des réglages généraux d’Admin Serveur.106 Chapitre 6 Gestion des contrôleurs de métadonnées Gestion d’un contrôleur à l’aide d’Admin Serveur Vous pouvez gérer à distance Mac OS X Server sur un contrôleur en utilisant l’application Admin Serveur. Xsan Admin peut ouvrir une connexion Admin Serveur à un contrôleur distant ou un serveur client exécutant une configuration avancée de Mac OS X Server. Pour se connecter à un contrôleur ou à un serveur client à l’aide d’Admin Serveur : 1 Dans Xsan Admin, sélectionnez Ordinateurs dans la liste Ressources SAN. 2 Sélectionnez le contrôleur auquel vous souhaitez vous connecter. 3 Choisissez « Se connecter à l’aide d’Admin Serveur » dans le menu local Action (engrenage). Contrôle de l’état d’un contrôleur Pour obtenir des informations sur la vérification ou la signalisation des états d’un contrôleur, lisez les rubriques suivantes :  « Représentation graphique de l’usage des ressources SAN » à la page 111  « Configuration des notifications d’état » à la page 112  « Affichage des historiques d’Xsan » à la page 1137 107 7 Surveillance de l’état SAN Vous pouvez utiliser Xsan Admin et les outils de ligne de commande associés pour vérifier l’état d’un SAN et de ses composants. Ce chapitre vous explique comment vérifier l’état d’un SAN et de ses volumes et comment configurer des notifications automatiques destinées à vous avertir de toute modification apportée au SAN. Contrôle de l’état du SAN Vous pouvez utiliser Xsan Admin pour vérifier l’état et les informations de configuration du SAN et de ses composants.108 Chapitre 7 Surveillance de l’état SAN Pour visualiser l’état et les informations de configuration d’un composant : m Ouvrez Xsan Admin, cliquez sur le bouton Inspecteur en haut de la fenêtre, puis sélectionnez le composant qui vous intéresse dans la liste Ressources SAN ou la sous-fenê- tre principale de la fenêtre Xsan Admin. Contrôle de l’état des volumes Vous pouvez utiliser Xsan Admin pour vérifier l’état d’un volume. Pour vérifier l’état d’un volume : m Ouvrez Xsan Admin, sélectionnez Volumes dans la liste Ressources SAN, sélectionnez le volume qui vous intéresse, puis cliquez sur le bouton Inspecteur en haut de la fenêtre.Chapitre 7 Surveillance de l’état SAN 109 Vérification de l’espace disponible sur un volume Il existe plusieurs méthodes pour vérifier la quantité d’espace disponible sur un volume SAN. Pour vérifier l’espace disponible sur un volume : m Depuis un client ou un ordinateur contrôleur sur lequel le volume est monté, sélectionnez ce dernier dans une fenêtre du Finder, puis consultez les informations relatives à la taille qui se trouvent en bas de la fenêtre (en mode de présentation par colonnes ou par liste) ou choisissez Fichier > Lire les informations. m Depuis un ordinateur sur lequel le volume n’est pas monté ou un ordinateur qui n’appartient pas au SAN, ouvrez Xsan Admin, sélectionnez le volume dans la liste Ressources SAN, puis cliquez sur le bouton Inspecteur. La taille et l’espace libre rapportés pour un volume Xsan n’incluent pas l’espace des réserves de stockage qui ne contiennent que des données de journalisation et des métadonnées. Seul l’espace des réserves de stockage dans lesquelles les utilisateurs peuvent stocker des fichiers est pris en compte (c’est-à-dire les réserves de stockage définies pour être utilisées pour « N’importe quelle donnée » ou des « Données d’utilisateur uniquement »). Par exemple, si vous créez un volume consistant en quatre réserves de stockage de 120 Go et que vous en configurez une pour les données de journalisation et les métadonnées uniquement, Xsan Admin signale une taille de volume de 360 Go plutôt que de 480 Go. Espace disponible110 Chapitre 7 Surveillance de l’état SAN À partir de la ligne de commande Vous pouvez également vérifier l’espace disponible sur un volume à l’aide de la commande cvadmin stat. Pour en savoir plus, consultez la page man de cvadmin ou la rubrique « Affichage ou modification des réglages d’un volume et d’une réserve de stockage (cvadmin) » à la page 130. Vérification de l’espace disponible dans une réserve de stockage Outre le fait de pouvoir vérifier l’espace libre sur un volume, vous pouvez vérifier l’espace libre sur des réserves de stockage particulières du volume. Pour vérifier l’espace disponible sur une réserve de stockage : m Ouvrez Xsan Admin, sélectionnez Volumes dans la liste Ressources SAN, sélectionnez la réserve de stockage qui vous intéresse, puis cliquez sur le bouton Inspecteur en haut de la fenêtre. Si les réserves de stockage d’un volume ne s’affichent pas, cliquez sur le triangle d’affichage du volume. À partir de la ligne de commande Vous pouvez également vérifier l’espace disponible dans une réserve de stockage à l’aide de la commande cvadmin show. Pour en savoir plus, consultez la page man de cvadmin ou la rubrique « Affichage ou modification des réglages d’un volume et d’une réserve de stockage (cvadmin) » à la page 130.Chapitre 7 Surveillance de l’état SAN 111 Représentation graphique de l’usage des ressources SAN Xsan Admin peut afficher des graphiques représentant jusqu’à une semaine de données d’usage du processeur, de la mémoire, des réseaux Ethernet et Fibre Channel sur n’importe quel ordinateur du SAN.112 Chapitre 7 Surveillance de l’état SAN Pour afficher les graphiques d’usage : m Dans Xsan Admin, cliquez sur le bouton Graphiques en haut de la fenêtre. Utilisez les trois menus locaux de la fenêtre Graphiques pour choisir un ordinateur, un type de données et un intervalle de temps. Les ressources de la mémoire et du processeur utilisées par le processus de système de fichiers (fsm) pour un volume sont répertoriées sous le nom du volume dans le menu local Graphiques lorsque vous choisissez le contrôleur du volume dans le menu local Ordinateur. À partir de la ligne de commande Vous pouvez aussi exécuter la commande top dans Terminal et observer le processus fsm sur le contrôleur du volume, afin de contrôler l’utilisation actuelle de la mémoire et du processeur par le processus du système de fichiers. Configuration des notifications d’état Vous pouvez configurer Xsan afin qu’il envoie un message par courrier électronique ou par messageur pour vous avertir ou avertir d’autres administrateurs lorsque :  Un contrôleur bascule sur son unité de réserve.  Une défaillance survient sur une connexion Fibre Channel.  L’espace disponible sur un volume descend en dessous d’un pourcentage spécifique.  Un utilisateur ou un groupe dépasse le quota souple désigné.  Un numéro de série arrive presqu’à expiration. Pour envoyer des notifications par courrier électronique en dehors du réseau local, le contrôleur doit accéder à un serveur SMTP. Pour qu’Xsan envoie des notifications d’état : 1 Ouvrez Xsan Admin et sélectionnez Vue d’ensemble dans la liste Ressources SAN. 2 Choisissez « Modifier les réglages de notification » dans le menu local Action (engrenage). 3 Pour ajouter un nouveau contact, cliquez sur le bouton Ajouter (+) et tapez une adresse électronique. 4 Si l’adresse est celle d’un compte qui fera suivre la notification sous la forme d’un message de texte, cochez la case appropriée dans la colonne Msg texte. 5 Sélectionnez les conditions d’envoi de la notification (en regard de « Notifier si »). 6 Tapez un nom d’expéditeur. 7 Tapez l’adresse du serveur de courrier électronique dans le champ Serveur SMTP. 8 Pour envoyer un message de texte à tous les destinataires, cliquez sur « Envoyer un test de notification ». 9 Modifiez les réglages le cas échéant, puis cliquez sur OK.Chapitre 7 Surveillance de l’état SAN 113 Affichage des historiques d’Xsan Vous pouvez utiliser Xsan Admin pour vérifier les messages d’information et de diagnostic qu’Xsan écrit dans le système et l’historique d’un ordinateur. Pour afficher les historiques du SAN : m Dans Xsan Admin, cliquez sur le bouton Historiques en haut de la fenêtre. Dans la fenêtre Historiques qui apparaît, utilisez les menus locaux Ordinateur et Historique pour choisir l’historique que vous souhaitez afficher. Pour n’afficher que les entrées comportant des noms, des heures ou d’autres valeurs spécifiques, tapez les informations à rechercher dans le champ de recherche situé dans le coin inférieur droit de la fenêtre. À partir de la ligne de commande Pour afficher l’historique d’un volume particulier à partir de la ligne de commande, ouvrez le fichier : /Bibliothèque/Filesystems/Xsan/data/volume/log/cvlog114 Chapitre 7 Surveillance de l’état SAN Vérification des clients d’un volume Xsan Admin permet de consulter un récapitulatif des clients qui utilisent un volume. Pour connaître le nombre de clients ayant un volume monté : m Ouvrez Xsan Admin et sélectionnez Volumes dans la liste Ressources SAN. Sélectionnez le volume dans la liste, puis cliquez sur le bouton Inspecteur en haut de la fenêtre. Pour voir quels sont les clients qui utilisent un volume : m Ouvrez Xsan Admin, sélectionnez Points de montage dans la liste Ressources SAN, puis choisissez le volume dans le menu local Volume. À partir de la ligne de commande Vous pouvez également utiliser la commande cvadmin who dans Terminal pour afficher une liste des clients du volume. Pour en savoir plus, consultez la page man de cvadmin ou la rubrique « Affichage ou modification des réglages d’un volume et d’une réserve de stockage (cvadmin) » à la page 130.Chapitre 7 Surveillance de l’état SAN 115 Détection des défaillances de connexion Fibre Channel Les échecs ou erreurs de connexion Fibre Channel sont enregistrés dans l’historique système. Pour afficher l’historique système : m Dans Xsan Admin, cliquez sur le bouton Historiques en haut de la fenêtre. Dans la fenê- tre Historiques qui apparaît, choisissez l’ordinateur dans le menu local Ordinateur, puis sélectionnez Historique système dans le menu local Historique.8 117 8 Résolution des problèmes de réseau SAN Ce chapitre propose des solutions aux problèmes courants que vous pourriez rencontrer lors de l’utilisation d’un réseau SAN. Vous trouverez ici les solutions aux problèmes courants que vous pourriez rencontrer en configurant, en gérant ou en utilisant un réseau SAN Xsan. Si vous ne parvenez pas à vous connecter à un ordinateur à l’aide d’Xsan Admin Si un coupe-feu est placé entre l’ordinateur administrateur et l’ordinateur SAN, assurez-vous que le port TCP 311 est ouvert. Si vous ne parvenez pas à installer le logiciel Xsan Si le programme d’installation signale qu’il est impossible d’installer le logiciel Xsan 2 sur un ordinateur particulier, assurez-vous que Mac OS X 10.5 Leopard ou Mac OS X Server 10.5 Leopard est installé sur cet ordinateur. Si certains ordinateurs ne sont pas répertoriés dans Xsan Admin Si un ordinateur que vous voulez ajouter comme client ou contrôleur de métadonnées au SAN n’est pas répertorié dans Xsan Admin, assurez-vous que :  Vous avez installé le logiciel Xsan sur l’ordinateur.  L’ordinateur est allumé.  L’ordinateur n’est pas en mode de suspension d’activité et que ce mode est réglé sur Jamais (dans la sous-fenêtre Économies d’énergie des Préférences Système).  L’ordinateur se trouve sur les mêmes sous-réseaux TCP/IP que les autres composants SAN. (Si vous utilisez un réseau Ethernet privé et un réseau Ethernet public, tous les composants SAN doivent être connectés à ces deux réseaux.)118 Chapitre 8 Résolution des problèmes de réseau SAN Si vous ne parvenez pas à monter un volume sur un client  Essayez de redémarrer l’ordinateur client, puis faites une nouvelle tentative.  Vérifiez que tous les câbles Fibre Channel sont bien branchés.  Vérifiez qu’il n’y a pas d’autres volumes montés sur le client portant le même nom que le volume Xsan. Si les LUN RAID ne sont pas accessibles via Fibre Channel  Essayez de redémarrer l’ordinateur qui ne voit pas les LUN.  Vérifiez la configuration du commutateur Fibre Channel pour vous assurer que les composants SAN se trouvent dans la même zone Fibre Channel. Si les fichiers et dossiers créés sur des ordinateurs Mac OS 9 indiquent une date de création erronée Un ordinateur exécutant Mac OS 9 peut stocker des fichiers ou des dossiers sur un volume Xsan partagé au moyen du service AFP de Mac OS X Server. Cependant, la date de création rapportée pour ces éléments par la commande Lire les informations du Finder sur l’ordinateur Mac OS 9 est toujours le 4 février 2040. Un ordinateur exécutant Mac OS X rapporte une date de création vide pour les mêmes fichiers et dossiers. Dans les deux cas, la date de création correcte est affichée dans le champ Modifié le. Si vous rencontrez des difficultés pour utiliser les outils de ligne de commande  Si vous obtenez la réponse « Cannot list FSS - reason -Bad file descriptor » (Impossible d’établir la liste FSS - raison -mauvaise description de fichier) en exécutant l’outil cvadmin, assurez-vous que vous disposez de privilèges d’utilisateur root lorsque vous utilisez cet outil. Ouvrez une session en tant qu’utilisateur root ou utilisez la commande sudo pour exécuter l’outil. Par exemple : $ sudo cvadmin Si un LUN ne possède pas autant d’espace que prévu Pour rendre possible l’entrelacement sur plusieurs LUN, Xsan Admin adapte automatiquement la taille des LUN d’une réserve de stockage afin qu’elle soit identique à celle du plus petit LUN de la réserve. Xsan n’utilise pas l’espace supplémentaire des LUN plus grands lorsque vous mélangez des LUN de différentes tailles dans une réserve de stockage.Chapitre 8 Résolution des problèmes de réseau SAN 119 Si vous ne parvenez pas à renommer un volume Xsan dans le Finder Xsan ne permet pas d’utiliser le Finder pour modifier le nom d’un volume Xsan monté. Pour renommer un volume Xsan, réinitialisez-le à l’aide d’Xsan Admin. Pour obtenir des instructions, référez-vous à la rubrique « Modification du nom d’un volume » à la page 70. Si vous ne parvenez pas à ajouter une réserve de stockage Certains noms réservés ne peuvent pas être utilisés comme noms de réserve de stockage. Si vous tapez l’un de ces noms, le bouton OK de la fenêtre de la réserve de stockage est désactivé. Noms de réserve de stockage réservés Affinity InodeExpandInc Rtios AllocationStrategy InodeExpandMax RtiosReserve AttrTokenSize InodeExpandMin Rtmb Brls IoHangLimitSecs RtmbReserve BrlTime Journal RtTokenTimeout BufferCacheSize JournalIcBufNum Sectors BufferPoolSize JournalIcBufSize SectorSize BWMFields JournalSize Static DataMigration Log StaticInodes DataMigrationThreadPoolSize MaxConnections Status Debug MaxLogs Sticky DeviceName MaxLogSize StripeBreadth DirCacheSize MaxMBPerClientReserve StripeClusters DirFDCacheSize Mbufs StripeGroup DirWarp MbufSize ThreadPoolSize Disabled MetaData Type Disk MirrorGroup UnixFabricationOnWindows DiskType MirrorReadMethod UnixNobodyUidOnWindows Enabled MultiPathMethod UnixNobodyGidOnWindows Exclusive Non UnixFileCreationMode … ForcePerfectFit Node UnixDirectoryCreation … ForceStripeAlignment OpHangLimitSecs WindowSecurity FSBlockSize Quotas Write GlobalSuperUser Read Oui120 Chapitre 8 Résolution des problèmes de réseau SAN Si les performances Fibre Channel sont moins bonnes que prévu Des émetteurs-récepteurs optiques inadaptés (convertisseurs GBIC) peuvent provoquer des erreurs de communication Fibre Channel et détériorer les performances du SAN. Pour garantir de bonnes performances, utilisez des émetteurs-récepteurs identiques (du même fabricant et avec le même numéro de modèle) aux deux extrémités de vos câbles Fibre Channel. Si un client ne parvient pas à utiliser un volume après une interruption Fibre Channel Un client qui perd sa connexion Fibre Channel au SAN (en raison d’un câble débranché par exemple) risque de ne plus reconnaître les LUN d’un volume Xsan après le rétablissement de la connexion. Si c’est le cas, redémarrez le client pour remonter le volume. Si les problèmes persistent, redémarrez tous les périphériques du SAN. Redémarrez d’abord les systèmes RAID, les contrôleurs SAN ensuite, puis tous les clients. Pour vérifier si un ordinateur voit les LUN d’un volume Xsan : m Ouvrez Utilitaire de disque sur l’ordinateur et recherchez les LUN dans la liste des disques et des volumes. À partir de la ligne de commande Vous pouvez également vérifier les LUN accessibles à l’aide de la commande cvlabel -l ou de la commande diskutil list dans Terminal. Si vous ne parvenez pas à ajouter des LUN à une réserve de stockage Vous ne pouvez pas ajouter un nouveau LUN à une réserve de stockage existante, sauf si la taille de ce LUN est au moins égale à la taille commune des LUN de la réserve. (La taille commune des LUN correspond à celle du plus petit LUN que vous avez ajouté lors de la création de la réserve.) Vous pouvez ajouter un LUN plus volumineux, mais l’espace au-delà de la taille commune des LUN n’est pas utilisé. InodeCacheSize Regular InodeDeleteMax Rotate Noms de réserve de stockage réservésChapitre 8 Résolution des problèmes de réseau SAN 121 Seules les réserves de stockage utilisables pour les données d’utilisateurs peuvent faire l’objet d’une extension. Vous ne pouvez pas ajouter un LUN à une réserve de stockage existante si cette réserve est exclusivement destinée aux métadonnées et à la journalisation. Pour ajouter de l’espace de stockage pour les métadonnées et la journalisation, ajoutez une autre réserve de stockage utilisable pour la journalisation et les métadonnées. Pour vérifier la taille courante du LUN d’une réserve de stockage : m Dans Xsan Admin, sélectionnez Volumes dans la liste Ressources SAN, puis cliquez sur les triangles d’affichage dans la liste des volumes pour afficher les LUN de la réserve de stockage qui vous intéresse. Comparez la taille des LUN figurant dans la liste. Pour vérifier la taille du LUN à ajouter : m Dans Xsan Admin, sélectionnez LUNs dans la liste Ressources SAN, puis cliquez sur LUN non utilisés. Vérifiez la taille indiquée du LUN qui vous intéresse. Pour vérifier les types de données pour lesquels est utilisée une réserve de stockage : m Dans Xsan Admin, sélectionnez Volumes dans la liste Ressources SAN, puis cliquez sur les triangles d’affichage dans la liste des volumes pour afficher la réserve de stockage qui vous intéresse. Double-cliquez sur la réserve de stockage dans la liste, puis vérifiez ce qui apparaît en regard de « Utilisé pour » dans la fenêtre Inspecteur. Si la capacité indiquée d’un LUN est de 2 To alors qu’elle est en réalité supérieure Si un LUN qui n’appartient pas encore à une réserve de stockage est répertorié dans Xsan Admin avec une capacité de 2 To, alors que vous savez que sa capacité est supé- rieure (ce qui peut arriver si vous avez déjà utilisé ce LUN avec une ancienne version d’Xsan), essayez d’étiqueter ce LUN à nouveau. Pour étiqueter à nouveau un LUN : 1 Dans Xsan Admin, sélectionnez LUNs dans la liste Ressources SAN. 2 Cliquez sur LUNs, sélectionnez le LUN dans la liste, puis choisissez « Supprimer l’étiquette LUN » dans le menu local Action (engrenage). 3 Le LUN étant toujours sélectionné, choisissez « Modifier l’étiquette LUN » dans le menu local Action (engrenage), puis tapez une étiquette. Si la copie d’un fichier ne se termine pas En cas de perte de connexion Ethernet avec un contrôleur de métadonnées, il se peut que les opérations de copie de fichiers à partir du Finder en cours sur les clients ne se terminent pas, même si le volume bascule correctement sur un contrôleur de réserve. Pour permettre à l’opération de copie de se terminer : m Reconnectez le contrôleur au réseau Ethernet SAN. 123 A Annexe A Combinaison de contrôleurs Xsan et de clients StorNext Cette annexe explique comment connecter des clients Windows, Solaris, Unix, AIX, IRIX ou Linux à un SAN Xsan. Xsan est totalement compatible avec le système de fichiers StorNext File System de Quantum. Vous pouvez ainsi configurer des systèmes Xserve et RAID pour qu’ils agissent comme contrôleurs SAN et systèmes de stockage pour clients Windows, Sun Solaris, Unix, IBM AIX, SGI IRIX ou Linux exécutant le logiciel StorNext FX. Pour obtenir des informations sur l’ajout de clients Macintosh à un réseau SAN StorNext existant, référez-vous à la documentation StorNext. Terminologie Notez bien les divergences de terminologie ci-après entre StorNext et Xsan : Terme StorNext Équivalent Xsan système de fichiers volume serveur de système de fichiers (FSS) contrôleur (ou contrôleur de métadonnées) groupe de segments réserve de stockage124 Annexe A Combinaison de contrôleurs Xsan et de clients StorNext Versions logicielles compatibles Ce tableau indique les versions de contrôleurs et de clients Xsan et StorNext qui peuvent être utilisées sur le même SAN. Licence Pour attribuer une licence à un client ou à un contrôleur Xsan Macintosh, vous devez utiliser soit le numéro de série unique imprimé sur la pochette du disque d’installation d’Xsan inclus dans le paquet d’installation Xsan, soit des numéros de série que vous avez achetés séparément. Les licences d’utilisation de StorNext doivent être achetées auprès de Quantum lorsque vous achetez le logiciel StorNext. Les clients Xsan n’utilisent et ne comptent pas pour les licences client de StorNext File System. Contrôleur Client Compatible Xsan 2 StorNext FX 1.4 ou 2.0 Oui StorNext FX 1.3 Non StorNext FS/FX 2.4–3.1 Non StorNext FS 3.1 Xsan 2 Oui Xsan 1.4–1.4.2 Oui StorNext FS 3.0 Xsan 2 Non Xsan 1.4–1.4.2 Oui StorNext FS 2.8 Xsan 1.4.1–1.4.2 et Xsan 2 Non Xsan 1.4 Oui StorNext FS 2.4–2.7 Xsan 1.4–1.4.2 et Xsan 2 NonAnnexe A Combinaison de contrôleurs Xsan et de clients StorNext 125 Utilisation de contrôleurs Xsan avec des clients StorNext Vous pouvez utiliser le logiciel StorNext de Quantum pour accéder à un SAN Xsan à partir d’un ordinateur Windows, UNIX, Sun Solaris, IBM AIX, SGI IRIX ou Linux. 1 Connectez le client non Macintosh aux réseaux Ethernet et Fibre Channel du SAN. 2 Installez le logiciel StorNext File System sur le client non Macintosh en suivant les instructions fournies par Quantum dans le paquet StorNext. 3 Dupliquez le fichier secret partagé du contrôleur Xsan Macintosh sur le client non Macintosh. Le fichier secret partagé est appelé .auth_secret. Sur un contrôleur Xsan Macintosh, il est stocké dans le dossier /Bibliothèque/Filesystems/Xsan/config/. Copiez le fichier (avec le même nom) sur le client non-Macintosh. Sur des clients StorNext SGI IRIX, Sun Solaris, IBM AIX et Linux, placez le fichier dans /usr/cvfs/config/. Sur des clients Windows, placez le fichier dans \%cvfsroot%\config\, où %cvfsroot% représente le dossier dans lequel vous avez installé StorNext. Important : ce fichier contient des informations sensibles. Protégez le fichier en lecture et en écriture, avec un accès réservé à l’administrateur root ou Windows uniquement. 4 Placez un fichier de licence StorNext pour les clients non Macintosh sur le contrôleur Xsan Macintosh. Sur le contrôleur Xsan, placez le fichier (intitulé license.dat) dans le dossier : /Bibliothèque/Filesystems/Xsan/config/ Contactez Quantum pour obtenir un fichier de licence pour les clients non Macintosh. 127 B Annexe B Utilisation de la ligne de commande Cette annexe décrit les commandes shell et les fichiers de configuration Xsan à votre disposition pour travailler sur un SAN à partir de la ligne de commande. Vous pouvez utiliser les commandes shell et les fichiers de configuration décrits ci-après pour accéder, configurer et gérer des SAN, des LUN, des réserves de stockage et des volumes Xsan à partir de la ligne de commande. L’application Terminal constitue la passerelle Mac OS X vers l’interface de ligne de commande BSD (invite de commande shell UNIX). Chaque fenêtre de Terminal contient un contexte d’exécution de ligne de commande complet, appelé shell, séparé de tous les autres contextes d’exécution. Bien qu’il soit possible de choisir librement le shell à utiliser, les exemples repris dans cet ouvrage reposent sur l’utilisation du shell bash, le shell standard de Mac OS X. Utilisation des commandes shell Les utilitaires de la ligne de commande Xsan se trouvent dans /Bibliothèque/Filesystems/ Xsan/bin/, qui correspond au chemin de recherche shell par défaut. De nombreuses commandes utilisées pour gérer Xsan doivent être exécutées par l’utilisateur root (également appelé super utilisateur, « superuser » en anglais). Si vous obtenez un message tel que « autorisation refusée », la commande utilisée requiert probablement des privilèges d’utilisateur root. Pour exécuter une commande individuelle à l’aide de privilèges d’utilisateur root, débutez la commande par sudo (abréviation de « superuser do »). Par exemple : $ sudo cvfsck -n MonVolume Si vous n’avez pas récemment utilisé la commande sudo, le système vous invite à taper le mot de passe de votre compte administrateur.128 Annexe B Utilisation de la ligne de commande Envoi de commandes à des ordinateurs distants Pour utiliser des commandes sur un ordinateur distant, connectez-vous d’abord à l’autre ordinateur à l’aide de SSH : $ ssh utilisateur@ordinateur où utilisateur représente un compte utilisateur sur l’ordinateur distant et ordinateur son adresse IP ou nom DNS. Affichage des pages man Une documentation détaillée concernant les utilitaires de ligne de commande Xsan est disponible dans des pages man semblables à celles utilisées sous Unix. La page man d’une commande comprend des informations sur la commande, ses options, ses paramètres et la manière de l’utiliser correctement. Les pages man consacrées aux commandes Xsan se trouvent dans le dossier /Bibliothèque/Filesystems/Xsan/man/. Pour consulter une page man, tapez : $ man commande où commande correspond à la commande à propos de laquelle vous recherchez des informations. Conventions de notation Les conventions suivantes sont utilisées dans les descriptions de commande : Notation Signification police normale Commande ou chaîne de texte tapée dans une fenêtre de Terminal $ Invite de shell [texte_entre_crochets] Paramètre optionnel (un|autre) Paramètres alternatifs (tapez l’un ou l’autre) italiques Paramètre à remplacer par une valeur [...] Paramètre pouvant être répété Valeur affichée qui dépend de votre configuration SANAnnexe B Utilisation de la ligne de commande 129 Installation d’Xsan à partir de la ligne de commande 1 Ouvrez une session sur un ordinateur doté d’un clavier et d’un moniteur, puis insérez le disque d’installation Xsan. 2 Ouvrez l’application Terminal (dans /Applications/Utilitaires). 3 Dans Terminal, copiez le paquet d’installation Xsan sur l’ordinateur distant : $ scp -r /Volumes/Xsan\ Install\ Disc/Install\ Xsan.mpkg utilisateur@hôtedistant:/tmp/ où utilisateur correspond à un administrateur situé sur un ordinateur distant et hôtedistant à l’adresse IP ou au nom DNS de l’ordinateur sur lequel vous voulez effectuer l’installation. Si vous voulez installer uniquement l’application Xsan Admin, saisissez : $ scp -r /Volumes/Xsan\ Install\ Disc/Other\ Installs/XsanAdmin.mpkg/ utilisateur@hôte_distant:/tmp/ 4 Connectez-vous à l’ordinateur distant : $ ssh utilisateur@hôtedistant où utilisateur et hôtedistant sont identiques à ceux indiqués lors de l’étape précédente. 5 Exécutez le programme d’installation sur l’ordinateur sans moniteur :  Si vous voulez installer le système de fichiers Xsan et l’application Xsan Admin, saisissez : $ sudo installer -pkg /tmp/Install\ Xsan.mpkg -target /  Si vous voulez installer uniquement le système de fichiers Xsan, saisissez : $ sudo installer -pkg /tmp/Install\ Xsan.mpkg/Contents/Installers/XsanFileSystem.mpkg/ -target /  Si vous voulez installer uniquement l’application Xsan Admin, saisissez : $ sudo installer -pkg /tmp/Install\ Xsan.mpkg/ -target / Pour vérifier la progression de l’installation, ajoutez le paramètre -verbose : $ sudo installer -verbose -pkg /tmp/Install\ Xsan.mpkg -target / Commandes Xsan Xsan inclut les outils de ligne de commande suivants : Outil Description cvadmin Afficher ou modifier les réglages de volume et de réserve de stockage (page 130) cvaffinity Manipuler manuellement des balises d’affinité (page 133) cvcp Copier des fichiers ou des dossiers (page 133) cvfsck Vérifier ou réparer un volume (page 134) cvlabel Afficher, étiqueter et initialiser des LUN (page 135)130 Annexe B Utilisation de la ligne de commande Affichage ou modification des réglages d’un volume et d’une réserve de stockage (cvadmin) Utilisez l’outil cvadmin pour effectuer des tâches relatives à l’état et à la configuration de volume Xsan. Pour obtenir de l’aide, consultez la page man de cvadmin ou tapez : $ sudo cvadmin -e help Pour passer en mode interactif : $ sudo cvadmin Pour exécuter des commandes à partir d’un fichier : $ sudo cvadmin [-H hôte] [-F volume] -f cmdfile Pour exécuter une seule commande et revenir à l’invite shell : $ sudo cvadmin [-H hôte] [-F volume] -e ["]commande [cmdparam..."] Les commandes disponibles dans l’outil cvadmin sont répertoriées dans le tableau suivant. cvmkdir Créer un dossier et lui assigner une affinité (page 136) cvmkfile Créer et préallouer un fichier (page 136) cvmkfs Initialiser un volume (page 137) cvupdatefs Appliquer des changements de configuration de volume (page 137) snfsdefrag Défragmenter un volume (page 138) xsanctl Monter et démonter des volumes Xsan (page 140) Outil Description Paramètre Description -H hôte Le contrôleur de métadonnées hébergeant le volume. S’il n’est pas mentionné, l’ordinateur local est considéré. hôte – l’adresse IP ou le nom DNS d’un contrôleur de métadonnées autre que celui auquel vous êtes connecté. -F volume Le volume destiné à être actif (« sélectionné ») dans cvadmin. volume – le nom d’un volume Xsan -f cmdfile Lecture des commandes à partir d’un fichier indiqué. cmdfile – le nom d’un fichier texte contenant des commandes cvadmin -e commande Exécution de la commande spécifiée et retour à l’invite shell. Sinon, cvadmin continue à s’exécuter en mode interactif avec l’invite Xsanadmin>. Si vous incluez des paramètres (cmdparam) avec la commande, mettez la commande et ses paramètres entre guillemets. Les commandes disponibles sont répertoriées dans « Commandes cvadmin, » ci-après. cmdparam Valeurs requises par la commande.Annexe B Utilisation de la ligne de commande 131 Commandes cvadmin commande cvadmin Description activate [volume|index] Choisissez le volume « actif » avec lequel vous souhaitez travailler de façon interactive. volume – le nom du volume index – l’identifiant numérique du volume (pour en voir la liste, utilisez la commande cvadmin select sans paramètres) disks [refresh] Répertorier des LUN. down réserve Empêcher tous les accès à une réserve de stockage. réserve – le nom d’une réserve de stockage dans le volume actuellement actif fail (volume|index) Entraîner le basculement d’un volume pour un contrôleur en attente. volume – le nom du volume index – l’identifiant numérique du volume (pour en voir la liste, utilisez la commande cvadmin select sans paramètres) filelocks [yes|no] Activer ou désactiver les verrouillages de fichiers et d’enregistrements. Utilisez la commande sans paramètre afin d’afficher le réglage actuel des verrouillages. multipath réserve (rotate|static) Indiquer l’utilisation par Xsan de plusieurs chemins à une réserve de stockage. réserve – le nom d’une réserve de stockage dans le volume actuellement actif paths Répertorier les LUN disponibles. quit Quitter cvadmin. quotas [yes|no] Activer ou désactiver des quotas pour le volume actif (sélectionné). Utilisez la commande sans paramètre afin d’afficher le réglage actuel des quotas. quotas get (user|group) nom Afficher les informations sur les quotas en cours pour un utilisateur ou un groupe. nom – le nom de l’utilisateur ou du groupe quotas set (user|group) nom rigide souple grâce Définir des quotas pour le nom de l’utilisateur ou du groupe. nom – le nom de l’utilisateur ou du groupe rigide – quota rigide (octets) souple – quota souple (octets) grâce – délai de grâce (minutes) quotacheck Recalculer les informations sur les quotas pour le volume actif.132 Annexe B Utilisation de la ligne de commande repquota Générer les fichiers de rapport de quota suivants dans /Bibliothèque/Filesystems/Xsan/data/volume: quota_report.txt – fichier texte quota_report.csv – fichier délimité par des virgules quota_regen.in – commandes cvadmin qui établiront des quotas identiques sur un autre contrôleur. Vous pouvez utiliser cvadmin -f pour exécuter les commandes. repof Créer un rapport sur les fichiers ouverts sur le volume actif dans le fichier /Bibliothèque/Filesystems/Xsan/data/volume/ open_file_report.txt. select [volume] Choisissez le volume « actif » avec lequel vous souhaitez travailler. Le nom du volume actif apparaît avant l’invite de commande en mode interactif, par exemple : Xsanadmin (Vol1) > Pour afficher une liste de volumes en cours d’exécution, désactivez le paramètre volume. volume – le nom d’un volume Xsan show [réserve] [long] Répertorier les informations sur la réserve de stockage pour le volume actif. réserve – le nom d’une réserve de stockage dans le volume actuellement actif start volume [on] [contrôleur] Démarrer un volume en fonction des informations figurant dans son fichier de configuration (/Bibliothèque/Filesystems/Xsan/config/volume.cfg). volume – le nom d’un volume Xsan contrôleur – l’adresse du contrôleur de métadonnées sur lequel démarrer le processus FSM du volume stat Afficher les informations sur le volume actif. stop volume Arrêter un volume et son processus FSM sur tous les contrôleurs de métadonnées. up réserve Permettre l’accès à la réserve de stockage spécifiée. réserve – le nom d’une réserve de stockage dans le volume actuellement actif who Afficher les informations client pour le volume actif. commande cvadmin DescriptionAnnexe B Utilisation de la ligne de commande 133 Manipulation des balises d’affinité (cvaffinity) La commande cvaffinity permet d’assigner une balise d’affinité à un dossier ou à un fichier, ou d’afficher la balise d’affinité actuellement assignée à un dossier ou à un fichier. L’assignation d’une balise d’affinité à un dossier ou un fichier entraîne le stockage de ce dernier dans une réserve de stockage possédant la même balise d’affinité. Vous pouvez vérifier les balises d’affinité des réserves de stockage disponibles en utilisant la commande show long de l’outil cvadmin. Pour définir une balise d’affinité pour un dossier ou un fichier : $ cvaffinity -s affinité cible Pour afficher la balise d’affinité actuellement assignée à un dossier ou un fichier : $ cvaffinity -l cible Pour supprimer la balise d’affinité d’un dossier ou d’un fichier : $ cvaffinity -d cible Copie de fichiers ou de dossiers (cvcp) Utilisez la commande cvcp pour copier des fichiers ou des dossiers dans ou à partir d’un volume Xsan. $ cvcp [options] source destination Options de la commande cvcp Paramètre Description affinité Balise d’affinité assignée aux réserves de stockage dans lesquelles vous voulez stocker le dossier ou le fichier cible cible Chemin d’accès et nom du dossier ou du fichier. Paramètre Description options Voir « Options de la commande cvcp, » ci-dessous. source Le fichier ou le dossier (répertoire) à copier. destination L’emplacement où la copie a lieu. Option Description -A Désactiver la préallocation. -b tampons Fixer le nombre de tampons E/S à employer. tampons – le nombre de tampons à employer pour la copie -k taille Définir la taille du tampon de copie. taille – la taille du tampon (octets) -l Copier les cibles de liens symboliques, et non les liens. -n Éviter d’appliquer des commandes aux sous-dossiers.134 Annexe B Utilisation de la ligne de commande Exemples Copiez le fichier « friday » dans /datasets/data1/july/ : $ cvcp friday /datasets/data1/july Copiez le dossier /data1/ et tous les sous-dossiers dans /datasets/data1/, en conservant toutes les autorisations et appartenances et en affichant les fichiers au fur et à mesure qu’ils sont copiés : $ cvcp -vxy data1 /datasets/data1 Effectuez une copie semblable à la précédente, mais en copiant uniquement les fichiers dont le nom commence par « jul » : $ cvcp -vxy -p jul data1 /datasets/data1/july Vérification ou réparation d’un volume (cvfsck) Utilisez la commande cvfsck pour vérifier ou réparer un volume Xsan. $ sudo cvfsck [options] volume Options de la commande cvfsck -p préfixe Copier uniquement des fichiers dont le nom commence par le préfixe indiqué. préfixe – caractères devant correspondre au début du nom de fichier -s Allouer sur les limites du bloc de réserve de stockage. -t Indiquer le nombre de segments de copie. -v Signaler toutes les informations à propos du fichier copié. -x Conserver les autorisations du fichier d’origine pour la copie. -y Conserver les informations de propriété et de groupe dans la copie. Cela fonctionne uniquement si c’est l’utilisateur root qui effectue la copie. -z Conserver les modifications d’origine dans la copie. Option Description Paramètre Description options Voir « Options de la commande cvfsck, » ci-dessous. volume Le nom du volume à vérifier ou à réparer. Option Description -d Afficher des informations supplémentaires de débogage. -e Afficher des statistiques de domaines du fichier. -f Signaler une fragmentation. -G Imprimer l’historique de reprise du journal. -J Réaliser une reprise du journal.Annexe B Utilisation de la ligne de commande 135 Étiquetage, listage et suppression d’étiquettes des LUN (cvlabel) Utilisez la commande cvlabel pour initialiser des LUN afin de pouvoir les ajouter à des réserves de stockage. Pour de plus amples détails, voir la page man de cvlabel. Pour répertorier les LUN disponibles : $ sudo cvlabel -l [-s] [-v] Pour afficher le LUN actuel et les informations concernant les étiquettes, vous pouvez coller dans un fichier d’étiquette l’élément suivant : $ sudo cvlabel -c Pour étiqueter un LUN : $ sudo cvlabel [-v] [-f] [labelfile] Pour supprimer l’étiquette existante d’un LUN : $ sudo cvlabel -u lun -J Afficher les données brutes du journal. -k Réinitialiser le journal. ATTENTION : La réinitialisation du journal peut entraîner des incohérences de métadonnées. N’utilisez cette option que si elle est vraiment indispensable. -l Enregistrer des problèmes dans l’historique système. -n Vérifier le volume en mode lecture uniquement. -r Replacer des fichiers avant de modifier la configuration du volume. -v Afficher toutes les informations disponibles. -w Modifier si nécessaire le système de fichiers pour résoudre des problèmes. -x Signaler les statistiques en les séparant par des virgules dans une feuille de calcul. Option Description Paramètre Description -l Répertorier les LUN disponibles. -s Afficher les numéros de série des périphériques. -v Montrer l’affichage de progression. -c Créer un fichier de modèle d’étiquette. -f Étiqueter à nouveau des LUN déjà étiquetés. labelfile Un fichier facultatif contenant des informations sur chaque étiquette. Vous pouvez utiliser l’option -c pour créer ce fichier ou utiliser ce dernier comme modèle : /Bibliothèque/Filesystems/Xsan/examples/cvlabels.example lun Le LUN identifié par le nom du disque, par exemple /dev/disk4. -u Supprimer l’étiquette du LUN spécifié.136 Annexe B Utilisation de la ligne de commande Création d’un dossier et assignation d’une affinité (cvmkdir) Utilisez la commande cvmkdir pour créer un dossier (répertoire) et lui assigner une balise d’affinité afin que son contenu soit stocké dans des réserves de stockage possédant la même balise d’affinité. $ cvmkdir -k affinité dossier Création et préallocation d’un fichier (cvmkfile) Utilisez la commande cvmkfile pour allouer de l’espace à un fichier sur un volume Xsan. $ cvmkfile [-k affinité] [-p] [-s] [-w] [-z] taille(k|m|g) nomdefichier Exemple Allouez 2 Go d’espace pour le fichier « data1 » sur la réserve de stockage « datasets » : $ cvmkfile -k datasets 2g data1 Paramètre Description -k affinité Spécifie la balise d’affinité à associer au dossier. affinité – la balise d’affinité associée aux réserves de stockage dans lesquelles vous voulez stocker le contenu du dossier La commande show long de l’outil cvadmin permet d’afficher la balise d’affinité d’une réserve de stockage. Vous pouvez utiliser -k "" pour supprimer la balise d’affinité du dossier. dossier Chemin d’accès et nom du dossier. Paramètre Description -k affinité Allouer de l’espace pour le fichier sur l’une des réserves de stockage possédant la balise d’affinité indiquée. affinité – la balise d’affinité associée aux réserves de stockage dans lesquelles vous voulez stocker le contenu du dossier La commande show long de l’outil cvadmin permet d’afficher la balise d’affinité d’une réserve de stockage. -p Forcer l’alignement des domaines futurs du fichier sur les limites de bloc. -s Forcer l’alignement de l’allocation de fichier sur les limites de bloc. -w Définir la taille du fichier comme indiqué par taille. -z Définir le contenu du fichier avec des zéros. taille(k|m|g) Un nombre indiquant la quantité d’espace à allouer au fichier. taille – un nombre k – kilo-octets m – méga-octets g – giga-octets nomdefichier Chemin d’accès et nom du fichier auquel l’espace est alloué.Annexe B Utilisation de la ligne de commande 137 Initialisation d’un volume (cvmkfs) Utilisez la commande cvmkfs pour initialiser un volume Xsan en fonction des informations figurant dans son fichier de configuration (dans /Bibliothèque/Filesystems/Xsan/config/ volume.cfg). $ sudo cvmkfs [-G] [-F] [volume] Modifications de configuration de volume (cvupdatefs) Utilisez la commande cvupdatefs pour appliquer des modifications de fichier de configuration à un volume après avoir modifié ses fichiers de configuration. $ sudo cvupdatefs [-f] volume [configdir] AVERTISSEMENT : l’initialisation d’un volume détruit toutes les données existantes sur celui-ci. Paramètre Description -G Ne pas afficher les messages invitant à appuyer sur la touche Retour pour continuer. -f Ne pas afficher les invites d’avertissement et de vérification. Utilisez ce paramètre avec précaution. volume Le nom du volume à initialiser. Ce nom correspond à celui d’un fichier de configuration (.cfg) dans /Bibliothèque/Filesystems/Xsan/config/. Paramètre Description -f Mettre à jour sans inviter à confirmer et sans signaler des erreurs dans le fichier de configuration. volume Le volume à mettre à jour. Si vous n’indiquez pas de volume, ceux disponibles sont répertoriés pour vous permettre de faire un choix. configdir Emplacement du fichier de configuration du volume (.cfg) s’il ne figure pas à l’emplacement par défaut (/Bibliothèque/Filesystems/Xsan/config/).138 Annexe B Utilisation de la ligne de commande Défragmentation d’un fichier, d’un dossier ou d’un volume (snfsdefrag) Utilisez la commande snfsdefrag pour défragmenter un fichier en réallouant ses données dans un seul domaine. Vous améliorez ainsi les performances de lecture et d’écriture pour un fichier en augmentant l’efficacité du disque et en réduisant la surcharge de gestion des métadonnées du fichier. Pour défragmenter un fichier ou un dossier : $ snfsdefrag [-D] [-d] [-q] [-s] [-v] [-K affinité] [-k affinité] [-m compte] [-r] cible Pour signaler des domaines de fichier sans défragmentation : $ snfsdefrag -e [-K affinité] [-r] cible[cible] [...] Pour afficher un nombre de domaines sans défragmentation : $ snfsdefrag -c [-K affinité] [-r] cible[cible] [...] Pour réduire un fichier (supprimer des domaines alloués au-delà de la fin du fichier) : $ snfsdefrag -p [-D] [-v] [-q] [-K affinité] [-m compte] [-r] cible [cible] [...] Pour répertorier des fichiers candidats pour une défragmentation : $ snfsdefrag -l [-D] [-v] [-K affinité] [-m compte] [-r] cible [cible] [...] Paramètre Description -c Afficher un nombre de domaines sans défragmenter la cible. -d Afficher des messages de débogage. -d Opérer sur des fichiers avec une profondeur différente de celle en cours. -e Signaler des domaines sans effectuer de défragmentation. -k affinité Opérer uniquement sur des fichiers avec l’affinité de réserve de stockage spécifiée. affinité – la clé d’affinité (dans Xsan, la clé d’affinité est identique au nom de la réserve de stockage) Vous pouvez utiliser la commande cvadmin show long pour afficher la clé d’affinité d’une réserve de stockage. -k affinité Allouer de nouveaux domaines sur la réserve de stockage avec cette affinité. -l Répertorier les fichiers pouvant tirer profit de la défragmentation. -m compte Opérer uniquement sur des fichiers possédant plus de compte domaines. -p Réduire au lieu de défragmenter. -q Supprimer des messages. -r [cible] Opérer de façon répétitive pour défragmenter tous les fichiers dans tous les dossiers à l’intérieur du dossier cible indiqué.Annexe B Utilisation de la ligne de commande 139 Exemples Compter les domaines dans le fichier datafile : $ snfsdefrag -c datafile Répertorier les domaines : $ snfsdefrag -e datafile Défragmenter le fichier datafile : $ snfsdefrag datafile Défragmenter chaque fichier du dossier /datafolder/ (ou de tout dossier compris dans / datafolder/) possédant plusieurs domaines : $ snfsdefrag -r datafolder Récupérer l’espace disque préalloué inutilisé attribué à chaque fichier du dossier /datafolder/ : $ snfsdefrag -rp datafolder Contrôle du système de fichiers Xsan (xsanctl) Utilisez la commande xsanctl pour contrôler les fonctions de système de fichiers Xsan de base. Pour plus de détails, consultez la page man de xsanctl. $ sudo xsanctl commande Commandes xsanctl -s Allouer de nouveaux domaines sur des limites de blocs. -v Afficher toutes les informations disponibles et le statut lors de la défragmentation. Paramètre Description commande xsanctl Description ping Envoie un message « ping » au système de fichiers Xsan pour s’assurer qu’il répond aux requêtes de gestion. mount volume Monte un volume Xsan sur l’ordinateur. volume – le nom du volume unmount volume Démonte un volume Xsan sur l’ordinateur. volume – le nom du volume sanConfigChanged Indique au système de fichiers Xsan qu’il devrait recharger la configuration SAN. disksChanged Indique au système de fichiers Xsan qu’il devrait analyser à nouveau les disques.140 Annexe B Utilisation de la ligne de commande Montage d’un volume Xsan Utilisez la commande xsanctl pour monter un volume Xsan sur un ordinateur. 1 Ouvrir Terminal sur l’ordinateur ou utiliser SSH pour se connecter à distance à l’ordinateur : $ ssh utilisateur@ordinateur où utilisateur représente un compte utilisateur sur l’ordinateur distant et ordinateur son adresse IP ou nom DNS. 2 Monter le volume : $ sudo xsanctl mount volume Par exemple : $ sudo xsanctl mount SanVol Démontage d’un volume Xsan Utilisez la commande xsanctl pour démonter un volume Xsan d’un ordinateur. 1 Ouvrir Terminal sur l’ordinateur ou utiliser SSH pour se connecter à distance à l’ordinateur : $ ssh utilisateur@ordinateur 2 Démonter le volume : $ sudo xsanctl unmount volume Par exemple : $ sudo xsanctl unmount SanVol Affichage d’historiques L’historique du système sur lequel Xsan écrit les informations relatives aux SAN se trouve dans /var/log/system.log Les historiques de volume sont conservés dans /Bibliothèque/Filesystems/Xsan/data/ volume/log/cvlog, où volume correspond au nom du volume concerné.Annexe B Utilisation de la ligne de commande 141 Fichiers de configuration Xsan Xsan stocke ses informations de configuration dans les fichiers suivants : Remarque : aucun de ces fichiers n’est censé être modifié par des utilisateurs Xsan, sauf si l’opération est effectuée sous la supervision d’un ingénieur d’assistance technique Apple. Exemples Vous trouverez des échantillons de fichiers de configuration dans Bibliothèque/Filesystems/Xsan/examples/. Fichier ou dossier dans /Bibliothèque/Filesystems/Xsan/config/ Contenu volume.cfg Paramètres du volume volume-auxdata.plist Réglages de volume supplémentaires utilisés par Xsan Admin fsmlist Liste de démarrage automatique du volume fsnameservers Liste de contrôleurs automount.plist Volumes Xsan à monter au démarrage, ainsi que leurs options de montage config.plist Informations de configuration Xsan Admin privées notifications.plist Réglages des notifications effectuées par Xsan Admin notes/ Fichiers de notes dont le contenu doit être saisi dans la fenêtre de l’Inspecteur d’Xsan Admin uuid Informations privées d’identification d’ordinateurs d’Xsan Admin 143 Glossaire Glossaire affinité Relation entre un dossier situé sur un volume Xsan et une ou plusieurs réserves de stockage fournissant un espace de stockage pour le volume. L’affinité garantit que les fichiers placés dans le dossier ne sont stockés que dans les réserves de stockage associées. Comme les réserves de stockage peuvent varier en termes de capacité et de performances, les affinités peuvent être utilisées pour s’assurer que des données comme la vidéo, qui exigent une vitesse de transfert élevée, soient stockées sur les unités de stockage les plus rapides. client Ordinateur (ou utilisateur de l’ordinateur) qui demande des données ou des services à partir d’un autre ordinateur ou serveur. contrôleur Forme raccourcie de « contrôleur de métadonnées » sur un réseau de stockage Xsan. Dans les systèmes RAID, le terme « contrôleur » fait référence au matériel qui gère la lecture et l’écriture des données. L’entrelacement et l’écriture ou la lecture simultanée de données sur plusieurs disques permet à un contrôleur RAID d’obtenir de meilleures performances en termes de rapidité et d’efficacité de stockage et d’accès. Voir aussi contrôleur de métadonnées. contrôleur de métadonnées Ordinateur qui gère les métadonnées au sein d’un réseau de stockage Xsan. disque logique Périphérique de stockage qui se présente à l’utilisateur sous la forme d’un disque unique destiné au stockage de fichiers, même il s’agit en réalité de plusieurs lecteurs de disque physiques. Un volume Xsan, par exemple, est un disque logique qui se comporte comme un disque unique, même s’il est constitué de plusieurs réserves de stockage, elles-mêmes composées de plusieurs LUN contenant chacun plusieurs lecteurs de disque. Voir aussi disque physique. disque physique Disque mécanique concret. À comparer à disque logique. ensemble RAID Voir aussi matrice RAID. entrelacer Écrire des données sur les segments successifs d’un LUN ou d’une matrice RAID.144 Glossaire équilibrer Stratégie d’allocation de réserve de stockage Xsan. Avant d’allouer de l’espace sur un volume composé de plusieurs réserves de stockage, Xsan vérifie l’espace de stockage disponible sur toutes les réserves, puis utilise celle qui possède la plus grande quantité d’espace libre. étiqueter Terme utilisé par certaines sources (telles que l’ADIC) pour désigner le processus de préparation d’un disque logique destiné à être utilisé au sein d’un système de fichiers. Dans Xsan, le terme initialiser est utilisé pour désigner la préparation d’un disque destiné à être utilisé dans une réserve de stockage. étiquette Dans Xsan, nom servant à identifier un LUN. Vous pouvez assigner une étiquette à un LUN avant ou durant la configuration d’une réserve de stockage Xsan. failover Dans Xsan, processus automatique par lequel un contrôleur de métadonnées de réserve devient le contrôleur de métadonnées actif en cas de défaillance du contrô- leur principal. formater Opération servant en général à préparer un disque destiné à être utilisé par un système de fichiers particulier. groupe de segments Terme utilisé par StorNext File System pour désigner une réserve de stockage Xsan. initialiser Préparation d’un disque destiné à être utilisé par un système de fichiers particulier. Dans Xsan, il s’agit de préparer une matrice RAID destinée à être utilisée dans une réserve de stockage. largeur de segment Propriété de réserve de stockage Xsan. Nombre d’octets de données, exprimé sous la forme d’un nombre de blocs du système de fichiers, qu’Xsan écrit sur un LUN d’une réserve de stockage avant de passer au LUN suivant de la réserve. LUN Numéro d’unité logique (Logical Unit Number, en anglais). Identifiant SCSI pour un dispositif de stockage logique. Dans Xsan, il s’agit d’un périphérique de stockage logique non formaté tel qu’une matrice ou une tranche Xserve RAID. matrices RAID Groupe de disques physiques organisés et protégés par une configuration RAID et présenté par un logiciel ou matériel RAID sous forme d’un disque logique unique. Dans Xsan, les matrices RAID apparaissent sous la forme de LUN, combinés pour former des réserves de stockage. métadonnées Informations relatives à un système de fichiers et aux fichiers qu’il contient (par exemple, les blocs de disques occupés par un fichier ou les blocs disponibles). Dans Xsan, les métadonnées sont gérées par un contrôleur de métadonnées et échangées via une connexion Ethernet, alors que les données de fichiers sont transférées via une connexion Fibre Channel.Glossaire 145 monter Rendre un répertoire ou un volume distant accessible sur un système local. Dans Xsan : faire apparaître un volume Xsan sur le bureau d’un client, comme s’il s’agissait d’un disque local. Niveau RAID Système d’allocation d’espace de stockage utilisé pour stocker des données dans une matrice RAID. Chaque niveau est identifié par un numéro, par exemple, RAID 3 ou RAID 0+1. priorité du failover Sur un SAN doté de plusieurs contrôleurs, cette propriété spécifie le contrôleur de réserve à utiliser en priorité lors du failover. RAID De l’anglais « Redundant Array of Independent (or Inexpensive) Disks », qui signifie « matrice redondante de disques indépendants (ou économiques) ». Regroupement de plusieurs disques durs physiques en une seule matrice de disques capable de fournir un accès à haute vitesse à des données stockées, de copier des données en miroir afin de pouvoir les restaurer en cas de défaillance de disque ou de faire les deux à la fois. La matrice RAID se présente au sein du système de stockage sous la forme d’une unité de stockage logique individuelle. Voir aussi matrice RAID, niveau RAID. RAID 0 Système RAID dans lequel les données sont réparties uniformément en segments sur une matrice de disques. Le système RAID 0 augmente la vitesse des transferts de données, mais ne fournit aucune protection des données. RAID 0+1 Combinaison de RAID 0 et RAID 1. Ce système RAID est créé en entrelaçant des données sur plusieurs paires de disques en miroir. RAID 1 Système RAID qui crée une paire de disques en miroir possédant des copies identiques des mêmes données. Ce système fournit un niveau élevé de disponibilité des données. RAID 3 Système RAID dans lequel les données sont entrelacées sur deux disques ou plus et où les données de parité sont conservées sur un disque dédié. En cas de défaillance d’un disque, les bits de parité redondants peuvent être utilisés pour restaurer les données de n’importe quel disque. RAID 5 Système RAID qui répartit les données et les informations de parité sur une matrice de disques en procédant un bloc à la fois et dans lequel chaque disque fonctionne de manière indépendante. Ce système assure des performances de lecture optimales pour l’accès à des fichiers de taille importante. remplir Stratégie d’allocation de réserve de stockage Xsan. Dans un volume constitué de plusieurs réserves de stockage, Xsan remplit la première réserve avant d’écrire sur la suivante.146 Glossaire réserve de stockage Groupe de disques logiques ayant des caractéristiques communes telles que le débit ou la latence, à travers lesquelles les données d’utilisateur sont segmentées. Dans Xsan, les réserves de stockage sont combinées pour former des volumes. Le terme utilisé dans le système StorNext File System d’ADIC est « groupe de tranches » (« stripe group »). Round Robin Stratégie d’allocation de réserve de stockage Xsan. Dans un volume constitué de plusieurs réserves de stockage, Xsan alloue de l’espace pour les opérations d’écriture successives sur chaque réserve disponible l’une après l’autre. SAN Réseau de stockage. Il s’agit en général d’un réseau dont le but premier est de transférer des données entre des ordinateurs et des éléments de stockage et entre les éléments de stockage. Dans Xsan, un réseau SAN est constitué d’un ou de plusieurs contrôleurs, volumes de stockage et clients de stockage. serveur de système de fichiers Voir SSF. SSF Serveur de système de fichiers. Terme StorNext File System désignant l’ordinateur qui gère les métadonnées d’un réseau de stockage (SAN). Le terme utilisé dans Xsan est « contrôleur de métadonnées ». stratégie d’allocation Dans Xsan, il s’agit de l’ordre dans lequel les données sont écrites dans les réserves de stockage qui forment un volume. Cette stratégie n’est applicable que si plusieurs réserves de stockage sont présentes dans un volume, et seulement si les réserves sont du même type. Trois options sont proposées : Remplir, Round Robin ou Équilibrer. système de fichiers Système de stockage de données sur des périphériques de stockage, qui permet aux applications de lire et d’écrire des fichiers sans se préoccuper des détails de niveaux inférieurs. taille d’allocation de bloc Propriété d’un volume Xsan. Correspond au plus petit nombre d’octets qui peut être réservé, écrit ou lu sur un volume Xsan. volume Allocation de stockage que l’on peut monter et que le client perçoit comme un disque dur local, une partition de disque dur ou un volume de réseau. Dans Xsan, un volume consiste en une ou plusieurs réserves de stockage. Voir aussi disque logique. 147 Index Index A accès autorisations des dossiers 87 démontage d’un volume 88 volumes en lecture seule 89 ACL configuration 87 Active Directory 45, 49 adresses IP changement pour le contrôleur 103 affinité affectation à un dossier 56, 65 description 18, 19 suppression 66 ajout d’espace de stockage 21, 59 ajout de clients à un réseau SAN Xsan 78 application Quotas d’utilisateur Xsan 96 application Xsan Admin et les coupe-feux 45 intervalle d’actualisation 46 préférences 46 vue d’ensemble 45 Assistant du serveur 44 autorisations accès d’utilisateur aux dossiers 87 C clients ajout 78 définition 15 déplacement de 79, 80 limite par SAN 22 StorNext 125 suppression d’un réseau SAN 90 utilisation d’un volume 114 vérification de quotas à partir de 96 commandes. Voir commandes shell commandes de shell xsanctl 139 commandes shell cvadmin 130 cvaffinity 133 cvcp 133 cvfsck 134 cvlabel 135 cvmkdir 136 cvmkfile 136 cvmkfs 137 cvupdatefs 137 emplacement d’installation 127 pages man 128 snfsdefrag 138 compatibilité avec d’autres versions d’Xsan 10 avec le logiciel StorNext 124 configuration requise 23 contrôleurs ajout 100 changement d’adresse IP 103 limite par SAN 22 liste des volumes hébergés 103 vue d’ensemble 15 coupe-feu, et Xsan Admin 45 cvadmin commande 130 cvaffinity commande 133 cvcp commande 133 cvfsck commande 134 réparation des volumes 76 vérification des volumes 73, 75 cvlabel commande 135 cvmkdir commande 136 cvmkfile command 136 cvmkfs commande 137 cvupdatefs commande 137 D défragmentation des volumes 74 démontage d’un volume 88 à partir de la ligne de commande 140 dépannage148 Index date de création erronée dans Mac OS 9 118 impossible d’accéder au système RAID 118 impossible d’installer le logiciel 117 impossible de monter un volume 118 impossible de reconnecter un client 120 impossible de renommer le volume 119 impossible de se connecter au réseau SAN 117 mauvaises performances Fibre Channel 120 noms de réserve de stockage réservés 119 ordinateurs absents de la liste 117 taille des LUN ajustée à la baisse 118 déplacement de clients vers un réseau SAN Xsan 79, 80 dossiers de départ création en local 27, 96 E éléments liés à la disponibilité 31 éléments liés à la sécurité 21, 31 équilibrer stratégie d’allocation du volume 68 espace disponible vérification de l’utilisation des quotas 94 vérification des réserves de stockage 110 vérification du volume 109 Ethernet configuration 47 directives 25 extension de l’espace de stockage 21, 59 F failover 101 forcer 101 Fibre Channel commutateurs compatibles 25 détection des défaillances de connexion 115 éléments de configuration 24 fichier de configuration du volume 141 fichiers limite par volume 22 longueur de nom limitée 22 taille maximale 22 fichiers de configuration 141 fichier secret partagé 125 Format de répertoire 49 fragmentation 73 G graphiques utilisation globale du processeur d’un contrôleur 111 utilisation globale du réseau IP d’un contrôleur 111 groupes configuration 44, 48 groupes de segments. Voir réserves de stockage H historique contrôle du nombre de messages 46 historiques affichage 113 I Identifiant d’utilisateur. Voir UID Identifiant de groupe. Voir GID installation du logiciel Xsan 50 intervalle d’actualisation, Xsan Admin 46 J journal choix de l’emplacement 35 description 20 L largeur de segment choix d’une valeur 72 et taille d’allocation de bloc 72 limites des noms 22 liste de contrôle d’accès activation et désactivation 69 liste de contrôle d’accès. Voir ACL logiciel Xsan compatibilité avec le logiciel StorNext 124 compatibilité de version 10 installation 50 suppression (désinstallation) 90 LUN (logical unit numbers) ajout à une réserve de stockage existante 61 limite de la longueur du nom 22 limite par réserve de stockage 22 limite par volume 22 préparation 43 taille ajustée à la baisse 118 taille maximale 22 taille réelle et taille utilisée 61, 118 vue d’ensemble 15 LUN (numéros d’unités logiques) description 17 M mémoire requise 23 métadonnées choix de l’emplacement 35 description 20Index 149 estimation de l’espace requis 35 montage d’un volume à partir de la ligne de commande 140 N notation conventions pour les commandes 128 notifications configuration 56, 112 service de courrier requis 27 notifications par courrier électronique 112 notifications par messageur 112 numéro d’unité logique. Voir LUN numéro de série envoi de notifications d’expiration 112 O Open Directory 44, 49 options de montage 82 P pages man pour les commandes shell 128 période de grâce (quota) 93 priorité de failover 101 Q quota rigide définition 92, 93 vérification 94 quotas définition 56, 92 description 93 exemple 94 période de grâce 93 vérification à partir d’un client 96 vérification à partir de la ligne de commande 95 vérification de leur utilisation via Xsan Admin 94 quota souple définition 92, 93 vérification 94 R remplir stratégie d’allocation du volume 68 réparation d’un volume 76 réseau de zones de stockage. Voir SAN réseaux vue d’ensemble 15 réserves de stockage ajout à un volume existant 63 description 17 limite par volume 22 longueur de nom limitée 22 noms réservés 119 réglages avancés 71 vérification de l’espace disponible 110 retarder les mises à jour des temps d’accès 82 round robin stratégie d’allocation du volume 68 S SAN (storage area network) ajout 58 ajout d’espace de stockage 59 ajout de clients 78 déplacement de clients 79, 80 gestion de plusieurs 58 longueur de nom limitée 22 modification du nom 57 suppression 57 segmentation, sur plusieurs LUN 17, 20 segments travailleur client 82 serveur d’horloge 48 service de courrier pour les notifications 27 services de répertoires 26, 44, 49 snfsdefrag commande 138 défragmentation de fichiers 74 Spotlight activation sur le volume 55 stockage, extension 59 StorNext File System 123 stratégie d’allocation définition pour un volume 68 systèmes de fichiers. Voir volumes Systèmes RAID adaptés aux LUN 31 T taille d’allocation de bloc choix pour un volume 68 taille du cache du répertoire 82 U utilisateurs configuration 44, 48 dossiers de départ 44 rechercher 46 Utilitaire d’annuaire 49 V volumes afficher les clients qui les utilisent 114 ajout à un réseau SAN existant 64 défragmentation 74 démontage 88, 140 description 18150 Index destruction 76 fichier de configuration 141 fragmentation 73 identification du contrôleur 102 liste du contrôleur 103 longueur de nom limitée 22 montage à partir de la ligne de commande 140 problème de montage 118 réparation 76 vérification de l’espace disponible 109 vérification de l’intégrité 75 volumes en lecture seule 89 X Xsan Admin gestion d’un SAN à distance 58 installation 57 xsanctl commande 139  Installation et configuration de votre Power Mac G4 Instructions d’installation et d’extension des ordinateurs Power Mac G4 et Macintosh Server G4K Apple Computer Inc. © 2000 Apple Computer Inc. Tous droits réservés. Ce manuel est protégé par la loi du 11 mars 1957 sur la propriété littéraire et artistique, complétée par la loi du 3 juillet 1985 et par toutes les conventions internationales applicables aux droits d’auteurs. En vertu de ces lois et conventions, aucune reproduction totale ni partielle de ce manuel n’est autorisée, sauf consentement écrit préalable d’Apple. Le logo Apple est une marque d’Apple Computer Inc., déposée aux États-Unis et dans d’autres pays. En l’absence du consentement écrit d’Apple, l’utilisation à des fins commerciales de ce logo via le clavier (Option -1) pourra constituer un acte de contrefaçon et/ou de concurrence déloyale. Tout a été mis en œuvre pour que les informations présentées dans ce manuel soient exactes. Apple n’est pas responsable des erreurs de reproduction ou d’impression. Apple Computer Inc. 1 Infinite Loop Cupertino, CA 95014-2084 408-996-1010 http://www.apple.com Apple, le logo Apple, AppleShare, AppleTalk, FireWire, le logo FireWire, Mac, Macintosh, le logo Mac, PlainTalk, Power Macintosh et QuickTime sont des marques d’Apple Computer Inc., déposées aux États-Unis et dans d’autres pays. AirPort, The Apple Store, Finder, iMovie, iTools, Power Mac et Sherlock sont des marques d’Apple Computer Inc. PowerPC et le logo PowerPC sont des marques d’International Business Machines Corporation, utilisées sous licence. Fabriqué sous licence de Dolby Laboratories. “Dolby” et le logo double-D sont des marques de Dolby Laboratories. Travail non publié confidentiel. © 1992–1997 Dolby Laboratories Inc. Tous droits réservés. Les autres noms de produits et de sociétés sont la propriété de leurs détenteurs respectifs. Les produits commercialisés par des entreprises tierces ne sont mentionnés qu’à titre d’information, sans aucune intention de préconisation ni de recommandation. Apple décline toute responsabilité quant à l’utilisation et au fonctionnement de ces produits. Remarque : Apple améliore continuellement les performances et le design de ses produits. Il se peut que certaines illustrations de ce manuel soient légèrement différentes de votre version du logiciel.3 Table des matières 1 Installation 5 Positionnement de l’ordinateur et du moniteur 5 Branchement de l’ordinateur 6 Problèmes divers 11 Étape suivante 12 2 Familiarisation avec votre ordinateur 13 Face avant de votre ordinateur 14 Ports et connecteurs : extension des capacités de votre ordinateur 16 Intérieur de votre Power Mac : options d’extension internes de votre ordinateur 18 QuickTime : audio et vidéo sur Internet 20 Sherlock 2 : votre utilitaire de recherche sur Internet 22 iMovie 2 : créez et montez vos propres films numériques 24 iTools : des services Internet gratuits pour les utilisateurs de Mac 26 Mise à jour automatique : maintenez automatiquement votre Mac à la pointe des nouveautés 28 Utilisateurs multiples : transformez un seul Mac en plusieurs 30 Apple.com : votre point de départ sur le World Wide Web 32 Aide Mac : les réponses à toutes vos questions sur le Mac 34 3 Utilisation de votre ordinateur 35 Utilisation du clavier et de la souris Apple Pro 36 Utilisation de périphériques USB 38 Utilisation de périphériques FireWire 40 Utilisation de votre lecteur de DVD 42 Utilisation de votre modem 444 Table des matières Connexion à un réseau Ethernet 45 Utilisation d’un réseau AirPort sans fil 47 Suspension de l’activité de l’ordinateur pour économiser l’énergie 48 Connexion de périphériques SCSI à votre ordinateur 49 Transfert d’informations entre deux ordinateurs Apple 50 Utilisation de l’ordinateur comme serveur sans moniteur 50 4 Interventions à l’intérieur de l’ordinateur 53 Ouverture de l’ordinateur 54 Installation de modules de mémoire 56 Installation d’unités de stockage internes 58 Installation d’une carte d’extension PCI ou remplacement de la carte AGP 69 Installation d’une carte AirPort 73 Remplacement de la pile 74 5 Dépannage 77 Annexe A Caractéristiques 81 Annexe B Environnement de travail, sécurité et entretien 87 Consignes de sécurité importantes 87 Entretien général 89 Consignes importantes concernant l’organisation de l’espace de travail et la santé 90 Communications Regulation Information 935 C H A P I T R E 1 1 Installation Apple vous félicite pour l’acquisition de votre nouvel ordinateur Power Mac G4. Ce chapitre comporte des informations vous permettant d’installer et d’utiliser votre ordinateur et votre moniteur. Positionnement de l’ordinateur et du moniteur Vous pouvez saisir l’ordinateur par n’importe quelle poignée. Si le moniteur est lourd, veillez à adopter la méthode correcte pour le soulever lorsque vous le positionnez. Positionnez l’ordinateur et le moniteur de sorte que : m Ils reposent sur une surface plane et robuste. m Les prises des câbles d’alimentation ne soient coincées ni contre un mur ni quoi que ce soit. m Rien n’obstrue la circulation de l’air à l’arrière du moniteur ou de l’ordinateur. m Le plateau du lecteur de DVD-ROM ou DVD-RAM puisse s’ouvrir librement. IMPORTANT Le seul moyen de couper totalement l’alimentation de votre ordinateur et de votre moniteur consiste à déconnecter les prises de la source d’alimentation. Assurez-vous que les câbles de votre ordinateur et de votre moniteur sont à portée de main afin de pouvoir les débrancher immédiatement si nécessaire.6 Chapitre 1 Branchement de l’ordinateur 1 Assurez-vous que le commutateur situé au dos de l’ordinateur est positionné sur la tension correspondant au réseau électrique auquel vous vous connectez. Il doit être réglé sur la tension correcte pour éviter d’endommager l’ordinateur. Réglez le commutateur sur “230” pour les tensions comprises entre 200 et 240V. Réglez-le sur “115” pour les tensions comprises entre 100 et 120V. Si vous devez modifier le réglage, introduisez un tournevis dans cette rainure et faites glisser le commutateur.Installation 7 Pays Réglage du commutateur Arabie Saoudite, Bermudes, Canada, États-Unis, Jamaïque, Japon, Mexique, Philippines, Porto Rico, Taïwan, Venezuela 115 Bahreïn, Brésil, Corée du Sud, Espagne, France, Indonésie, Italie, Liban, Pérou1 115 ou 230 Afrique du Sud, Allemagne, Argentine, Australie, Autriche, Belgique, Bosnie-Herzégovine, Chili, Chine (y compris Hong Kong), Croatie, Danemark, Égypte, Émirats Arabes Unis, Finlande, Grèce, Groenland, Hongrie, Inde, Iran, Irlande, Irlande du Nord, Islande, Israël, Jordanie, Koweït, Liechtenstein, Luxembourg, Macédoine (ancienne république yougoslave), Malte, Népal, Norvège, Nouvelle-Zélande, Oman, Pakistan, Papouasie-Nouvelle-Guinée, Paraguay, Pays-Bas, Pologne, Portugal, Qatar, République Tchèque, Roumanie, Royaume-Uni, Russie et la Communauté d’États Indépendants (CEI), Serbie et Monténégro, Singapour, Slovaquie, Slovénie, Suède, Suisse, Yémen 230 1 Ces pays utilisent plusieurs types de tensions d’alimentation. Demandez à votre opérateur local quel réglage sélectionner dans votre cas. ATTENTION Le réglage de la tension de l’ordinateur détermine également la tension de la prise d’alimentation du moniteur située au dos de l’ordinateur. Par conséquent, assurez-vous que votre moniteur peut gérer cette tension avant de le relier à la prise de l’ordinateur. Veillez à utiliser un adaptateur ou un transformateur adéquat si nécessaire. Les moniteurs qui se connectent au port ADC de la carte graphique AGP de l’ordinateur ne nécessitent pas d’adaptateur car ils adoptent automatiquement la tension appropriée. 8 Chapitre 1 2 Branchez fermement et complètement le cordon d’alimentation sur la prise renfoncée marquée du symbole ≤, au dos de l’ordinateur, et connectez l’autre extrémité à une prise ou à une multiprise reliée à la terre. Fiche du câble d’alimentation Prise du câble d’alimentationInstallation 9 3 Connectez les câbles du moniteur selon l’illustration suivante : Si le câble de votre moniteur est muni d’un connecteur DB-15 à deux rangées, vous pouvez vous procurez un adaptateur Mac-VGA auprès d’un distributeur agréé Apple puis connecter votre moniteur au port VGA de l’ordinateur. IMPORTANT En fonction de votre moniteur, il se peut que vous deviez connecter soit un seul câble, soit plusieurs. Pour de plus amples d’informations, reportez-vous aux instructions fournies avec le moniteur. Ports USB Prise d’alimentation du moniteur Port moniteur ADC ™ Port moniteur VGA Câble du moniteur10 Chapitre 1 4 Si nécessaire, connectez votre ordinateur au réseau Ethernet et connectez votre port modem à une ligne téléphonique. 5 Connectez le câble du clavier à l’un des ports USB ( ) de l’ordinateur ou du moniteur, puis reliez la câble de la souris à un port USB du clavier. Port Ethernet Port modem Ports USB du clavier (2) Il se peut que certaines parties de l’ordinateur soient recouvertes d’une pellicule de protection en plastique ; vous pouvez l’enlever. Clavier SourisInstallation 11 Vous pouvez, si vous le souhaitez, ajuster la hauteur du clavier en abaissant son support situé au dos du clavier. 6 Allumez l’ordinateur en appuyant soit sur le bouton d’alimentation du moniteur, soit sur le bouton d’alimentation (®) du panneau avant de l’ordinateur. Problèmes divers Si rien n’apparaît à l’écran après quelques instants ou si vous pensez que votre ordinateur n’a pas démarré correctement, effectuez les vérifications suivantes afin de tenter d’identifier la cause du problème : m L’ordinateur est-il connecté à une source d’alimentation ? S’il est connecté à une multiprise munie d’un interrupteur, est-elle allumée ? m Les câbles du clavier et du moniteur sont-ils correctement connectés ? m Le bouton d’alimentation est-il allumé sur le panneau avant de l’ordinateur et sur le moniteur ? Si ce n’est pas le cas, l’ordinateur ou le moniteur n’est pas sous tension. m Les contrôles de luminosité et de contraste du moniteur sont-ils correctement réglés ? Si votre moniteur est muni de contrôles de luminosité et de contraste, essayez de les régler. m Essayez de redémarrer votre ordinateur. Appuyez sur le bouton d’alimentation de l’ordinateur pendant environ 5 secondes jusqu’à ce que l’ordinateur s’éteigne. Appuyez à nouveau sur ce bouton pour allumer l’ordinateur. m Si un point d’interrogation clignote à l’écran ou si vous entendez une série de bips sonores lorsque vous allumez l’ordinateur, consultez la section le chapitre 5, intitulé “Dépannage”, à la page 77.12 Chapitre 1 Mise hors tension de l’ordinateur Pour éteindre votre ordinateur : m Choisissez Éteindre dans le menu Spécial. Réglage de votre moniteur Ouvrez le tableau de bord Moniteurs pour ajuster les réglages de votre moniteur. Pour plus de détails sur le dépannage de votre moniteur, consultez la section “Problèmes de moniteur” à la page 79. Pour plus de détails sur l’entretien de votre moniteur, consultez la section “Entretien de votre moniteur” à la page 90. L’Aide Mac contient des informations complémentaires sur l’utilisation de votre moniteur. Pour faire enregistrer un nouveau moniteur Apple auprès d’Apple, rendez vous sur : www.apple.com/register (site web multilingue). Étape suivante m Pour consulter une présentation générale des fonctions de votre ordinateur, consultez le chapitre 2, intitulé “Familiarisation avec votre ordinateur”, à la page 13. m Pour davantage d’informations concernant l’utilisation de votre modem ou les autres fonctions matérielles de votre ordinateur, consultez le chapitre 3, intitulé “Utilisation de votre ordinateur”, à la page 35. m Pour toute information sur l’installation de lecteurs, de modules de mémoire ou de cartes d’extension PCI supplémentaires, ou sur le remplacement de la pile interne de l’ordinateur, consultez le chapitre 4, intitulé “Interventions à l’intérieur de l’ordinateur”, à la page 53. IMPORTANT N’utilisez l’interrupteur d’une multiprise ou ne débranchez la prise pour éteindre l’ordinateur que si vous ne parvenez à l’éteindre d’aucune autre manière. Si vous n’éteignez pas l’ordinateur correctement, vous risquez d’endommager vos fichiers ou le logiciel système.13 C H A P I T R E 2 2 Familiarisation avec votre ordinateur Si vous êtes impatient de commencer et que vous désirez faire quelques essais, ce chapitre est pour vous. Il présente un aperçu des fonctions matérielles et logicielles les plus importantes de votre ordinateur. Vous souhaitez créer vos propres chefs-d’œuvre vidéo ? Jetez un coup d’oeil à iMovie et découvrez comment vous pouvez réaliser des montages vidéo sur votre ordinateur. Plongezvous dans QuickTime pour visualiser des émissions vidéo en direct sur le Web. Mettez à profit Internet pour rechercher des informations, mettre à jour vos logiciels, effectuer des achats, naviguer sur le Web à votre guise, ou simplement consulter des sources d’aide en cas de besoin. Vous trouverez ici un large éventail de présentations des fonctions de votre ordinateur, brièvement expliquées. Lancez-vous dans un test et découvrez les capacités de votre Power Mac G4. Pour plus de détails sur une fonction en particulier, consultez le chapitre 3, intitulé “Utilisation de votre ordinateur”, à la page 35, ainsi que les explications en ligne de l’Aide Mac (voir la page 34). Remarque : il se peut que les illustrations présentant les nouveautés des logiciels diffèrent légèrement sur votre écran.14 Chapitre 2 Face avant de votre ordinateur Lecteur de DVD-ROM ou de DVD-RAM Bouton de réinitialisation P Bouton du programmeur ¥ Lecteur Zip (optionnel) Bouton et témoin d’alimentation Bouton d’ouverture du lecteur de DVD-ROM ou de DVD-RAM C Haut-parleurFamiliarisation avec votre ordinateur 15 Lecteur de DVD-ROM ou de DVD-RAM Les disques DVD vous permettent de visionner des films, d’installer des logiciels, et d’accéder à des informations. Un lecteur de DVD-ROM fonctionne avec des disques CD-ROM et DVD-ROM ainsi qu’avec les disques DVD-Vidéo et les Photo CD. Il lit également les CD audio standard. Un lecteur de DVD-RAM fonctionne avec tous ces disques et vous permet en plus d’enregistrer des données sur disques DVD-RAM. C Bouton d’ouverture du lecteur de DVD-ROM ou de DVD-RAM Ouvre le plateau du lecteur. Lecteur Zip (optionnel) Les disques Zip amovibles vous permettent de stocker et de sauvegarder des données. Vous pouvez acquérir un lecteur Zip et soit l’installer vous-même, soit le faire installer par un distributeur agréé Apple. ® Bouton/témoin d’alimentation Appuyez sur ce bouton pour mettre l’ordinateur sous tension ou le réactiver. Lorsque l’ordinateur est allumé, appuyer sur le bouton d’alimentation a pour effet de suspendre son activité. Un témoin blanc indique que l’ordinateur est allumé. Un témoin clignotant lentement indique que l’ordinateur est en veille. Avec certains moniteurs Apple, vous pouvez également appuyer sur le bouton d’alimentation du moniteur ou le toucher pour allumer ou éteindre l’ordinateur, ou pour le mettre en veille. P Bouton de réinitialisation Ce bouton contraint l’ordinateur à redémarrer. Utilisez-le uniquement si aucune des méthodes recommandées ne peut redémarrer l’ordinateur (par exemple, la commande Redémarrer du menu Spécial). Pour obtenir plus d’informations sur l’utilisation du bouton de réinitialisation, consultez le chapitre 5, intitulé “Dépannage”, à la page 77. ¥ Bouton du programmeur Ce bouton interrompt le fonctionnement normal des logiciels de l’ordinateur. Ce bouton ne s’utilise que rarement, voire jamais, uniquement lorsque des mises à jour du programme interne sont requises par votre système. Les directives d’utilisation de ce bouton figurent dans la documentation de la mise à jour du programme interne. 16 Chapitre 2 Ports et connecteurs : extension des capacités de votre ordinateur Anneau de verrouillage du panneau latéral Ports FireWire (2) Port de modem interne (optionnel) Prise d’alimentation Prise d’alimentation du moniteur Port d’entrée audio Ports USB (2) GPort Ethernet ≈ W ≤ Capots d’accès des logements d’extension (Logements 2 à 4 : PCI) F Port antivol -Port de sortie audio Port moniteur ADC Port moniteur VGA (Logement 1: AGP) ™Familiarisation avec votre ordinateur 17 Ports FireWire Connectent votre Macintosh à des périphériques FireWire tels que caméscope numérique, scanner, disque dur, etc. La norme FireWire permet de relier jusqu’à 63 périphériques, entre lesquels elle procure une mode de transfert des données à très haute vitesse. G Port Ethernet 10/100/1000 à paire torsadée Connecte votre Macintosh à un réseau Ethernet haute vitesse afin de vous permettre d’accéder à des ressources de réseau, telles qu’imprimantes et serveurs, et de partager des données avec d’autres ordinateurs du réseau. Ports USB Connecte votre Macintosh à des périphériques USB tels que claviers, souris, imprimantes, scanners, haut-parleurs, concentrateurs USB, et autres. Il est possible que votre moniteur soit également équipé de ports USB destinés à connecter des périphériques USB. ≈ Port d’entrée audio Connecte votre Macintosh à un microphone PlainTalk Apple ou autre appareil d’entrée audio afin que vous puissiez enregistrer du son et de la musique. - Port de sortie audio Connecte votre Macintosh à un casque d’écoute, à des haut-parleurs amplifiés externes, ou à tout autre matériel de sortie audio. F Anneau de verrouillage du capot et port antivol Vous pouvez fixer un cadenas au panneau latéral de votre Macintosh et à l’anneau arrière afin de protéger les composants internes. Le port antivol quant à lui permet d’installer un dispositif empêchant le vol de l’ordinateur. Lorsque l’anneau de verrouillage est sorti, vous pouvez enfiler un câble de verrouillage dans son orifice afin d’empêcher l’ouverture du panneau latéral de l’ordinateur. Adressez-vous à votre revendeur de produits informatiques pour savoir quels dispositifs de verrouillage fonctionnent avec votre ordinateur. W Port du modem interne Connecte un cordon téléphonique au modem interne. Prise d’alimentation du moniteur Permet de brancher l’alimentation du moniteur, au lieu de le brancher à une prise murale. ≤ Prise d’alimentation Connecte le cordon d’alimentation à l’ordinateur. Ports de moniteurs Connectent votre Macintosh soit à des moniteurs utilisant le port ADC, soit à des moniteurs standard équipés d’un connecteur VGA. Plaques de protection des logements d’extension (3) Votre Macintosh peut gérer jusqu’à trois cartes d’extension PCI (Peripheral Component Interconnect). Les logements protégés par une plaque, numérotés 2, 3 et 4, apportent des capacités d’extension supplémentaires. Dans certaines configurations, une carte SCSI Ultra 160 LVD (Low Voltage Differential) est installée dans l’un de ces logements.18 Chapitre 2 Intérieur de votre Power Mac : options d’extension internes de votre ordinateur Pile Logement 1 : AGP (carte graphique installée) Connecteur de Logements SDRAM (4) carte AirPort Logement Logements 2 à 4 : PCI 33 MHz (3) de lecteur 3 Logement de lecteur 2 Logement de lecteur 1Familiarisation avec votre ordinateur 19 Logements SDRAM Vous pouvez ajouter de la mémoire supplémentaire à votre ordinateur en installant jusqu’à 4 modules DIMM de mémoire DRAM dans les logements prévus à cet effet. Vous pouvez ainsi étendre la mémoire de votre ordinateur jusqu’à 1 536 Mo. Connecteur de carte AirPort Connecte une carte AirPort, qui permet à votre ordinateur de communiquer avec un réseau sans fil. Logements d’extension PCI Vous pouvez y installer des cartes PCI afin d’étendre les capacités de votre ordinateur. Vous pouvez par exemple y installer une carte PCI SCSI, puis y connecter des périphériques SCSI tels que scanner, disque dur et lecteur Zip. Logement de carte graphique AGP Connecte votre carte graphique AGP, qui apporte à votre moniteur une puissance de traitement graphique élevée. Vous pouvez y connecter un moniteur muni soit d’un connecteur ADC, soit d’un connecteur VGA standard. Pour connecter deux moniteurs à votre ordinateur, vous devez installer une carte graphique PCI supplémentaire pour gérer le second moniteur. Pile Votre ordinateur utilise une batterie qui ne se remplace que rarement. Des problèmes intermittents lors du démarrage de l’ordinateur ou des changements aléatoires de date et d’heure indiquent qu’il est peut-être temps de changer la pile. Pour toute information complémentaire, reportez-vous à la section “Remplacement de la pile” à la page 74. Supports de disques durs internes Vous pouvez installer des disques durs supplémentaires dans ces supports internes de votre ordinateur. Si vous êtes équipé de disques durs ATA, vous pouvez installer deux disques durs par support en forme de U. Si votre ordinateur est doté de disques durs SCSI, vous pouvez installer jusqu’à trois disques SCSI dans les supports. Baie d’extension pour lecteur Zip Vous pouvez installer dans cette baie un lecteur Zip que vous pouvez acquérir chez un distributeur agréé Apple.20 Chapitre 2 QuickTime : audio et vidéo sur Internet Contrôle de volume Bouton Lecture Tiroir des signets Accès rapide à tous vos canaux QuickTime TV. Tirez sur l’onglet inférieur pour ouvrir et refermer le tiroir des signets.Familiarisation avec votre ordinateur 21 Possibilités Outre la possibilité de lire des fichiers vidéo et musicaux sur votre Mac, QuickTime vous permet de regarder des émissions en direct ou en différé sur Internet. Marche à suivre 1 Connectez-vous à Internet. 2 Ouvrez QuickTime Player. 3 Déroulez le menu Signets et cliquez sur Ouvrir le tiroir des signets. 4 Sélectionnez une chaîne. Conseils et astuces Ajoutez des chaînes QuickTime TV supplémentaires Rendez-vous sur le site www.apple.com/fr/quicktime et cliquez sur le lien QuickTime TV. Vous y trouverez la totalité des chaînes QuickTime disponibles. Vous pouvez regarder une chaîne QuickTime TV, puis, d’un simple clic, l’ajouter au tiroir des signets de QuickTime Player. Évoluez vers QuickTime Pro pour bénéficier des capacités suivantes : m Lire des vidéos en plein écran et redimensionner des films. m Créer des films à diffusion en continu. m Manier plus de 30 formats audio, vidéo et graphiques, y compris Flash. m Créer, ouvrir, monter et enregistrer des films et de l’audio, par de simples opérations de copier-coller. Pour en savoir plus La vidéo Internet n’est que l’une des facettes de QuickTime. Pour en découvrir davantage, commencez par consulter l’Aide QuickTime. Pour télécharger des chaînes supplémentaires, visionner les plus récentes bandes-annonces et rechercher des informations sur la procédure à suivre pour configurer votre propre serveur de diffusion en continu sur Internet, visitez le site Web de QuickTime, www.apple.com/fr/quicktime22 Chapitre 2 Sherlock 2 : votre utilitaire de recherche sur Internet Bouton Recherche Après avoir tapé ce que vous recherchez, cliquez ici pour lancer la recherche. Canaux Sherlock Recherchez des personnes, faites des achats, tenez-vous au courant de l’actualité et informez-vous des dernières nouveautés d’Apple grâce à Internet. Sites de recherche Moteurs de recherche qu’utilise Sherlock pour examiner Internet.Familiarisation avec votre ordinateur 23 Possibilités Sherlock 2 remplit pour vous les fonctions de “détective” et d’acheteur personnel sur Internet. Il constitue un moyen simple de rechercher des personnes, des sources d’actualités ainsi qu’à peu près n’importe quoi. Il permet de se procurer des livres ou des disques, de passer en revue les sites de ventes aux enchères, de dénicher les prix les plus avantageux, et même de se renseigner sur la disponibilité des produits. Marche à suivre 1 Connectez-vous à Internet. 2 Choisissez “Rechercher sur Internet” dans le menu Fichier ou faites un double-clic sur l’icône de Sherlock, sur le bureau. 3 Sélectionnez un canal de Sherlock. 4 Tapez ce que vous recherchez puis cliquez sur le bouton Rechercher. Conseils et astuces Créez votre propre canal de recherche Sherlock 1 Choisissez Nouveau canal dans le menu Canaux. 2 Sélectionnez un nom, un type de canal et une icône. 3 Téléchargez des modules Sherlock et placez-les dans la liste de sites de recherche. Vous pouvez également maintenir enfoncée la touche Option et faire glisser des modules des autres listes de recherche sur l’icône de votre nouveau canal. Pour en savoir plus Pour en apprendre davantage sur les capacités de Sherlock, ouvrez l’Aide Mac et recherchez “Sherlock”. Pour télécharger des modules de recherche supplémentaires et découvrir comment vous pouvez créer votre propre module Sherlock, visitez le site Web de Sherlock sur www.apple.com/fr/sherlock 24 Chapitre 2 iMovie 2 : créez et montez vos propres films numériques Moniteur iMovie Prévisualisez votre film ou visionnez des vidéos directement à partir d’un caméscope vidéonumérique connecté. Commandes de lecture Servent à visionner un film dans iMovie. Commutateur de mode Permet d’alterner les modes importation depuis le caméscope et montage. Chronologie Le visualiseur et la chronologie sont des repères visuels qui permettent d’assembler et de monter un film. Boutons de montage Cliquez dessus pour ouvrir des fenêtres de réglage et de sélection de sons, d’effets vidéo, de titrage, et de transitions. Cliquez sur le bouton Clips pour afficher le rayon. Défileur Permet d’accéder directement à des passages d’une vidéo. Pistes audio Vous permettent de manipuler les enregistrements, la musique et les effets sonores. Tête de lecture Indique l’emplacement de l’image affichée dans le moniteur iMovie. Déplacez-la pour savoir ou apparaît chaque scène. Piste vidéo Vous permet de manipuler la bande son d’une vidéo. Visualiseur Rayon Pour intégrer des clips à votre film après les avoir importés, faitesles glisser du rayon au visualiseur. Familiarisation avec votre ordinateur 25 Possibilités iMovie est une application de montage vidéo numérique conviviale et simple d’emploi. À l’aide d’iMovie et d’un caméscope numérique, vous pouvez créer et monter vos propres films. Ce logiciel vous permet d’importer de la vidéo du caméscope, de monter des clips et d’ajouter des transitions, le titrage, des effets sonores et de la musique. Vous pouvez ensuite copier le film sur une cassette de caméscope ou créer un film QuickTime. Marche à suivre 1 Filmez votre vidéo, connectez le caméscope au port FireWire de votre ordinateur, puis ouvrez iMovie. 2 Cliquez sur le bouton Importer pour importer les clips sur le rayon, puis ajoutez-les à votre film en les faisant glisser sur le visualiseur de clips. 3 Assemblez et montez votre film dans le visualiseur de clips et dans la chronologie. 4 Ajoutez des transitions, le titrage, des effets sonores et de la musique. 5 Une fois que vous avez terminé, choisissez Exporter dans le menu Fichier. Conseils et astuces Partagez votre film iMovie avec vos amis et proches Exportez votre film comme séquence QuickTime Web, puis copiez-le sur votre iDisk ou utilisez HomePage pour créer votre propre cinéma iMovie afin que d’autres personnes puissent visionner votre film sur Internet. Pour en savoir plus Pour plus d’informations sur l’utilisation d’iMovie, consultez l’initiation iMovie Tutorial ou l’Aide iMovie. Pour les dernières informations concernant iMovie, notamment les mises à jour, les modules supplémentaires et la liste des caméscopes numériques compatibles, consultez le site Web iMovie : www.apple.com/fr/imovie26 Chapitre 2 iTools : des services Internet gratuits pour les utilisateurs de Mac Les services iTools ne sont disponibles qu’en langue anglaise. Messagerie Recevez votre propre adresse Mac.com C’est simple, gratuit, et fonctionne avec vos applications de messagerie favorites. iDisk En vous offrant 20 Mo d’espace de stockage personnel sur le serveur Internet d’Apple, iDisk est un excellent moyen de partager aisément via Internet des fichiers tels que photos et films, et même de les importer sur votre site. HomePage Concevez votre propre site Web personnel en trois étapes simples. Créez un faire-part de naissance, un C.V., un album photo, ou votre propre ciné iMovie. Apple l’hébergera même sur son serveur Internet, pour une disponibilité constante. KidSafe KidSafe contribue à la protection de vos enfants sur Internet. KidSafe leur procure l’accès à plus de 75000 sites approuvés par des pédagogues, et bloque le reste. Familiarisation avec votre ordinateur 27 Possibilités iTools est une nouvelle classe de services Internet créés par Apple exclusivement à l’intention des utilisateurs de Mac. Avec iTools, vous pouvez envoyer des messages, rendre Internet plus sûr pour vos enfants, et partager des photos et des films. Vous pouvez même créer votre propre site Web. Marche à suivre 1 Connectez-vous à Internet. 2 Rendez-vous sur www.apple.com (en anglais) 3 Cliquez sur l’onglet iTools, puis sur le bouton “Free Sign Up” (“Inscription gratuite”). Conseils et astuces Téléchargez des images sur votre espace iDisk afin de créer des cartes iCards personnalisées Vous pouvez envoyer des cartes iCards avec vos propres images personnalisées. Pour cela, enregistrez vos images au format GIF ou JPEG, puis copiez-les dans le dossier Pictures de votre iDisk. Elles apparaîtront alors comme options de la section “Create your own” lorsque vous créerez une iCard. Partez d’un modèle de page d’accueil de la section HomePage pour créer votre propre page Web en quelques minutes La section HomePage propose des modèles de pages Web que vous pouvez personnaliser avec votre propre texte et vos propres images. Les enseignants peuvent par exemple se servir des modèles consacrés à l’enseignement pour diffuser des nouvelles sur la classe, communiquer les devoirs à faire, ou informer les parents. Vous pouvez également recourir à l’album photo HomePage et aux modèles iMovie pour partager facilement vos images et films avec vos amis et votre famille. Créez un alias de votre iDisk pour y accéder directement Au lieu de vous connecter au Web manuellement pour ouvrir votre iDisk, vous pouvez sélectionner son icône puis choisir Créer un alias dans le menu Fichier. Dès que vous souhaiterez accéder à votre iDisk, il vous suffira d’un double-clic sur l’alias et de votre mot de passe. Utilisez KidSafe conjointement au tableau de bord Utilisateurs multiples Le tableau de bord Utilisateurs multiples vous permet de configurer votre ordinateur pour que toute la famille se le partage. Vous pouvez désormais configurer KidSafe pour chacun des comptes de vos enfants.28 Chapitre 2 Mise à jour automatique : maintenez automatiquement votre Mac à la pointe des nouveautés Mettre à jour maintenant Vérifiez instantanément sur les serveurs Internet d’Apple si des mises à jour sont disponibles pour vos logiciels. Le tableau de bord Mise à jour de logiciels affiche toutes les mises à jour disponibles à même d’assurer la continuité du fonctionnement optimal de votre Mac. Calendrier Programmez le jour et l’heure de vérification automatique des mises à jour de logiciels.Familiarisation avec votre ordinateur 29 Possibilités La mise à jour automatique se sert d’Internet pour télécharger (et même installer) automatiquement les mises à jour, gestionnaires et autres perfectionnements les plus récents depuis le site d’Apple. Vous pouvez même configurer votre Mac pour qu’il vérifie régulièrement le serveur d’Apple afin qu’il télécharge et installe les logiciels mis à jour. Marche à suivre 1 Connectez-vous à Internet. 2 Choisissez Tableaux de bord dans le menu Pomme et choisissez Mise à jour de logiciels dans le sous-menu. 3 Cliquez sur le bouton Mettre à jour maintenant. 4 Sélectionnez le logiciel que vous souhaitez mettre à jour et cliquez sur Installer. Conseils et astuces Programmez votre calendrier de mise à jour Si vous disposez d’une connexion permanente à Internet, vous pouvez programmer votre ordinateur pour qu’il vérifie à une certaine heure de certains jours si des mises à jour sont disponibles. Si vous disposez d’une connexion par appel et que vous n’êtes pas connecté, Mise à jour de logiciels vérifiera lors de la prochaine connexion. Installez automatiquement les nouveaux logiciels Vous pouvez configurer votre Mac pour qu’il vérifie chaque semaine si des mises à jour sont disponibles et qu’il les installe. Programmez le calendrier de recherche de mises à jour par votre ordinateur, puis désactivez l’option “Confirmation avant installation”. Pour en savoir plus Pour plus d’informations sur l’utilisation de Mise à jours de logiciels, consultez cette rubrique dans l’Aide Mac. Pour consulter les toutes dernières informations sur Mac OS, visitez le site Web de Mac OS sur www.apple.com/fr/macos 30 Chapitre 2 Utilisateurs multiples : transformez un seul Mac en plusieurs Comptes Définissez l’apparence de l’environnement de l’utilisateur. Si vous désirez contrôler l’accès de l’utilisateur à certaines applications, cliquez sur Limité ou sur Tableaux.Familiarisation avec votre ordinateur 31 Possibilités Grâce à Utilisateurs multiples, vous pouvez permettre à jusqu’à 40 utilisateurs différents de partager un même Mac, chacun d’eux disposant de ses propres réglages personnalisés et de son espace de stockage privé. Chaque utilisateur peut par exemple définir son propre fond d’écran, choisir son mode de tri, mémoriser des sites Web comme signets, ainsi que bien d’autres choses qui créent, en fait, un Mac personnalisé pour chaque individu. Vous pouvez également spécifier le niveau d’accès et la liberté de modification attribués à chaque utilisateur. Marche à suivre 1 Choisissez Tableaux de bord dans le menu Apple, puis Utilisateurs multiples dans le sousmenu. 2 Activez Comptes d’utilisateurs multiples. 3 Cliquez sur le bouton Options pour configurer des réglages multi-utilisateurs globaux, par exemple le message de bienvenue. 4 Cliquez sur le bouton Nouveau. 5 Saisissez les informations sur l’utilisateur, ses autorisations d’accès et ses applications. 6 Refermez le tableau de bord Utilisateurs multiples. À chaque démarrage de l’ordinateur, la fenêtre d’ouverture de session s’affichera. Pour revenir à cette fenêtre après qu’un autre utilisateur se soit connecté, choisissez “Fermer la session” dans le menu Spécial. Conseils et astuces Créez un mot de passe vocal Enregistrez-vous énonçant une phrase de type “Ma voix sert de mot de passe”. Votre Mac l’enregistrera pour comparaison. Lorsque vous désirerez ultérieurement vous connecter en énonçant cette phrase, votre Mac analysera les caractéristiques de votre voix pour s’assurer que c’est bien de vous qu’il s’agit. Pour en savoir plus Pour plus d’informations sur la configuration d’Utilisateurs multiples, y compris la création d’une empreinte vocale, recherchez Utilisateurs multiples dans l’Aide Mac. Pour les toutes dernières importations concernant Mac OS, rendez-vous sur le site Web Mac OS à l’adresse : www.apple.com/fr/macos 32 Chapitre 2 Apple.com : votre point de départ sur le World Wide Web Macintosh Products Guide www.apple.com/guide Pour vous procurer des accessoires et logiciels destinés à votre Mac, consultez ce site ou recherchez le symbole Mac. iCards www.apple.com/icards Servez-vous d’Internet pour envoyer des cartes postales à vos amis et proches (en anglais). iReview www.apple.com/ireview Votre guide personnel d’Internet, avec des revues et recommendations détaillées de sites allant du tourisme à la musique et au sport (en anglais).Familiarisation avec votre ordinateur 33 Assistance Apple www.apple.com/support Découvrez les plus récentes informations de dépannage, téléchargez des mises à jour de logiciels, renseignez-vous sur les formules de protection des produits, etc. Actualités Apple www.apple.com/fr/hotnews Souhaitez-vous consulter les plus récentes actualités d’Apple directement à la source ? Rendezvous sur Actualités Apple. Vous y trouverez des informations sur les mises à jour de logiciels pour votre Mac, des logiciels de tierces parties, des recommandations QuickTime, ainsi que des informations sur la prochaine manifestation Apple d’importance. The Apple Store www.apple.com/store Votre site d’achat exhaustif des plus récents logiciels et matériels Apple, y compris des logiciels et accessoires conçus par nos éditeurs tiers.34 Chapitre 2 Aide Mac : les réponses à toutes vos questions sur le Mac Recherche Une question ? Tapez-la ici, puis cliquez sur Rechercher.35 C H A P I T R E 3 3 Utilisation de votre ordinateur Le présent chapitre contient des explications ainsi que des procédures d’utilisation de votre ordinateur Power Mac G4. Vous y trouverez des instructions concernant les principales fonctionnalités de votre ordinateur, notamment le clavier et la souris, le modem, les ports FireWire et USB et le travail en réseau. Ce chapitre offre des explications sur les thèmes suivants : m “Utilisation du clavier et de la souris Apple Pro” à la page 36 m “Utilisation de périphériques USB” à la page 38 m “Utilisation de périphériques FireWire” à la page 40 m “Utilisation de votre lecteur de DVD” à la page 42 m “Utilisation de votre modem” à la page 44 m “Connexion à un réseau Ethernet” à la page 45 m “Utilisation d’un réseau AirPort sans fil” à la page 47 m “Suspension de l’activité de l’ordinateur pour économiser l’énergie” à la page 48 m “Connexion de périphériques SCSI à votre ordinateur” à la page 49 m “Transfert d’informations entre deux ordinateurs Apple” à la page 50 m “Utilisation de l’ordinateur comme serveur sans moniteur” à la page 5036 Chapitre 3 Utilisation du clavier et de la souris Apple Pro Vous pouvez rapidement régler certains paramètres, tels que le volume, ou éjecter des CD ou DVD à l’aide des commandes du clavier. Votre clavier Apple Pro possède des touches de fonctions raccourci que vous pouvez paramétrer afin d’ouvrir les logiciels ou documents que vous utilisez fréquemment. Par exemple, vous pouvez recourir à ces touches pour ouvrir votre navigateur Web, votre traitement de texte ou votre jeu préféré. Une fois que les logiciels sont ouverts, ces touches vous permettent d’alterner rapidement entre eux. Affectation de touches de fonctions raccourcis Affecter une touche de fonction à un logiciel est très simple. La première fois que vous actionnez l’une des touches de fonctions, une zone de dialogue s’ouvre pour vous permettre de les affecter à un logiciel. Vous pouvez ensuite modifier les affectations de touches de fonctions via le tableau de bord Frappe clavier. Utilisation des touches de fonctions standard Vous pouvez rapidement convertir une touche Contrôle ou de raccourci en touche de fonction standard en appuyant simultanément sur la touche concernée et sur Fn. Vous pouvez également recourir au tableau de bord Frappe clavier pour inverser les touches, afin que les touches de fonctions standard soient les principales et que les commandes à l’écran ainsi que les raccourcis soient secondaires. Touches de fonctions Touche de baisse du volume Touche de hausse du volume Touche Silence Touche d’éjectionUtilisation de votre ordinateur 37 Utilisation de la souris Apple Pro Pour positionner le pointeur à l’aide de votre souris, déplacez celle-ci sur n’importe quelle surface adaptée, telle que le bureau, le tapis de souris ou toute autre surface granuleuse (certaines surfaces lisses et unies ne permettent pas de contrôler le pointeur autant que d’autres). Pour cliquer sur un objet, appuyez une fois sur le corps de la souris, jusqu’à ce que vous ressentiez un clic. Pour faire un double-clic sur un élément, appuyez deux fois successivement et rapidement. Vous pouvez régler le toucher de votre souris en tournant le cadran situé au dos. Vous pouvez rendre la sensibilité du clic plus ou moins douce selon que vous tournez le cadran dans un sens ou dans l’autre. Informations complémentaires sur vos clavier et souris L’Aide Mac offre des informations complémentaires sur la configuration des commandes de clavier et des touches de fonctions raccourcis. Pour y accéder, choisissez Aide Mac dans le menu Aide et tapez “clavier” ou “souris” dans le champ de recherche. Si vous êtes en bout de course faute de place mais que vous voulez conserver le clic lorsque vous soulevez la souris, cliquez, puis appuyez sur les côtés avec le pouce et les doigts tandis que vous soulevez. Tournez le cadran du dos de la souris vers “+” pour plus de tension, vers “O” pour une tension moyenne, et vers “– ” pour une tension moindre.38 Chapitre 3 Utilisation de périphériques USB Votre Power Mac G4 est équipé d’origine de deux ports USB qui peuvent servir à connecter de nombreux types de périphériques externes, y compris imprimantes, appareils photo numériques, consoles et manettes de jeux, claviers et souris, ainsi que périphériques de stockage. La technologie USB facilite la connexion de matériel externe. Vous pouvez utiliser le périphérique dès son branchement, sans avoir à redémarrer votre ordinateur. Pour utiliser un périphérique USB avec votre ordinateur, connectez le périphérique à ce dernier. Ensuite, vous pouvez soit en installer le logiciel, soit configurer une seule fois votre ordinateur pour qu’il fonctionne avec le périphérique. Dès ce moment, votre ordinateur charge automatiquement le logiciel correct à chaque fois que vous y connectez le périphérique. Remarque : Apple fournit d’origine des logiciels compatibles avec de nombreux périphériques USB. Dans la plupart des cas, vous n’avez donc pas besoin d’installer le logiciel livré avec le périphérique. Si, lors du branchement d’un périphérique USB, votre Power Mac G4 ne parvient pas à localiser le logiciel correct, il vous demande de le rechercher sur Internet. Ports USB (2)Utilisation de votre ordinateur 39 Connexion de plusieurs périphériques USB Votre Power Mac G4 possède deux ports USB. Si vous souhaitez utiliser plus de deux périphériques, faites l’acquisition d’un concentrateur USB, qui se connecte à un port disponible de votre ordinateur et offre des ports USB supplémentaires (généralement quatre ou sept). Informations complémentaires sur la technologie USB L’Aide Mac offre des informations complémentaires sur la technologie USB. Pour y accéder, choisissez Aide Mac dans le menu Aide et tapez “USB” dans le champ de recherche. Des informations sont également disponibles sur le site Web USB d’Apple à l’adresse suivante : www.apple.com/fr/usb Pour toute information sur les périphériques USB disponibles pour votre ordinateur, consultez le Guide des produits Macintosh sur www.apple.com/guide (site multilingue). Concentrateur USB40 Chapitre 3 Utilisation de périphériques FireWire Votre ordinateur possède deux ports FireWire. FireWire est un système de transfert de données à haute vitesse qui vous permet de connecter et de déconnecter aisément des périphériques externes, tels que caméras vidéonumériques, imprimantes, scanners et disques durs. Vous pouvez connecter et déconnecter des périphériques FireWire sans redémarrrer votre ordinateur. La liste ci-dessous répertorie certaines des opérations possibles avec FireWire : m Connecter une caméra vidéonumérique et capturer ou transférer de la vidéo haute qualité directement vers l’ordinateur. Vous pouvez alors utiliser des logiciels de montage vidéo comme iMovie d’Apple pour modifier la vidéo. Votre kit d’accessoires comprend un câble FireWire standard 6 broches-4 broches qui sert à connecter la plupart des caméras vidéonumériques. m Connecter un lecteur de disque dur FireWire externe et s’en servir pour effectuer des copies de sauvegarde ou transférer des fichiers. Une icône de disque dur FireWire s’affiche sur votre bureau immédiatement après la connexion du lecteur à votre Power Mac G4. En outre, la plupart des disques durs FireWire étant alimentés par le câble FireWire, il est inutile de prévoir un bloc d’alimentation séparé. m Si vous rencontrez un problème avec votre ordinateur qui vous empêche de démarrer ou que vous souhaitez transférer des fichiers, vous pouvez utiliser FireWire pour connecter votre Power Mac G4 à un autre ordinateur, afin que votre Power Mac G4 s’affiche en tant que disque dur externe sur l’autre poste (fonction appelée “mode disque cible FireWire”). Pour utiliser un périphérique USB avec votre ordinateur, connectez le périphérique à ce dernier et installez tout logiciel fourni avec le périphérique. Votre ordinateur détecte automatiquement la connexion d’un nouveau périphérique. Pour démarrer à partir d’un disque dur FireWire doté de Mac OS, utilisez le tableau de bord Démarrage afin de sélectionner le disque dur FireWire en vue du démarrage. Si votre disque dur FireWire ne figure pas dans le tableau de bord ou que vous ne pouvez pas le sélectionner, contactez son revendeur pour obtenir des gestionnaires mis à jour. Ports FireWire (2)Utilisation de votre ordinateur 41 Mode disque cible FireWire Si vous rencontrez un problème avec votre ordinateur qui vous empêche de démarrer ou que vous souhaitez simplement transférer des fichiers, vous pouvez utiliser FireWire pour connecter votre Power Mac G4 à un autre ordinateur, afin que votre Power Mac G4 s’affiche en tant que disque dur externe sur l’autre poste. Pour connecter votre Power Mac G4 en mode disque cible FireWire : 1 Utilisez un câble FireWire standard muni d’un connecteur à 6 broches à chaque extrémité pour connecter votre Power Mac G4 à un autre ordinateur équipé de FireWire. 2 Démarrez ou redémarrez votre Power Mac G4 et maintenez immédiatement la touche T enfoncée. L’indicateur de mode disque FireWire s’affiche sur l’écran de votre Power Mac G4, tandis que l’icône de disque dur interne du Power Mac G4 s’affiche sur le bureau de l’autre ordinateur. 3 Une fois le transfert de fichiers terminé, faites glisser l’icône de disque dur du Power Mac G4 sur la corbeille pour démonter le lecteur. 4 Appuyez sur le bouton d’alimentation du Power Mac G4 pour l’éteindre, puis déconnectez le câble FireWire. Informations complémentaires sur la technologie FireWire L’Aide Mac offre des informations complémentaires sur la technologie FireWire, y compris sur l’établissement d’un réseau de périphériques FireWire. Pour y accéder, choisissez Aide Mac dans le menu Aide et tapez “FireWire” dans le champ de recherche. Des informations sont également disponibles sur le site Web FireWire d’Apple à l’adresse suivante : www.apple.com/ fr/firewire Pour toute information sur les périphériques FireWire disponibles pour votre ordinateur, consultez le Guide des produits Macintosh sur www.apple.com/guide (site multilingue). IMPORTANT La version 2.3.3 ou ultérieure de FireWire doit être installée sur l’ordinateur auquel vous connectez votre Power Mac G4. Vérifiez quelle est la version installée sur votre ordinateur en choisissant “Informations système Apple” dans le menu Pomme. Si vous possédez une version plus ancienne, consultez le site Web FireWire d’Apple sur www.apple.com/fr/firewire42 Chapitre 3 Utilisation de votre lecteur de DVD Vous pouvez installer ou exécuter des logiciels à partir de CD ou DVD à l’aide du lecteur de DVD. Vous pouvez également utiliser votre lecteur de DVD pour visionner des films sur DVD et des données multimédias sur CD-ROM ou écouter de la musique sur CD audio. Remarque : si vous possédez des logiciels anciens fournis sur disquettes, demandez à l’éditeur s’ils sont disponibles sur CD-ROM ou faites l’acquisition d’un lecteur de disquettes externe FireWire ou USB (tels qu’un LS120/SuperDisk) pour votre Power Mac G4 chez un distributeur Apple ou via le site Web The Apple Store (www.apple.com/store). Insertion d’un disque Pour installer ou utiliser des logiciels situés sur CD ou DVD, procédez comme suit : 1 L’ordinateur étant allumé, appuyez sur le bouton situé sur l’extérieur du lecteur. 2 Placez un disque dans le plateau en veillant à le poser bien à plat et l’étiquette vers le haut. 3 Appuyez sur le plateau pour le refermer. 4 Dès que l’icône du disque s’affiche à l’écran, le disque est prêt à être utilisé. Insertion d’un disque ou d’une cartouche DVD-RAM 1 Appuyez sur le bouton d’ouverture de la trappe du lecteur. 2 Insérez le disque ou la cartouche dans le plateau du lecteur. Saisissez le disque comme indiqué. Veillez à ne pas toucher la surface. Lecteur de DVD-RAMUtilisation de votre ordinateur 43 Éjection d’un disque ou d’une cartouche Un disque s’éjecte soit en faisant glisser son icône sur la corbeille, soit en appuyant sur la touche prévue à cet effet sur le clavier. Vous ne pouvez utiliser le bouton du lecteur pour éjecter un disque du lecteur de DVD. Si vous ne parvenez pas à éjecter un disque, essayez les solutions suivantes : 1 Éteignez l’ordinateur. 2 Abaissez délicatement la trappe qui masque le devant du plateau du lecteur et repérez le petit orifice situé à côte du bouton d’ouverture, sous le plateau. 3 Insérez délicatement dans cet orifice l’extrémité d’un trombone redressé. 4 Appuyez fermement jusqu’à ce que le plateau s’ouvre. 5 Tirez le plateau vers vous, enlevez le disque ou la cartouche DVD, puis appuyez sur le plateau pour le refermer. Lecture de disques DVD et audio Le lecteur de DVD vous permet de visionner des disques DVD-Vidéo sur votre ordinateur Power Mac G4. Insérez le DVD, puis ouvrez le logiciel Lecteur DVD Apple (situé dans le dossier Applications de votre disque dur). Pour écouter des CD audio standard, utilisez l’application Lecture audio AppleCD. Pour consulter l’aide de Lecture audio AppleCD, ouvrez le menu Aide une fois l’application lancée. Vous pouvez employer soit l’option Lecture automatique du tableau de bord Réglages QuickTime, soit le module Lecture de la barre des réglages pour contrôler la lecture des CD audio. Enfoncez la cartouche dans le lecteur jusqu’à ce que ce dernier se referme automatiquement.44 Chapitre 3 Informations complémentaires sur votre lecteur de DVD Pour obtenir des instructions d’utilisation du logiciel Lecteur DVD Apple, ouvrez ce logiciel et choisissez Aide Lecteur DVD Apple dans le menu Aide. L’Aide Mac offre des informations complémentaires sur l’utilisation de CD et de DVD. Pour y accéder, choisissez Aide Mac dans le menu Aide et tapez “CD” ou “DVD” dans le champ de recherche. Utilisation de votre modem Votre Macintosh est équipé d’origine d’un modem interne 56K V90 d’Apple. Pour connecter votre modem interne 56K V90 d’Apple, branchez une extrémité d’un câble téléphonique sur le port de modem situé au dos de l’ordinateur et l’autre extrémité sur une prise téléphonique murale RJ-11 standard. L’Aide Mac (du menu Aide) offre des informations complémentaires sur le modem interne. Utilisation d’un modem USB externe Pour connecter un modem USB externe, reliez-le au moyen d’un câble USB à un port USB disponible sur le clavier, l’ordinateur, le moniteur ou le concentrateur USB. Consultez la documentation du modem pour savoir s’il doit être connecté à une prise électrique. Consultez également les instructions d’installation d’un logiciel de modem et de connexion du modem à une ligne téléphonique. Port modem Icône du port modem IMPORTANT Veillez à connecter le modem interne à une ligne téléphonique analogique (type le plus courant chez les particuliers). Le modem ne fonctionnera pas avec une ligne numérique. ATTENTION Déconnectez votre modem de la prise téléphonique en cas d’orage. Cela évite que toute surtension n’endommage le modem.Utilisation de votre ordinateur 45 Connexion à un réseau Ethernet Votre ordinateur est équipé de fonctionnalités intégrées de réseau Ethernet à paire torsadée à 10/100/1000 mégabits par seconde (Mbps). La connexion à un réseau vous donné accès à d’autres ordinateurs et vous permet de stocker et de récupérer des informations, d’utiliser imprimantes de réseau, modems et messagerie électronique, ou encore de vous connecter à Internet. Vous pouvez également utiliser Ethernet afin de partager des fichiers entre deux ordinateurs ou d’établir un petit réseau. Si vous vous connectez à un réseau existant, vous pouvez obtenir des renseignements sur le réseau lui-même et sur les logiciels nécessaires à son utilisation auprès de l’administrateur qui le supervise. Avant de commencer, identifiez votre administrateur de réseau. Suivez les instructions ci-après lorsque vous sélectionnez un câble pour votre réseau : Connexion à un réseau Ethernet à paire torsadée Vous pouvez vous connecter directement à un réseau Ethernet 10/100/1000 à paire torsadée. Remarque : vous pouvez également connecter votre ordinateur à un réseau Ethernet utilisant des câbles coaxiaux fins. Pour cela, procurez-vous un adaptateur RJ-45–coaxial fin (disponible auprès d’autres fabricants). Adressez-vous à votre distributeur agréé Apple pour plus d’informations sur les adaptateurs Ethernet. Pour connecter votre Macintosh à un réseau 10/100/1000 centralisé à paire torsadée, procédez comme suit : 1 Connectez l’extrémité d’un câble à paire torsadée RJ-45 au port Ethernet de votre Macintosh. Type de port Ethernet à paire torsadée Utilisez des types de câbles à paire torsadée 10 Mbit Catégorie 3, 5 ou 6 100/1000 Mbit Catégorie 5 ou 646 Chapitre 3 2 Connectez l’autre extrémité à une prise murale RJ-45 ou à un concentrateur externe RJ-45 relié à un réseau Ethernet à paire torsadée. Après avoir démarré l’ordinateur, vous devez configurer votre logiciel de connexion au réseau. Votre administrateur de réseau peut vous fournir les informations nécessaires. Vous pouvez également obtenir de l’aide sur la configuration de votre logiciel de réseau en consultant l’Aide Mac (via le menu Aide). Informations complémentaires sur l’utilisation d’Ethernet Des informations complémentaires sont disponibles dans l’Aide Mac, y compris sur l’établissement d’un réseau Ethernet et sur le transfert de fichiers via ce protocole. Pour y accéder, choisissez Aide Mac dans le menu Aide et tapez “Ethernet” ou “réseau” dans le champ de recherche. Pour toute information sur les logiciels de réseau que vous pouvez utiliser avec votre Power Mac G4, consultez le Guide des produits Macintosh sur www.apple.com/guide (site multilingue). Port Ethernet (Ethernet à paire torsadée) Prise murale RJ-45 Câble Ethernet à paire torsadée Concentrateur ou commutateur Ethernet Utilisation de votre ordinateur 47 Utilisation d’un réseau AirPort sans fil AirPort offre une manière aisée et abordable d’accéder à Internet sans fil, que ce soit à domicile, au bureau ou en milieu éducatif. Au lieu de fonctionner avec des câbles classiques, AirPort fonctionne avec la technologie de réseau local (LAN) sans fil permettant une communication sans fil entre plusieurs ordinateurs. Un réseau sans fil vous permet, entre autres avantages, de configurer l’accès à Internet, de transférer des fichiers et de pratiquer des jeux à plusieurs. Votre Power Mac G4 est préconfiguré pour l’utilisation d’AirPort. Le seul élément à ajouter est une carte AirPort. Vous devez installer cette dernière dans un logement à l’intérieur de l’ordinateur et la connecter directement à l’extrémité du câble d’antenne intégré. Mode d’accès à Internet via AirPort Le système AirPort permet d’établir une connexion sans fil avec un appareil appelé borne d’accès qui dispose d’une connexion physique à Internet. La technologie AirPort fonctionne comme un téléphone sans fil. Le combiné du téléphone établit une connexion sans fil avec la borne, qui est reliée à la ligne téléphonique. De même, votre ordinateur établit une connexion sans fil avec la borne, qui est reliée soit à la ligne téléphonique, soit à votre réseau Ethernet. Borne d’accès AirPort Connexion téléphonique ou Ethernet48 Chapitre 3 Connexions de réseau sans fil Si vous installez une carte AirPort, vous pouvez : m Connecter votre ordinateur à un réseau disposant de l’accès sans fil. m Utiliser votre ordinateur pour permettre à d’autres ordinateurs d’accéder au réseau à l’aide de cartes sans fil. m Établir une connexion sans fil et partager des informations avec un autre ordinateur équipé d’une carte AirPort. Pour plus d’informations sur la manière d’atteindre le point d’accès du réseau sans fil, contactez votre administrateur de réseau. Si une carte AirPort optionnelle est branchée sur le connecteur de la carte mère de votre ordinateur, l’antenne intégrée située dans le boîtier de ce dernier peut servir à établir une connexion avec d’autres ordinateurs. Informations complémentaires sur AirPort Pour acquérir une carte ou une borne d’accès AirPort, adressez-vous à votre distributeur agréé Apple ou consultez le site Web The Apple Store sur www.apple.com/store L’Aide Mac offre des informations complémentaires sur la technologie AirPort. Choisissez Centre d’aide dans le menu Aide et sélectionnez Aide AirPort. Vous pouvez également obtenir des informations sur le site Web AirPort d’Apple à l’adresse suivante : www.apple.com/airport (en anglais). Suspension de l’activité de l’ordinateur pour économiser l’énergie Les ordinateurs Power Mac G4 sont configurés de manière à suspendre leur activité après une période d’inactivité. La suspension d’activité permet à votre ordinateur de consommer le minimum d’énergie. L’activité de l’ordinateur peut également être suspendue à tout moment. Remarque : bien qu’ils ne soient pas configurés d’origine pour la suspension d’activité, vous pouvez activer cette fonction sur les ordinateurs Macintosh Server G4. ATTENTION Plusieurs types d’objets placés près de l’ordinateur peuvent provoquer des interférences. Pour savoir comment éviter toute interférence, reportez-vous aux instructions fournies avec la carte AirPort ou avec la borne d’accès AirPort. Pour obtenir des informations supplémentaires, consultez la bibliothèque d’informations techniques Apple à l’adresse Internet suivante (en anglais) : til.info.apple.comUtilisation de votre ordinateur 49 Lorsque l’ordinateur suspend son activité, il enregistre les travaux en cours de façon à ce que vos applications, documents et réglages des tableaux de bord restent inchangés à la réactivation. Utilisez le tableau de bord Économies d’énergie, faisant partie du logiciel système de l’ordinateur, pour régler les paramètres de suspension d’activité. Pour économiser davantage l’énergie, vous pouvez soit débrancher l’ordinateur de la prise électrique, soit éteindre la multiprise (le cas échéant) lorsque l’ordinateur n’est pas en service. Pour suspendre l’activité de votre ordinateur, vous pouvez : m Appuyer sur le bouton d’alimentation situé à l’avant de l’ordinateur. m Sélectionner un mode de suspension d’activité dans le module Réglages d’énergie de la barre des réglages. m Choisissez “Suspendre l’activité” dans le menu Spécial. Lorsque l’activité de l’ordinateur est suspendue, le témoin d’alimentation situé sur le panneau avant clignote. Réactivez l’ordinateur en appuyant soit sur le bouton d’alimentation situé sur le panneau avant de l’ordinateur, soit sur n’importe quelle touche. Avec certains moniteurs Apple, vous pouvez également utiliser le bouton d’alimentation du moniteur pour suspendre l’activité de l’ordinateur et le réactiver. Les cartes PCI ou de rechange AGP ne sont pas toutes conformes aux normes de consommation électrique de l’ordinateur. Si vous installez une carte non conforme, l’activité de l’ordinateur peut toujours être suspendue, mais la quantité d’énergie économisée ne sera pas optimale. Vérifiez la conformité de la carte installée à l’aide de la section “Informations système Apple” (menu Pomme). Pour obtenir des informations supplémentaires sur les options d’économies d’énergie, consultez l’Aide Mac. Connexion de périphériques SCSI à votre ordinateur Certains modèles de Power Mac G4 sont équipés d’une carte SCSI bicanal Ultra 160, installée dans un logement PCI et reliée à un ou plusieurs disques durs SCSI internes. Vous pouvez installer un maximum de trois disques durs SCSI supplémentaires. Il est conseillé de ne connecter les disques durs SCSI Ultra 160 LVD qu’au port interne de la carte SCSI bicanal. Vous pouvez également connecter des périphériques SCSI externes, y compris des lecteurs plus anciens et plus lents, au port externe de la carte SCSI bicanal Ultra 160. La carte étant équipée de deux canaux, l’un relié au port interne et l’autre au port externe, la connexion de périphériques plus anciens au port externe ne ralentit pas la vitesse de transfert des disques durs internes. 50 Chapitre 3 Apple recommande de n’utiliser que des périphériques SCSI Ultra 160 LVD en tant que disques durs internes. Pour connecter des périphériques SCSI plus anciens dotés de connecteurs à 25 ou à 50 broches, tels que lecteurs Zip, scanners ou lecteurs DAT, vous devez soit acquérir des adaptateurs SCSI, soit acquérir et installer une carte PCI SCSI supplémentaire afin de gérer ces périphériques. Pour en savoir plus sur l’utilisation de divers types de périphériques SCSI avec votre ordinateur, consultez la bibliothèque d’informations techniques (Tech Info Library) du site Web d’Apple (en anglais) : til.info.apple.com Transfert d’informations entre deux ordinateurs Apple Si deux ordinateurs Apple ne sont pas configurés en réseau, vous pouvez transférer des informations entre eux en les reliant à l’aide d’un câble croisé Ethernet (ce qui a pour effet de créer un petit réseau constitué uniquement de deux ordinateurs). Après avoir relié le câble au port Ethernet de chaque ordinateur, vous pouvez soit activer le partage de fichier sur chacun de ces ordinateurs, soit configurer les réglages Ethernet des ordinateurs de manière à créer un petit réseau. Pour en savoir plus sur la configuration de ce type de connexion Ethernet, consultez l’Aide Mac. Vous pouvez également connecter deux ordinateurs Apple au moyen d’un câble FireWire. Cela vous permet d’utiliser le mode disque cible FireWire pour transférer des fichiers d’un ordinateur à un autre. Pour en savoir plus sur l’utilisation du mode disque cible FireWire, consultez la rubrique “Mode disque cible FireWire” à la page 41. Si vous disposez de l’accès à Internet, vous pouvez également transférer des fichiers via le Web sur votre zone de stockage iDisk (située dans iTools), afin de permettre leur téléchargement par vous ou par un autre utilisateur d’iTools. Pour en savoir plus sur iTools, consultez la rubrique “iTools : des services Internet gratuits pour les utilisateurs de Mac” à la page 26. Utilisation de l’ordinateur comme serveur sans moniteur Vous pouvez configurer votre ordinateur pour qu’il fonctionne en tant que serveur sans qu’il soit relié à un moniteur. Pour cela, procédez comme suit : 1 Pour installer votre ordinateur, y compris lui connecter un moniteur, une souris et un clavier, suivez toutes les procédures décrites plus haut. 2 Configurez votre logiciel serveur comme suit : m Configurez l’accès en réseau.Utilisation de votre ordinateur 51 m Configurez l’application Sécurité Assistant réseau d’Apple pour pouvoir contrôler le serveur. m Définissez des mots de passe pour l’accès au serveur. m Configurez l’activation des services AppleShare IP au démarrage du système. m Configurez l’ordinateur de façon à ce que son activité ne soit jamais suspendue. Les ordinateurs Macintosh Server G4 sont configurés de cette manière par défaut. 3 Assurez-vous que le réseau fonctionne correctement. 4 Éteignez le serveur, puis déconnectez le moniteur. 5 Allumez le serveur. Dès que vous allumez le serveur, les services AppleShare IP se lancent automatiquement après le démarrage du système. Si vous utilisez un logiciel d’accès distant, suivez les instructions fournies avec ce dernier pour accéder au serveur et le gérer.53 C H A P I T R E 4 4 Interventions à l’intérieur de l’ordinateur Ce chapitre vous offre des informations et des instructions destinées à vous guider lors d’interventions à l’intérieur de votre ordinateur. Vous y trouverez des instructions sur les opérations suivantes : m “Ouverture de l’ordinateur” à la page 54 m “Installation de modules de mémoire” à la page 56 m “Installation d’unités de stockage internes” à la page 58 m “Installation d’une carte d’extension PCI ou remplacement de la carte AGP” à la page 69 m “Installation d’une carte AirPort” à la page 73 m “Remplacement de la pile” à la page 74 ATTENTION Apple recommande de faire appel à un technicien agréé Apple pour effectuer l’installation de modules de mémoire, de cartes d’extension PCI et d’unités de stockage internes. Consultez les informations sur l’assistance technique fournies avec l’ordinateur pour savoir comment joindre un centre de maintenance agréé ou la société Apple. Si vous tentez d’installer vous-même ces composants, les dommages éventuels ne seront pas couverts par la garantie limitée de votre ordinateur. Adressez-vous à un distributeur ou à un centre de maintenance agréés Apple pour toute information complémentaire sur l’étendue de la garantie.54 Chapitre 4 Ouverture de l’ordinateur 1 Pour mettre votre ordinateur hors tension, choisissez Éteindre dans le menu Spécial. Patientez cinq minutes afin de laisser refroidir les composants internes. 2 Débranchez tous les câbles de l’ordinateur, excepté le cordon d’alimentation. 3 Touchez les capots d’accès PCI situés au dos de l’ordinateur afin de libérer toute charge d’électricité statique. Débranchez le cordon d’alimentation. ATTENTION Éteignez toujours l’ordinateur avant de l’ouvrir pour éviter d’endommager ses composants internes ou ceux que vous envisagez d’installer. N’ouvrez pas l’ordinateur et ne tentez pas d’y installer des éléments lorsqu’il est sous tension. Touchez la partie métallique des capots d’accès aux ports PCI. IMPORTANT Agissez toujours de même avant de toucher ou d’installer tout composant. Pour éviter de générer de l’électricité statique, ne vous déplacez pas dans la pièce avant d’avoir achevé l’installation du composant concerné et d’avoir refermé l’ordinateur. ATTENTION Le bloc d’alimentation de votre ordinateur est un composant haute tension à n’ouvrir sous aucun prétexte, même lorsque l’ordinateur est éteint. Si le bloc d’alimentation nécessite une intervention, contactez votre distributeur ou votre centre de maintenance agréés Apple.Interventions à l’intérieur de l’ordinateur 55 4 Soulevez la poignée située sur le côté de l’ordinateur et abaissez délicatement le panneau latéral sur une surface plane, de préférence sur un chiffon doux et propre. Soulevez cette poignée pour ouvrir le panneau latéral. Abaissez délicatement le panneau latéral jusqu’à ce qu’il repose à plat.56 Chapitre 4 Installation de modules de mémoire Vous pouvez installer de la mémoire vive DRAM (Dynamic Random-access Memory) supplémentaire dans votre ordinateur en insérant des modules DIMM (Dual Inline Memory Modules) dans les quatre logements prévus à cet effet sur la carte mère. Vous pouvez augmenter la mémoire DRAM de votre ordinateur jusqu’à un maximum de 1 536 méga-octets (Mo). Utilisez la section “Informations système Apple” du menu Pomme pour vérifier la quantité de mémoire DRAM et de mémoire vidéo installée sur votre ordinateur. Si vous installez des modules DIMM de 512 Mo, ceux-ci doivent être en 256 mégabits (Mbit). Vous pouvez également installer des modules DIMM 256 Mo en 256 ou 128 Mbits. Vous pouvez installer des modules DIMM de tailles différentes dans n’importe quel ordre. Pour vérifier la compatibilité de ces modules, consultez le Guide des produits Macintosh sur le site Web d’Apple à l’adresse suivante : www.apple.com/guide (multilingue). Les modules DIMM doivent être conformes aux caractéristiques suivantes : m DRAM “PC-100” synchrone (SDRAM) m 3,3 volts ( V ) m Module 64 bits, 168 broches m Nombre maximal d’éléments de mémoire par module DIMM : 16 m Sans mémoire tampon ; ne pas utiliser de mémoire SDRAM à tampon ou à registre m La hauteur ne doit pas excéder 5 cm IMPORTANT Les modules DIMM des ordinateurs Macintosh plus anciens ne sont pas compatibles avec votre Power Mac G4. Seuls les modules DIMM “PC-100” des ordinateurs et serveurs Power Macintosh G3 et G4 récents sont compatibles. Vous ne devez donc pas utiliser des modules DIMM plus anciens, même s’il est possible de les insérer dans les logements prévus à cet effet.Interventions à l’intérieur de l’ordinateur 57 1 Ouvrez les taquets des logements de modules DIMM à utiliser en appuyant dessus. 2 Alignez le module DIMM sur le logement DRAM comme illustré ci-dessous, puis enfoncez-le jusqu’à ce que les taquets s’emboîtent. 3 Refermez l’ordinateur. IMPORTANT Ne touchez pas les connecteurs du module DIMM. Tenez-les par les bords. Module DRAM (la forme et les composants de ce module peuvent varier.) Taquet (Le logement peut comporter un ou deux taquets. Pour être en position ouvert, ils doivent être écartés vers l’extérieur, comme illustré.) Le module DRAM est conçu pour ne s’emboîter que dans un sens. Veillez à aligner les encoches du modules avec les petits crans du logement. Après avoir ouvert les taquets (cf. illustration), enfoncez le module jusqu’à ce qu’il s’emboîte. Les taquets se referment automatiquement. Connecteurs Encoches Logement DRAM (1 des 4) Crans (à l’intérieur du logement)58 Chapitre 4 Installation d’unités de stockage internes Votre ordinateur compte cinq baies de lecteurs internes. Trois d’entre elles se trouvent dans la partie inférieure de l’ordinateur et les deux autres à l’avant, dans la partie supérieure. Sur de nombreux modèles, un disque dur unique est déjà installé à l’arrière, dans la partie inférieure. L’une des baies supérieures contient un lecteur de DVD-ROM ou de DVD-RAM, tandis que certains modèles offrent un lecteur Zip supplémentaire qui occupe l’autre baie supérieure. Vous pouvez ajouter des lecteurs SCSI et ATA dans les baies inférieures libres. Les lecteurs doivent être conformes aux caractéristiques suivantes : m Largeur : 102 mm m Profondeur : 147 mm m Hauteur : 2,54 cm (ATA), 4,06 cm (SCSI) L’ordinateur gère les types d’unités de stockage internes suivantes : m Unités ATA, y compris les unités ATA, ATA-2 et ATA-3 m Unités Ultra ATA m Unités Ultra-66 ATA m Unités Wide Ultra SCSI m Unités Ultra2 et Ultra160 LVD (Low Voltage Differential) SCSI m Lecteurs ATAPI, y compris de CD-ROM, DVD-ROM, DVD-RAM et Zip Pour en savoir plus sur les éléments nécessaires et les types de lecteurs gérés, contactez un distributeur agréé Apple ou consultez la section d’assistance technique du site Web d’Apple (multilingue) : www.apple.com/supportInterventions à l’intérieur de l’ordinateur 59 Installation de lecteurs Ultra ATA Votre Macintosh peut recevoir deux lecteurs ATA internes de 2,54 cm de hauteur dans le support en forme de U, au niveau du logement 3 de l’ordinateur. Si votre ordinateur est équipé d’un seul lecteur Ultra ATA, il est installé dans la partie inférieure de ce support en forme de U. Vous pouvez installer un second lecteur ATA dans la partie supérieure du support. 1 Configurez votre lecteur Ultra ATA en tant que lecteur secondaire (parfois désigné “lecteur asservi” ou “lecteur 1”). Le lecteur fourni avec votre Macintosh est désigné comme lecteur principal (parfois appelé “lecteur maître” ou “lecteur 0”). Votre Macintosh ne fonctionne pas avec les lecteurs Ultra ATA réglés sur le mode de sélection par câble. 2 Débranchez la fiche du cordon d’alimentation de la carte mère, ainsi que le câble plat du lecteur. Déconnectez la fiche d’alimentation en appuyant sur le poussoir situé du côté gauche de la fiche. Débranchez la fiche d’alimentation de la carte mère. (Vue de profil) Déconnectez le câble plat du disque dur.60 Chapitre 4 3 Enlevez la fiche d’alimentation du lecteur. Déconnectez la fiche d’alimentation du disque dur. Cette prise n’est pas munie de poussoir. Tirez vigoureusement car elle est fermement maintenue.Interventions à l’intérieur de l’ordinateur 61 4 Enlevez la vis de fixation à tête plate du support, puis inclinez celui-ci vers le haut afin de le retirer de l’ordinateur. Enlevez la vis de fixation afin de libérer le support de disque. Inclinez le support vers le haut puis sortez-le délicatement de l’ordinateur.62 Chapitre 4 5 Installez le lecteur ATA dans le support en U. Remarque : les vis représentées distinctement dans l’illustration ci-dessous correspondent aux quatre vis à tête plate fournies avec le kit d’accessoires de votre ordinateur. Les vis représentées en estompé correspondent aux vis fournies avec le nouveau lecteur. Fixez un disque ATA supplémentaire (de 1" de hauteur) sur la partie supérieure du support en le visant par les côtés. Serrez d’abord les deux vis de ce côté. Ces deux languettes se replient vers l’intérieur tandis que vous serrez ces deux vis. Les disques ATA de 1" de hauteur se fixent par le dessous à la partie inférieure du support. Placez le disque dur sur le support de manière que le connecteur du câble plat et le connecteur du câble d’alimentation soient accessibles.Interventions à l’intérieur de l’ordinateur 63 6 Remettez le support et le lecteur en place. 7 Réinsérez, dans le support, la vis de fixation à tête plate que vous avez enlevée à l’étape 4. Inclinez le disque dur puis glissez-le dans l’ordinateur. Veillez à ce que les deux languettes qui se trouvent sous le support s’engagent dans les fentes du fond de l’ordinateur. Remettez la vis de fixation du support de disque.64 Chapitre 4 8 Branchez les fiches d’alimentation sur les lecteurs de disques durs. Reconnectez la fiche d’alimentation à la carte mère. Veillez à bien l’engager fermement. Calez l’excédent de câbles d’alimentation sur les côtés des disques durs.Interventions à l’intérieur de l’ordinateur 65 9 Reconnectez la fiche d’alimentation principale à la carte mère et le câble plat aux lecteurs. 10 Refermez l’ordinateur. Reconnectez la fiche d’alimentation à la carte mère. Reconnectez l’extrémité du câble plat ATA au disque ATA inférieur. Reliez le connecteur central au disque ATA supérieur.66 Chapitre 4 Installation de lecteurs Ultra160 LVD SCSI Si votre Macintosh est équipé d’un lecteur Ultra160 LVD SCSI interne, vous pouvez connecter jusqu’à deux lecteurs Ultra160 LVD SCSI supplémentaires à la carte et au câble PCI situés à l’intérieur de l’ordinateur. Ce câble est muni des connecteurs nécessaires et d’une terminaison intégrée afin de vous dispenser d’en ajouter. Si votre ordinateur est équipé d’un seul lecteur Ultra160 LVD SCSI, celui-ci est installé dans le logement 1, qui sert au démarrage de l’ordinateur. Remarque : si votre ordinateur n’est pas équipé de lecteur de disque dur SCSI, vous devez y installer une carte PCI SCSI pour pouvoir connecter des disques durs SCSI. Les procédures de connexion et de déconnexion d’un lecteur de disque dur SCSI et de retrait et d’insertion de supports sont pratiquement identiques aux instructions d’installation du lecteur ATA qui figurent à la page 59. Suivez les instructions du lecteur ATA lorsque vous installez un lecteur SCSI. Avant d’installer votre lecteur SCSI, tenez néanmoins compte des différences suivantes : Lorsque vous configurez votre lecteur de disque dur SCSI : Affectez un numéro d’identification SCSI unique à chaque nouvelle unité. Le premier lecteur d’origine a pour numéro d’identification SCSI 0, tandis que le second (le cas échéant) porte le numéro 1 et le troisième le numéro 2. Le numéro 7 est attribué à la carte PCI SCSI. Par conséquent, si vous attribuez l’un de ces numéros à un nouveau lecteur, il ne fonctionnera pas correctement.Interventions à l’intérieur de l’ordinateur 67 Lorsque vous fixez le lecteur au support : Si vous installez un lecteur SCSI dans un ordinateur équipé d’origine d’un seul lecteur SCSI, placez-le dans le logement 3 (consultez la rubrique “Intérieur de votre Power Mac : options d’extension internes de votre ordinateur” à la page 18). N’installez pas de lecteur SCSI dans l’emplacement supérieur du logement en U. Les lecteurs SCSI de 1,6" de hauteur se fixent à la partie inférieure du support en les vissant par les côtés. Les lecteurs SCSI de 1" de hauteur se fixent à la partie inférieure du support en les vissant par le dessous. Placez le disque dur sur le support de manière que le connecteur du câble plat et le connecteur du câble d’alimentation soient accessibles.68 Chapitre 4 Remarque : les vis représentées distinctement dans l’illustration précédente correspondent aux quatre vis à tête plate fournies avec le kit d’accessoires de votre ordinateur. Les vis estompées illustrées ci-dessous correspondent aux vis livrées avec le nouveau lecteur. Lorsque vous remettez le support en place et que vous reconnectez les câbles du lecteur : Fixez les disques SCSI supplémentaires (de 1" ou 1,6" de hauteur) aux deux supports plats en les vissant par le dessous. Placez le disque dur sur le support de manière que le connecteur du câble plat et le connecteur du câble d’alimentation soient accessibles. Fixez le lecteur à l’aide des quatres vis fournies avec celui-ci. Si votre ordinateur a été fourni avec un disque dur SCSI installé dans le logement 1 et que vous installez un disque dur SCSI dans le logement 2 ou 3, placez le câble plat sur les disques. Pour que ce câble repose à plat, vous pouvez le fixer à l’aide de ruban adhésif double-face. Terminaison SCSI Carte PCI SCSI En fonction du type de carte PCI SCSI, il se peut que le câble plat se connecte à un emplacement différent. Assurez vous que les connecteurs du câble d’alimentation et du câble plat soient tous fermement connectés à tous les lecteurs et à la carte PCI SCSI.Interventions à l’intérieur de l’ordinateur 69 Installation d’une carte d’extension PCI ou remplacement de la carte AGP Vous pouvez accroître les capacités de votre Power Mac G4 en installant des cartes dans ses logements d’extension. L’ordinateur est équipé de quatre logements d’extension, dont trois sont conçus pour les cartes d’extension PCI (Peripheral Component Interconnect) et un est prévu pour une carte AGP. Les cartes AGP et PCI étant munies de connecteurs différents, vous ne pouvez pas insérer une carte PCI dans un logement destiné à une carte AGP. À propos des cartes AGP Votre carte AGP, installée dans le logement 1, fournit le port moniteur de l’ordinateur. Le logement 1 est spécialement conçu pour accepter des cartes AGP à largeur de données en 32 bits. Ce logement à 66 MHz reçoit des cartes AGP 1X et AGP 2X à 3,3 volts ( V ). Vous pouvez remplacer la carte fournie avec votre ordinateur par une carte AGP 1X, 2X ou 4X fonctionnant également à double vitesse. Une carte de rechange AGP doit être reliée à un périphérique compatible avec Mac OS. La quantité totale d’énergie consommée par une carte de rechange AGP ne doit pas excéder 8 watts ( W ). La mémoire vidéo est fournie par des modules de mémoire DRAM synchrone (SDRAM) inclus sur la carte graphique AGP. Les modèles Macintosh standard intègrent 16 Mo de mémoire vidéo SDRAM. À propos des cartes d’extension PCI Votre Macintosh compte trois logements d’extension (numéros 2, 3 et 4) qui acceptent des cartes PCI d’une longueur maximale de 30 mm. Sur certains modèles, une carte PCI SCSI occupe déjà l’un de ces logements. Installez uniquement des cartes d’extension fournies avec les logiciels gestionnaires Macintosh et compatibles avec la norme PCI 2.1. Les trois logements PCI peuvent recevoir des cartes à tension mixte (5 V ou 3,3 V ) cadencée à 33 MHz en 32 ou 64 bits. Vous pouvez installer une carte cadencée à 66 MHz dans un logement PCI si la carte fonctionne également à la fréquence inférieure de 33 MHz. La quantité totale d’énergie consommée par les trois cartes d’extension PCI ne doit pas excéder 45 watts ( W ). ATTENTION N’installez pas de cartes fonctionnant uniquement en 66 MHz dans ces trois logements PCI. Cela risquerait d’endommager votre matériel. Si vous possédez une carte cadencée à 66 MHz, vérifiez auprès de son fabricant si elle fonctionne également en 33 MHz.70 Chapitre 4 Installation de votre carte Vous pouvez uniquement installer une carte AGP dans le logement 1. Installez les cartes d’extension PCI dans les logements PCI numérotés 1, 2, 3 et 4. 1 Enlevez la vis qui maintient le capot d’accès aux ports et retirez le capot. m Pour retirer une carte installée dans l’ordinateur, enlevez les vis qui la maintiennent, puis extrayez la carte du logement. Capot d’accès au port Retirez la vis qui maintient le capot d’accès au port.Interventions à l’intérieur de l’ordinateur 71 2 Sortez la carte à installer de son sachet antistatique en la tenant par les coins et en veillant à ne toucher ni le connecteur en or, ni aucun des composants. 3 Alignez le connecteur de la carte avec le logement d’extension, puis appuyez jusqu’à ce que le connecteur soit inséré à fond. Si vous installez une carte 12 pouces, assurez-vous que la carte s’engage dans le guide adéquat, situé à l’avant de l’ordinateur. Ouverture de l’accès au pot Logement PC Remettez la vis afin de maintenir la carte. Si la carte PCI que vous installez est de la dimension maximale (12 pouces), assurez-vous qu’elle est adaptée à l’un de ces quatre logements.72 Chapitre 4 Enfoncez la carte délicatement mais fermement jusqu’à ce que le connecteur soit inséré à fond. m Ne balancez pas la carte d’un côté à l’autre, enfoncez-la au contraire verticalement. m Insérez la carte sans forcer. En cas de résistance, retirez la carte. Vérifiez si le connecteur et le logement sont endommagés ou obstrués, puis essayez à nouveau. m Tirez légèrement sur la carte pour voir si elle est correctement connectée. Si elle résiste, reste en place et que ses connecteurs en or sont à peine visibles, la carte est connectée. 4 Réinsérez la vis du capot d’accès aux ports, puis serrez-la afin de maintenir la carte. 5 Refermez l’ordinateur. ATTENTION Si vous avez enlevé une carte sans en installer d’autre, veillez à recouvrir le logement vide au moyen d’un capot d’accès. Ne laissez jamais un logement vide à découvert. Cela risque d’affecter la ventilation qui maintient la température des composants internes et de provoquer des dégâts.Interventions à l’intérieur de l’ordinateur 73 Installation d’une carte AirPort 1 Positionnez la carte AirPort avec les numéros d’identification et le code-barre vers le haut, puis introduisez-la dans le connecteur prévu à cet effet. 2 Fixez soigneusement le fil d’antenne coaxial au port situé à l’extrémité de la carte AirPort. Ce fil est généralement rangé sur le côté du guide pour cartes PCI. Ne courbez ni ne pincez excessivement ce fil. 3 Refermez l’ordinateur. Connectez le fil d’antenne dans l’orifice situé à l’extrémité de la carte Airport. Le fil d’antenne se range ici lorsqu’il n’est pas utilisé. Insérez la carte AirPort code-barre vers le haut jusqu’à ce qu’elle soit encastrée fermement dans le connecteur. Connecteur de carte AirPort74 Chapitre 4 Remplacement de la pile Votre ordinateur est équipé d’une pile 3,6 V au lithium installée sur la carte mère. Des problèmes intermittents lors du démarrage de l’ordinateur ou des changements aléatoires de dates et d’heure indiquent qu’il est temps de changer la pile. Vous pouvez acquérir une pile de rechange auprès d’un distributeur agréé Apple. 1 Enlevez la pile de son réceptacle en observant les polarités. (Les signes plus et moins figurent sur le réceptacle et également à côté de ce dernier.) IMPORTANT Les piles contiennent des substances toxiques pour l’environnement. Veillez à vous débarrasser des piles usagées en préservant la nature et en respectant la réglementation en vigueur dans votre pays. Sortez la pile de son réceptacle en la tirant vers le haut. Il peut s’avérer nécessaire d’écarter légèrement ces languettes pour libérer la pile. Écartez-les délicatement pour ne pas les briser.Interventions à l’intérieur de l’ordinateur 75 2 Introduisez la pile neuve dans le réceptacle en respectant les polarités. 3 Refermez l’ordinateur. ATTENTION Une mise en place incorrecte de la pile peut provoquer une explosion. Veillez absolument à respecter les polarités. Utilisez uniquement une pile du même type ou une pile approuvée par le fabricant de la pile d’origine.77 C H A P I T R E 5 5 Dépannage En cas de problèmes de fonctionnement de l’ordinateur, voici quelques suggestions susceptibles d’y remédier. Si l’ordinateur ne répond pas ou que le pointeur est bloqué : Assurez-vous tout d’abord que la souris et le clavier sont connectés. m Débranchez puis rebranchez les connecteurs et vérifiez qu’ils sont correctement insérés. Essayez ensuite d’annuler l’opération en cours. m Appuyez simultanément sur les touches Commande (x) et Q pour tenter de quitter l’application en cours d’utilisation. m Appuyez simultanément sur les touches Commande (x) et point, puis si une zone de dialogue apparaît, cliquez sur Annuler. m Si le problème persiste, maintenez les touches Option et Commande (x) enfoncées, puis appuyez sur la touche Esc. Si une zone de dialogue apparaît, cliquez sur Quitter. Redémarrez l’ordinateur en choisissant Redémarrer dans le menu Spécial du Finder afin de vous assurer que le problème est entièrement résolu. m Appuyez sur le bouton de réinitialisation situé sur le devant de l’ordinateur (signalé par le symbole π ). m Si le problème persiste, maintenez le bouton d’alimentation situé sur le devant de l’ordinateur enfoncé pendant 5 secondes. Après la mise hors tension de l’ordinateur, appuyez à nouveau sur ce bouton pour le redémarrer. m Si toutes les autres méthodes ont échoué, débranchez puis rebranchez le cordon d’alimentation et appuyez sur le bouton d’alimentation situé sur le panneau avant pour redémarrer l’ordinateur. m Si le problème ne survient qu’avec un logiciel particulier, vérifiez auprès de son éditeur s’il est compatible avec votre ordinateur. m Si le problème survient fréquemment, choisissez Aide Mac dans le menu Aide. Consultez la rubrique consacrée à la résolution de problèmes. Il est possible que vous deviez résoudre d’éventuels conflits d’extension ou réinstaller le logiciel système.78 Chapitre 5 Si l’ordinateur se bloque lors du démarrage ou qu’une icône marquée d’un point d’interrogation apparaît et clignote pendant plus d’une minute : Désactivez les extensions système. m Démarrez votre ordinateur tout en maintenant la touche Majuscule enfoncée. Si le problème persiste, démarrez votre ordinateur à l’aide du CD contenant le logiciel système. m Insérez votre CD contenant le logiciel système, puis démarrez l’ordinateur tout en maintenant la touche “C” enfoncée (en veillant à ce que la touche de verrouillage des majuscules ne soit pas enfoncée). m Après le démarrage de l’ordinateur, consultez les informations de dépannage disponibles dans l’aide électronique. Choisissez Aide Mac dans le menu Aide. Consultez la rubrique consacrée à la résolution de problèmes. Il est possible que vous deviez résoudre d’éventuels conflits d’extension ou réinstaller le logiciel système. Si l’ordinateur ne s’allume pas ou ne démarre pas : Assurez-vous que le cordon d’alimentation est branché sur une prise de courant en état de fonctionnement. m La fiche du cordon d’alimentation doit être totalement insérée dans la prise de l’ordinateur pour que celui-ci fonctionne correctement. Réinitialisez la mémoire des paramètres (PRAM). m Démarrez l’ordinateur et appuyez immédiatement sur les touches Commande (x), Option, P et R jusqu’à ce que la seconde tonalité de démarrage retentisse. Sélectionnez ensuite votre disque dur comme disque de démarrage dans le tableau de bord Démarrage. Si cela ne fonctionne pas ou que l’ordinateur émet des tonalités au démarrage : m Si vous avez récemment installé de la mémoire supplémentaire, une carte d’extension PCI ou tout autre composant interne, assurez-vous qu’il est correctement installé et qu’il est compatible avec votre ordinateur. Essayez de l’enlever pour savoir si l’ordinateur peut démarrer. m Contactez un centre de maintenance agréé Apple. Problèmes de logiciels Si vous rencontrez un problème lié à une application : m Pour les problèmes liés à un logiciel autre qu’Apple, contactez l’éditeur concerné. Si vous rencontrez un problème lié à l’utilisation de votre ordinateur ou de Mac OS : m Consultez le centre d’aide (via le menu Aide) pour obtenir des instructions ainsi que des informations de dépannage.Dépannage 79 m Pour obtenir les dernières informations de dépannage et mises à jour de logiciels, consultez le site Web d’Apple sur Internet à l’adresse suivante : www.apple.com/support Si vous rencontrez un problème lié à la communication sans fil : m Assurez-vous d’avoir correctement configuré le logiciel. m Vérifiez que l’ordinateur ou le réseau auquel vous souhaitez vous connecter est activé et dispose d’un point d’accès sans fil. m Assurez-vous d’être à portée de l’autre ordinateur ou du point d’accès au réseau. Si des appareils électroniques ou des structures métalliques se situent à proximité de l’ordinateur, ils peuvent provoquer des interférences et réduire cette distance. Vous pouvez éventuellement améliorer la réception en réorientant l’ordinateur. m Pour en savoir plus, consultez l’Aide Mac (du menu Aide) et les instructions du périphérique sans fil. Problèmes de moniteur Aucune image ne s’affiche à l’écran. m Assurez-vous que le moniteur et l’ordinateur sont sous tension. m Vérifiez que les câbles sont correctement connectés à l’ordinateur ainsi qu’au moniteur. m Assurez-vous que votre ordinateur n’est pas en suspension d’activité. Appuyez sur le bouton d’alimentation pour voir si cela réactive l’ordinateur. m Assurez-vous que la luminosité et le contraste du moniteur sont réglés correctement. Sur certains modèles, vous pouvez régler ces derniers directement grâce à des commandes situées sur ou sous la face avant du moniteur. L’image à l’écran est estompée ou vacille. m Réglez la luminosité ainsi que le contraste. Sur certains modèles, vous pouvez régler ces derniers directement grâce à des commandes situées sur ou sous la face avant du moniteur. En fonction de l’aspect plus ou moins estompé que présente votre moniteur, vous pouvez peut-être régler la luminosité ou le contraste via le tableau de bord Moniteurs. m Étalonnez le moniteur à l’aide de l’option Étalonner du tableau de bord Moniteurs. ATTENTION Si vous rencontrez un problème avec votre moniteur Apple et que vous ne parvenez pas à le résoudre avec les solutions de ce manuel, sollicitez l’assistance d’un centre de maintenance agréé ou de la société Apple. Si vous tentez de le réparer par vos propres moyens, les dommages éventuels ne seront pas couverts par la garantie limitée de votre moniteur. Adressez-vous à un distributeur ou à un centre de maintenance agréés Apple pour toute information complémentaire sur l’étendue de la garantie.80 Chapitre 5 m Il se peut que le vacillement soit dû à des interférences provoquées par la proximité d’une ligne ou d’un appareil électriques, tel qu’une radio, un four à micro-ondes ou un autre ordinateur. Essayez de repositionner les appareils électriques situés à proximité ou de déplacer le moniteur et l’ordinateur. L’écran n’affiche pas les couleurs ou celles-ci présentent un aspect inhabituel. m Assurez-vous que le moniteur est fermement relié à l’ordinateur. m Il peut être utile d’étalonner le moniteur dans le tableau de bord Moniteurs. Consultez l’Aide Mac pour en savoir plus sur l’affichage des couleurs et votre moniteur. m Ouvrez le tableau de bord Moniteurs et assurez-vous que votre moniteur est réglé sur l’affichage des couleurs. Consultez l’Aide Mac pour en savoir plus sur l’affichage des couleurs et votre moniteur. Les icônes du bureau sont repositionnées après que vous ayez modifié la résolution de l’écran. m Modifier la résolution de l’écran se répercute sur l’affichage des informations à l’écran. Il se peut que le système d’exploitation repositionne automatiquement les icônes une fois que vous avez modifié la résolution de l’écran. L’écran se fige. m Si vous utilisez à la fois le tableau de bord Économies d’énergie et un économiseur d’écran, il se peut que ce dernier soit incompatible avec le tableau de bord. Pour y remédier, désactivez soit l’économiseur d’écran, soit le tableau de bord Économies d’énergie, puis redémarrez votre ordinateur. Le voyant situé sur le devant du moniteur clignote. Sur certains moniteurs Apple à écran plat, il se peut que le voyant d’alimentation clignote par intermittence lorsqu’une erreur a été détectée. m Si vous constatez une série de trois clignotements brefs répétés, cela signifie que le moniteur a détecté une entrée vidéo au format incorrect. Vérifiez que votre moniteur est compatible avec la carte graphique dont votre ordinateur est équipé et que vous avez installé le logiciel correct si votre moniteur était accompagné d’un logiciel d’installation. m Si vous constatez une série de deux clignotements brefs suivis d’un long, cela signifie que le moniteur a détecté un problème de lampe de rétro-éclairage. Contactez un distributeur ou un centre de maintenance agréés Apple. 81 A N N E X E A A Caractéristiques Caractéristiques du processeur et de la mémoire Processeur m Processeur PowerPC™ G4, 1 méga-octet (Mo) de mémoire cache postérieure par processeur (certaines configurations disposent de deux processeurs) Mémoire vive m Minimum de 64 méga-octets (Mo) de SDRAM (Synchronous Dynamic Random-Access Memory), maximum de 1 536 Mo m La totalité de la mémoire vive SDRAM est installée en modules amovibles DIMM. m Quatre logements sont disponibles pour les modules DIMM de type : m SDRAM “PC-100” m Modules DIMM de 32, 64, 128, 256 ou 512 Mo m Tout module DIMM de 256 Mo que vous utilisez doit posséder des éléments à technologie 128 ou 256 mégabits (Mbit) ; les modules de 512 Mo doivent posséder des éléments à technologie 256 mégabits (Mbit). m 3,3 volts ( V ), sans tampon, 64 bits, 168 broches Le logiciel système Mac OS fournit des informations sur votre ordinateur, y compris la quantité de mémoire. Dimensions et conditions de fonctionnement Dimensions m Poids : 13,6 kg Le poids inclut la configuration de base, un lecteur de DVD-ROM ou de DVD-RAM et un disque dur. Le poids peut être plus élevé si d’autres composants ont été installés. m Hauteur : 432 mm m Largeur : 227 mm m Profondeur : 468 mm82 Annexe A Conditions de fonctionnement m Température de fonctionnement : de 10º à 35ºC m Température de stockage : de 40º à 47ºC m Humidité relative : de 5 % à 95 % sans condensation m Altitude : de 0 à 3048 mètres Caractéristiques du lecteur de DVD-ROM m Diamètres de disques gérés : 12 cm (4,7 pouces) Capacité de stockage m CD-ROM : 656 Mo, mode 1, 748 Mo, mode 2 m DVD-ROM : 4,7 giga-octets (Go), monoface, monocouche ; 8,5 Go, monoface, bicouche ; 9,4 Go, biface, monocouche ; 17 Go, biface, bicouche. m DVD-RAM : 4,7 Go, monoface, monocouche m DVD-R : 3,95 Go, monoface, monocouche m CD audio : 74 minutes et 42 secondes de durée d’écoute Caractéristiques du lecteur de DVD-RAM (en option) m Diamètres de disques gérés : 12 cm (4,7 pouces) Capacité de stockage m CD-ROM : 656 Mo, mode 1, 748 Mo, mode 2 m DVD-ROM : 4,7 giga-octets (Go), monoface, monocouche ; 8,5 Go, monoface, bicouche ; 9,4 Go, biface, monocouche ; 17 Go, biface, bicouche m DVD-RAM : 2,6 Go, monoface, monocouche ; 4,7 Go, monoface, monocouche ; 5,2 Go, biface, monocouche ; 9,4 Go, biface, monocouche m DVD-R : 3,95 Go, monoface, monocouche ; 4,7 Go, monoface, monocouche m CD audio : 74 minutes et 42 secondes de durée d’écoute Caractéristiques USB m Deux ports USB type A externes et un interne m Chaque port se trouve sur un canal USB à 12 mégabits par seconde (Mbps) distinct. m Un maximum de 500 milliampères (mA) à 5 volts ( V ) est disponible par port, pour un total de 1 ampère. Caractéristiques FireWire m Carte mère : deux connecteurs externes FireWire standard à 6 broches m Vitesse de transfert : 100, 200 et 400 MbpsCaractéristiques 83 Puissance m Plage de tension en entrée : 8 à 33 V m Plage de courant en entrée : environ 1 watt ( W ) m Plage de tension en sortie : environ 13 à 30 V m Plage de courant en sortie : jusqu’à 15 W Caractéristiques Ethernet m Conforme aux directives IEEE 802.3 m Longueur maximale du câble : 100 mètres (m) m Protocoles : Open Transport, AppleShare, AppleTalk, NetWare pour Macintosh, TCP/IP m Connecteur : RJ-45 pour 10Base-T, 100Base-TX et 1000Base-T m Média, 10Base-T : UTP catégorie 3 ou supérieures sur 2 paires jusqu’à 100 m m Média, 100Base-TX : UTP catégorie 5 sur 2 paires jusqu’à 100 m m Média, 1000Base-T : UTP catégorie 5 et 6 sur 4 paires jusqu’à 100 m m Vitesses de canal : auto-négociation IEEE de 10Base-T, 100Base-TX et 1000Base-T Caractéristiques du modem Modem m Protocoles de communication : K56Flex et V90 m Vitesse : 53 kilobits par seconde (Kbps) m Protocole de télécopie : ITU V.17 Caractéristiques de la carte AirPort optionnelle m Vitesse de transmission de données sans fil : 11 Mbps maximum m Portée : 90 m (le débit peut varier en fonction des conditions ambiantes) m Bande de fréquences : 2,4 à 2,5 gigahertz (GHz) m Puissance de sortie radio : 15 dBm (nominal) Compatibilité m Norme 802.11 DSSS (Direct Sequence Spread Spectrum) 1,2 Mbps m Norme à l’étude 802.11 DSSS HR 11 Mbps 84 Annexe A Caractéristiques d’entrée et de sortie audio m Son stéréo 16 bits avec des taux d’échantillonnage de 44,1 kilohertz (kHz) Entrée audio à l’aide du port d’entrée audio m Impédance d’entrée : supérieure à 4 kilohms pour les gains supérieurs à 23 dB ; supérieure à 25 kilohms pour les gains inférieurs à 23 dB m Tension maximale en entrée sans distorsion : 3 volts ( V ) pic à pic m Plage de tension du microphone de niveau ligne : 28 millivolts (mV ) à 2,5 V pic à pic Sortie audio à l’aide du port de sortie audio m Niveau de sortie grandeur réelle : 3 V pic à pic avec une charge de 5 kilohms Bruit, distorsion et bande passante m Rapport signal/bruit en entrée (SNR) inférieur à 82 dB non pondéré (en général) pour enregistrement sur le disque système ou la mémoire principale m Rapport signal/bruit en sortie (SNR) inférieur à 80 dB non pondéré (en général) m Distorsion : distorsion harmonique totale : 0,08 pour cent m Bande passante : de 20 hertz (Hz) à 20 kilohertz (kHz) Contrôleur graphique m Contrôleur graphique : carte AGP munie d’un connecteur ADP pour moniteur Apple et d’un connecteur VGA Modes d’affichage vidéo Il est possible que votre moniteur ne gère pas toutes les définitions énumérées ici. Pour consulter les caractéristiques techniques spécifiques à votre moniteur, rendez-vous sur le site Web d’Apple et recherchez le modèle en question : www.apple.com/store Port VGA m 640 x 480 à 60, 67, 72, 75, 85, 90, 100, 120 Hz m 800 x 600 à 56, 60, 72, 75, 85, 90, 100, 120 Hz m 832 x 624 à 75 Hz m 1024 x 768 à 60, 70, 75, 85, 90, 100, 120 Hz m 1152 x 870 à 75 Hz m 1280 x 960 à 75 Hz m 1280 x 1024 à 60, 75, 80 Hz m 1600 x 1200 à 60, 65, 70, 75, 85 Hz m 1920 x 1080 à 60, 72, 76 HzCaractéristiques 85 Port ADP de moniteur Apple m 640 x 480 m 640 x 480 (étiré) m 800 x 500 m 800 x 600 m 800 x 512 (pixel doublé) m 800 x 600 (étiré) m 832 x 624 m 1024 x 640 m 1024 x 768 m 1024 x 768 (étiré) m 1280 x 800 m 1280 x 1024 m 1600 x 1024 m 1600 x 1200 Alimentation Entrée de ligne CA m Courant/tension de ligne : courant alternatif (CA) 100/120 volts ( V ), 8 ampères (A) et CA 200/240 V ; 4,5 A, rms, monophasé, à réglage manuel par commutateur. m Fréquence : 50/60 hertz (Hz) Sortie de moniteur CC : m 4 ampères (A) maximum à 28 V, CC Alimentation des périphériques que vous pouvez connecter Cartes d’extension m La consommation maximale de la carte AGP est de 8 watts ( W ). m La consommation maximale des trois cartes PCI combinées est de 45 W. Périphériques USB m Chacun des ports USB intégrés dispose de 500 milliampères (mA). Périphériques FireWire m L’ordinateur peut délivrer jusqu’à 15 W au total aux ports FireWire.86 Annexe A Horloge et pile du système m Circuit CMOS à pile longue durée au lithium. Vous pouvez remplacer la pile de l’ordinateur, que vous pouvez vous procurer auprès d’un distributeur agréé Apple.87 A N N E X E B B Environnement de travail, sécurité et entretien Cette annexe contient d’importantes informations concernant les consignes de sécurité, l’entretien et l’aménagement de l’espace de travail en vue de l’utilisation de votre ordinateur et de votre moniteur. Consignes de sécurité importantes Le seul moyen de couper totalement l’alimentation de votre ordinateur consiste à en débrancher le câble d’alimentation de la principale source d’alimentation. De la même façon, pour déconnecter complètement votre moniteur, vous devez en débrancher le câble d’alimentation au niveau de l’ordinateur ou autre prise de courant. Assurez-vous qu’au moins une extrémité de ce câble est à portée de main afin de pouvoir débrancher l’ordinateur en cas de besoin. Pour votre propre sécurité et celle de votre matériel, respectez toujours les consignes suivantes. Débranchez la prise d’alimentation de votre ordinateur ou de votre moniteur dans les situations suivantes : m Le câble ou la prise d’alimentation sont effilochés ou endommagés. m Vous avez renversé du liquide dans le boîtier. m L’ordinateur ou le moniteur sont exposés à la pluie ou à une humidité excessive. m L’ordinateur a subi un choc ou son boîtier a été endommagé de quelque autre façon. m Vous pensez que l’ordinateur ou le moniteur nécessitent une intervention ou une réparation. m Vous souhaitez nettoyer le boîtier de l’ordinateur ou l’écran du moniteur. 88 Annexe B Pour prévenir les accidents et éviter d’endommager votre ordinateur ou votre moniteur, veillez à toujours observer les consignes suivantes : m Maintenez votre ordinateur éloigné de toute source de liquide et d’humidité. m Ne placez aucun objet sur le dessus de l’ordinateur ou du moniteur. m Veillez à ce que les grilles d’aération de l’ordinateur et du moniteur ne soient pas obstruées. m Ne retirez jamais le boîtier du moniteur et n’ouvrez jamais l’ordinateur lorsque celui-ci est en fonctionnement. Vous risqueriez de recevoir une décharge électrique. m En cas d’orage, déconnectez votre modem de la prise murale afin d’empêcher une surcharge électrique d’endommager le modem. Votre Macintosh est équipé d’une prise de terre à trois broches, la troisième reliant l’ordinateur à la terre. Il s’agit d’une mesure de sécurité. Ne modifiez pas la fiche pour pouvoir l’insérer dans une prise non reliée à la terre. Faites appel à un électricien agréé pour installer une prise correctement reliée à la terre. Ne dérogez en aucun cas à cette consigne. Procédez avec soin lorsque vous soulevez ou déplacez l’ordinateur ou le moniteur. Pour soulever l’appareil, veillez à suivre la procédure recommandée qui consiste à fléchir les jambes. Lorsque vous déplacez le moniteur, veillez à orienter l’écran vers vous. Ne portez pas le moniteur en le tenant par son support. Le matériel électrique peut être dangereux en cas d’utilisation inadéquate. L’utilisation de ce produit par un enfant doit toujours être supervisée par un adulte. Ne laissez les enfants accéder aux composants internes d’aucun appareil électrique et ne les autorisez pas à manier des câbles électriques.Environnement de travail, sécurité et entretien 89 Entretien général Si vous devez nettoyer l’ordinateur ou le moniteur au-delà d’un simple essuyage au chiffon propre, procédez comme suit : 1 Éteignez l’ordinateur et le moniteur. 2 Déconnectez le câble d’alimentation de l’ordinateur au niveau de la prise ou multiprise électrique. Si votre moniteur est branché sur le secteur, déconnectez-le également. 3 Débranchez les câbles du moniteur au niveau de l’ordinateur. 4 Nettoyez l’écran du moniteur à l’aide d’un papier ou tissu doux, non pelucheux et imbibé d’eau savonneuse. 5 Nettoyez délicatement le boîtier de l’ordinateur ou du moniteur à l’aide d’un chiffon propre, doux et humide. N’utilisez pas d’alcool, d’aérosols ni de produits solvants ou abrasifs susceptibles d’endommager la finition du boîtier. Protection de votre lecteur de DVD-ROM ou de DVD-RAM Pour préserver le bon fonctionnement de votre lecteur de DVD-ROM ou de DVD-RAM : m Placez votre ordinateur de sorte que le plateau du lecteur ne heurte aucun obstacle lors de son ouverture. m Laissez le lecteur fermé lorsque vous ne l’utilisez pas. m Ne placez aucun objet sur le plateau du lecteur lorsqu’il est ouvert. m Ne touchez pas la lentille avec les doigts. N’essuyez pas la lentille du lecteur avec un mouchoir en papier ni aucune autre matière abrasive. Si vous devez la nettoyer, procurezvous les produits adéquats auprès d’un centre de maintenance agréé Apple. m Maintenez votre ordinateur éloigné de toute source d’humidité. ATTENTION Ne vaporisez pas de liquide directement sur l’écran du moniteur. Du liquide pourrait s’y infiltrer et provoquer une décharge électrique.90 Annexe B Entretien de votre moniteur Pour entretenir votre moniteur et en garantir la longévité : m Ne touchez pas la surface de l’écran. m N’écrivez pas sur l’écran et ne le touchez pas avec un objet tranchant. m Si vous comptez laisser le moniteur et l’ordinateur inactifs pendant au moins une journée, éteignez-les ou utilisez le tableau de bord Économies d’énergie. m Vous pouvez soit éteindre votre moniteur ou en diminuer la luminosité, soit recourir à un économiseur d’écran, qui permet d’obscurcir ou de varier l’image à l’écran si l’ordinateur demeure inactif pendant une durée prolongée. Consignes importantes concernant l’organisation de l’espace de travail et la santé Observez les consignes ci-dessous pour adapter votre environnement de travail à votre morphologie et prévenir la fatigue oculaire. m Optez pour un siège de bureau réglable et offrant un dossier et une assise confortables. Réglez la hauteur du siège de manière à ce que vos cuisses reposent à l’horizontale et que vos pieds soient posés à plat sur le sol. Le dossier doit être orienté de façon à offrir un appui à la région lombaire. Suivez les instructions du fabricant pour effectuer correctement ce réglage. m Lorsque vous tapez au clavier, vos épaules doivent être détendues. Le bras et l’avant-bras doivent former un angle droit, la main étant placée dans le prolongement du poignet. Au besoin, relevez le siège de manière à ce que vos avant-bras et vos mains soient placés correctement par rapport au clavier. Si, dans ce cas, vos pieds ne reposent plus à plat sur le sol, utilisez un repose-pied. Si vous disposez d’un bureau modulaire, vous pouvez abaisser le niveau du plan de travail pour éviter l’emploi d’un repose-pied. Une troisième solution consiste à utiliser un bureau avec un poste de saisie moins élevé que le plan de travail. m Veillez à ce que la souris se trouve à hauteur du clavier. Ménagez également un espace suffisant pour pouvoir la manipuler avec aisance. m Placez le moniteur de sorte que le haut de l’écran se trouve légèrement au-dessous de vos yeux. Il vous appartient de juger de la distance à ménager entre vos yeux et l’écran. Elle se situe en général entre 45 et 70 cm. Environnement de travail, sécurité et entretien 91 m Orientez le moniteur de manière à diminuer le plus possible les reflets de l’éclairage et de la lumière du jour. Si possible, posez le moniteur sur un support inclinable. Vous pouvez ainsi placer le moniteur à votre guise et réduire, voire éliminer, tout reflet provenant de sources lumineuses que vous ne pouvez déplacer. Pour obtenir davantage d’informations concernant la santé, la sécurité et l’entretien, consultez le site Web d’Apple sur : www.apple.com/about/ergonomics (en anglais). Cuisses reposant à l’horizontale Épaules détendues Écran orienté de manière à réduire les reflets Mains dans le prolongement des avant-bras Avant-bras à l’horizontale ou légèrement relevés Dossier soutenant la région lombaire Pieds à plat sur le sol Haut de l’écran au niveau des yeux ou légèrement en-dessous (vous devrez peut-être ajuster la hauteur du moniteur en surélevant votre plan de travail ou le moniteur lui-même) Dégagement sous le plan de travail 45– 70 cm (18– 28 in.)Communications Regulation Information 93 Communications Regulation Information FCC Compliance Statement This device complies with part 15 of the FCC rules. Operation is subject to the following two conditions: (1) This device may not cause harmful interference, and (2) this device must accept any interference received, including interference that may cause undesired operation. See instructions if interference to radio or television reception is suspected. Radio and Television Interference The equipment described in this manual generates, uses, and can radiate radio-frequency energy. If it is not installed and used properly—that is, in strict accordance with Apple’s instructions—it may cause interference with radio and television reception. This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in Part 15 of FCC rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no guarantee that interference will not occur in a particular installation. You can determine whether your computer system is causing interference by turning it off. If the interference stops, it was probably caused by the computer or one of the peripheral devices. If your computer system does cause interference to radio or television reception, try to correct the interference by using one or more of the following measures: m Turn the television or radio antenna until the interference stops. m Move the computer to one side or the other of the television or radio. m Move the computer farther away from the television or radio. m Plug the computer into an outlet that is on a different circuit from the television or radio. (That is, make certain the computer and the television or radio are on circuits controlled by different circuit breakers or fuses.) If necessary, consult an Apple-authorized service provider or Apple. See the service and support information that came with your Apple product. Or, consult an experienced radio/television technician for additional suggestions. Important Changes or modifications to this product not authorized by Apple Computer, Inc., could void the FCC Compliance and negate your authority to operate the product. This product was tested for FCC compliance under conditions that included the use of Apple peripheral devices and Apple shielded cables and connectors between system components. It is important that you use Apple peripheral devices and shielded cables and connectors between system components to reduce the possibility of causing interference to radios, television sets, and other electronic devices. You can obtain Apple peripheral devices and the proper shielded cables and connectors through an Apple-authorized dealer. For non-Apple peripheral devices, contact the manufacturer or dealer for assistance. Responsible party (contact for FCC matters only): Apple Computer, Inc., Product Compliance, 1 Infinite Loop M/S 26-A, Cupertino, CA 95014-2084, 408-974-2000. Industry Canada Statement This Class B device meets all requirements of the Canadian interference-causing equipment regulations. Cet appareil numérique de la Classe B respecte toutes les exigences du Règlement sur le matériel brouilleur du Canada.94 Communications Regulation Information VCCI Class B Statement Laser ATTENTION Il peut être dangereux de procéder à des réglages ou d’effectuer des opérations dont il n’est pas fait mention dans le présent manuel. Ne tentez pas de démonter le compartiment contenant le laser. Le faisceau laser de cet appareil est dangereux pour les yeux. L’utilisation d’instruments d’optique tels que des lentilles grossissantes peut aggraver la nocivité du faisceau. Pour votre propre sécurité, faites entretenir cet appareil dans un centre de maintenance agréé Apple. Si votre ordinateur est muni d’un lecteur Apple de CD-ROM, de DVD-ROM ou de DVD-RAM, il appartient aux produits laser de Classe 1. L’étiquette Classe 1, apposée sur le lecteur, indique qu’il est conforme aux normes de sécurité minimales. Une étiquette de mise en garde contre le rayonnement laser est située à un endroit accessible en atelier. Les étiquettes figurant sur votre produit peuvent différer légèrement des illustrations ci-dessous. Caractéristiques du laser Laser du capteur (en lecture de CD) m Type : laser GaAlAs à semi-conducteur m Longueur d’onde : 790 nm m Puissance à la sortie de la lentille : 3,3mW m Divergence du faisceau : horizontale 12º, verticale 35º Laser du capteur (en lecture de DVD) m Type : laser GaAlAs à semi-conducteur m Longueur d’onde : 658 nm m Puissance à la sortie de la lentille : 6 mW m Divergence du faisceau : horizontale 8,5º, verticale 27º Exposition à l’énergie de fréquence radio La puissance de sortie dégagée par la carte AirPort optionnelle est largement inférieure aux limites d’exposition aux fréquences radio de la commission fédérale des communications (FCC) américaine. Néanmoins, il est recommandé d’utiliser l’équipement sans fil de telle manière que le contact potentiel au cours du fonctionnement normal de l’appareil soit minimisé. Informations sur la souris et le clavier La souris optique d’Apple est un appareil à diode électroluminescente de catégorie 1. Ce produit est conforme aux normes européennes 72/23/EEC et 89/336/EEC, ainsi qu’aux normes canadiennes ICES-003 de catégorie B. Étiquette Classe 1 Étiquette de mise en gardeCommunications Regulation Information 95 Activités à risque élevé Cet ordinateur n’est pas conçu pour être utilisé dans des installations nucléaires, pour la navigation ou la communication aérienne, pour le contrôle du trafic aérien, ni aucune autre situation où une panne pourrait entraîner la mort, des blessures ou de graves dommages écologiques. ENERGY STAR® En tant que partenaire ENERGY STAR®, Apple s’est assuré que ce produit était conforme aux normes de consommation d’énergies fixées par ENERGY STAR®. Le programme ENERGY STAR® de l’agence américaine pour la protection de l’environnement constitue un partenariat avec les fabricants de matériel dans le but de promouvoir une consommation efficace de l’énergie. La réduction de la consommation d’énergie des appareils de bureau permet de réaliser des économies et contribue à réduire la pollution en éliminant le gaspillage d’énergie. Informations concernant la réglementation relative aux télécommunications, téléphone et modem Pour obtenir des informations sur la réglementation FCC, les interférences de radio et télévision, ainsi que sur le téléphone et le modem relatives à ce produit, consultez les fichiers du dossier “Communications Regulations”, situés dans le dossier Compléments Apple de votre disque dur. iMovie HD Premiers contacts Ce guide vous indique comment importer de la vidéo, modifier des séquences et ajouter transitions, effets, titres et plus encore2 1 Table des matières Chapitre 1 4 Bienvenue dans iMovie HD 4 Utilisation de ce document 5 Nouveautés d’iMovie HD 6 6 Avant de commencer 6 Ce que vous apprendrez à faire 7 Ce dont vous avez besoin 9 En savoir plus Chapitre 2 10 Initiation à iMovie HD 10 Première étape : Commencer un nouveau projet 11 Deuxième étape : Importer de vidéo dans iMovie HD 15 Troisième étape : Choisir la vidéo que vous souhaitez garder 17 Quatrième étape : Construire votre film 20 Cinquième étape : Ajouter des photos à votre film 23 Sixième étape : Ajouter des titres et du texte 25 Septième étape : Retoucher des clips 28 Huitième étape : Ajouter des transitions 30 Neuvième étape : Ajouter une bande-son 30 Ajout de données audio à votre film 31 Ajustage de la longueur des clips audio 32 Ajustage du volume des clips audio 33 Dixième étape : Partagez votre film Chapitre 3 36 Vue d’ensemble d’iMovie 36 Fenêtre Projet d’iMovie HD 37 Fenêtre principale 38 Visualiseur de clips 39 Chronologie 40 Sous-fenêtre des clips 41 Sous-fenêtre Thèmes 42 Sous-fenêtre Multimédia 42 Audio 43 PhotosTable des matières 3 44 Sous-fenêtre Montage 44 Titres 45 Transitions 46 Effets vidéo 47 Effets audio 48 Sous-fenêtre des chapitres1 4 1 Bienvenue dans iMovie HD Bienvenue dans iMovie HD 6. Vous découvrirez dans ce document comment créer de superbes films, à la fois percutants et de haute qualité. iMovie HD est la manière la plus rapide et la plus simple de transformer votre vidéo maison en votre propre film cinématographique. iMovie HD est l’outil rêvé à associer aux tout derniers caméscopes haute définition et aux caméras Flash les plus petites à des prix abordables. Les nombreuses nouvelles fonctionnalités d’iMovie HD vous permettent de créer facilement un film de qualité professionnelle à partager sur Internet ou via un DVD. Utilisation de ce document Le manuel iMovie HD Premiers contacts est divisé en trois chapitres, ce qui vous permet de trouver facilement les informations qui vous intéressent.  Chapitre 1, “Bienvenue dans iMovie HD” : vous trouverez dans ce chapitre une brève description des principales nouvelles fonctionnalités d’iMovie HD, et vous découvrirez où trouver d’autres informations au sujet d’iMovie HD.  Chapitre 2, “Initiation à iMovie HD” : suivez les instructions de ce chapitre pour savoir comment capturer de la vidéo et réaliser un film basique que vous pourrez partager de nombreuses manières.  Chapitre 3, “Vue d’ensemble d’iMovie” : ce chapitre décrit les présentations et les commandes d’iMovie HD. Ce chapitre peut également vous servir de référence rapide lorsque vous créez vos projets iMovie HD.Chapitre 1 Bienvenue dans iMovie HD 5 Nouveautés d’iMovie HD 6  Performances améliorées : iMovie HD 6 exploite la puissance de Mac OS X 10.4 Tiger et QuickTime 7 pour vous offrir un rendu plus rapide des effets et une qualité de vidéo d’exception. Testez les nouveaux effets étonnants et visualisez instantanément les résultats. De l’importation de séquences au partage de votre film achevé, iMovie HD est plus rapide et plus réactif à chaque étape.  Interface utilisateur améliorée : les sous-fenêtres améliorées de montage et les commandes d’iMovie HD vous permettent de construire et de modifier votre film plus facilement que jamais. Vous pouvez même prévisualiser des transitions, des titres et des effets en direct sur le moniteur principal d’iMovie pour voir exactement comment ils apparaîtront dans votre film.  Plusieurs projets ouverts : vous pouvez ouvrir plusieurs projets iMovie HD à la fois de manière à copier d’un projet à un autre de la vidéo et des clips audio individuels, ou même un film tout entier ou une portion de film. Il est également possible d’ouvrir plusieurs versions d’un même projet pour comparer différents montages.  Thèmes d’illustration de film développés par Apple : avec iMovie HD 6, il est plus facile que jamais de créer un film à la finition impeccable. Il vous suffit de choisir le thème qui vous intéresse et de sélectionner les titres et les effets visuels que vous souhaitez utiliser dans le sous-ensemble correspondant pour obtenir des résultats visuellement exceptionnels. Les thèmes utilisent des animations et des compositions avancées qui vous permettent même de combiner votre vidéo et vos photos avec des fonds de toute beauté et des images animées.  Nouvelles améliorations audio : vous voulez éliminer le bruit du vent ou le bourdonnement de la caméra ? Régler les basses ou les aigus d’un clip vidéo ou audio en particulier ? Vous pouvez désormais utiliser l’égaliseur graphique pour modifier les niveaux des fréquences audio individuelles. Il est également possible de modifier la tonalité de votre audio et d’ajouter des effets de réverbération, de délai ainsi que d’autres effets audio grâce auxquels vos films sonneront mieux que jamais.  Améliorations Magic iMovie : la création de films comme par magie avec iMovie HD n’a jamais été aussi simple. Il suffit d’utiliser la fonctionnalité Magic iMovie pour qu’iMovie HD importe votre vidéo et en fasse un film de qualité. Avec iMovie HD 6, vous pouvez désormais faire en sorte qu’iMovie HD rembobine votre bande avant l’importation et même spécifier le moment auquel vous souhaitez arrêter la capture de séquence.  Publication Web plus souple : iMovie HD intègre des éléments clés d’iWeb, la nouvelle application d’Apple de publication Web, pour vous offrir davantage de souplesse pour présenter vos films comme vous le souhaitez. Que vous choisissiez d’afficher votre film sur sa propre page Web, de l’utiliser dans un blog ou de publier un podcast vidéo réalisé dans iMovie, iWeb vous propose des fonctionnalités créatives et vous permet de publier facilement votre film sur le Web.6 Chapitre 1 Bienvenue dans iMovie HD  Intégration iLife encore plus performante : tous vos fichiers multimédias numériques (morceaux, musique, photos et clips vidéo) concourent à créer des diaporamas vidéo et des films. Avec iMovie HD 6, vous pouvez même composer une bande-son pour votre film directement dans GarageBand.  Vidéo accélérée : la nouvelle fonctionnalité d’importation accélérée d’iMovie HD vous permet de voir la progression d’un événement (telle l’éclosion d’une rose) en une fraction de sa durée réelle. Avant de commencer Pour faciliter l’exécution des tâches de l’initiation, imprimez ce document avant de commencer. Pour bon nombre des tâches citées dans ce document et dans l’Aide iMovie HD, vous devrez choisir des commandes dans les menus de la barre des menus. Les commandes de menu se présentent de la sorte : Choisissez Édition > Copier. Le premier terme après Choisissez est le nom d’un menu de la barre des menus d’iMovie HD. Les termes suivants sont les éléments que vous choisissez dans ce menu. Ce que vous apprendrez à faire Si vous suivez toutes les étapes de cette initiation, vous apprendrez à utiliser votre propre vidéo pour créer un film basique, comprenant un titre, des transitions entre les clips et une bande-son. Vous apprendrez également à effectuer les opérations suivantes :  Élaguer et ajuster les séquences vidéo.  Ajouter du mouvement aux photos à l’aide de l’Effet Ken Burns.  Ajuster les clips audio.  Régler le volume sonore.  Synchroniser l’audio et la vidéo.  Partager votre film achevé.Chapitre 1 Bienvenue dans iMovie HD 7 Ce dont vous avez besoin Pour terminer toutes les parties de l’initiation, vous devez disposer des éléments suivants :  iMovie HD 6 installé sur votre ordinateur.  Une séquence vidéo numérique sur un caméscope ou sur votre disque dur. L’initiation vous indique comment capturer de la vidéo numérique à partir de votre caméscope et l’importer directement dans iMovie HD à l’aide d’un câble FireWire. Si vous disposez de vidéo numérique sur un appareil Flash ou que vous voulez capturer de la vidéo directement à partir d’une caméra iSight, ouvrez iMovie et choisissez Aide > Aide iMovie HD. Tapez ensuite “importation” dans le champ de recherche. Vous trouverez des instructions sur l’importation de vidéo à partir d’autres emplacements ou d’autres appareils.  Fichiers musicaux dans votre bibliothèque iTunes.  Photos de votre photothèque iPhoto. Même si vous n’avez ni photos, ni musique dans iPhoto ou iTunes, vous pouvez quand même suivre cette initiation. Sautez les étapes correspondantes ou bien lisez-les pour vous y référer ultérieurement. Le plus important est d’expérimenter et de s’amuser tout en se familiarisant avec iMovie HD.8 Chapitre 1 Bienvenue dans iMovie HD Le saviez-vous ? Utilisation de Magic iMovie pour créer un film en quelques minutes Que vous soyez débutant ou chevronné, vous pouvez utiliser Magic iMovie pour créer un film de A à Z ou pour vous faire gagner un temps appréciable dans l’élaboration de votre film.. Magic iMovie permet d’importer automatiquement de la vidéo à partir de votre caméscope FireWire (DV ou HDV), d’en faire un film et de l’envoyer vers iDVD pour pouvoir le graver sur un DVD. Vous pouvez même choisir un titre, un style de transition et une bande-son ; iMovie HD joue alors le rôle du réalisateur et s’occupe de tout le reste. Pour réaliser un film avec Magic iMovie, cliquez sur le bouton “Créer un Magic iMovie” dans la zone de dialogue iMovie HD qui apparaît, ou choisissez Fichier > Créer un Magic iMovie lorsque l’application iMovie HD est ouverte. Pour en savoir plus sur la création d’un film Magic iMovie, consultez l’Aide iMovie HD.Chapitre 1 Bienvenue dans iMovie HD 9 En savoir plus Votre ordinateur s’accompagne d’un système d’aide intégré pour iMovie HD. Lorsque l’application iMovie HD est ouverte, choisissez Aide > Aide iMovie HD. Lorsque l’Aide iMovie HD s’ouvre, tapez un mot ou une expression dans le champs de recherche situé en haut de la page ou cliquez sur l’une des zones de rubriques pour trouver des informations sur un sujet en particulier. Vous trouverez des liens vers d’autres ressources utiles sur la page de l’Aide iMovie HD, par exemple un guide d’initiation multimédia en ligne, un site Web d’astuces et le site Web d’assistance Apple. Pour connaître les dernières actualités et des informations à propos d’iMovie HD, rendez-vous sur le site Web d’iMovie HD à l’adresse www.apple.com/fr/ilife/imovie.2 10 2 Initiation à iMovie HD Ce chapitre vous fait découvrir étape par étape le processus de construction de votre propre film dans iMovie HD. Vous pouvez utiliser de la vidéo à partir de toute une variété de sources et de dispositifs afin de créer un film dans iMovie HD. Si vous disposez de vidéo numérique sur votre caméscope ou de séquences vidéo numériques sur votre ordinateur, vous pouvez suivre les étapes décrites dans ce chapitre pour transférer automatiquement ces données dans iMovie HD, modifier les clips, ajouter des transitions et un titre, puis insérer une bande-son. Première étape : Commencer un nouveau projet La première fois que vous ouvrez iMovie HD, la fenêtre Projet (illustrée ci-dessous) s’affiche à l’écran : elle vous propose plusieurs options pour créer un film. À cette étape, sélectionnez l’une de ces options pour créer un projet. Pour commencer un nouveau projet iMovie HD : 1 Cliquez sur l’icône d’iMovie HD dans le Dock. Si vous ne trouvez pas l’icône dans le Dock, ouvrez le dossier Applications et double-cliquez sur l’icône d’iMovie HD. 2 Cliquez sur le bouton “Créer un nouveau projet”.Chapitre 2 Initiation à iMovie HD 11 3 Tapez un nom pour votre projet dans le champ Projet. 4 Cliquez sur le menu local intitulé Emplacement et choisissez un dossier où enregistrer votre projet de film. L’emplacement par défaut est le dossier Séquences de votre dossier de départ. Si vous enregistrez votre film dans ce dossier, cela permettra aux autres applications iLife, comme iDVD ou GarageBand, de le retrouver facilement. 5 Cliquez sur Créer. Un nouveau fichier de projet pour votre projet iMovie HD est alors créé à l’emplacement que vous choisissez. Il comportera l’ensemble des clips vidéo, transitions, effets et élé- ments audio utilisés dans votre film. Deuxième étape : Importer de vidéo dans iMovie HD iMovie HD peut exporter ou importer de la vidéo dans un grand nombre de formats vidéo et à partir de nombreux types de caméscopes, notamment les caméscopes DV (y compris ceux prenant en charge un écran large) et les caméscopes haute définition (HDV). iMovie HD reconnaît et importe automatiquement votre vidéo dans la plupart des cas, c’est pourquoi vous n’avez pas à vous préoccuper du format vidéo. À cette étape, importez votre propre vidéo dans votre projet iMovie. Si vous disposez d’un caméscope muni d’une connexion FireWire, suivez les instructions pour connecter votre caméscope et importer la vidéo à l’aide des commandes de capture d’iMovie HD. Si vous possédez un autre type de dispositif vidéo numérique ou que vous disposez de séquences dans un fichier sur votre ordinateur, consultez les instructions de la page 14. Pour importer de la vidéo à partir d’un caméscope : 1 Mettez le caméscope en mode VTR mode (certains caméscopes appellent ce mode Lecture ou VCR) et allumez-le si nécessaire. 2 Connectez votre caméscope à votre ordinateur à l’aide d’un câble FireWire. 12 Chapitre 2 Initiation à iMovie HD Si votre caméscope utilise un socle, connectez ce dernier à l’ordinateur et placez-y le caméscope. L’illustration ci-dessous montre comment connecter un caméscope à un iMac à l’aide d’un câble FireWire. 3 Dans iMovie HD, cliquez sur le sélecteur de modes (illustré ci-après) afin de mettre iMovie HD en mode caméra. Remarque : un caméscope doit être connecté et allumé pour pouvoir passer au mode caméra et voir les commandes de capture s’afficher. Si vous constatez des problèmes de communication entre votre caméscope et iMovie HD, cliquez sur le bouton Aide connexion sur le moniteur iMovie. Il vous renvoie à des informations utiles de l’Aide iMovie HD. Si plusieurs caméscopes sont connectés, ou bien un caméscope plus une caméra iSight, choisissez votre caméscope dans le menu local qui apparaît lorsque vous passez en mode caméra.Chapitre 2 Initiation à iMovie HD 13 4 Utilisez les commandes de capture illustrées ci-après pour visionner votre cassette sur le moniteur iMovie. 5 Rembobinez la cassette quelques secondes avant l’endroit où vous souhaitez effectuer l’importation. 6 Cliquez sur Lecture. 7 Lorsque vous voyez l’endroit où vous souhaitez commencer l’importation, cliquez sur Importer (comme indiqué ci-dessus) ou appuyez sur la barre d’espace. Au cous de l’opération d’importation, la séquence s’affiche sur le moniteur iMovie. Vous pouvez importer la séquence toute entière, ou bien uniquement les parties de votre choix. 8 Cliquez à nouveau sur Importer ou appuyez sur la barre d’espace lorsque vous souhaitez arrêter l’importation. ∏ Astuce : pour régler le volume de votre ordinateur lorsque vous travaillez dans iMovie, utilisez le curseur de volume situé sous le moniteur iMovie. Ce curseur n’augmente ni ne baisse le volume de la vidéo que vous diffusez à votre assistance. Il se contente de changer le volume sur votre ordinateur lorsque vous lisez et écoutez vos fichiers audio. 9 Lorsque la séquence de votre choix est capturée dans la sous-fenêtre Clips, éteignez votre caméscope et déconnectez-le de votre ordinateur. Rembobiner Importer Avance rapide Arrêt Lecture Pause14 Chapitre 2 Initiation à iMovie HD Lorsque vous importez votre séquence vidéo à partir d’un caméscope connecté via FireWire, iMovie HD détecte les pauses réalisées au cours de l’enregistrement et divise automatiquement la vidéo en scènes ou en clips. Chaque séquence de vidéo enregistrée est ensuite transformée en un clip vidéo sauvegardé dans la sous-fenêtre Clips (illustrée ci-dessous). ∏ Astuce : vous pouvez utiliser les préférences d’iMovie HD pour modifier les réglages d’importation, comme l’emplacement des clips importés, déterminer si iMovie doit créer de nouveaux clips à chaque fin de scène, et plus encore. Pour consulter les réglages que vous pouvez ajuster, choisissez iMovie HD > Préférences puis cliquez sur Importer. En plus du transfert de vidéo à partir de votre caméscope, vous pouvez importer de la vidéo d’un CD ou d’un DVD, ou bien d’autres emplacements, sur le disque dur de votre ordinateur. Pour importer de la vidéo à partir d’un disque ou d’un autre emplacement : 1 Choisissez Fichier > Importer. 2 Localisez puis sélectionnez le fichier que vous souhaitez importer. 3 Cliquez sur Ouvrir.Chapitre 2 Initiation à iMovie HD 15 Vous pouvez également faire glisser des fichiers à partir de votre bureau ou d’applications comme iTunes ou iPhoto vers la sous-fenêtre Clips. Dans iMovie HD 6, vous pouvez aussi faire glisser, copier et coller des clips d’un projet iMovie HD vers un autre. Troisième étape : Choisir la vidéo que vous souhaitez garder Pour limiter votre vidéo aux meilleures séquences, lisez chaque clip et coupez, ou “rognez”, la séquence. Chaque seconde de vidéo est constituée de nombreuses images individuelles. Vous pouvez lire chaque clip d’un coup, ou bien image par image, afin de trouver les moments exacts où vous voulez rogner une partie. À cette étape, prévisualisez les clips que vous avez importés et rognez ou supprimez les séquences non voulues. Utilisez les commandes de lecture d’iMovie, illustrées ci-après, pour prévisualiser les clips. Pour lire un clip, vous pouvez procéder de l’une des manières suivantes :  Sélectionnez le clip puis cliquez sur Lecture dans les commandes de lecture d’iMovie.  Cliquez sur Rembobiner pour aller au début de votre séquence ou séquence de clips.  Cliquez sur Lecture plein écran pour lire la vidéo en mode plein écran. (Cliquez n’importe où sur l’écran ou appuyez sur la touche Échap. pour quitter le mode plein écran.) Les plans sur le sol, les séquences floues et les poses peu flatteuses peuvent être éliminés en un instant afin de conserver uniquement les plans qui vous intéressent. Il est possible que vous souhaitiez éliminer certains clips dans leur intégralité. Le saviez-vous ?—Importation de vidéo à partir d’un dispositif flash Les caméscopes MPEG-4 peuvent avoir un connecteur USB au lieu d’un connecteur FireWire. Pour transférer de la vidéo à partir de l’un de ces appareils, connectez celuici à votre ordinateur via le port USB. Votre caméra ou appareil MPEG-4 apparaît sous forme de disque dur sur votre bureau. Vous pouvez ouvrir l’icône du disque dur et faire glisser la séquence vidéo dans votre projet iMovie HD ou vers votre bureau pour l’importer ultérieurement. Lorsque vous importez une séquence à partir d’un appareil MPEG-4, votre vidéo est importée sous la forme d’un seul clip ; iMovie HD ne le divise pas automatiquement en plusieurs clips. Vous ne pouvez pas utiliser les commandes de capture pour importer votre vidéo ou commander votre caméra, et vous ne pouvez pas non plus utiliser la fonction Magic iMovie pour importer automatiquement de la vidéo. Rembobiner Lecture/Pause Lecture plein écran16 Chapitre 2 Initiation à iMovie HD Pour supprimer un clip : m Sélectionnez le clip concerné puis choisissez Édition > Couper ou appuyez sur la touche Suppr. Le clip disparaît de la sous-fenêtre Clips. Vous remarquerez que la Corbeille iMovie en bas de la fenêtre est remplie : il s’agit du clip que vous venez de couper. Il restera à cet emplacement jusqu’à ce que vous vidiez la Corbeille iMovie. Les clips restants peuvent être rognés de manière à ne conserver que les bonnes parties. Lorsque vous rognez un clip, vous sélectionnez les images que vous souhaitez conserver et effacez le reste du clip. L’élagage préserve le milieu d’un clip et supprime le début et la fin. Pour élaguer un clip : 1 Sélectionnez le clip à rogner en cliquant dessus dans la sous-fenêtre Clips. 2 Faites glisser la tête de lecture dans le défileur situé en dessous du moniteur iMovie (comme illustré ci-dessous) à l’endroit où vous voulez que commence votre scène. 3 Placez le pointeur juste en dessous de la tête de lecture, puis faites-le glisser vers la droite pour inclure la séquence que vous voulez conserver. (Lorsque vous faites glisser le pointeur vers la droite, les marqueurs de rognage apparaissent.) La portion dorée du défileur (illustré ci-après) correspond à la séquence que vous avez sélectionnée. 4 Choisissez Édition > Élaguer afin de conserver la portion sélectionnée de la vidéo et de supprimer le reste. ∏ Astuce : pour ajuster précisément la position des marqueurs de rognage, cliquez sur l’un d’entre eux (voir illustration plus haut) pour le sélectionner, puis appuyez sur la touche Flèche droite ou Flèche gauche de manière à déplacer le marqueur de rognage d’une image à la fois. Pour déplacer le marqueur de rognage par incréments de 10 images, maintenez la touche Maj enfoncée tout en appuyant sur la touche fléchée. Tête de lecture Pointeur Marqueur de rognageChapitre 2 Initiation à iMovie HD 17 Quatrième étape : Construire votre film Votre séquence vidéo étant à présent transformée en une collection de clips vidéo élagués, vous pouvez commencer à les utiliser pour construire votre film. À cette étape, déplacez les clips de la sous-fenêtre Clips vers la piste vidéo de votre film et commencez à les organiser en une séquence. Pour construire un film, travaillez dans la zone située sous le moniteur iMovie. Cette zone offre deux présentations dans lesquelles travailler : le visualiseur de clips et le visualiseur de la chronologie.  Le visualiseur de clips, illustré ci-après, affiche les clips dans leur ordre d’apparition dans votre film. Il vous offre une présentation simplifiée et directe des séquences et des transitions des clips utilisées dans votre film. Il s’agit également de la vue la plus simple à utiliser lorsque vous voulez réorganiser les clips. Le saviez-vous ?—Annulation d’une modification Si vous faites une erreur ou que vous n’êtes pas satisfait des changements que vous avez effectués, vous pouvez les annuler.  Choisissez Édition > Annuler, pour supprimer votre dernier changement. Continuez à choisir Annuler pour annuler un à un vos derniers changements.  Choisissez Avancé > Revenir au clip original, pour annuler toutes les modifications apportées à un clip en particulier.  Choisissez Fichier > Revenir à la version enregistrée, pour annuler toutes les modifications apportées à un projet depuis la dernière fois que vous l’avez enregistré.18 Chapitre 2 Initiation à iMovie HD  Le visualiseur de clips, illustré ci-après, affiche les éléments de votre film de manière plus détaillée, vous permettant de zoomer sur les sections du film. Il affiche par ailleurs la piste vidéo du film et deux pistes audio. Les trois pistes vous permettent d’ajouter et de manipuler plusieurs couches d’un son, y compris le son contenu dans les clips vidéo. Utilisez le visualiseur de la chronologie pour modifier de façon précise la vidéo et l’audio. Lorsque vous construisez un film à partir de clips de la sous-fenêtre Clips, vous trouverez cela plus facile de commencer par travailler dans le visualiseur de clips. Pour ajouter des clips à votre film : 1 Cliquez sur le bouton du visualiseur de clips situé en dessous du moniteur iMovie. 2 Sélectionnez un clip dans la sous-fenêtre Clips et faites-le glisser dans le visualiseur de clips. 3 Reproduisez l’étape 2 pour tous les clips que vous souhaitez ajouter. Vous pouvez faire glisser des clips entre d’autres clips, en les plaçant dans l’ordre de votre choix. Lorsque vous faites glisser un clip devant ou derrière d’autres clips, ceux-ci s’écartent pour libérer de l’espace, comme illustré ci-après. 4 Faites glisser des clips dans le visualiseur de clips pour les réorganiser dans l’ordre que vous voulez. 5 Choisissez Fichier > Enregistrer le projet pour enregistrer votre projet de film. Bouton chronologieChapitre 2 Initiation à iMovie HD 19 Le saviez-vous ?—Enregistrement lors de la construction de votre film Il est recommandé d’enregistrer régulièrement vos modifications. iMovie HD conservant telles quelles vos séquences originales même lorsque vous élaguez, vous pouvez récupérer les chutes élaguées même après avoir enregistré le film modifié. Pour enregistrer votre projet : m Choisissez Fichier > Enregistrer le projet. Il peut arriver que vous ayez besoin de revenir à la dernière version enregistrée de votre projet, et d’annuler toutes les modifications non encore enregistrées. Pour revenir à la version enregistrée de votre projet : m Choisissez Fichier > Revenir à la version enregistrée. Vous pouvez aussi enregistrer une copie de votre projet et lui donner un nom différent. Ceci vous permet de créer une version différente de votre séquence ou d’utiliser des portions de celle-ci dans un nouveau projet. Il peut s’avérer extrêmement utile d’enregistrer plusieurs copies d’un projet, mais cela peut également occuper un espace disque volumineux. Pour enregistrer une copie de votre projet avec un nom différent : m Choisissez Fichier > Enregistrer le projet sous. Saisissez alors un nom, choisissez un emplacement où copier le projet et cliquez sur Enregistrer.20 Chapitre 2 Initiation à iMovie HD Cinquième étape : Ajouter des photos à votre film iMovie HD peut ajouter facilement les photos de votre Photothèque iPhoto à votre film. Vous pouvez ajouter des photos sous forme de plans fixes qui resteront à l’écran aussi longtemps que vous le souhaitez, ou bien vous pouvez effectuer un panoramique et un zoom avant ou arrière en utilisant l’Effet Ken Burns. À cette étape, ajoutez des photos fixes à votre film et appliquez entre autres l’Effet Ken Burns. Utilisez la sous-fenêtre Multimédia, illustrée ci-dessous, pour sélectionner des photos et les animer. Remarque : pour afficher des photos dans la sous-fenêtre Multimédia, vous devez avoir installé iPhoto et disposer d’au moins une photo dans votre photothèque iPhoto. Pour ajouter une photo fixe à votre film : 1 Cliquez sur le bouton Multimédia, puis sur Photos en haut de la sous-fenêtre Multimédia. 2 Sélectionnez l’ensemble de votre photothèque iPhoto, un album ou un dossier dans la liste. Les photos de l’élément sélectionné apparaissent en bas de la sous-fenêtre. Vous pouvez parcourir les photos pour trouver celles que vous voulez. ∏ Astuce : il est également possible de rechercher une photo en tapant du texte dans le champ de recherche (illustré ci-dessus). Lors de votre saisie, les photos contenant le texte que vous êtes en train de tapez apparaissent dans la sous-fenêtre Multimédia. Pour revoir toutes les photos, cliquez sur le bouton de réinitialisation (un “x” dans le champ de recherche). 3 Sélectionnez la photo que vous voulez ajouter à votre film. Champ de recherche Bouton de réinitialisationChapitre 2 Initiation à iMovie HD 21 La fenêtre Réglages de photo (illustrée ci-dessous) s’affiche. Vous pouvez la faire glisser n’importe où sur l’écran de votre ordinateur ou la déplacer jusqu’à lui faire quitter l’écran. 4 Cliquez sur la case Effet Ken Burns pour la désactiver et ainsi annuler l’animation de la photo. 5 Faites glisser le curseur Durée pour modifier la durée d’affichage de votre photo. Lorsque vous ajoutez une photo à votre film, iMovie règle automatiquement sa durée d’affichage à 5 secondes, à moins que vous ne la modifiiez. 6 Faites glisser la photo de la sous-fenêtre Multimédia au visualiseur de clips. Si vous voulez placer la photo à la fin de votre film, vous pouvez également cliquer sur le bouton Appliquer. ∏ Astuce : pour sélectionner plusieurs photos à la fois, appuyez sur la touche Commande tout en sélectionnant les photos. Vous pouvez également faire glisser un album entier afin d’ajouter toutes les photos qu’il contient. Si vous souhaitez ajouter un mouvement aux photos de votre film, vous pouvez utiliser l’Effet Ken Burns pour effectuer un panoramique et un zoom. Un panoramique fait apparaître la caméra pour balayer la surface de la photo. Un zoom fait apparaître une photo de manière à donner l’impression que la caméra se déplace vers la photo ou bien s’en éloigne, ajoutant ainsi un mouvement intéressant aux plans fixes. Pour effectuer un zoom sur une photo : 1 Dans la fenêtre Réglages de photo, cochez la case Effet Ken Burns. 2 Sélectionnez une photo dans votre photothèque iPhoto et cliquez sur Début. 3 Déplacez le curseur Zoom vers la droite ou la gauche jusqu’à ce que vous ayez trouvé le point à partir duquel vous souhaitez appliquer un zoom. 4 Cliquez sur Fin. 5 Déplacez le curseur Zoom jusqu’à ce que vous ayez trouvé le point à partir duquel le zoom doit prendre fin. 6 Déplacez le curseur Durée pour régler la durée du zoom. 7 Cliquez sur Appliquer lorsque vous avez obtenu l’effet désiré. La photo apparaît sous forme de clip à la fin de votre film. Vous pouvez faire glisser le clip là où vous voulez qu’il apparaisse. Curseur Durée Curseur Zoom22 Chapitre 2 Initiation à iMovie HD Pour effectuer un panoramique sur une photo : 1 Sélectionnez une photo dans votre film ou dans la sous-fenêtre Multimédia. 2 Dans la fenêtre Réglages de photo, cochez la case Effet Ken Burns. 3 Cliquez sur Début. 4 Cliquez sur l’image sur le moniteur iMovie, puis appuyez sur le bouton de la souris et faites glisser l’image jusqu’à ce vous ayez trouvé l’endroit où vous souhaitez faire commencer le panoramique. 5 Cliquez sur Fin. 6 Faites glisser l’image jusqu’à l’endroit où devra se terminer le panoramique. 7 Déplacez le curseur Durée pour régler la durée du panoramique. 8 Cliquez sur Lecture pour avoir un aperçu de l’effet. Répétez les étapes ci-dessus si nécessaire. 9 Cliquez sur Appliquer lorsque vous avez obtenu l’effet désiré. La photo apparaît sous forme de clip à la fin de votre film. Vous pouvez faire glisser le clip là où vous voulez qu’il apparaisse. Commande panoramique Le saviez-vous ?—Utilisation combinée du panoramique et du zoom Vous pouvez associer un panoramique et un zoom pour attirer l’attention sur l’élément d’une photo, par exemple une personne sur une photo de groupe. Si votre photo n’est pas assez grande pour que vous puissiez utiliser un effet de panoramique, vous pouvez commencer par faire un zoom avant puis procéder ensuite au panoramique sur cette aire agrandie. Pour en savoir plus sur l’utilisation de l’Effet Ken Burns, consultez l’Aide iMovie HD.Chapitre 2 Initiation à iMovie HD 23 Sixième étape : Ajouter des titres et du texte Aucun film n’est achevé s’il n’est pas doté d’un titre, et tous les grands films se terminent par un générique. Vous pouvez ajouter des titres, un générique et du texte à votre film afin de le peaufiner. Le texte ne doit pas non plus forcément rester immobile. Vous pouvez par exemple insérer du texte qui “rebondit” ou qui tourne sur lui-même, ou même modifier la couleur et la luminosité. iMovie HD vous propose de nombreux styles de titres. À cette étape, ajoutez un titre à votre film et apprenez à le placer au-dessus d’un arrière-plan ou d’un clip vidéo. La sous-fenêtre Titres, illustrée ci-dessous, présente toutes les options que vous pouvez sélectionner pour différents styles de titres. Vous pouvez placer des titres et du texte directement au-dessus d’une portion de vidéo, ou bien créer des clips noirs ou des clips en couleur qui servent de fond uni pour le texte. Si vous ajoutez un clip noir ou en couleur, n’oubliez pas que vous allongez un petit peu la durée de votre film. Pour ajouter un titre : 1 Cliquez sur le bouton Montage, puis sur le bouton Titres, dans la partie supérieure de la sous-fenêtre Montage. 2 Sélectionnez un titre dans la liste. Un aperçu apparaît sur le moniteur iMovie. Essayez différents styles jusqu’à ce que vous en trouviez un qui vous plaise. 24 Chapitre 2 Initiation à iMovie HD ∏ Astuce : vous pouvez déplacer la tête de lecture le long du défileur sur le moniteur iMovie pour contrôler l’aperçu. Pour voir plusieurs fois de suite un aperçu de l’effet, cochez la case Boucle. 3 Saisissez le texte que vous souhaitez voir apparaître dans les champs de texte situés sous la liste de titres. Si le style de titre peut comporter plusieurs lignes de texte, un signe plus (+) s’affiche à côté du champ de texte. Cliquez dessus pour ajouter une autre ligne de texte. Vous pouvez effectuer cette opération autant de fois que vous le souhaitez, ou bien jusqu’à ce que les signes plus n’apparaissent plus. Pour supprimer des lignes de texte, cliquez sur le champ que vous souhaitez supprimer puis cliquez sur le signe moins (–). 4 Choisissez un style de police dans le menu local Famille. Essayez différentes polices jusqu’à ce que vous en trouviez une qui vous plaise. 5 Choisissez un style pour le titre (par exemple gras ou italique) dans le menu local Style. 6 Déplacez le curseur Taille vers la gauche ou vers la droite afin de définir la taille de la police. 7 Cliquez sur la case Couleur pour ouvrir la fenêtre Couleurs, illustrée ci-dessous. Cliquez ensuite sur des couleurs dans la fenêtre Couleurs jusqu’à ce que vous trouviez celle qui vous intéresse. Fermez la fenêtre Couleurs une fois que vous avez terminé. Selon le style de titre, vous disposez éventuellement d’autres options. Par exemple, si le titre est en mouvement, utilisez les boutons fléchés à gauche des champs de texte pour choisir la direction dans laquelle se déplace le titre. Lorsque le titre ou le texte est défini comme vous le souhaitez, vous pouvez alors le placer dans votre film. 8 Dans le visualiseur de clips, sélectionnez le clip dans lequel vous voulez placer le titre. 9 Cochez la case Sur fond noir si vous souhaitez placer le titre sur un clip noir. Pour l’ajouter directement sur le clip vidéo, assurez-vous que l’option Sur un fond noir n’est pas cochée. 10 Cliquez sur Ajouter. Si la durée du clip vidéo est supérieure à celle du titre, iMovie HD scinde le clip à l’emplacement où le titre se termine. Vous pouvez supprimer la portion scindée du clip original ou l’utiliser dans votre séquence.Chapitre 2 Initiation à iMovie HD 25 Pour modifier la couleur d’un clip noir : 1 Sélectionnez le clip noir et choisissez Fichier > Afficher les infos. 2 Cliquez sur la zone Couleur. 3 Choisissez la couleur qui vous intéresse dans la fenêtre Couleurs. 4 Cliquez sur Définir. Une fois que vous avez ajouté un titre à votre film, vous pouvez toujours le modifier. Sélectionnez le clip du titre dans votre film, effectuez les modifications souhaitées, puis cliquez sur Mettre à jour. Pour supprimer un titre, sélectionnez le clip du titre et appuyez une fois sur la touche Suppr. Pour effectuer la même modification sur plusieurs clips contenant du texte, sélectionnez tous les clips, puis effectuez la modification en une seule fois. Septième étape : Retoucher des clips Maintenant que vous disposez d’un film avec de la vidéo, des photos et un titre, vous pouvez être amené à devoir retoucher vos clips vidéo. La plupart des modifications que vous apportez dans iMovie ont lieu dans le visualiseur de la chronologie. À cette étape, apprenez à apporter des petits ou des gros changements à vos clips vidéo en les ajustant dans le visualiseur de la chronologie. Pour passer au visualiseur de la chronologie : m Cliquez sur le bouton du visualiseur de la chronologie situé en dessous du moniteur iMovie. Le bouton du visualiseur de la chronologie est celui qui représente une horloge. Les clips vidéo apparaissent dans la piste du haut dans le visualiseur de la chronologie. Vous pouvez faire glisser le curseur dans le coin inférieur gauche de la fenêtre pour que les clips apparaissent en plus gros ou en plus petit dans le visualiseur de la chronologie. Vous pouvez être amené à réduire la taille des clips pour en voir plus dans la fenêtre, ou bien à les agrandir pour effectuer une modification avec davantage de précision. Pour ajuster rapidement un clip : m Faites glisser le pointeur de l’extrémité du clip vers son centre. (Le pointeur change de forme pour indiquer l’endroit où vous pouvez le faire glisser.) Bouton chronologie Bouton du visualiseur de clips26 Chapitre 2 Initiation à iMovie HD Une fois ajustée, la vidéo ne disparaît pas mais elle n’apparaît pas dans votre séquence. Si vous souhaitez allonger à nouveau le clip, vous pouvez faire glisser l’extrémité vers l’extérieur de manière à restaurer tout ou partie de la vidéo cachée. Lorsque vous faites glisser le bord d’un clip, les clips attenants se déplacent avec. C’est pourquoi si vous raccourcissez ou rallongez un clip, vous raccourcissez ou rallongez le film tout entier. Important : vous ne pouvez pas utiliser cette méthode d’ajustement si les niveaux de volume d’un clip sont à l’écran. Pour masquer ces derniers, choisissez Présentation > Afficher les niveaux de volume du clip pour supprimer la coche. (Un élément sélectionné a une coche en face de lui ; choisissez à nouveau l’élément pour le désélectionner.) Vous pouvez vous servir de la tête de lecture “fantôme” d’iMovie HD pour choisir l’image précise où vous voulez que la vidéo ajustée commence ou se termine, puis élaguer jusqu’à cet endroit. Pour ajuster un clip vidéo avec précision : 1 Cliquez sur le clip que vous souhaitez modifier dans le visualiseur de la chronologie. 2 Faites glisser la tête de lecture sur l’image où vous souhaitez que le clip commence ou se termine. 3 Placez le pointeur sur la fin du clip jusqu’à ce que vous le voyiez changer de forme. 4 Faites glisser l’extrémité du clip sur la tête de lecture “fantôme” (illustrée ci-dessus) pour supprimer les images que vous voulez ajuster. Une ligne jaune apparaît et le bord du clip se colle automatiquement au bord de la tête de lecture “fantôme” lorsque vous vous placez sur l’image sélectionnée à l’étape 2. 5 Répétez l’opération de l’autre côté du clip, si vous le souhaitez. Une fois que vous commencez à ajuster des clips, ils apparaîtront différemment dans le visualiseur de la chronologie. L’illustration ci-dessous montre que les clips entiers possèdent des coins arrondis. Les clips ajustés ou rognés ont des bords droits aux endroits où ils ont été raccourcis. Vous pouvez allonger un clip doté de bords droits. Pointeur Pointeur Tête de lecture fantômeChapitre 2 Initiation à iMovie HD 27 Les résultats obtenus diffèrent selon l’endroit où vous placez le pointeur lorsque vous faites glisser un clip. Faire glisser un clip à partir d’une extrémité permet de le raccourcir ou de l’allonger, alors que le faire glisser à partir de son centre le déplace vers un autre emplacement de votre film. Lorsque vous placez un clip sur un autre clip, celui que vous faites glisser déplace celui sur lequel il vient se poser ainsi que tous les clips attenants dans la direction où vous faites glisser le clip. Chaque fois que vous déplacez un clip vers la droite, vous créez un vide. Vous pouvez faire glisser d’autres clips pour remplir ce vide, ou bien laisser ce vide pour qu’il serve d’arrière-plan pratique pour du texte ou ajouter une dimension supplémentaire à une transition ou un effet. L’illustration ci-dessous montre à quoi ressemble un vide dans le visualiseur de la chronologie. ∏ Astuce : pour supprimer un vide rapidement, allez dans le visualiseur de clips. Le vide s’affiche sous forme de clip noir. Sélectionnez le clip noir et supprimez-le. Une autre manière de modifier rapidement un clip est de le scinder en deux. Vous pouvez être amené à diviser un clip pour pouvoir insérer des titres, ajouter d’autres clips ou des images, ou encore réorganiser l’ordre des clips. Vous pouvez scinder des clips se trouvant dans la sous-fenêtre Clips dans le visualiseur de clips ou dans le visualiseur de la chronologie. Il est également possible de diviser des clips audio dans le visualiseur de la chronologie. Pour scinder un clip : 1 Cliquez sur un clip pour le sélectionner. 2 Placez la tête de lecture à l’endroit où vous souhaitez diviser le clip. 3 Choisissez Édition > Scinder le clip vidéo au point de lecture. Vide Le saviez-vous ?—Ajout d’effets spéciaux Vous pouvez ajouter des effets intéressants à vos films afin de leur prêter un attrait particulier, un flou ou encore une touche de gaieté. iMovie HD offre toute une gamme d’effets vidéo qui peuvent faire vibrer les clips comme pendant un tremblement de terre, faire traverser l’écran par une étoile filante scintillante, filtrer une scène avec un brouillard passager ou encore ajouter à une image un éclair d’électricité. D’autres effets modifient la luminosité ou le contraste de la vidéo, ajoutent un ralenti, changent les couleurs, adoucissent le flou, et plus encore. Pour en savoir plus sur l’ajout d’effets spéciaux à votre film, consultez l’Aide iMovie HD.28 Chapitre 2 Initiation à iMovie HD Huitième étape : Ajouter des transitions À ce stade, vous avez disposé vos clips vidéo dans l’ordre que vous vouliez. Cependant, l’enchaînement des scènes est haché et vous souhaiteriez un résultat plus fluide. Résolvez le problème grâce aux transitions. Les transitions relient les extrémités des clips de diverses manières : par exemple en effectuant le fondu d’une scène dans la suivante ou en “poussant” la dernière scène hors-champ tandis que la suivante apparaît. À cette étape, ajoutez des transitions entre les clips de votre film. Une transition peut être placée entre n’importe lesquels des clips de votre film, ou encore au début ou à la fin de ce dernier. Dans le visualiseur, les transitions sont identifiées par une icône, illustrée ci-dessous. Remarque : il est impossible de placer une longue transition entre deux clips courts (séquence insuffisante). Une zone de dialogue d’avertissement apparaît dans ce cas. Pour ajouter une transition entre deux scènes : 1 Faites glisser la tête de lecture près de l’endroit où vous envisagez d’ajouter la transition. 2 Cliquez sur le bouton Montage, puis cliquez sur Transitions en haut de la sous-fenêtre Montage. La sous-fenêtre Transitions, illustrée ci-dessous, s’ouvre. Icône TransitionChapitre 2 Initiation à iMovie HD 29 3 Cliquez sur un style de transition dans la liste afin de le sélectionner. 4 Réglez la durée de la transition à l’aide du curseur Vitesse. 5 Effectuez les autres réglages spécifiques de la transition de votre choix. Par exemple, si vous sélectionnez la transition Décalage, vous pouvez également utiliser les boutons fléchés situés à côté du curseur Vitesse pour choisir le sens dans lequel doit apparaître la scène qui suit. D’autres transitions, telles que Réduction, vous permettent de définir l’origine de la transition. Un petit cercle apparaît sur le moniteur iMovie : il montre l’endroit où la transition doit commencer. Vous pouvez faire glisser le cercle vers un autre emplacement. 6 Pour ajouter la transition à votre film, cliquez sur Ajouter ou faites glisser la transition de la liste vers le visualiseur de clips. ∏ Astuce : si vous souhaitez utiliser la même transition dans tout votre film, vous pouvez configurer la transition comme vous le voulez, puis sélectionner tous les clips de votre film et cliquer sur Ajouter. La transition est appliquée dans tout le film en un seul clic. Si vous changez d’avis pour une transition, vous pouvez la supprimer et recommencer, ou bien modifier cette transition. Pour supprimer une transition : m Sélectionnez la transition et appuyez sur la touche Suppr ou choisissez Édition > Effacer. Vous devez supprimer les transitions pour déplacer des clips ou ajouter une transition différente entre eux. Lorsque vous supprimer une transition, vos clips retrouvent leur durée d’origine.30 Chapitre 2 Initiation à iMovie HD Neuvième étape : Ajouter une bande-son Une bande-son apporte beaucoup à un film. Elle peut contribuer à y mettre le ton tout en y ajoutant de la profondeur. Lorsque vous importez de la vidéo dans un projet iMovie HD, cette vidéo inclut automatiquement le son enregistré avec. Vous pouvez baisser le son de la vidéo, ou bien l’éteindre complètement et ajouter de la musique, des effets sonores ou une voix off. Vous pouvez par ailleurs combiner ces différentes possibilités. À cette étape, ajoutez un morceau de votre bibliothèque iTunes et ajustez le volume et le positionnement du son dans votre film. Le visualiseur de la chronologie affiche les éléments audio en tant que clips audio sur l’une des deux pistes audio, comme le montre l’illustration ci-dessous. Vous pouvez ajouter de l’audio à l’une des pistes, et également faire glisser des clips audio d’une piste à une autre. Si le son de votre séquence vidéo est bruyant ou inaudible, vous pouvez vous servir des nouveaux effets audio d’iMovie HD, comme le Réducteur de bruit, afin de supprimer ou d’améliorer les données audio. Si cela ne vaut pas le coup de l’enregistrer, vous pouvez toujours désactiver le son. Pour désactiver une piste audio : m Désactivez la case située à l’extrémité droite de la piste (illustrée ci-dessus). Ajout de données audio à votre film Une manière simple d’ajouter de la musique à votre vidéo est d’utiliser les morceaux de votre bibliothèque iTunes ou de la musique que vous avez créée dans GarageBand. Vous pouvez également ajouter des effets sonores afin d’agrémenter votre film d’émotion ou d’humour. Pour ajouter des données audio à votre film : 1 Cliquez sur Multimédia, puis sur le bouton Audio. 2 Cliquez sur l’une des sources audio de la liste. Choisissez parmi les effets sonores intégrés, GarageBand ou votre bibliothèque et vos listes de lecture iTunes. Vous pouvez rechercher un morceau précis en saisissant quelques mots de son titre dans le champ de recherche. Cliquez sur le bouton Lecture à gauche du champ de recherche pour écouter une piste de la liste avant de l’ajouter à votre film. Remarque : pour utiliser la musique d’un CD, vous devez commencer par importer le morceau dans iTunes. 3 Placez la tête de lecture à l’endroit où vous souhaitez que la musique commence. Cases à cocher audio Pistes audioChapitre 2 Initiation à iMovie HD 31 4 Cliquez sur “Placer au point de lecture”. Le fichier audio apparaît comme clip audio dans la deuxième piste audio. Si l’audio ne commence pas au bon endroit, il vous suffit de faire glisser le clip audio le long de la piste jusqu’à ce que vous voyiez l’image où vous voulez qu’il commence sur le moniteur iMovie. Veillez à bien faire glisser le clip à partir de son centre et non de son bord. 5 Pour prévisualiser votre travail, sélectionnez le clip vidéo auquel vous avez ajouté l’audio et cliquez sur le bouton Lecture dans les commandes de lecture d’iMovie. ∏ Astuce : il est également possible de faire glisser un fichier audio dans le visualiseur de la chronologie. Ajustage de la longueur des clips audio Vous pouvez faire glisser les extrémités des clips audio comme pour les clips vidéo. Rien n’est en fait supprimé, donc vous pourrez facilement récupérer l’audio que vous supprimez de cette manière en faisant glisser l’extrémité du clip audio vers l’extérieur. Pour raccourcir une piste audio : 1 Cliquez sur le menu Présentation et assurez-vous que l’option Afficher les niveaux de volume du clip n’est pas sélectionnée. Si elle comporte une coche en face d’elle, choisissez-la à nouveau de manière à supprimer la coche. 2 Placez le pointeur au-dessus de l’extrémité du clip que vous voulez raccourcir. Lorsqu’il est à la bonne position, le pointeur change de forme. Le saviez-vous ?—Utilisation du son Vous pouvez améliorer le son de votre film de la manière suivante :  En désactivant ou en réduisant le son de la piste audio de la vidéo afin de mieux entendre une voix off, un effet audio ou la musique d’une autre piste.  En réglant le mixage des trois pistes (en augmentant le son de la piste vidéo par rapport aux autres pistes par exemple).  En désactivant complètement le son des clips vidéo, afin de n’entendre que le son des autres pistes.  En faisant glisser un clip sur un autre sur la même piste audio, de sorte qu’ils se chevauchent et que vous entendiez les deux clips à la fois.  En utilisant l’égaliseur graphique d’iMovie HD afin d’éliminer le bruit du vent ou le bourdonnement de la caméra ou encore pour régler les basses ou les aigus dans une vidéo ou un clip audio précis. Il est également possible de modifier la tonalité de l’audio ou d’ajouter des effets de réverbération, de délai ainsi que d’autres effets audio grâce auxquels vos films sonneront mieux que jamais. Pour en savoir plus sur la manipulation du son, consultez l’Aide iMovie HD.32 Chapitre 2 Initiation à iMovie HD 3 Faites glisser l’extrémité du clip vers son centre pour le raccourcir. Si vous allez trop loin, faites-le glisser dans le sens inverse à nouveau. 4 Cliquez sur le bouton Lecture pour obtenir un aperçu des résultats, puis procédez aux ajustements nécessaires. ∏ Astuce : si vous devez rallonger un clip audio en particulier (par exemple un effet sonore), vous pouvez dupliquer le clip audio et l’ajouter à l’extrémité du clip précé- dent. Ajustez ensuite le nouveau clip de manière à ne conserver que la partie dont vous avez besoin. Ajustage du volume des clips audio Le volume du son dans le film est un paramètre très important. Si vous le réglez trop bas, les spectateurs ne pourront peut-être pas l’entendre. Si des données audio sont lues sur les deux pistes audio, il est aussi conseillé de pouvoir régler le volume pour chacune des pistes ou pour certains clips audio en particulier. Pour régler le volume de l’audio dans votre film, sélectionnez les clips que vous souhaitez modifier et utilisez les commandes de volume du clip dans le visualiseur de la chronologie, comme illustré ci-après. Ces réglages affectent le volume de lecture de la version finale du film. Vous pouvez sélectionner et modifier le volume de tous vos clips à la fois ou un par un. Pour régler le volume d’un clip audio : 1 Sélectionnez le clip, plusieurs clips ou bien une portion d’un clip. 2 Choisissez Présentation > Afficher les niveaux de volume du clip (il y a donc une coche en face de l’option). Une ligne de volume s’affiche dans tous les clips audio. Elle indique le volume actuel de chaque clip. 3 Cliquez sur l’icône du haut-parleur de la commande du volume du clip et faites glisser le curseur pour augmenter ou baisser le volume. Niveaux de volume Commande de volume Chapitre 2 Initiation à iMovie HD 33 ∏ Astuce : une fois que vous maîtrisez l’utilisation des données audio, vous pouvez procéder à des réglages très fins des niveaux de volume en cliquant sur les barres de niveaux de volume pour placer un marqueur, puis en faisant glisser les marqueurs vers le haut et vers le bas pour augmenter ou réduire le volume. Pour en savoir plus, consultez l’Aide iMovie HD. Si vous réglez le volume d’un clip en cours de lecture, iMovie HD arrête la lecture puis lit immédiatement le clip avec le réglage pris en compte. Cette fonction facilite l’obtention du résultat exact recherché. Dixième étape : Partagez votre film Un bon film doit être partagé. iMovie HD vous offre de nombreuses possibilités. Vous pouvez :  L’envoyer par courrier électronique.  Le publier sur Internet en utilisant iWeb.  Le transférer sur un iPod.  L’enregistrer sur une cassette DV ou HDV.  Le graver sur un DVD à l’aide d’iDVD.  L’enregistrer sous forme de séquence QuickTime sous divers formats.  L’envoyer via la technologie sans fil Bluetooth® à d’autres ordinateurs compatibles, à des téléphones portables, à des assistants numériques personnels, etc.  L’exporter dans GarageBand pour pouvoir créer une bande-son originale. Le saviez-vous ?—Utilisation de techniques sonores avancées iMovie HD vous offre la puissance et la souplesse pour tirer parti des données audio dans votre film. Vous pouvez scinder des clips audio, faire glisser les niveaux de volume du clip pour réaliser des fondus entrants et sortants de l’audio, appliquer de nouveaux effets audio et utiliser les formes d’onde pour synchroniser l’audio avec la vidéo. Pour en savoir plus sur ce thème et sur les techniques plus avancées d’utilisation du son, consultez l’Aide iMovie HD.34 Chapitre 2 Initiation à iMovie HD Quelle que soit la manière que vous choisissez pour visualiser votre film, iMovie HD permet d’exporter facilement un fichier de film au format adéquat. Pour partager vos films avec famille et amis : m Choisissez Partager puis sélectionnez le mode de partage de votre film. Si vous choisissez les options standard d’exportation, iMovie HD configure le film automatiquement au format approprié. ∏ Astuce : si vous souhaitez partager uniquement une partie de votre film, sélectionnez le ou les clips à partager et cochez la case “Partager seulement les clips sélectionnés”. iMovie HD peut aussi transférer votre projet dans iDVD en tant que nouveau projet iDVD. Pour exporter un film dans iDVD : m Choisissez Partager > iDVD. iMovie HD prend quelques instants pour compresser et exporter votre film (le temps nécessaire à cette opération dépend de la taille de votre film). Il est préférable de ne pas utiliser votre ordinateur pour d’autres tâches pendant l’exportation. ∏ Astuce : iMovie HD peut également importer votre vidéo, composer votre film et l’exporter dans iDVD automatiquement via la fonctionnalité Magic iMovie. Lorsque vous créez un film avec Magic iMovie, vous pouvez sélectionner l’option permettant de faire de votre film un nouveau projet iDVD.Chapitre 2 Initiation à iMovie HD 35 Pour graver votre film sur un DVD, vous devez disposer d’un ordinateur équipé d’un lecteur optique capable de graver des disques DVD. Le saviez-vous ?—Création d’un film avec des marqueurs de chapitre Si vous comptez utiliser votre vidéo dans un DVD ou un podcast vidéo, vous souhaiterez certainement ajouter des marqueurs de chapitre à votre film. De la sorte, les spectateurs peuvent se rendre à une scène en particulier dans le film. Vous pouvez même ajouter des URL aux marqueurs de chapitre pour votre podcast vidéo. Lorsque vous partagez un film doté de marqueurs de chapitre sur iDVD, iDVD crée automatiquement deux boutons dans le menu DVD principal : un bouton Lire le film et un bouton Sélection de scènes. Pour en savoir plus, consultez l’Aide iMovie HD et l’Aide iDVD.3 36 3 Vue d’ensemble d’iMovie Bienvenue dans le chapitre Vue d’ensemble d’iMovie. Il vous propose un présentation rapide de l’interface et des commandes d’iMovie HD. Lisez ce chapitre pour vous familiariser avec les fonctionnalités et la terminologie d’iMovie HD. Apprenez les noms des commandes d’iMovie HD si vous voulez suivre plus facilement les instructions de l’Aide iMovie HD. Fenêtre Projet d’iMovie HD Lorsque vous ouvrez iMovie HD pour la première fois, ou que vous fermez tous les projets iMovie ouverts, la fenêtre Projet apparaît. Utilisez-la pour créer un projet ou en ouvrir un. A Bouton Créer un nouveau projet : cliquez sur ce bouton pour créer un projet ou importer votre séquence. B Bouton Ouvrir un projet : cliquez sur ce bouton pour ouvrir un projet enregistré sur votre ordinateur et continuer à travailler dessus. C Bouton Créer un Magic iMovie : cliquez sur ce bouton pour qu’iMovie HD crée automatiquement un film à votre place. Il suffit de connecter votre caméscope et de cliquer sur ce bouton pour découvrir à quel point il est facile de réaliser un film. A B C D EChapitre 3 Vue d’ensemble d’iMovie 37 Fenêtre principale La fenêtre principale d’iMovie HD est votre console de commande pour monter des films. C’est dans cette fenêtre que vous pouvez visionner votre film, ordonner vos scè- nes, éditer des clips et donner à votre film un aspect professionnel. D Bouton Aide : cliquez sur ce bouton pour ouvrir l’Aide d’iMovie HD. E Bouton Quitter : cliquez sur ce bouton pour fermer iMovie HD. A Moniteur iMovie : affichez votre séquence et les effets de toutes vos modifications à cet endroit. B Défileur et marqueurs délagage : faites glisser la tête de lecture le long du défileur pour vous déplacer dans un film ou un clip sélectionné. Si vous déplacez la tête de lecture sur une image, l’emplacement de celle-ci s’affiche à côté de la tête de lecture. Positionnez les marqueurs de rognage de manière à sélectionner des portions de la vidéo à couper ou à garder. C Permutation de mode : cliquez sur ce bouton pour alterner entre le mode caméscope et le mode édition. Utilisez le mode caméscope pour choisir un périphérique d’entrée et transférer vos données vidéo brutes dans l’ordinateur. Utilisez le mode édition pour modifier votre film. D Commandes de lecture : utilisez ces commandes pour revenir au début d’un clip sélectionné, pour lire le clip ou le mettre en pause ou pour visionner le clip en mode plein écran sur le moniteur de votre ordinateur. Lorsque vous passez en mode caméscope, ces commandes deviennent des commandes de capture et un bouton d’importation apparaît sur le moniteur d’iMovie. A B C D E F G H38 Chapitre 3 Vue d’ensemble d’iMovie Visualiseur de clips La partie inférieure de la fenêtre iMovie possède deux affichages : le visualiseur de clips et le visualiseur de la chronologie. Le visualiseur de clips, illustré ci-après, est un affichage simplifié dans lequel vous pouvez ajouter des clips à votre film et les organiser dans l’ordre où vous souhaitez qu’ils apparaissent. E Curseur Volume : faites glisser ce curseur pour modifier le volume du haut-parleur de l’ordinateur lorsque vous utilisez iMovie HD. Cela ne modifiera pas les niveaux de volume enregistrés de vos clips audio ou vidéo ; pour changer ces derniers, utilisez les commandes du visualiseur de la chronologie. F Indicateur de l’espace disque disponible : il permet de contrôler durant votre travail l’espace disque libre dont vous disposez. G Corbeille iMovie : les séquences supprimées y sont placées. Vous pouvez ouvrir la Corbeille iMovie et restaurer ou supprimer définitivement les fichiers vidéo et audio à tout moment. H Boutons des sous-fenêtres : cliquez sur ces boutons pour faire apparaître les différentes sousfenêtres de la fenêtre iMovie HD. A Bouton Visualiseur de clips : cliquez sur ce bouton pour passer de la chronologie au visualiseur de clips. B Clip : tous les fragments de séquences vidéo et les images fixes que vous importez s’appellent des clips. C Icône de transition : les icônes de transition indiquent que deux clips sont liés par une transition. D Icônes spéciales : différentes icônes apparaissent sur les clips pour signaler la présence d’une image fixe, d’un titre ou d’un effet vidéo. D B A CChapitre 3 Vue d’ensemble d’iMovie 39 Chronologie Utilisez le visualiseur de la chronologie, illustrée ci-dessous, pour monter les clips vidéo et audio dans votre film, et synchroniser votre audio et votre vidéo. A Bouton Visualiseur de la chronologie : cliquez sur ce bouton pour passer du visualiseur de clips au visualiseur de la chronologie. B Piste vidéo : sélectionnez des clips sur cette piste pour modifier ou ajouter des effets et des titres aux clips vidéo. Cette piste comprend également l’audio contenu dans votre vidéo. C Pistes audio : ajoutez des effets sonores, de la musique et des enregistrements de voix off. Modifiez des pistes audio et réglez le volume sonore des clips. D Curseur de zoom : agrandissez ou réduisez la taille des clips dans la chronologie. Agrandir ou réduire la taille des clips permet une sélection et une édition plus faciles. E Barre des niveaux de volume : lorsque Afficher les niveaux de volume du clip est sélectionné dans le menu Présentation, une barre de niveau de volume apparaît sous forme de ligne le long de vos clips. Utilisez cette barre pour augmenter ou réduire le volume de vos clips. F Formes d’onde audio : lorsque l’option Afficher les formes d’onde audio est sélectionnée dans le menu Présentation, les représentations de l’intensité audio des clips audio sont affichées ici sous forme de formes d’onde. G Cases audio : sélectionnez une case pour écouter les données audio d’une piste. Désélectionnez-la pour désactiver le son de la piste. H Volume du clip : saisissez un niveau de volume dans le champ de texte ou cliquez sur le bouton pour utiliser le curseur afin de régler le volume d’un clip sélectionné. A D B E C H F G40 Chapitre 3 Vue d’ensemble d’iMovie Sous-fenêtre des clips Cliquez sur le bouton Clips pour ouvrir la sous-fenêtre des clips. C’est dans cette fenê- tre que la vidéo et les images fixes que vous importez dans iMovie HD apparaissent en premier. Il est possible de faire glisser un clip de la sous-fenêtre Clips vers le visualiseur de clips ou la chronologie, sur le Bureau, dans d’autres applications, sur des zones de dépôt et dans d’autres projets iMovie HD. A Durée : la longueur d’un clip audio ou vidéo se mesure en minutes:secondes:images. Par exemple, 01:08:15 signifie 1 minute, 8 secondes et 15 images à partir du début du film. B Nom du clip : chaque clip possède un nom unique. Sélectionnez le nom pour le remplacer par un nom plus parlant. B AChapitre 3 Vue d’ensemble d’iMovie 41 Sous-fenêtre Thèmes Il est possible d’utiliser la sous-fenêtre Thèmes pour ajouter un thème à votre film. Cliquez sur le bouton Thèmes pour ouvrir la sous-fenêtre Thèmes. A Menu Thème : cliquez sur le menu local pour choisir un thème. B Éléments thématiques : sélectionnez un thème dans cette liste pour le visualiser et le modifier sur le moniteur d’iMovie. C Afficher/Masquer l’aperçu : cliquez sur ce bouton pour voir un aperçu du thème sélectionné sur le moniteur d’iMovie. D Afficher/Masquer les zones de dépôt : cliquez sur ce bouton pour afficher l’Éditeur de la zone de dépôt. Les zones de dépôt sont des emplacements où vous pouvez faire glisser vos propres images vidéo et vos photos afin de personnaliser les éléments du thème. E Champs de titres : saisissez un titre et un sous-titre pour l’élément thématique. Le style de police est prédéfini de manière à s’adapter au thème. Le nombre de champs varie en fonction du thème et de l’élément du thème sélectionnés. F Bouton Appliquer : cliquez sur ce bouton lorsque vous êtes prêt à ajouter le thème à votre film. Les thèmes apparaissent à l’emplacement de la tête de lecture dans votre film. B A D E C F42 Chapitre 3 Vue d’ensemble d’iMovie Sous-fenêtre Multimédia La sous-fenêtre Multimédia offre un accès facile à vos photos dans iPhoto et à vos données audio dans iTunes et GarageBand. Cliquez sur les boutons en haut de la fenêtre pour alterner entre Audio et Photos. Audio Cliquez sur le bouton Audio dans la partie supérieure de la sous-fenêtre Multimédia pour voir les sources audio disponibles pour votre film. Vous pouvez dans cette fenêtre ajouter des effets audio, enregistrer une voix off ou importer de la musique à partir de votre bibliothèque musicale iTunes ou de GarageBand. A Liste des sources : sélectionnez une source audio dans cette liste. Vous pouvez choisir parmi les effets sonores intégrés, votre bibliothèque et listes de lecture iTunes ou encore GarageBand. B Liste des pistes : les pistes audio de la source sélectionnée figurent dans cette liste. C Bouton Lecture : cliquez sur ce bouton pour lire ou mettre en pause la lecture d’une piste sélectionnée. D Champ de recherche : tapez les quelques mots d’un titre pour chercher un fichier audio spécifique dans votre bibliothèque iTunes. Vous pouvez effectuer des recherches par titre ou par artiste. E Bouton Placer à la tête de lecture : cliquez sur ce bouton pour importer une piste sélectionnée dans votre séquence. La piste importée apparaît dans l’une des pistes audio du visualiseur de la chronologie. F Bouton Enregistrer/Arrêter : cliquez sur ce bouton pour enregistrer une voix off ou d’autres données audio via le micro de votre ordinateur ou un micro externe. La jauge d’entrée audio indique le volume. La qualité du son est la meilleure lorsque ce dernier reste dans le jaune. Cliquez une deuxième fois sur ce bouton pour arrêter l’enregistrement. Le clip audio que vous venez d’enregistrer apparaît sur la piste audio, où vous pouvez le sélectionner et le modifier. B A C F D EChapitre 3 Vue d’ensemble d’iMovie 43 Photos Les images de votre photothèque iPhoto apparaissent automatiquement dans cette sous-fenêtre. Utilisez la fenêtre Réglages de photo pour ajouter de l’animation à vos images fixes à l’aide de l’Effet Ken Burns. Cliquez sur le bouton Photos en haut de la sous-fenêtre Multimédia pour que la fenêtre Photos s’affiche. Lorsque vous sélectionnez une image, la fenêtre Photos s’affiche. A Liste des sources : sélectionnez votre photothèque iPhoto ou un album iPhoto dans cette liste pour en voir le contenu. B Liste des images : sélectionnez dans cette liste des images à ajouter à votre film. Vous pouvez sélectionner des images individuelles ou bien tout un album photo, et les faire glisser dans le visualiseur de clips ou la chronologie. C Champ de recherche : saisissez ici le nom d’une photo ou d’une image afin de la retrouver rapidement. D Bouton Effet Ken Burns : cliquez sur ce bouton pour ouvrir la-fenêtre Réglages de photo, dans laquelle vous pouvez ajouter une animation à des images. E Réglages de photo : utilisez ces commandes pour configurer les effets panoramiques et ceux de zoom de vos images. Sélectionnez ou désélectionnez la case Effet Ken Burns pour activer ou désactiver le mouvement. F Commande Début et Fin : cliquez sur Début et définissez la manière dont l’image doit apparaî- tre au début. Cliquez ensuite sur Fin et définissez la manière dont l’image doit apparaître à la fin de l’effet. Cette commande n’est pas visible si la case Effet Ken Burns est désactivée. G Curseur de zoom : déplacez le curseur pour agrandir ou réduire la taille des images afin de les rogner ou de définir des effets de panoramique et de zoom. H Curseur de durée : déplacez ce curseur pour définir le nombre de secondes pendant lesquelles l’image reste affichée. B A C D E H F G I J K44 Chapitre 3 Vue d’ensemble d’iMovie Sous-fenêtre Montage Vous pouvez ajouter des titres, des transitions, des effets vidéo et des effets audio à votre film dans la sous-fenêtre Montage. Les boutons de la partie supérieure de la sousfenêtre permettent un accès rapide à des outils de montage de haute qualité. Cliquez sur le bouton Montage pour ouvrir la sous-fenêtre Montage. Titres Dans cette sous-fenêtre, vous pouvez entre autres ajouter des titres en ouverture, des commentaires déroulants, un générique de fin. Pour consulter les réglages de titres, cliquez sur Titres en haut de la sous-fenêtre Montage. I Bouton Inverser : cliquez sur ce bouton pour inverser la direction de l’effet Ken Burns. J Bouton Lecture/Pause : visualisez un aperçu de l’effet sur le moniteur iMovie. K Bouton Appliquer : permet d’appliquer l’effet à la photo. Ceci entraîne la création d’un clip dans la sous-fenêtre Clips ; vous pouvez faire glisser ce clip là où vous le souhaitez dans votre film. A Liste de titres : sélectionnez un style de titre à ajouter à votre film. Cliquez sur le triangle d’affichage situé en regard d’un titre pour afficher les autres titres de cette catégorie. B Commandes de direction : pour certains titres, vous pouvez cliquer sur les boutons fléchés pour indiquer la direction dans laquelle vous souhaitez que le titre se déplace. C Case Couleur : cliquez sur cette case pour choisir une couleur de texte. D Commandes de police : choisissez une police, un style (gras ou italique par exemple), ainsi que la taille de la police. A B C D E H F G IChapitre 3 Vue d’ensemble d’iMovie 45 Transitions Vous pouvez ajouter des transitions pour passer d’une scène à l’autre sans à-coups. Pour consulter les réglages de transitions, cliquez sur Transitions en haut de la sousfenêtre Montage. E Case Sur fond noir : cochez cette case pour que le titre apparaisse sur un fond noir plutôt que sur l’un de vos clips vidéo. F Champs de texte : saisissez votre texte dans ces champs. Si le style que vous avez choisi permet d’utiliser plusieurs lignes de texte, servez-vous des boutons + (plus) et – (moins) pour ajouter ou supprimer des lignes. G Commandes de minutage : déplacez ces curseurs pour régler la vitesse avec laquelle les titres s’affichent ainsi que leur temps d’affichage. La durée totale de l’affichage apparaît en-dessous des curseurs. D’autres options peuvent être disponibles en fonction du style de titre. H Bouton Mise à jour : cliquez pour effectuer des modifications à un titre que vous avez ajouté à votre film. I Bouton Ajouter : cliquez sur ce bouton pour ajouter un titre à votre film. Vous pouvez aussi faire glisser le titre ou le texte là où vous le souhaitez dans le film. A Liste de transitions : sélectionnez un style de transition dans cette liste. B Commandes de direction : pour certaines transitions, vous pouvez cliquer sur un bouton fléché pour indiquer la direction de progression souhaitée pour la transition. Par exemple, une transition peut “déplacer” une scène de droite à gauche ou de gauche à droite. C Curseur Vitesse : déplacez ce curseur pour régler la vitesse de la transition. Vous pouvez aussi saisir une durée dans la case de texte située à côté du curseur. B D A C E46 Chapitre 3 Vue d’ensemble d’iMovie Effets vidéo Il est possible d’ajouter des effets spéciaux afin de modifier l’apparence de vos clips de film. Vous pouvez par exemple passer de la couleur au noir et blanc, régler la luminosité et le contraste de l’image ou ajouter des effets ludiques tels qu’une étoile filante ou de la pluie. Pour consulter les réglages d’effets vidéo, cliquez sur Effets vidéo en haut de la sous-fenêtre Montage. D Bouton Mise à jour : cliquez pour appliquer les modifications à une transition dans un film. E Bouton Ajouter : cliquez sur ce bouton pour appliquer la transition à un clip sélectionné dans votre film. Vous pouvez également sélectionner et modifier diverses transitions en même temps, et faire glisser une transition de cette liste vers l’endroit où vous souhaitez qu’elle apparaisse dans le visualiseur de clips. A Liste d’effets : sélectionnez un effet dans cette liste pour modifier l’apparence des clips dans votre film. B Curseurs Début de l’effet/Fin de l’effet : déplacez ces curseurs aux endroits du clip sélectionné où vous souhaitez qu’un effet apparaisse ou disparaisse. C Curseurs d’apparence : déplacez ces curseurs pour régler l’effet sélectionné. Les options varient en fonction de l’effet choisi. D Bouton Appliquer : cliquez sur ce bouton pour appliquer l’effet au clip sélectionné. D B A CChapitre 3 Vue d’ensemble d’iMovie 47 Effets audio Vous pouvez utiliser des effets audio pour manipuler le son de votre film. Pour consulter les réglages d’effets audio, cliquez sur Effets audio en haut de la sous-fenêtre Montage. A Liste d’effets : sélectionnez un effet dans cette liste pour modifier le son de l’audio dans votre film. B Commandes des effets : utilisez ces commandes pour modifier le son d’un clip audio. Ces commandes varient en fonction de l’effet sélectionné. C Bouton Aperçu : écoutez le clip audio pour voir s’il vous convient suite aux réglages que vous avez effectués. D Bouton Appliquer : quand vous êtes satisfait du résultat, cliquez sur ce bouton pour appliquer l’effet au clip audio sélectionné. D B A C48 Chapitre 3 Vue d’ensemble d’iMovie Sous-fenêtre des chapitres Vous pouvez ajouter des marqueurs de chapitres à votre film puis les exporter dans iDVD ou sous forme de podcast vidéo. Dans iDVD, les chapitres apparaissent dans un menu de sélection de scènes, ce qui permet aux spectateurs de passer directement à une scène précise. Dans un podcast vidéo, les chapitres peuvent inclure une URL et un titre d’URL. Pour ouvrir la sous-fenêtre des chapitres, cliquez sur le bouton Chap. A Titres de chapitre : un nouveau chapitre apparaît dans la liste chaque fois que vous ajoutez un marqueur de chapitre. Donnez un nom à chaque chapitre que vous souhaitez utiliser dans votre menu de sélection de scène iDVD. B Bouton Ajouter un marqueur : cliquez sur ce bouton pour ajouter un marqueur de chapitre à votre film. C Supprimer le marqueur : cliquez sur ce bouton pour supprimer un marqueur de chapitre sélectionné. B A Cwww.apple.com/fr/ilife/imovie © 2006 Apple Computer, Inc. Tous droits réservés. Apple, le logo Apple, FireWire, iDVD, iLife, iMac, iMovie, iPhoto, iPod, iTunes, Mac, Macintosh, Mac OS et QuickTime sont des marques d’Apple Computer, Inc. déposées aux États-Unis et dans d’autres pays. GarageBand, iSight et iWeb sont des marques d’Apple Computer, Inc. Le terme Bluetooth et les logos sont la propriété de Bluetooth SIG, Inc. ; toute utilisation de ces marques par Apple Computer, Inc. est sous licence. F019-0540 Mac OS X 10.4 Tiger Guide d’installation et de configuration F2881.book Page 1 Friday, March 18, 2005 4:03 PM Apple Computer, Inc. © 2005 Apple Computer, Inc. Tous droits réservés. Le logo Apple est une marque d’Apple Computer, Inc. déposée aux États-Unis et dans d’autres pays. En l’absence du consentement écrit d’Apple, l’utilisation à des fins commerciales de ce logo via le clavier (Option + 1) pourra constituer un acte de contrefaçon et/ou de concurrence déloyale. Apple, AppleCare, le logo Apple, AirPort et Mac OS sont des marques d’Apple Computer, Inc. déposées aux États-Unis et dans d’autres pays. Finder et Tiger sont des marques d’Apple Computer Inc. AppleCare est une marque de service d’Apple Computer, Inc. déposée aux États-Unis et dans d’autres pays. .Mac est une marque de service d’Apple Computer, Inc. F2881.book Page 2 Friday, March 18, 2005 4:03 PM 3 1 Installation et configuration de Mac OS X Ce manuel décrit l’installation et la configuration de Mac OS X sur votre ordinateur. Si Mac OS X 10.2 ou ultérieur est installé sur votre ordinateur : il suffit de mettre à niveau votre système d’exploitation vers Tiger. Reportez-vous à la section “Mise à niveau de Mac OS X” ci-dessous. Pour installer un système sur des bases nouvelles, effacez votre disque dur avant d’installer Mac OS X ou installez des logiciels supplémentaires : allez à la section “Installations personnalisées” à la page 5. Pour savoir quelle version de Mac OS X est installée sur votre ordinateur, choisissez le menu Pomme () > À propos de ce Mac. Mise à niveau de Mac OS X Mettez à niveau Tiger pour disposer de toutes ses nouvelles fonctionnalités. Il vous suffit pour cela de suivre les étapes suivantes : Étape 1 : Insérez le disque d’installation Mac OS X Double-cliquez sur l’icône d’installation de Mac OS X et cliquez sur Redémarrer. Le programme d’installation s’ouvre automatiquement au redémarrage de votre ordinateur. Double-cliquez sur cette icône sur le disque d’installation. Cliquez sur Redémarrer pour commencer. F2881.book Page 3 Friday, March 18, 2005 4:03 PM4 Étape 2 : Suivez les instructions à l’écran Sélectionnez la langue à utiliser et cliquez sur la flèche pointant vers la droite. La fenêtre de bienvenue s’affiche : Le programme d’installation vous guide tout au long du processus d’installation : C’est tout, vous pouvez à présent utiliser Mac OS X Tiger ! Introduction Lisez la page Bienvenue pour en savoir plus sur la configuration requise et sur d’autres éléments à connaître avant de procéder à l’installation. Licence Lisez et acceptez les termes du contrat de licence du logiciel. Sélectionner la destination Sélectionnez votre disque dur et cliquez sur Continuer. Type d’installation Cliquez sur Mettre à jour pour commencer l’installation de Tiger. Installer Le programme d’installation affiche la progression de l’installation. Terminer l’installation Enregistrez votre copie de Mac OS X auprès d’Apple. F2881.book Page 4 Friday, March 18, 2005 4:03 PM5 Installations personnalisées Cette section vous indique comment installer Mac OS X si vous souhaitez :  Installer Mac OS X sur votre ordinateur pour la première fois (ou installer Mac OS X si vous n’avez jamais mis à niveau Mac OS X 10.0 ou 10.1).  Archiver votre système Mac OS X actuel.  Effacer votre disque dur avant d’installer Mac OS X.  Installer d’autres logiciels disponibles sur le disque d’installation Mac OS X. Avant l’installation Si vous souhaitez effacer votre disque dur ou archiver votre système actuel sans garder vos réglages propres au réseau et aux utilisateurs, vous devez les noter concernant le réseau et la messagerie afin de faciliter la reconnexion après l’installation de Mac OS X. Les sections suivantes vous indiquent les informations qui vous sont nécessaires et où les retrouver :  “Configuration de votre connexion à Internet” à la page 10  “Configuration de votre compte de messagerie” à la page 12 Installation de Mac OS X Pour démarrer l’installation personnalisée de Mac OS X Tiger, suivez les étapes ci-dessous : Étape 1 : Insérez le disque d’installation Mac OS X Double-cliquez sur l’icône d’installation de Mac OS X et cliquez sur Redémarrer. Le programme d’installation s’ouvre automatiquement au redémarrage de votre ordinateur. Double-cliquez sur cette icône sur le disque d’installation. Cliquez sur Redémarrer pour commencer. F2881.book Page 5 Friday, March 18, 2005 4:03 PM6 Étape 2 : Suivez les instructions à l’écran Sélectionnez la langue à utiliser et cliquez sur la flèche pointant vers la droite. La fenêtre de bienvenue s’affiche : Le programme d’installation vous guide tout au long du processus d’installation. Consultez les sections ci-dessous pour en savoir plus sur la sélection d’une destination lorsque vous disposez de plus d’un volume, la sélection des options d’installation et la sélection de logiciels supplémentaires à installer. Sélection d’une destination Dans la sous-fenêtre Sélectionner une destination, sélectionnez le volume sur lequel vous souhaitez installer Mac OS X. L’écran vous indique l’espace requis pour l’installation et l’option sélectionnée dans la zone de dialogue Options, décrite dans la section suivante. F2881.book Page 6 Friday, March 18, 2005 4:03 PM7 Sélection du type d’installation de Mac OS X Cliquez sur le bouton Options pour sélectionner “Archiver et installer” ou “Effacer et installer”. L’un des deux écrans suivants s’affiche : Sélectionnez le type d’installation de Mac OS X et cliquez sur OK. Cliquez sur Continuer dès que vous êtes prêt à passer à la sous-fenêtre suivante. Installation Mac OS X Cette option s’affiche si Mac OS X n’est pas installé sur votre ordinateur ou si vous disposez d’une version antérieure de Mac OS X (10.0 ou 10.1) impossible à mettre à niveau. Sélectionnez cette option pour installer Tiger sur votre ordinateur. Archiver et installer Sélectionnez cette option pour installer un nouveau système sur votre ordinateur. “Archiver et installer” déplace vos fichiers système Mac OS X dans un dossier appelé Système précédent et installe une nouvelle copie de Mac OS X sur le volume sélectionné. Les applications installées sur Mac OS X, par exemple le Carnet d’adresses et Safari, sont archivées et de nouvelles versions sont installées dans le dossier Applications. Les comptes d’utilisateur ainsi que leurs dossiers de départ sont également archivés dans le dossier Système précédent sauf si vous choisissez “Conserver les utilisateurs et les réglages de réseau”. Cette option est sélectionnée si Mac OS X est installé sur le volume. Cette option est sélectionnée si Mac OS X n’est pas installé sur le volume. F2881.book Page 7 Friday, March 18, 2005 4:03 PM8 Conserver les utilisateurs et les réglages de réseau : cochez cette case pour importer vos comptes d’utilisateur, vos dossiers de départ et vos réglages de réseau dans le nouveau système. Voici le contenu des comptes d’utilisateur :  Les dossiers de départ et leur contenu  Les réglages des Préférences  Les bases de données du Carnet d’adresses  Les signets des navigateurs  Les réglages et les emplacements réseau L’option “Conserver les utilisateurs et les réglages de réseau” copie également le dossier /Utilisateurs/Partagé existant sur votre nouveau système. Remarque : vous ne pouvez plus démarrer votre ordinateur via le dossier Système précédent mais les réglages, les fichiers de préférences, les polices, les modules et d’autres éléments restent disponibles en cas de besoin. Si vous choisissez “Archiver et installer”, vous devrez peut-être réinstaller des applications, des modules ou d’autres logiciels. Installez les polices du dossier /Bibliothèque/Fonts dans votre nouveau système en les copiant à partir du dossier Système précédent. Effacer et installer Cette méthode efface l’intégralité du volume de destination avant d’installer une nouvelle copie de Mac OS X. Sélection d’autres paquets logiciels en vue de les installer L’option Installation standard vous permet d’installer tous les logiciels dont vous avez besoin pour utiliser Mac OS X. Cependant, le disque d’installation Mac OS X contient des logiciels supplémentaires que peuvent s’avérer utiles (gestionnaires d’impression, polices et logiciel de traductions). Pour visualiser les paquets disponibles, cliquez sur Personnaliser. La sous-fenêtre Installation personnalisée s’affiche (comme indiqué dans l’illustration ci-dessous). Cliquez sur les flèches pour afficher des composants spécifiques. Sélectionnez les logiciels que vous souhaitez installer. Avertissement : effacer le volume de destination revient à supprimer tout son contenu (comptes d’utilisateur, réglages de réseau, fichiers et dossiers). Le cas échéant, quittez le programme d’installation et sauvegardez vos fichiers avant d’effacer le volume de destination. F2881.book Page 8 Friday, March 18, 2005 4:03 PM9 Remarque : vous pouvez toujours utiliser le disque d’installation de Mac OS X pour l’installation ultérieure de logiciels supplémentaires. Lorsque vous êtes prêt à installer Mac OS X ainsi que les logiciels sélectionnés, cliquez sur Mettre à jour ou sur Installer (selon que Mac OS X est installé ou pas sur votre ordinateur). Configuration de Mac OS X Une fois Mac OS X installé, le Programme d’installation redémarre votre ordinateur. L’Assistant réglages de Mac OS X s’affiche afin de vous aider à configurer votre nouveau système. Cet assistant vous guide tout au long du processus de transfert des informations : il crée un identifiant Apple, un compte .Mac, votre compte d’utilisateur, configure votre connexion Internet et enregistre votre copie de Mac OS X. Transfert des informations d’un autre Mac ou d’un autre volume L’Assistant réglages peut vous aider à transférer les informations d’un autre ordinateur ou volume Mac OS X vers votre nouveau système Mac OS X. Si vous choisissez de transférer des informations, vous serez invité à sélectionner les éléments que vous souhaitez transférer. Vous pouvez transférer notamment des comptes d’utilisateur, des réglages de réseau, des applications, des fichiers et des dossiers. Il est possible que certaines applications transférées ne fonctionnent pas ; vous devez alors les réinstaller. Remarque : transférer vos informations lors de l’installation n’est pas obligatoire. Utilisez l’Assistant migration, utilitaire installé avec Mac OS X Tiger, pour transférer des applications, des fichiers et des dossiers à partir d’un autre ordinateur ou volume. Cliquez sur la flèche pour afficher des composants. Seuls les composants sélectionnés seront installés. Tous les composants seront installés. F2881.book Page 9 Friday, March 18, 2005 4:03 PM10 Création d’un compte d’utilisateur Le compte d’utilisateur que vous créez lors de l’installation bénéficie de privilèges d’administrateur sur votre ordinateur. Vous serez invité à créer un nom d’utilisateur ainsi qu’un mot de passe. Il est important de se rappeler leur formulation exacte, majuscules comprises. Vous aurez peut-être besoin de vos nom d’utilisateur et mot de passe pour ouvrir une session sur votre ordinateur ou pour réaliser des tâches administratives, comme l’installation de nouveaux logiciels par exemple. Configuration de votre connexion à Internet L’Assistant réglages facilite la configuration de votre connexion à Internet. Si vous n’avez pas de connexion à Internet, vous pouvez en obtenir une auprès d’un FAI (fournisseur d’accès à Internet). Remarque : si vous ne parvenez pas à vous connecter à Internet lors de la configuration, vous pourrez utiliser l’Assistant réglages de réseau pour vous connecter par la suite. Ouvrez les Préférences Système, cliquez sur Réseau puis sur Assistant. Si vous disposez déjà d’une connexion à Internet, nous vous recommandons de rassembler les informations correspondantes avant d’installer Mac OS X afin d’être prêt à configurer votre connexion à l’aide de l’Assistant réglages. Les informations nécessaires à la connexion se trouvent sur votre ordinateur : Les tableaux ci-dessous indiquent les informations nécessaires à la connexion Internet. Informations sur la configuration de modem câble, de modem DSL ou d’Ethernet intégré Source d’informations : administrateur réseau ou FAI Vous utilisez Recherchez vos informations dans Mac OS X Sous-fenêtres des Préférences Internet et réseau Mac OS 9 Tableaux de bord TCP/IP, Internet, Accès distant et Modem Windows Panneau de configuration puis les options Internet, Modem et Réseau Ce que vous devez savoir Ce que vous recherchez Notez vos informations ici Le type de configuration TCP/IP Manuelle, DHCP avec une adresse manuelle, DHCP ou BootP Dans le cas d’une configuration manuelle, l’adresse IP de votre ordinateur Les chiffres se présentant ainsi : 12.345.56.789 Dans le cas d’une configuration manuelle, l’adresse du masque de sous-réseau et celle du routeur Les chiffres se présentant ainsi : 10.255.255.255 (masque de sous-réseau) et 10.208.32.2 (adresse du routeur) F2881.book Page 10 Friday, March 18, 2005 4:03 PM11 Informations sur la configuration de la connexion AirPort ou sans fil Source d’informations : administrateur du réseau AirPort Informations sur la configuration du modem téléphonique Source d’informations : FAI Si vous configurez également la borne d’accès AirPort en vue de vous connecter à Internet, vous aurez besoin des informations du tableau “Informations sur la configuration de modem câble, de modem DSL ou d’Ethernet intégré”. Si vous êtes déjà un membre .Mac, gardez vos nom de membre et mot de passe à portée de main pendant la configuration. Si vous avez oublié votre mot de passe .Mac, rendez-vous sur le site Web .Mac (www.mac.com). Si vous ne connaissez pas les informations relatives à votre connexion, contactez votre FAI, votre administrateur réseau ou l’administrateur de votre réseau domestique. Dans le cas d’une configuration DHCP, l’ID du client DHCP (si requis) Informations fournies par l’administrateur de votre système Serveurs DNS (facultatif) Les chiffres se présentant ainsi : 10.255.255.255 Un nom du type : ISPname.com Domaines de recherche (facultatif) Un nom du type : ISPname.com Ce que vous devez savoir Ce que vous recherchez Notez vos informations ici Ce que vous devez savoir Ce que vous recherchez Notez vos informations ici Nom du réseau Le nom fourni par votre administrateur de réseau AirPort (apparaît dans le menu d’état AirPort) Mot de passe (si nécessaire) Le mot de passe fourni par l’administrateur de votre réseau AirPort Ce que vous devez savoir Ce que vous recherchez Notez vos informations ici Type de configuration Connexion PPP, Manuelle ou Connexion à AOL Dans le cas d’une configuration manuelle, l’adresse IP de votre ordinateur Les chiffres se présentant ainsi : 12.345.567.89 Serveurs DNS (facultatif) Les chiffres se présentant ainsi : 10.255.255.255 Domaines de recherche (facultatif) Un nom du type : ISPname.com Pour une connexion PPP, un numéro de téléphone Numéro de téléphone Vos nom d’utilisateur et mot de passe Nom de compte et mot de passe fournis par votre FAI F2881.book Page 11 Friday, March 18, 2005 4:03 PM12 Configuration de votre compte de messagerie Si vous disposez d’un compte de messagerie, les informations nécessaires à la configuration de l’application Mail livrée dans Mac OS X ou de toute autre application de messagerie se trouvent dans l’application de messagerie que vous avez utilisée jusqu’à présent. Vous pouvez également obtenir ces informations via votre fournisseur d’accès à Internet. Lorsque vous ouvrez Mail pour la première fois, l’Assistant réglages de Mail s’affiche pour vous aider à configurer vos comptes de messagerie. Informations sur la configuration de compte de messagerie Source d’informations : FAI Réponses aux questions courantes Utilisez les sections suivantes pour trouver les réponses à vos questions sur l’installation et l’utilisation de Mac OS X. Installation de Mac OS X Vous voulez quitter le programme d’installation. Si vous voulez quitter le programme d’installation de Mac OS X avant d’avoir installé les logiciels : 1 Choisissez Programme d’installation > Quitter Programme d’installation et cliquez sur Disque de démarrage. 2 Sélectionnez un disque de démarrage et cliquez sur Redémarrer. Ce que vous devez savoir Ce que vous recherchez Notez vos informations ici Votre adresse électronique Adresse présentant le format suivant : pmartin3@mac.com L’identifiant de votre compte La première partie de votre adresse électronique : pmartin3 Le type de compte IMAP, POP ou un type propriétaire de votre FAI Serveur de réception Un nom du type : mail.mac.com Serveur d’envoi Un nom du type : smtp.mac.com Avertissement : si vous êtes en train d’installer Mac OS X sur votre disque de démarrage Mac OS X actuel, n’arrêtez pas le programme d’installation, sinon vous ne pourrez peut-être pas démarrer depuis ce disque. F2881.book Page 12 Friday, March 18, 2005 4:03 PM13 Si vous voulez utiliser le clavier au lieu de la souris. Vous avez accès à toutes les touches du clavier si vous utilisez le programme d’installation et l’Assistant réglages. Appuyez sur la touche de tabulation pour mettre en surbrillance des boutons, des menus locaux et d’autres options. Appuyez sur la touche fléchée vers le bas pour ouvrir des menus locaux. Appuyez sur la barre d’espace pour sélectionner des éléments. Vous voulez continuer à utiliser les applications Mac OS 9. Pour continuer à utiliser les applications Mac OS 9, vous devez installer Mac OS 9 en même temps que Mac OS X. Vous pouvez installer Mac OS X sur le même volume que Mac OS 9 ou sur un autre volume. Remarque : certains ordinateurs ne permettent pas l’installation de Mac OS 9 ni le démarrage à partir de Mac OS 9. Pour utiliser les applications de Mac OS 9, ouvrez-les dans l’environnement Classic. Pour en savoir plus, consultez le Guide de l’utilisateur fourni avec votre ordinateur. Vous n’êtes pas autorisé à lancer le programme d’installation. Si votre ordinateur est connecté à un réseau, il se peut que l’administrateur de votre réseau interdise l’installation de logiciels ou la mise à niveau de Mac OS X. Le programme d’installation ne s’ouvre pas. Si le programme d’installation ne s’ouvre pas, redémarrez votre ordinateur en maintenant enfoncée la touche C du clavier afin de pouvoir démarrer votre ordinateur depuis le disque d’installation. Si le programme d’installation ne s’ouvre toujours pas, redémarrez votre ordinateur en maintenant enfoncé le bouton de la souris ou du trackpad afin d’éjecter le disque. Insérez ensuite le disque d’installation de Mac OS X et utilisez les préférences du Disque de démarrage pour sélectionner le disque d’installation en tant que disque de démarrage ; redémarrez enfin votre ordinateur. Le programme d’installation ne parvient pas à réparer votre disque. Si vous recevez un message indiquant que le programme d’installation ne peut pas réparer votre disque, c’est que vous devez sans doute l’effacer. Si vous effacez le disque, tous les fichiers qu’il contient seront effacés. Avant d’effacer le disque, vous pouvez quitter le programme d’installation pour sauvegarder les fichiers qui vous intéressent (copiez-les sur un autre disque). Lorsque vous êtes prêt à effacer le disque, ouvrez le programme d’installation, suivez les instructions de la rubrique “Installations personnalisées” à la page 5 et sélectionnez Effacer et installer. F2881.book Page 13 Friday, March 18, 2005 4:03 PM14 Le programme d’installation ne parvient pas à mettre à jour le gestionnaire du disque dur. Le programme d’installation ne peut pas mettre à jour les gestionnaires des disques durs non Apple. Utilisez l’utilitaire de disque recommandé par le fabricant de votre disque pour mettre à jour son gestionnaire avant d’installer Mac OS X. Veillez à utiliser une version de l’utilitaire compatible avec Mac OS X. Échec de l’installation. En cas d’échec de l’installation de Mac OS X, procédez ainsi :  Déconnectez les périphériques externes dont vous n’aurez pas besoin pendant l’installation.  Utilisez Utilitaire de disque pour réparer votre disque dur. Une fois les périphériques inutiles déconnectés, démarrez à partir du disque d’installation de Mac OS X. Sélectionnez votre langue et cliquez sur la flèche pointant vers la droite. Pour ouvrir Utilitaire de disque, choisissez Utilitaires > Utilitaire de disque. Sélectionnez le volume d’installation désiré et cliquez sur Réparer le disque. Une fois la réparation terminée, quittez Utilitaire de disque, puis cliquez sur Continuer pour tenter une nouvelle installation. Si vous ne parvenez toujours pas à installer Mac OS X, essayez à nouveau en utilisant l’option Effacer et installer. Consultez la section “Installations personnalisées” à la page 5. L’installation de Mac OS X a été interrompue et vous ne pouvez plus redémarrer votre ordinateur. Redémarrez votre ordinateur en maintenant enfoncé le bouton de la souris ou du trackpad pour éjecter le disque d’installation. Il se peut que votre ordinateur redé- marre à partir du dernier système utilisé. Si ce n’est pas le cas et qu’un autre système Mac OS X est installé sur votre ordinateur, redémarrez-le en maintenant enfoncée la touche Option afin de sélectionner un disque de démarrage. Si votre ordinateur ne démarre pas ainsi, insérez le disque d’installation Mac OS X et redémarrez en maintenant enfoncée la touche C. Ouvrez les préférences Disque de démarrage et sélectionnez un disque de démarrage. Vous devez réinstaller Mac OS X. Pour réinstaller cette version de Mac OS X, sélectionnez “Archiver et installer” dans la section Options et choisissez l’option permettant de conserver vos réglages de comptes d’utilisateur et de réseau. Si vous devez restaurer le logiciel de votre ordinateur, utilisez le disque fourni. Pour obtenir de l’aide, consultez le Guide de l’utilisateur fourni avec votre ordinateur. F2881.book Page 14 Friday, March 18, 2005 4:03 PM15 Ouverture d’une session Mac OS X “Ouvrir une session” signifie accéder à votre ordinateur grâce au nom et au mot de passe d’un compte utilisateur. Mac OS X est configuré pour l’ouverture de session automatique à l’aide du compte utilisateur créé lors de la configuration. Vous ne parvenez pas à ouvrir une session. Assurez-vous que vous saisissez avec exactitude le nom d’utilisateur et le mot de passe et en respectant les majuscules et minuscules. Si la session ne s’ouvre toujours pas mais que vous connaissez le nom et le mot de passe d’un administrateur, le premier utilisateur que vous avez créé par exemple, ouvrez une session en tant qu’administrateur et allez dans les préférences Comptes pour modifier votre mot de passe. Vous avez oublié votre mot de passe et devez le réinitialiser. Si vous avez oublié votre mot de passe et que vous disposez du disque d’installation de Mac OS X, insérez-le dans votre ordinateur et redémarrez en maintenant enfoncée la touche C. Lorsque le programme d’installation apparaît, choisissez la langue et cliquez sur la flèche vers l’avant. Choisissez Utilitaires > “Réinitialiser le mot de passe”, puis suivez les instructions à l’écran. Astuces pour la création d’un mot de passe sécurisé. Créez une expression qui signifie quelque chose pour vous et ne gardez que la première lettre de chaque mot ou bien enlevez toutes les voyelles. Pour une plus grande sécurité, n’utilisez pas un mot existant du dictionnaire ; utilisez au moins huit caractères ainsi qu’un mélange de lettres en majuscules et en minuscules, de chiffres et de symboles. Voici quelques exemples :  “J’adore acheter des sandales au printemps” (J’aAds0p)  “Je travaille 8 heures par jour” (Jtvl8hrs_jr)  “Mon fils Valéry a trois ans de plus que ma fille Anna” (MfVa3A2+qMF@) Vous ne parvenez pas à accéder à votre compte d’utilisateur distant. Si vous accédez à votre compte d’utilisateur via un serveur et ne parvenez pas à vous-y connecter, contactez l’administrateur de votre système. F2881.book Page 15 Friday, March 18, 2005 4:03 PM16 En savoir plus sur Mac OS X Si des questions surgissent lors de l’utilisation de Mac OS X, consultez l’Aide Mac OS. Vous y trouverez des informations sur les nouveautés de Mac OS X et pourrez obtenir de l’aide complémentaire à travers les problèmes déjà rencontrés par d’autres clients. L’Aide Mac OS contient des milliers de pages d’informations utiles. Utilisez la fonction Rechercher pour trouver rapidement la rubrique qui vous intéresse ou cliquez sur Index et recherchez votre rubrique. Pour utiliser l’Aide Mac OS : 1 Dans le Finder, choisissez Aide > Aide Mac. 2 Tapez votre question dans la zone de texte et appuyez sur la touche Retour. Si les informations recherchées concernent une application de Mac OS X, choisissez l’aide de l’application dans le menu Aide. Recherche d’aide sur Internet Pour rechercher de l’aide sur Internet, rendez-vous sur le site Web d’Apple suivant : www.apple.com. Vous y trouverez des informations en abondance sur Mac OS X. Quelle que soit votre question, Apple ou la communauté d’utilisateurs Mac sauront vous répondre. Sur le site Web d’Apple, consultez les rubriques suivantes en particulier :  Cliquez sur Mac OS X pour découvrir toutes les possibilités offertes par Mac OS X et pour en savoir plus sur les nouvelles applications Mac OS X.  Cliquez sur Support pour accéder à la rubrique d’assistance et de support d’AppleCare, consacrée à l’assistance et aux informations techniques relatives aux produits Apple.  Saisissez du texte dans le champ Rechercher et cliquez sur la loupe pour rechercher parmi des milliers d’articles sur les produits Apple. Cliquez sur Recherche avancée pour effectuer une recherche plus spécifique.  Cliquez sur Téléchargements pour connaître les mises à jour des logiciels Apple.  Cliquez sur Manuels ou sur Caractéristiques pour accéder aux manuels au format PDF et à d’autres informations sur les produits Apple.  Cliquez sur Formation pour en savoir plus sur les cours d’utilisation de Mac OS X en autodidacte ou donnés par des formateurs. F2881.book Page 16 Friday, March 18, 2005 4:03 PMF2881.book Page 17 Friday, March 18, 2005 4:03 PMF2881.book Page 18 Friday, March 18, 2005 4:03 PMF2881.book Page 19 Friday, March 18, 2005 4:03 PMwww.apple.com F034-2881-A Imprimé à XXXX F2881.book Page 20 Friday, March 18, 2005 4:03 PM Final Cut Pro 7 Level One Exam Preparation Guide and Practice Exam 1 Final Cut Pro 7 Level One Exam Preparation Guide and Practice Exam Updated January 2011Contents About this Guide ...............................................................................................................3 About the Final Cut Pro 7 Level One Practice Exam ..........................................3 Becoming an Apple Certified Pro ...............................................................................4 Exam Details .......................................................................................................................5 Recommended Exam Preparation .............................................................................5 Lesson One objectives ....................................................................................................7 Lesson Two objectives ....................................................................................................9 Lesson Three objectives .................................................................................................10 Lesson Four objectives ...................................................................................................12 Lesson Five objectives ....................................................................................................13 Lesson Six objectives .......................................................................................................15 Lesson Seven objectives ................................................................................................16 Lesson Eight objectives .................................................................................................18 Lesson Nine objectives ..................................................................................................19 Lesson Ten objectives .....................................................................................................21 Lesson Eleven objectives ...............................................................................................22 Lesson Twelve objectives ..............................................................................................24 Lesson Thirteen objectives ...........................................................................................25 Lesson Fourteen objectives .........................................................................................27 Taking the Final Cut Pro 7 Practice exam ...............................................................28 Taking the Final Cut Pro 7 certification exam .......................................................30 Prometric Exam FAQs ......................................................................................................30 Final Cut Pro 7 Level One Exam Preparation Guide and Practice Exam 2 TM and © 2011 Apple Inc. All rights reserved. Other product and company names mentioned herein may be trademarks of their respective companies. Mention of third-party products is for information purposes only and constitutes neither an endorsement nor a warranty. Apple assumes no responsibility with regard to the selection, performance or use of these vendors or products.About this Guide This guide provides all the information that you need to prepare for the Final Cut Pro 7 exam to earn Apple Certified Pro Level One certification. From this guide you can: • Learn about Apple Certification. • Find out how to take the exam or practice exam. • Locate resources to help you prepare for the exam. • Review the range of objectives that the exam may cover. • Get a feel for the type of questions that appear on the exam. About the Final Cut Pro 7 Level One Practice Exam The practice exam is based on the objectives of the Level One Final Cut Pro End User certification exam. The content is similar to the actual exam and covers the exam objectives. However, the practice exam is about half the length of the real exam. While the actual certification exam includes 66 questions, the practice exam only includes 37 questions. Both exams are timed. You are allowed one hour to complete the practice exam. When you finish, you will see the correct answers so that you can identify the areas that you need to review. However, the actual Level One Final Cut Pro End User exam is an hour-and a-half exam and you won’t see answers and explanations when you finish. Only your final score will be visible. Both exams display your results immediately after completing the exam. A score of 80% is considered passing (please note that passing the practice exam does not earn certification). The practice exam does not necessarily predict how well you will perform on the actual exam, although it’s a good indicator of areas that you need to review. Although the certification exam uses a random pool of questions, the types of questions in the practice exam mirror those found in the certification exam. Both exams include multiple-choice, fill-in-theblank and interactive-media questions. Some practice exam questions are similar in content, but worded differently. Some multiple-choice questions come from the actual exam, but include different distracters (wrong answers). The practice exam is a pre-certification exam. Passing the practice exam doesn’t mean that you’re certified; no certificate is awarded. You must pass the Level One Final Cut Pro 7 End User exam to earn your Level One certification. Because the practice exam doesn’t count towards certification, you can make it an open-book test if you like. However, you won’t be allowed to consult your book when taking the actual certification exam. To more accurately simulate the certification exam experience, you may want to take the practice exam without referring to your book or other resources. Final Cut Pro 7 Level One Exam Preparation Guide and Practice Exam 3Becoming an Apple Certified Pro The Apple Training & Certification program is designed to keep you at the forefront of Apple technology. Certification creates a benchmark to demonstrate your proficiency in specific Apple technologies and gives you a competitive edge in today’s evolving job market. What is an Apple Certified Pro? An Apple Certified Pro is a user who has reached the highest skill level in the use and operation of Apple’s Pro Applications as attested to by Apple. How do I become an Apple Certified Pro? To become an Apple Certified Pro, you must pass an online exam administered at an Apple Authorized Training Center (AATC). Some exams, including Aperture, may be taken online by individuals with a promotional code. Level One exams are administered at the end of specific courses at the centers. If you prefer to learn on your own or believe you already have the necessary skills, you may take the Aperture exam online for a fee. Level One certification attests to basic operational knowledge. Level Two certification attests to a deeper understanding of the application. Level Two exams can be taken only after Level One certification is earned. Class attendance is recommended, but not required. Final Cut Pro offers both Level One and Level Two certification. Final Cut Pro 7 Level One certification also counts towards Final Cut Studio Master Pro certification. Master Certification recognizes your skills with the entire product suite. Since workflow is such a significant component of Final Cut Studio, the curriculum requires you to earn certification in multiple applications What are the benefits of being an Apple Certified Pro? Beside differentiating you as a skilled user of an Apple application, becoming an Apple Certified Pro allows you to leverage the power of the Apple brand. When you pass a Certification exam, you receive an email with a PDF copy of your Apple certificate, along with instructions on how to order a printed or a printed and framed certificate. The email includes LinkedIn, Facebook, and Twitter icons to make it easy for you to share your certification news with your networks on these sites. You also receive a login for the Apple Certification Records System, where you can: • Update your profile information and opt in to display your Apple Certification(s) on the Apple Certified Professionals Registry. • Review your certification progress. • Download your certification logo(s) to use on business cards, resumes, websites, and more. • Provide access to employers to verify your certifications. Final Cut Pro 7 Level One Exam Preparation Guide and Practice Exam 4Exam Details The Final Cut Pro 7 Level One exam is a computer-based test offered at AATCs and Prometric Testing Centers. To find the closest AATC, please visit training.apple.com/locations. To find a Prometric Testing Center, visit www.prometric.com/apple. Many AATCs schedule Certification Exam sessions at training.apple.com/ schedule. If you don't see a session scheduled at your nearest AATC, contact the AATC and they will often schedule a session. Please note that all AATCs offer all Mac OS X and Pro Apps exams, even if they don’t offer the corresponding course. The Final Cut Pro 7 Level One exam details: • Exam number: 9L0-827 • Number of test questions: approximately 66 technical, five demographic (unscored). • The exam uses a random pool of multiple-choice, fill-in-the-blank and interactive-media questions. • Passing score: 80% (scores are not rounded; you must earn a score of 80% or higher to pass the exam). • Details on exam scoring appear at training.apple.com/certification/faq. • Exam duration: One hour thirty minutes. • This exam is also available in other languages. For details, please visit training.apple.com/certification/localized. The exam timer does not start until you view the first technical question. You may not access any resources or references during the exam. Recommended Exam Preparation We recommend the following exam preparation strategies: • Gain experience with the application. • Learn from experts: FCP 101: Introduction to Final Cut Pro or FCP 102: Introduction to Final Cut Pro, Prime Time. • Study the Apple Pro Training Series book “Final Cut Pro 7” by Diana Weynand (ISBN 0-321-63527-3). • Review the optional study materials. • Review the objectives and sample questions in this guide. Gain Experience with the Application Nothing can substitute for time spent learning the technology first hand. After you read the book and/or take the class, spend time increasing your familiarity with the software on your own to ensure your success on the certification exam. Final Cut Pro 7 Level One Exam Preparation Guide and Practice Exam 5Learn from Experts Apple Authorized Training Centers (AATCs) offer classes where you can learn hands-on with the technology and benefit from the expertise of Apple Certified Trainers and your peers. Visit the Apple Training & Certification website to find course offerings at nearby AATCs. Study the Apple Pro Training Series Book Apple Pro Training Series books are the basis for the related Apple Certification exams. The book for this exam is Apple Pro Training Series“Final Cut Pro 7” by Diana Weynand (ISBN 0-321-63527-3). You can purchase the book at peachpit.com (click here for a 30% discount code). Creative Edge, an on-demand digital library, offers subscription access to the Apple Training and Apple Pro Training Series, as well as thousands of other reference videos and books. If you are an iPad user, an electronic version is available on the iBookstore. This book is also available in other languages. Click here for details. Review the Optional Study Materials The following resources may also help you to prepare for your certification exam, as well as to expand your general knowledge: • Review the tutorials at www.apple.com/finalcutstudio/resources/. Over five hours and 150 topics of free online tutorials are provided by leading video training developers, including some lessons from the Apple Pro Training Series book. • Review the appropriate sections of the Final Cut Pro User Manuals. The complete documentation for the entire studio is available at: documentation.apple.com. You can also launch the Final Cut Pro documentation by choosing Help > Final Cut Pro User Manual when Final Cut Pro is launched. Information on new features is available by choosing Help > New Features when Final Cut Pro is launched. • Review the Apple Pro Training Series book “Final Cut Pro 7 QuickReference Guide” by Brendan Boykin (ISBN 0-321-69468-6). You can order this book with a 30% discount at Peachpit Press by entering coupon PP-APL-DISC at checkout. • Many online resources allow you to ask questions and learn tips and tricks. To access white papers, discussion forums, and learn about the many other online materials, visit Apple’s training resources www.apple.com/finalcutstudio/resources/ • Although the end user exam does not cover this material, you may want to review the Apple ProRes white paper: www.apple.com/ finalcutstudio/finalcutpro/apple-prores.html. • For information on the Apple Pro Training Program, visit training.apple.com/. • To provide comments and feedback to Apple about Final Cut Pro, visit www.apple.com/feedback/finalcutpro.html • Take the Final Cut Pro tour at www.apple.com/finalcutstudio/ finalcutpro/. Final Cut Pro 7 Level One Exam Preparation Guide and Practice Exam 6• Read the late breaking news at www.apple.com/support/manuals/. • Read the Final Cut Pro News for information about Apple Pro Apps and everything related to them. • Many third-party manufacturers create reference, troubleshooting and tutorial DVDs for the novice to power user. A quick Internet search will provide you with dozens of options. • If you have any questions, you can post them to the Final Cut Pro Discussion Forum, which is hosted by Apple. You can also post questions to the Yahoo group FinalCutPro-L. You can join at the following link: movies.groups.yahoo.com/group/FinalCutPro-L/. Review the Objectives and Review Questions Even if you’re self-taught or have taken courses that do not use the Apple Pro Training Series curriculum, you can still prepare yourself for the certification exam by making sure that you can complete all the tasks and answer all the review questions in the following sections. The Exam Objectives describe the knowledge domains assessed by the exam. The Review Questions summarize what you should have learned in each chapter. Please note that although this guide divides the objectives into lessons or knowledge areas, questions are presented randomly during the exam. Lesson One objectives Upon completion of Lesson One, “Creating a Rough Cut” in “Final Cut Pro 7,” you should be able to complete the following tasks. Items from this lesson are included in the pool of exam questions, drawn randomly from the following objectives: • Import clips into a project • Play and navigate through clips in the Viewer • Mark clips in the Viewer • Edit clips into the Timeline • Play a sequence in the Timeline and Canvas • Organize project elements in the Browser • Save, hide, and quit Final Cut Pro Lesson One review questions After completing Lesson One, you should be able to answer the following questions. 1. Name three ways to open Final Cut Pro. 2. What four modifier keys are often used in conjunction with keyboard shortcuts to initiate functions or commands? 3. How do you access a shortcut menu? Final Cut Pro 7 Level One Exam Preparation Guide and Practice Exam 74. In what main menu can you find the Import command? 5. Identify three ways to open a clip in the Viewer. 6. Besides clicking the Play button, what keys on your keyboard can you press to play a clip or sequence forward? 7. Which keys move the playhead forward or backward in oneframe increments in the Viewer, Canvas, and Timeline? 8. How do you mark an In point or Out point on a clip? 9. What button in the Canvas window do you click to edit a clip? 10. What visual indicator in the Viewer lets you know you are on the first or last frame of the entire clip? 11. What visual indicator in the Canvas window lets you know the playhead is on the first or last frame of an edited clip in the Timeline? 12. When viewing the audio portion of a clip, what do you see instead of a video image? 13. Identify three ways to create a bin. 14. What are the keyboard shortcuts to save, hide, and quit Final Cut Pro? Answers 1. Double-click the application in the Applications folder, click the icon in the Dock, or double-click a Final Cut Pro project file. 2. Shift, Control, Option, and Command 3. Control-click (or right-click) an item. 4. In the File menu. 5. Double-click the clip in the Browser, drag it to the Viewer, or select it and press Return. 6. The Spacebar and the L key. 7. The Left Arrow and Right Arrow keys. 8. Click the Mark In or Mark Out button in the Viewer, or press the keyboard shortcut, I or O. 9. The red Overwrite button. 10. Filmstrip sprocket holes appear on the left side of the image in the Viewer to indicate the first available frame of media, and appear on the right side to indicate the last frame. 11. An L in the lower left means you’re on the first frame of the edited clip, and a reverse L in the lower right means you’re on the last frame. 12. A waveform display. Final Cut Pro 7 Level One Exam Preparation Guide and Practice Exam 813. Choose File > New Bin, press Command-B, or Control-click in the gray area of the Browser and choose New Bin. 14. Press Command-S to save current changes, press Command-H to hide the application, and press Command-Q to quit the application. Lesson Two objectives Upon completion of Lesson Two, “Building the Rough Cut” in Final Cut Pro 7 , you should be able to complete the following tasks. Items from this lesson are included in the pool of exam questions, drawn randomly from the following objectives: • Manage project elements • Make overwrite and insert edits • Manage Timeline tracks • Edit audio clips • Move clips in the Timeline • Use drag-and-drop editing • Change the volume of sequence clips Lesson Two review questions After completing Lesson Two, you should be able to answer the following questions. 1. How do you create a bin inside another bin? 2. What are the four methods you can use to create an overwrite or insert edit? 3. What do you use to drag an audio clip from the Viewer’s Audio tab to the Canvas Edit Overlay or to the Timeline? 4. What are the keyboard shortcuts to zoom in to or out of an area of the Timeline? 5. How do you change the track heights in the Timeline? 6. How do you target a track in the Timeline? 7. What controls in the Timeline patch panel turn off or on the video and sound of individual tracks? 8. To select a clip in the Timeline, you click it once. Name two ways to deselect it. 9. How do you change a clip’s location in the Timeline? 10. What are two ways to turn snapping off or on? 11. When dragging clips from the Viewer to the Timeline, your pointer changes as you position the clip depending on the type of edit you’re making. When you’re making an overwrite Final Cut Pro 7 Level One Exam Preparation Guide and Practice Exam 9edit, what type of arrow does your pointer change into? What is it for an insert edit? 12. When you open a clip in the Viewer, what do you see in the Timeline patch panel? Answers 1. Control-click (or right-click) a bin and choose New Bin from the shortcut menu. 2. Click an edit button; use a keyboard shortcut; drag a clip from the Viewer to the Canvas Edit Overlay; or drag the clip directly to a track in the Timeline. 3. The drag hand. 4. Press Option-+ (plus sign) to zoom in, and press Option-– (minus sign) to zoom out. 5. In the Timeline display controls, click a track height in the Track Height control, or cycle through the options by pressing Shift-T. 6. Drag a Source control to the target destination track. 7. The Track Visibility controls. 8. Click in the empty gray space above the track, or press Command-Shift-A. 9. Drag the clip, or select it and enter a move amount. 10. Press N, or click the Snapping button in the Timeline. 11. The down arrow is for an overwrite edit; the right arrow is for an insert edit. 12. The representative source tracks from the clip appear as Source controls in the Timeline patch panel. Lesson Three objectives Upon completion of Lesson Three, “Finishing the Rough Cut” in “Final Cut Pro 7,” you should be able to complete the following tasks. Items from this lesson are included in the pool of exam questions, drawn randomly from the following objectives: • Set edit points in the Timeline • Add cutaways • Edit narration and music tracks • Backtime clips • Edit sound effects to video clips • Copy and paste clips • Edit using markers Final Cut Pro 7 Level One Exam Preparation Guide and Practice Exam 10• Play a sequence full screen and via iChat Lesson Three review questions After completing Lesson Three, you should be able to answer the following questions. 1. What are the keyboard shortcuts for setting In and Out points in the Timeline? 2. What are two ways for marking the duration of a clip in the Timeline? 3. What does the Auto Select control in the Timeline patch panel determine? 4. When you mark an area of the Timeline and press Delete, will you leave a gap? 5. What happens to the marked area of the Timeline when you press Shift-Delete or the Forward Delete key? 6. In what menu do Lift and Ripple Delete appear? 7. What mark is necessary in the Viewer when backtiming a source clip into a marked area in the Timeline? 8. How do you patch Source controls to Timeline tracks? 9. Which video track will you see when there is more than one video clip at the same location in the Timeline? 10. What is a three-point edit? 11. What marks are left behind after cutting with the Razor Blade tool? 12. What key do you press to add a marker at the playhead location? 13. How do you create In and Out points from Timeline markers? 14. In what menu can you find the Digital Cinema Desktop Preview? 15. With what Apple application can you screen your sequence long-distance in real time? Answers 1. Press I to set an In point; press O to set an Out point. 2. Position the playhead over the clip in the Timeline and press X to mark the duration of that clip. You can also click the Mark Clip button in the Canvas. 3. If the Auto Select control is turned on for a track, the clips between the edit points on that track will be highlighted and included in the next action. 4. Yes, pressing Delete alone leaves a gap where the material was edited. This type of delete is referred to as a lift. Final Cut Pro 7 Level One Exam Preparation Guide and Practice Exam 115. Pressing Shift-Delete or Forward Delete removes both clip and gap within the marked area. This type of delete is referred to as a ripple delete. 6. The lift and ripple delete appear in the Sequence menu. 7. You should have no In point and only an Out point in the Viewer to backtime the clip into the Timeline edit points. 8. Drag a Source control to the desired Destination control, or Control-click either the Source or the Destination control and choose the appropriate option from the shortcut menu. 9. You see the clip in the uppermost video track. 10. Using just three edit points to determine location, duration, and content. 11. Red through edit indicators. 12. The M key. Press M again to open the Edit Marker dialog. 13. Choose Mark > Mark to Markers, or press the shortcut, Control-A. 14. In the View menu. 15. iChat. Lesson Four objectives Upon completion of Lesson Four, “Trimming Clip Duration” in “Final Cut Pro 7,” you should be able to complete the following tasks. Items from this lesson are included in the pool of exam questions, drawn randomly from the following objectives: • Understand trimming • Trim using the Ripple tool • Trim clips in the Viewer • Trim an edit point by dragging • Trim clips in the V2 track • Extend an edit point • Trim one track of a linked clip Lesson Four review questions After completing Lesson Four, you should be able to answer the following questions. 1. What does turning off linked selection in the Timeline do? 2. What does the Ripple tool do when you use it for trimming? 3. What is the keyboard shortcut to select the Ripple tool? 4. What keys can you use as shortcuts to ripple a clip’s edit point by a few frames? Final Cut Pro 7 Level One Exam Preparation Guide and Practice Exam 125. What is one advantage of trimming a clip in the Viewer? 6. How can you disable a single clip in the sequence? 7. What tools can you use to drag an edit point in the Timeline? 8. What is the keyboard shortcut for extending an edit? 9. How do you reposition a clip to an upper Timeline track without moving it horizontally? 10. What is the advantage of editing on the V2 track? Answers 1. It allows you to select and trim one track of a linked clip. 2. It ripples the trim amount through the unlocked tracks in the sequence. 3. Pressing RR selects the Ripple tool. 4. Press [ and ] (bracket keys) or < and > (angle bracket keys). 5. You can view material outside the marked area. 6. Control-click the clip in the sequence and deselect Clip Enable in the shortcut menu. 7. Use the default Selection tool and the Ripple tool. 8. The E key extends an edit. 9. Hold down the Shift key as you drag, or select the clip and press Option–Up Arrow. To move a clip down, you press Option–Down Arrow. 10. It allows you to lengthen a clip without bumping into a bordering clip on either side. Lesson Five objectives Upon completion of Lesson Five, “Refining Edit Points” in “Final Cut Pro 7,” you should be able to complete the following tasks. Items from this lesson are included in the pool of exam questions, drawn randomly from the following objectives: • Trim two edit points at the same time • Slip In and Out points • Roll edit points • Extend edit points • Slide a clip • Reposition a clip • Keep clips in sync Final Cut Pro 7 Level One Exam Preparation Guide and Practice Exam 13Lesson Five review questions After completing Lesson Five, you should be able to answer the following questions. 1. How can you display a list of markers that are in a sequence? 2. Where can you change the Timeline settings of the active sequence? 3. Which two edit points does the Slip tool adjust? 4. Which two sets of shortcut keys allow you to adjust edit points one frame at a time? 5. Which two edit points does the Roll tool adjust? 6. How do you adjust one track of a linked clip? 7. How many clips are affected when you apply the Slide tool? 8. Is extending two edit points most similar to rolling, slipping, or sliding edit points? 9. What modifier key is essential to reposition a clip in a sequence without overwriting any other material? 10. What does Option-dragging a clip do? 11. If one track of a clip has gotten out of sync with the other tracks, by being either slipped or moved, how do you resync those tracks? Answers 1. Control-click in the Timeline ruler. The markers appear at the bottom of the shortcut menu. 2. In the Sequence Settings window (Sequence > Settings). 3. The Slip tool adjusts the In and Out points of one clip. 4. The < and > (angle bracket) keys, and the [ and ] (bracket) keys. 5. The Roll tool adjusts one clip’s Out point and the adjacent clip’s In point. 6. Turn off linked selection, or hold down Option before clicking the track. 7. The Slide tool affects three clips: the position of the middle clip, and the durations of the adjacent clips. 8. Extending changes an edit point in the same way rolling does. 9. The Option key is used to shuffle a clip and ripple all other clips in the sequence. 10. Option-dragging creates a copy of a sequence clip and repositions the copy in a different location, leaving the original sequence clip in place. Final Cut Pro 7 Level One Exam Preparation Guide and Practice Exam 1411. Press Command-Z, or Control-click the red out-of-sync indicators on the tracks you want to adjust and choose “Slip into Sync” or “Move into Sync.” Lesson Six objectives Upon completion of Lesson Six, “Refining the Editing Process” in “Final Cut Pro 7,” you should be able to complete the following tasks. Items from this lesson are included in the pool of exam questions, drawn randomly from the following objectives: • Label and rename project elements • Create subclips using In and Out points • Create subclips using markers • Use markers to sync clips • Change poster frames • Create a storyboard • Work with replace edits • Edit multicam footage Lesson Six review questions After completing Lesson Six, you should be able to answer the following questions. 1. How do you add a color label to a clip, bin, or sequence? 2. How do you create a subclip from another clip? 3. Where can you place markers? 4. Does snapping affect markers? 5. What modifier key is used to create a new poster frame? 6. What does the replace edit do? 7. How should clips be organized in a bin before making a storyboard-type edit? 8. What does it mean when a production is shot multicam? 9. How do you create a multiclip? 10. When creating a multiclip, what are the three ways you can sync clips or angles? 11. What modifier key do you use to modify the arrangement of multiclip angles in the Viewer? Answers 1. In the Browser, Control-click the item and choose Label, then select a color. Final Cut Pro 7 Level One Exam Preparation Guide and Practice Exam 152. Set In and Out points in the clip, then choose Modify > Make Subclip. 3. Place markers in the Timeline ruler or on a selected clip in the Timeline. You can also add markers to a clip in the Viewer. 4. Yes. When snapping is on, you can snap the playhead to markers and snap a clip marker to a sequence marker or to another clip marker. 5. The Control key creates a new poster frame (Control-P). 6. It replaces a sequence clip with a source clip, aligning the Viewer and Timeline playhead positions. 7. Clips should be placed in rows, with each clip in a row appearing slightly lower than the previous clip. 8. Multiple cameras were used to shoot the same action at the same time but from different angles. 9. In the Browser, select the clips you want to include in the multiclip and choose Modify > Make Multiclip, or Control-click a selected clip or bin and choose Make Multiclip from the shortcut menu. 10. You can sync clips or angles by In points, Out points, or timecode. 11. The Command key. Lesson Seven objectives Upon completion of Lesson Seven, “Customizing Final Cut Pro” in “Final Cut Pro 7,” you should be able to complete the following tasks. Items from this lesson are included in the pool of exam questions, drawn randomly from the following objectives: • Reconnect unlinked media files • Play sequences with multiple formats • Work with master clips and match frames • Log notes in Browser columns • Find project items • Customize shortcut keys and button bars • Save and reload customized layouts • Optimize user preferences Lesson Seven review questions After completing Lesson Seven, you should be able to answer the following questions. 1. How do you sort by a column other than the Name column? Final Cut Pro 7 Level One Exam Preparation Guide and Practice Exam 162. How do you show a column that you don’t currently see in the Browser? 3. How do you search for a clip in the Browser using specific criteria? 4. What determines whether a clip is a master clip in Final Cut Pro? 5. What does it mean when a clip has a red slash through the clip icon? 6. How can you look at the detailed information about a single clip or item? 7. Where can you choose new interface buttons? 8. Where are all customized layouts saved on your computer? 9. In what menu can you choose User Preferences? 10. How do you make changes to an existing sequence? 11. How do you find a matching frame to a sequence clip? 12. What is saved in the Autosave Vault? Answers 1. Click a column heading. 2. Control-click a column heading and choose Show [column] from the shortcut menu. 3. Select the Browser window and press Command-F to open the Find window, and choose specific search criteria. 4. A clip is a master clip if it represents the first use of that clip in the project. 5. The clip is offline and disconnected from its media file. 6. Select the clip, and press Command-9 to open the Item Properties window. You can also Control-click the clip and choose Item Properties from the shortcut menu, or choose Edit > Item Properties. 7. From the Button List window or the Keyboard Layout window. 8. They are saved at Users/[user name]/Library/Preferences/Final Cut Pro User Data. 9. From the Final Cut Pro menu. 10. Make the sequence active in the Timeline, or select it in the Browser, and press Command-0 to open the Sequence Settings window. You can also choose Sequence > Sequence Settings. 11. Position the playhead over the frame of the sequence clip, and press F. Final Cut Pro 7 Level One Exam Preparation Guide and Practice Exam 1712. Backup copies of your project file. Lesson Eight objectives Upon completion of Lesson Eight, “Capturing and Transferring Footage” in “Final Cut Pro 7,” you should be able to complete the following tasks. Items from this lesson are included in the pool of exam questions, drawn randomly from the following objectives: • Connect video sources for capture • Preview and mark source material • Log clips • Choose clip settings • Choose capture presets • Choose capture options • Batch capture clips • Ingest from nontape sources Lesson Eight review questions After completing Lesson Eight, you should be able to answer the following questions. 1. Before you can capture footage, what is the first thing you must do? 2. Marking clips for capture is similar to marking clips while editing. True or false? 3. You can enter a variety of clip information in the Logging tab. Give an example of logging information that appears in the Browser columns. 4. When you choose a capture preset, what settings do you want it to match? 5. What are the three capture modes you can use to capture footage? 6. What is a scratch disk? 7. How can you save time using the Batch Capture mode? 8. You can choose only your computer hard drive as a scratch disk. True or false? 9. What other settings window contains the scratch disk information like that on the Capture Settings tab? 10. What other settings window contains the device-control information like that on the Capture Settings tab? 11. What menu command do you choose to ingest from nontape sources? Final Cut Pro 7 Level One Exam Preparation Guide and Practice Exam 18Answers 1. You must connect your source device via a FireWire cable or third-party capture card and turn it on. 2. True. 3. Log note, good take, scene number, take number, angle number, clip name. 4. Your source footage settings. If you have a variety of footage, it should match whatever format represents the majority of clips or the highest quality, depending on the project and your hardware. 5. Capture Clip, Capture Now, and Batch Capture. 6. The target destination for your captured media files. 7. You can log individual clips and then capture them together at the same time. 8. False. You can set your computer hard drive or an external FireWire drive as your scratch disk. 9. The System Settings window. 10. The Audio/Video Settings window. 11. Choose File > Log and Transfer. Lesson Nine objectives Upon completion of Lesson Nine, “Applying Transitions” in “Final Cut Pro 7,” you should be able to complete the following tasks. Items from this lesson are included in the pool of exam questions, drawn randomly from the following objectives: • Evaluate project needs • Understand transitions • Apply video and audio transitions • Apply global transitions • Copy and change transitions • Use the Transition Editor • Adjust edit points under a transition • Save favorite transitions • Change transition parameters • Preview and render transitions Lesson Nine review questions After completing Lesson Nine, you should be able to answer the following questions. Final Cut Pro 7 Level One Exam Preparation Guide and Practice Exam 191. From what two places can you choose a transition effect? 2. When you use the automatic approach to applying a transition, what must you do first? 3. In what ways can you target a clip or clips when you want to apply multiple transitions? 4. What are three ways to change the duration of a transition in the Timeline? 5. What are the three ways a transition can be aligned to an edit point? 6. How can Command-C and Command-V be used on transitions? 7. How do you open the Transition Editor? 8. How are more complex transitions different from dissolves? 9. What RT setting should you choose when you want to preview as many effects in your sequence as possible? 10. In what three ways can you save a favorite transition? 11. How do you set a new default transition? Answers 1. Choose transition effects from the Effects tab in the Browser and from the Effects menu. 2. Before applying a transition from the Effects menu, you must target the edit point. 3. Select a clip, select a group of clips, set In and Out points, or select all the clips in the sequence. 4. Drag the edge of the transition icon; Control-click the transition icon, choose Duration from the shortcut menu, and enter an amount in the Duration window; or open the Transition Editor and change it in the Duration field. 5. Use Center On Edit, Start On Edit, and End On Edit. 6. Selecting a transition and pressing Command-C copies the transition. Deselecting the transition, moving the playhead to the target edit point, and pressing Command-V pastes the copied transition. 7. Either Control-click one side of the transition icon and choose Open [transition] from the shortcut menu, or double-click one side of the icon in a sequence clip. 8. They have additional parameters, such as border width and color, that can be adjusted in the Transition Editor. 9. Choose Unlimited RT and Dynamic. Final Cut Pro 7 Level One Exam Preparation Guide and Practice Exam 2010. From the Transition Editor, drag the drag hand icon to the Effects tab and release it in the Favorites bin; choose Effects > Make Favorite; or press Option-F. 11. Control-click the transition in the Effects tab and choose Set Default Transition from the shortcut menu. Lesson Ten objectives Upon completion of Lesson Ten, “Mixing Audio Tracks” in “Final Cut Pro 7,” you should be able to complete the following tasks. Items from this lesson are included in the pool of exam questions, drawn randomly from the following objectives: • Edit and organize audio effects • Monitor and adjust audio levels in the Timeline • Use the razor blade to add edits and create audio fades • Create audio fades using keyframes • Use the Audio Mixer • Record a voiceover Lesson Ten review questions After completing Lesson Ten, you should be able to answer the following questions. 1. What button do you click in the Timeline to display the Mute and Solo buttons? 2. What result do you get when you click the Solo button on a track? 3. How can you add several tracks to the Timeline at one time? 4. How do you make the audio level overlay appear on clips in the Timeline? 5. When would you turn on audio waveforms in the Timeline? 6. What tool do you use to set a keyframe on the audio level overlay? 7. How can the Pen tool be accessed without selecting it from the Tool palette? 8. How do you reposition a keyframe or change its volume level? 9. How can you paste just the audio level from one clip to another? 10. In what menu do you find the Audio Mixer? 11. To mix tracks in real time and automatically create keyframes on a clip, what must you do in the Audio Mixer? Final Cut Pro 7 Level One Exam Preparation Guide and Practice Exam 2112. What tool do you use to record your own voiceover, and where do you access it? 13. What two commands in the Modify menu help to change audio levels, and in what way? Answers 1. The Audio Controls button in the lower left of the Timeline. 2. That track becomes the only audible track as you play the sequence. 3. Choose Sequence > Insert Tracks. 4. Press Option-W, or click the Clip Overlays control in the lower left of the Timeline, to the left of the Track Height control. 5. When you want a visual representation of a clip’s audio signals to evaluate or to edit audio clips. 6. The Pen tool. 7. Press Option and move the pointer over the audio level overlay on a Timeline clip. The Pen tool appears on the overlay line. 8. Drag left and right to change its position and up and down to change its volume level. 9. Copy the clip that has the desired audio level and paste just the audio levels using the Paste Attributes command. 10. The Tools menu. 11. In the Audio Mixer button bar, click the Record Audio Keyframes button to turn it on. Then play the sequence and adjust the clip volume by dragging its track fader. 12. The Voice Over tool, found in the Tools menu. 13. Modify > Levels brings up the Gain Adjust dialog, where you can raise or lower volume for all selected clips. Modify > Audio > Apply Normalization Gain resets the peak decibel level of the clip. Lesson Eleven objectives Upon completion of Lesson Eleven, “Creating Titles” in “Final Cut Pro 7,” you should be able to complete the following tasks. Items from this lesson are included in the pool of exam questions, drawn randomly from the following objectives: • Add color bars and slugs • Create and edit text clips • Superimpose a title • Create a lower third Final Cut Pro 7 Level One Exam Preparation Guide and Practice Exam 22• Work with Boris text • Add color mattes and render effects • Import still images • Create a multilayer effect • Prepare graphic images for editing • Add Motion templates Lesson Eleven review questions After completing Lesson Eleven, you should be able to answer the following questions. 1. From what two places can you choose a generated item such as text? 2. What tab in the Viewer do you select to make changes to text clips? 3. When you superimpose an edit over a V1 clip, to what track should the Source control be patched for the superimposed clip to be placed on V2? 4. What type of generated text identifies a person, place, or thing? 5. In what menu can you find the Show Title Safe option? 6. What generated item is used as a color and sound reference at the head of a sequence? 7. Where can you find the Drop Shadow attribute? 8. In what text generator does a separate window appear for making text changes? 9. What automated text generator is often used for credit rolls? 10. How can you adjust a clip’s opacity? 11. When you choose a color for a color matte, you can pick a color only from the Colors window. True or false? 12. What is it called when you edit one sequence inside another? 13. What category of generated items can you use to apply a Motion template? Answers 1. Choose from the Browser Effects tab or from the Generator pop-up menu in the Video tab in the Viewer. 2. The Controls tab. 3. The V1 track. 4. A lower third. Final Cut Pro 7 Level One Exam Preparation Guide and Practice Exam 235. The View menu, and the View pop-up in the Viewer and Canvas. 6. Bars and tone. 7. In the Motion tab in the Viewer. 8. The Boris text generator. 9. The Scrolling Text generator. 10. Drag the opacity overlay on a video clip in the Timeline, or open a clip in the Viewer and change the Opacity parameter in the Motion tab. 11. False. You can use the Select Color eyedropper to pick a color from any clip in any open sequence. 12. Nesting. 13. Master templates. Lesson Twelve objectives Upon completion of Lesson Twelve, “Changing Motion Properties” in “Final Cut Pro 7,” you should be able to complete the following tasks. Items from this lesson are included in the pool of exam questions, drawn randomly from the following objectives: • Change clip speed • Use the Speed tool • Create fit to fill edits • Create freeze frames • Change image size and position • Crop and rotate images • Copy and paste motion attributes • Animate motion effects • Create a motion path Lesson Twelve review questions After completing Lesson Twelve, you should be able to answer the following questions. 1. In what menu do you choose Speed? 2. How can you tell if the speed of a sequence clip has been changed? 3. What type of edit can change clip speed automatically as you edit it into the Timeline? 4. Where does the Speed tool appear in the Tool palette? Final Cut Pro 7 Level One Exam Preparation Guide and Practice Exam 245. When you create a freeze frame, does a new freeze frame clip appear in the Browser automatically? 6. How do you reveal the speed indicator area in the Timeline? 7. How can you create a speed segment in a clip? 8. Where do you access motion parameters? 9. How can you change motion parameters directly in the Canvas? 10. How can motion attributes be copied and pasted? 11. Where are motion keyframes set and adjusted? 12. What is a motion path? 13. What tool do you use to hide unnecessary portions of an image? 14. How is rotation measured in the Motion tab? Answers 1. In the Modify menu. 2. A speed percentage will appear next to the sequence clip name. 3. A Fit to Fill edit. 4. Under the Slip tool. 5. No, but you can drag the freeze frame image from the Viewer to the Browser if you like. 6. Click the Clip Keyframes control. 7. Click in the speed indicator area with the Speed tool or the Selection tool to create a speed keyframe. 8. In the Motion tab. 9. Choose Image+Wireframe from the Canvas View pop-up menu. 10. Copy the clip and use the Paste Attributes window to paste specific attributes. 11. In the Motion tab keyframe graph area. 12. The path a clip moves along between two or more keyframes. 13. The Crop tool. 14. In degrees. Lesson Thirteen objectives Upon completion of Lesson Thirteen, “Applying Filters” in “Final Cut Pro 7,” you should be able to complete the following tasks. Items from this lesson Final Cut Pro 7 Level One Exam Preparation Guide and Practice Exam 25are included in the pool of exam questions, drawn randomly from the following objectives: • Apply audio and video filters • View and modify filters • Apply filters for image correction • Apply filters to multiple clips • Use tools to adjust filters • Animate filters using keyframes Lesson Thirteen review questions After completing Lesson Thirteen, you should be able to answer the following questions. 1. Describe two ways to apply a video or audio filter. 2. How do you view, modify the priority of, and disable filters applied to sequence clips? 3. How do you delete one or all filters in the Filters tab? 4. What real-time filter can you use to change the hue, saturation, and brightness of an image? 5. What tool provides a split-screen before-and-after comparison of a filter? 6. Where do you modify filter parameters? 7. How do you apply a filter from one clip to another clip? to several clips? 8. How do you save an adjusted filter as a favorite effect? 9. How do you add filter keyframes in the Viewer? 10. If a filter appears first in the Filters tab, does it affect all the filters below it? Answers 1. Drag a filter from the Effects tab to the clip in the Timeline, or select the clip (or move the playhead over it) and choose a filter from the Effects menu. 2. To view the filter’s effect, position the playhead over the clip in the Timeline. Open the clip in the Viewer, and click the Filters tab. To change the priority of a filter, drag the filter name above or below another filter. To disable the filter, click the Enable/Disable checkbox to deselect it. 3. Click the filter name, and press Delete. To delete all video filters, click Video Filters, and press Delete. 4. The Color Corrector 3-way filter. 5. The Frame Viewer. Final Cut Pro 7 Level One Exam Preparation Guide and Practice Exam 266. In the Filters tab. 7. Drag the filter name from the Filters tab to another clip in the Timeline. To copy a filter to several clips at once, select those clips before dragging the filter. You can also use the Paste Attributes command. 8. Drag the filter name from the Viewer window to the Favorites bin, press Option-F, or choose Effects > Make Favorite Effect. 9. Position the playhead where you want to start or end a filter change, and click a parameter Keyframe button. Reposition the playhead, and change that parameter. 10. No, filters that appear last in the Filters tab affect all the filters above it. Lesson Fourteen objectives Upon completion of Lesson Fourteen, “Finishing and Outputting” in “Final Cut Pro 7,” you should be able to complete the following tasks. Items from this lesson are included in the pool of exam questions, drawn randomly from the following objectives: • Detect audio peaks • Adjust video levels for broadcast • Share clips and sequences • Export a QuickTime movie • Export using QuickTime conversion • Export a still image • Output a sequence to tape • Create a timecode window burn • Back up a project Lesson Fourteen review questions After completing Lesson Fourteen, you should be able to answer the following questions. 1. What is the most efficient way to find the audio peaks in a sequence? 2. How are audio peaks indicated in the Timeline? 3. What can you do to determine whether an image falls within the broadcast safe range? 4. How can you correct an out-of-range clip so that its range is acceptable for broadcast? 5. What two tools can you use to help prepare the audio and video of your sequence for output? Final Cut Pro 7 Level One Exam Preparation Guide and Practice Exam 276. What export function can you use to quickly post your sequence on YouTube? 7. What is a self-contained QuickTime movie? 8. When might you use QuickTime Conversion? 9. What are the three ways you can output a sequence to tape? 10. What Export command do you choose to create a list of clip information? Answers 1. Using the Audio Peaks > Mark command, located in the Mark menu. 2. By markers in the Timeline ruler where each audio peak occurs. 3. Choose View > Range Check > Luma, and move through the sequence to see where the out-of-range clips are. 4. Apply the Broadcast Safe filter to the clip. 5. The Audio Mixer and Video Scopes. 6. From the File menu, use the Share command. 7. A movie that uses Final Cut Pro sequence presets and that can be played on any computer without having the original media files present. 8. When you want to export a still image, an audio file in a particular format, an AVI file, and so on. 9. Recording manually, or using the Print to Video or Edit to Tape options. 10. Batch List Taking the Final Cut Pro 7 Practice exam You must pay $25 USD if you choose to take the practice exam online. 1. Go to http://ibt.prometric.com/apple on a system that meets the following requirements: • Mac OS X 10.5 or higher • Safari 3.2.2 or above; other browsers are not fully supported • Cable / DSL / broadband connection 2. Click Secure Sign-in and log in with your PRIME username and password. If you don’t have a username and password, click First Time Registration and follow the instructions to create a PRIME profile. Final Cut Pro 7 Level One Exam Preparation Guide and Practice Exam 283. On the Main Menu page, click Change Domain and select IT & Pro Apps. If you do not do this option, skip to the next step. 4. In the Candidate Menu page, click Take Test. 5. Enter FCP7Practice in the Private Tests box and click Submit. The code is case sensitive and only valid for one use. Final Cut Pro 7 Level One Exam Preparation Guide and Practice Exam 296. Click Take This Test. 7. Read and Agree/Accept the Certification Program Agreement. 8. Click Continue to skip the voucher then enter your credit card information to pay the $25 USD fee. 9. Click Begin Test at the bottom of the page. 10. When you finish all the questions, click End Test. Taking the Final Cut Pro 7 certification exam After you take the practice exam and review your results, you can take the certification exam at any time. Unlike the practice exam, which you can take from home, the certification exam must be taken at an Apple Authorized Training Center (AATC) in a proctored setting or at a Prometric Testing Center. To find the closest AATC, please visit training.apple.com/ aatc. To find a Prometric Testing Center, visit www.prometric.com/apple. Many AATCs schedule "Certification Exam Sessions" at training.apple.com/ schedule. However, if you don't see a session scheduled, you can contact the AATC and they will often schedule one for you. Please note that all AATCS can offer all Mac OS X and Pro Apps exams, even if they don’t offer the corresponding course. The Final Cut Pro 7 exam is also available at Prometric Testing Centers (1-888-275-3926). Since Prometric has more than 3000 locations worldwide, this provides the greatest exam access possible, especially in remote locations. Prometric Exam FAQs Please visit training.apple.com/certification/faq for a list of Frequently Asked Questions. If you do not find the answer to your question, then email us. Please allow at least two business days for a response. Final Cut Pro 7 Level One Exam Preparation Guide and Practice Exam 30 Mac OS X Server Administration Open Directory Pour la version 10.3 ou ultérieure Apple Computer, Inc. © 2003 Apple Computer, Inc. Tous droits réservés. Le propriétaire ou l’utilisateur autorisé d’une copie valide du logiciel Mac OS X Server peut reproduire cette publication dans le seul but de se former à l’utilisation de ce logiciel. Aucune partie de cette publication ne peut être reproduite ou transmise à des fins commerciales telles que la vente de copies de cette publication ou l’offre de services d’assistance payants. Nous avons apporté le plus grand soin à l’exactitude des informations contenues dans ce manuel. Cependant, Apple Computer, Inc., ne peut être tenu responsable des erreurs d’impression ou d’écriture. L’utilisation de ce logo à des fins commerciales via le clavier (Option-1) pourra constituer un acte de contrefaçon et/ou de concurrence déloyale. Apple, le logo Apple, AirPort, AppleScript, AppleShare, AppleTalk, ColorSync, FireWire, Keychain, Mac, Mac OS, Macintosh, Power Mac, Power Macintosh, QuickTime, Sherlock et WebObjects sont des marques d’Apple Computer, Inc., déposées aux États-Unis et dans d’autres pays. Extensions Manager et Finder sont des marques d’Apple Computer, Inc. Adobe et PostScript sont des marques d’Adobe Systems Incorporated. Java et tous les logos et marques dérivés de Java sont des marques ou des marques déposées de Sun Microsystems, Inc. aux États-Unis et dans d’autres pays. Netscape Navigator est une marque de Netscape Communications Corporation. RealAudio est une marque de Progressive Networks Inc. UNIX est une marque déposée aux États-Unis et dans d’autres pays, sous licence exclusive de X/Open Company Ltd. Remarque : Apple améliore continuellement les performances et le design de ses produits. Il se peut que certaines illustrations de ce manuel soient légèrement différentes de votre version du logiciel. F022-1322 3 1 Table des matières Préface 9 À propos de ce guide 10 Utilisation de ce guide 11 Informations complémentaires Chapitre 1 13 Concepts de service de répertoire 15 Services et domaines de répertoire 16 Point de vue historique 17 Consolidation des données 18 Répartition des données 19 Utilisation des données des répertoires 21 Au sein d’un domaine de répertoire 21 Domaines de répertoires locaux et partagés 22 À propos du domaine de répertoire local 22 À propos des domaines de répertoires partagés 26 Données partagées dans des domaines de répertoires existants 26 Accès aux services de répertoires 27 Détection de services de réseau Chapitre 2 29 Politiques de recherche Open Directory 29 Niveaux de politique de recherche 30 Politique de recherche de répertoire local 30 Politiques de recherche à deux niveaux 32 Politiques de recherche multiniveaux 33 Politiques de recherche automatiques 35 Politiques de recherche personnalisées 36 Politiques de recherche d’authentification et de contacts Chapitre 3 37 Authentification d’utilisateur à l’aide d’Open Directory 38 Authentification et autorisation 38 Détermination de l’option d’authentification à utiliser 39 Authentification Open Directory 39 Politiques de mot de passe 40 Utilisateurs pouvant disposer de mots de passe Open Directory 40 Méthodes d’authentification du serveur de mot de passe Open Directory4 Table des matières 41 Contenu de la base de données du serveur de mot de passe Open Directory 41 Authentification Kerberos 42 Services “kerberisés” 42 Principaux et domaines Kerberos 43 Processus d’authentification Kerberos 44 Signature unique 44 Mots de passe shadow et cryptés 46 Cryptage des mots de passe shadow et cryptés dans les comptes d’utilisateur 46 Craquage des mots de passe lisibles 47 Authentification par liaison LDAP Chapitre 4 49 Planification Open Directory 49 Directives générales de planification 51 Contrôle de l’accès aux données 51 Simplification des modifications des données de répertoires 52 Évaluation des besoins en matière de répertoires et d’authentification 53 Identification de serveurs pour l’hébergement de domaines partagés 54 Duplication de services Open Directory 55 Répliques dans un campus comprenant plusieurs bâtiments 55 Amélioration des performances et de la redondance 56 Sécurité d’Open Directory 57 Outils pour la gestion des services de répertoire Open Directory 58 Admin Serveur 58 Format de répertoire 59 Gestionnaire de groupe de travail 59 Outils à ligne de commande 59 Gestionnaire NetInfo Chapitre 5 61 Configuration des services Open Directory 61 Présentation générale de la configuration 62 Avant de commencer 63 Configuration d’Open Directory à l’aide de l’Assistant du serveur 63 Gestion d’Open Directory sur un serveur distant 63 Configuration d’un serveur autonome 64 Configuration d’un maître Open Directory 65 Configuration d’une réplique Open Directory 67 Configuration du basculement Open Directory 68 Configuration d’une connexion à un système de répertoire 69 Configuration de la signature unique et de Kerberos 70 Configuration d’un maître Open Directory pour la signature unique et Kerberos 70 Délégation de l’autorité de connexion à un maître Open Directory pour la signature unique et KerberosTable des matières 5 72 Connexion d’un serveur à un maître Open Directory pour la signature unique et Kerberos 72 Configuration des options LDAP 73 Configuration de la fréquence de duplication d’un maître Open Directory 73 Modification de l’emplacement d’une base de données LDAP 74 Limitation des résultats de la recherche pour le service LDAP 74 Modification du délai de recherche autorisé pour le service LDAP 74 Configuration de SSL pour le service LDAP 75 Migration d’un domaine de répertoire de NetInfo vers LDAP 77 Bascule de l’accès au répertoire de NetInfo vers LDAP 78 Désactivation de NetInfo après la migration vers LDAP Chapitre 6 79 Gestion de l’authentification d’utilisateur 80 Composition d’un mot de passe 80 Modification du mot de passe d’un utilisateur 81 Réinitialisation des mots de passe de plusieurs utilisateurs 82 Changement de politique de mot de passe globale 83 Configuration des politiques de mots de passe d’utilisateurs individuels 84 Modification du type de mot de passe d’un utilisateur 85 Choix du type de mot de passe Open Directory 86 Choix du type de mot de passe crypté 87 Choix du type de mot de passe shadow 88 Activation de l’authentification d’un utilisateur par signature unique 88 Activation de l’authentification Kerberos pour un utilisateur 88 Activation de l’authentification par liaison LDAP pour un utilisateur 89 Attribution de droits d’administrateur pour l’authentification Open Directory 89 Exportation et importation d’utilisateurs dont le type de mot de passe est Open Directory 90 Exportation et importation d’utilisateurs Gestionnaire d’authentification 90 Migration de mots de passe vers l’authentification Open Directory Chapitre 7 93 Gestion de Format de répertoire 93 Configuration de services dans Format de répertoire 94 Activation ou désactivation du service Active Directory 94 Activation ou désactivation de la détection de services AppleTalk 94 Activation ou désactivation de BSD fichier plat et des services de répertoires NIS 95 Activation ou désactivation des services de répertoires LDAP 95 Activation ou désactivation des services de répertoires NetInfo 96 Activation ou désactivation de la détection de services Rendezvous 96 Activation ou désactivation de la détection de services SLP 96 Activation ou désactivation de la détection de services SMB 97 Configuration de la détection de services SMB 97 Configuration des politiques de recherche d’authentification et de contacts6 Table des matières 98 Définition de politiques de recherche automatiques 99 Définition de politiques de recherche personnalisées 100 Définition de politiques de recherche de répertoire local 100 Accès aux répertoires LDAP 101 Activation ou désactivation d’un répertoire LDAP fourni via DHCP 102 Affichage ou masquage des options de répertoires LDAP 102 Configuration de l’accès à un répertoire LDAP 103 Modification d’une configuration pour l’accès à un répertoire LDAP 104 Duplication d’une configuration pour l’accès à un répertoire LDAP 105 Suppression d’une configuration pour l’accès à un répertoire LDAP 105 Modification des réglages de connexion d’un répertoire LDAP 106 Configuration des recherches et mappages LDAP 109 Mappage d’attributs d’enregistrement de configuration pour répertoires LDAP 109 Modification du mappage RFC 2307 pour activer la création d’utilisateurs 110 Préparation d’un répertoire LDAP en lecture seule pour Mac OS X 110 Remplissage de répertoires LDAP avec des données pour Mac OS X 111 Accès à un domaine Active Directory 112 En savoir plus sur le module externe Active Directory 113 Configuration de l’accès à un domaine Active Directory 116 Activation ou désactivation de la mise en mémoire cache des références Active Directory 116 Spécification d’un serveur Active Directory préféré 117 Association de l’UID à un attribut Active Directory 117 Modification des groupes Active Directory autorisés à administrer l’ordinateur 118 Modification de comptes d’utilisateur et d’autres enregistrements dans Active Directory 118 Configuration de l’accès LDAP aux domaines Active Directory 119 Accès à un domaine NIS 120 Utilisation de fichiers de configuration BSD 121 Configuration de données dans des fichiers de configuration BSD 121 Accès aux domaines NetInfo hérités 122 À propos de la liaison NetInfo 122 Configuration d’une liaison NetInfo 123 Ajout d’un enregistrement d’ordinateur à un domaine NetInfo parent 124 Configuration de ports statiques pour domaines NetInfo partagés 125 Configuration de Format de répertoire sur un serveur distant Chapitre 8 127 Maintenance et résolution des problèmes 127 Contrôle d’Open Directory 127 Affichage des états et des historiques Open Directory 128 Contrôle de l’authentification Open Directory 128 Affichage et modification directs des données de répertoire 128 Affichage de l’Inspecteur de répertoireTable des matières 7 129 Masquage de l’inspecteur de répertoire 129 Modification du nom abrégé d’un utilisateur 130 Sauvegarde de fichiers Open Directory 132 Restauration de fichiers Open Directory 134 Résolution des problèmes d’accès aux répertoires 134 Un ralentissement se produit lors du démarrage 135 Résolution des problèmes d’authentification 135 Impossible de modifier un mot de passe d’utilisateur 135 Un utilisateur ne parvient pas à s’authentifier pour le service VPN 135 Impossible de convertir le type de mot de passe d’un utilisateur en Open Directory 135 Les utilisateurs Kerberos ne parviennent pas à être authentifiés 136 Réinitialisation d’un mot de passe d’administrateur Annexe A 137 Données de répertoire Mac OS X 138 Extensions Open Directory au schéma LDAP 138 Classes d’objets du schéma LDAP Open Directory 144 Attributs du schéma LDAP Open Directory 157 Mappage d’attributs standard sur LDAP et Active Directory 157 Mappages pour Utilisateurs 161 Mappages de groupes (Groups) 162 Mappages de montages (Mounts) 163 Mappages d’ordinateurs (Computers) 165 Mappages de listes d’ordinateurs (ComputerLists) 165 Mappages de configuration (Config) 166 Mappages de personnes (People) 168 Mappages de listes d’ordinateurs préréglés (PresetComputerLists) 168 Mappages de groupes préréglés (PresetGroups) 169 Mappages d’utilisateurs préréglés (PresetUsers) 171 Mappages d’imprimantes (Printers) 172 Mappages de configuration automatique de serveur (AutoServerSetup) 172 Mappages d’emplacements (Locations) 173 Attributs standard des enregistrements d’utilisateurs 178 Données d’utilisateur utilisées par Mac OS X Server 179 Attributs standard dans les enregistrements de groupes 180 Attributs standard des enregistrements d’ordinateurs 181 Attributs standard des enregistrements de listes d’ordinateurs 182 Attributs standard des enregistrements de montage 182 Attributs standard des enregistrements de configuration Annexe B 185 Méthodes d’authentification du serveur de mots de passe Open Directory 185 Activation ou désactivation des méthodes d’authentification 186 Validation de mot de passe APOP 186 Validation de mot de passe CRAM-MD58 Table des matières 186 Validation de mot de passe DHX 187 Validation de mot de passe Digest-MD5 187 Validation de mot de passe MS-CHAPv2 187 Validation de mot de passe SMB-NT 188 Validation de mot de passe SMB-LAN Manager 188 Validation de mot de passe WebDAV-Digest Annexe C 189 Gestionnaire d’authentification Glossaire 191 Index 197 9 Préface À propos de ce guide Ce guide décrit les services de répertoire et les services d’authentification que Mac OS X Server peut fournir aux ordinateurs clients Mac OS X. Résumé du contenu de chaque chapitre : • Le chapitre 1, “Concepts de service de répertoire”, présente les domaines de répertoires, la façon dont ils sont organisés et utilisés. Il décrit également comment la détection des services de réseau est intégrée aux services de répertoires. • Le chapitre 2, “Politiques de recherche Open Directory”, présente les politiques de recherche pour un ou plusieurs domaines de répertoires et décrit les politiques de recherche automatisées, personnalisées ou locales uniquement. • Le chapitre 3, “Authentification d’utilisateur à l’aide d’Open Directory”, décrit l’authentification Open Directory, les mots de passe shadow et cryptés, Kerberos, la liaison LDAP, la signature unique et l’authentification cachée pour les comptes mobiles. • Le chapitre 4, “Planification Open Directory”, vous aide à préciser vos besoins en matière de domaines de répertoires, à estimer la configuration requise pour les répertoires et l’authentification, à identifier les serveurs de domaines partagés hôtes, à améliorer les performances et la redondance, à gérer la duplication sur un site comprenant plusieurs bâtiments et à protéger vos services Open Directory. Ce chapitre présente également les outils de gestion des services Open Directory. • Le chapitre 5, “Configuration des services Open Directory”, indique comment définir le rôle Open Directory de Mac OS X Server : serveur autonome, connecté à un système de répertoires, maître Open Directory ou réplique Open Directory. Vous apprendrez également comment régler certaines options du service LDAP d’un maître ou d’une réplique Open Directory et comment faire migrer un domaine de répertoire de NetInfo vers LDAP. Enfin, ce chapitre vous explique comment configurer la signature unique et l’authentification Kerberos sur un maître Open Directory.10 Préface À propos de ce guide • Le chapitre 6, “Gestion de l’authentification d’utilisateur”, montre comment définir des politiques de mot de passe, modifier le type de mot de passe d’un utilisateur, attribuer des droits d’administrateur pour l’authentification Open Directory, réinitialiser les mots de passe de comptes d’utilisateurs importés et faire migrer des mots de passe vers l’authentification Open Directory. • Le chapitre 7, “Gestion de Format de répertoire”, explique comment utiliser l’application Format de répertoire. Vous découvrirez comment configurer des politiques de recherche de services, d’authentification et de contacts. Vous apprendrez aussi comment configurer l’accès à différents répertoires de domaines : LDAP, Active Directory, NIS, fichiers de configuration BSD et NetInfo. • Le chapitre 8, “Maintenance et résolution des problèmes”, vous indique comment contrôler les services Open Directory, visualiser et modifier directement les données des répertoires à l’aide de l’Inspecteur et sauvegarder les fichiers Open Directory. Ce chapitre donne également des solutions à certains problèmes que vous pourriez rencontrer. • L’annexe A, “Données de répertoire Mac OS X”, présente la liste des extensions Open Directory au schéma LDAP et spécifie les types d’enregistrement et d’attributs standard de Mac OS X. • L’annexe B, “Méthodes d’authentification du serveur de mots de passe Open Directory”, décrit les méthodes d’authentification gérées par Open Directory. • L’annexe C, “Gestionnaire d’authentification”, présente la technologie de Gestionnaire d’authentification qui permet d’obtenir une compatibilité avec les comptes d’utilisateur créés avec les versions 10.0 à 10.2 de Mac OS X Server. • Le glossaire définit les termes utilisés dans ce guide. Utilisation de ce guide Les chapitres de ce guide sont classés dans l’ordre correspondant probablement le mieux à vos besoins de configuration et de gestion d’Open Directory sur votre serveur. • Lisez le chapitre 1 jusqu’au chapitre 3 pour vous familiariser avec les concepts d’Open Directory : services de répertoires, politiques de recherche et authentification. • Lisez le chapitre 4 lorsque vous êtes prêt à planifier les services de répertoires et l’authentification des mots de passe pour votre réseau. • Après cette étape de planification, utilisez les instructions du chapitre 5 pour configurer les services Open Directory. • Lorsque vous avez besoin de définir des politiques de mot de passe ou de modifier les réglages de mot de passe d’un compte d’utilisateur, reportez-vous aux instructions du chapitre 6. • Si vous devez configurer ou modifier la façon dont un ordinateur Mac OS X ou Mac OS X Server accède à des domaines de répertoire, suivez les instructions du chapitre 7. • Pour la maintenance courante des services de répertoires et d’authentification, consultez le chapitre 8.Préface À propos de ce guide 11 Informations complémentaires Mac OS X Server est livré avec un ensemble de guides qui décrivent les autres services et donnent les instructions nécessaires à la configuration, à la gestion et à la résolution des problèmes de ces services. La plupart de ces documents se trouvent sur les disques du serveur, sous la forme de fichiers PDF. Ils sont tous disponibles en format PDF sur le site www.apple.com/server/documentation Ce guide Vous explique comment... Mac OS X Server Premiers contacts pour la version 10.3 ou ultérieure comprendre les nouvelles fonctionnalités de Mac OS X Server version 10.3 et comment préparer votre serveur. Mac OS X Server Migration pour la version 10.3 ou ultérieure réutiliser sur Mac OS X Server version 10.3 les données et les réglages de services actuellement utilisés sur les versions antérieures du serveur. Mac OS X Server Gestion des utilisateurs pour la version 10.3 ou ultérieure créer et gérer des comptes d’utilisateur, de groupe et d’ordinateur. Configurer des préférences gérées pour les clients Mac OS 9 et Mac OS X. Mac OS X Server Administration des services de fichiers pour la version 10.3 ou ultérieure partager des volumes ou des dossiers de serveur sélectionnés entre les clients du serveur à l’aide des protocoles suivants : AFP, NFS, FTP et SMB. Mac OS X Server Administration du service d’impression pour la version 10.3 ou ultérieure héberger des imprimantes partagées et gérer leurs files d’attente et leurs tâches d’impression respectives. Mac OS X Server Administration des images système pour la version 10.3 ou ultérieure créer des images disque et configurer le serveur afin que d’autres ordinateurs Macintosh puissent démarrer à partir de ces images via le réseau. Ce guide traite également de NetBoot et de Network Install. Mac OS X Server Administration du service de courrier pour la version 10.3 ou ultérieure définir, configurer et administrer les services de courrier sur le serveur. Mac OS X Server Administration des technologies Web pour la version 10.3 ou ultérieure configurer et gérer un serveur Web, notamment WebDAV, WebMail et des modules Web. Mac OS X Server Administration des services réseau pour la version 10.3 ou ultérieure installer, configurer et administrer les services DHCP, DNS, coupefeu IP, NAT et VPN sur le serveur. Mac OS X Server Administration des services Windows pour la version 10.3 ou ultérieure configurer et gérer les services destinés aux utilisateurs Windows. Mac OS X Server Administration du Serveur Enchaînement 5.0 QuickTime pour la version 10.3 ou ultérieure configurer et gérer les services d’enchaînement QuickTime12 Préface À propos de ce guide Pour de plus amples informations, consultez les ressources suivantes: • Documents Ouvrez-moi : ces documents contiennent des mises à jour et des informations spéciales importantes. Recherchez-les sur les disques du serveur. • Aide en ligne, disponible à partir du menu Aide dans toutes les applications du serveur : elle fournit des instructions à l’écran pour les tâches d’administration ainsi que des informations de dernière minute et des mises à jour via Internet. • Les pages Web d’assistance Apple et la base de connaissances AppleCare offrent des réponses aux questions courantes, ainsi que les dernières mises à jour d’informations. Elles sont disponibles sur www.info.apple.com/ (en anglais). • Les formations Apple s’adressent aux coordinateurs techniques et aux administrateurs système. Pour obtenir le catalogue des formations, visitez le site : train.apple.com (en anglais). • Les groupes de discussion et les listes de distribution vous mettent en relation avec d’autres administrateurs de serveur, qui ont peut-être déjà résolu les problèmes que vous avez rencontrés. Pour rechercher des groupes de discussion et des listes de distribution, visitez les sites suivants : discussions.info.apple.com/ (en anglais) www.lists.apple.com (en anglais) Mac OS X Server Administration du serveur d’applications Java déployer et gérer des applications J2EE à l’aide d’un serveur d’applications JBoss sur Mac OS X Server. Mac OS X Server Administration des lignes de commande pour la version 10.3 ou ultérieure utiliser les commandes et les fichiers de configuration pour effectuer des tâches d’administration de serveur à l’aide de l’interpréteur de commandes UNIX. Ce guide Vous explique comment... 1 13 1 Concepts de service de répertoire Un service de répertoire est un lieu de stockage centralisé d’informations concernant les utilisateurs d’ordinateurs et les ressources réseau d’une organisation. Le fait de centraliser les données administratives en un seul endroit présente plusieurs avantages : • Réduction du nombre de données à saisir. • Tous les clients et les services réseau disposent d’informations cohérentes en ce qui concerne les utilisateurs et les ressources. • L’administration des utilisateurs et des ressources est simplifiée. • Des services d’identification, d’authentification et d’autorisation sont fournis aux autres services réseau. En université ou en entreprise, par exemple, les services de répertoires sont un excellent moyen de gérer les utilisateurs et les ressources informatiques. Même une organisation de moins de dix personnes peut bénéficier des avantages du déploiement d’un service de répertoire. Les services de répertoires peuvent offrir deux sortes d’avantages. En effet, ils permettent d’une part de centraliser l’administration du système et du réseau et, d’autre part, de simplifier l’usage du réseau pour les utilisateurs. Grâce aux services de répertoire, les informations d’utilisateurs telles que les noms, les mots de passe et les emplacements des répertoires de départ en réseau sont gérées de manière centralisée plutôt que de manière individuelle sur chacun des ordinateurs. Les services de répertoire permettent aussi de centraliser les informations concernant les imprimantes, les ordinateurs et les autres ressources en réseau. La centralisation des informations concernant les utilisateurs et les ressources peut réduire le travail que représente la gestion des utilisateurs pour l’administrateur réseau. De plus, les utilisateurs ont la possibilité d’ouvrir une session sur tout ordinateur autorisé du réseau. Quel que soit le lieu à partir duquel l’utilisateur ouvre une session, il peut obtenir le même répertoire de départ et, par conséquent, accéder à son propre bureau, personnalisé selon ses préférences. L’utilisateur peut donc toujours accéder à ses fichiers personnels et retrouver en toute simplicité les ressources réseau autorisées en vue de les utiliser.14 Chapitre 1 Concepts de service de répertoire Apple a intégré à Mac OS X et Mac OS X Server une architecture de services de répertoire ouverte et extensible nommée Open Directory. Tout client Mac OS X ou ordinateur Mac OS X Server peut utiliser Open Directory pour récupérer des informations de référence sur les utilisateurs et les ressources réseau à partir d’une série de services de répertoire : • Service LDAP sur un système Mac OS X Server • Service NetInfo sur un ordinateur équipé de Mac OS X ou de Mac OS X Server • Service Active Directory sur un serveur Microsoft Windows • Service OpenLDAP ou autre service LDAP sur un serveur de tierce partie tel Sun One ou Novell eDirectory • Service NIS sur un serveur UNIX • Fichiers de configuration BSD stockés localement (non récupérés à partir d’un serveur) Les clients Mac OS 9 et Mac OS 8 gérés peuvent également recourir à Open Directory pour récupérer des informations sur les utilisateurs. Pour plus d’informations, lisez le chapitre consacré à Gestionnaire Macintosh dans le guide de gestion des utilisateurs (disponible en anglais à l’adresse www.apple.com/server/documentation/). De plus, Mac OS X et Mac OS X Server peuvent utiliser Open Directory pour détecter des services réseau, tels que les serveurs de fichiers, qui se manifestent par l’intermédiaire de protocoles de détection de services tels que RendezVous, AppleTalk, SLP ou SMB. L’architecture Open Directory comprend également un service d’authentification. Open Directory peut stocker et valider en toute sécurité les mots de passe des utilisateurs désireux de se connecter à des ordinateurs clients de votre réseau ou d’utiliser d’autres ressources réseau qui nécessitent une authentification. Open Directory permet également d’appliquer certaines politiques concernant notamment l’expiration des mots de passe ou leur longueur minimale. De surcroît, Open Directory peut authentifier des utilisateurs d’ordinateurs Windows pour l’accès au domaine, les services de fichiers, les services d’impression et d’autres services Windows fournis par Mac OS X Server. Chapitre 1 Concepts de service de répertoire 15 Services et domaines de répertoire Le service de répertoire agit comme un intermédiaire entre les processus d’application et de logiciel système, qui ont besoin d’informations sur les utilisateurs et les ressources, et les domaines de répertoire qui stockent les informations. Sous Mac OS X et Mac OS X Server, c’est Open Directory qui fournit les services de répertoire. Open Directory peut accéder aux informations d’un ou plusieurs domaines de répertoire. Un domaine de répertoire stocke des informations dans une base de données spécialisée et optimisée pour traiter un grand nombre de requêtes d’informations ainsi que pour les trouver et les récupérer rapidement. Les processus exécutés sous ordinateurs Mac OS X utilisent les services Open Directory pour enregistrer des informations dans les domaines de répertoire. Si par exemple vous créez un compte d’utilisateur à l’aide du Gestionnaire de groupe de travail, cette application demande à Open Directory de stocker le nom de l’utilisateur et les autres informations du compte dans un domaine de répertoire. Bien entendu, vous pouvez ensuite afficher les informations des comptes d’utilisateur à l’aide du Gestionnaire de groupe de travail qui demande à Open Directory de récupérer les informations d’utilisateur à partir d’un domaine de répertoire. Imprimantes Groupes Ordinateurs Utilisateurs Processus d'application et de logiciel système Montages Domaines de répertoires Open Directory16 Chapitre 1 Concepts de service de répertoire D’autres processus de logiciels système et d’applications peuvent également accéder aux informations des comptes d’utilisateur stockées dans des domaines de répertoire. Quand un utilisateur ouvre une session sur un ordinateur Mac OS X, le processus d’ouverture de session utilise les services Open Directory pour valider le nom d’utilisateur et le mot de passe. Point de vue historique Tout comme Mac OS X, Open Directory trouve ses origines dans UNIX. En effet, Open Directory fournit l’accès aux données administratives que les systèmes UNIX conservent généralement dans des fichiers de configuration, ce qui requiert un travail de maintenance plus méticuleux (certains systèmes UNIX reposent toujours sur des fichiers de configuration). Open Directory consolide ces données, puis les répartit pour faciliter les accès comme la maintenance. Domaine de répertoire Gestionnaire de groupe de travail Open DirectoryChapitre 1 Concepts de service de répertoire 17 Consolidation des données Depuis des années, les systèmes UNIX stockent les informations administratives dans une série de fichiers située dans le répertoire “/etc”. Ce schéma exige que chaque ordinateur UNIX dispose de sa propre série de fichiers. Ainsi, les processus exécutés sur un ordinateur UNIX lisent ses fichiers, lorsqu’ils ont besoin d’informations administratives. Si vous maîtrisez l’environnement UNIX, vous connaissez sans aucun doute les fichiers du répertoire /etc : group, hosts, hosts.eq, master.passwd et bien d’autres. Ainsi, un processus UNIX ayant besoin d’un mot de passe d’utilisateur consultera le fichier /etc/ master.passwd. Le fichier /etc/master.passwd contient un enregistrement pour chaque compte d’utilisateur. Un autre processus UNIX nécessitant des informations sur les groupes utilise plutôt le fichier /etc/group. Open Directory consolide les informations administratives, ce qui simplifie les interactions entre les processus et les données administratives qu’ils créent et utilisent. Processus UNIX /etc/master.passwd /etc/hosts /etc/group Processus Mac OS X Open Directory18 Chapitre 1 Concepts de service de répertoire Les processus n’ont désormais plus besoin de savoir où et comment les données administratives sont stockées. Open Directory s’occupe d’obtenir ces données pour leur compte. Si un processus doit connaître l’emplacement du répertoire de départ d’un utilisateur, il fait simplement en sorte qu’Open Directory obtienne cette information. Open Directory localise les informations recherchées, puis les renvoie, évitant ainsi au processus tous les détails concernant le stockage des informations. Si vous avez configuré Open Directory de façon à accéder aux données administratives dans plusieurs domaines de répertoire, Open Directory les consulte automatiquement en cas de besoin. Certaines des données stockées dans un domaine de répertoire sont identiques à celles stockées dans les fichiers de configuration UNIX. Ainsi, le mot de passe crypté, l’emplacement du répertoire de départ, le nom réel, l’identifiant d’utilisateur et de groupe (tous stockés dans les enregistrements d’utilisateurs d’un domaine de répertoire) possèdent des entrées correspondantes dans le fichier standard /etc/ passwd. Toutefois, un domaine de répertoire stocke beaucoup d’informations supplémentaires pour gérer des fonctions propres à Mac OS X comme la prise en charge de la gestion d’ordinateurs clients Mac OS X. Répartition des données Autre caractéristique des fichiers de configuration UNIX, les données administratives qu’ils contiennent sont disponibles uniquement sur l’ordinateur sur lequel elles sont stockées. Chaque ordinateur comporte donc ses propres fichiers de configuration UNIX. Avec les fichiers de configuration UNIX, tout ordinateur sur lequel un utilisateur envisage de travailler doit posséder les réglages du compte de cet utilisateur. De manière plus générale, tout ordinateur doit donc posséder les réglages des comptes des utilisateurs autorisés à les utiliser. Pour configurer les réglages de réseau d’un ordinateur, l’administrateur doit se déplacer jusqu’à cet ordinateur, puis entrer directement l’adresse IP et toutes les informations identifiant cet ordinateur sur le réseau. Domaine de répertoire Processus Mac OS X Domaine de répertoire Open DirectoryChapitre 1 Concepts de service de répertoire 19 De même, lorsque des informations sur un utilisateur ou le réseau doivent être modifiées dans des fichiers de configuration UNIX, l’administrateur doit apporter ces modifications sur l’ordinateur sur lequel sont situés ces fichiers. Certains changements, comme les réglages de réseau, nécessitent que l’administrateur procède aux mêmes opérations sur plusieurs ordinateurs. Cette approche devient de plus en plus compliquée alors que les réseaux gagnent en taille et en complexité. Open Directory résout ce problème en vous permettant de stocker des données administratives dans un domaine de répertoire qui peut être géré par un administrateur réseau à partir d’un emplacement unique. Open Directory vous permet de répartir ces informations, afin qu’elles soient accessibles en réseau pour tous les ordinateurs qui en ont besoin et pour l’administrateur qui les gère. Utilisation des données des répertoires Open Directory permet de regrouper et de gérer aisément les informations sur le réseau dans un domaine de répertoire, mais ces informations n’ont de valeur que si les processus du logiciel système et des applications exécutés sur les ordinateurs du réseau y accèdent réellement. Voici quelques exemples d’utilisation des données de répertoire par le logiciel système et les applications Mac OS X : Administrateur système Utilisateurs Domaine de répertoire Open Directory20 Chapitre 1 Concepts de service de répertoire • Ouverture de session : comme nous l’avons déjà mentionné, le Gestionnaire de groupe de travail peut créer des enregistrements d’utilisateurs dans un domaine de répertoire et ces enregistrements peuvent servir à authentifier des utilisateurs ouvrant une session sur des ordinateurs Mac OS X et Windows. Lorsqu’un utilisateur saisit un nom et un mot de passe dans la fenêtre d’ouverture de session Mac OS X, le processus d’ouverture de session demande à Open Directory d’authentifier ce nom et ce mot de passe. Open Directory utilise le nom pour trouver l’enregistrement du compte de l’utilisateur dans un domaine de répertoire et valide ensuite le mot de passe à l’aide d’informations supplémentaires fournies par l’enregistrement de l’utilisateur. • Accès aux dossiers et aux fichiers : une fois qu’il a ouvert une session, l’utilisateur peut accéder aux dossiers et aux fichiers. Mac OS X utilise alors une autre donnée de l’enregistrement d’utilisateur, l’identifiant d’utilisateur (UID), pour déterminer si cet utilisateur dispose d’autorisations suffisantes pour accéder à un fichier ou un dossier. Lorsqu’un utilisateur accède à un dossier ou à un fichier, le système de fichiers compare son identifiant à celui affecté au dossier ou au fichier. S’ils s’avèrent identiques, le système de fichiers octroie à l’utilisateur des autorisations de possesseur (en règle générale, des autorisations en lecture et écriture). S’ils s’avèrent différents, l’utilisateur n’obtient aucune autorisation de possesseur. • Répertoires de départ : chaque enregistrement d’utilisateur d’un domaine de répertoire stocke l’emplacement du répertoire de départ de l’utilisateur concerné, également appelé “dossier de départ”. Il s’agit de l’endroit où sont stockés les fichiers, dossiers et préférences de l’utilisateur Le répertoire de départ d’un utilisateur peut être situé sur l’ordinateur sur lequel il travaille ou sur un serveur de fichiers de réseau. • Montage automatique de points de partage : les points de montage peuvent être configurés pour le montage automatique (ils apparaissent automatiquement) dans le dossier /Network (le globe Réseau) des fenêtres du Finder des ordinateurs clients. Les informations concernant ces points de partage à monter automatiquement sont stockées dans un domaine de répertoire. Les points de partage sont des dossiers, des disques ou des partitions de disque rendus accessibles sur le réseau. • Réglage des comptes de messagerie : chaque enregistrement d’utilisateur d’un domaine de répertoire indique si l’utilisateur concerné dispose du service de messagerie et, le cas échéant, spécifie les protocoles de courrier à utiliser, le mode de présentation des messages entrants, l’activation éventuelle d’une alerte en cas de réception de message, etc. • Utilisation des ressources : les quotas de disque, d’impression et de courrier peuvent être stockés dans chaque enregistrement d’utilisateur d’un domaine de répertoire. • Informations sur les clients gérés : l’administrateur peut gérer l’environnement Mac OS X des utilisateurs dont les comptes sont stockés dans un domaine de répertoire. L’administrateur choisit les réglages de préférences imposés qui sont stockés dans le domaine de répertoire et qui sont prioritaires par rapport aux préférences personnelles des utilisateurs.Chapitre 1 Concepts de service de répertoire 21 • Gestion de groupes : outre des enregistrements d’utilisateurs, un domaine de répertoire contient également des enregistrements de groupes. Chaque enregistrement de groupe affecte tous les utilisateurs membres de ce groupe. Les informations contenues dans les enregistrements de groupes indiquent les réglages des préférences des membres. Les enregistrements de groupe permettent également de déterminer l’accès aux fichiers, aux dossiers et aux ordinateurs. Au sein d’un domaine de répertoire Les informations contenues dans un domaine de répertoire sont organisées en types d’enregistrements, qui constituent des catégories spécifiques d’enregistrements, telles qu’utilisateurs, ordinateurs et montage. Un domaine de répertoire peut contenir un nombre quelconque d’enregistrements, quel que soit leur type. Chaque enregistrement est constitué d’un ensemble d’attributs et chaque attribut comporte une ou plusieurs valeurs. Si vous imaginez un type d’enregistrement comme une feuille de calcul dédiée à une certaine catégorie d’informations, les enregistrements sont alors les lignes de la feuille, les attributs sont les colonnes et chaque cellule contient une ou plusieurs valeurs. Si, par exemple, vous définissez un utilisateur par le biais du Gestionnaire de groupe de travail, vous créez alors un enregistrement d’utilisateur (un enregistrement de type utilisateur). Les réglages définis pour cet utilisateur (son nom abrégé, son nom complet, l’emplacement de son répertoire de départ, etc.) deviennent des valeurs des attributs compris dans l’enregistrement. L’enregistrement d’utilisateur comme les valeurs de ses attributs sont stockés dans un domaine de répertoire. Dans certains services de répertoire tels LDAP et Active Directory, les types d’enregistrements sont nommés classes d’objets, ou simplement classes, et les enregistrements sont nommés objets. Chaque classe (ou type d’enregistrement) est un ensemble de règles définissant des objets (ou enregistrements) similaires en spécifiant les attributs obligatoires et facultatifs qu’un enregistrement de cette classe doit posséder. Ainsi, la classe inetOrgPerson définit les objets contenant des attributs d’utilisateur. La classe inetOrgPerson est une classe LDAP standard définie par RFC 2798. D’autres classes et attributs LDAP standard sont définis par RFC 2307. L’ensemble des attributs et des types d’enregistrements (ou classes d’objets) définissent la structure des informations d’un domaine de répertoire. Cette structure est appelée schéma du domaine de répertoire. Domaines de répertoires locaux et partagés L’emplacement de stockage des informations concernant les utilisateurs et autres données administratives nécessaires à votre serveur est déterminé par le fait que ces données doivent parfois être partagées. Ces informations peuvent être stockées dans le domaine de répertoire local du serveur ou dans un domaine de répertoire partagé.22 Chapitre 1 Concepts de service de répertoire À propos du domaine de répertoire local Tout ordinateur Mac OS X dispose d’un domaine de répertoire local. Les données administratives contenues dans ce domaine local sont visibles uniquement par les applications et le logiciel système exécutés sur l’ordinateur hébergeant le domaine en question. Il s’agit du premier domaine consulté lorsque l’utilisateur ouvre une session ou exécute certaines opérations nécessitant des données stockées dans un domaine de répertoire. Lorsqu’un utilisateur ouvre une session sur un ordinateur Mac OS X, Open Directory recherche l’enregistrement de cet utilisateur dans le domaine de répertoire local de l’ordinateur. S’il le trouve (et si l’utilisateur a tapé un mot de passe correct), la connexion se poursuit et l’utilisateur a alors accès à l’ordinateur. Après l’ouverture de session, l’utilisateur peut choisir “Se connecter à un serveur” dans le menu Aller, puis se connecter à un serveur Mac OS X Server pour accéder à un service de fichiers. Dans ce cas, Open Directory recherche sur le serveur l’enregistrement de cet utilisateur dans le domaine de répertoire local du serveur. Si ce domaine contient cet enregistrement (et si l’utilisateur a tapé un mot de passe correct), le serveur octroie à l’utilisateur l’accès aux services de fichiers. Lorsque vous configurez pour la première fois un ordinateur Mac OS X, son domaine de répertoire local est automatiquement créé et rempli avec des enregistrements. Par exemple, un enregistrement d’utilisateur est créé pour l’utilisateur qui s’est chargé de l’installation. Il contient le nom d’utilisateur et le mot de passe saisis au cours de la configuration, ainsi que d’autres informations telles que l’identifiant unique de l’utilisateur et l’emplacement de son répertoire de départ. À propos des domaines de répertoires partagés Même si sur tout ordinateur Mac OS X, Open Directory peut stocker des données administratives dans le domaine de répertoire local de l’ordinateur, son atout majeur est de permettre à plusieurs ordinateurs Mac OS X de partager des données administratives en les stockant dans des domaines de répertoires partagés. Lorsqu’un ordinateur est configuré pour utiliser un domaine partagé, toutes les données administratives contenues dans ce domaine sont également visibles par les applications et le logiciel système de cet ordinateur. Domaine de réper- toire local Domaine de réper- toire local Ouverture de session vers Mac OS X Connexion au serveur Mac OS X pour accéder à un service de fichiersChapitre 1 Concepts de service de répertoire 23 Si Open Directory ne trouve pas l’enregistrement d’un utilisateur dans le domaine local d’un ordinateur Mac OS X, il peut effectuer une recherche dans tous les domaines partagés auxquels cet ordinateur a accès. Dans l’exemple suivant, l’utilisateur peut accéder aux deux ordinateurs, car le domaine partagé, accessible à partir des deux ordinateurs, contient un enregistrement pour cet utilisateur. Les domaines partagés se trouvent généralement sur des serveurs parce que les informations de domaines de répertoires contiennent des informations extrêmement importantes telles les données d’authentification des utilisateurs. L’accès aux serveurs est généralement très restreint pour protéger les données qu’ils contiennent. En outre, les données de répertoires doivent demeurer disponibles. Les serveurs disposent souvent de fonctions matérielles supplémentaires qui augmentent leur fiabilité et ils bénéficient habituellement de dispositifs d’alimentation électrique sans interruption. Domaine de répertoire partagé Domaine de répertoire local Domaine de répertoire local Ouverture de session vers Mac OS X Connexion à Mac OS X Server pour accéder à un service de fichiers 24 Chapitre 1 Concepts de service de répertoire Les répertoires partagés peuvent également être employés pour empêcher certains utilisateurs d’accéder à certaines ressources réseau. Ainsi, les infographistes d’une entreprise peuvent avoir accès à des machines très performantes alors que le personnel du centre de reprographie peut se contenter d’un équipement standard. Vous pouvez limiter l’accès aux deux types d’ordinateurs en installant les enregistrements d’utilisateurs dans deux domaines de répertoires partagés. L’un de ces domaines peut contenir les enregistrements des utilisateurs qui travaillent sur les ordinateurs hautes performances, tandis que l’autre peut accueillir les enregistrements des utilisateurs qui travaillent sur les ordinateurs normaux. Plutôt que de configurer individuellement l’accès de chaque utilisateur à chaque ordinateur, vous pouvez utiliser le Gestionnaire de groupe de travail pour créer tous les enregistrements d’utilisateurs dans les deux domaines partagés : Infographie et Repro. Si un utilisateur ouvre une session sur un ordinateur hautes performances, c’est un enregistrement d’utilisateur du domaine de répertoire Infographie qui sert à l’authentifier. S’il ouvre une session sur un ordinateur normal, c’est un enregistrement d’utilisateur du domaine de répertoire Repro qui sert à l’authentifier. Un utilisateur dont l’enregistrement se trouve dans le répertoire Repro ne pourra pas ouvrir de session sur un ordinateur hautes performances et inversement pour un utilisateur dont l’enregistrement se trouve dans le répertoire Infographie. Domaine de répertoire Repro Domaine de répertoire Infographie Infographistes Personnel du centre de reprographieChapitre 1 Concepts de service de répertoire 25 Si vous souhaitez que certains utilisateurs aient accès à tous les ordinateurs, vous pouvez créer leurs enregistrements dans un autre domaine de répertoire partagé auquel tous les ordinateurs peuvent accéder. Domaine de répertoire Repro Domaine de répertoire de l’entreprise Domaine de répertoire Infographie Infographistes Personnel du centre de reprographie26 Chapitre 1 Concepts de service de répertoire Données partagées dans des domaines de répertoires existants Certaines organisations (les universités ou les multinationales par exemple) conservent les informations sur leurs utilisateurs et d’autres données administratives dans des domaines de répertoires situés sur des serveurs UNIX ou Windows. Open Directory peut être configuré pour effectuer une recherche dans ces domaines non-Apple aussi bien que dans les domaines Open Directory partagés de systèmes Mac OS X Server. L’ordre dans lequel Mac OS X effectue des recherches dans les domaines de répertoires est configurable. La politique de recherche détermine l’ordre dans lequel Mac OS X effectue les recherches dans les domaines de répertoires. Le prochain chapitre traite des politiques de recherche. Accès aux services de répertoires Open Directory peut accéder aux domaines de répertoires pour les types suivants de services de répertoires : • Protocole LDAP(Lightweight Directory Access Protocol), standard ouvert couramment employé dans les environnements mixtes et qui constitue également le service de répertoire natif des répertoires partagés dans Mac OS X Server version 10.3. • NetInfo, le service de répertoire hérité de Mac OS X et de Mac OS X Server • Active Directory, le service de répertoire des serveurs Microsoft Windows 2000 et 2003 • Network Information System (NIS), service de répertoire utilisé par de nombreux serveurs UNIX • Fichiers plats BSD, service de répertoire hérité des systèmes UNIX Utilisateur Mac OS 9 Utilisateur Mac OS X Utilisateur Windows Mac OS X Server Répertoire partagé Serveur Windows Répertoire local Répertoire local Domaine Active DirectoryChapitre 1 Concepts de service de répertoire 27 Détection de services de réseau Open Directory offre bien plus que des données administratives stockées dans des répertoires. Il permet d’obtenir des informations sur les services disponibles sur le réseau. Open Directory est, par exemple, en mesure de fournir des informations sur les serveurs de fichiers accessibles. Open Directory peut détecter des services de réseau, afin de faire connaître leur existence et leur emplacement. Pour leur part, les services s’identifient au moyen de protocoles standard. Open Directory accepte les protocoles de détection de services suivants : • RendezVous, protocole Apple qui utilise le DNS en multidiffusion pour la détection des services réseau tels que les services de fichiers, d’impression, de “chat”, de partage de musique, etc. • AppleTalk, protocole hérité pour la détection de services réseau tels que les services de fichiers, d’impression, etc. • SLP (Service Location Protocol), standard ouvert de détection de services de fichiers et d’impression • Server Message Block (SMB), protocole utilisé par Windows pour les services de fichiers, d’impression et autres En fait, Open Directory peut fournir des informations sur les services de réseau, aussi bien à partir des protocoles de détection de services que des domaines de répertoires. Pour ce faire, Open Directory demande simplement à toutes ses sources le type d’information exigé par un processus Mac OS X. Les sources disposant du type d’information demandé le fournissent à Open Directory qui recueille toutes les informations fournies et les transmet au processus Mac OS X qui les a demandées. Serveur de fichiers Serveur de fichiers Open Directory28 Chapitre 1 Concepts de service de répertoire Si Open Directory recherche par exemple des informations sur les serveurs de fichiers, ceux présents sur le réseau répondent via les protocoles de détection de services avec leurs propres informations. Un domaine de répertoire contenant des informations relativement statiques sur certains serveurs de fichiers répond également à cette requête. Open Directory collecte alors toutes les informations provenant des protocoles de détection de services et des domaines de répertoires. Dans le cas où Open Directory recherche des informations sur un utilisateur, les protocoles de détection de services ne sont pas en mesure de répondre, car ils ne disposent d’aucune information concernant les utilisateurs (en théorie, AppleTalk, Rendezvous, SMB et SLP pourraient fournir des informations sur les utilisateurs, mais ils ne disposent en réalité d’aucune information à fournir sur ces derniers). Les informations collectées par Open Directory proviennent donc d’autres sources, les domaines de répertoires. Serveur de fichiers Serveur de fichiers Domaine de répertoire Open Directory2 29 2 Politiques de recherche Open Directory Chaque ordinateur dispose d’une politique de recherche qui spécifie un ou plusieurs domaines de répertoires et l’ordre dans lequel Open Directory y effectue ses recherches. Tout ordinateur Mac OS X possède un domaine de répertoire local et peut aussi accéder à des domaines de répertoires partagés. Rien n’interdit aux domaines de répertoires de disposer d’enregistrements interchangeables. Par exemple, deux domaines de répertoires peuvent avoir des enregistrements d’utilisateurs portant le même nom mais présentant d’autres différences. Par conséquent, chaque ordinateur Mac OS X a besoin d’une politique pour résoudre les conflits potentiels entre enregistrements équivalents mais pas identiques. Chaque ordinateur Mac OS X a une politique de recherche qui spécifie les domaines de répertoires auxquels Open Directory peut accéder, comme le répertoire local de l’ordinateur et un répertoire partagé particulier. La politique de recherche spécifie également l’ordre dans lequel Open Directory accède aux domaines de répertoires. Open Directory recherche tour à tour dans chaque domaine de répertoire et s’arrête lorsqu’il trouve un élément correspondant. Ainsi, Open Directory stoppe la recherche d’un enregistrement d’utilisateur lorsqu’il trouve un enregistrement dont le nom d’utilisateur correspond au nom recherché. Niveaux de politique de recherche Une politique de recherche peut inclure le répertoire local seul, le répertoire local et un répertoire partagé ou le répertoire local et plusieurs répertoires partagés. Sur un réseau comportant un répertoire partagé, plusieurs ordinateurs accèdent généralement au répertoire partagé. Cette organisation est une structure arborescente, le répertoire partagé étant situé au sommet et les répertoires locaux se trouvant en bas. 30 Chapitre 2 Politiques de recherche Open Directory Politique de recherche de répertoire local La politique de recherche la plus simple se compose uniquement du répertoire local d’un ordinateur. Dans ce cas, Open Directory recherche les données d’utilisateur et autres données administratives uniquement dans le domaine de répertoire local de chaque ordinateur. Si un serveur du réseau héberge un répertoire partagé, Open Directory n’y recherche pas d’informations d’utilisateur ou de données administratives car le répertoire partagé ne fait pas partie de la politique de recherche de l’ordinateur. Politiques de recherche à deux niveaux Si un des serveurs du réseau héberge un répertoire partagé, tous les ordinateurs du réseau peuvent inclure le répertoire partagé dans leurs politiques de recherche. Dans ce cas, Open Directory recherche les informations d’utilisateur et autres données administratives en commençant par le répertoire local. Si Open Directory ne trouve pas les informations dont il a besoin dans le répertoire local, il va chercher dans le répertoire partagé. Domaine de répertoire local Domaine de répertoire local 1 Politique de recherche Domaine de répertoire local Domaine de répertoire local Domaine de répertoire partagé 1 2 Politique de rechercheChapitre 2 Politiques de recherche Open Directory 31 Voici un exemple d’utilisation de politique de recherche à deux niveaux : Chaque classe (français, mathématiques, sciences) possède son propre ordinateur. Les étudiants de chaque classe sont définis en tant qu’utilisateurs du domaine local de l’ordinateur de cette classe. Ces trois domaines locaux partagent un même domaine partagé, dans lequel sont définis tous les professeurs. Les professeurs, en tant que membres du domaine partagé, peuvent ouvrir une session sur n’importe quel ordinateur des classes. Les étudiants de chaque domaine local ne peuvent ouvrir une session que sur l’ordinateur où se trouve leur compte local. Ordinateur de la classe de français Ordinateur de la classe de mathématiques Ordinateur de la classe de sciences Domaine de répertoire local Domaine de répertoire local Domaine de répertoire local Domaine de répertoire partagé 1 2 Politique de recherche32 Chapitre 2 Politiques de recherche Open Directory Alors que les domaines locaux résident chacun sur leurs ordinateurs respectifs, un domaine partagé se trouve sur un serveur accessible à partir de l’ordinateur d’un domaine local. Lorsqu’un professeur ouvre une session sur n’importe quel ordinateur des trois classes et qu’il est introuvable dans le domaine local, Open Directory recherche dans le domaine partagé. Dans cet exemple, il existe un seul domaine partagé, mais des réseaux plus complexes peuvent en contenir davantage. Politiques de recherche multiniveaux Si plusieurs serveurs du réseau hébergent un répertoire partagé, les ordinateurs du réseau peuvent inclure plusieurs répertoires partagés dans leurs politiques de recherche. Comme dans les politiques de recherche plus simples, Open Directory recherche toujours les informations d’utilisateur et autres données administratives en commençant par le répertoire local. Si Open Directory ne trouve pas les informations dont il a besoin dans le répertoire local, il les recherche tour à tour dans chaque répertoire partagé, dans l’ordre spécifié par la politique de recherche. Mac OS X Server de l’école Ordinateur de la classe de français Ordinateur de la classe de mathématiques Répertoire partagé Ordinateur de la classe des sciences Répertoire local Répertoire local Répertoire local Répertoire local Chapitre 2 Politiques de recherche Open Directory 33 Voici un exemple d’utilisation de plusieurs répertoires partagés : Chaque classe (français, mathématiques, sciences) possède un serveur qui héberge un domaine de répertoire partagé. La politique de recherche de chaque ordinateur de classe spécifie le domaine local de cet ordinateur, le domaine partagé de la classe et le domaine partagé de l’école. Les étudiants de chaque classe sont définis en tant qu’utilisateurs du domaine partagé du serveur de cette classe, ce qui les autorise à ouvrir une session sur tout ordinateur de leur classe. Les professeurs sont définis dans le domaine partagé du serveur de l’école, ce qui les autorise à ouvrir une session sur n’importe quel ordinateur de classe. Il est possible d’affecter la totalité d’un réseau ou juste un groupe d’ordinateurs, en choisissant le domaine dans lequel seront définies les données administratives. Plus le niveau des données administratives dans une politique de recherche est élevé, moins il est nécessaire de les modifier au fur et à mesure de l’évolution des utilisateurs et des ressources système. Pour les administrateurs de services de répertoires, l’aspect le plus important est sans doute la planification des domaines de répertoires et des politiques de recherche. Ces éléments doivent refléter les ressources que vous souhaitez partager, les utilisateurs entre lesquels vous souhaitez les partager et même le mode de gestion de vos données de répertoire. Politiques de recherche automatiques Les ordinateurs Mac OS X sont initialement configurés pour régler automatiquement leurs politiques de recherche. Une politique de recherche automatique se compose de trois éléments, dont deux sont facultatifs : • Domaine de répertoire local • Domaines NetInfo partagés (facultatif) • Répertoire LDAP partagé (facultatif) Domaine de répertoire de l’école Domaine de répertoire pour les sciences Domaine de répertoire pour les mathématiques Domaine de répertoire pour le français 1 2 3 Politique de recherche34 Chapitre 2 Politiques de recherche Open Directory La politique de recherche automatique d’un ordinateur commence toujours par son domaine de répertoire local. Lorsqu’un ordinateur Mac OS X n’est pas connecté à un réseau, l’ordinateur recherche les comptes d’utilisateur et autres données administratives uniquement dans son domaine de répertoire local. La politique de recherche automatique examine ensuite la liaison entre les domaines NetInfo partagés. Le domaine local de l’ordinateur peut être lié à un domaine NetInfo partagé qui, à son tour, peut être lié à un autre domaine NetInfo partagé, etc. La liaison NetInfo, si elle existe, constitue la seconde partie sur laquelle porte la politique de recherche automatique. Pour plus d’informations, consultez la section “À propos de la liaison NetInfo” à la page 122. Enfin, un ordinateur doté d’une politique de recherche automatique peut se lier à un répertoire LDAP partagé. Lorsque l’ordinateur démarre, il peut obtenir l’adresse d’un serveur de répertoire LDAP à partir d’un service DHCP. Le service DHCP de Mac OS X Server peut fournir une adresse de serveur LDAP de même qu’il fournit les adresses de serveurs DNS et d’un routeur. (Un service DHCP non-Apple peut également fournir une adresse de serveur LDAP ; cette caractéristique est connue sous le nom de DHCP option 95.) Pour que le service DHCP de Mac OS X Server fournisse à ses clients une adresse de serveur LDAP particulière pour leurs politiques de recherche automatiques, vous devez configurer les options LDAP du service DHCP. Pour obtenir plus d’instructions, reportezvous au chapitre DHCP du guide d’administration des services réseau. Pour qu’un ordinateur Mac OS X obtienne l’adresse d’un serveur LDAP à partir du service DHCP : • L’ordinateur doit être configuré pour utiliser une politique de recherche automatique. Mac OS X versions 10.2 et ultérieures est initialement configuré pour utiliser une politique de recherche automatique. Pour plus de détails, consultez la rubrique “Configuration des politiques de recherche d’authentification et de contacts” à la page 97. • Les préférences Réseau de l’ordinateur doivent être configurées pour utiliser DHCP ou DHCP avec une adresse IP manuelle. Mac OS X est initialement configuré pour utiliser DHCP. Pour plus d’informations sur les réglages des préférences Réseau, consultez l’Aide Mac. Chapitre 2 Politiques de recherche Open Directory 35 Une politique de recherche automatique offre confort et souplesse. Il s’agit de l’option recommandée, particulièrement pour les ordinateurs mobiles. Lorsqu’un ordinateur doté d’une politique de recherche automatique est déconnecté du réseau, connecté à un autre réseau ou placé sur un autre sous-réseau, la politique de recherche automatique peut changer. Si l’ordinateur est déconnecté du réseau, il utilise son domaine de répertoire local. Si l’ordinateur est connecté à un réseau ou sous-réseau différent, il peut automatiquement changer sa liaison NetInfo et obtenir une adresse de serveur LDAP à partir du service DHCP du sous-réseau actuel. Avec une politique de recherche automatique, il n’est pas nécessaire de reconfigurer un ordinateur afin qu’il puisse obtenir les services de répertoires et d’authentification dans son nouvel emplacement. Politiques de recherche personnalisées Si vous ne voulez pas qu’un ordinateur Mac OS X utilise la politique de recherche automatique fournie par DHCP, vous pouvez définir une politique de recherche personnalisée pour cet ordinateur. Une politique de recherche personnalisée peut, par exemple, spécifier qu’un domaine Active Directory doit être consulté lorsqu’un enregistrement d’utilisateur ou d’autres données administratives sont introuvables dans les autres domaines de répertoires. Domaine Active Directory 1 2 3 4 Politique de recherche Domaine de répertoire de l’école Domaine de répertoire pour les sciences Domaine de répertoire pour les mathématiques Domaine de répertoire pour le français36 Chapitre 2 Politiques de recherche Open Directory Une politique de recherche personnalisée peut ne pas fonctionner à différents endroits du réseau car elle repose sur la disponibilité de domaines de répertoires particuliers. Par conséquent, une politique de recherche personnalisée n’est habituellement pas le meilleur choix pour un ordinateur mobile. Dans ce cas, une politique de recherche automatique ou exclusivement locale est généralement plus fiable. Politiques de recherche d’authentification et de contacts Un ordinateur Mac OS X possède en réalité plusieurs politiques de recherche. Il possède une politique de recherche pour trouver des informations d’authentification et une autre politique de recherche pour trouver des informations de contact. Open Directory utilise la politique de recherche d’authentification pour localiser et récupérer les données d’authentification d’utilisateur et d’autres données administratives à partir des domaines de répertoires. Il utilise la politique de recherche de contacts pour localiser et récupérer les noms, adresses et autres informations de contact à partir des domaines de répertoires. Le Carnet d’adresses de Mac OS X utilise ces informations de contact. D’autres applications peuvent être programmées pour les exploiter. Chaque politique de recherche peut être automatique, personnalisée ou exclusivement locale.3 37 3 Authentification d’utilisateur à l’aide d’Open Directory Open Directory offre plusieurs options d’authentification des utilisateurs dont les comptes sont enregistrés dans les domaines de répertoires de Mac OS X Server, y compris Kerberos et les nombreuses autres méthodes d’authentification requises par les services de réseau. Open Directory peut authentifier les utilisateurs à l’aide : • d’une signature unique, avec le centre de distribution de clés Kerberos intégré à Mac OS X Server ; • d’un mot de passe enregistré de manière sûre dans la base de données du serveur de mot de passe Open Directory ; • d’un mot de passe “shadow” (caché) enregistré sous la forme de plusieurs empreintes, y compris NT et LAN Manager, dans un fichier auquel seul l’utilisateur racine a accès ; • d’un mot de passe crypté enregistré directement dans le compte de l’utilisateur, pour une compatibilité descendante avec les systèmes hérités ; • d’un serveur LDAP non-Apple pour une authentification par liaison LDAP. De plus, Open Directory permet de configurer des politiques de mot de passe spécifiques pour chaque utilisateur, telles que l’arrivée à expiration automatique et la longueur minimale d’un mot de passe. (Les politiques de mot de passe ne s’appliquent pas aux mots de passe shadow, aux mots de passe cryptés ni à l’authentification par liaison LDAP.) Ce chapitre décrit les options d’authentification disponibles dans Mac OS X Server. 38 Chapitre 3 Authentification d’utilisateur à l’aide d’Open Directory Authentification et autorisation Les services tels que la fenêtre de connexion et le service de fichiers Apple nécessitent une authentification de l’utilisateur à partir d’Open Directory. L’authentification fait partie du processus par lequel un service détermine s’il doit accorder à un utilisateur l’accès à une ressource. Généralement, ce processus nécessite également une autorisation. L’authentification prouve l’identité de l’utilisateur, tandis que l’autorisation détermine ce que l’utilisateur authentifié a le droit de faire. Un utilisateur s’authentifie généralement en fournissant un nom et un mot de passe valides. Un service peut alors autoriser l’utilisateur authentifié à accéder à des ressources spécifiques. Par exemple, le service de fichiers autorise un accès complet aux dossiers et fichiers dont un utilisateur authentifié est le possesseur. Lorsque vous utilisez une carte de crédit, vous faites l’expérience de processus d’authentification et d’autorisation. Le commerçant vous identifie (authentification) en comparant votre signature sur la facture avec celle qui figure au dos de votre carte de crédit. Il soumet alors votre numéro de carte de crédit à la banque qui autorise le paiement en fonction du solde de votre compte et d’une limite de crédit autorisé. Open Directory authentifie les comptes d’utilisateur mais n’autorise l’accès à aucun service. Après avoir été authentifié par Open Directory, la fenêtre de connexion peut vous donner l’autorisation de vous connecter, puis le service de fichiers peut vous autoriser l’accès à certains dossiers et fichiers, le service de courrier, l’accès à vos messages, etc. Détermination de l’option d’authentification à utiliser Pour authentifier un utilisateur, Open Directory doit d’abord déterminer l’option d’authentification à utiliser : Kerberos, serveur de mot de passe Open Directory, mot de passe shadow, mot de passe crypté ou liaison LDAP. Le compte de l’utilisateur contient les informations spécifiant l’option d’authentification à utiliser. Ces informations portent le nom d’attribut d’autorité d’authentification. Open Directory se sert du nom fourni par l’utilisateur pour trouver le compte de l’utilisateur dans le domaine de répertoire. Open Directory consulte alors l’attribut d’autorité d’authentification présent dans le compte de l’utilisateur pour connaître l’option d’authentification à appliquer. L’attribut d’autorité d’authentification n’est pas limité à une seule option d’authentification possible. Un attribut d’autorité d’authentification peut, par exemple, indiquer qu’un utilisateur peut être authentifié à la fois par Kerberos et par le serveur de mots de passe Open Directory. Chapitre 3 Authentification d’utilisateur à l’aide d’Open Directory 39 Il n’est pas nécessaire que le compte d’un utilisateur contienne absolument un attribut d’autorité d’authentification. Dans ce cas, Mac OS X Server suppose qu’un mot de passe crypté est enregistré dans le compte d’utilisateur. Ainsi, les comptes d’utilisateur créés à l’aide de la version 10.1 ou des versions antérieures de Mac OS X contiennent un mot de passe crypté mais pas d’attribut d’autorité d’authentification. Vous pouvez modifier un attribut d’autorité d’authentification d’un utilisateur en changeant le type de mot de passe dans la fenêtre Avancé du Gestionnaire de groupe de travail. Avec certains réglages de type de mot de passe, l’attribut d’autorité d’authentification spécifie plusieurs options d’authentification. Consultez le chapitre 6, “Gestion de l’authentification d’utilisateur” pour obtenir des instructions sur le réglage du type de mot de passe. Authentification Open Directory Lorsqu’un compte d’utilisateur dispose d’un type de mot de passe d’Open Directory, l’utilisateur peut être authentifié via Kerberos ou via un serveur de mot de passe Open Directory. Ni Kerberos ni le serveur de mot de passe Open Directory n’enregistrent le mot de passe dans le compte d’utilisateur. Kerberos et le serveur de mot de passe Open Directory enregistrent les mots de passe en dehors du domaine de répertoire et ne permettent en aucun leur lecture. Les mots de passe ne peuvent être que définis et vérifiés. Des utilisateurs malveillants peuvent tenter de se connecter via le réseau dans l’espoir d’accéder à Kerberos et au serveur de mot de passe Open Directory. L’examen de l’historique d’Open Directory permet de détecter ces tentatives d’accès infructueuses. (Consultez “Affichage des états et des historiques Open Directory” à la page 127.) Politiques de mot de passe Kerberos et le serveur de mot de passe Open Directory appliquent tous deux des politiques de mot de passe. Une politique de mot de passe d’utilisateur peut, par exemple, spécifier un délai d’expiration du mot de passe. Si, au moment où l’utilisateur se connecte, Open Directory constate que le mot de passe a expiré, l’utilisateur devra remplacer ce mot de passe. Open Directory pourra alors authentifier l’utilisateur. Les politiques de mot de passe peuvent désactiver un compte d’utilisateur à une date donnée, après un certain nombre de jours, après une période d’inactivité ou après un certain nombre de tentatives de connexion infructueuses. Elles peuvent aussi exiger que le mot de passe soit composé au minimum d’un certain nombre de caractères, qu’il contienne au moins une lettre ou un chiffre, qu’il soit différent du nom d’utilisateur, qu’il diffère des mots de passe précédemment choisis ou qu’il soit modifié régulièrement. Open Directory applique les mêmes règles de politique de mot de passe au serveur de mot de passe Open Directory et à Kerberos, sauf que Kerberos ne gère pas toutes les règles.40 Chapitre 3 Authentification d’utilisateur à l’aide d’Open Directory Les politiques de mot de passe n’affectent pas les comptes d’administrateur. Les administrateurs sont exclus des politiques de mot de passe car ils peuvent modifier ces politiques comme ils le souhaitent. De plus, l’application de politiques de mot de passe aux administrateurs les soumettrait à des attaques par saturation. Utilisateurs pouvant disposer de mots de passe Open Directory Tous les comptes d’utilisateur enregistrés sur un serveur doté de la version 10.3 de Mac OS X Server peuvent être configurés pour disposer d’un type de mot de passe Open Directory. Les comptes d’utilisateur du domaine de répertoire local du serveur peuvent également être configurés afin de disposer d’un type de mot de passe Open Directory. Si ce serveur héberge un domaine de répertoire partagé, les comptes d’utilisateur qui s’y trouvent peuvent également être configurés pour disposer d’un type de mot de passe Open Directory. Les utilisateurs qui doivent se connecter via la fenêtre de connexion de Mac OS X version 10.1 ou antérieure doivent être configurés pour utiliser des mots de passe cryptés. Le type de mot de passe n’a pas d’importance pour les autres services. Un utilisateur pourrait, par exemple, s’authentifier pour un service de fichiers Apple à l’aide d’un mot de passe Open Directory. Méthodes d’authentification du serveur de mot de passe Open Directory Le serveur de mot de passe Open Directory repose sur un standard connu sous le nom de SASL (Simple Authentification and Security Layer).Il s’agit d’un système d’authentification extensible qui permet au serveur de mot de passe Open Directory de gérer un ensemble de méthodes d’authentification d’utilisateurs réseau exigées par les services de courrier, de fichiers et autres de Mac OS X Server. Chaque service négocie avec le serveur de mot de passe Open Directory pour obtenir une méthode d’authentification avant d’échanger les références d’utilisateurs. Le serveur de mot de passe Open Directory gère des méthodes d’authentification qui ne nécessitent pas l’enregistrement d’un mot de passe en clair dans la base de données du serveur de mot de passe Open Directory. Seuls les mots de passe cryptés, appelés empreintes, sont enregistrés dans la base de données. Ces méthodes sont les suivantes : CRAM-MD5, DHX, Digest-MD5, MS-CHAPv2, SMB-NT et SMB-LAN Manager. Personne, pas même un administrateur ni un utilisateur racine, ne peut récupérer des mots de passe cryptés en les lisant dans la base de données. Un administrateur peut utiliser le Gestionnaire de groupe de travail pour définir le mot de passe d’un utilisateur, mais il ne peut lire aucun mot de passe d’utilisateur. De plus, le serveur de mot de passe Open Directory gère des méthodes d’authentification qui peuvent nécessiter l’enregistrement d’un mot de passe en clair dans la base de données d’authentification. Il s’agit des méthodes APOP et WebDAV-Digest. Chapitre 3 Authentification d’utilisateur à l’aide d’Open Directory 41 Remarque : si vous connectez la version 10.3 (ou version ultérieure) de Mac OS X Server à un domaine de répertoire de Mac OS X Server version 10.2 ou antérieure, notez bien que les utilisateurs définis dans l’ancien domaine de répertoire ne peuvent pas être authentifiés à l’aide de la méthode MS-CHAPv2. Cette méthode peut s’avérer nécessaire pour authentifier de manière sûre les utilisateurs du service VPN de la version 10.3 (ou ultérieure) de Mac OS X Server. Le serveur de mot de passe Open Directory de la version 10.3 de Mac OS X Server gère l’authentification MS-CHAPv2, alors que le serveur de mot de passe de la version 10.2 de Mac OS X Server ne la gère pas. Contenu de la base de données du serveur de mot de passe Open Directory Le serveur de mot de passe Open Directory tient à jour une base de données d’authentification distincte du domaine de répertoire de Mac OS X Server. Open Directory restreint strictement l’accès à la base de données d’authentification, tandis que toute personne connectée au réseau peut accéder au domaine de répertoire. Le serveur de mot de passe Open Directory conserve dans sa base de données d’authentification un enregistrement pour chaque compte d’utilisateur possédant un type de mot de passe Open Directory. Un enregistrement d’authentification inclut les éléments suivants : • L’identifiant de mot de passe de l’utilisateur (une valeur 128 bits attribuée lors de la création du mot de passe).Il est également enregistré dans l’enregistrement de l’utilisateur, dans le domaine de répertoire, et est utilisé comme clé d’accès à l’enregistrement d’utilisateur dans la base de données du serveur de mot de passe Open Directory. • Le mot de passe est enregistré soit sous une forme récupérable (en clair), soit sous forme d’empreinte (crypté). La forme varie en fonction de la méthode d’authentification. Un mot de passe récupérable est enregistré pour les méthodes d’authentification APOP et WebDAV. Pour toutes les autres méthodes, l’enregistrement se fait sous la forme d’un mot de passe crypté. Si aucune méthode d’authentification exigeant un mot de passe en clair n’est activée, la base de données d’authentification d’Open Directory enregistre les mots de passe sous forme cryptée uniquement. • Le nom abrégé de l’utilisateur (utilisé dans les messages d’historiques consultables dans Admin Serveur). • Des données de politique de mot de passe. Authentification Kerberos Kerberos est un protocole d’authentification en réseau développé par le MIT afin de fournir une authentification et des communications sûres en réseaux ouverts. Kerberos permet en outre l’authentification par signature unique (voir “Signature unique” à la page 44). 42 Chapitre 3 Authentification d’utilisateur à l’aide d’Open Directory Mac OS X et Mac OS X Server versions 10.2 et ultérieures gèrent Kerberos v5. Si votre réseau dispose déjà d’un centre de distribution de clés (KDC) Kerberos, vous pouvez configurer vos ordinateurs Mac OS X afin qu’ils l’utilisent pour l’authentification. Si un serveur doté de la version 10.3 de Mac OS X Server dispose d’un répertoire LDAP partagé, il dispose également d’un centre de distribution de clés Kerberos intégré. Ce centre peut authentifier tous les utilisateurs dont les comptes sont enregistrés dans un domaine de répertoire sur le serveur et dont le type de mot de passe est Open Directory. Le centre de distribution de clés intégré nécessite une configuration minimale. Les ordinateurs disposant de la version 10.3 (et versions ultérieures) de Mac OS X nécessitent une configuration minimale pour utiliser le centre de distribution de clés Mac OS X Server afin d’authentifier les comptes d’utilisateur enregistrés sur le serveur. Services “kerberisés” Kerberos peut authentifier des utilisateurs pour les services suivants de Mac OS X Server : • Fenêtre de connexion • Service de courrier • FTP • service AFP • SSH Ces services ont été “kerberisés”. Seuls ces services peuvent utiliser Kerberos pour authentifier un utilisateur. Principaux et domaines Kerberos Les services kerberisés sont configurés pour authentifier les principaux connus d’un domaine Kerberos donné. Un domaine Kerberos peut être considéré comme une base de données ou un domaine d’authentification Kerberos spécifique contenant des données de validation pour les utilisateurs, les services et parfois les serveurs (tous appelés “principaux”). Par exemple, un domaine contient des clés secrètes de principaux qui résultent d’une fonction unidirectionnelle appliquée à des mots de passe. Les principaux de service sont généralement basés sur des secrets générés de façon aléatoire plutôt que sur des mots de passe. Des exemples de domaines et de noms principaux sont fournis ci-après. Vous remarquerez que les noms de domaines sont, par convention, en lettres capitales afin de les différencier des noms de domaines DNS : • Domaine : MONDOMAINE.EXEMPLE.COM • Utilisateur principal : smitty@MONDOMAINE.EXEMPLE.COM • Service principal : serveurafp/autrenom.exemple.com@MONDOMAINE.EXEMPLE.COMChapitre 3 Authentification d’utilisateur à l’aide d’Open Directory 43 Processus d’authentification Kerberos L’authentification Kerberos se fait en plusieurs étapes. Lors de la première étape, le client obtient des références servant à demander l’accès aux services kerberisés. Lors de la deuxième phase, le client requiert l’authentification pour un service donné. Lors de la dernière étape, le client présente les références au service. L’illustration suivante schématise ces activités. Remarquez que, sur ce schéma, le service et le client peuvent constituer soit la même entité (la fenêtre de connexion par exemple), soit deux entrées différentes (par exemple un client de courrier et le serveur de courrier). 1 Le client s’authentifie auprès d’un centre de distribution de clés Kerberos qui communique avec les domaines pour accéder aux données d’authentification. Ce n’est qu’à cette étape que les mots de passe et les informations de politique de mot de passe qui y sont associées doivent être vérifiés. 2 Le centre de distribution de clés délivre au client un ticket d’octroi de ticket, référence dont le client a besoin pour utiliser des services kerberisés. Ce ticket est valide pour une durée paramétrable, mais peut être annulé avant l’expiration du délai. Le ticket est placé en mémoire cache sur le client jusqu’à son expiration. 3 Le client contacte le centre de distribution de clés avec le ticket d’octroi de ticket lorsqu’il souhaite utiliser un service kerberisé donné. 4 Le centre délivre un ticket pour ce service. 5 Le client présente le ticket au service. 6 Le service vérifie si le ticket est valide. Si le ticket est valable, l’utilisation du service est accordée au client si tant est qu’il soit autorisé à bénéficier de ce service. (Kerberos ne fait qu’authentifier les clients, il ne les autorise pas à utiliser des services. Un serveur AFP, par exemple, doit consulter un compte d’utilisateur dans un domaine de répertoire pour obtenir l’identifiant d’utilisateur) Le cas échéant, le service utilise les informations du ticket pour récupérer des informations supplémentaires sur l’utilisateur à partir d’un domaine de répertoire. Sachez que le service n’a besoin de connaître aucune information de mot de passe ou de politique de mot de passe. Une fois qu’un ticket d’octroi de ticket a été obtenu, il est inutile de fournir des informations de mot de passe. Centre de distribution de clés Service kerberisé 1 2 3 4 5 6 Client44 Chapitre 3 Authentification d’utilisateur à l’aide d’Open Directory La notion de temps est très importante pour Kerberos. Si le client et le centre de distribution de clés ne sont pas synchronisés à quelques minutes près, le client ne réussira pas à s’authentifier avec le centre. Les informations concernant la date, l’heure et le fuseau horaire doivent être correctes sur le serveur du centre de distribution de clés et chez les clients. Il est recommandé qu’ils utilisent tous le même service d’horloge réseau pour que leurs horloges restent synchronisées. Pour plus d’informations sur Kerberos, rendez-vous sur le site Web MIT Kerberos : web.mit.edu/kerberos/www/index.html Signature unique Mac OS X Server utilise Kerberos pour l’authentification par signature unique évitant ainsi aux utilisateurs de saisir un nom et un mot de passe à chaque fois qu’ils souhaitent accéder à un service kerberisé. Avec la signature unique, un utilisateur fournit toujours un nom et un mot de passe dans la fenêtre de connexion. Par la suite, il n’a plus besoin de saisir un nom et un mot de passe pour le service de fichiers Apple, le service de courrier ou d’autres services faisant appel à l’authentification Kerberos. Pour tirer parti de la fonction de signature unique, les utilisateurs et les services doivent être configurés pour l’authentification Kerberos et utiliser le même serveur de centre de distribution de clés Kerberos. Les comptes d’utilisateur qui se trouvent dans un répertoire LDAP de Mac OS X Server 10.3, et qui possèdent un type de mot de passe Open Directory, utilisent le centre de distribution de clés intégré du serveur. Ces comptes d’utilisateur sont automatiquement configurés pour Kerberos et la signature unique. Les services kerberisés de ce serveur utilisent également le centre de distribution de clés intégré du serveur et sont automatiquement configurés pour la signature unique. Les autres serveurs doivent être configurés pour utiliser le centre de distribution de clés de Mac OS X Server. Les serveurs disposant de la version 10.3 de Mac OS X Server nécessitent seulement une configuration minimale pour utiliser le centre de distribution de clés intégré d’un autre serveur équipé de Mac OS X Server version 10.3. Mots de passe shadow et cryptés Les mots de passe shadow et cryptés ne dépendent ni de l’infrastructure de Kerberos, ni de celle du serveur de mot de passe Open Directory en ce qui concerne la validation du mot de passe. Ils transmettent tous deux une forme brouillée de mot de passe de l’utilisateur, ou empreinte, lorsqu’ils envoient le mot de passe via le réseau. Tous deux enregistrent également une forme brouillée du mot de passe, mais pas au même emplacement. Chapitre 3 Authentification d’utilisateur à l’aide d’Open Directory 45 Un mot de passe crypté est enregistré sous forme d’empreinte dans le compte d’utilisateur, rendant ce mot de passe relativement facile à capturer à partir d’un autre ordinateur du réseau. Cette stratégie, historiquement appelée authentification de base (Basic), est principalement compatible avec les logiciels qui nécessitent un accès direct aux enregistrements d’utilisateur. Par exemple, la version 10.1 (et les versions précédentes) de Mac OS X s’attendent à trouver un mot de passe crypté enregistré dans le compte d’utilisateur. Un mot de passe shadow est enregistré sous forme de plusieurs empreintes dans un fichier situé sur le même ordinateur que le domaine de répertoire accueillant le compte d’utilisateur. Etant donné que le mot de passe n’est pas enregistré dans le compte d’utilisateur, sa capture via le réseau s’avère difficile. Chaque mot de passe shadow d’utilisateur est enregistré dans un fichier différent, appelé fichier de mot de passe shadow. Seul le compte d’utilisateur racine est autorisé à lire ces fichiers. Seuls les comptes d’utilisateur qui sont enregistrés dans le répertoire local d’un ordinateur peuvent disposer d’un mot de passe shadow. Les comptes d’utilisateur qui sont enregistrés dans un répertoire partagé ne peuvent en bénéficier. La fonction primaire de hachage d’un mot de passe shadow est SHA-1. De plus, les empreintes NT et LAN Manager sont enregistrées dans le fichier de mot de passe shadow pour assurer la compatibilité descendante avec les services d’impression et de fichiers SMB de Windows. Ces empreintes peuvent être utilisées pour le partage de fichiers Windows à partir d’un ordinateur Mac OS X et pour l’authentification des services d’impression et de fichiers Windows fournis par Mac OS X Server. Les mots de passe shadow fournissent également une authentification cachée pour les comptes d’utilisateurs mobiles. Les mots de passe shadow et cryptés ne sont pas adaptés à tous les services. Certains services exigent des méthodes d’authentification gérées par Open Directory, telles que APOP, CRAM-MD5, Digest-MD5, MS-CHAPv2 et WebDAV-Digest. Pour une transmission sécurisée des mots de passe via un réseau, les mots de passe cryptés peuvent fonctionner avec la méthode d’authentification DHX. Les mots de passe shadow gèrent également NT et LAN Manager pour une authentification sûre via le réseau. L’authentification cryptée ne gère que les mots de passe d’une longueur maximale de huit octets (huit caractères ASCII) pour le mot de passe. Si un mot de passe plus long est saisi dans le compte d’un utilisateur, seuls les huit premiers octets sont utilisés pour la validation du mot de passe crypté. La limite de huit caractères ne s’applique pas aux mots de passe shadow. Avec ces derniers, les 128 premiers caractères servent à l’authentification NT et les 14 premiers caractères servent à l’authentification LAN Manager.46 Chapitre 3 Authentification d’utilisateur à l’aide d’Open Directory Cryptage des mots de passe shadow et cryptés dans les comptes d’utilisateur Les mots de passe shadow et cryptés ne sont pas enregistrés en clair ; ils sont dissimulés et rendus illisibles par le cryptage. Le procédé de cryptage d’un mot de passe shadow ou crypté consiste à introduire le mot de passe en clair, accompagné d’un nombre aléatoire, dans une fonction mathématique (appelée fonction de hachage unidirectionnelle). Une fonction de hachage unidirectionnelle génère toujours la même valeur cryptée à partir de données en entrée spécifiques, mais ne peut être utilisée pour recréer le mot de passe original à partir des données en sortie cryptées qu’elle génère. Pour valider un mot de passe à l’aide de la valeur cryptée, Mac OS X applique la fonction au mot de passe tapé par l’utilisateur et la compare à la valeur stockée dans le compte de l’utilisateur. Si les valeurs corroborent, le mot de passe est considéré valide. Différentes fonctions de hachage sont utilisées pour crypter des mots de passe shadow et cryptés. La fonction de cryptage UNIX standard est utilisée pour les mots de passe cryptés. En revanche, il est nécessaire d’utiliser plusieurs fonctions de hachage, y compris NT et LAN Manager, pour crypter les mots de passe shadow. Craquage des mots de passe lisibles Du fait que les mots de passe cryptés sont enregistrés directement dans les comptes d’utilisateur, ils sont susceptibles d’être craqués. Les comptes d’utilisateur d’un domaine de répertoire partagé sont ouvertement accessibles sur le réseau. N’importe quelle personne connectée au réseau et disposant de Gestionnaire de groupe de travail ou sachant utiliser les outils à lignes de commandes peut lire le contenu des comptes d’utilisateur, y compris les mots de passe qui y sont enregistrés. Un utilisateur malveillant ou un pirate informatique peut utiliser le Gestionnaire de groupe de travail ou les commandes UNIX pour copier les enregistrements d’utilisateur dans un fichier. Il peut transférer ce fichier vers un autre système afin d’utiliser différentes techniques permettant de trouver quels mots de passe non cryptés génèrent les mots de passe cryptés stockés dans les enregistrements d’utilisateur. Après avoir identifié un mot de passe, le pirate peut se connecter incognito avec un nom d’utilisateur et un mot de passe valides. Avec ce type d’attaque “hors ligne”, il n’est pas nécessaire d’effectuer plusieurs tentatives de connexion successives pour accéder à un système. Chapitre 3 Authentification d’utilisateur à l’aide d’Open Directory 47 Un moyen très efficace pour contrer le craquage de mots de passe consiste à utiliser de bons mots de passe. Les mots de passe doivent contenir des lettres, des chiffres et des symboles et former des combinaisons difficiles à deviner par les utilisateurs non autorisés. Les mots de passe ne doivent pas correspondre à de véritables mots. Les bons mots de passe peuvent inclure des chiffres et des symboles (tels que # ou $). Ils peuvent également être constitués des premières lettres de tous les mots d’une phrase donnée. Utilisez à la fois des lettres majuscules et minuscules. Remarque : les mots de passe shadow et Open Directory sont beaucoup moins vulnérables aux attaques hors ligne puisqu’ils ne sont pas enregistrés dans les enregistrements d’utilisateur. Les mots de passe shadow sont stockés dans des fichiers séparés, uniquement lisibles par une personne qui connaît le mot de passe de l’utilisateur racine (appelé aussi administrateur système). Les mots de passe Open Directory sont enregistrés de manière sûre dans le centre de distribution de clés Kerberos et dans la base de données du serveur de mot de passe Open Directory. Le mot de passe Open Directory d’un utilisateur ne peut être lu par d’autres utilisateurs, pas même par un utilisateur disposant d’autorisations d’administrateur pour l’authentification Open Directory. (Cet administrateur peut seulement modifier les mots de passe Open Directory et les politiques de mot de passe.) Authentification par liaison LDAP Pour les comptes d’utilisateur qui résident dans un répertoire LDAP sur un serveur non Apple, Open Directory tente d’utiliser l’authentification par liaison LDAP simple. Open Directory envoie au serveur de répertoire LDAP le nom et le mot de passe fournis par l’utilisateur en cours d’authentification. L’authentification est réussie si le serveur LDAP trouve un enregistrement d’utilisateur et un mot de passe correspondants. L’authentification par liaison LDAP simple est risquée par nature, puisque des mots de passe en clair sont transmis via le réseau. Cependant, vous pouvez rendre cette authentification plus sûre en configurant un accès au répertoire LDAP via le protocole SSL (Secure Sockets Layer). SSL sécurise l’accès en cryptant toutes les communications avec le répertoire LDAP.4 49 4 Planification Open Directory Tout comme l’installation électrique ou les canalisations d’un bâtiment, les services de répertoire d’un réseau doivent être planifiés à l’avance plutôt qu’improvisés au gré des circonstances. Le stockage d’informations dans des domaines de répertoires partagés améliore le contrôle du réseau, permet à un nombre plus important d’utilisateurs d’accéder aux informations et simplifie la gestion des informations. Toutefois, le niveau de contrôle et de convivialité dépend de l’effort consacré à la planification de vos domaines partagés. L’objectif de la planification d’un domaine de répertoire est de concevoir la disposition de domaines partagés la plus simple qui fournit à vos utilisateurs Mac OS X un accès aisé aux ressources réseau dont ils ont besoin et minimise le temps consacré à la gestion des enregistrements d’utilisateurs et d’autres données administratives. Ce chapitre fournit des indications générales pour la planification des services Open Directory et décrit les outils nécessaires pour les gérer. Directives générales de planification Si vous n’avez pas besoin de partager des informations sur les utilisateurs et les ressources entre plusieurs ordinateurs Mac OS X, la planification du domaine de répertoire se réduit au strict nécessaire. Tout doit pouvoir être accessible à partir de domaines de répertoires locaux. Assurez-vous simplement que l’ensemble des utilisateurs d’un ordinateur Mac OS X particulier sont définis en tant que tels dans le domaine de répertoire local de l’ordinateur. Domaine de réper- toire local Domaine de réper- toire local Ouverture de session vers Mac OS X Connexion au serveur Mac OS X pour accéder à un service de fichiers50 Chapitre 4 Planification Open Directory Pour partager des informations entre ordinateurs Mac OS X, vous devez configurer au moins un domaine de répertoire partagé. Un seul domaine de répertoire partagé suffira amplement si tous les utilisateurs de votre réseau partagent les mêmes ressources telles qu’imprimantes, points de partage pour répertoires de départ, points de partage pour applications et points de partage pour documents. Pour des réseaux plus grand et plus complexes, il peut être utile de mettre en place des domaines de répertoires partagés supplémentaires. Domaine de répertoire partagé Domaine de répertoire local Domaine de répertoire local Ouverture de session vers Mac OS X Connexion à Mac OS X Server pour accéder à un service de fichiers Domaine de répertoire de l’école Domaine de répertoire pour les sciences Domaine de répertoire pour les mathématiques Domaine de répertoire pour le français 1 2 3 Politique de rechercheChapitre 4 Planification Open Directory 51 Contrôle de l’accès aux données Dans un réseau comprenant plusieurs domaines de répertoires partagés, il est possible de n’afficher les informations de répertoires que pour certains ordinateurs du réseau. Dans l’exemple ci-dessus, l’administrateur peut désigner au cas par cas les utilisateurs et les ressources qui seront visibles par l’ensemble des ordinateurs Mac OS X, en répartissant les informations de répertoires dans quatre domaines de répertoires partagés. Si vous souhaitez que tous les ordinateurs aient accès à certaines données administratives, stockez ces dernières dans un domaine de répertoire partagé inclus dans les politiques de recherche de tous les ordinateurs. Pour que certaines données ne soient accessibles qu’à certains ordinateurs, stockez-les dans un domaine de répertoire partagé qui ne soit inclus que dans la politique de recherche des ordinateurs concernés. Simplification des modifications des données de répertoires Si vous avez besoin de plusieurs domaines de répertoires partagés, organisez vos politiques de recherches de manière à minimiser le nombre de changements d’emplacement de stockage des données. Il est également conseillé d’élaborer un plan de gestion des événements en cours tels que : • L’arrivée de nouveaux utilisateurs dans votre organisation et le départ d’anciens utilisateurs • L’ajout, l’amélioration ou le remplacement de serveurs de fichiers • Le déplacement d’imprimantes Essayez de faire en sorte que chaque domaine de répertoire soit applicable à l’ensemble des ordinateurs l’utilisant, de manière à ne devoir ni modifier ni ajouter d’informations dans plusieurs domaines. Dans l’exemple de domaines partagés à plusieurs niveaux ci-dessus, l’ajout d’un nouvel étudiant au domaine partagé d’une classe permet à l’étudiant d’ouvrir une session à partir de n’importe quel ordinateur de la classe. Au fur et à mesure du recrutement ou du départ de formateurs, l’administrateur peut mettre à jour les informations d’utilisateurs en modifiant simplement le domaine partagé de l’école. Si votre hiérarchie de domaines de répertoires est complexe ou étendue et appartient à un réseau géré par plusieurs administrateurs, vous devez élaborer des stratégies visant à minimiser les conflits. Par exemple, vous pouvez prédéfinir des gammes d’identifiants d’utilisateurs (Id. Util.) afin d’empêcher un accès accidentel à des fichiers. (Pour plus d’informations, lisez le chapitre sur la configuration des comptes dans le guide de gestion des utilisateurs.)52 Chapitre 4 Planification Open Directory Évaluation des besoins en matière de répertoires et d’authentification Outre le mode de répartition des différentes données de répertoires entre les différents domaines, vous devez également tenir compte des capacités de chaque domaine de répertoire. Différents facteurs affectent la taille maximale d’un domaine de répertoire. Parmi ces facteurs, on peut citer les performances de la base de données qui stocke les informations de répertoire. Le domaine de répertoire LDAP de Mac OS X Server version 10.3 et ultérieure utilise une base de données Berkeley qui demeure performante avec 100 000 enregistrements. Bien entendu, un serveur hébergeant un domaine de répertoire de cette taille a tout intérêt à disposer d’un espace disque suffisant pour stocker tous les enregistrements. Le nombre de connexions gérées par un service de répertoire est plus difficile à évaluer car les connexions des services de répertoires surviennent dans un contexte qui englobe les connexions de l’ensemble des services fournis par ce serveur. Sous Mac OS X Server version 10.3, un serveur dédié à Open Directory peut accepter au maximum 250 connexions simultanées d’ordinateurs clients. Le serveur Open Directory est toutefois en mesure de fournir des services LDAP et d’authentification à un nombre plus élevé d’ordinateurs clients car ces derniers ne font pas tous appel à ces services en même temps. Chaque ordinateur client se connecte au répertoire LDAP pendant une durée maximum de deux minutes et les connexions au serveur de mots de passe Open Directory sont encore plus brèves. Ainsi, un serveur Open Directory est capable de gérer 750 ordinateurs clients parce qu’il est probable que seule une fraction des ordinateurs clients susceptibles d’établir une connexion avec Open Directory cherche généralement à établir une connexion au même moment. Il peut néanmoins s’avérer difficile d’évaluer leur nombre, autrement dit le pourcentage d’ordinateurs clients effectuant une connexion au même moment. Ainsi, un ordinateur client utilisé à longueur de journée par une même personne qui travaille sur des fichiers d’images n’aura que rarement besoin des services Open Directory. En revanche, les nombreux utilisateurs d’un ordinateur situé dans un laboratoire ouvrent et ferment des sessions tout au long de la journée, chacun d’entre eux utilisant différents réglages de préférences de client géré. Un tel ordinateur représente une charge relativement lourde pour les services Open Directory. Chapitre 4 Planification Open Directory 53 En général, l’utilisation d’Open Directory est proportionnelle au nombre d’ouvertures et de fermetures de sessions. Ces activités sont habituellement majoritaires dans les services de répertoires et d’authentification de n’importe quel système. Plus les utilisateurs ouvrent et ferment des sessions, moins le serveur Open Directory (ou tout autre serveur de répertoires et d’authentification) pourra gérer d’ordinateurs clients. Si les ouvertures et fermetures de sessions sont très fréquentes, vous devrez ajouter des serveurs Open Directory. En revanche, si les sessions de travail sont plus longues et que les ouvertures de session sont plus rares, vous pourrez vous contenter d’un plus petit nombre de serveurs Open Directory. Identification de serveurs pour l’hébergement de domaines partagés Si vous avez besoin de plusieurs domaines partagés, identifiez les serveurs appelés à héberger ces domaines. Les domaines partagés concernent de nombreux utilisateurs, il est donc conseillé de les placer sur des ordinateurs Mac OS X Server présentant les caractéristiques suivantes : • Accès physique limité • Accès réseau limité • Installation de technologies à haute disponibilité telles que les systèmes d’alimentation sans coupure Sélectionnez des ordinateurs qui ne seront pas fréquemment remplacés et qui sont dotés des capacités adéquates pour accueillir un nombre grandissant de domaines de répertoires. Bien qu’il soit possible de déplacer un domaine partagé après sa configuration, vous devrez peut-être reconfigurer les politiques de recherche des ordinateurs qui se lient à ce domaine partagé, de sorte que leurs utilisateurs puissent continuer à y ouvrir des sessions.54 Chapitre 4 Planification Open Directory Duplication de services Open Directory Mac OS X Server gère la duplication du service de répertoire LDAP, du serveur de mots de passe Open Directory et du centre de distribution de clés Kerberos. La duplication de vos services de répertoires et d’authentification vous permet : • De rapprocher les informations de répertoires d’un groupe d’utilisateurs au sein d’un réseau distribué géographiquement, ce qui améliore les performances des services de répertoires et d’authentification pour ces utilisateurs. • D’obtenir la redondance des services, afin que les utilisateurs ne soient que très peu affectés en cas de défaillance ou d’inaccessibilité d’un système de répertoire. L’un des serveurs dispose d’une copie principale du domaine de répertoire LDAP partagé, du serveur de mots de passe Open Directory et du centre de distribution de clés Kerberos. Ce serveur est appelé maître Open Directory. Chaque réplique Open Directory constitue un serveur distinct contenant une copie du répertoire LDAP maître, du serveur de mots de passe Open Directory et du centre de distribution de clés Kerberos. L’accès au répertoire LDAP sur une réplique s’effectue en lecture seule. Les modifications des fiches d’utilisateurs et d’autres informations du répertoire LDAP ne peuvent être effectuées que sur le maître Open Directory. Le maître Open Directory répercute automatiquement sur ses répliques tout changement apporté au répertoire LDAP. Le maître peut mettre ses répliques à jour soit dès qu’une modification survient, soit à intervalles de temps programmés. L’option des intervalles de temps programmés est la meilleure si les répliques sont connectées au maître par l’intermédiaire d’un réseau à faible débit. Les mots de passe et les politiques de mots de passe peuvent être modifiés sur n’importe quelle réplique. Si le mot de passe ou la politique de mot de passe d’un utilisateur est modifié sur plusieurs répliques, c’est la modification la plus récente qui prévaut. La mise à jour des répliques dépend de la synchronisation des horloges du maître et de toutes les répliques. Si les horloges des répliques et du maître affichent des différences importantes, la mise à jour risque d’être quelque peu arbitraire. Les informations de date, d’heure et de fuseau horaire doivent être correctes sur le maître et les répliques et elles doivent, si possible, utiliser le même service d’horloge réseau pour demeurer synchronisées.Chapitre 4 Planification Open Directory 55 Répliques dans un campus comprenant plusieurs bâtiments Quand un réseau s’étend sur plusieurs bâtiments, les connexions entre bâtiments peuvent s’avérer plus lentes qu’au sein de chaque bâtiment. Il peut arriver également que les connexions entre bâtiments soient saturées. Ces situations peuvent nuire aux performances des ordinateurs qui bénéficient de services Open Directory provenant d’un serveur situé dans un autre bâtiment. Par conséquent, il est recommandé d’installer une réplique Open Directory dans chaque bâtiment. Selon vos besoins, il peut même s’avérer intéressant d’installer une réplique Open Directory à chacun des étages d’un bâtiment qui en compte plusieurs. Chaque réplique offre ainsi des services de répertoires et d’authentification efficaces aux ordinateurs clients situés à proximité. Les ordinateurs clients n’ont plus besoin d’établir de connexion avec un serveur Open Directory via la ligne plus lente qui relie les bâtiments entre eux. L’augmentation du nombre de répliques présente toutefois un désavantage. Les répliques communiquent entre elles et avec le maître via le réseau. Ces communications représentent une charge pour le réseau, qui augmente en proportion du nombre de répliques. L’ajout d’un trop grand nombre de répliques peut en fait accroître le trafic entre bâtiments (du fait des mises à jour de répliques) plus qu’il ne réduit les communications clientes Open Directory. Par conséquent, lors du choix du nombre de répliques, il faut tenir compte de l’importance de l’utilisation des services Open Directory par les ordinateurs clients. Si les ordinateurs clients n’ont en moyenne que relativement peu recours aux services Open Directory et que vos bâtiments sont reliés entre eux par des connexions rapides (Ethernet à 100 Mbits/s, par exemple), vous n’avez sans doute pas besoin d’installer une réplique dans chaque bâtiment. Vous pouvez réduire la charge des communications entre répliques et maître Open Directory en programmant la fréquence de mise à jour des répliques par le maître Open Directory. Ainsi, il n’est peut-être pas nécessaire que les répliques soient mises à jour à chaque modification apportée au maître. En choisissant une fréquence de mise à jour moins élevée, vous améliorez les performances du réseau. Amélioration des performances et de la redondance Vous pouvez améliorer les performances des services Open Directory en ajoutant de la mémoire au serveur et en limitant les services qu’il fournit. Cette stratégie est également valable pour tous les autres services de Mac OS X Server. Plus vous limitez le nombre de services offerts par un serveur, meilleures sont ses performances. Au-delà de cette stratégie générale, vous pouvez aussi améliorer les performances des serveurs Open Directory en plaçant la base de données LDAP sur un volume qui lui est propre et les historiques Open Directory sur un autre volume. 56 Chapitre 4 Planification Open Directory Si vous prévoyez de placer des répliques d’un maître Open Directory sur votre réseau, vous pouvez améliorer les performances du réseau en réduisant la fréquence de mise à jour des répliques. Une réduction de la fréquence de mise à jour signifie que les répliques contiennent des données de répertoires moins actuelles. Vous devez donc trouver un compromis entre performances du réseau et exactitude des répertoires des répliques. Pour accroître la redondance des services Open Directory, vous pouvez installer des serveurs supplémentaires comme répliques Open Directory. Une autre stratégie de redondance consiste à utiliser des serveurs équipés de systèmes RAID pour les services Open Directory. Sécurité d’Open Directory Sous Mac OS X Server version 10.3, un serveur disposant d’un domaine de répertoire LDAP partagé fournit aussi l’authentification Open Directory. Les données d’authentification stockées par Open Directory sont particulièrement sensibles. Ces données d’authentification comprennent la base de données du serveur de mots de passe Open Directory ainsi que la base de données Kerberos extrêmement sensible. Par conséquent, vous devez vous assurer que le maître Open Directory et toutes les répliques Open Directory sont bien protégés : • La sécurité physique d’un serveur maître ou réplique Open Directory est essentielle. Ces serveurs doivent se trouver dans des pièces fermées à clé. Ne laissez jamais de session ouverte sur ces serveurs. • Gardez en lieu sûr les supports de sauvegarde de la base de données du serveur de mots de passe Open Directory et de la base de données Kerberos. Le fait de placer vos serveurs Open Directory dans une pièce fermée à clé ne protégera pas la bande de sauvegarde que vous laissez sur votre bureau tous les soirs. • Évitez si possible d’utiliser les serveurs Open Directory, maître ou répliques, pour d’autres services. S’il vous est impossible de consacrer exclusivement vos serveurs aux rôles de maîtres ou de répliques Open Directory, essayez au moins de limiter le nombre d’autres services qu’ils fournissent. L’un de ces autres services pourrait comporter une faille de sécurité permettant un accès illicite aux bases de données Kerberos ou du serveur de mots de passe Open Directory. L’emploi de serveurs dédiés aux services Open Directory est une solution idéale mais pas obligatoire. • Évitez d’utiliser un volume RAID partagé avec d’autres ordinateurs comme volume de démarrage d’un serveur qui est maître ou réplique Open Directory. Une faille de sécurité sur l’un des autres ordinateurs représente une menace potentielle pour la sécurité des informations d’authentification Open Directory. • Installez le service de coupe-feu IP pour bloquer tous les ports à l’exception des ports utilisés par les protocoles de répertoires, d’authentification et d’administration. • Le serveur de mots de passe Open Directory utilise les ports 106 et 3659. Chapitre 4 Planification Open Directory 57 • Le centre de distribution de clés Kerberos utilise le port TCP/UDP 88 et le port TCP/UDP 749 est utilisé pour l’administration Kerberos. • Le répertoire partagé LDAP utilise le port TCP 389 pour les connexions normales et le port TCP 636 pour les connexions SSL. • Le Gestionnaire de groupe de travail utilise les ports TCP 311 et 625. • Admin Serveur utilise le port TCP 311. • SMB utilise les ports TCP/UDP 137, 138, 139 et 445. • Équipez l’ordinateur maître Open Directory d’un système d’alimentation sans coupure (onduleur). En résumé, la solution pratique la plus sûre consiste à dédier exclusivement chaque serveur maître ou réplique Open Directory aux services Open Directory. Installez sur chacun de ces serveurs un coupe-feu afin qu’ils n’acceptent que les protocoles d’accès aux répertoires, d’authentification et d’administration : LDAP, serveur de mots de passe, Kerberos, Gestionnaire de groupe de travail et Gestionnaire du serveur. Protégez physiquement chaque serveur Open Directory ainsi que leurs supports de sauvegarde. La duplication entraîne une légère augmentation du risque de sécurité. Les données de répertoire LDAP dupliquées ne sont soumises à aucune restriction de lecture, par conséquent, n’importe quelle personne ayant accès au réseau peut télécharger l’ensemble du répertoire, quelle que soit la réplique. Les données de mot de passe sont dupliquées de manière sûre à l’aide de clés aléatoires négociées lors de chaque session de duplication. La partie du trafic de duplication concernant l’authentification (le serveur de mots de passe Open Directory et le centre de distribution de clés Kerberos) est entièrement cryptée. Pour plus de sécurité, vous pouvez configurer les connexions réseau entre serveurs Open Directory afin qu’elles utilisent des commutateurs réseau plutôt que des concentrateurs. Ainsi, le trafic de duplication d’authentification sera limité aux segments de réseau fiables. Outils pour la gestion des services de répertoire Open Directory Les applications Admin Serveur, Format de répertoire et Gestionnaire de groupe de travail fournissent des interfaces graphiques pour la gestion des services Open Directory sous Mac OS X Server. De plus, vous pouvez gérer les services Open Directory à partir de la ligne de commandes de Terminal. Si votre réseau comprend des domaines NetInfo hérités, vous pouvez les gérer à l’aide de l’Inspecteur du Gestionnaire de groupe de travail (vous pourriez également utiliser le Gestionnaire NetInfo). Toutes ces applications sont fournies avec Mac OS X Server et peuvent être installées sur un autre ordinateur équipé de Mac OS X version 10.3 ou ultérieure, faisant alors de cet ordinateur un ordinateur d’administrateur. Pour plus d’informations sur la configuration d’un ordinateur d’administrateur, lisez le chapitre sur l’administration de serveur dans le guide de premiers contacts.58 Chapitre 4 Planification Open Directory Admin Serveur Admin serveur vous permet de : • Configurer Mac OS X Server en tant que maître ou réplique Open Directory, en tant que serveur connecté à un système de répertoires ou en tant que serveur autonome ne comportant qu’un répertoire local. Pour obtenir des instructions, consultez le chapitre 5, “Configuration des services Open Directory”. • Configurer des systèmes Mac OS X Server supplémentaires de telle manière qu’ils puissent utiliser le centre de distribution de clés Kerberos d’un maître ou d’une réplique Open Directory. Pour obtenir des instructions, consultez le chapitre 5. • Faire migrer de NetInfo vers LDAP le domaine de répertoire partagé d’un serveur mis à niveau. Pour obtenir des instructions, consultez le chapitre 5. • Configurer les options LDAP d’un maître Open Directory. Pour obtenir des instructions, consultez le chapitre 5. • Configurer le service DHCP pour qu’il fournisse l’adresse d’un serveur LDAP à des ordinateurs Mac OS X utilisant des politiques de recherche automatiques. Pour plus de détails, consultez le chapitre du guide d’administration des services réseau consacré au DHCP. • Définir des politiques de mots de passe s’appliquant à tous les utilisateurs qui ne disposent pas de politiques de mots de passe particulières. Pour plus de détails, consultez le chapitre 6, “Gestion de l’authentification d’utilisateur”. Pour définir des politiques de mots de passe, utilisez le Gestionnaire de groupe de travail. Voir à ce propos le chapitre 6. • Contrôler les services Open Directory. Pour obtenir des instructions, consultez le chapitre 8, “Maintenance et résolution des problèmes”. Pour des informations de base sur l’utilisation d’Admin Serveur, lisez le chapitre du guide de premiers contacts consacré à l’administration du serveur. Admin Serveur est installé dans le dossier /Applications/Server/. Format de répertoire Format de répertoire vous permet de : • Activer et désactiver les différents types de services de répertoires et de détection de services réseau sur les ordinateurs Mac OS X. • Définir des politiques de recherche d’authentification et de contacts pour les ordinateurs Mac OS X. • Configurer les connexions aux répertoires LDAP, à un domaine Active Directory, à un domaine NIS et à des domaines NetInfo. • Configurer le mappage de données pour les répertoires LDAP. Format de répertoire peut se connecter à d’autres ordinateurs de votre réseau, ce qui vous permet d’effectuer une configuration à distance. Pour plus d’informations sur l’utilisation de Format de répertoire, lisez le chapitre 7, “Gestion de Format de répertoire”.Chapitre 4 Planification Open Directory 59 Format de répertoire est installé, sur tous les ordinateurs Mac OS X, dans le dossier / Applications/Utilitaires/. Gestionnaire de groupe de travail Gestionnaire de groupe de travail vous permet de : • Configurer et gérer les comptes d’utilisateurs, de groupes et d’ordinateurs. Pour plus de détails, lisez les chapitres consacrés aux comptes d’utilisateurs, de groupes et d’ordinateurs dans le guide de gestion des utilisateurs et le guide d’administration des technologies Web. • Gérer les points de partage pour les services de fichiers, les répertoires de départ des utilisateurs et les profils d’utilisateurs itinérants. Pour plus d’informations, lisez le chapitre du guide d’administration des services de fichiers consacré aux points de partage et le chapitre du guide d’administration des technologies Web consacré à la gestion des services Windows. • Accéder à l’Inspecteur qui permet de manipuler toutes les fiches et tous les attributs Open Directory. Pour obtenir des instructions, consultez le chapitre 8, “Maintenance et résolution des problèmes”. Pour obtenir des informations élémentaires sur l’utilisation du Gestionnaire de groupe de travail, lisez le chapitre du guide de premiers contacts consacré à l’administration du serveur. Le Gestionnaire de groupe de travail se trouve dans le dossier /Applications/Server/. Outils à ligne de commande Les administrateurs préférant administrer leur serveur à partir de lignes de commande disposent d’une gamme complète d’outils à ligne de commandes. Pour la gestion de serveurs à distance, utilisez une session sécurisée (SSH) pour envoyer vos commandes. Pour taper vos commandes sur les serveurs et les ordinateurs Mac OS X, utilisez l’application Terminal qui se trouve dans le dossier /Applications/Utilitaires/. Pour plus de détails, consultez le d’administration par ligne de commande. Gestionnaire NetInfo Gestionnaire NetInfo permet d’afficher et de modifier des enregistrements, des attributs et des valeurs dans les domaines NetInfo hérités, sur les ordinateurs qui utilisent encore ou ont été mis à niveau à partir de Mac OS X Server version 10.2 ou antérieure. Ces mêmes tâches peuvent être effectuées à l’aide de l’Inspecteur dans le Gestionnaire de groupe de travail. Vous pouvez aussi utiliser le Gestionnaire NetInfo pour gérer une hiérarchie NetInfo héritée ou sauvegarder et restaurer un domaine NetInfo hérité. Le Gestionnaire NetInfo se trouve dans le dossier /Applications/Utilitaires/.5 61 5 Configuration des services Open Directory Vous pouvez utiliser Admin Serveur pour configurer le rôle Open Directory d’un serveur, la signature unique et les services d’authentification Kerberos, régler les options LDAP et effectuer la migration de NetInfo vers LDAP. Les services Open Directory (services de répertoires et d’authentification) constituent une partie essentielle de l’infrastructure d’un réseau. Ces services affectent considérablement les autres services et utilisateurs du réseau. C’est pourquoi il convient de configurer correctement Open Directory dès le départ. Présentation générale de la configuration Résumé des tâches principales à réaliser pour configurer les services Open Directory. Consultez les pages mentionnées pour obtenir des informations détaillées sur chaque étape. Étape 1 : Avant de commencer, élaborez un programme Consultez la section “Avant de commencer” à la page 62 pour obtenir la liste des élé-ments à prendre en considération avant de configurer Open Directory sur Mac OS X Server. Étape 2 : Configurez votre maître Open Directory Consultez “Configuration d’un maître Open Directory” à la page 64 et “Configuration des options LDAP” à la page 72. Étape 3 : Configurez les répliques de votre maître Open Directory Consultez les sections “Configuration d’une réplique Open Directory” à la page 65 et “Configuration des options LDAP” à la page 72. Étape 4 : Configurez les serveurs qui se connectent à d’autres systèmes de répertoires Consultez la section “Configuration d’une connexion à un système de répertoire” à la page 68.62 Chapitre 5 Configuration des services Open Directory Étape 5 : Configurez la signature unique et l’authentification Kerberos Consultez la section “Configuration de la signature unique et de Kerberos” à la page 69. Étape 6 : Faites migrer les serveurs mis à niveau de NetInfo vers LDAP Consultez “Migration d’un domaine de répertoire de NetInfo vers LDAP” à la page 75 et “Désactivation de NetInfo après la migration vers LDAP” à la page 78. Étape 7 : Configurez Format de répertoire sur les serveurs et sur les ordinateurs clients Consultez le chapitre 7, “Gestion de Format de répertoire”. Avant de commencer Avant de configurer des services Open Directory pour la première fois : • Comprenez les utilisations des données de répertoire et évaluez vos besoins en répertoires. Identifiez les services qui nécessitent des données issues de domaines de répertoires et déterminez quels utilisateurs auront besoin d’accéder à ces services. Les utilisateurs dont les informations peuvent être aisément gérées sur un serveur doivent être définis dans le répertoire LDAP partagé d’un Mac OS X Server qui est un maître Open Directory. Certains de ces utilisateurs seront plutôt définis dans des domaines de répertoires d’autres serveurs, tels qu’un domaine Active Directory sur un serveur Windows. Ces concepts sont présentés au chapitre 1, “Concepts de service de répertoire”. • Évaluez s’il vous faut plusieurs domaines partagés. Si c’est le cas, choisissez les utilisateurs à définir dans chaque domaine partagé. Pour plus de détails, consultez le chapitre 2, “Politiques de recherche Open Directory”. • Déterminez quelles sont les options d’authentification nécessaires aux utilisateurs. Pour obtenir les descriptions des options disponibles, consultez le chapitre 3, “Authentification d’utilisateur à l’aide d’Open Directory”. • Définissez le mode d’organisation de vos domaines de répertoires et notamment des répliques des maîtres Open Directory. Le chapitre 4, “Planification Open Directory” propose quelques recommandations. • Choisissez les administrateurs de serveur avec beaucoup de soin. Ne communiquez le mots de passe d’administrateur qu’à des personnes de confiance. Limitez au maximum le nombre d’administrateurs. N’attribuez à aucun utilisateur de droits d’accès d’administrateur pour procéder à des tâches mineures, telle que la modification de réglages dans une fiche d’utilisateur. Important : les informations de répertoires font autorité. Elles revêtent une fonction vitale pour tout utilisateur d’un ordinateur les employant.Chapitre 5 Configuration des services Open Directory 63 Configuration d’Open Directory à l’aide de l’Assistant du serveur La configuration initiale d’Open Directory a lieu lorsque vous utilisez l’Assistant du serveur pendant l’installation de Mac OS X Server. Pour obtenir des instructions sur l’utilisation de l’Assistant du serveur, consultez le guide de premiers contacts. Gestion d’Open Directory sur un serveur distant Vous pouvez installer Admin Serveur sur un ordinateur disposant de Mac OS X version 10.3 ou ultérieure et l’utiliser pour gérer Open Directory sur n’importe quel serveur local ou distant. Vous pouvez aussi gérer Open Directory à distance en vous servant des outils à ligne de commande sur un ordinateur Mac OS X ou sur un ordinateur non-Macintosh. Pour plus d’informations, consultez le chapitre du guide de premiers contacts consacré à l’administration de serveur. Configuration d’un serveur autonome A l’aide d’Admin Serveur, vous pouvez configurer Mac OS X Server pour utiliser uniquement le domaine de répertoire local du serveur. Le serveur ne fournit aucune information sur les répertoires aux autres ordinateurs et n’en obtient pas d’un système existant. (Le domaine de répertoire local ne peut être partagé.) Important : si vous modifiez Mac OS X Server pour obtenir des informations de répertoires uniquement à partir de son domaine de répertoire local, les enregistrements d’utilisateurs et les autres informations que le serveur avait auparavant récupéré sur un domaine de répertoire partagé deviendront inaccessibles : • Les enregistrements d’utilisateurs et les autres informations existeront toujours dans le domaine de répertoire partagé, mais deviendront inaccessibles aux utilisateurs et aux services du serveur. • Les fichiers et dossiers du serveur peuvent devenir inaccessibles aux utilisateurs dont les comptes se trouvent dans le domaine de répertoire partagé. • Si le serveur était un maître Open Directory et si d’autres serveurs y étaient connectés : • Des services risquent d’être interrompus sur les serveurs connectés si les comptes d’utilisateurs et les autres informations du domaine de répertoire partagé deviennent inaccessibles. • Les utilisateurs dont les comptes se trouvent dans le domaine de répertoire partagé peuvent ne plus pouvoir accéder aux fichiers et dossiers situés sur le maître Open Directory et sur les autres serveurs qui étaient connectés à son domaine de répertoire LDAP partagé. 64 Chapitre 5 Configuration des services Open Directory Vous pouvez sauvegarder le répertoire LDAP et la base de données du serveur de mot de passe Open Directory avant de transformer le maître Open Directory en serveur autonome. Pour obtenir des instructions, consultez la section “Sauvegarde de fichiers Open Directory” à la page 130. Pour configurer un serveur afin qu’il utilise uniquement son propre domaine de répertoire local non partagé : 1 Ouvrez Admin Serveur et sélectionnez Open Directory pour un serveur dans la liste Ordinateurs et services. 2 Cliquez sur Réglages (vers le bas de la fenêtre), puis cliquez sur Général (vers le haut). 3 Sélectionnez Serveur autonome dans le menu local Rôle. 4 Si vous êtes sûr que les utilisateurs et les services n’ont plus besoin d’accéder aux données de répertoire enregistrées dans le domaine de répertoire partagé que le serveur a hébergé ou auquel il était connecté, cliquez sur Enregistrer. Configuration d’un maître Open Directory A l’aide d’Admin Serveur, vous pouvez configurer Mac OS X Server comme maître Open Directory afin qu’il puisse fournir des informations de répertoires et d’authentification à d’autres systèmes. Mac OS X Server fournit des informations de répertoires en hébergeant un domaine de répertoire LDAP partagé. De plus, le serveur authentifie les utilisateurs dont les comptes sont enregistrés dans le domaine de répertoire LDAP partagé. Important: si vous modifiez un ordinateur Mac OS X Server qui était connecté à un autre système de répertoire pour qu’il devienne un maître Open Directory, le serveur reste connecté à l’autre système de répertoire. Le serveur recherchera les enregistrements d’utilisateur et d’autres informations dans son domaine de répertoire LDAP partagé avant de rechercher dans les autres systèmes de répertoires auxquels il est connecté. Pour configurer un serveur afin qu’il héberge un domaine LDAP partagé : 1 Ouvrez Admin Serveur et sélectionnez Open Directory pour un serveur dans la liste des Ordinateurs et services. Un serveur doit disposer de Mac OS X Server version 10.3 ou ultérieure pour être un maître Open Directory. 2 Cliquez sur Réglages (vers le bas de la fenêtre), puis cliquez sur Général (vers le haut). 3 Sélectionnez Maître Open Directory dans le menu local Rôle et saisissez les informations demandées. Nom abrégé d’administrateur : le nom abrégé d’un compte d’administrateur dans le domaine de répertoire local du serveur que vous voulez copier sur le nouveau répertoire LDAP partagé. Ce compte sera un administrateur du domaine de répertoire LDAP. Mot de passe d’administrateur : le mot de passe du compte d’administrateur dont vous avez saisi le nom abrégé.Chapitre 5 Configuration des services Open Directory 65 Nom de domaine Kerberos : par convention, le nom de domaine Kerberos est identique au nom DNS du serveur, mais il s’écrit en lettres capitales. Ainsi, un serveur dont le nom DNS est exemple.com aurait le nom de domaine Kerberos EXEMPLE.COM. Base de recherche (facultatif) : le suffixe de la base de recherche pour le nouveau répertoire LDAP. Le suffixe de la base de recherche provient généralement du nom DNS du serveur. Ainsi, le suffixe de la base de recherche pourrait être “dc=exemple, dc=com” pour un serveur dont le nom DNS est serveur.exemple.com. 4 Cliquez sur OK, puis sur Enregistrer. Après avoir configuré un ordinateur Mac OS X Server comme maître Open Directory, vous pouvez configurer d’autres ordinateurs disposant de Mac OS X ou Mac OS X Server pour qu’ils accèdent au domaine de répertoire LDAP partagé du serveur : • Vous pouvez configurer le service DHCP pour fournir le maître Open Directory comme serveur LDAP aux ordinateurs dotés de politiques de recherche automatique. Les ordinateurs disposant de Mac OS X ou Mac OS X Server version 10.2 peuvent posséder des politiques de recherche automatique. Ces ordinateurs n’ont pas besoin d’être configurés individuellement pour accéder au serveur LDAP. Lorsque ces ordinateurs démarrent, ils tentent d’obtenir l’adresse d’un serveur LDAP à partir du service DHCP. • Vous pouvez configurer un ordinateur pour qu’il accède au répertoire LDAP du serveur, puis ajouter le répertoire LDAP du serveur à la politique de recherche personnalisée de l’ordinateur. Pour obtenir des instructions sur la configuration de DHCP en vue de fournir une adresse de serveur LDAP, consultez le guide d’administration des services réseau. Pour des instructions sur la configuration des politiques de recherche et sur la configuration de l’accès à des domaines de répertoires LDAP spécifiques, consultez le chapitre 7, “Gestion de Format de répertoire”. Configuration d’une réplique Open Directory A l’aide d’Admin Serveur, vous pouvez configurer Mac OS X Server comme réplique d’un maître Open Directory afin qu’il puisse fournir les mêmes informations de répertoires et d’authentification que le maître à d’autres systèmes. Le serveur réplique héberge une copie en lecture seule du domaine de répertoire LDAP du maître. Il héberge également une copie en lecture/écriture de la base de données d’authentification associée au domaine de répertoire du maître et au centre de distribution de clés Kerberos. Les répliques Open Directory peuvent offrir les avantages suivants :66 Chapitre 5 Configuration des services Open Directory • Dans un réseau étendu (WAN) de réseaux locaux (LAN) interconnectés par des liaisons lentes, les répliques situées sur les réseaux locaux peuvent fournir aux serveurs et aux ordinateurs clients un accès rapide aux comptes d’utilisateur et aux autres informations de répertoires. • Une réplique fournit la redondance. En cas de défaillance du maître Open Directory, les ordinateurs qui lui sont connectés basculent automatiquement vers une réplique située à proximité. Ce comportement de basculement automatique est une fonctionnalité de la version 10.3 (et des versions ultérieures) de Mac OS X et Mac OS X Server. Important : si vous configurez une réplique Open Directory, toutes les données de répertoires et d’authentification doivent être copiées sur celle-ci à partir du maître Open Directory. La duplication peut durer plusieurs secondes ou plusieurs minutes selon la taille du domaine de répertoire. Si la duplication est effectuée via une liaison réseau lente, elle peut durer très longtemps. Pendant la duplication, le maître ne peut pas fournir les services de répertoires et d’authentification. Les comptes d’utilisateur du répertoire LDAP maître ne peuvent être utilisés pour se connecter aux services ou s’authentifier avant la fin de la duplication. Pour minimiser l’interruption des services de répertoires, configurez une réplique avant que le répertoire LDAP du maître ne soit complètement rempli ou à un moment de la journée où le service de répertoire n’est pas utilisé. Le fait de disposer d’une autre réplique déjà configurée permettra aux clients du service de répertoire de ne pas être affectés en cas d’indisponibilité du maître. Important : si vous modifiez un ordinateur Mac OS X Server qui était connecté à un autre système de répertoire pour qu’il devienne une réplique Open Directory, le serveur reste connecté à l’autre système de répertoire. Le serveur recherchera les fiches d’utilisateur et d’autres informations dans son domaine de répertoire LDAP partagé avant de rechercher dans d’autres systèmes de répertoires auxquels il est connecté. Pour configurer un serveur afin qu’il héberge une réplique d’un maître Open Directory : 1 Ouvrez Admin Serveur et sélectionnez Open Directory pour un serveur dans la liste des Ordinateurs et services. Un serveur doit disposer de la version 10.3 (ou ultérieure) de Mac OS X Server pour pouvoir être une réplique Open Directory. 2 Cliquez sur Réglages (vers le bas de la fenêtre), puis cliquez sur Général (vers le haut). 3 Sélectionnez Réplique Open Directory dans le menu local Rôle et saisissez les informations demandées. Adresses IP du maître LDAP : tapez l’adresse IP du serveur maître Open Directory. Mot de passe racine sur le maître LDAP : tapez le mot de passe de l’utilisateur racine du système du maître Open Directory (nom d’utilisateur de l’administrateur système). Nom d’administrateur du serveur de mots de passe sur la réplique : tapez le nom d’un compte d’administrateur dont le type de mot de passe est Open Directory.Chapitre 5 Configuration des services Open Directory 67 Mot de passe de l’administrateur du serveur de mot de passe sur la réplique : tapez le mot de passe du compte d’administrateur dont vous avez saisi le nom. 4 Cliquez sur OK, puis sur Enregistrer. 5 Assurez-vous que la date, l’heure et le fuseau horaire sont exacts sur la réplique et sur le maître. La réplique et le maître doivent utiliser le même service horaire de réseau pour que leurs horloges restent synchronisées. Après que vous ayez configuré une réplique Open Directory, les autres ordinateurs s’y connecteront automatiquement selon leurs besoins. Les ordinateurs disposant de Mac OS X et Mac OS X Server versions 10.3 et ultérieures tiennent à jour une liste de toutes les répliques d’un maître Open Directory auquel ils sont connectés. Si l’un de ces ordinateurs ne parvient pas à contacter le maître Open Directory pour des services de répertoires et d’authentification, il se connecte automatiquement à la réplique du maître la plus proche. Vous pouvez configurer les ordinateurs Mac OS X pour qu’ils se connectent à une réplique Open Directory plutôt qu’au maître Open Directory pour les services de répertoires et d’authentification. Sur chaque ordinateur Mac OS X, vous pouvez utiliser Format de répertoire pour créer une configuration LDAPv3 afin d’accéder au répertoire LDAP de la réplique et définir une politique de recherche personnalisée incluant cette configuration LDAPv3. Vous pouvez également configurer un service DHCP pour qu’il fournisse le répertoire LDAP de la réplique aux ordinateurs Mac OS X qui obtiennent l’adresse d’un serveur LDAP par le service DHCP. Consultez “Accès aux répertoires LDAP” à la page 100 et “Définition de politiques de recherche automatiques” à la page 98. Consultez le guide d’administration des services réseau pour obtenir des instructions afin de configurer DHCP pour la fourniture d’une adresse de serveur LDAP. Le maître Open Directory met automatiquement la réplique à jour. Vous pouvez configurer le maître pour qu’il effectue ces mises à jour soit à intervalles de temps programmés, soit dès que le répertoire maître est modifié. Pour obtenir des instructions, consultez la section “Configuration de la fréquence de duplication d’un maître Open Directory” à la page 73. Configuration du basculement Open Directory Si un maître Open Directory ou l’une de ses répliques devient indisponible, ses ordinateurs clients dotés de Mac OS X ou Mac OS X Server version 10.3 trouveront automatiquement une réplique disponible et s’y connecteront. Les répliques permettent seulement aux clients de lire les informations de répertoires. Ces informations enregistrées sur la réplique ne peuvent être modifiées avec les outils d’administration tels que Gestionnaire de groupe de travail.68 Chapitre 5 Configuration des services Open Directory Les utilisateurs dont le type de mot de passe est Open Directory peuvent modifier leurs mots de passe sur les ordinateurs connectés aux répliques Open Directory. Les répliques synchronisent automatiquement les modifications de mots de passe avec le maître. Si le maître est indisponible pendant un certain temps, les répliques synchronisent les modifications de mots de passe avec le maître une fois que ce dernier est de nouveau disponible. Si un maître ou une réplique Open Directory devient indisponible et qu’il a des ordinateurs clients disposant de la version 10.2 (ou antérieure) de Mac OS X ou Mac OS X Server, ces ordinateurs clients doivent être reconfigurés manuellement pour se connecter à une réplique disponible. Vous pouvez utiliser Format de répertoire pour créer une configuration LDAPv3 qui spécifie comment l’ordinateur accède à une réplique disponible. Pour obtenir des instructions, consultez la section “Accès aux répertoires LDAP” à la page 100. Configuration d’une connexion à un système de répertoire A l’aide d’Admin Serveur, vous pouvez configurer Mac OS X Server pour obtenir des enregistrements d’utilisateur et d’autres informations de répertoires à partir du domaine de répertoire partagé d’un autre serveur. Cet autre serveur fournit également l’authentification pour ses informations de répertoires. Mac OS X Server continuera à obtenir des informations de répertoires à partir de son propre domaine de répertoire local et fournira l’authentification pour ces informations. Important : modifier Mac OS X Server afin qu’il soit connecté à un autre système de répertoire et qu’il ne soit plus un maître Open Directory entraîne la désactivation de son domaine de répertoire LDAP partagé, avec les conséquences suivantes : • Les fiches d’utilisateur et les autres informations de répertoires existeront toujours dans le domaine de répertoire désactivé, mais deviendront inaccessibles aux utilisateurs du serveur et aux services. • Si d’autres serveurs étaient connectés au domaine de répertoire du maître, leurs services risquent d’être interrompus si les comptes d’utilisateur et d’autres informations du domaine de répertoire désactivé deviennent inaccessibles. • Les utilisateurs dont les comptes se trouvaient dans le domaine de répertoire désactivé ne pourront plus accéder à des fichiers et dossiers du maître Open Directory et des autres serveurs qui étaient connectés au domaine de répertoire maître. Pour configurer un serveur afin qu’il obtienne des services de répertoires à partir d’un système existant : 1 Ouvrez Admin Serveur et sélectionnez Open Directory pour un serveur dans la liste des Ordinateurs et services. 2 Cliquez sur Réglages (vers le bas de la fenêtre), puis cliquez sur Général (vers le haut). 3 Sélectionnez “Connecté à un système de répertoire” dans le menu local Rôle.Chapitre 5 Configuration des services Open Directory 69 4 Si le serveur était un maître Open Directory et que vous êtes sûr que les utilisateurs et les services n’ont plus besoin d’accéder aux données de répertoires enregistrées dans le domaine de répertoire partagé que le serveur a hébergé, cliquez sur Enregistrer. 5 Cliquez sur le bouton Accès Open Directory pour configurer l’accès à l’un (ou à plusieurs) des systèmes de répertoire. Pour des instructions sur la configuration de l’accès à un type particulier de service de répertoire, consultez le chapitre 7, “Gestion de Format de répertoire”. Remarque : si vous connectez Mac OS X Server version 10.3 (ou ultérieure) à un domaine de répertoire de Mac OS X Server version 10.2 (ou antérieure), sachez que les utilisateurs définis dans l’ancien domaine de répertoire ne peuvent être authentifiés par la méthode MS-CHAPv2. Cette méthode peut s’avérer nécessaire pour authentifier de manière sûre les utilisateurs du service VPN de Mac OS X Server version 10.3 (et ultérieure). Open Directory de Mac OS X Server version 10.3 gère l’authentification MS-CHAPv2, mais le serveur de mots de passe de Mac OS X Server version 10.2 ne gère pas MS-CHAPv2. Configuration de la signature unique et de Kerberos La configuration de la signature unique et de l’authentification Kerberos nécessite la mise en oeuvre des tâches suivantes : • Un administrateur qui est autorisé à gérer des domaines de répertoires configure un serveur en tant que maître Open Directory hébergeant un centre de distribution de clés Kerberos (KDC). Consultez la section “Configuration d’un maître Open Directory pour la signature unique et Kerberos” à la page 70. • L’administrateur de réseau délègue à des administrateurs de serveur spécifiques l’autorité leur permettant de connecter leurs serveurs au serveur maître Open Directory pour la signature unique et l’authentification Kerberos. (Si vous souhaitez configurer un serveur afin qu’il se connecte à un maître Open Directory pour la signature unique et pour Kerberos, vous devez vous déléguer cette autorité.) Consultez la section “Délégation de l’autorité de connexion à un maître Open Directory pour la signature unique et Kerberos” à la page 70. • Les administrateurs délégués connectent leurs serveurs au maître Open Directory, qui fournit alors la signature unique et l’authentification Kerberos pour les services offerts par les serveurs connectés. Consultez la section “Connexion d’un serveur à un maître Open Directory pour la signature unique et Kerberos” à la page 72. • Tous les ordinateurs utilisant la signature unique et Kerberos doivent être réglés sur une date, une heure et un fuseau horaire exacts. Ils doivent tous être configurés pour utiliser le même serveur horloge de réseau. Le bon fonctionnement de Kerberos repose sur la synchronisation des horloges de tous les ordinateurs participants. • DNS doit être disponible sur le réseau.70 Chapitre 5 Configuration des services Open Directory Les services individuels de Mac OS X Server version 10.3 (et ultérieure) ne nécessitent aucune configuration pour la signature unique ou pour Kerberos. Les services suivants sont prêts pour Kerberos et la signature unique sur chaque serveur disposant de la version 10.3 (ou ultérieure) de Mac OS X Server, configuré comme maître Open Directory ou connecté à un maître : • Fenêtre de connexion • Service de courrier • FTP • Service AFP • SSH Ces services sont “kerberisés”, qu’ils soient en cours d’exécution ou non. Configuration d’un maître Open Directory pour la signature unique et Kerberos Vous pouvez fournir la signature unique et l’authentification Kerberos sur votre réseau en configurant un maître Open Directory. Vous pouvez configurer un maître Open Directory lors de la configuration initiale qui suit l’installation de Mac OS X Server version 10.3 ou ultérieure. Si vous avez configuré Mac OS X Server pour un rôle Open Directory différent, vous pouvez utiliser Admin Serveur pour transformer ce rôle en maître Open Directory. Un serveur jouant le rôle de maître Open Directory ne nécessite aucune configuration supplémentaire pour gérer la signature unique et l’authentification Kerberos pour tous les services kerberisés qu’il fournit lui-même. Ce serveur peut également gérer la signature unique et l’authentification Kerberos pour les services kerberisés d’autres serveurs du réseau. Les autres serveurs doivent être configurés pour se connecter au maître Open Directory pour la signature unique et Kerberos. Pour obtenir des instructions, consultez le guide de premiers contacts, “Configuration d’un maître Open Directory” à la page 64, “Délégation de l’autorité de connexion à un maître Open Directory pour la signature unique et Kerberos” à la page 70 et “Connexion d’un serveur à un maître Open Directory pour la signature unique et Kerberos” à la page 72. Délégation de l’autorité de connexion à un maître Open Directory pour la signature unique et Kerberos En utilisant Admin Serveur, vous pouvez déléguer l’autorité de connexion d’un serveur à un maître Open Directory pour la signature unique et l’authentification Kerberos. Il vous est possible de déléguer l’autorité à un ou plusieurs comptes d’utilisateur d’un serveur. Les comptes d’utilisateur auxquels vous déléguez l’autorité doivent avoir un type de mot de passe Open Directory et doivent résider sur le répertoire LDAP du maître Open Directory. Le serveur pour lequel vous déléguez l’autorité doit disposer de la version 10.3 (ou ultérieure) de Mac OS X Server.Chapitre 5 Configuration des services Open Directory 71 Si vous souhaitez déléguer l’autorité pour plus d’un serveur, répétez cette procédure pour chacun d’entre eux. Important : si le compte d’un administrateur délégué est supprimé et recréé sur le serveur cible, le nouveau compte ne disposera pas de l’autorité de se connecter au serveur Kerberos. Par mesure de précaution, vous devez déléguer l’autorité à au moins deux comptes sur le serveur cible. L’un de ces comptes peut appartenir à un administrateur de réseau (un administrateur du domaine Kerberos). Pour déléguer l’autorité de connexion à un maître Open Directory pour la signature unique et Kerberos : 1 Ouvrez Gestionnaire de groupe de travail, assurez-vous que le serveur cible a été ajouté à un compte d’ordinateur dans le domaine de répertoire LDAP du serveur à partir duquel vous déléguez l’autorité, puis notez le nom du serveur cible qui se trouve dans le compte d’ordinateur. 2 Le nom du serveur cible dans le compte d’ordinateur correspond au nom de l’enregistrement de l’ordinateur du serveur dans le domaine de répertoire LDAP. L’ajout du serveur à un compte d’ordinateur crée un enregistrement d’ordinateur pour le serveur. Pour obtenir les instructions permettant d’ajouter le serveur à un compte d’ordinateur, consultez le chapitre du guide de gestion des utilisateurs consacré aux comptes d’ordinateur. Ouvrez Admin Serveur et sélectionnez Open Directory pour un serveur maître Open Directory dans la liste des Ordinateurs et services. 3 Cliquez sur Réglages (vers le bas de la fenêtre), puis cliquez sur Général (vers le haut). 4 Confirmez le rôle de maître Open Directory, cliquez sur Ajouter un enregistrement Kerberos, puis saisissez les informations requises. Nom d’administrateur : tapez le nom d’un administrateur de répertoire LDAP sur le serveur maître Open Directory. Mot de passe d’administrateur : tapez le mot de passe du compte d’administrateur. Nom d’enregistrement de la configuration : tapez le nom d’enregistrement d’ordinateur du serveur pour lequel vous déléguez l’autorité de connexion à Kerberos. Le nom d’enregistrement d’ordinateur du serveur est le même que le nom du serveur dans un compte d’ordinateur. Administrateurs délégués : tapez un nom abrégé ou un nom complet pour chaque compte d’utilisateur auquel vous souhaitez déléguer l’autorité. Séparez les différents noms en appuyant sur la touche Retour après chaque nom.72 Chapitre 5 Configuration des services Open Directory Connexion d’un serveur à un maître Open Directory pour la signature unique et Kerberos A l’aide d’Admin Serveur, un administrateur de serveur dont le compte d’utilisateur a obtenu une délégation d’autorité appropriée peut connecter un serveur à un maître Open Directory pour la signature unique et l’authentification Kerberos. Il faut que cette autorité lui ait été préalablement conférée par un administrateur du maître Open Directory. Pour connecter un serveur à un maître Open Directory pour la signature unique et Kerberos : 1 Ouvrez Admin Serveur et sélectionnez Open Directory pour le serveur cible dans la liste des Ordinateurs et services. 2 Cliquez sur Réglages (vers le bas de la fenêtre), puis cliquez sur Général (vers le haut). 3 Assurez-vous que Rôle est réglé sur Connecté à un système de répertoire, cliquez sur Se connecter à Kerberos, puis tapez le nom et le mot de passe d’un compte d’utilisateur qui a reçu l’autorité pour le serveur cible. Configuration des options LDAP Vous pouvez définir plusieurs options pour les répertoires LDAP d’un maître ou d’une réplique Open Directory. Consultez les documents suivants : • “Configuration de la fréquence de duplication d’un maître Open Directory” (suite). • “Modification de l’emplacement d’une base de données LDAP” à la page 73. • “Limitation des résultats de la recherche pour le service LDAP” à la page 74. • “Modification du délai de recherche autorisé pour le service LDAP” à la page 74. • “Configuration de SSL pour le service LDAP” à la page 74.Chapitre 5 Configuration des services Open Directory 73 Configuration de la fréquence de duplication d’un maître Open Directory A l’aide d’Admin Serveur, vous pouvez spécifier la fréquence avec laquelle le maître Open Directory met à jour ses répliques en y intégrant les modifications apportées aux répertoires et aux informations d’authentification. Le maître peut mettre à jour les répliques soit dès qu’une modification a lieu dans son domaine de répertoire, soit en fonction d’un calendrier que vous définissez. Pour indiquer la fréquence de la mise à jour des répliques par le maître Open Directory : 1 Ouvrez Admin Serveur et sélectionnez Open Directory pour un serveur maître Open Directory dans la liste des Ordinateurs et services. 2 Cliquez sur Réglages (vers le bas de la fenêtre), puis cliquez sur Général (vers le haut). 3 Spécifiez une fréquence de duplication. “Répliquez vers les clients chaque fois que le répertoire est modifié” : garantit des répliques exactes mais augmente la charge du réseau. Peut affecter les performances du maître si une réplique est connectée via une liaison réseau lente. “Répliquer vers les clients tous les __” : permet de planifier des mises à jour moins fréquentes (en spécifiant un intervalle de temps plus long). Les mises à jour moins fréquentes présentent l’inconvénient de générer des répliques moins exactes mais offrent l’avantage de réduire le nombre de connexions réseau entre le maître et ses répliques. La réduction des connexions peut s’avérer souhaitable si les répliques ne font pas toutes partie du même réseau local que le maître. 4 Cliquez sur Enregistrer. Modification de l’emplacement d’une base de données LDAP En utilisant Admin Serveur, vous pouvez spécifier l’emplacement du disque de la base de données qui stocke les enregistrements d’utilisateur et d’autres informations dans un domaine de répertoire LDAP d’un maître ou d’une réplique Open Directory. La base de données LDAP est généralement située sur le volume de démarrage, mais peut se trouver sur un volume local différent. Remarque : pour des raisons de sécurité, les bases de données qui contiennent les informations d’authentification pour Open Directory et Kerberos sont toujours placées sur le volume de démarrage, quel que soit l’emplacement de la base de données LDAP. Pour modifier l’emplacement d’une base de données LDAP partagée : 1 Ouvrez Admin Serveur puis, dans la liste Ordinateurs et services, sélectionnez Open Directory pour un serveur qui est un maître ou une réplique Open Directory. 2 Cliquez sur Réglages (vers le bas de la fenêtre), puis cliquez sur Protocoles (vers le haut).74 Chapitre 5 Configuration des services Open Directory 3 Choisissez Réglages LDAP dans le menu local Configurer, puis spécifiez le chemin d’accès au dossier dans lequel vous voulez placer la base de données LDAP. 4 Cliquez sur Enregistrer. Limitation des résultats de la recherche pour le service LDAP Admin Serveur vous permet d’empêcher un type d’attaque par saturation sur le Mac OS X Server en limitant le nombre de résultats de recherche renvoyés par le domaine de répertoire LDAP partagé du serveur. Cela empêche un utilisateur malveillant de bloquer le serveur en lui envoyant des requêtes de recherches LDAP multiples et complexes. Pour définir un nombre maximal de résultats de recherche LDAP : 1 Ouvrez Admin Serveur, puis, dans la liste des Ordinateurs et services, sélectionnez Open Directory pour un serveur qui est un maître ou une réplique Open Directory. 2 Cliquez sur Réglages (vers le bas de la fenêtre), puis cliquez sur Protocoles (vers le haut). 3 Choisissez Réglages LDAP dans le menu local Configurer, puis tapez le nombre maximal de résultats de recherche. 4 Cliquez sur Enregistrer. Modification du délai de recherche autorisé pour le service LDAP A l’aide d’Admin Serveur, vous pouvez empêcher un type d’attaque par saturation sur le Mac OS X Server en limitant le temps alloué au serveur pour effectuer une recherche sur son domaine de répertoire LDAP partagé. Cela empêche un utilisateur malveillant de bloquer le serveur en lui envoyant une requête de recherche LDAP exceptionnellement complexe. Pour définir un délai pour les recherches LDAP : 1 Ouvrez Admin Serveur, puis, dans la liste des Ordinateurs et services, sélectionnez Open Directory pour un serveur qui est un maître ou une réplique Open Directory. 2 Cliquez sur Réglages (vers le bas de la fenêtre), puis cliquez sur Protocoles (vers le haut). 3 Choisissez Réglages LDAP dans le menu local Configurer, puis spécifiez un délai de recherche. 4 Cliquez sur Enregistrer. Configuration de SSL pour le service LDAP Admin Serveur vous permet de configurer des communications cryptées entre un domaine de répertoire LDAP partagé sur Mac OS X Server et d’autres serveurs qui sont connectés au domaine de répertoire. Vous pouvez activer le protocole SSL (Secure Sockets Layer) pour les communications LDAP cryptées et spécifier l’emplacement du fichier de certificat SSL, du fichier de clé et du fichier de certificat CA. Les communications SSL pour LDAP utilisent le port 636. Si SSL est désactivé pour le service LDAP, les communications sont envoyées en clair sur le port 389.Chapitre 5 Configuration des services Open Directory 75 Pour configurer des communications SSL pour le service LDAP : 1 Ouvrez Admin Serveur, puis, dans la liste des Ordinateurs et services, sélectionnez Open Directory pour un serveur qui est un maître ou une réplique Open Directory. 2 Cliquez sur Réglages (vers le bas de la fenêtre), puis cliquez sur Protocoles (vers le haut). 3 Choisissez Réglages LDAP dans le menu local Configurer, puis sélectionnez Utiliser SSL. 4 Saisissez l’emplacement et le nom du certificat SSL, de la clé SSL et du certificat CA. Plutôt que de saisir ou de coller l’emplacement et le nom du certificat SSL, de la clé SSL ou du certificat CA, vous pouvez les trouver en cliquant sur le bouton Parcourir situé près du champ correspondant. 5 Cliquez sur Enregistrer. Migration d’un domaine de répertoire de NetInfo vers LDAP Vous pouvez utiliser Admin Serveur pour faire migrer un domaine de répertoire NetInfo partagé vers LDAP. Le processus de migration remplace de manière irréversible la base de données principale NetInfo du domaine de répertoire par une base de données principale Berkeley DB. Après la migration, les ordinateurs clients qui étaient configurés pour utiliser NetInfo afin d’accéder au domaine de répertoire pourront toujours y accéder. Après la migration, vous pouvez configurer le service DHCP pour qu’il fournisse le domaine de répertoire migré en tant que serveur LDAP aux ordinateurs clients disposant de la version 10.2 (et ultérieure) de Mac OS X ou Mac OS X Server qui ont des politiques de recherche d’authentification automatiques. Vous pouvez faire basculer automatiquement des ordinateurs clients dotés de la version 10.3 de Mac OS X ou de Mac OS X Server vers l’utilisation de LDAP pour accéder au domaine de répertoire migré. Le processus de migration peut enregistrer des informations d’aiguillage automatique dans le domaine de répertoire. Lorsque Mac OS X et Mac OS X Server version 10.3 (et ultérieure) utilisent NetInfo pour accéder au domaine de répertoire qui a été migré vers LDAP, ils rassemblent les informations d’aiguillage automatique présentes dans le domaine de répertoire et se reconfigurent pour accéder au domaine de répertoire en utilisant dorénavant LDAP. Lorsque vous configurez la migration, vous pouvez spécifier une date à partir de laquelle l’accès NetInfo au domaine de répertoire migré sera désactivé. Vous pouvez aussi désactiver l’accès à NetInfo à tout moment en cliquant sur un bouton. Après la désactivation de NetInfo, les ordinateurs clients ne peuvent plus basculer automatiquement vers LDAP. 76 Chapitre 5 Configuration des services Open Directory Le processus de migration déplace tous les types d’enregistrements et de données standard de la base de données NetInfo vers une base de données LDAP. Si le domaine de répertoire NetInfo avait été modifié pour accueillir des types d’enregistrements ou de données personnalisés, ces derniers ne sont pas transférés vers la base de données LDAP. La migration vers LDAP ne modifie pas la méthode de validation des mots de passe d’utilisateurs, sauf pour les mots de passe validés par le Gestionnaire d’authentification. Les mots de passe qui étaient validés par un serveur de mots de passe continuent à l’être par le même serveur. Si certains comptes d’utilisateur du domaine NetInfo utilisaient le Gestionnaire d’authentification pour la validation des mots de passe, le processus de migration convertit ces comptes pour qu’ils disposent d’un type de mot de passe Open Directory. Bien évidemment, un administrateur peut modifier le type de mot de passe de tout compte d’utilisateur migré vers Open Directory afin que ce compte puisse bénéficier de la signature unique et de l’authentification Kerberos. Important : veillez à ne pas cliquer par inadvertance sur le bouton Désactiver NetInfo. Cette action a pour effet de désactiver immédiatement l’accès NetInfo au domaine de répertoire. Cette action est irréversible. Après la désactivation de NetInfo, tous les ordinateurs ayant besoin de se connecter au domaine de répertoire doivent être configurés pour se connecter via LDAP. Pour faire migrer un domaine de répertoire partagé d’un serveur de NetInfo vers LDAP : 1 Ouvrez Admin Serveur et sélectionnez Open Directory pour un serveur maître Open Directory dans la liste des Ordinateurs et services. 2 Cliquez sur Réglages (vers le bas de la fenêtre), puis cliquez sur Protocoles (vers le haut). 3 Choisissez Migration NetInfo dans le menu local Configurer. 4 Cliquez sur Migrer et définissez des options de migration. Nom abrégé de l’administrateur : Le nom abrégé d’un compte d’administrateur du domaine de répertoire local du serveur que vous voulez copier vers le répertoire LDAP migré. Ce compte sera un administrateur du domaine de répertoire LDAP. Mot de passe d’administrateur : Le mot de passe du compte d’administrateur pour lequel vous avez entré le nom abrégé. Nom de domaine Kerberos : Par convention, le nom de domaine Kerberos est identique au nom DNS du serveur, mais s’écrit en lettres capitales. Par exemple, un serveur dont le nom DNS est exemple.com aurait un nom de domaine Kerberos EXEMPLE.COM.Chapitre 5 Configuration des services Open Directory 77 Base de recherche (en option) : Le suffixe de la base de recherche pour le répertoire LDAP migré. Généralement, le suffixe de la base de recherche provient du nom DNS du serveur. Ainsi, le suffixe de la base de recherche pourrait être “dc=exemple, dc=com” pour un serveur dont le nom DNS est serveur.exemple.com. Faire basculer les clients existants NetInfo sur LDAP : permet aux ordinateurs clients disposant de la version 10.3 de Mac OS X ou Mac OS X Server de se reconfigurer automatiquement pour accéder au domaine de répertoire migré en utilisant LDAP au lieu de NetInfo. Arrêter le serveur NetInfo à 2:00 le __ : tapez la date à laquelle vous souhaitez mettre fin à l’accès NetInfo au domaine de répertoire migré. Après la désactivation de NetInfo, tous les ordinateurs doivent utiliser LDAP pour accéder au domaine de répertoire migré. 5 Cliquez sur OK pour lancer la migration. Le processus de migration peut durer un certain temps. 6 Lorsque la migration est terminée, configurez le service DHCP pour qu’il fournisse l’adresse du serveur LDAP aux ordinateurs clients disposant de politiques de recherche automatique. Les ordinateurs disposant de la version 10.2 de Mac OS X ou Mac OS X Server peuvent avoir des politiques de recherche automatique. Ces ordinateurs n’ont pas besoin d’être configurés individuellement pour accéder au serveur LDAP. Lorsque ces ordinateurs démarrent, ils tentent d’obtenir une adresse d’un serveur LDAP à partir du service DHCP. Pour obtenir des instructions sur la configuration du service DHCP afin qu’il fournisse une adresse de serveur LDAP, consultez le guide d’administration des services réseau. Bascule de l’accès au répertoire de NetInfo vers LDAP Après la migration d’un domaine de répertoire partagé de Mac OS X Server de NetInfo vers LDAP, certains clients basculeront automatiquement vers LDAP, mais il se peut que vous ayez à configurer d’autres clients pour qu’ils utilisent LDAP et à reconfigurer le service DHCP. • Les ordinateurs disposant d’une politique de recherche automatique obtiennent l’adresse de leur serveur de répertoires via le service DHCP. Vous devez donc modifier le service DHCP pour qu’il fournisse l’adresse du serveur de répertoires LDAP migré. • Les ordinateurs disposant de la version 10.3 de Mac OS X Server qui utilisaient NetInfo pour accéder au domaine de répertoire migré peuvent basculer automatiquement vers LDAP. La bascule automatique doit être activée au moment de la migration du domaine de répertoire de NetInfo vers LDAP. Mac OS X ne peut plus basculer automatiquement vers LDAP après la désactivation de NetInfo sur le serveur du domaine de répertoire migré. • Vous pouvez faire basculer manuellement un ordinateur Mac OS X vers LDAP en utilisant l’application Format de répertoire. 78 Chapitre 5 Configuration des services Open Directory • Vous pouvez configurer l’ordinateur pour qu’il utilise une politique de recherche d’authentification automatique. Dans ce cas, il vous faut également configurer le service DHCP pour qu’il fournisse à ses clients l’adresse du serveur de répertoires LDAP migré. • Il vous est également possible de définir une configuration LDAPv3 sur l’ordinateur et de l’ajouter à la politique de recherche d’authentification personnalisée de l’ordinateur. • Après la désactivation de NetInfo sur le serveur, assurez-vous que DHCP ne fournit pas l’adresse du serveur pour la liaison NetInfo. Pour plus d’informations, consultez les sections “Migration d’un domaine de répertoire de NetInfo vers LDAP” à la page 75, “Configuration des politiques de recherche d’authentification et de contacts” à la page 97 et “Accès aux répertoires LDAP” à la page 100, ainsi que le chapitre du guide d’administration des services réseau consacré à DHCP. Désactivation de NetInfo après la migration vers LDAP Si aucun des ordinateurs clients de votre réseau n’a besoin de l’accès NetInfo à un domaine de répertoire qui a été migré vers LDAP, vous pouvez désactiver NetInfo à l’aide d’Admin Serveur. Vous pouvez désactiver manuellement le serveur NetInfo, même si vous avez programmé un arrêt du serveur NetInfo lors de la configuration de la migration vers LDAP. Important: ne désactivez pas NetInfo prématurément. Après la désactivation de NetInfo, tous les ordinateurs qui ont besoin de se connecter au domaine de répertoire doivent être configurés pour y parvenir en utilisant LDAP. Pour désactiver l’accès NetInfo à un domaine de répertoire ayant fait l’objet d’une migration vers LDAP : 1 Ouvrez Admin Serveur et sélectionnez Open Directory pour un serveur maître Open Directory dans la liste des Ordinateurs et services. 2 Cliquez sur Réglages (vers le bas de la fenêtre), puis sur Protocoles (vers le haut). 3 Choisissez Migration NetInfo dans le menu local Configurer. 4 Cliquez sur Désactiver NetInfo. Cette action a pour effet la désactivation immédiate de l’accès de NetInfo au domaine de répertoire. Vous ne pouvez pas annuler cette action. 6 79 6 Gestion de l’authentification d’utilisateur Les services d’authentification inclus avec Mac OS X Server ne requièrent aucune configuration. Vous pouvez cependant changer le mode d’authentification de chaque utilisateur. Voici les différents types d’authentification d’utilisateurs employés par Mac OS X Server : • Utilisation de la signature unique à l’aide du centre de distribution de clés Kerberos intégré à Mac OS X Server. • Utilisation d’un mot de passe stocké de manière sûre dans la base de données du serveur de mots de passe Open Directory. • Utilisation d’un mot de passe shadow stocké sous forme de plusieurs empreintes, y compris NT et LAN Manager, dans un fichier auquel seul l’utilisateur root peut accéder. • Utilisation d’un mot de passe crypté, stocké directement dans le compte de l’utilisateur. • Utilisation d’un serveur LDAP non-Apple pour l’authentification par liaison LDAP simple. L’authentification par signature unique et Kerberos requièrent une légère configuration de Mac OS X Server. Les autres possibilités d’authentification ne demandent aucune configuration de Mac OS X Server. Vous pouvez gérer la manière dont Mac OS X Server utilise les options disponibles pour authentifier les utilisateurs. Pour trouver les descriptions des tâches et des instructions, reportez-vous à : • “Composition d’un mot de passe” à la page 80. • “Modification du mot de passe d’un utilisateur” à la page 80. • “Réinitialisation des mots de passe de plusieurs utilisateurs” à la page 81. • “Changement de politique de mot de passe globale” à la page 82. • “Configuration des politiques de mots de passe d’utilisateurs individuels” à la page 83. • “Modification du type de mot de passe d’un utilisateur” à la page 84.80 Chapitre 6 Gestion de l’authentification d’utilisateur Vous y trouverez notamment comment convertir le type de mot de passe en Open Directory, mot de passe shadow ou mot de passe crypté et comment activer l’authentification par signature unique, Kerberos ou liaison LDAP. • “Attribution de droits d’administrateur pour l’authentification Open Directory” à la page 89. • “Exportation et importation d’utilisateurs dont le type de mot de passe est Open Directory” à la page 89. • “Migration de mots de passe vers l’authentification Open Directory” à la page 90. Composition d’un mot de passe Le mot de passe associé à un compte d’utilisateur doit être saisi par l’utilisateur lorsqu’il s’authentifie pour ouvrir une session ou pour d’autres services. Le mot de passe est sensible à la casse (hormis les mots de passe de gestionnaire de réseau local SMB). Il est masqué à l’écran pendant sa saisie. Quel que soit le type de mot de passe choisi pour un utilisateur, voici quelques directives à suivre pour la composition d’un mot de passe d’utilisateur de Mac OS X Server : • Les mots de passe doivent contenir des lettres, des chiffres et des symboles et former des combinaisons difficiles à deviner par les utilisateurs non autorisés. Ils ne doivent pas être constitués de mots réels. Les bons mots de passe associent des chiffres et des symboles (comme # ou $). Ils peuvent également être composés en juxtaposant la première lettre de tous les mots d’une phrase particulière. Utilisez une combinaison de lettres minuscules et majuscules. • Évitez les espaces ainsi que les caractères obtenus à l’aide de la touche Option. • Évitez les caractères impossibles à saisir sur les ordinateurs dont se servira l’utilisateur ou qui réclament, sur d’autres claviers et plates-formes, l’emploi d’une combinaison de touches spéciale. • Certains protocoles réseau n’acceptent pas les mots de passe contenant des espaces initiaux, des espaces incorporés ou des espaces finaux. • Un mot de passe vide n’est pas recommandé ; Open Directory et certains systèmes (comme la liaison LDAP) ne l’acceptent pas. Pour une compatibilité maximale avec les ordinateurs et services que vos utilisateurs sont susceptibles d’exploiter, utilisez uniquement des caractères ASCII dans vos mots de passe. Modification du mot de passe d’un utilisateur À l’aide de Gestionnaire de groupe de travail, vous pouvez changer le mot de passe d’un utilisateur. Chapitre 6 Gestion de l’authentification d’utilisateur 81 Pour changer le mot de passe d’un utilisateur : 1 Dans Gestionnaire de groupe de travail, cliquez sur le bouton Comptes, puis sur le bouton Utilisateur. 2 Ouvrez le domaine de répertoire contenant le compte d’utilisateur dont vous voulez changer le mot de passe et authentifiez-vous en tant qu’administrateur du domaine. Pour ouvrir un domaine de répertoire, cliquez sur l’icône de globe au-dessus de la liste des utilisateurs, puis choisissez un domaine dans le menu local. Si le type du mot de passe de l’utilisateur est Open Directory, vous devez vous authentifier en tant qu’administrateur dont le type de mot de passe est Open Directory. 3 Sélectionnez le compte du mot de passe à changer. 4 Tapez un mot de passe dans le panneau Élémentaire, puis cliquez sur Enregistrer. 5 Indiquez à l’utilisateur le nouveau mot de passe à employer pour ouvrir une session. Une fois que l’utilisateur a ouvert une session sous Mac OS X à l’aide du nouveau mot de passe, il peut le modifier en cliquant sur Comptes dans Préférences Système. Si vous changez le mot de passe d’un compte dont le type de mot de passe est Open Directory et que ce compte réside dans le répertoire LDAP d’une réplique ou d’un maître Open Directory, le changement sera synchronisé avec le maître et toutes ses répliques. Mac OS X Server synchronise automatiquement les modifications de mots de passe Open Directory entre un maître et ses répliques. Réinitialisation des mots de passe de plusieurs utilisateurs À l’aide de Gestionnaire de groupe de travail, vous pouvez sélectionner en même temps plusieurs comptes utilisateurs et les modifier pour qu’ils prennent tous le même type de mot de passe et le même mot de passe temporaire. Pour changer le type de mot de passe et le mot de passe de plusieurs comptes d’utilisateurs : 1 Dans Gestionnaire de groupe de travail, cliquez sur le bouton Comptes, puis sur le bouton Utilisateur. 2 Ouvrez le domaine de répertoire contenant le compte d’utilisateur dont vous voulez réinitialiser les types de mot de passe et les mots de passe, puis authentifiez-vous en tant qu’administrateur du domaine. Pour ouvrir un domaine de répertoire, cliquez sur l’icône de globe au-dessus de la liste des utilisateurs, puis choisissez un domaine dans le menu local. Si vous voulez régler le type de mot de passe sur Open Directory, vous devez vous authentifier en tant qu’administrateur dont le type de mot de passe est Open Directory.82 Chapitre 6 Gestion de l’authentification d’utilisateur 3 Cliquez sur les comptes d’utilisateurs en maintenant les touches Commande ou Maj pour sélectionner ceux dont le type de mot de passe doit être changé. 4 Tapez un mot de passe dans le panneau Élémentaire, puis réglez l’option “Type du mot de passe” dans le panneau Avancé. 5 Cliquez sur Enregistrer. 6 Indiquez aux utilisateurs le mot de passe temporaire, de sorte qu’ils puissent ouvrir une session. Après avoir ouvert une session à l’aide du mot de passe temporaire, un utilisateur peut changer le mot de passe en cliquant sur Comptes dans Préférences Système. Si vous changez le mot de passe de comptes dont le type de mot de passe est Open Directory et que ces comptes résident dans le répertoire LDAP d’une réplique ou d’un maître Open Directory, le changement sera synchronisé avec le maître et toutes ses répliques. Mac OS X Server synchronise automatiquement les modifications de mots de passe Open Directory entre un maître et ses répliques. Changement de politique de mot de passe globale Admin Serveur vous permet de définir une politique de mot de passe globale pour les comptes d’utilisateurs d’un domaine de répertoire Mac OS X Server. La politique de mot de passe globale affecte les comptes d’utilisateurs du domaine de répertoire local du serveur. Si le serveur est un maître ou une réplique Open Directory, la politique de mot de passe globale affecte également le domaine de répertoire LDAP du serveur. Si vous changez la politique de mot de passe globale sur une réplique Open Directory, les réglages de la politique seront synchronisés avec le maître et toutes ses autres répliques. Les serveurs de mots de passe Kerberos et Open Directory appliquent les politiques de mot de passe. Certaines règles de politiques de mot de passe s’appliquent aux serveurs de mots de passe Open Directory et Kerberos, d’autres s’appliquent uniquement au serveur de mots de passe Open Directory. Mac OS X Server synchronise les règles de politiques de mot de passe qui s’appliquent tant aux serveurs de mots de passe Kerberos qu’Open Directory. Les administrateurs de comptes ne sont pas affectés par les politiques de mot de passe. Chaque utilisateur peut avoir une politique de mot de passe individuelle qui redéfinit certains réglages de la politique de mot de passe globale. Pour plus d’informations, consultez la section “Configuration des politiques de mots de passe d’utilisateurs individuels” à la page 83. Chapitre 6 Gestion de l’authentification d’utilisateur 83 Pour changer la politique de mot de passe globale de tous les comptes d’utilisateurs du même domaine : 1 Ouvrez Admin Serveur et sélectionnez Open Directory pour un des serveurs de la liste Ordinateurs et services. 2 Cliquez sur Réglages (en bas de la fenêtre), puis sur Authentification (en haut). 3 Validez les options de politique de mot de passe à appliquer aux utilisateurs qui ne disposent pas de politique de mot de passe propre. “Désactiver l’ouverture de session le __” : si vous sélectionnez cette option, tapez une date au format jj/mm/aaaa ; par exemple, 22/02/2005. “Le mot de passe doit être changé tous les __” : avant de sélectionner cette option, sachez que certains protocoles de service n’autorisent pas les utilisateurs à modifier leur mot de passe. Ainsi, les utilisateurs ne peuvent pas modifier leur mot de passe lorsqu’ils s’authentifient pour le service de courrier IMAP ou pour le service de fichiers Windows. 4 Cliquez sur Enregistrer. Les répliques du maître Open Directory héritent automatiquement de sa politique de mot de passe globale. Configuration des politiques de mots de passe d’utilisateurs individuels À l’aide de Gestionnaire de groupe de travail, vous pouvez configurer des politiques de mots de passe pour des comptes d’utilisateurs individuels dont le type de mot de passe est Open Directory. La politique de mot de passe d’un utilisateur l’emporte sur la politique de mot de passe globale définie dans le panneau Réglages d’authentification du service Open Directory dans Admin Serveur. Les administrateurs de comptes ne sont pas affectés par les politiques de mot de passe. Les serveurs de mots de passe Kerberos et Open Directory appliquent les politiques de mot de passe. Certaines règles de politiques de mot de passe s’appliquent aux serveurs de mots de passe Open Directory et Kerberos, d’autres s’appliquent uniquement au serveur de mots de passe Open Directory. Mac OS X Server synchronise les règles de politiques de mot de passe qui s’appliquent aux serveurs de mots de passe Kerberos et Open Directory.84 Chapitre 6 Gestion de l’authentification d’utilisateur Pour configurer la politique de mot de passe d’un compte d’utilisateur, vous devez posséder des droits d’administrateur pour l’authentification Open Directory dans le domaine de répertoire contenant les comptes d’utilisateurs dont vous voulez changer la politique de mot de passe. Cela veut dire que vous devez vous authentifier en tant qu’administrateur de domaine de répertoire dont le type de mot de passe est Open Directory. Pour plus d’informations, consultez la section “Attribution de droits d’administrateur pour l’authentification Open Directory” à la page 89. Pour changer la politique de mot de passe d’un compte d’utilisateur : 1 Dans Gestionnaire de groupes de travail, ouvrez le compte à utiliser (si ce n’est déjà fait). Pour ouvrir un compte, cliquez sur le bouton Comptes, puis sur le bouton Utilisateurs. Cliquez sur l’icône de globe située au-dessus de la liste des utilisateurs, puis utilisez le menu local pour ouvrir le domaine de répertoire où réside le compte de l’utilisateur. Cliquez sur le cadenas, puis authentifiez-vous en tant qu’administrateur de domaine de répertoire dont le type de mot de passe est Open Directory. Sélectionnez ensuite l’utilisateur dans la liste. 2 Cliquez sur Avancé, puis sur Options. Vous ne pouvez cliquer sur Options que si le type de mot de passe est Open Directory. 3 Modifiez les options de politique de mot de passe, puis cliquez sur OK. “Désactiver l’ouverture de session le __” : si vous sélectionnez cette option, tapez une date au format jj/mm/aaaa ; par exemple, 22/02/2005. “Modification requise tous les __ jours” : avant de sélectionner cette option, sachez que certains protocoles de services n’autorisent pas les utilisateurs à changer les mots de passe. Les utilisateurs ne peuvent, par exemple, pas changer leur mot de passe lors de l’authentification pour le service de courrier IMAP. L’identifiant de mot de passe est un nombre unique à 128 bits attribué lors de la création du mot de passe dans la base de données du serveur de mots de passe Open Directory. Il peut s’avérer utile en cas de dépannage, puisqu’il apparaît dans l’historique du serveur de mot de passe lorsqu’un problème se produit. Pour afficher cet historique Open Directory, ouvrez Admin Serveur. 4 Cliquez sur Enregistrer. Modification du type de mot de passe d’un utilisateur Voici les types de mot de passe disponibles dans le panneau Avancé de Gestionnaire de groupe de travail : • Open Directory • Mot de passe shadow • Mot de passe cryptéChapitre 6 Gestion de l’authentification d’utilisateur 85 Le réglage du type de mot de passe d’un utilisateur sur Open Directory active plusieurs méthodes d’authentification héritées, ainsi que la signature unique et Kerberos si le compte de l’utilisateur est dans un répertoire LDAP. Vous pouvez également permettre à un compte d’utilisateur d’employer l’authentification par liaison LDAP simple. Pour plus d’explications sur les options d’authentification, consultez le chapitre 3, “Authentification d’utilisateur à l’aide d’Open Directory”. Choix du type de mot de passe Open Directory Gestionnaire de groupe de travail vous permet de spécifier qu’Open Directory doit être utilisé pour l’authentification d’un ou plusieurs comptes d’utilisateurs stockés dans le domaine de répertoire local ou le domaine de répertoire LDAP de Mac OS X Server. Par ailleurs, vous pouvez spécifier qu’Open Directory soit utilisé pour l’authentification des comptes d’utilisateurs de tout domaine de répertoire LDAP ou NetInfo résidant sur un serveur doté de Mac OS X Server version 10.2. Le type de mot de passe Open Directory accepte la signature unique utilisant l’authentification Kerberos. Il accepte aussi les protocoles d’authentification SASL (Simple Authentication and Security Layer) : APOP, CRAM-MD5, DHX, Digest-MD5, MS-CHAPv2, SMB-NT, SMB-LAN Manager et WebDAV-Digest. Pour régler le type de mot de passe d’un compte d’utilisateur sur Open Directory, vous devez posséder des droits d’administrateur pour l’authentification Open Directory dans le domaine de répertoire contenant le compte d’utilisateur. Cela veut dire que vous devez vous authentifier en tant qu’administrateur de domaine de répertoire avec type de mot de passe Open Directory. Pour plus d’informations, consultez la section “Attribution de droits d’administrateur pour l’authentification Open Directory” à la page 89. Pour indiquer qu’un compte d’utilisateur doit s’authentifier via Open Directory : 1 Assurez-vous que le compte réside dans un domaine de répertoire qui gère l’authentification Open Directory. Les domaines de répertoires sur Mac OS X Server version 10.3 gèrent l’authentification Open Directory, de même que les domaines de répertoires sur Mac OS X Server version 10.2 configurés pour utiliser un serveur de mot de passe. 2 Dans Gestionnaire de groupes de travail, ouvrez le compte à utiliser (si ce n’est déjà fait). Pour ouvrir un compte, cliquez sur le bouton Comptes, puis sur le bouton Utilisateurs. Cliquez sur l’icône de globe au-dessus de la liste des utilisateurs, puis utilisez le menu local pour ouvrir le domaine de répertoire où réside le compte de l’utilisateur. Cliquez sur le cadenas et authentifiez-vous en tant qu’administrateur de domaine de répertoire avec type de mot de passe Open Directory. Sélectionnez ensuite l’utilisateur dans la liste. 3 Cliquez sur Avancé, puis choisissez Open Directory dans le menu local Type du mot de passe.86 Chapitre 6 Gestion de l’authentification d’utilisateur 4 Si vous avez changé le type du mot de passe de l’utilisateur, il vous sera demandé de taper et de confirmer un nouveau mot de passe. Si vous travaillez avec un nouvel utilisateur, tapez son mot de passe dans le champ Mot de passe du panneau Élémentaire, puis confirmez-le dans le champ Vérifier. Le mot de passe ne doit pas contenir plus de 512 octets (jusqu’à 512 caractères, bien que le protocole d’authentification réseau puisse imposer d’autres limites ; par exemple, 128 caractères pour SMB-NT et 14 pour SMB-LAN Manager. Le guide de gestion des utilisateurs présente des recommandations pour le choix des mots de passe). 5 Dans le panneau Avancé, cliquez sur Options pour configurer la politique de mot de passe de l’utilisateur, puis sur OK lorsque vous avez terminé de choisir vos options. Si vous sélectionnez l’option “Désactiver connexion à partir de”, tapez une date au format JJ/MM/AAAA ; par exemple, 22/02/2004. Si vous utilisez une politique qui nécessite un changement de mot de passe d’utilisateur, rappelons que tous les protocoles n’acceptent pas la modification de mots de passe. Par exemple, les utilisateurs ne peuvent changer leur mot de passe lors d’une authentification au service de courrier IMAP. L’identifiant de mot de passe est un nombre unique à 128 bits attribué lors de la création du mot de passe dans la base de données du serveur de mots de passe Open Directory. Il peut se révéler utile en cas de dépannage, puisqu’il apparaît dans l’historique de serveur de mot de passe lorsqu’un problème se produit. Pour afficher cet historique Open Directory, ouvrez Admin Serveur. 6 Cliquez sur Enregistrer. Choix du type de mot de passe crypté À l’aide de Gestionnaire de groupe de travail, vous pouvez spécifier qu’un mot de passe crypté sera utilisé pour l’authentification d’un ou plusieurs comptes d’utilisateurs stockés dans un domaine de répertoire LDAP ou NetInfo. Le domaine de répertoire LDAP peut se trouver sur n’importe quel serveur, mais il ne peut s’agir d’un répertoire en lecture seule. Le domaine NetInfo peut résider sur n’importe quel Mac OS X Server. Le mot de passe crypté est stocké sous forme de valeur cryptée (ou empreinte) dans le compte d’utilisateur. Le mot de passe crypté étant facilement accessible à partir du domaine de répertoire, il est sujet aux attaques hors connexion et par conséquent est moins sûr que les autres types de mot de passe. Pour indiquer qu’un compte d’utilisateur doit être authentifié à l’aide d’un mot de passe crypté : 1 Dans Gestionnaire de groupes de travail, ouvrez le compte à utiliser (si ce n’est déjà fait).Chapitre 6 Gestion de l’authentification d’utilisateur 87 Pour ouvrir un compte, cliquez sur le bouton Comptes, puis sur le bouton Utilisateurs. Cliquez sur l’icône de globe au-dessus de la liste des utilisateurs, puis utilisez le menu local pour ouvrir le domaine de répertoire où se trouve le compte de l’utilisateur. Cliquez sur le cadenas et authentifiez-vous en tant qu’administrateur de domaine de répertoire. Sélectionnez ensuite l’utilisateur dans la liste. 2 Cliquez sur Avancé, puis choisissez “Mot de passe crypté” dans le menu local Type du mot de passe. 3 Si vous avez changé le type du mot de passe de l’utilisateur, il vous sera demandé d’entrer et confirmer un nouveau mot de passe. Si vous travaillez avec une nouvelle utilisateur, entrez son mot de passe dans la case Mot de passe du panneau Élémentaire, puis de nouveau dans le champ Vérifier. La longueur maximale d’un mot de passe crypté est de huit octets (huit caractères ASCII). Si vous tapez un mot de passe plus long, seuls les huit premiers octets seront utilisés. 4 Cliquez sur Enregistrer. Choix du type de mot de passe shadow Gestionnaire de groupe de travail vous permet d’indiquer qu’un utilisateur dispose d’un mot de passe shadow stocké dans un fichier sécurisé en dehors du domaine de répertoire. Seuls les utilisateurs dont les comptes résident dans le domaine de répertoire local peuvent disposer d’un mot de passe shadow. Pour indiquer qu’un compte d’utilisateur s’authentifie à l’aide d’un mot de passe shadow : 1 Dans Gestionnaire de groupes de travail, ouvrez le compte à utiliser (si ce n’est déjà fait). Pour ouvrir un compte, cliquez sur le bouton Comptes, puis sur le bouton Utilisateurs. Cliquez sur l’icône de globe au-dessus de la liste des utilisateurs, puis choisissez dans le menu local le domaine de répertoire local où se trouve le compte de l’utilisateur. Cliquez sur le cadenas et authentifiez-vous en tant qu’administrateur de domaine de répertoire. Sélectionnez ensuite l’utilisateur dans la liste. 2 Cliquez sur Avancé, puis choisissez Mot de passe Shadow dans le menu local Type du mot de passe. 3 Si vous avez changé le type du mot de passe de l’utilisateur, il vous sera demandé d’entrer et confirmer un nouveau mot de passe. Si vous travaillez avec une nouvelle utilisateur, entrez son mot de passe dans la case Mot de passe du panneau Élémentaire, puis de nouveau dans le champ Vérifier. 4 Cliquez sur Enregistrer.88 Chapitre 6 Gestion de l’authentification d’utilisateur Activation de l’authentification d’un utilisateur par signature unique L’authentification par signature unique d’un compte d’utilisateur de répertoire LDAP Mac OS X Server version 10.3 s’opère en utilisant le panneau Avancé de Gestionnaire de groupe de travail pour régler le type de mot de passe du compte sur Open Directory. La signature unique est une caractéristique de l’authentification Kerberos. Pour obtenir des instructions, consultez la section “Choix du type de mot de passe Open Directory” à la page 85. Activation de l’authentification Kerberos pour un utilisateur L’activation de l’authentification Kerberos pour un compte d’utilisateur d’un répertoire LDAP de Mac OS X Server version 10.3 s’opère en réglant le type de mot de passe du compte sur Open Directory dans le panneau Avancé de Gestionnaire de groupe de travail. Pour obtenir des instructions, consultez la section “Choix du type de mot de passe Open Directory” à la page 85. Activation de l’authentification par liaison LDAP pour un utilisateur Vous pouvez utiliser Gestionnaire de groupe de travail pour activer l’emploi de l’authentification par liaison LDAP d’un compte d’utilisateur stocké dans un domaine de répertoire LDAP. Cette technique de validation de mot de passe se fie au serveur LDAP contenant le compte d’utilisateur pour authentifier le mot de passe de l’utilisateur. Pour activer l’authentification des utilisateurs Bind LDAP via Gestionnaire de groupes de travail : 1 Assurez-vous que le compte d’utilisateur dont vous souhaitez valider le mot de passe par liaison LDAP réside sur un serveur LDAP dans le chemin de recherche de l’ordinateur Mac OS X qui doit valider le mot de passe. Pour plus d’informations sur la configuration des connexions de serveur LDAP, consultez la section “Accès aux répertoires LDAP” à la page 100. Lors de la configuration de la connexion, ne procédez pas à la mise en correspondance de l’attribut de mot de passe : l’authentification Bind s’effectue automatiquement. De plus, configurez la connexion de façon à utiliser SSL pour protéger le mot de passe, transmis en clair. 2 Dans Gestionnaire de groupes de travail, ouvrez le compte à utiliser (si ce n’est déjà fait). Pour ouvrir un compte, cliquez sur le bouton Comptes, puis sur le bouton Utilisateurs. Cliquez sur l’icône de globe au-dessus de la liste des utilisateurs, puis choisissez dans le menu local le domaine de répertoire LDAP où se trouve le compte de l’utilisateur. Cliquez sur le cadenas et authentifiez-vous en tant qu’administrateur de domaine de répertoire. Sélectionnez ensuite l’utilisateur dans la liste des utilisateurs.Chapitre 6 Gestion de l’authentification d’utilisateur 89 3 Dans le panneau Avancé, choisissez “Crypter le mot de passe” dans le menu local Type du mot de passe. 4 Dans le panneau Élémentaire, assurez-vous que le champ Mot de passe est vide. 5 Cliquez sur Enregistrer. Attribution de droits d’administrateur pour l’authentification Open Directory Vous ne pouvez modifier les réglages d’authentification Open Directory dans Gestionnaire de groupe de travail que si vous vous authentifiez en tant qu’administrateur du domaine de répertoire contenant les comptes d’utilisateurs que vous désirez modifier. L’administrateur doit en outre utiliser l’authentification Open Directory. Ces restrictions renforcent la protection des mots de passe stockés dans le centre de distribution de clés Kerberos et dans la base de données du serveur de mots de passe Open Directory. Consultez la section “Choix du type de mot de passe Open Directory” à la page 85. Pour plus d’instructions sur l’attribution de droits d’administrateur pour un domaine de répertoire, lisez le chapitre du guide de gestion des utilisateurs concernant les comptes d’utilisateurs. N’utilisez pas le bouton Options du panneau Avancé pour configurer les politiques de mot de passe des administrateurs de domaine de répertoire. Les politiques de mot de passe n’affectent pas les comptes d’administrateur. Les administrateurs de domaines de répertoires doivent pouvoir changer les politiques de mot de passe des comptes d’utilisateurs individuels. Exportation et importation d’utilisateurs dont le type de mot de passe est Open Directory Lorsque vous exportez des comptes d’utilisateurs dont le type de mot de passe est réglé sur Open Directory, les mots de passe ne sont pas exportés. Cela assure la sécurité de la base de données du serveur de mots de passe Open Directory. Avant l’importation, vous pouvez ouvrir le fichier des utilisateurs exportés dans un tableur et prédéfinir leurs mots de passe, qu’ils pourront modifier lors de leur prochaine ouverture de session. Après l’importation, vous disposez de deux possibilités pour définir les mots de passe des comptes des utilisateurs importés : • Vous pouvez affecter à tous les comptes d’utilisateurs importés un mot de passe temporaire, que chacun pourra changer lors de sa prochaine fois ouverture de session. Pour obtenir des instructions, consultez la section “Réinitialisation des mots de passe de plusieurs utilisateurs” à la page 81.90 Chapitre 6 Gestion de l’authentification d’utilisateur • Vous pouvez définir individuellement le mot de passe de chaque compte d’utilisateur importé dans le panneau Élémentaire de Gestionnaire de groupe de travail. Pour obtenir des instructions, consultez la section “Modification du type de mot de passe d’un utilisateur” à la page 84. Exportation et importation d’utilisateurs Gestionnaire d’authentification Lorsque vous exportez des comptes d’utilisateurs possédant des mots de passe cryptés à partir d’un domaine NetInfo pour lequel Gestionnaire d’authentification est activé, les mots de passe ne sont pas exportés. Après importation vers un domaine de répertoire de Mac OS X Server version 10.3, vous avez deux possibilités pour définir les mots de passe des comptes d’utilisateurs importés : • Vous pouvez affecter à tous les comptes d’utilisateurs importés un mot de passe temporaire que chacun pourra changer lors de sa prochaine fois ouverture de session. Pour obtenir des instructions, consultez la section “Réinitialisation des mots de passe de plusieurs utilisateurs” à la page 81. • Vous pouvez définir individuellement le mot de passe de chaque compte d’utilisateur importé dans le panneau Élémentaire de Gestionnaire de groupe de travail. Pour obtenir des instructions, consultez la section “Modification du type de mot de passe d’un utilisateur” à la page 84. Gestionnaire d’authentification est une technologie héritée pour la validation sécurisée des mots de passe. Gestionnaire d’authentification ne fonctionne que pour les comptes d’utilisateurs créés dans un domaine NetInfo de serveur Mac OS X Server versions 10.0 à 10.2. Gestionnaire d’authentification doit avoir été activé pour le domaine NetInfo. Pour plus d’informations, consultez l’annexe C, “Gestionnaire d’authentification”. Migration de mots de passe vers l’authentification Open Directory Il est possible de faire migrer les comptes d’utilisateurs de versions antérieures de Mac OS X Server en important les enregistrements des comptes ou en mettant à jour le serveur où ils résident. Les comptes d’utilisateurs créés avec Mac OS X Server versions 10.1 ou antérieures n’ont pas d’attribut d’autorité d’authentification mais possèdent des mots de passe cryptés. Pour conserver la compatibilité avec ces comptes d’utilisateurs, Mac OS X Server versions 10.2 et ultérieures considère qu’un compte d’utilisateur sans attribut d’autorité d’authentification possède un mot de passe crypté. Chapitre 6 Gestion de l’authentification d’utilisateur 91 Si vous importez des comptes d’utilisateurs de Mac OS X Server versions 10.1 ou antérieures, ces comptes ne possèdent pas d’attribut d’autorité d’authentification. Par conséquent, ils sont configurés initialement pour disposer de mots de passe cryptés. Une annexe du guide de gestion des utilisateurs décrit comment importer des comptes d’utilisateurs. De même, si vous opérez une mise à jour à partir de Mac OS X Server version 10.1 ou antérieure, les comptes d’utilisateurs créés avant la mise à jour ne possèdent pas d’attribut d’autorité d’authentification. Après leur mise à niveau, ces comptes sont supposés disposer de mots de passe cryptés. Il est possible de continuer à utiliser tous les mots de passe cryptés existants après leur importation ou mise à niveau. Vous pouvez également modifier les comptes d’utilisateurs pour employer l’authentification Open Directory. Vous pouvez modifier des comptes d’utilisateurs individuels ou plusieurs comptes d’utilisateurs à l’aide de Gestionnaire de groupe de travail. La modification du type de mot de passe d’un compte d’utilisateur réinitialise son mot de passe. Pour obtenir des instructions, consultez la section “Choix du type de mot de passe Open Directory” à la page 85. Certains comptes d’utilisateurs créés avec Mac OS X Server version 10.1 ou antérieure peuvent utiliser Gestionnaire d’authentification. Il s’agit d’une technologie héritée pour l’authentification des utilisateurs de service de fichiers Windows et Apple dont les ordinateurs Mac OS 8 n’ont pas été mis à niveau avec le logiciel client AFP version 3.8.3 ou ultérieure. Lors de la migration d’utilisateurs Gestionnaire d’authentification, vous disposez des possibilités suivantes : • Si vous mettez d’abord à niveau le serveur Mac OS X Server version 10.1 avec la version 10.2 puis la version 10.3, les utilisateurs pourront continuer à employer leurs mots de passe. • Vous pouvez changer tout ou partie des comptes d’utilisateurs mis à niveau pour qu’ils emploient l’authentification Open Directory, option préférable pour l’authentification des utilisateurs Windows. Les utilisateurs des deux types peuvent coexister dans le même domaine de répertoire. • Si vous importez des comptes d’utilisateurs qui utilisent Gestionnaire d’authentification, ils seront convertis pour l’authentification Open Directory pendant l’importation.7 93 7 Gestion de Format de répertoire Vous pouvez utiliser Format de répertoire pour configurer et gérer le mode d’accès aux services de répertoire et de détection des services réseau d’un ordinateur doté de Mac OS X ou d’un serveur doté de Mac OS X Server. Pour les descriptions et les instructions sur les tâches de configuration et de gestion, reportez-vous à : • “Configuration de services dans Format de répertoire” à la page 93. • “Configuration des politiques de recherche d’authentification et de contacts” à la page 97. • “Accès aux répertoires LDAP” à la page 100. • “Accès à un domaine Active Directory” à la page 111. • “Accès à un domaine NIS” à la page 119. • “Utilisation de fichiers de configuration BSD” à la page 120. • “Accès aux domaines NetInfo hérités” à la page 121. • “Configuration de Format de répertoire sur un serveur distant” à la page 125. Configuration de services dans Format de répertoire Format de répertoire énumère les différentes catégories de services auxquelles Mac OS X peut accéder. La liste inclut les services de répertoires qui donnent à Mac OS X accès aux informations d’utilisateur et autres données administratives stockées dans les domaines de répertoire. La liste comporte également les types de services réseau que Mac OS X est capable de détecter sur le réseau. Vous pouvez activer ou désactiver l’accès à chaque type de service. Si vous désactivez un type de service dans Format de répertoire, Mac OS X ne peut plus accéder aux services de ce type. Cependant, la désactivation d’un type de service dans Format de répertoire n’affecte pas la capacité de Mac OS X à employer ou à fournir des services de ce type. Par exemple, si vous désactivez Rendez-vous, Mac OS X ne l’utilise plus pour détecter les services de fichiers, mais vous gardez la possibilité de partager vos fichiers et de vous connecter à un serveur de fichiers dont vous connaissez l’adresse. 94 Chapitre 7 Gestion de Format de répertoire Activation ou désactivation du service Active Directory Vous pouvez utiliser Format de répertoire pour activer ou désactiver l’utilisation d’Active Directory sur un serveur Windows. Active Directory est le service de répertoire des serveurs Windows 2000 et 2003. Pour activer ou désactiver l’accès à Active Directory : 1 Dans Format de répertoire, cliquez sur Services. 2 Si l’icône de cadenas est verrouillée, cliquez dessus et tapez le nom et le mot de passe d’un administrateur. 3 Cochez la case située en regard de Active Directory, puis cliquez sur Appliquer. Pour obtenir des instructions sur la configuration, consultez la section “Accès aux répertoires LDAP” à la page 100. Activation ou désactivation de la détection de services AppleTalk Vous pouvez utiliser Format de répertoire pour activer ou désactiver la détection des services réseau AppleTalk. AppleTalk est un protocole Mac OS hérité destiné aux services réseau de fichiers et d’impression. Certains ordinateurs utilisent AppleTalk pour partager des fichiers et certains serveurs l’utilisent pour les services de fichiers. De plus, certaines imprimantes partagées exploitent également AppleTalk. Pour activer ou désactiver la détection de services AppleTalk : 1 Dans Format de répertoire, cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus et tapez le nom et le mot de passe d’un administrateur. 3 Cochez la case située en regard de AppleTalk, puis cliquez sur Appliquer. AppleTalk ne requiert aucune configuration. Activation ou désactivation de BSD fichier plat et des services de répertoires NIS Format de répertoire permet d’activer ou de désactiver l’utilisation de fichiers de configuration BSD et l’accès aux services de répertoires NIS (Network Information Service). Les fichiers de configuration BSD constituent la méthode d’origine pour accéder aux données administratives situées sur des ordinateurs UNIX. Certaines entreprises les utilisent encore. Certains serveurs UNIX utilisent NIS pour fournir des services de répertoires. Pour activer ou désactiver BSD fichier plat et les services de répertoires NIS : 1 Dans Format de répertoire, cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus et tapez le nom et le mot de passe d’un administrateur. 3 Cochez la case située en regard de “BSD fichier plat et NIS”, puis cliquez sur Appliquer.Chapitre 7 Gestion de Format de répertoire 95 Pour obtenir des instructions sur la configuration, consultez la section “Accès à un domaine NIS” à la page 119 et “Utilisation de fichiers de configuration BSD” à la page 120. Activation ou désactivation des services de répertoires LDAP Format de répertoire permet d’activer ou de désactiver l’accès aux services de répertoires qui utilisent les versions 2 et 3 du protocole LDAP (Lightweight Directory Access Protocol). Un unique module externe Format de répertoire nommé LDAPv3 fournit l’accès aux deux versions LDAP, la 2 et la 3. (Le module externe LDAPv2 de Mac OS X version 10.2 n’est pas nécessaire avec Mac OS X version 10.3.) Mac OS X Server 10.3 et ultérieur fournit uniquement le service de répertoire LDAPv3 aux autres ordinateurs, y compris les ordinateurs Mac OS X. Mac OS X Server version 10.2 peut fournir le service de répertoire LDAPv3 aux autres ordinateurs (ainsi que le service de répertoire NetInfo). De nombreux autres serveurs fournissent également le service de répertoire LDAPv3 ; LDAPv3 est un standard ouvert, courant dans les réseaux mixtes composés de systèmes Macintosh, UNIX et Windows. Certains serveurs utilisent également la version antérieure, LDAPv2, pour fournir des services de répertoires. Pour activer ou désactiver les services de répertoires LDAP : 1 Dans Format de répertoire, cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus et tapez le nom et le mot de passe d’un administrateur. 3 Cochez la case située en regard de LDAPv3, puis cliquez sur Appliquer. Pour obtenir des instructions sur la configuration, consultez la section “Accès aux répertoires LDAP” à la page 100. Activation ou désactivation des services de répertoires NetInfo Vous pouvez utiliser Format de répertoire pour activer ou désactiver l’accès aux domaines de répertoire NetInfo partagés. NetInfo est un service de répertoire hérité encore utilisé pour le domaine de répertoire local sur tous les ordinateurs Mac OS X, y compris Mac OS X Server. NetInfo peut également être utilisé pour un domaine de répertoire partagé de Mac OS X Server versions 10.2 et antérieures. La désactivation de NetInfo dans Format de répertoire ne désactive pas l’accès au domaine NetInfo local de l’ordinateur. Seul l’accès aux domaines NetInfo partagés peut être désactivé. Pour activer ou désactiver les services de répertoire NetInfo : 1 Dans Format de répertoire, cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus et tapez le nom et le mot de passe d’un administrateur. 3 Cochez la case située en regard de NetInfo, puis cliquez sur Appliquer.96 Chapitre 7 Gestion de Format de répertoire Pour obtenir des instructions sur la configuration, consultez la section “Accès aux domaines NetInfo hérités” à la page 121. Activation ou désactivation de la détection de services Rendezvous Vous pouvez utiliser Format de répertoire pour activer ou désactiver la détection de certains services réseau Rendezvous. Par exemple, la désactivation de Rendezvous dans Format de répertoire empêche les serveurs de fichiers compatibles Rendezvous d’apparaître dans le globe Réseau du Finder. Cependant, la désactivation de Rendezvous dans Format de répertoire n’empêche ni l’affichage des imprimantes compatibles Rendezvous dans l’utilitaire Configuration d’imprimante, ni l’utilisation de Rendezvous par iTunes pour partager de la musique. Rendezvous est un protocole Apple servant à détecter des services de fichiers, d’impression et autres sur les réseaux IP (Internet Protocol). Pour activer ou désactiver la détection de services Rendezvous : 1 Dans Format de répertoire, cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus et tapez le nom et le mot de passe d’un administrateur. 3 Cochez la case située en regard de Rendezvous, puis cliquez sur Appliquer. Rendezvous ne nécessite aucune configuration. Activation ou désactivation de la détection de services SLP Vous pouvez utiliser Format de répertoire pour activer ou désactiver la détection de services qui exploitent le protocole SLP (Service Location Protocol) pour se faire connaître sur le réseau. SLP est un standard ouvert pour la détection des services de fichier et d’impression sur les réseaux IP (Internet Protocol). Pour activer ou désactiver la détection de services SLP : 1 Dans Format de répertoire, cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus et tapez le nom et le mot de passe d’un administrateur. 3 Cochez la case située en regard de SLP, puis cliquez sur Appliquer. SLP ne nécessite aucune configuration. Activation ou désactivation de la détection de services SMB Vous pouvez utiliser Format de répertoire pour activer ou désactiver la détection de services qui exploitent le protocole SMB (Server Message Block) pour se faire connaître sur le réseau. SMB est un protocole utilisé par Microsoft Windows pour les services de fichier et d’impression.Chapitre 7 Gestion de Format de répertoire 97 Pour activer ou désactiver la détection de services SMB : 1 Dans Format de répertoire, cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus et tapez le nom et le mot de passe d’un administrateur. 3 Cochez la case située en regard de SMB, puis cliquez sur Appliquer. Pour obtenir des instructions sur la configuration, consultez la section “Configuration de la détection de services SMB” à la page 97. Configuration de la détection de services SMB Vous pouvez configurer la manière dont Mac OS X utilise le protocole SMB pour détecter les serveurs de fichiers Windows sur le réseau. Vous pouvez utiliser l’application Format de répertoire pour spécifier les informations suivantes : • Le groupe de travail Windows dont fait partie l’ordinateur • Un serveur WINS (Windows Internet Naming Service) sur le réseau Pour configurer la détection de serveurs de fichiers SMB Windows : 1 Dans Format de répertoire, cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus et tapez le nom et le mot de passe d’un administrateur. 3 Sélectionnez SMB dans la liste de services, puis cliquez sur Configurer. 4 Dans le champ Groupe de travail, tapez un nom de groupe de travail ou sélectionnezen un dans la liste déroulante. La liste déroulante contient les noms des groupes de travail Windows dont font partie les autres ordinateurs du réseau. 5 Tapez le nom DNS ou l’adresse IP d’un serveur WINS qui fournit la résolution de noms NetBIOS pour le réseau, puis cliquez sur OK. Sur un réseau comportant des routeurs et plusieurs sous-réseaux, un serveur WINS permet de convertir les noms d’ordinateurs Windows en adresses IP. Si le réseau ne dispose pas d’un serveur WINS, laissez vide le champ Serveur WINS. Configuration des politiques de recherche d’authentification et de contacts Format de répertoire définit une politique de recherche d’authentification et une politique de recherche de contacts. • Mac OS X utilise la politique de recherche d’authentification pour localiser et récupérer, à partir des domaines de répertoire, les informations d’authentification d’utilisateur et d’autres données administratives. 98 Chapitre 7 Gestion de Format de répertoire • Mac OS X utilise la politique de recherche de contacts pour localiser et récupérer, à partir des domaines de répertoire, les noms, adresses et autres informations de contacts. Le Carnet d’adresses de Mac OS X utilise ces informations de contact. D’autres applications peuvent être programmées pour les exploiter. Chaque politique de recherche se compose d’une liste de domaines de répertoire (également connus sous le nom de nœuds de répertoire). L’ordre des domaines de répertoire dans la liste définit la politique de recherche. En commençant en haut de la liste, Mac OS X examine tour à tour chaque domaine de répertoire listé, jusqu’à ce qu’il trouve les informations nécessaires ou qu’il atteigne la fin de la liste sans trouver ces informations. Chaque politique de recherche (d’authentification et de contacts) peut être réglée sur Automatique, Répertoire local ou Chemin personnalisé. • Automatique commence par le domaine de répertoire local et peut inclure un répertoire LDAP fourni automatiquement par DHCP et les domaines NetInfo auquel l’ordinateur est lié. La politique de recherche automatique est la valeur par défaut pour Mac OS X versions 10.2 et ultérieures et offre la plus grande souplesse pour les ordinateurs nomades. • Répertoire local n’inclut que le domaine de répertoire local. • Chemin personnalisé commence par le domaine de répertoire local et inclut votre sélection de répertoires LDAP, un domaine Active Directory, les domaines NetInfo, les fichiers de configuration BSD et un domaine NIS. Définition de politiques de recherche automatiques À l’aide de Format de répertoire, vous pouvez faire en sorte que les politiques de recherche d’authentification et de contacts d’un ordinateur Mac OS X soient créées automatiquement. Une politique de recherche définie automatiquement inclut le domaine de répertoire local. Elle peut aussi inclure un serveur de répertoires LDAP spécifié par service DHCP et des domaines NetInfo partagés auxquels l’ordinateur est lié. C’est la configuration par défaut tant pour la politique de recherche d’authentification que de contacts. Remarque : certaines applications, comme Mail et Carnet d’adresses de Mac OS X, sont capables d’accéder directement aux répertoires LDAP, sans utiliser Open Directory. Pour configurer une de ces applications pour qu’elle accède directement aux répertoires LDAP, ouvrez l’application et réglez la préférence appropriée. Pour obtenir qu’une politique de recherche soit automatiquement définie : 1 Dans Format de répertoire, cliquez sur Authentification ou sur Contacts. Authentification montre la politique de recherche utilisée pour l’authentification et la plupart des autres données administratives. Contacts montre la politique de recherche utilisée pour les données de contact dans les applications comme Carnet d’adresses.Chapitre 7 Gestion de Format de répertoire 99 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus et tapez le nom et le mot de passe d’un administrateur. 3 Dans le menu local Rechercher, choisissez Automatique, puis cliquez sur Appliquer. 4 Dans Préférences Système, assurez-vous que les préférences de réseau de l’ordinateur sont configurées pour utiliser DHCP ou DHCP via une adresse IP manuelle. 5 Si vous voulez que le service DHCP de Mac OS X Server fournisse à ses clients une adresse de serveur LDAP particulière pour leurs politiques de recherche automatiques, vous devez configurer les options LDAP du service DHCP. Pour plus d’instructions, reportez-vous au chapitre DHCP du guide d’administration des services réseau. Définition de politiques de recherche personnalisées À l’aide de Format de répertoire, vous pouvez obtenir que les politiques de recherche d’authentification et de contacts d’un ordinateur Mac OS X utilisent une liste personnalisée de domaines de répertoires. Une liste personnalisée commence par le domaine de répertoire local de l’ordinateur et vous pouvez aussi inclure des domaines de répertoires Open Directory et autres LDAP, un domaine Active Directory, des domaines NetInfo partagés, des fichiers de configuration BSD et un domaine NIS. Remarque : assurez-vous que l’ordinateur a été configuré pour accéder aux répertoires LDAP, au domaine Active Directory, aux domaines NetInfo et au domaine NIS que vous voulez ajouter à la politique de recherche. Pour obtenir des instructions, consultez les sections suivantes de ce chapitre. Pour spécifier une liste personnalisée de domaines de répertoires pour une politique de recherche : 1 Dans Format de répertoire, cliquez sur Authentification ou sur Contacts. Authentification montre la politique de recherche utilisée pour l’authentification et la plupart des autres données administratives. Contacts montre la politique de recherche utilisée pour les données de contact dans les applications comme Carnet d’adresses. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus et tapez le nom et le mot de passe d’un administrateur. 3 Choisissez l’option Chemin personnalisé dans le menu local Rechercher. 4 Ajoutez si nécessaire des domaines de répertoires. Ajoutez des domaines de répertoires en cliquant sur Ajouter, puis en sélectionnant un ou plusieurs répertoires et en cliquant de nouveau sur Ajouter. 5 Modifiez l’ordre des domaines de répertoires répertoriés comme requis, puis supprimez ceux que vous ne souhaitez pas inclure dans la politique de recherche.100 Chapitre 7 Gestion de Format de répertoire Pour déplacer un domaine de répertoire, faites-le glisser vers le haut ou le bas de la liste. Pour supprimer un domaine de répertoire répertorié, sélectionnez-le, puis cliquez sur Supprimer. 6 Cliquez sur Appliquer. Définition de politiques de recherche de répertoire local À l’aide de Format de répertoire, vous pouvez obtenir que les politiques de recherche d’authentification et de contacts d’un ordinateur Mac OS X utilisent uniquement le domaine de répertoire local de l’ordinateur. Une politique de recherche qui n’utilise que le répertoire local limite l’accès d’un ordinateur aux informations d’authentification et autres données administratives. Si vous restreignez la politique de recherche d’authentification d’un ordinateur à l’emploi du répertoire local, seuls les utilisateurs possédant un compte local pourront ouvrir une session. Pour qu’une politique de recherche n’utilise que le domaine de répertoire local : 1 Dans Format de répertoire, cliquez sur Authentification ou sur Contacts. Authentification montre la politique de recherche utilisée pour l’authentification et la plupart des autres données administratives. Contacts montre la politique de recherche utilisée pour les données de contact dans les applications comme Carnet d’adresses. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus et tapez le nom et le mot de passe d’un administrateur. 3 Choisissez “Répertoire local” dans le menu local Rechercher, puis cliquez sur Appliquer. Accès aux répertoires LDAP Vous pouvez configurer un serveur équipé de Mac OS X Server ou un ordinateur doté de Mac OS X pour accéder à des répertoires LDAP particuliers, y compris le répertoire LDAP d’un maître Open Directory de Mac OS X Server. Pour des descriptions et des instructions se rapportant aux différentes tâches, reportez-vous à : • “Activation ou désactivation d’un répertoire LDAP fourni via DHCP” (suite). • “Affichage ou masquage des options de répertoires LDAP” à la page 102. • “Configuration de l’accès à un répertoire LDAP” à la page 102. • “Modification d’une configuration pour l’accès à un répertoire LDAP” à la page 103. • “Duplication d’une configuration pour l’accès à un répertoire LDAP” à la page 104. • “Suppression d’une configuration pour l’accès à un répertoire LDAP” à la page 105. • “Modification des réglages de connexion d’un répertoire LDAP” à la page 105. • “Configuration des recherches et mappages LDAP” à la page 106. • “Mappage d’attributs d’enregistrement de configuration pour répertoires LDAP” à la page 109.Chapitre 7 Gestion de Format de répertoire 101 • “Modification du mappage RFC 2307 pour activer la création d’utilisateurs” à la page 109. • “Remplissage de répertoires LDAP avec des données pour Mac OS X” à la page 110. Dans Mac OS X version 10.3, un module externe Format de répertoire unique nommé LDAPv3 fournit l’accès aux deux versions LDAP, la 2 et la 3. Le module externe LDAPv2 de Mac OS X version 10.2 n’est pas nécessaire avec Mac OS X version 10.3. Les configurations LDAPv2 existantes sont automatiquement converties en LDAPv3 lorsqu’un ordinateur est mis à niveau avec Mac OS X version 10.3. Remarque : Mail, Carnet d’adresses et d’autres applications similaires de Mac OS X sont capables d’accéder directement aux répertoires LDAP, sans utiliser Open Directory. Vous pouvez configurer ces applications pour qu’elles effectuent des recherches dans des répertoires LDAP particuliers. Pour plus d’instructions, ouvrez Mail et choisissez Aide > Aide Mail ou ouvrez Carnet d’adresses et choisissez Aide > Aide de Carnet d’adresses ; puis cherchez de l’aide sur LDAP. Activation ou désactivation d’un répertoire LDAP fourni via DHCP Format de répertoire vous permet de configurer un ordinateur Mac OS X afin qu’il obtienne automatiquement l’adresse d’un serveur de répertoire LDAP au démarrage. Mac OS X requiert l’adresse d’un serveur de répertoire LDAP auprès du service DHCP qui fournit également l’adresse IP de l’ordinateur, l’adresse du routeur et les adresses de serveur DNS. Mac OS X ajoute l’adresse du serveur LDAP fournie via DHCP à la politique de recherche automatique de l’ordinateur. Pour plus d’informations, consultez la section “Définition de politiques de recherche automatiques” à la page 98. Pour activer ou désactiver l’accès automatique à un serveur LDAP : 1 Dans Format de répertoire, cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus et tapez le nom et le mot de passe d’un administrateur. 3 Sélectionnez LDAPv3 dans la liste des services, puis cliquez sur Configurer. 4 Cliquez sur Utiliser le serveur LDAP fourni par DHCP. Si vous désactivez cette option, l’ordinateur n’utilise pas de serveur de répertoire LDAP fourni par DHCP. Il peut cependant accéder automatiquement à des domaines NetInfo partagés. Pour plus d’informations, consultez la section “Accès aux domaines NetInfo hérités” à la page 121. Si vous activez cette option, le service DHCP doit être configuré pour fournir l’adresse d’un serveur de répertoire LDAP. Pour plus d’instructions, reportez-vous au chapitre DHCP du guide d’administration des services réseau.102 Chapitre 7 Gestion de Format de répertoire Affichage ou masquage des options de répertoires LDAP Vous pouvez afficher ou masquer une liste des configurations disponibles pour accéder aux répertoires LDAP. Chaque configuration spécifie la manière dont Open Directory accède à un répertoire LDAP particulier. Lorsque la liste est affichée, vous pouvez visualiser certains réglages modifiables pour chaque configuration LDAP. Pour afficher ou masquer les configurations de répertoire LDAP disponibles : 1 Dans Format de répertoire, cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus et tapez le nom et le mot de passe d’un administrateur. 3 Sélectionnez LDAPv3 dans la liste des services, puis cliquez sur Configurer. 4 En fonction du contexte, cliquez sur Afficher les options ou sur Masquer les options. Configuration de l’accès à un répertoire LDAP Format de répertoire vous permet de créer une configuration qui spécifie la manière dont Mac OS X accède à un répertoire LDAPv3 ou LDAPv2 particulier. Pour créer une configuration en vue d’accéder à un répertoire LDAP : 1 Dans Format de répertoire, cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus et tapez le nom et le mot de passe d’un administrateur. 3 Sélectionnez LDAPv3 dans la liste des services, puis cliquez sur Configurer. 4 Si la liste des configurations de répertoire LDAP est masquée, cliquez sur Afficher les options. 5 Cliquez sur Nouveau, puis saisissez un nom pour la configuration. 6 Appuyez sur la touche Tabulation, puis tapez le nom DNS ou l’adresse IP du serveur qui héberge le répertoire LDAP auquel vous voulez accéder. 7 Cliquez sur le menu local situé à côté du nom DNS ou de l’adresse IP, puis choisissez un modèle de mappage ou sélectionnez “À partir du serveur”. 8 Saisissez le suffixe de la base de recherche du répertoire LDAP et cliquez sur OK. Si vous avez choisi un modèle à l’étape 7, vous devez saisir un suffixe de base de recherche sinon l’ordinateur ne pourra pas trouver d’informations dans le répertoire LDAP. Le suffixe de la base de recherche est généralement dérivé du nom DNS du serveur. Ce suffixe peut être par exemple “dc=exemple, dc=com”, pour un serveur dont le nom DNS est serveur.exemple.com. Si vous avez sélectionné “À partir du serveur” à l’étape 7, inutile de saisir une base de recherche. Dans ce cas, Open Directory considère que la base de recherche est le premier niveau du répertoire LDAP. 9 Pour qu’Open Directory utilise SSL (Secure Sockets Layer) pour les connexions avec le répertoire LDAP, cochez la case SSL.Chapitre 7 Gestion de Format de répertoire 103 Pour que l’ordinateur accède au répertoire LDAP pour lequel vous venez de créer une configuration, vous devez ajouter le répertoire à une politique de recherche personnalisée dans les panneaux Authentification ou Contacts de Format de répertoire. Vous devez également vous assurer que LDAPv3 est activé dans le panneau Services. Pour plus d’instructions, consultez les sections “Activation ou désactivation des services de répertoires LDAP” à la page 95 et “Définition de politiques de recherche personnalisées” à la page 99. Remarque : avant de pouvoir utiliser Gestionnaire de groupe de travail pour créer des utilisateurs sur un serveur LDAP non-Apple qui utilise des mappages RFC 2307 (UNIX), vous devez modifiez le mappage du type d’enregistrement Utilisateurs. Pour obtenir des instructions, consultez la section “Modification du mappage RFC 2307 pour activer la création d’utilisateurs” à la page 109. Modification d’une configuration pour l’accès à un répertoire LDAP Vous pouvez utiliser Format de répertoire pour modifier les réglages d’une configuration de répertoire LDAP. Les paramètres de configuration spécifient la manière dont Open Directory accède à un répertoire LDAPv3 ou LDAPv2 particulier. Pour modifier une configuration d’accès à un répertoire LDAP : 1 Dans Format de répertoire, cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus et tapez le nom et le mot de passe d’un administrateur. 3 Sélectionnez LDAPv3 dans la liste des services, puis cliquez sur Configurer. 4 Si la liste des configurations de serveur est masquée, cliquez sur Afficher les options. 5 Modifiez l’un des réglages figurant dans la liste des configurations de serveur. Activer : cochez une case pour activer ou désactiver l’accès à un serveur de répertoire LDAP. Nom de la configuration : double-cliquez sur un nom de configuration pour le modifier. Nom du serveur ou adresse IP : double-cliquez sur un nom de serveur ou une adresse IP pour le modifier. Mappage LDAP : choisissez un modèle dans le menu local, saisissez la base de recherche du répertoire LDAP et cliquez sur OK. Si vous avez choisi un modèle, vous devez saisir un suffixe de base de recherche, sinon l’ordinateur ne pourra pas trouver d’informations dans le répertoire LDAP. Le suffixe de la base de recherche est généralement dérivé du nom DNS du serveur. Ce suffixe peut être par exemple “dc=exemple, dc=com”, pour un serveur dont le nom DNS est serveur.exemple.com.104 Chapitre 7 Gestion de Format de répertoire Si vous avez sélectionné “À partir du serveur” au lieu d’un modèle, vous n’avez pas besoin de saisir une base de recherche. Dans ce cas, Open Directory considère que la base de recherche est le premier niveau du répertoire LDAP. SSL : cochez une case pour activer ou désactiver les connexions SSL (Secure Sockets Layer). Duplication d’une configuration pour l’accès à un répertoire LDAP Format de répertoire vous permet de dupliquer une configuration qui spécifie la manière dont Mac OS X accède à un répertoire LDAPv3 ou LDAPv2 particulier. Après avoir dupliqué une configuration de répertoire LDAP, vous pouvez en modifier les réglages pour la différencier de la configuration d’origine. Pour dupliquer une configuration d’accès à un répertoire LDAP : 1 Dans Format de répertoire, cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus et tapez le nom et le mot de passe d’un administrateur. 3 Sélectionnez LDAPv3 dans la liste des services, puis cliquez sur Configurer. 4 Si la liste des configurations de serveur est masquée, cliquez sur Afficher les options. 5 Sélectionnez une configuration de serveur dans la liste, puis cliquez sur Dupliquer. 6 Modifiez l’un des réglages de configuration du double de la configuration. Activer : cochez une case pour activer ou désactiver l’accès à un serveur de répertoire LDAP. Nom de la configuration : double-cliquez sur un nom de configuration pour le modifier. Nom du serveur ou adresse IP : double-cliquez sur un nom de serveur ou une adresse IP pour le modifier. Mappage LDAP : choisissez un modèle dans le menu local, saisissez la base de recherche du répertoire LDAP et cliquez sur OK. Si vous avez choisi un modèle, vous devez saisir un suffixe de base de recherche, sinon l’ordinateur ne pourra pas trouver d’informations dans le répertoire LDAP. Le suffixe de la base de recherche est généralement dérivé du nom DNS du serveur. Ce suffixe peut être par exemple “dc=exemple, dc=com”, pour un serveur dont le nom DNS est serveur.exemple.com. Si vous avez sélectionné “À partir du serveur” au lieu d’un modèle, vous n’avez pas besoin de saisir une base de recherche. Dans ce cas, Open Directory considère que la base de recherche est le premier niveau du répertoire LDAP. SSL : cochez une case pour activer ou désactiver les connexions SSL (Secure Sockets Layer).Chapitre 7 Gestion de Format de répertoire 105 Pour que l’ordinateur accède au répertoire LDAP spécifié par la copie de configuration que vous venez de créer, vous devez ajouter le répertoire à une politique de recherche personnalisée dans le panneau Authentification ou Contacts de Format de répertoire. Vous devez également vous assurer que LDAPv3 est activé dans le panneau Services. Pour plus d’instructions, consultez les sections “Activation ou désactivation des services de répertoires LDAP” à la page 95 et “Définition de politiques de recherche personnalisées” à la page 99. Suppression d’une configuration pour l’accès à un répertoire LDAP Format de répertoire vous permet de supprimer une configuration qui spécifie la manière dont l’ordinateur accède à un répertoire LDAPv3 ou LDAPv2 particulier. Pour supprimer une configuration d’accès à un répertoire LDAP : 1 Dans Format de répertoire, cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus et tapez le nom et le mot de passe d’un administrateur. 3 Sélectionnez LDAPv3 dans la liste des services, puis cliquez sur Configurer. 4 Si la liste des configurations de serveur est masquée, cliquez sur Afficher les options. 5 Sélectionnez une configuration de serveur dans la liste, puis cliquez sur Supprimer. Modification des réglages de connexion d’un répertoire LDAP Format de répertoire vous permet de modifier les réglages de connexion d’une configuration qui spécifie la manière dont l’ordinateur accède à un répertoire LDAPv3 ou LDAPv2 particulier. Pour modifier les réglages de connexion pour l’accès à un répertoire LDAP : 1 Dans Format de répertoire, cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus et tapez le nom et le mot de passe d’un administrateur. 3 Sélectionnez LDAPv3 dans la liste des services, puis cliquez sur Configurer. 4 Si la liste des configurations de serveur est masquée, cliquez sur Afficher les options. 5 Sélectionnez une configuration de serveur dans la liste, puis cliquez sur Modifier. 6 Cliquez sur Connexion, puis modifiez les réglages souhaités. Nom de la configuration identifie cette configuration dans la liste des configurations de répertoire LDAP. (Vous pouvez également modifier le nom directement dans la liste des configurations de répertoire LDAP.) Nom du serveur ou adresse IP spécifie le nom DNS ou l’adresse IP du serveur. (Vous pouvez également modifier directement ces éléments dans la liste des configurations de répertoire LDAP.)106 Chapitre 7 Gestion de Format de répertoire “L’ouverture/fermeture expirera dans” indique la durée d’attente en secondes avant qu’Open Directory n’annule une tentative de connexion au serveur LDAP. “La connexion s’arrêtera dans” spécifie la durée en secondes pendant laquelle Open Directory autorise une connexion inactive ou sans réponse à demeurer ouverte. “Utiliser l’authentification à la connexion” détermine si Open Directory s’authentifie en tant qu’utilisateur du répertoire LDAP en fournissant le nom distinctif et le mot de passe lors de la connexion au répertoire. “Crypter via SSL” détermine si Open Directory utilise SSL (Secure Sockets Layer) pour crypter les communications avec le répertoire LDAP. (Vous pouvez également modifier ce paramètre directement dans la liste des configurations de répertoire LDAP.) “Utiliser le port personnalisé” spécifie un numéro de port autre que celui du port standard pour les connexions LDAP (389 sans SSL ou 636 avec SSL). Configuration des recherches et mappages LDAP Format de répertoire vous permet de modifier les mappages, les bases de recherche et les étendues de recherche qui spécifient comment Mac OS X trouve des données particulières dans un répertoire LDAP. Vous pouvez modifier ces réglages séparément pour chaque configuration de répertoire LDAP listée dans Format de répertoire. Chaque configuration de répertoire LDAP spécifie la manière dont Mac OS X accède aux données dans un répertoire LDAPv3 ou LDAPv2. • Vous pouvez modifier le mappage de chaque type d’enregistrement Mac OS X vers une ou plusieurs classes d’objets LDAP. • Pour chaque type d’enregistrement, vous pouvez aussi modifier le mappage des types de données (ou attributs) Mac OS X vers des attributs LDAP. • Vous pouvez modifier la base de recherche et l’étendue de recherche LDAP qui déterminent l’emplacement où Mac OS X doit rechercher un type d’enregistrement Mac OS X particulier dans un répertoire LDAP. Important : lors du mappage d’attributs d’utilisateur Mac OS X vers un domaine de répertoire LDAP en lecture/écriture (un domaine LDAP qui n’est pas en lecture seule), l’attribut LDAP mappé vers RealName ne doit pas être le même que le premier attribut d’une liste d’attributs LDAP mappés vers RecordName. Par exemple, l’attribut cn ne doit pas être le premier attribut mappé vers RecordName si cn est également mappé vers RealName. Si l’attribut LDAP mappé vers RealName est le même que le premier attribut mappé vers RecordName, des problèmes se produiront lorsque vous essaierez de modifier le nom complet (long) ou le premier nom abrégé dans Gestionnaire de groupe de travail. Pour obtenir des spécifications détaillées sur les types et attributs d’enregistrements Mac OS X, consultez l’annexe A, “Données de répertoire Mac OS X”. Pour modifier les bases de recherche et les mappages d’un serveur LDAP : 1 Dans Format de répertoire, cliquez sur Services.Chapitre 7 Gestion de Format de répertoire 107 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus et tapez le nom et le mot de passe d’un administrateur. 3 Sélectionnez LDAPv3 dans la liste des services, puis cliquez sur Configurer. 4 Si la liste des configurations de serveur est masquée, cliquez sur Afficher les options. 5 Sélectionnez une configuration de serveur dans la liste, puis cliquez sur Modifier. 6 Cliquez sur Recherche et mappages. 7 Sélectionnez les mappages à utiliser en tant que point de départ, le cas échéant. Cliquez sur le menu local “Accéder à ce serveur LDAPv3 via” et choisissez soit un modèle de mappage comme point de départ, soit “Personnalisé” pour commencer sans mappage prédéfini. Ou bien, cliquez sur “Lire à partir du serveur” pour modifier les mappages stockés dans le serveur de répertoire LDAP dont vous êtes en train de modifier la configuration. 8 Ajoutez des types d’enregistrements et modifiez leurs bases de recherche selon vos besoins. Pour ajouter des types d’enregistrements, cliquez sur Ajouter situé sous la liste Types d’enregistrements et attributs. Dans la fenêtre à l’écran, sélectionnez Types d’enregistrements, choisissez un ou plusieurs types d’enregistrements dans la liste, puis cliquez sur OK. Pour modifier la base de recherche d’un type d’enregistrement, sélectionnez-le dans la liste Types d’enregistrements et attributs. Cliquez ensuite sur le champ Base de recherche, puis modifiez la base. Pour supprimer un type d’enregistrement, sélectionnez-le dans la liste Types d’enregistrements et attributs, puis cliquez sur Supprimer. Pour ajouter un mappage pour un type d’enregistrement, sélectionnez le type d’enregistrement dans la liste Types d’enregistrements et attributs. Cliquez ensuite sur le bouton Ajouter situé sous “Mapper sur __ éléments listés” et tapez le nom d’une classe d’objet du répertoire LDAP. Pour ajouter une autre classe d’objet LDAP, vous pouvez appuyer sur la touche Retour et saisir le nom de la classe d’objet souhaitée. Utilisez le menu local situé au-dessus de la liste pour spécifier si vous souhaitez utiliser toutes les classes d’objets LDAP ou l’une d’entre elles. Pour changer un mappage pour un type d’enregistrement, sélectionnez le type d’enregistrement dans la liste Types d’enregistrements et attributs. Double-cliquez ensuite sur la classe d’objet LDAP à modifier, dans “Mapper sur __ éléments listés”, puis modifiez-la. Spécifiez si vous souhaitez utiliser toutes les classes d’objets LDAP ou l’une d’entre elles via la menu local situé au-dessus de la liste.108 Chapitre 7 Gestion de Format de répertoire Pour supprimer un mappage pour un type d’enregistrement, sélectionnez le type d’enregistrement dans la liste Types d’enregistrements et attributs. Dans “Mapper sur __ éléments listés”, cliquez sur la classe d’objet LDAP à supprimer, puis cliquez sur le bouton Supprimer. 9 Ajoutez des attributs, puis modifiez leur mappage comme requis. Pour ajouter des attributs à un type d’enregistrement, sélectionnez le type d’enregistrement dans la liste Types d’enregistrements et attributs. Cliquez sur le bouton Ajouter situé sous la liste Types et attributs d’enregistrements. Dans la fenêtre à l’écran, sélectionnez Types d’attributs, choisissez un ou plusieurs types d’attributs dans la liste, puis cliquez sur OK. Pour ajouter un mappage pour un attribut, sélectionnez l’attribut dans la liste Types et attributs d’enregistrements. Cliquez ensuite sur le bouton Ajouter, sous “Mapper sur __ éléments listés”, puis tapez le nom d’un attribut du répertoire LDAP. Pour ajouter un autre attribut LDAP, vous pouvez appuyer sur la touche Retour et saisir le nom de l’attribut. Pour changer un mappage pour un attribut, sélectionnez l’attribut dans la liste Types et attributs d’enregistrements. Dans Mapper sur __ éléments listés, double-cliquez sur l’élément à modifier, puis changez le nom de l’élément. Pour supprimer un mappage pour un attribut, sélectionnez l’attribut dans la liste Types et attributs d’enregistrements. Dans Mapper sur __ éléments listés, cliquez sur l’élément LDAPv3 à supprimer, puis sur le bouton Supprimer situé sous Mapper sur __ éléments listés. Pour modifier l’ordre des attributs dans la liste située à droite, glissez les attributs vers le haut ou le bas dans la liste. 10 Cliquez sur “Écrire sur le serveur” pour stocker les mappages dans le répertoire LDAP, de sorte qu’il puisse les fournir automatiquement à ses clients. Vous devez saisir une base de recherche pour stocker les mappages, un nom d’administrateur distinctif (par exemple, cn=admin, dc=exemple, dc=com) et un mot de passe. Si vous écrivez des mappages sur un serveur LDAP Open Directory, la base de recherche correcte est “cn=config, ” (où est le suffixe de la base de recherche du serveur, tel que “dc=exemple, dc=com”). Le répertoire LDAP fournit ses mappages aux clients configurés pour utiliser une politique de recherche automatique. Pour obtenir des instructions sur la configuration de la politique de recherche de clients, consultez la section “Configuration des politiques de recherche d’authentification et de contacts” à la page 97. Le répertoire LDAP fournit également ses mappages aux clients qui ont été configurés manuellement pour obtenir leurs mappages à partir du serveur. Pour obtenir des instructions sur la configuration de l’accès client au serveur, consultez les sections “Configuration de l’accès à un répertoire LDAP” à la page 102 à “Modification des réglages de connexion d’un répertoire LDAP” à la page 105.Chapitre 7 Gestion de Format de répertoire 109 Mappage d’attributs d’enregistrement de configuration pour répertoires LDAP Pour stocker des informations d’utilisateurs Mac OS X gérés dans un répertoire LDAP, veillez à mapper les attributs du type d’enregistrement de configuration suivants : RealName et DataStamp. Si vous ne mappez pas ces attributs, le message d’erreur suivant s’affichera lorsque vous utiliserez Gestionnaire de groupe de travail pour modifier un enregistrement d’utilisateur situé dans le répertoire LDAP : L’attribut nommé “dsRecTypeStandard:Config” n’est pas mappé. Vous pouvez ignorer ce message si vous n’utilisez pas la gestion de client Mac OS X, qui dépend des attributs RealName et DataStamp du type Enregistrement de configuration pour la mémoire cache. Modification du mappage RFC 2307 pour activer la création d’utilisateurs Avant de pouvoir utiliser Gestionnaire de groupe de travail pour créer des utilisateurs dans un répertoire LDAP non-Apple utilisant des mappages RFC 2307 (UNIX), vous devez modifier le mappage du type d’enregistrement Utilisateurs. Vous devez pour cela utiliser l’application Format de répertoire. Pour activer la création d’enregistrements d’utilisateurs dans un répertoire LDAP avec mappages RFC 2307 : 1 Dans Format de répertoire, cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus et tapez le nom et le mot de passe d’un administrateur. 3 Sélectionnez LDAPv3 dans la liste des services, puis cliquez sur Configurer. 4 Si la liste des configurations de serveur est masquée, cliquez sur Afficher les options. 5 Sélectionnez la configuration de répertoire avec mappages RFC 2307, puis cliquez sur Modifier. 6 Cliquez sur Recherche et mappages. 7 Sélectionnez Utilisateurs dans la liste de gauche. Par défaut, “Mapper sur __ éléments listés” est réglé sur “N’importe quel” et la liste de droite contient posixAccount, inetOrgPerson et shadowAccount. 8 Réglez “Mapper sur __ éléments listés” sur “Tout”, puis modifiez la liste de droite pour obtenir l’ensemble exact de classes d’objets LDAP vers lesquelles vous voulez mapper le type d’enregistrement Utilisateurs. Supprimez par exemple shadowAccount de la liste de sorte qu’Utilisateurs ne soit associé qu’à posixAccount et inetOrgPerson. Ou bien, vous pouvez mapper Utilisateurs vers account, posixAccount et shadowAccount. Pour modifier un élément de la liste, double-cliquez dessus.110 Chapitre 7 Gestion de Format de répertoire Pour ajouter un élément à la liste, cliquez sur Ajouter. Pour supprimer l’élément sélectionné de la liste, cliquez sur Supprimer. Pour modifier l’ordre des éléments, glissez ces derniers vers le haut ou le bas dans la liste. Pour trouver les classes d’objets des enregistrements d’utilisateurs existants dans le répertoire LDAP, utilisez l’outil UNIX ldapsearch dans une fenêtre Terminal. L’exemple suivant affiche les classes d’objets d’un enregistrement d’utilisateur dont l’attribut cn est “Léonard de Vinci” : ldapsearch -x -h ldapserver.exemple.com -b “dc=exemple, dc=com” ’cn=Léonard de Vinci’ objectClass Le résultat obtenu avec cet exemple de commande sera semblable à : # Léonard de Vinci, exemple.com dn: cn=Léonard de Vinci, dc=exemple, dc=com objectClass: inetOrgPerson objectClass: posixAccount Préparation d’un répertoire LDAP en lecture seule pour Mac OS X Pour qu’un ordinateur Mac OS X puisse lire des données administratives dans un répertoire LDAP en lecture seule, ces données doivent exister dans le répertoire LDAP en lecture seule au format requis par Mac OS X. Il faudra peut-être ajouter, modifier ou réorganiser les données dans le répertoire LDAP en lecture seule. Mac OS X ne peut pas écrire des données dans un répertoire LDAP en lecture seule : il faut donc effectuer les modifications nécessaires à l’aide d’outils sur le serveur qui héberge le répertoire LDAP en lecture seule. Pour préparer un répertoire LDAP en lecture seule pour Mac OS X : 1 Accédez au serveur qui héberge le répertoire LDAP en lecture seule et configurez-le pour qu’il gère l’authentification LDAP et la vérification des mots de passe. 2 Modifiez comme il se doit les classes d’objets et attributs du répertoire LDAP afin de fournir les données nécessaires à Mac OS X. Pour les spécifications détaillées des données requises par les services de répertoire Mac OS X, consultez l’annexe A, “Données de répertoire Mac OS X”. Remplissage de répertoires LDAP avec des données pour Mac OS X Après avoir configuré l’accès aux domaines de répertoire LDAP et configuré leur mappage de données, vous pouvez les remplir avec des enregistrements et des données pour Mac OS X. Pour les domaines de répertoires autorisant l’administration distante (accès en lecture/écriture), vous pouvez utiliser l’application Gestionnaire de groupe de travail, fournie avec Mac OS X Server, comme ceci :Chapitre 7 Gestion de Format de répertoire 111 • Identifiez les points de partage et les domaines partagés à monter automatiquement dans le répertoire /Réseau d’un utilisateur (globe Réseau dans les fenêtres du Finder). Utilisez le module Partage de Gestionnaire de groupe de travail. Pour plus d’instructions, consultez le guide d’administration des services de fichiers. • Définissez les enregistrements d’utilisateurs et de groupes, puis configurez-les. Utilisez le module Comptes de Gestionnaire de groupe de travail. Pour plus d’instructions, consultez le guide de gestion des utilisateurs. • Définissez les listes d’ordinateurs partageant les mêmes réglages de préférences et disponibles pour les mêmes utilisateurs et groupes. Utilisez le module Ordinateurs du Gestionnaire de groupes de travail. Pour plus d’instructions, consultez le guide de gestion des utilisateurs. Dans tous les cas, cliquez sur la petite icône de globe au-dessus de la liste des utilisateurs, puis choisissez une option du menu local du Gestionnaire de groupe de travail pour ouvrir le domaine de répertoire LDAP. Si le répertoire LDAP ne figure pas dans le menu local, choisissez Autre pour le sélectionner. Remarque : pour ajouter des enregistrements et des données à un répertoire LDAP en lecture seule, vous devez utiliser des outils sur le serveur hébergeant ce répertoire. Accès à un domaine Active Directory Vous pouvez configurer un serveur équipé de Mac OS X Server ou un ordinateur doté de Mac OS X pour accéder à un domaine Active Directory sur un serveur Windows 2000 ou Windows 2003. Pour trouver les descriptions des tâches et des instructions, reportez-vous à : • “En savoir plus sur le module externe Active Directory” (suite). • “Configuration de l’accès à un domaine Active Directory” à la page 113. • “Activation ou désactivation de la mise en mémoire cache des références Active Directory” à la page 116. • “Association de l’UID à un attribut Active Directory” à la page 117. • “Modification des groupes Active Directory autorisés à administrer l’ordinateur” à la page 117. • “Modification de comptes d’utilisateur et d’autres enregistrements dans Active Directory” à la page 118. Pour certains réseaux, d’autres méthodes s’avèrent appropriées pour l’accès à un domaine Active Directory. Ces méthodes alternatives comprennent : • “Configuration de l’accès LDAP aux domaines Active Directory” à la page 118.112 Chapitre 7 Gestion de Format de répertoire En savoir plus sur le module externe Active Directory Vous pouvez configurer Mac OS X pour accéder à des informations de compte d’utilisateur élémentaires dans un domaine Active Directory d’un serveur Windows 2000 ou Windows 2003. Cela est possible grâce au module externe Active Directory pour Format de répertoire. Ce module externe figure dans le panneau Services de Format de répertoire. Il n’est pas nécessaire d’effectuer des modifications de schéma dans le domaine Active Directory pour obtenir des informations élémentaires de compte d’utilisateur. Vous devrez éventuellement modifier la liste ACL (liste de contrôle d’accès) par défaut de certains attributs pour que les comptes d’ordinateur puissent lire les propriétés. Le module externe Active Directory génère tous les attributs requis pour l’authentification Mac OS X à partir d’attributs standard dans les comptes d’utilisateur Active Directory. Le module gère également les politiques d’authentification Active Directory, y compris la modification, l’expiration et le changement forcé de mot de passe. Le module Active Directory génère de manière dynamique un identifiant d’utilisateur unique et un identifiant de groupe principal, basés sur l’identifiant GUID (Globally Unique ID) du compte d’utilisateur dans le domaine Active Directory. L’identifiant d’utilisateur et l’identifiant de groupe principal générés sont toujours les mêmes pour chaque compte d’utilisateur, même si le compte est utilisé pour ouvrir une session sur différents ordinateurs Mac OS X. Vous pouvez également forcer le module externe Active Directory à associer l’identifiant d’utilisateur à un attribut Active Directory que vous spécifiez. Lorsqu’une personne ouvre une session sur Mac OS X à l’aide d’un compte d’utilisateur Active Directory, le module Active Directory crée un répertoire de départ sur le volume de démarrage de l’ordinateur Mac OS X. Le module demande également à Mac OS X de monter le répertoire de départ Windows de l’utilisateur (spécifié dans le compte d’utilisateur Active Directory) sur le bureau, comme point de partage. À l’aide du Finder, l’utilisateur peut copier des fichiers entre le répertoire de départ Windows dans le globe Réseau et le répertoire de départ Mac OS X. À chaque fois qu’un utilisateur ouvre une session Mac OS X à l’aide d’un nom d’utilisateur et d’un mot de passe Active Directory, le module externe Active Directory peut placer les références d’authentification en mémoire cache sur l’ordinateur Mac OS X. Cela permet à l’utilisateur d’ouvrir de nouveau une session sur le même ordinateur lorsque ce dernier n’est pas connecté au réseau. Vous pouvez activer ou désactiver la mise en cache des références.Chapitre 7 Gestion de Format de répertoire 113 Si le schéma Active Directory a été étendu pour inclure les types d’enregistrements (classes d’objets) et les attributs Mac OS X, le module Active Directory les détecte et y accède automatiquement. Le schéma Active Directory pourrait par exemple être modifié à l’aide des outils d’administration Windows pour inclure les attributs des clients gérés Mac OS X Server. Cette modification du schéma permettra au module externe Active Directory d’accepter les réglages de client géré réalisés dans le module Préférences du Gestionnaire de groupe de travail. Les clients Mac OS X bénéficient d’un accès en lecture complet aux attributs ajoutés au répertoire. De ce fait, il peut s’avérer nécessaire de modifier la liste ACL de ces attributs pour autoriser les comptes d’ordinateur à lire ces attributs ajoutés. Le module externe Active Directory détecte automatiquement tous les domaines d’une forêt Active Directory. Vous pouvez configurer le module afin de permettre aux utilisateurs de n’importe quel domaine de la forêt de s’authentifier sur un ordinateur Mac OS X. L’authentification multi-domaine peut également être désactivée pour ne permettre que l’authentification de domaines spécifiques sur le client. Le module Active Directory gère totalement la duplication et le basculement Active Directory. Il détecte plusieurs contrôleurs de domaine et détermine le plus proche. Si un contrôleur de domaine devient indisponible, le module bascule automatiquement sur un autre contrôleur de domaine proche. Le module externe Active Directory utilise LDAP pour accéder aux comptes d’utilisateur Active Directory et à Kerberos pour les authentifier. Le module Active Directory n’utilise pas l’interface propriétaire ADSI (Active Directory Services Interface) de Microsoft pour accéder aux services de répertoire ou d’authentification. Configuration de l’accès à un domaine Active Directory À l’aide du module externe Active Directory répertorié dans Format de répertoire, vous pouvez configurer Mac OS X pour accéder aux informations élémentaires de compte d’utilisateur dans un domaine Active Directory sur un serveur Windows. Le module externe Active Directory génère tous les attributs requis pour l’authentification Mac OS X. Aucune modification du schéma Active Directory n’est nécessaire. Le module externe Active Directory détecte et accède aux types d’enregistrements et aux attributs Mac OS X standard, tels que les attributs requis pour la gestion de client Mac OS X, si le schéma Active Directory a été étendu pour les inclure. Important : une option avancée du module externe Active Directory donne la possibilité d’associer l’attribut d’identifiant d’utilisateur unique (UID) Mac OS X à un attribut approprié ajouté au schéma Active Directory. Si vous changez ultérieurement le réglage de cette option de mappage, les utilisateurs risquent de perdre l’accès aux fichiers créés précédemment. Pour configurer l’accès à un domaine Active Directory : 1 Dans Format de répertoire, cliquez sur Services.114 Chapitre 7 Gestion de Format de répertoire 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus et tapez le nom et le mot de passe d’un administrateur. 3 Sélectionnez Active Directory dans la liste des services, puis cliquez sur Configurer. 4 Saisissez les noms DNS des serveurs hébergeant la forêt Active Directory et le domaine duquel l’ordinateur que vous configurez deviendra membre. L’administrateur du domaine Active Directory vous indiquera les noms de la forêt et du domaine. Si vous disposez d’une seule forêt avec un seul domaine, saisissez le même nom pour la forêt et le domaine. 5 Saisissez l’identifiant de l’ordinateur, qui est le nom affecté dans le domaine Active Directory à l’ordinateur que vous êtes en train de configurer. Si vous n’êtes pas sûr du nom à saisir, consultez l’administrateur du domaine Active Directory. 6 Cliquez sur Association, authentifiez-vous en tant qu’utilisateur autorisé à configurer une connexion au domaine Active Directory, puis cliquez sur OK. Nom et mot de passe : vous pouvez vous authentifier en saisissant les nom et mot de passe de votre compte d’utilisateur Active Directory, sinon, il se peut que l’administrateur du domaine Active Directory doive vous fournir un nom et un mot de passe. OU : saisissez l’unité organisationnelle (OU) de l’ordinateur que vous êtes en train de configurer. 7 Définissez éventuellement les options avancées. Si elles sont masquées, cliquez sur Afficher les options avancées. “Placer en cache la session du dernier utilisateur pour fonctionner hors connexion” : sélectionnez cette option pour activer l’utilisation des références hors connexion sans modifier le schéma Active Directory. Il s’agit du réglage par défaut pour les utilisateurs qui ouvrent une session sur l’ordinateur. Une capacité équivalente est fournie par les réglages de client géré dans un domaine Open Directory et dans la plupart des domaines de répertoire LDAP. Si un compte d’utilisateur dispose de réels réglages de client géré, cette option est ignorée. “Authentifier dans des domaines multiples” : sélectionnez cette option pour permettre aux utilisateurs de n’importe quel domaine de la forêt de s’authentifier sur cet ordinateur. Si cette option n’est pas cochée, une liste de domaines spécifiques de la forêt sera présentée lorsque vous configurerez une politique de recherche d’authentification personnalisée, de sorte que vous puissiez ajouter individuellement des domaines à la politique de recherche.Chapitre 7 Gestion de Format de répertoire 115 “Préférer ce serveur de domaine” : sélectionnez cette option pour spécifier le nom DNS du serveur dont vous désirez utiliser par défaut le domaine Active Directory. Si le serveur devient indisponible, le module externe Active Directory basculera automatiquement sur un autre serveur proche dans la forêt. Si cette option n’est pas sélectionnée, le module externe Active Directory détermine automatiquement le domaine Active Directory le plus proche dans la forêt. “Mapper l’UID sur l’attribut” : si le schéma Active Directory a été étendu pour stocker un UID unique (identifiant d’utilisateur unique) pour chaque utilisateur — habituellement du fait que le serveur Active Directory a déjà été configuré pour gérer les ordinateurs UNIX — vous pouvez spécifier l’attribut dans lequel l’UID sera stocké. Si cette option n’est pas sélectionnée, un UID est automatiquement généré en se basant sur l’attribut GUID standard d’Active Directory. “Permettre l’administration par” : sélectionnez cette option pour spécifier une liste de groupes dont les membres seront autorisés à réaliser des tâches administratives sur cet ordinateur (par exemple, installer des logiciels). Utilisez des virgules pour séparer les noms des groupes dans la liste. Pour des raisons de sécurité, les noms des groupes doivent être qualifiés par le nom de domaine auxquels ils appartiennent (par exemple, ADS\Admin Domaine,IL2\Admin Domaine). Cette option est utile si vous avez des administrateurs de bureau qui nécessitent un accès administratif mais qui ne sont pas administrateurs de domaine. Pour que l’ordinateur accède au domaine Active Directory que vous venez de configurer, assurez-vous qu’Active Directory est activé dans le panneau Services. De plus, vous devez ajouter le domaine Active Directory à une politique de recherche personnalisée dans le panneau Authentification ou Contacts de Format de répertoire. • Si vous avez sélectionné “Authentifier dans des domaines multiples” à l’étape 7, l’ajout de la forêt Active Directory à une politique de recherche d’authentification personnalisée permet à cet ordinateur d’authentifier des utilisateurs provenant de n’importe quel domaine de la forêt. • Si vous désélectionnez “Authentifier dans des domaines multiples”, vous pouvez ajouter individuellement des domaines à la politique de recherche. Pour plus d’instructions, consultez les sections “Activation ou désactivation du service Active Directory” à la page 94 et “Définition de politiques de recherche personnalisées” à la page 99. 116 Chapitre 7 Gestion de Format de répertoire Activation ou désactivation de la mise en mémoire cache des références Active Directory Format de répertoire vous permet d’activer ou de désactiver l’utilisation de références d’authentification hors connexion à partir d’un domaine Active Directory accessible via le module externe Active Directory. Un utilisateur dont les références Active Directory sont placées en mémoire cache sur un ordinateur Mac OS X peut ouvrir une session même si l’ordinateur est déconnecté du réseau. Cette mise en cache des références ne requiert aucune modification du schéma Active Directory. Si le schéma Active Directory a été étendu pour inclure les attributs de client géré Mac OS X, les réglages de leur compte mobile seront utilisés à la place des réglages de compte mis en cache du module externe Active Directory. Pour activer ou désactiver la mise en cache des références d’authentification d’un domaine Active Directory : 1 Dans Format de répertoire, cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus et tapez le nom et le mot de passe d’un administrateur. 3 Sélectionnez Active Directory dans la liste des services, puis cliquez sur Configurer. 4 Si les options avancées sont masquées, cliquez sur Afficher les options avancées. 5 Cliquez sur “Placer en cache la session du dernier util. pour fonction. hors connexion”. Spécification d’un serveur Active Directory préféré Format de répertoire vous permet de spécifier le nom DNS du serveur possédant le domaine Active Directory auquel doit accéder par défaut le module externe Active Directory. Si le serveur devient indisponible, le module externe Active Directory basculera automatiquement sur un autre serveur proche dans la forêt. Si cette option n’est pas sélectionnée, le module externe Active Directory détermine automatiquement le domaine Active Directory le plus proche dans la forêt. Pour spécifier un serveur auquel le module externe Active Directory doit accéder par défaut : 1 Dans Format de répertoire, cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus et tapez le nom et le mot de passe d’un administrateur. 3 Sélectionnez Active Directory dans la liste des services, puis cliquez sur Configurer. 4 Si les options avancées sont masquées, cliquez sur Afficher les options avancées. 5 Sélectionnez “Préférer ce serveur de domaine” et tapez le nom DNS du serveur Active Directory.Chapitre 7 Gestion de Format de répertoire 117 Association de l’UID à un attribut Active Directory Format de répertoire vous permet de spécifier un attribut Active Directory que le module externe Active Directory doit associer à l’attribut UID (identifiant d’utilisateur unique) de Mac OS X. Le schéma Active Directory doit généralement être étendu pour inclure un attribut approprié au mappage vers l’UID. Si le mappage UID est désactivé, le module externe Active Directory génère automatiquement un UID basé sur l’attribut GUID standard d’Active Directory. Important : si vous modifiez ultérieurement le mappage de l’UID, les utilisateurs risquent de perdre l’accès aux fichiers créés précédemment. Pour associer l’UID à un attribut d’un schéma Active Directory étendu : 1 Dans Format de répertoire, cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus et tapez le nom et le mot de passe d’un administrateur. 3 Sélectionnez Active Directory dans la liste des services, puis cliquez sur Configurer. 4 Si les options avancées sont masquées, cliquez sur Afficher les options avancées. 5 Sélectionnez “Mapper l’UID sur l’attribut”, puis tapez le nom de l’attribut Active Directory à mapper sur l’UID. Modification des groupes Active Directory autorisés à administrer l’ordinateur Format de répertoire vous permet d’accorder des autorisations d’administrateur aux groupes de comptes d’utilisateur accessibles via le module externe Active Directory. Ces comptes d’utilisateur Active Directory sont utilisables pour réaliser des tâches administratives telles que l’installation de logiciels sur l’ordinateur Mac OS X que vous êtes en train de configurer. Pour spécifier les groupes de comptes d’utilisateur Active Directory qui possèdent des autorisations d’administrateur : 1 Dans Format de répertoire, cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus et tapez le nom et le mot de passe d’un administrateur. 3 Sélectionnez Active Directory dans la liste des services, puis cliquez sur Configurer. 4 Si les options avancées sont masquées, cliquez sur Afficher les options avancées. 5 Sélectionnez “Permettre l’administration par”, puis saisissez les noms des groupes. Utilisez des virgules pour séparer les noms des groupes. Pour des raisons de sécurité, les noms des groupes doivent être qualifiés par le nom de domaine auxquels ils appartiennent (par exemple, ADS\Admin Domaine,IL2\Admin Domaine). 118 Chapitre 7 Gestion de Format de répertoire Modification de comptes d’utilisateur et d’autres enregistrements dans Active Directory Gestionnaire de groupe de travail permet de modifier les comptes d’utilisateur, les comptes de groupe, les comptes d’ordinateur et d’autres enregistrements d’un domaine Active Directory. Vous pouvez également utiliser Gestionnaire de groupe de travail pour supprimer des enregistrements dans un domaine Active Directory. Pour plus d’instructions, consultez le guide de gestion des utilisateurs. Pour créer des comptes d’utilisateur, des comptes de groupe, des comptes d’ordinateur et d’autres enregistrements dans un domaine Active Directory, utilisez les outils d’administration Active Directory de Microsoft sur un serveur d’administration Windows. Configuration de l’accès LDAP aux domaines Active Directory Format de répertoire vous permet de définir une configuration LDAPv3 afin d’accéder à un domaine Active Directory situé sur un serveur Windows. Une configuration LDAPv3 vous donne un contrôle total sur le mappage des types et attributs d’enregistrements Mac OS X vers les classes d’objets, bases de recherche et attributs Active Directory. Le mappage de certains attributs et types d’enregistrements Mac OS X importants, tels que l’UID (identifiant d’utilisateur unique), nécessite l’extension du schéma Active Directory. De nombreuses fonctions du module externe Active Directory figurant dans Format de répertoire sont absentes des configurations LDAPv3. Il s’agit de la génération dynamique d’identifiant d’utilisateur unique et d’identifiant de groupe principal ; de la création d’un répertoire de départ Mac OS X local ; du montage automatique du répertoire de départ Windows ; de la mise en mémoire cache des références d’authentification ; de la détection de tous les domaines d’une forêt Active Directory ; et de la gestion de la duplication et du basculement Active Directory. Pour plus de détails, consultez la section “En savoir plus sur le module externe Active Directory” à la page 112. Format de répertoire vous permet de créer une configuration qui spécifie la manière dont Mac OS X accède à un répertoire LDAPv3 ou LDAPv2 particulier. Pour créer une configuration de serveur Active Directory : 1 Dans Format de répertoire, cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus et tapez le nom et le mot de passe d’un administrateur. 3 Sélectionnez LDAPv3 dans la liste des services, puis cliquez sur Configurer. 4 Si la liste des configurations de serveur est masquée, cliquez sur Afficher les options. 5 Cliquez sur Nouveau, puis saisissez un nom pour la configuration.Chapitre 7 Gestion de Format de répertoire 119 6 Appuyez sur la touche de tabulation pour passer à la colonne suivante, puis saisissez le nom DNS ou l’adresse IP du serveur Active Directory. 7 Cliquez sur le menu local situé à côté du nom DNS ou de l’adresse IP, puis choisissez Active Directory. 8 Saisissez la base de recherche du domaine Active Directory, puis cliquez sur OK. 9 Pour qu’Open Directory utilise les connexions SSL (Secure Sockets Layer) avec le serveur Active Directory, cochez la case SSL. Le modèle de mappage Active Directory pour une configuration LDAPv3 mappe certains attributs et types d’enregistrements Mac OS X vers des classes d’objets et des attributs qui ne font pas partie d’un schéma Active Directory standard. Il est possible de modifier les mappages définis par le modèle ou d’étendre le schéma Active Directory. (Sinon, vous pouvez éventuellement accéder à votre domaine Active Directory via le module externe Active Directory plutôt que via LDAPv3.) Pour que l’ordinateur accède au domaine Active Directory pour lequel vous venez de créer une configuration LDAPv3, vous devez ajouter le répertoire à une politique de recherche personnalisée dans le panneau Authentification ou Contacts de Format de répertoire. Par ailleurs, LDAPv3 doit être activé dans le panneau Services. Pour plus d’instructions, consultez les sections “Activation ou désactivation des services de répertoires LDAP” à la page 95 et “Définition de politiques de recherche personnalisées” à la page 99. Accès à un domaine NIS Format de répertoire vous permet de créer une configuration qui spécifie comment Mac OS X accède à un domaine NIS. Pour créer une configuration d’accès à un domaine NIS : 1 Dans Format de répertoire, cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus et tapez le nom et le mot de passe d’un administrateur. 3 Sélectionnez “BSD fichier plat et NIS” dans la liste des services, puis cliquez sur Configurer. 4 Tapez le nom de domaine NIS. Incluez le nom d’hôte ou l’adresse IP du serveur NIS s’il est nécessaire pour des raisons de sécurité ou si le serveur n’est pas sur le même sous-réseau que l’ordinateur que vous êtes en train de configurer. 5 Saisissez éventuellement le nom DNS ou l’adresse IP du serveur ou des serveurs sur lesquels se trouve le domaine NIS.120 Chapitre 7 Gestion de Format de répertoire Si vous ne spécifiez pas de serveur, NIS utilise un protocole broadcast pour détecter un serveur NIS sur le sous-réseau. 6 Créez une politique de recherche personnalisée qui inclut le domaine NIS. Dans une politique de recherche personnalisée, le domaine NIS est mentionné sous la forme /BSD/domaine, où domaine est ce que vous avez saisi à l’étape 4. Pour obtenir des instructions, consultez la section “Définition de politiques de recherche personnalisées” à la page 99. Utilisation de fichiers de configuration BSD Les ordinateurs UNIX stockent traditionnellement les données administratives dans des fichiers de configuration tels que /etc/master.passwd, /etc/group et /etc/hosts. Mac OS X repose sur une version BSD d’UNIX, mais obtient en règle générale ses données administratives à partir de domaines de répertoire, pour les raisons exposées au début de ce chapitre. Dans Mac OS X versions 10.2 et ultérieures (y compris Mac OS X Server versions 10.2 et ultérieures), Open Directory peut lire des données administratives à partir de fichiers de configuration BSD. Cette fonction permet aux organisations disposant déjà de fichiers de configuration BSD d’utiliser des copies des fichiers existants sur les ordinateurs Mac OS X. Les fichiers de configuration BSD peuvent servir seuls ou avec d’autres domaines de répertoires. Pour utiliser des fichiers de configuration BSD : 1 Définissez chaque fichier de configuration BSD avec les données requises par les services de répertoire Mac OS X. Pour obtenir des instructions, consultez la section “Configuration de données dans des fichiers de configuration BSD” à la page 121. 2 Créez une politique de recherche personnalisée incluant le domaine des fichiers de configuration BSD. Dans une politique de recherche personnalisée, le domaine des fichiers de configuration BSD est listé sous la forme /BSD/local. Pour obtenir des instructions, consultez la section “Définition de politiques de recherche personnalisées” à la page 99. Mac OS X Server version 10.3 gère un ensemble fixe de fichiers de configuration BSD. Vous ne pouvez pas spécifier les fichiers de configuration à utiliser, ni mapper leur contenu vers des attributs et types d’enregistrements Mac OS X.Chapitre 7 Gestion de Format de répertoire 121 Configuration de données dans des fichiers de configuration BSD Si vous voulez qu’un ordinateur Mac OS X lise des données administratives à partir de fichiers de configuration BSD, ces données doivent être présentes dans ces fichiers et doivent être au format requis par Mac OS X. Vous pouvez être conduit à ajouter, modifier ou réorganiser des données dans les fichiers. Gestionnaire de groupe de travail ne pouvant modifier les données des fichiers de configuration BSD, vous devez procéder aux modifications nécessaires à l’aide d’un éditeur de texte ou d’un autre outil. Pour les spécifications détaillées des données requises par les services de répertoires Mac OS X, consultez l’annexe A, “Données de répertoire Mac OS X”. Accès aux domaines NetInfo hérités Les domaines de répertoires partagés créés à l’aide des versions de Mac OS X Server antérieures à 10.3 utilisaient le protocole NetInfo (et de manière facultative le protocole LDAPv3). Il est encore possible d’utiliser NetInfo pour accéder à ces domaines NetInfo hérités. Cela signifie que : • Tout serveur Mac OS X Server ou autre ordinateur Mac OS X peut accéder à un domaine NetInfo partagé hébergé sur un serveur qui a été mis à niveau avec Mac OS X Server version 10.3. • Mac OS X Server version 10.3 et Mac OS X version 10.3 peuvent accéder à tout domaine NetInfo partagé existant. Remarque : il est impossible de créer un nouveau domaine NetInfo partagé à l’aide de Mac OS X Server version 10.3, sauf si l’on utilise des utilitaires à ligne de commande. Si vous utilisez Assistant du serveur ou Admin Serveur pour configurer Mac OS X Server version 10.3 comme maître Open Directory (c’est-à-dire pour héberger un répertoire LDAP partagé), les autres ordinateurs ne pourront accéder à ce nouveau répertoire partagé qu’en utilisant LDAP. Pour plus d’instructions sur la configuration d’un serveur Mac OS X Server ou d’un autre ordinateur Mac OS X pour accéder à un domaine NetInfo partagé, consultez les sections “À propos de la liaison NetInfo” et “Configuration d’une liaison NetInfo” ci-après. Les administrateurs système expérimentés peuvent gérer des domaines NetInfo en procédant comme suit : • Créez des enregistrements d’ordinateur pour établir une liaison broadcast vers un domaine NetInfo partagé existant. Pour obtenir des instructions, consultez la section “Ajout d’un enregistrement d’ordinateur à un domaine NetInfo parent” à la page 123. • Configuration d’un domaine NetInfo partagé pour utiliser un numéro de port particulier plutôt qu’affecté dynamiquement. Pour obtenir des instructions, consultez la section “Configuration de ports statiques pour domaines NetInfo partagés” à la page 124.122 Chapitre 7 Gestion de Format de répertoire À propos de la liaison NetInfo Lorsqu’un ordinateur Mac OS X démarre, il peut lier son domaine de répertoire local à un domaine NetInfo partagé. Le domaine NetInfo partagé peut être lié à un autre domaine NetInfo partagé. Le processus de liaison crée une hiérarchie de domaines NetInfo. Une hiérarchie NetInfo présente une structure arborescente. Les domaines locaux situés en bas de la hiérarchie sont liés aux domaines partagés qui, à leur tour, peuvent être liés à d’autres domaines partagés, etc. Chaque domaine est lié à un seul domaine partagé, mais un domaine partagé peut être lié à plusieurs domaines. Un domaine partagé est appelé domaine parent et chaque domaine qui s’y lie est un domaine enfant. Un domaine partagé lié à aucun autre domaine se situe en haut de la structure : il s’agit du domaine root. Un ordinateur Mac OS X peut se lier à un domaine NetInfo partagé au moyen de toute combinaison de trois protocoles : à savoir statique, Broadcast ou DHCP. • La liaison statique permet de spécifier l’adresse et la balise NetInfo du domaine NetInfo partagé. Elle est utilisée la plupart du temps lorsque l’ordinateur du domaine partagé ne se situe pas sur le même sous-réseau IP que l’ordinateur devant y accéder. • Avec la liaison DHCP, un serveur DHCP fournit automatiquement l’adresse et la balise NetInfo du domaine NetInfo partagé. Pour recourir à la liaison DHCP, le serveur DHCP doit être configuré en vue de fournir l’adresse et la balise d’un NetInfo parent. • Avec la liaison de diffusion, l’ordinateur localise un domaine NetInfo partagé en envoyant une requête de diffusion IP. L’ordinateur hébergeant le domaine partagé répond avec son adresse et sa balise. Dans le cadre de la liaison de diffusion, les deux ordinateurs doivent se situer sur le même sous-réseau IP ou sur un réseau configuré pour le transfert de diffusion IP. Le domaine parent doit être doté de la balise NetInfo “réseau”. Le domaine parent doit posséder un enregistrement d’ordinateur pour chaque ordinateur susceptible de se lier à lui via la liaison broadcast. Si vous configurez un ordinateur en vue d’utiliser plusieurs protocoles de liaison et si un parent ne se situe pas sur l’un d’eux, un autre protocole est utilisé. Les protocoles sont utilisés dans l’ordre suivant : protocole statique, protocole DHCP, puis protocole Broadcast. Configuration d’une liaison NetInfo Format de répertoire vous permet de configurer Mac OS X ou Mac OS X Server pour se lier à un domaine NetInfo parent en utilisant une combinaison quelconque des protocoles statique, broadcast ou DHCP. L’ordinateur tente de se lier à un domaine NetInfo parent lorsqu’il démarre.Chapitre 7 Gestion de Format de répertoire 123 Remarque : si votre réseau ne possède pas de domaine NetInfo partagé, la configuration d’un ordinateur pour se lier à un domaine NetInfo parent ralentit le démarrage de l’ordinateur. Pour lier un ordinateur Mac OS X à un domaine NetInfo partagé : 1 Dans Format de répertoire, cliquez sur Services. 2 Si l’icône représentant le cadenas est verrouillée, cliquez dessus et tapez le nom et le mot de passe d’un administrateur. 3 Sélectionnez NetInfo dans la liste des services, puis cliquez sur Configurer. 4 Sélectionnez les protocoles de liaison devant être utilisés par l’ordinateur. Pour la liaison de diffusion, sélectionnez l’option Se connecter avec le protocole Broadcast. Pour la liaison DHCP, sélectionnez l’option Se connecter avec le protocole DHCP. Pour la liaison statique, sélectionnez l’option Se connecter à un serveur NetInfo particulier. Tapez ensuite l’adresse IP de l’ordinateur de domaine parent dans le champ Adresse du serveur et la balise NetInfo du domaine parent dans le champ Balise du serveur. 5 Cliquez sur OK, puis sur Appliquer. 6 Redémarrez l’ordinateur. Ajout d’un enregistrement d’ordinateur à un domaine NetInfo parent Les ordinateurs Mac OS X peuvent lier leurs domaines de répertoire à un domaine NetInfo parent à l’aide de la liaison broadcast. Le domaine NetInfo parent doit posséder un enregistrement d’ordinateur pour chaque ordinateur Mac OS X pouvant se lier à lui par liaison broadcast. Vous pouvez créer un enregistrement d’ordinateur grâce à l’application Gestionnaire NetInfo. Ajout d’un enregistrement d’ordinateur à un domaine NetInfo parent 1 Ouvrez Gestionnaire NetInfo sur l’ordinateur hébergeant le domaine parent, puis ouvrez le domaine. 2 Cliquez sur le cadenas et authentifiez-vous à l’aide du nom et du mot de passe d’un administrateur du domaine de répertoire. 3 Sélectionnez le répertoire “ordinateurs” dans la liste de l’explorateur de répertoires. 4 Dans le menu Répertoire, choisissez Nouveau sous-répertoire. 5 Double-cliquez sur nouveau_rép dans la liste du bas, puis saisissez le nom DNS de l’ordinateur enfant. 6 Dans le menu Répertoire, choisissez Nouvelle propriété. 124 Chapitre 7 Gestion de Format de répertoire 7 Dans la liste du bas, remplacez nouvelle_propriété par adresse_ip et nouvelle_valeur par l’adresse IP de l’ordinateur enfant. 8 Dans le menu Répertoire, choisissez Nouvelle propriété. 9 Remplacez nouvelle_propriété par “serves” et nouvelle_valeur par le nom et la balise NetInfo du domaine local de l’enfant, en insérant une barre oblique (/) entre le nom et la balise. Par exemple, changez nouvelle_valeur par marketing.demo/local pour le domaine local de l’ordinateur nommé marketing.demo. 10 Choisissez Enregistrer les modifications dans le menu Domaine, puis cliquez sur l’option Mettre à jour cette copie. Configuration de ports statiques pour domaines NetInfo partagés Par défaut, Mac OS X sélectionne de manière dynamique un port dans la plage 600 à 1023 lorsqu’il accède à un domaine NetInfo partagé. Vous pouvez configurer un domaine partagé pour l’accès NetInfo à des ports spécifiques. Pour ce faire, recourez à l’application Gestionnaire NetInfo. Pour configurer des ports spécifiques en vue d’un accès NetInfo à des domaines partagés : 1 Ouvrez Gestionnaire NetInfo sur l’ordinateur hébergeant le domaine partagé, puis ouvrez le domaine. 2 Cliquez sur le cadenas et authentifiez-vous à l’aide du nom et du mot de passe d’un administrateur du domaine de répertoire. 3 Sélectionnez la barre oblique “/” pour parcourir. 4 Pour changer la valeur d’une propriété de port existant, double-cliquez sur la valeur située dans la colonne Valeur(s), puis apportez votre modification. 5 Pour supprimer une propriété de port, sélectionnez-la, puis choisissez Supprimer dans le menu Modifier. 6 Pour ajouter une propriété, choisissez Nouvelle propriété dans le menu Répertoire, puis procédez comme suit : Pour utiliser un même port pour les paquets TCP et UDP, double-cliquez sur nouvelle_propriété et remplacez cette valeur par “port”. Changez ensuite nouvelle_valeur par le numéro de port souhaité. Pour disposer de ports TCP et UDP séparés, double-cliquez sur nouvelle_propriété, puis remplacez cette valeur par tcp_port. Changez ensuite nouvelle_valeur par le numéro de port TCP souhaité. Double-cliquez ensuite sur nouvelle_propriété, puis modifiez cette valeur par port_udp. Cette fois, remplacez nouvelle_valeur par le numéro de port UDP souhaité.Chapitre 7 Gestion de Format de répertoire 125 Configuration de Format de répertoire sur un serveur distant Vous pouvez utiliser l’application Format de répertoire sur votre ordinateur pour configurer et gérer la manière dont un serveur doté de Mac OS X Server accède aux services de répertoire et détecte les services réseau. Votre ordinateur doit être équipé de la version 10.2 ou ultérieure de Mac OS X ou Mac OS X Server et le serveur distant doit être équipé de Mac OS X Server version 10.2. Pour configurer l’accès à un répertoire sur un serveur distant : 1 Dans Format de répertoire, à partir de votre ordinateur, choisissez l’option Se connecter au menu Serveur. 2 Tapez les informations de connexion et d’authentification pour le serveur à configurer, puis cliquez sur Se connecter. Adresse : tapez le nom DNS ou l’adresse IP du serveur à configurer. Nom d’utilisateur : tapez le nom d’utilisateur d’un administrateur du serveur. Mot de passe : tapez le mot de passe correspondant au nom d’utilisateur que vous avez saisi. 3 Cliquez sur les onglets Services, Authentification et Contacts, puis apportez les modifications nécessaires aux réglages. Toutes les modifications effectuées affectent le serveur distant auquel vous vous êtes connecté au cours des étapes précédentes. 4 Une fois la configuration du serveur distant terminée, choisissez Déconnecter dans le menu Serveur, sur votre ordinateur.8 127 8 Maintenance et résolution des problèmes Vous pouvez contrôler les services Open Directory, afficher et modifier les données brutes des domaines Open Directory et effectuer une sauvegarde des fichiers Open Directory. Vous pouvez aussi résoudre certains problèmes courants concernant Open Directory. Pour obtenir des descriptions et des instructions concernant les tâches de maintenance Open Directory, reportez-vous aux sections : • “Contrôle d’Open Directory” (ci-dessous). • “Affichage et modification directs des données de répertoire” à la page 128. • “Sauvegarde de fichiers Open Directory” à la page 130. • “Restauration de fichiers Open Directory” à la page 132. Pour la description de certains des problèmes liés aux services Open Directory et pour leur résolution, lisez : • “Résolution des problèmes d’accès aux répertoires” à la page 134. • “Résolution des problèmes d’authentification” à la page 135. Contrôle d’Open Directory Vous pouvez afficher les états et les historiques d’Open Directory. Vous pouvez également examiner les historiques d’authentification Open Directory pour y chercher des traces d’activités suspectes. Affichage des états et des historiques Open Directory Vous pouvez utiliser l’application Admin Serveur pour afficher les informations d’état et les historiques des services Open Directory. Les historiques disponibles sont les suivants : • Historique du serveur de services de répertoires • Historique des erreurs des services de répertoires • Historique des recherches • Historique NetInfo • Historique LDAP128 Chapitre 8 Maintenance et résolution des problèmes • Historique du serveur du service de mots de passe • Historique des erreurs du service des mots de passe Pour visualiser des historiques ou des états de services de répertoires : 1 Ouvrez Admin Serveur et choisissez le serveur Open Directory dans la liste Ordinateurs et services. 2 Cliquez sur Vue d’ensemble pour afficher les informations d’état. 3 Cliquez sur Historiques et utilisez le menu local Afficher pour choisir l’historique que vous souhaitez consulter. Contrôle de l’authentification Open Directory Vous pouvez utiliser les historiques du service de mots de passe, visibles à l’aide d’Admin Serveur, pour contrôler les tentatives d’ouverture de session ayant échoué et identifier ainsi les activités suspectes. Open Directory consigne l’ensemble des échecs d’authentification, y compris les adresses IP qui les ont générés. Réexaminez régulièrement les historiques afin de déterminer s’il existe un grand nombre de tentatives infructueuses pour un même identifiant de mot de passe, ce qui indiquerait qu’une personne est peut-être en train d’essayer de deviner des mots de passe. Pour afficher les historiques d’authentification Open Directory : 1 Ouvrez Admin Serveur et choisissez le serveur Open Directory dans la liste des Ordinateurs et services. 2 Cliquez sur Historiques, puis choisissez un historique du service de mots de passe dans le menu local Afficher. Affichage et modification directs des données de répertoire Vous pouvez afficher ou modifier les données de répertoire brutes à l’aide de l’Inspecteur dans Gestionnaire de groupe de travail. L’Inspecteur vous permet d’afficher les données de répertoires qui ne sont pas visibles dans le Gestionnaire de groupe de travail ni dans aucune autre application. L’Inspecteur vous permet en outre de modifier des données de répertoire que vous ne pouvez modifier ni dans le Gestionnaire de groupe de travail ni dans aucune autre application. Vous pouvez par exemple utiliser l’inspecteur pour modifier le nom abrégé d’un utilisateur. Affichage de l’Inspecteur de répertoire Vous pouvez afficher l’Inspecteur dans le Gestionnaire de groupe de travail en sélectionnant une option dans les Préférences du Gestionnaire de groupe de travail. Vous pouvez ensuite accéder à l’Inspecteur pour visualiser ou modifier des données de répertoire brutes.Chapitre 8 Maintenance et résolution des problèmes 129 Important : la modification de données de répertoire brutes peut avoir des conséquences imprévisibles et indésirables. Vous pourriez involontairement désactiver un utilisateur ou un ordinateur ou autoriser les utilisateurs à accéder à un nombre plus élevé de ressources que prévu. Pour afficher l’Inspecteur : 1 Ouvrez le Gestionnaire de groupe de travail et choisissez Gestionnaire de groupe de travail > Préférences. 2 Sélectionnez “Afficher l’inspecteur et l’onglet Toutes les fiches”, puis cliquez sur OK. 3 Cliquez sur le bouton Utilisateurs, Groupe ou Ordinateur (à gauche), puis cliquez sur Inspecteur (à droite). Vous pouvez également cliquer sur le bouton Toutes les fiches, à côté du bouton Ordinateurs, puis choisir un type d’enregistrement dans le menu local situé en haut de la liste. Le menu local affiche tous les types d’enregistrement standard qui existent dans le domaine de répertoire. Vous pouvez également choisir Natif dans le menu local, puis saisir le nom d’un type d’enregistrement natif dans le champ qui apparaît sous le menu local. La liste affiche tous les enregistrements, y compris les enregistrements prédéfinis, du type d’enregistrement actuellement sélectionné. Masquage de l’inspecteur de répertoire Si l’Inspecteur est visible dans le Gestionnaire de groupe de travail, vous pouvez le masquer en modifiant une option dans les Préférences du Gestionnaire de groupe de travail. Pour masquer l’Inspecteur : 1 Ouvrez le Gestionnaire de groupe de travail et choisissez Gestionnaire de groupe de travail > Préférences. 2 Désélectionnez “Afficher l’inspecteur et l’onglet Toutes les fiches”, puis cliquez sur OK. Modification du nom abrégé d’un utilisateur Vous pouvez utiliser l’Inspecteur du Gestionnaire de groupe de travail pour modifier le ou les noms abrégés d’un utilisateur, y compris son premier nom abrégé. Important : la modification du nom abrégé d’un utilisateur peut avoir des conséquences inattendues et indésirables. D’autres services utilisent le nom abrégé des utilisateurs pour les identifier de manière unique et persistante. Ainsi, la modification du nom abrégé d’un utilisateur n’affecte pas le nom de son répertoire de départ. L’utilisateur dispose du même répertoire de départ (bien que le nom de ce dernier ne corresponde plus au nouveau nom abrégé de l’utilisateur) sauf s’il accède à son répertoire de départ par l’intermédiaire d’une appartenance à un groupe. En fait, la modification du nom abrégé d’un utilisateur annule son appartenance à tous les groupes dont il est membre car la liste des membres de chaque groupe est constituée à partir des noms abrégés.130 Chapitre 8 Maintenance et résolution des problèmes Pour modifier le nom abrégé d’un compte d’utilisateur : 1 Ouvrez le Gestionnaire de groupe de travail et affichez l’Inspecteur s’il est masqué. 2 Cliquez sur le bouton Comptes, puis sur le bouton Utilisateurs. 3 Ouvrez le domaine de répertoire contenant le compte d’utilisateur dont vous voulez changer le nom abrégé, puis authentifiez-vous en tant qu’administrateur du domaine. Pour ouvrir un domaine de répertoire, cliquez sur la petite icône de globe, au-dessus de la liste des utilisateurs et faites votre choix dans le menu local. 4 Sélectionnez le compte dont vous voulez changer le nom abrégé, puis cliquez sur Inspecteur (à droite). 5 Trouvez RecordName dans la liste des attributs ; si un triangle est visible à côté de RecordName, cliquez dessus pour afficher toutes les valeurs de RecordName. L’attribut RecordName stocke le ou les noms abrégés de l’utilisateur. 6 Double-cliquez sur la valeur RecordName correspondant au nom abrégé que vous souhaitez changer, puis saisissez un autre nom abrégé et appuyez sur la touche Retour. Vous pouvez aussi cliquer sur une valeur RecordName, puis cliquer sur Modifier pour modifier la valeur dans une fenêtre de modification. 7 Cliquez sur Enregistrer. Sauvegarde de fichiers Open Directory Pour sauvegarder un maître Open Directory, vous devez sauvegarder son domaine de répertoire LDAP partagé, ses fichiers de configuration et sa base de données de serveur de mots de passe Open Directory. Vous pouvez également sauvegarder le répertoire local du serveur, qui est un domaine NetInfo. Vous pouvez effectuer la sauvegarde “à chaud” d’un maître Open Directory, c’est-à-dire le sauvegarder alors qu’il est en service. Il est possible de sauvegarder une copie Open Directory, mais cela n’est pas réellement nécessaire. En fait, il peut être dangereux de restaurer une copie car cela revient à mettre une copie dépassée du maître sur le réseau. Comme il s’agit d’une copie du maître, ce dernier constitue de fait une sauvegarde de la copie. En cas de problèmes avec une copie, vous pouvez simplement lui donner un rôle de serveur autonome. Configurez ensuite le serveur comme s’il s’agissait d’un nouveau serveur, en lui donnant un nouveau nom d’hôte, puis configurez-le comme une copie du même maître qu’auparavant. Par conséquent, si vous disposez d’une sauvegarde fiable du maître, vous disposez de fait d’une sauvegarde de toutes les copies de ce maître.Chapitre 8 Maintenance et résolution des problèmes 131 Important : veillez à effectuer la procédure de sauvegarde sans laisser s’écouler trop de temps entre les étapes. Vous vous assurez ainsi que le répertoire LDAP, les fichiers de configuration et la base de données de stockage des mots de passe sauvegardés sont aussi bien synchronisés que possible. Important : mettez en lieu sûr le support de sauvegarde qui contient une copie de la base de données des mots de passe Open Directory. Cette sauvegarde contient les mots de passe de tous les utilisateurs qui possèdent un mot de passe Open Directory, tant dans le domaine de répertoire LDAP partagé que dans le domaine de répertoire NetInfo local. Les mesures de sécurité que vous prenez pour le support de sauvegarde doivent être aussi sévères que celles prises pour le serveur maître Open Directory. Pour effectuer la sauvegarde “à chaud” d’un maître Open Directory : 1 Ouvrez une session de Terminal en tant qu’utilisateur racine (root). 2 Saisissez la commande suivante, puis appuyez sur la touche Retour. slapcat -l backup.ldif Cette utilisation de slapcat enregistre tout le contenu du répertoire LDAP en tant qu’image LDIF brute dans un fichier texte nommé backup.ldif. Vous pouvez spécifier d’autres nom de fichier et chemin d’accès. Le fichier spécifié contient toutes les enregistrements d’utilisateur, de groupe, d’ordinateur, etc. (En revanche, il ne contient pas les mots de passe des enregistrements d’utilisateur dont le mot de passe est de type Open Directory. Ces mots de passe ne sont pas stockés dans la base de données de répertoire LDAP. Il sont stockés séparément dans la base de données du serveur de mot de passe Open Directory.) 3 Faites une copie du dossier /etc/openldap. Ce dossier contient des fichiers qui déterminent la configuration du domaine de répertoire LDAP, y compris les fichiers de schéma. 4 Si votre serveur LDAP utilise SSL, faites une copie du fichier de certificat du serveur, du fichier de clé privée du serveur LDAP et du fichier de certificat de l’autorité de certification. 5 Tapez les commandes suivantes en appuyant sur la touche Retour après chacune d’elles. mkdir -p chemin d’accès au dossier de sauvegarde mkpassdb -backupdb chemin d’accès au dossier de sauvegarde Le dossier de sauvegarde des mots de passe Open Directory, dont l’emplacement correspond au chemin d’accès au dossier de sauvegarde, contiendra les copies de sauvegarde de tous les fichiers de serveur de mots de passe Open Directory, y compris la base de données. 132 Chapitre 8 Maintenance et résolution des problèmes Protégez avec le plus grand soin le dossier de sauvegarde du serveur de mots de passe Open Directory ! Il contient les mots de passe de tous les utilisateurs qui possèdent un mot de passe Open Directory, tant dans le domaine de répertoire LDAP partagé que dans le domaine de répertoire NetInfo local. Le support de sauvegarde doit être stocké en lieu sûr, exactement comme le serveur maître Open Directory. 6 Vous pouvez, si vous le souhaitez, faire une copie du dossier Library/Preferences/ DirectoryService. Les fichiers de ce dossier déterminent les politiques de recherche du serveur et la manière dont le serveur accède à son répertoire LDAP. Il peut aussi contenir des fichiers supplémentaires déterminant de quelle manière le serveur accède à d’autres domaines de répertoire. 7 Si vous le souhaitez, faites une copie du fichier /etc/hostconfig. 8 Pour sauvegarder le domaine de répertoire NetInfo local, tapez la commande suivante, puis appuyez sur la touche Retour : nidump -r / . > local.dump L’utilisation de nidump enregistre tout le contenu du domaine NetInfo local en tant que fichier texte brut nommé local.dump. Vous pouvez spécifier d’autres nom de fichier et chemin d’accès. Remarque : si tous les comptes d’utilisateur possèdent un mot de passe Open Directory et que le serveur de mots de passe Open Directory cesse de fonctionner, vous pouvez ouvrir une connexion en tant que root. Le compte d’utilisateur root du domaine de répertoire local possède mot de passe shadow qui n’est pas stocké dans la base de données du serveur de mots de passe Open Directory. Restauration de fichiers Open Directory Pour restaurer un maître Open Directory à partir de fichiers de sauvegarde, vous devez restaurer son domaine de répertoire LDAP partagé, ses fichiers de configuration et sa base de données de serveur de mots de passe Open Directory. Il est recommandé de restaurer également le répertoire local du serveur, qui est un domaine NetInfo. Pour restaurer un maître Open Directory à partir de fichiers de sauvegarde : 1 Si, après une panne catastrophique, vous devez réinstaller le logiciel Mac OS X Server, réglez l’utilisation du répertoire sur “serveur autonome” lors des étapes de configuration initiales du serveur à l’aide de l’Assistant du serveur. Si Mac OS X Server a été réinstallé, mais que l’utilisation du répertoire a initialement été réglée sur autre chose que “serveur autonome” dans l’Assistant du serveur, ouvrez Admin Serveur, sélectionnez Open Directory, cliquez sur Réglages, cliquez sur Général, puis réglez Rôle sur Serveur autonome. 2 Ouvrez une session de Terminal en tant que root.Chapitre 8 Maintenance et résolution des problèmes 133 3 Restaurez le dossier /etc/openldap à partir d’une copie de sauvegarde. Ce dossier contient des fichiers qui déterminent la configuration du domaine de répertoire LDAP, y compris les fichiers de système (schéma). 4 Restaurez le dossier /etc/hostconfig à partir d’une copie de sauvegarde. Si vous ne disposez pas d’une copie de sauvegarde du fichier /etc/hostconfig, vous pouvez modifier le fichier existant. Le fichier doit contenir la ligne suivante : LDAPSERVER=-YESSi le serveur LDAP restauré doit utiliser SSL, le fichier /etc/hostconfig file doit également contenir la ligne suivante : LDAPSSL=-YES- 5 Si le serveur LDAP restauré doit utiliser SSL, restaurez une copie du fichier de certificat du serveur, du fichier de clé privée du serveur LDAP ainsi que du fichier de certificat de l’autorité de certification. Restaurez ces fichiers dans leurs emplacements antérieurs. Les chemins d’accès corrects sont spécifiés dans /etc/openldap/slapd_macosxserver.conf ou /etc/openldap/ slapd.conf. 6 Assurez-vous que le dossier qui contiendra la base de données LDAP existe et qu’il est vide. Le chemin de ce dossier, qui par défaut est /var/db/openldap/openldap-data/ est spécifié dans /etc/openldap/slapd_macosxserver.conf ou /etc/openldap/slapd.conf. 7 Saisissez la commande suivante et appuyez sur Retour. slapadd -c -l backup.ldif L’utilisation de slapadd ajoute les enregistrements d’utilisateur, de groupe, d’ordinateur etc. au répertoire LDAP, à partir du fichier texte LDIF brut nommé backup.dif. Vous pouvez spécifier un autre nom de fichier et un chemin. (L’ajout de fiches LDAP à partir du fichier texte LDIF ne restaure pas les mots de passe pour les enregistrements d’utilisateur dont le mot de passe est de type Open Directory. Ces mots de passe ne sont pas stockés dans la base de données de répertoire LDAP, mais dans la base de données de serveur de mot de passe Open Directory.) 8 Saisissez la commande suivante et appuyez sur Retour. mkpassdb -mergedb chemin d’accès au dossier de sauvegarde L’utilisation de mkpassdb ajoute tous les mots de passe du dossier de sauvegarde du serveur de mots de passe Open Directory, dont l’emplacement correspond au chemin d’accès au dossier de sauvegarde, à la base de données existante du serveur de mots de passe Open Directory. (Le serveur dispose d’un serveur existant de mots de passe Open Directory pour son domaine de répertoire local.) 9 Saisissez la commande suivante, puis appuyez sur la touche Retour : /System/Library/StartupItems/LDAP/LDAP start134 Chapitre 8 Maintenance et résolution des problèmes Cette commande démarre le serveur LDAP. 10 Si vous souhaitez restaurer le domaine de répertoire NetInfo local, tapez la commande suivante et appuyez sur Retour : niload -r / . < local.dump L’utilisation de niload charge tout le contenu du domaine NetInfo local à partir d’un fichier texte brut nommé local.dump. 11 Restaurez le dossier Library/Preferences/DirectoryService à partir d’une copie de sauvegarde, puis redémarrez le serveur ou utilisez Format de répertoire pour configurer l’accès au répertoire LDAP restauré et l’ajouter à une politique de recherche personnalisée. Les fichiers du dossier Library/Preferences/DirectoryService déterminent les politiques de recherche du serveur et le mode d’accès du serveur à son répertoire LDAP. Il peut aussi contenir des fichiers supplémentaires déterminant le mode d’accès du serveur à d’autres domaines de répertoires. Si vous restaurez ce dossier à partir d’une copie de sauvegarde, vous devez redémarrer le serveur afin qu’Open Directory reconnaisse les politiques de recherche et les configurations d’accès au serveur restaurées. Si vous ne disposez pas d’une copie de sauvegarde de ce dossier, utilisez Format de répertoire pour créer une configuration LDAPv3 pour l’adresse IP de bouclage (127.0.0.1) et ajoutez-la à une politique de recherche d’authentification personnalisée. Pour plus de détails, voir “Configuration de l’accès à un répertoire LDAP” à la page 102 et “Définition de politiques de recherche personnalisées” à la page 99. Résolution des problèmes d’accès aux répertoires Les problèmes d’accès aux services de répertoire lors du démarrage peuvent avoir plusieurs causes. Un ralentissement se produit lors du démarrage Si Mac OS X ou Mac OS X Server rencontre un problème de ralentissement au démarrage alors qu’un message concernant NetInfo, LDAP ou les services de répertoire s’affiche au-dessus de la barre de progression, il est possible que l’ordinateur essaie d’accéder à un domaine NetInfo ou à un répertoire LDAP qui n’est pas disponible sur votre réseau. • Utilisez Format de répertoire pour vous assurer que les configurations NetInfo et LDAP sont correctes. • Utilisez le tableau Réseau des Préférences Système pour vous assurer que la configuration réseau de l’ordinateur et les autres paramètres de réseau sont corrects. • Examinez le réseau physique pour détecter d’éventuels problèmes de connexion. Chapitre 8 Maintenance et résolution des problèmes 135 Résolution des problèmes d’authentification Vous pouvez résoudre certains problèmes courants des services d’authentification. Impossible de modifier un mot de passe d’utilisateur Avant de pouvoir modifier le mot de passe d’un utilisateur dont le mot de passe est authentifié par Open Directory, vous devez être un administrateur du domaine de répertoire où se trouve la fiche de l’utilisateur. De plus, votre compte d’utilisateur doit être configuré pour une authentification Open Directory. Un utilisateur ne parvient pas à s’authentifier pour le service VPN Les utilisateurs, dont les comptes sont stockés sur un serveur Mac OS X Server de version 10.2 ne peuvent pas s’authentifier pour le service VPN fourni par Mac OS X Server version 10.3 ou ultérieure. Le service VPN requiert la méthode d’authentification MS-CHAPv2, qui n’est pas gérée par Mac OS X Server version 10.2. Pour permettre aux utilisateurs concernés d’ouvrir une session, vous pouvez transférer leurs comptes d’utilisateur sur un serveur doté de Mac OS X Server version 10.3 ou ultérieure. Une autre solution consiste à mettre à niveau les anciens serveurs avec Mac OS X Server version 10.3 ou ultérieure. Impossible de convertir le type de mot de passe d’un utilisateur en Open Directory Afin de pouvoir modifier un compte d’utilisateur de telle manière qu’il puisse utiliser une authentification Open Directory, vous devez être administrateur du domaine de répertoire dans lequel se trouve la fiche de cet utilisateur. De plus, votre compte d’utilisateur doit être configuré pour une authentification Open Directory. Les utilisateurs Kerberos ne parviennent pas à être authentifiés En cas d’échec d’authentification d’un utilisateur ou d’un service employant Kerberos, procédez de l’une des manières suivantes : • Le comportement de Kerberos repose sur des horodatages cryptés. S’il existe une différence de plus de cinq minutes entre le centre de distribution de clés, le client et les ordinateurs des services, l’authentification risque d’échouer. Vérifiez que les horloges de tous ces ordinateurs sont synchronisées à l’aide d’un serveur horloge de réseau. • Si Kerberos est en cours d’utilisation, assurez-vous que l’authentification est activée pour le service en question. • Si un serveur Kerberos servant à la validation de mot de passe est indisponible, réinitialisez le mot de passe de l’utilisateur afin de recourir à un serveur disponible. • Assurez-vous que le serveur fournissant le service Kerberos dispose bien d’un accès direct aux domaines de répertoires contenant les comptes des utilisateurs authentifiés via Kerberos. Pour ce faire, vous pouvez par exemple utiliser un domaine de répertoire partagé sur le serveur du centre de distribution de clés hébergeant les fiches d’utilisateurs qui correspondent à l’ensemble des principaux de l’utilisateur.136 Chapitre 8 Maintenance et résolution des problèmes • Pour obtenir des informations susceptibles d’aider à résoudre certains problèmes, consultez l’historique du centre de distribution de clés (kdc.log). Des informations de configuration incorrectes, comme des noms de fichiers de configuration incorrects, peuvent être détectées à l’aide de ces historiques. • Assurez-vous que tous vos fichiers de configuration sont complets et corrects. Par exemple, vérifiez que le fichier keytab sur votre serveur comporte les principaux utiles. Réinitialisation d’un mot de passe d’administrateur Le disque d’installation de Mac OS X Server vous permet de changer le mot de passe d’un compte d’utilisateur disposant d’autorisations d’administrateur, y compris le compte de l’Administrateur système (root ou superuser). Important : dans la mesure où un utilisateur disposant du disque d’installation peut accéder sans restriction à votre serveur, il est conseillé de limiter l’accès physique à l’ordinateur hébergeant le logiciel de serveur. Pour modifier le mot de passe d’un compte d’administrateur : 1 Démarrez à partir du disque d’installation 1 de Mac OS X Server. 2 Dans le programme d’installation, choisissez Installation > Réinitialiser le mot de passe. 3 Sélectionnez le volume de disque dur contenant le compte d’administrateur dont vous voulez réinitialiser le mot de passe. 4 Choisissez le compte d’administrateur dans le menu local, tapez un nouveau mot de passe, puis cliquez sur Enregistrer. L’Administrateur système correspond au compte d’utilisateur racine (root ou superuser). Ne confondez pas ce compte avec un compte d’administrateur normal. Évitez de modifier les mots de passe des comptes d’utilisateur prédéfinis. Pour plus d’informations sur les comptes d’utilisateur prédéfinis, lisez le guide de gestion des utilisateurs. Remarque : cette procédure modifie le mot de passe du compte d’administrateur stocké dans le domaine de répertoire local du serveur. Il ne modifie pas le mot de passe d’un compte d’administrateur stocké dans le domaine de répertoire partagé du serveur, si le serveur dispose d’un tel domaine. Si vous connaissez le mot de passe d’un compte d’administrateur stocké dans le domaine local, vous pouvez modifier le mot de passe de tous les autres comptes d’administrateur du domaine de répertoire local en utilisant le Gestionnaire de groupe de travail plutôt que cette procédure. Pour obtenir des instructions, lisez le guide de gestion des utilisateurs. 137 A Annexe A Données de répertoire Mac OS X La connaissance du schéma LDAP Open Directory et des attributs et types d’enregistrements des domaines de répertoire Mac OS X vous aidera pour le mappage sur d’autres domaines de répertoire, ainsi que pour l’importation ou l’exportation des comptes d’utilisateur et de groupe. Pour les spécifications des extensions Open Directory au schéma LDAP, des mappages d’attributs Open Directory sur des attributs LDAP et Active Directory et des attributs standard de divers types d’enregistrements, consultez les sections : • “Extensions Open Directory au schéma LDAP” à la page 138. • “Classes d’objets du schéma LDAP Open Directory” à la page 138. • “Attributs du schéma LDAP Open Directory” à la page 144. • “Mappage d’attributs standard sur LDAP et Active Directory” à la page 157. • “Mappages pour Utilisateurs” à la page 157. • “Mappages de groupes (Groups)” à la page 161. • “Mappages de montages (Mounts)” à la page 162. • “Mappages d’ordinateurs (Computers)” à la page 163. • “Mappages de listes d’ordinateurs (ComputerLists)” à la page 165. • “Mappages de configuration (Config)” à la page 165. • “Mappages de personnes (People)” à la page 166. • “Mappages de listes d’ordinateurs préréglés (PresetComputerLists)” à la page 168. • “Mappages de groupes préréglés (PresetGroups)” à la page 168. • “Mappages d’utilisateurs préréglés (PresetUsers)” à la page 169. • “Mappages d’imprimantes (Printers)” à la page 171. • “Mappages de configuration automatique de serveur (AutoServerSetup)” à la page 172. • “Mappages d’emplacements (Locations)” à la page 172. • “Attributs standard des enregistrements d’utilisateurs” à la page 173. • “Données d’utilisateur utilisées par Mac OS X Server” à la page 178. • “Attributs standard dans les enregistrements de groupes” à la page 179. • “Attributs standard des enregistrements d’ordinateurs” à la page 180.138 Annexe A Données de répertoire Mac OS X • “Attributs standard des enregistrements de listes d’ordinateurs” à la page 181. • “Attributs standard des enregistrements de montage” à la page 182. • “Attributs standard des enregistrements de configuration” à la page 182. Utilisez ces spécifications pour rappel lorsque vous : • Mappez des classes d’objets et des attributs de répertoires LDAP non-Apple ou des domaines Active Directory sur des types et attributs d’enregistrements Open Directory, comme décrit au le chapitre 7, “Gestion de Format de répertoire”. • Importez ou exportez des comptes d’utilisateur ou de groupe vers un domaine Open Directory, comme décrit dans le guide de gestion des utilisateurs. Extensions Open Directory au schéma LDAP Le schéma des répertoires LDAP Open Directory est basé sur les attributs et classes d’objets standard définis dans les documents RFC (Request for Comments) de l’IETF (Internet Engineering Task Force) : • RFC 2307 “An Approach for Using LDAP as a Network Information Service” • RFC 2798 “Definition of the inetOrgPerson LDAP Object Class” Ces RFC sont disponibles sur le site Web de l’IETF (en anglais) : www.ietf.org/rfc.html Les attributs et classes d’objets définis dans ces RFC forment la base du schéma LDAP Open Directory. Le schéma étendu des répertoires LDAP Open Directory inclut les attributs et classes d’objets définis dans cette section. Remarque : Apple est susceptible d’étendre plus tard le schéma LDAP Open Directory, par exemple pour gérer de nouvelles versions de Mac OS X et Mac OS X Server. Le schéma le plus récent est disponible sous forme de fichiers texte sur tout ordinateur doté de Mac OS X Server. Les fichiers de schéma se trouvent dans le répertoire /etc/ openldap/schema. En particulier, le fichier apple.schema contient les dernières extensions de schéma pour répertoires LDAP Open Directory. Classes d’objets du schéma LDAP Open Directory Cette section définit les classes d’objets Open Directory LDAP qui étendent le schéma LDAP standard. Classe d’objets structurelle de conteneur (container) Container est une classe d’objets structurelle utilisée pour les conteneurs d’enregistrements de premier niveau comme cn=users, cn=groups et cn=mounts. Il n’existe pas de services de répertoires analogues à cette classe d’objets, mais le nom de conteneur fait partie de la base de recherche pour chaque type d’enregistrement. objectclass ( 1.2.840.113556.1.3.23Annexe A Données de répertoire Mac OS X 139 NAME ’container’ SUP top STRUCTURAL MUST ( cn ) ) Classe d’objets d’utilisateur (user) La classe d’objets apple-user est une classe auxiliaire servant à stocker des attributs spécifiques Mac OS X qui ne font pas partie d’inetOrgPerson ou de posixAccount. Cette classe d’objets est utilisée avec les enregistrements kDSStdRecordTypeUsers. objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.1 NAME ’apple-user’ SUP top AUXILIARY DESC ’compte d’utilisateur apple’ MAY ( apple-user-homeurl $ apple-user-class $ apple-user-homequota $ apple-user-mailattribute $ apple-user-printattribute $ apple-mcxflags $ apple-mcxsettings $ apple-user-adminlimits $ apple-user-picture $ apple-user-authenticationhint $ apple-user-homesoftquota $ apple-user-passwordpolicy $ apple-keyword $ apple-generateduid $ authAuthority $ acctFlags $ pwdLastSet $ logonTime $ logoffTime $ kickoffTime $ homeDrive $ scriptPath $ profilePath $ userWorkstations $ smbHome $ rid $ primaryGroupID ) ) Classe d’objets auxiliaire de groupe (group) La classe d’objets apple-group est une classe auxiliaire utilisée pour stocker des attributs spécifiques Mac OS X qui ne font pas partie de posixGroup. Cette classe d’objets est utilisée avec les enregistrements kDSStdRecordTypeGroups. objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.14 NAME ’apple-group’ SUP top AUXILIARY DESC ’compte de groupe’ MAY ( apple-group-homeurl $ apple-group-homeowner $ apple-mcxflags $ apple-mcxsettings $ apple-group-realname $ apple-user-picture $ apple-keyword $140 Annexe A Données de répertoire Mac OS X apple-generateduid ) ) Classe d’objets auxiliaire d’ordinateur (machine) objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.3 NAME ’apple-machine’ SUP top AUXILIARY MAY ( apple-machine-software $ apple-machine-hardware $ apple-machine-serves $ apple-machine-suffix ) ) Classe d’objets de montage (mount) objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.8 NAME ’mount’ SUP top STRUCTURAL MUST ( cn ) MAY ( mountDirectory $ mountType $ mountOption $ mountDumpFrequency $ mountPassNo ) ) Classe d’objets d’imprimante (printer) objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.9 NAME ’apple-printer’ SUP top STRUCTURAL MUST ( cn ) MAY ( apple-printer-attributes $ apple-printer-lprhost $ apple-printer-lprqueue $ apple-printer-type $ apple-printer-note ) ) Classe d’objets d’ordinateur (computer) objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.10 NAME ’apple-computer’ DESC ’ordinateur’ SUP top STRUCTURAL MUST ( cn )Annexe A Données de répertoire Mac OS X 141 MAY ( apple-realname $ description $ macAddress $ apple-computer-list-groups $ apple-mcxflags $ apple-mcxsettings $ apple-xmlplist $ authAuthority $ uidNumber $ gidNumber $ apple-generateduid $ acctFlags $ pwdLastSet $ logonTime $ logoffTime $ kickoffTime $ rid $ primaryGroupID ) ) Classe d’objets de liste d’ordinateurs (ComputerList) objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.11 NAME ’apple-computer-list’ DESC ’liste d’ordinateurs’ SUP top STRUCTURAL MUST ( cn ) MAY ( apple-mcxflags $ apple-mcxsettings $ apple-computer-list-groups $ apple-computers $ apple-keyword ) ) Classe d’objets de configuration objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.12 NAME ’apple-configuration’ DESC ’configuration’ SUP top STRUCTURAL MAY ( cn $ apple-config-realname $ apple-data-stamp $ apple-password-server-location $ apple-password-server-list $ apple-ldap-replica $ apple-ldap-writable-replica $ apple-keyword $ apple-kdc-authkey $ apple-kdc-configdata $ apple-xmlplist ) )142 Annexe A Données de répertoire Mac OS X Classe d’objets de liste d’ordinateurs préréglés (Preset Computer List) objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.13 NAME ’apple-preset-computer-list’ DESC ’liste d’ordinateurs préréglés’ SUP top STRUCTURAL MUST ( cn ) MAY ( apple-mcxflags $ apple-mcxsettings $ apple-keyword ) ) Classe d’objets de groupe préréglé (Preset Group) objectclass ( 1.3.6.1.4.1.63.1000.1.1.3.14 NAME ’apple-preset-group’ DESC ’groupe préréglé’ SUP top STRUCTURAL MUST ( cn ) MAY ( memberUid $ gidNumber $ apple-group-homeurl $ apple-group-homeowner $ apple-mcxflags $ apple-mcxsettings $ apple-group-realname $ apple-keyword ) ) Classe d’objets d’utilisateur préréglé (Preset User) objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.15 NAME ’apple-preset-user’ DESC ’utilisateur préréglé’ SUP top STRUCTURAL MUST ( cn ) MAY ( uid $ memberUid $ gidNumber $ homeDirectory $ apple-user-homeurl $ apple-user-homequota $ apple-user-homesoftquota $ apple-user-mailattribute $ apple-user-printattribute $Annexe A Données de répertoire Mac OS X 143 apple-mcxflags $ apple-mcxsettings $ apple-user-adminlimits $ apple-user-passwordpolicy $ userPassword $ apple-user-picture $ apple-keyword $ loginShell $ shadowLastChange $ shadowExpire $ authAuthority $ apple-preset-user-is-admin ) ) Classe d’objets d’autorité d’authentification (Authentication Authority) objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.16 NAME ’authAuthorityObject’ SUP top AUXILIARY MAY ( authAuthority ) ) Classe d’objets de configuration d’assistant du serveur (Server Assistant Configuration) objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.17 NAME ’apple-serverassistant-config’ SUP top AUXILIARY MUST ( cn ) MAY ( apple-xmlplist ) ) Classe d’objets d’emplacement (Location) objectclass ( 1.3.6.1.4.1.63.1000.1.1.2.18 NAME ’apple-location’ SUP top AUXILIARY MUST ( cn ) MAY ( apple-dns-domain $ apple-dns-nameserver ) )144 Annexe A Données de répertoire Mac OS X Attributs du schéma LDAP Open Directory Cette section définit les attributs LDAP Open Directory qui étendent le schéma LDAP standard. Attributs d’utilisateur apple-user-homeurl Stocke les informations de répertoire de départ sous la forme d’une URL et d’un chemin d’accès. Cela permet d’établir une correspondance avec le type d’attribut kDS1AttrHomeDirectory des services de répertoires. attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.6 NAME ’apple-user-homeurl’ DESC ’URL du répertoire de départ’ EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) apple-user-class Inutilisé. attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.7 NAME ’apple-user-class’ DESC ’classe d’utilisateur’ EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) apple-user-homequota Spécifie le quota du répertoire de départ en kilo-octets. attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.8 NAME ’apple-user-homequota’ DESC ’quota du répertoire de départ’ EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )Annexe A Données de répertoire Mac OS X 145 apple-user-mailattribute Stocke les réglages de courrier au format XML. attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.9 NAME ’apple-user-mailattribute’ DESC ’attribut de courrier’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-mcxflags Stocke les informations de client géré. Cet attribut se trouve dans les enregistrements d’utilisateur, de groupe, d’ordinateur et de listes d’ordinateurs. attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.10 NAME ’apple-mcxflags’ DESC ’indicateurs mcx’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-mcxsettings Stocke les informations de client géré. Cet attribut se trouve dans les enregistrements d’utilisateur, de groupe, d’ordinateur et de listes d’ordinateurs. #attributetype ( # 1.3.6.1.4.1.63.1000.1.1.1.1.11 # NAME ’apple-mcxsettings’ # DESC ’réglages mcx’ # EQUALITY caseExactMatch # SUBSTR caseExactSubstringsMatch # SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.16 NAME ( ’apple-mcxsettings’ ’apple-mcxsettings2’ ) DESC ’réglages mcx’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )146 Annexe A Données de répertoire Mac OS X apple-user-picture Stocke un chemin d’accès vers l’image à afficher dans la fenêtre d’ouverture de session pour cet enregistrement d’utilisateur. Utilisé lorsque l’utilisateur est affiché dans la liste déroulante de la fenêtre d’ouverture de session (sur les réseaux gérés). Les utilisateurs ont la possibilité de modifier leur image par défaut. attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.12 NAME ’apple-user-picture’ DESC ’image’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-user-printattribute Stocke les réglages de quota d’impression sous forme de plist XML. attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.13 NAME ’apple-user-printattribute’ DESC ’attribut d’impression’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-user-adminlimits Cet attribut est utilisé par Gestionnaire de groupe de travail pour stocker une plist XML décrivant les capacités d’un administrateur. Ces réglages sont respectés et actualisés par Gestionnaire de groupe de travail, mais n’affectent pas les autres éléments du système. attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.14 NAME ’apple-user-adminlimits’ DESC ’capacités d’administrateur’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE )Annexe A Données de répertoire Mac OS X 147 apple-user-authenticationhint L’attribut apple-user-authenticationhint est utilisé par la fenêtre d’ouverture de session pour afficher un indice lorsque l’utilisateur effectue successivement trois tentatives ratées d’ouverture de session. Chaque utilisateur peut modifier son indice d’authentification. attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.15 NAME ’apple-user-authenticationhint’ DESC ’indice de mot de passe’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-user-homesoftquota attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.17 NAME ’apple-user-homesoftquota’ DESC ’quota (soft) du répertoire de départ’ EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) apple-user-passwordpolicy attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.18 NAME ’apple-user-passwordpolicy’ DESC ’options de politique de mot de passe’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-keyword attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.19 NAME ( ’apple-keyword’ ) DESC ’mots clés’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )148 Annexe A Données de répertoire Mac OS X apple-generateduid attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.1.20 NAME ( ’apple-generateduid’ ) DESC ’identifiant unique généré’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-user-homeDirectory N’est pas utilisé par le serveur Open Directory mais fourni comme exemple d’OID et d’attribut à employer comme alternative à l’attribut homeDirectory de la RFC 2307. Particulièrement intéressant pour Active Directory puisqu’il utilise un attribut homeDirectory différent de celui de la RFC 2307. # Alternative à l’emploi de homeDirectory de RFC 2307. #attributetype ( # 1.3.6.1.4.1.63.1000.1.1.1.1.100 # NAME ’apple-user-homeDirectory’ # DESC ’Le chemin d’accès absolu au répertoire de départ’ # EQUALITY caseExactIA5Match # SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) Attributs de groupe apple-group-homeurl Spécifie le répertoire de départ associé à un groupe de travail de clients gérés. Monté lors de l’ouverture de session de tous les utilisateurs de ce groupe de travail. attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.14.1 NAME ’apple-group-homeurl’ DESC ’url du répertoire de départ du groupe’ EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )Annexe A Données de répertoire Mac OS X 149 apple-group-homeowner L’attribut apple-group-homeowner détermine le propriétaire du répertoire de départ du groupe de travail lorsqu’il est créé dans le système de fichiers. Le groupe du répertoire est le groupe de travail auquel il est associé. attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.14.2 NAME ’apple-group-homeowner’ DESC ’réglages du propriétaire du répertoire de départ du groupe’ EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) apple-group-realname Permet d’associer un nom d’utilisateur plus long et plus convivial aux groupes. Ce nom apparaît dans Gestionnaire de groupe de travail et peut contenir des caractères nonASCII. attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.14.5 NAME ’apple-group-realname’ DESC ’nom réel du groupe’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-group-memberUid Inutilisé par le serveur Open Directory, mais défini comme exemple d’attribut et d’OID pouvant être ajoutés à un autre serveur LDAP pour gérer les clients Mac OS X. # Alternative à l’emploi de l’attribut memberUid de la RFC 2307. #attributetype ( # 1.3.6.1.4.1.63.1000.1.1.1.14.1000 # NAME ’apple-group-memberUid’ # DESC ’liste des membres du groupe’ # EQUALITY caseExactIA5Match # SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) # can also use OID 1.3.6.1.4.1.63.1000.1.1.2.1000150 Annexe A Données de répertoire Mac OS X Attributs d’ordinateur (machine) apple-machine-software attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.3.8 NAME ’apple-machine-software’ DESC ’logiciel système installé’ EQUALITY caseIgnoreIA5Match SUBSTR caseIgnoreIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) apple-machine-hardware attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.3.9 NAME ’apple-machine-hardware’ DESC ’description matérielle du système’ EQUALITY caseIgnoreIA5Match SUBSTR caseIgnoreIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) apple-machine-serves attributeType ( 1.3.6.1.4.1.63.1000.1.1.1.3.10 NAME ’apple-machine-serves’ DESC ’Liaison de serveur de domaine NetInfo’ EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) apple-machine-suffix attributeType ( 1.3.6.1.4.1.63.1000.1.1.1.3.11 NAME ’apple-machine-suffix’ DESC ’suffixe DIT’ EQUALITY caseIgnoreMatch SUBSTR caseIgnoreSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )Annexe A Données de répertoire Mac OS X 151 Attributs de montage (mount) mountDirectory attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.8.1 NAME ’mountDirectory’ DESC ’chemin d’accès de montage’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) mountType attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.8.2 NAME ’mountType’ DESC ’type VFS du montage’ EQUALITY caseIgnoreIA5Match SUBSTR caseIgnoreIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) mountOption attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.8.3 NAME ’mountOption’ DESC ’options de montage’ EQUALITY caseIgnoreIA5Match SUBSTR caseIgnoreIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) mountDumpFrequency attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.8.4 NAME ’mountDumpFrequency’ DESC ’fréquence de vidage du montage’ EQUALITY caseIgnoreIA5Match SUBSTR caseIgnoreIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )152 Annexe A Données de répertoire Mac OS X mountPassNo attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.8.5 NAME ’mountPassNo’ DESC ’passno du montage’ EQUALITY caseIgnoreIA5Match SUBSTR caseIgnoreIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) Attributs d’imprimante (printer) apple-printer-attributes attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.9.1 NAME ’apple-printer-attributes’ DESC ’attributs d’imprimante au format /etc/printcap’ EQUALITY caseIgnoreIA5Match SUBSTR caseIgnoreIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 ) apple-printer-lprhost attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.9.2 NAME ’apple-printer-lprhost’ DESC ’nom d’hôte LPR d’imprimante’ EQUALITY caseIgnoreMatch SUBSTR caseIgnoreSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-printer-lprqueue attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.9.3 NAME ’apple-printer-lprqueue’ DESC ’liste d’attente LPR d’imprimante’ EQUALITY caseIgnoreMatch SUBSTR caseIgnoreSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )Annexe A Données de répertoire Mac OS X 153 apple-printer-type attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.9.4 NAME ’apple-printer-type’ DESC ’type d’imprimante’ EQUALITY caseIgnoreMatch SUBSTR caseIgnoreSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-printer-note attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.9.5 NAME ’apple-printer-note’ DESC ’note d’imprimante’ EQUALITY caseIgnoreMatch SUBSTR caseIgnoreSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) Attributs d’ordinateur (computer) apple-realname attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.10.2 NAME ’apple-realname’ DESC ’nom réel’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) Attributs de liste d’ordinateurs (ComputerList) apple-computers attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.11.3 NAME ’apple-computers’ DESC ’ordinateurs’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )154 Annexe A Données de répertoire Mac OS X apple-computer-list-groups attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.11.4 NAME ’apple-computer-list-groups’ DESC ’groupes’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-xmlplist attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.17.1 NAME ’apple-xmlplist’ DESC ’données de plist XML’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) Attributs de configuration apple-password-server-location attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.12.1 NAME ’apple-password-server-location’ DESC ’emplacement du serveur de mots de passe’ EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) apple-data-stamp attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.12.2 NAME ’apple-data-stamp’ DESC ’data stamp’ EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )Annexe A Données de répertoire Mac OS X 155 apple-config-realname attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.12.3 NAME ’apple-config-realname’ DESC ’nom réel de configuration’ EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) apple-password-server-list attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.12.4 NAME ’apple-password-server-list’ DESC ’plist de duplication de serveur de mots de passe’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) apple-ldap-replica attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.12.5 NAME ’apple-ldap-replica’ DESC ’liste de duplication LDAP’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-ldap-writable-replica attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.12.6 NAME ’apple-ldap-writable-replica’ DESC ’liste de duplication LDAP modifiable’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 )156 Annexe A Données de répertoire Mac OS X apple-kdc-authkey attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.12.7 NAME ’apple-kdc-authkey’ DESC ’clé maîtresse KDC cryptée au format RSA avec clé publique de domaine’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-kdc-configdata attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.12.8 NAME ’apple-kdc-configdata’ DESC ’Contenu du fichier kdc.conf’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 SINGLE-VALUE ) Attribut d’utilisateur préréglé (PresetUser) apple-preset-user-is-admin attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.15.1 NAME ’apple-preset-user-is-admin’ DESC ’indicateur signalant si l’utilisateur préréglé est un administrateur’ EQUALITY caseExactIA5Match SUBSTR caseExactIA5SubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE ) Attribut d’autorité d’authentification authAuthority #attributetype ( # 1.3.6.1.4.1.63.1000.1.1.2.16.1 # NAME ’authAuthority’ # DESC ’autorité d’authentification du serveur de mots de passe’ # EQUALITY caseExactIA5Match # SUBSTR caseExactIA5SubstringsMatch # SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 )Annexe A Données de répertoire Mac OS X 157 Attributs d’emplacement (location) apple-dns-domain attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.18.1 NAME ’apple-dns-domain’ DESC ’domaine DNS’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) apple-dns-nameserver attributetype ( 1.3.6.1.4.1.63.1000.1.1.1.18.2 NAME ’apple-dns-nameserver’ DESC ’liste de serveurs de noms DNS’ EQUALITY caseExactMatch SUBSTR caseExactSubstringsMatch SYNTAX 1.3.6.1.4.1.1466.115.121.1.15 ) Mappage d’attributs standard sur LDAP et Active Directory Les tableaux de cette section spécifient la manière dont le module LDAPv3 de Format de répertoire mappe les types et attributs d’enregistrements Open Directory sur les classes d’objets et les attributs LDAP. Les tableaux spécifient également la manière dont le module Active Directory de Format de répertoire mappe et génère des attributs et des catégories d’objets Active Directory à partir d’attributs et de types d’enregistrements Open Directory. Mappages pour Utilisateurs Les tableaux suivants indiquent comment le module LDAPv3 de Format de répertoire mappe les attributs et le type d’enregistrement Utilisateurs d’Open Directory sur les classes d’objets et attributs LDAP. Les tableaux spécifient également la manière dont le module Active Directory de Format de répertoire mappe et génère des attributs et des catégories d’objets Active Directory à partir d’attributs et de types d’enregistrements Open Directory.158 Annexe A Données de répertoire Mac OS X Mappages de types d’enregistrement d’utilisateurs (Users) Mappages d’attributs d’utilisateurs (Users) Nom Open Directory, RFC/classe OID de nom de classes d’objets LDAP Module Active Directory Users, RFC 2798 inetOrgPerson 2.16.840.1.113730.3.2.2 ObjectCategory = Person Users, RFC 2307 posixAccount 1.3.6.1.1.1.2.0 Users, RFC 2307 shadowAccount 1.3.6.1.1.1.2.1 Users, enregistré par Apple apple-user 1.3.6.1.4.1.63.1000.1.1.2.1 schéma étendu Apple Nom Open Directory, RFC/classe, emploi spécial OID de nom d’attribut LDAP Module Active Directory HomeDirectory, enregistré par Apple apple-user-homeurl 1.3.6.1.4.1.63.1000.1.1.1.1.6 Généré à partir de homeDirectory HomeDirectoryQuota, enregistré par Apple apple-user-homequota 1.3.6.1.4.1.63.1000.1.1.1.1.8 schéma étendu Apple HomeDirectorySoftQuota, enregistré par Apple apple-user-homesoftquota 1.3.6.1.4.1.63.1000.1.1.1.1.17 schéma étendu Apple MailAttribute, enregistré par Apple apple-user-mailattribute 1.3.6.1.4.1.63.1000.1.1.1.1.9 schéma étendu Apple PrintServiceUserData, enregistré par Apple apple-user-printattribute 1.3.6.1.4.1.63.1000.1.1.1.1.13 schéma étendu Apple MCXFlags, enregistré par Apple apple-mcxflags 1.3.6.1.4.1.63.1000.1.1.1.1.10 schéma étendu Apple MCXSettings, enregistré par Apple apple-mcxsettings 1.3.6.1.4.1.63.1000.1.1.1.1.16 schéma étendu Apple AdminLimits, enregistré par Apple apple-user-adminlimits 1.3.6.1.4.1.63.1000.1.1.1.1.14 schéma étendu Apple AuthenticationAuthority, enregistré par Apple authAuthority 1.3.6.1.4.1.63.1000.1.1.2.16.1 Généré en tant qu’autorité Kerberos AuthenticationHint, enregistré par Apple apple-user-authenticationhint 1.3.6.1.4.1.63.1000.1.1.1.1.15 schéma étendu Apple PasswordPolicyOptions, enregistré par Apple apple-user-passwordpolicy 1.3.6.1.4.1.63.1000.1.1.1.1.18 schéma étendu Apple Keywords, enregistré par Apple apple-keyword 1.3.6.1.4.1.63.1000.1.1.1.1.19 schéma étendu Apple Picture, enregistré par Apple apple-user-picture 1.3.6.1.4.1.63.1000.1.1.1.1.12 schéma étendu Apple GeneratedUID, enregistré par Apple apple-generateduid 1.3.6.1.4.1.63.1000.1.1.1.1.20 À partir de GUID — formatéAnnexe A Données de répertoire Mac OS X 159 RecordName, RFC 2256 cn 2.5.4.3 Généré à partir de cn, userPrincipal, mail, sAMAccoutName RecordName, RFC 1274 uid 0.9.2342.19200300.100.1.1 n/d EMailAddress, RFC 1274 mail 0.9.2342.19200300.100.1.3 Standard RFC RealName, RFC 2256 cn 2.5.4.3 1.2.840.113556.1.2.13 (Microsoft) Password, RFC 2256 userPassword 2.5.4.35 Pas de mappage Comment, RFC 2256 description 2.5.4.13 Standard RFC LastName, RFC 2256 sn 2.5.4.4 Standard RFC FirstName, RFC 2256 givenName 2.5.4.42 Standard RFC PhoneNumber, RFC 2256 telephoneNumber 2.5.4.20 Standard RFC AddressLIne1, RFC 2256 street 2.5.4.9 Standard RFC PostalAddress, RFC 2256 postalAddress 2.5.4.16 Standard RFC PostalCode, RFC 2256 postalCode 2.5.4.17 Standard RFC OrganizationName, RFC 2256 o 2.5.4.10 1.2.840.113556.1.2.146 (Microsoft) UserShell, RFC 2307 loginShell 1.3.6.1.1.1.1.4 Étendu à l’aide de RFC Change, RFC 2307 shadowLastChange 1.3.6.1.1.1.1.5 Pas de mappage Expire, RFC 2307 shadowExpire 1.3.6.1.1.1.1.10 Pas de mappage UniqueID, RFC 2307 uidNumber 1.3.6.1.1.1.1.0 Généré à partir de GUID NFSHomeDirectory, RFC 2307 homeDirectory 1.3.6.1.1.1.1.3 Généré à partir de homeDirectory PrimaryGroupID, RFC 2307 gidNumber 1.3.6.1.1.1.1.1 Étendu à l’aide de RFC ou généré à partir de GUID SMBAccountFlags, enregistré par Samba, Apple PDC acctFlags 1.3.6.1.4.1.7165.2.1.4 1.2.840.113556.1.4.302 (Microsoft) Nom Open Directory, RFC/classe, emploi spécial OID de nom d’attribut LDAP Module Active Directory160 Annexe A Données de répertoire Mac OS X SMBPasswordLastSet, enregistré par Samba, Apple PDC pwdLastSet 1.3.6.1.4.1.7165.2.1.3 1.2.840.113556.1.4.96 (Microsoft) SMBLogonTime, enregistré par Samba, Apple PDC logonTime 1.3.6.1.4.1.7165.2.1.5 1.2.840.113556.1.4.52 (Microsoft) SMBLogoffTime, enregistré par Samba, Apple PDC logoffTime 1.3.6.1.4.1.7165.2.1.6 1.2.840.113556.1.4.51 (Microsoft) SMBKickoffTime, enregistré par Samba, Apple PDC kickoffTime 1.3.6.1.4.1.7165.2.1.7 Pas de mappage SMBHomeDrive, enregistré par Samba, Apple PDC homeDrive 1.3.6.1.4.1.7165.2.1.10 1.2.840.113556.1.4.45 (Microsoft) SMBScriptPath, enregistré par Samba, Apple PDC scriptPath 1.3.6.1.4.1.7165.2.1.11 1.2.840.113556.1.4.62 (Microsoft) SMBProfilePath, enregistré par Samba, Apple PDC profilePath 1.3.6.1.4.1.7165.2.1.12 1.2.840.113556.1.4.139 (Microsoft) SMBUserWorkstations, enregistré par Samba, Apple PDC userWorkstations 1.3.6.1.4.1.7165.2.1.13 1.2.840.113556.1.4.86 (Microsoft) SMBHome, enregistré par Samba, Apple PDC smbHome 1.3.6.1.4.1.7165.2.1.17 1.2.840.113556.1.4.44 (Microsoft) SMBRID, enregistré par Samba, Apple PDC rid 1.3.6.1.4.1.7165.2.1.14 1.2.840.113556.1.4.153 (Microsoft) SMBGroupRID, enregistré par Samba, Apple PDC primaryGroupID 1.3.6.1.4.1.7165.2.1.15 1.2.840.113556.1.4.98 (Microsoft) FaxNumber, RFC 2256 fax 2.5.4.23 Standard RFC MobileNumber, RFC 1274 mobile 0.9.2342.19200300.100.1.41 Standard RFC PagerNumber, RFC 1274 pager 0.9.2342.19200300.100.1.42 Standard RFC Department, RFC 2798, departmentNumber 2.16.840.1.113730.3.1.2 1.2.840.113556.1.2.141 (Microsoft) NickName, Microsoft Attribute 1.2.840.113556.1.2.447 (Microsoft) Nom Open Directory, RFC/classe, emploi spécial OID de nom d’attribut LDAP Module Active DirectoryAnnexe A Données de répertoire Mac OS X 161 Mappages de groupes (Groups) Les tableaux suivants spécifient la manière dont le module LDAPv3 de Format de répertoire mappe le type d’enregistrements et les attributs de groupes Open Directory sur les classes d’objets LDAP. Les tableaux spécifient également la manière dont le module Active Directory de Format de répertoire mappe et génère des attributs et des catégories d’objets Active Directory à partir d’attributs et de types d’enregistrements Open Directory. Mappages de type d’enregistrements des groupes (Groups) JobTitle, RFC 2256 title 2.5.4.12 Standard RFC Building, RFC 2256 buildingName 2.5.4.19 Standard RFC Country, RFC 2256 c 2.5.4.6 Standard RFC Street, RFC 2256 street 2.5.4.9 1.2.840.113556.1.2.256 (Microsoft) City, RFC 2256 locality 2.5.4.7 Standard RFC State, RFC 2256 st 2.5.4.8 Standard RFC Nom Open Directory, RFC/classe, emploi spécial OID de nom d’attribut LDAP Module Active Directory Nom Open Directory, RFC/classe OID de nom de classe d’objets LDAP Module Active Directory Groups, RFC 2307 posixGroup 1.3.6.1.1.1.2.2 objectCategory = Group Groups, enregistré par Apple apple-group 1.3.6.1.4.1.63.1000.1.1.2.14 schéma étendu Apple162 Annexe A Données de répertoire Mac OS X Mappages des attributs de groupes (Groups) Mappages de montages (Mounts) Les tableaux suivants spécifient la manière dont le module LDAPv3 de Format de répertoire mappe le type d’enregistrements et les attributs de montage (Mounts) Open Directory sur les classes d’objets et attributs LDAP. Les tableaux spécifient également la manière dont le module Active Directory de Format de répertoire mappe et génère des attributs et des catégories d’objets Active Directory à partir d’attributs et de types d’enregistrements Open Directory. Nom Open Directory, RFC/classe OID de nom d’attribut LDAP Module Active Directory RecordName, RFC 2256 cn 2.5.4.3 Standard RFC HomeDirectory, enregistré par Apple apple-group-homeurl 1.3.6.1.4.1.63.1000.1.1.1.14.1 schéma étendu Apple HomeLocOwner, enregistré par Apple apple-group-homeowner 1.3.6.1.4.1.63.1000.1.1.1.14.2 schéma étendu Apple MCXFlags, enregistré par Apple apple-mcxflags 1.3.6.1.4.1.63.1000.1.1.1.1.10 schéma étendu Apple MCXSettings, enregistré par Apple apple-mcxsettings 1.3.6.1.4.1.63.1000.1.1.1.1.16 schéma étendu Apple RealName, enregistré par Apple apple-group-realname 1.3.6.1.4.1.63.1000.1.1.1.14.5 1.2.840.113556.1.2.13 (Microsoft) Picture, enregistré par Apple apple-user-picture 1.3.6.1.4.1.63.1000.1.1.1.1.12 schéma étendu Apple Keywords, enregistré par Apple apple-keyword 1.3.6.1.4.1.63.1000.1.1.1.1.19 schéma étendu Apple GeneratedUID, enregistré par Apple apple-generateduid 1.3.6.1.4.1.63.1000.1.1.1.1.20 À partir de GUID — formaté GroupMembership, RFC 2307 memberUid 1.3.6.1.1.1.1.12 Généré à partir de member Member, RFC 2307 memberUid 1.3.6.1.1.1.1.12 Idem GroupMembership PrimaryGroupID, RFC 2307 gidNumber 1.3.6.1.1.1.1.1 Étendu à l’aide de RFC ou généré à partir de GUIDAnnexe A Données de répertoire Mac OS X 163 Mappages de types d’enregistrements de montages (Mounts) Mappages d’attributs de montages (Mounts) Mappages d’ordinateurs (Computers) Les tableaux suivants spécifient la manière dont le module LDAPv3 de Format de répertoire mappe le type d’enregistrements et les attributs d’ordinateurs (Computers) Open Directory sur les classes d’objets LDAP. Les tableaux spécifient également la manière dont le module Active Directory de Format de répertoire mappe et génère des attributs et des catégories d’objets Active Directory à partir d’attributs et de types d’enregistrements Open Directory. Mappages de type d’enregistrements d’ordinateurs (Computers) Mappages d’attributs d’ordinateurs (Computers) Nom Open Directory, RFC/classe OID de nom de classe d’objets LDAP Module Active Directory Mounts, enregistré par Apple mount 1.3.6.1.4.1.63.1000.1.1.2.8 schéma étendu Apple Nom Open Directory, RFC/classe OID de nom d’attribut LDAP Module Active Directory RecordName, RFC 2256 cn 2.5.4.3 Standard RFC VFSLinkDir, enregistré par Apple mountDirectory 1.3.6.1.4.1.63.1000.1.1.1.8.1 schéma étendu Apple VFSOpts, enregistré par Apple mountOption 1.3.6.1.4.1.63.1000.1.1.1.8.3 schéma étendu Apple VFSType, enregistré par Apple mountType 1.3.6.1.4.1.63.1000.1.1.1.8.2 schéma étendu Apple VFSDumpFreq, enregistré par Apple mountDumpFrequency 1.3.6.1.4.1.63.1000.1.1.1.8.4 schéma étendu Apple VFSPassNo, enregistré par Apple mountPassNo 1.3.6.1.4.1.63.1000.1.1.1.8.5 schéma étendu Apple Nom Open Directory, RFC/classe OID de nom de classe d’objets LDAP Module Active Directory Computers, enregistré par Apple apple-computer 1.3.6.1.4.1.63.1000.1.1.2.10 objectCategory = Computer Nom Open Directory, RFC/classe, emploi spécial OID de nom d’attribut LDAP Module Active Directory RecordName, RFC 2256 cn 2.5.4.3 Standard RFC RealName, enregistré par Apple apple-realname 1.3.6.1.4.1.63.1000.1.1.1.10.2 1.2.840.113556.1.2.13 (Microsoft)164 Annexe A Données de répertoire Mac OS X MCXFlags, enregistré par Apple apple-mcxflags 1.3.6.1.4.1.63.1000.1.1.1.1.10 schéma étendu Apple MCXSettings, enregistré par Apple apple-mcxsettings 1.3.6.1.4.1.63.1000.1.1.1.1.16 schéma étendu Apple Group, enregistré par Apple apple-computer-list-groups 1.3.6.1.4.1.63.1000.1.1.1.11.4 schéma étendu Apple AuthenticationAuthority, enregistré par Apple authAuthority 1.3.6.1.4.1.63.1000.1.1.2.16.1 schéma étendu Apple GeneratedUID, enregistré par Apple apple-generateduid 1.3.6.1.4.1.63.1000.1.1.1.1.20 À partir de GUID — formaté XMLPlist, enregistré par Apple apple-xmlplist 1.3.6.1.4.1.63.1000.1.1.1.17.1 schéma étendu Apple Comment, RFC 2256 description 2.5.4.13 Standard RFC ENetAddress, RFC 2307 macAddress 1.3.6.1.1.1.1.22 Étendu à l’aide de RFC UniqueID, RFC 2307 uidNumber 1.3.6.1.1.1.1.0 Généré à partir de GUID PrimaryGroupID, RFC 2307 gidNumber 1.3.6.1.1.1.1.1 Étendu à l’aide de RFC ou généré SMBAccountFlags, enregistré par Samba, Apple PDC acctFlags 1.3.6.1.4.1.7165.2.1.4 1.2.840.113556.1.4.302 (Microsoft) SMBPasswordLastSet, enregistré par Samba, Apple PDC pwdLastSet 1.3.6.1.4.1.7165.2.1.3 1.2.840.113556.1.4.96 (Microsoft) SMBLogonTime, enregistré par Samba, Apple PDC logonTime 1.3.6.1.4.1.7165.2.1.5 1.2.840.113556.1.4.52 (Microsoft) SMBLogoffTime, enregistré par Samba, Apple PDC logoffTime 1.3.6.1.4.1.7165.2.1.6 1.2.840.113556.1.4.51 (Microsoft) SMBKickoffTime, enregistré par Samba, Apple PDC kickoffTime 1.3.6.1.4.1.7165.2.1.7 Pas de mappage SMBRID, enregistré par Samba, Apple PDC rid 1.3.6.1.4.1.7165.2.1.14 1.2.840.113556.1.4.153 (Microsoft) SMBGroupID, enregistré par Samba, Apple PDC primaryGroupID 1.3.6.1.4.1.7165.2.1.15 1.2.840.113556.1.4.98 (Microsoft) Nom Open Directory, RFC/classe, emploi spécial OID de nom d’attribut LDAP Module Active DirectoryAnnexe A Données de répertoire Mac OS X 165 Mappages de listes d’ordinateurs (ComputerLists) Les tableaux suivants spécifient la manière dont le module LDAPv3 de Format de répertoire mappe le type d’enregistrements et les attributs de listes d’ordinateurs (ComputerLists) Open Directory sur les classes d’objets LDAP. Les tableaux spécifient également la manière dont le module Active Directory de Format de répertoire mappe et génère des attributs et des catégories d’objets Active Directory à partir d’attributs et de types d’enregistrements Open Directory. Mappages de type d’enregistrements de listes d’ordinateurs (ComputerLists) Mappages d’attributs de listes d’ordinateurs (ComputerLists) Mappages de configuration (Config) Les tableaux suivants spécifient la manière dont le module LDAPv3 de Format de répertoire mappe le type d’enregistrements et les attributs de configuration (Config) Open Directory sur les classes d’objets LDAP. Les tableaux spécifient également la manière dont le module Active Directory de Format de répertoire mappe et génère des attributs et des catégories d’objets Active Directory à partir d’attributs et de types d’enregistrements Open Directory. Mappages de type d’enregistrements de configuration (Config) Nom Open Directory, RFC/classe OID de nom de classe d’objets LDAP Module Active Directory ComputerLists, enregistré par Apple apple-computer-list 1.3.6.1.4.1.63.1000.1.1.2.11 schéma étendu Apple Nom Open Directory, RFC/classe, OID de nom d’attribut LDAP Module Active Directory RecordName, RFC 2256 cn 2.5.4.3 Standard RFC MCXFlags, enregistré par Apple apple-mcxflags 1.3.6.1.4.1.63.1000.1.1.1.1.10 schéma étendu Apple MCXSettings, enregistré par Apple apple-mcxsettings 1.3.6.1.4.1.63.1000.1.1.1.1.16 schéma étendu Apple Computers, enregistré par Apple apple-computers 1.3.6.1.4.1.63.1000.1.1.1.11.3 schéma étendu Apple Group, enregistré par Apple apple-computer-list-groups 1.3.6.1.4.1.63.1000.1.1.1.11.4 schéma étendu Apple Keywords, enregistré par Apple apple-keyword 1.3.6.1.4.1.63.1000.1.1.1.1.19 schéma étendu Apple Nom Open Directory, RFC/classe OID de nom de classe d’objets LDAP Module Active Directory Config, enregistré par Apple apple-configuration 1.3.6.1.4.1.63.1000.1.1.2.12 schéma étendu Apple166 Annexe A Données de répertoire Mac OS X Mappages d’attributs de configuration (Config) Mappages de personnes (People) Les tableaux suivants spécifient la manière dont le module LDAPv3 de Format de répertoire mappe le type d’enregistrement et les attributs de personnes (People) Open Directory sur les classes d’objets LDAP. Les tableaux spécifient également la manière dont le module Active Directory de Format de répertoire mappe et génère des attributs et des catégories d’objets Active Directory à partir d’attributs et de types d’enregistrements Open Directory. Mappages de type d’enregistrements de personnes (People) Nom Open Directory, RFC/classe, emploi spécial OID de nom d’attribut LDAP Module Active Directory RecordName, RFC 2256 cn 2.5.4.3 Standard RFC RealName, enregistré par Apple apple-config-realname 1.3.6.1.4.1.63.1000.1.1.1.12.3 1.2.840.113556.1.2.13 (Microsoft) DataStamp, enregistré par Apple apple-data-stamp 1.3.6.1.4.1.63.1000.1.1.1.12.2 schéma étendu Apple KDCAuthKey, enregistré par Apple, Apple KDC apple-kdc-authkey 1.3.6.1.4.1.63.1000.1.1.1.12.7 Pas de mappage KDCConfigData, enregistré par Apple, Apple KDC apple-kdc-configdata 1.3.6.1.4.1.63.1000.1.1.1.12.8 Pas de mappage Keywords, enregistré par Apple apple-keyword 1.3.6.1.4.1.63.1000.1.1.1.1.19 schéma étendu Apple LDAPReadReplicas, enregistré par Apple, Apple LDAP Server apple-ldap-replica 1.3.6.1.4.1.63.1000.1.1.1.12.5 Pas de mappage LDAPWriteReplicas, enregistré par Apple, Apple LDAP Server apple-ldap-writable-replica 1.3.6.1.4.1.63.1000.1.1.1.12.6 Pas de mappage PasswordServerList, enregistré par Apple, Serveur de mots de passe apple-password-server-list 1.3.6.1.4.1.63.1000.1.1.1.12.4 Pas de mappage PasswordServerLocation, enregistré par Apple, Serveur de mots de passe apple-password-server-location 1.3.6.1.4.1.63.1000.1.1.1.12.1 Pas de mappage XMLPlist, enregistré par Apple apple-xmlplist 1.3.6.1.4.1.63.1000.1.1.1.17.1 schéma étendu Apple Nom Open Directory, RFC/classe OID de nom de classe d’objets LDAP Module Active Directory People, RFC 2798 inetOrgPerson 2.16.840.1.113730.3.2.2 Standard RFCAnnexe A Données de répertoire Mac OS X 167 Mappages d’attributs de personnes (People) Nom Open Directory, RFC/classe OID de nom d’attribut LDAP Module Active Directory RecordName, RFC 2256 cn 2.5.4.3 Standard RFC EMailAddress, RFC 1274 mail 0.9.2342.19200300.100.1.3 Standard RFC RealName, RFC 2256 cn 1.2.840.113556.1.3.23 Standard RFC LastName, RFC 2256 sn 2.5.4.4 Standard RFC FirstName, RFC 2256 givenName 2.5.4.42 Standard RFC FaxNumber, RFC 2256 fax 2.5.4.23 Standard RFC MobileNumber, RFC 1274 mobile 0.9.2342.19200300.100.1.41 Standard RFC PagerNumber, RFC 1274 pager 0.9.2342.19200300.100.1.42 Standard RFC Department, RFC 2798, departmentNumber 2.16.840.1.113730.3.1.2 1.2.840.113556.1.2.141 (Microsoft) JobTitle, RFC 2256 title 2.5.4.12 Standard RFC PhoneNumber, RFC 2256 telephoneNumber 2.5.4.20 Standard RFC AddressLine1, RFC 2256 street 2.5.4.9 Standard RFC Street, RFC 2256 street 2.5.4.9 Standard RFC PostalAddress, RFC 2256 postalAddress 2.5.4.16 Standard RFC City, RFC 2256 locality 2.5.4.7 Standard RFC State, RFC 2256 st 2.5.4.8 Standard RFC Country, RFC 2256 c 2.5.4.6 Standard RFC PostalCode, RFC 2256 postalCode 2.5.4.17 Standard RFC OrganizationName, RFC 2256 o 2.5.4.10 1.2.840.113556.1.2.146 (Microsoft)168 Annexe A Données de répertoire Mac OS X Mappages de listes d’ordinateurs préréglés (PresetComputerLists) Les tableaux suivants spécifient la manière dont le module LDAPv3 de Format de répertoire mappe le type d’enregistrements et les attributs de listes d’ordinateurs préréglés (PresetComputerLists) Open Directory sur les classes d’objets LDAP. Les tableaux spécifient également la manière dont le module Active Directory de Format de répertoire mappe et génère des attributs et des catégories d’objets Active Directory à partir d’attributs et de types d’enregistrements Open Directory. Mappages de type d’enregistrements de listes d’ordinateurs préréglés (PresetComputerLists) Mappages d’attributs de listes d’ordinateurs préréglés (PresetComputerLists) Mappages de groupes préréglés (PresetGroups) Les tableaux suivants spécifient la manière dont le module LDAPv3 de Format de répertoire mappe le type d’enregistrements et les attributs de groupes préréglés (PresetGroups) Open Directory sur les classes d’objets LDAP. Les tableaux spécifient également la manière dont le module Active Directory de Format de répertoire mappe et génère des attributs et des catégories d’objets Active Directory à partir d’attributs et de types d’enregistrements Open Directory. Mappages de type d’enregistrements de groupes préréglés (PresetGroups) Nom Open Directory, RFC/classe OID de nom de classe d’objets LDAP Module Active Directory PresetComputerLists, enregistré par Apple apple-preset-computer-list 1.3.6.1.4.1.63.1000.1.1.2.13 schéma étendu Apple Nom Open Directory, RFC/classe OID de nom d’attribut LDAP Module Active Directory RecordName, RFC 2256 cn 2.5.4.3 Standard RFC MCXFlags, enregistré par Apple apple-mcxflags 1.3.6.1.4.1.63.1000.1.1.1.1.10 schéma étendu Apple MCXSettings, enregistré par Apple apple-mcxsettings 1.3.6.1.4.1.63.1000.1.1.1.1.16 schéma étendu Apple Keywords, enregistré par Apple apple-keyword 1.3.6.1.4.1.63.1000.1.1.1.1.19 schéma étendu Apple Nom Open Directory, RFC/classe OID de nom de classe d’objets LDAP Module Active Directory PresetGroups, enregistré par Apple apple-preset-group 1.3.6.1.4.1.63.1000.1.1.3.14 schéma étendu AppleAnnexe A Données de répertoire Mac OS X 169 Mappages d’attributs de groupes préréglés (PresetGroups) Mappages d’utilisateurs préréglés (PresetUsers) Les tableaux suivants spécifient la manière dont le module LDAPv3 de Format de répertoire mappe le type d’enregistrements et les attributs d’utilisateurs préréglés (PresetUsers) Open Directory sur les classes d’objets LDAP. Les tableaux spécifient également la manière dont le module Active Directory de Format de répertoire mappe et génère des attributs et des catégories d’objets Active Directory à partir d’attributs et de types d’enregistrements Open Directory. Mappages de types d’enregistrements d’utilisateurs préréglés (PresetUsers) Mappages d’attributs d’utilisateurs préréglés (PresetUsers) Nom Open Directory, RFC/classe OID de nom d’attribut LDAP Module Active Directory HomeDirectory, enregistré par Apple apple-group-homeurl 1.3.6.1.4.1.63.1000.1.1.1.1.6 schéma étendu Apple HomeLocOwner, enregistré par Apple apple-group-homeowner 1.3.6.1.4.1.63.1000.1.1.1.14.2 schéma étendu Apple MCXFlags, enregistré par Apple apple-mcxflags 1.3.6.1.4.1.63.1000.1.1.1.1.10 schéma étendu Apple MCXSettings, enregistré par Apple apple-mcxsettings 1.3.6.1.4.1.63.1000.1.1.1.1.16 schéma étendu Apple RealName, enregistré par Apple apple-group-realname 1.3.6.1.4.1.63.1000.1.1.1.14.5 schéma étendu Apple Keywords, enregistré par Apple apple-keyword 1.3.6.1.4.1.63.1000.1.1.1.1.19 schéma étendu Apple RecordName, RFC 2256 cn 2.5.4.3 Standard RFC GroupMembership, RFC 2307 memberUid 1.3.6.1.1.1.1.12 Étendu à l’aide de RFC PrimaryGroupID, RFC 2307 gidNumber 1.3.6.1.1.1.1.1 Étendu à l’aide de RFC Nom Open Directory, RFC/classe OID de nom de classe d’objets LDAP Module Active Directory PresetUsers, enregistré par Apple apple-preset-user 1.3.6.1.4.1.63.1000.1.1.2.15 ObjectCategory = Person Nom Open Directory, RFC/classe OID de nom d’attribut LDAP Module Active Directory HomeDirectory, enregistré par Apple apple-user-homeurl 1.3.6.1.4.1.63.1000.1.1.1.1.6 n/d HomeDirectoryQuota, enregistré par Apple apple-user-homequota 1.3.6.1.4.1.63.1000.1.1.1.1.8 schéma étendu Apple170 Annexe A Données de répertoire Mac OS X HomeDirectorySoftQuota, enregistré par Apple apple-user-homesoftquota 1.3.6.1.4.1.63.1000.1.1.1.1.17 schéma étendu Apple MailAttribute, enregistré par Apple apple-user-mailattribute 1.3.6.1.4.1.63.1000.1.1.1.1.9 schéma étendu Apple PrintServiceUserData, enregistré par Apple apple-user-printattribute 1.3.6.1.4.1.63.1000.1.1.1.1.13 schéma étendu Apple MCXFlags, enregistré par Apple apple-mcxflags 1.3.6.1.4.1.63.1000.1.1.1.1.10 schéma étendu Apple MCXSettings, enregistré par Apple apple-mcxsettings 1.3.6.1.4.1.63.1000.1.1.1.1.16 schéma étendu Apple AdminLimits, enregistré par Apple apple-user-adminlimits 1.3.6.1.4.1.63.1000.1.1.1.1.14 schéma étendu Apple Picture, enregistré par Apple apple-user-picture 1.3.6.1.4.1.63.1000.1.1.1.1.12 schéma étendu Apple AuthenticationAuthority, enregistré par Apple authAuthority 1.3.6.1.4.1.63.1000.1.1.2.16.1 schéma étendu Apple PasswordPolicyOptions, enregistré par Apple apple-user-passwordpolicy 1.3.6.1.4.1.63.1000.1.1.1.1.18 schéma étendu Apple PresetUserIsAdmin, enregistré par Apple apple-preset-user-is-admin 1.3.6.1.4.1.63.1000.1.1.1.15.1 schéma étendu Apple Keywords, enregistré par Apple apple-keyword 1.3.6.1.4.1.63.1000.1.1.1.1.19 schéma étendu Apple RecordName, RFC 1274 cn 2.5.4.3 Standard RFC RealName, RFC 2256 cn 2.5.4.3 Standard RFC Password, RFC 2256 userPassword 2.5.4.35 n/d GroupMembership, RFC 2307 memberUid 1.3.6.1.1.1.1.12 Étendu à l’aide de RFC PrimaryGroupID, RFC 2307 gidNumber 1.3.6.1.1.1.1.1 Étendu à l’aide de RFC NFSHomeDirectory, RFC 2307 homeDirectory 1.3.6.1.1.1.1.3 n/d UserShell, RFC 2307 loginShell 1.3.6.1.1.1.1.4 Étendu à l’aide de RFC Change, RFC 2307 shadowLastChange 1.3.6.1.1.1.1.5 n/d Expire, RFC 2307 shadowExpire 1.3.6.1.1.1.1.10 n/d Nom Open Directory, RFC/classe OID de nom d’attribut LDAP Module Active DirectoryAnnexe A Données de répertoire Mac OS X 171 Mappages d’imprimantes (Printers) Les tableaux suivants spécifient la manière dont le module LDAPv3 de Format de répertoire mappe le type d’enregistrements et les attributs d’imprimantes (Printers) Open Directory sur les classes d’objets LDAP. Les tableaux spécifient également la manière dont le module Active Directory de Format de répertoire mappe et génère des attributs et des catégories d’objets Active Directory à partir d’attributs et de types d’enregistrements Open Directory. Mappages de type d’enregistrements d’imprimantes (Printers) Mappages d’attributs d’imprimantes (Printers) Nom Open Directory, RFC/classe OID de nom de classe d’objets LDAP Module Active Directory Printers, enregistré par Apple apple-printer 1.3.6.1.4.1.63.1000.1.1.2.9 ObjectCategory = Print-Queue Printers, IETF-Draft-IPP-LDAP printerIPP 1.3.18.0.2.6.256 Nom Open Directory, RFC/classe, emploi spécial OID de nom d’attribut LDAP Module Active Directory RecordName, RFC 2256 cn 2.5.4.3 Standard RFC RealName, RFC 2256 cn 2.5.4.3 1.2.840.113556.1.4.300 (Microsoft) PrinterLPRHost, enregistré par Apple, gestion héritée apple-printer-lprhost 1.3.6.1.4.1.63.1000.1.1.1.9.2 n/d PrinterLPRQueue, enregistré par Apple, gestion héritée apple-printer-lprqueue 1.3.6.1.4.1.63.1000.1.1.1.9.3 n/d PrinterType, enregistré par Apple, gestion héritée apple-printer-type 1.3.6.1.4.1.63.1000.1.1.1.9.4 n/d PrinterNote, enregistré par Apple, gestion héritée apple-printer-note 1.3.6.1.4.1.63.1000.1.1.1.9.5 n/d Location, IETF-Draft-IPP-LDAP printer-location 1.3.18.0.2.4.1136 1.2.840.113556.1.4.222 (Microsoft) Comment, RFC 2256 description 2.5.4.13 Standard RFC PrinterMakeAndModel, IETF-Draft-IPP-LDAP printer-make-and-model 1.3.18.0.2.4.1138 1.2.840.113556.1.4.229 (Microsoft) PrinterURI, IETF-Draft-IPP-LDAP printer-uri 1.3.18.0.2.4.1140 Généré à partir de uNCName172 Annexe A Données de répertoire Mac OS X Mappages de configuration automatique de serveur (AutoServerSetup) Les tableaux suivants spécifient la manière dont le module LDAPv3 de Format de répertoire mappe le type d’enregistrements et les attributs de configuration automatique de serveur (AutoServerSetup) Open Directory sur les classes d’objets LDAP. Les tableaux spécifient également la manière dont le module Active Directory de Format de répertoire mappe et génère des attributs et des catégories d’objets Active Directory à partir d’attributs et de types d’enregistrements Open Directory. Mappages de types d’enregistrements de configuration automatique de serveur (AutoServerSetup) Mappages d’attributs de configuration automatique de serveur (AutoServerSetup) Mappages d’emplacements (Locations) Les tableaux suivants spécifient la manière dont le module LDAPv3 de Format de répertoire mappe le type d’enregistrements et les attributs d’emplacements (Locations) Open Directory sur les classes d’objets LDAP. Les tableaux spécifient également la manière dont le module Active Directory de Format de répertoire mappe et génère des attributs et des catégories d’objets Active Directory à partir d’attributs et de types d’enregistrements Open Directory. PrinterXRISupported, IETF-Draft-IPP-LDAP printer-xri-supported 1.3.18.0.2.4.1107 Généré à partir de portName/ uNCName Printer1284DeviceID, enregistré par Apple printer-1284-device-id 1.3.6.1.4.1.63.1000.1.1.1.9.6 schéma étendu Apple Nom Open Directory, RFC/classe, emploi spécial OID de nom d’attribut LDAP Module Active Directory Nom Open Directory, RFC/classe OID de nom de classe d’objets LDAP Module Active Directory AutoServerSetup, enregistré par Apple apple-serverassistant-config 1.3.6.1.4.1.63.1000.1.1.2.17 schéma étendu Apple Nom Open Directory, RFC/classe OID de nom d’attribut LDAP Module Active Directory RecordName, RFC 2256 cn 2.5.4.3 Standard RFC XMLPlist, enregistré par Apple apple-xmlplist 1.3.6.1.4.1.63.1000.1.1.1.17.1 schéma étendu AppleAnnexe A Données de répertoire Mac OS X 173 Mappages de types d’enregistrements d’emplacements (Locations) Mappages d’attributs d’emplacements (Locations) Attributs standard des enregistrements d’utilisateurs Le tableau suivant fournit des informations sur les attributs (ou types de données) standard que l’on trouve dans les enregistrements d’utilisateurs des services de données de Mac OS X. Servez-vous de ces informations pour le mappage des domaines LDAP ou Active Directory sur les services de répertoires Mac OS X. Nom Open Directory, RFC/classe OID de nom de classe d’objets LDAP Module Active Directory Locations, enregistré par Apple apple-locations 1.3.6.1.4.1.63.1000.1.1.2.18 schéma étendu Apple Nom Open Directory, RFC/classe OID de nom d’attribut LDAP Module Active Directory RecordName, RFC 2256 cn 2.5.4.3 Standard RFC DNSDomain, enregistré par Apple apple-dns-domain 1.3.6.1.4.1.63.1000.1.1.1.18.1 schéma étendu Apple DNSNameServer, enregistré par Apple apple-dns-nameserver 1.3.6.1.4.1.63.1000.1.1.1.18.2 schéma étendu Apple174 Annexe A Données de répertoire Mac OS X Important : lors du mappage des attributs d’utilisateurs Mac OS X sur un domaine de répertoire LDAP en lecture/écriture (un domaine LDAP qui n’est pas en lecture seule), ne mappez pas l’attribut RealName et le premier attribut RecordName sur le même attribut LDAP. Par exemple, ne mappez pas à la fois RealName et RecordName sur l’attribut cn. Si RealName et RecordName sont mappés sur le même attribut LDAP, des problèmes se produiront lorsque vous essaierez de modifier le nom complet ou le premier nom abrégé dans Gestionnaire de groupe de travail. Attribut d’utilisateur Mac OS X Format Exemples RecordName : Liste de noms associée à un utilisateur ; le premier est le nom abrégé de l’utilisateur, qui est également le nom de son répertoire de départ. IMPORTANT Tous les attributs utilisés pour l’authentification doivent être mappés sur RecordName. Première valeur : caractères ASCII de A à Z, a à z, 0 à 9, _,- Deuxième valeur : texte romain UTF-8 Jean Jean D. J. Dupont Longueur non nulle, 1 à 16 valeurs. Maximum 255 octets (de 85 caractères triple octets à 255 caractères d’un octet) par instance. La première valeur doit comprendre entre 1 à 30 octets pour les clients utilisant Gestionnaire Macintosh, entre 1 à 8 octets pour les clients utilisant Mac OS X version 10.1 et antérieures. Nom réel : Un nom, habituellement le nom complet de l’utilisateur ; non utilisé pour l’authentification. Texte UTF-8 Jean Dupont. Longueur non nulle, maximum 255 octets (de 85 caractères triple octets à 255 caractères d’un octet). Identifiant unique : Identifiant utilisateur unique, utilisé pour la gestion des autorisations d’accès. Chaîne ASCII signée à 32 bits, composée de chiffres de 0 à 9 Les valeurs inférieures à 100 sont généralement attribuées aux comptes de système. Zéro est réservé au système. Normalement unique par rapport aux autres utilisateurs mais parfois en double. Avertissement : une valeur non entière est interprétée comme un 0, c’est-à-dire l’identificateur unique de l’utilisateur racine. Identifiant de groupe principal : Association de groupe principal d’utilisateur Chaîne ASCII signée à 32 bits, composée de chiffres de 0 à 9 Plage de 1 à 2.147.483.648 Normalement unique par rapport aux autres entrées du groupe. Si vide, la valeur supposée est 20. Répertoire d’accueil NFS : Chemin d’accès au répertoire de départ de l’utilisateur, dans le système de fichiers local Texte UTF-8 /Network/Servers/example/ Users/K-M/Tom King Longueur non nulle. Maximum 255 octets.Annexe A Données de répertoire Mac OS X 175 Répertoire d’accueil Emplacement d’un répertoire de départ AFP Texte XML UTF-8 afp://server/sharept usershomedir Dans l’exemple ci-dessous, le répertoire d’accueil de Tom King est K-M/Tom King, qui réside en dessous du répertoire du point de partage, Utilisateurs : afp://example.com/ Users K-M/Tom King HomeDirectoryQuota : Quota de disque du répertoire de départ de l’utilisateur Texte indiquant le nombre d’octets autorisés Si le quota est de 10 Mo, la valeur sera la chaîne de texte “1048576”. Attribut de courrier : Configuration du service de courrier d’un utilisateur Texte XML UTF-8 PrintServiceUserData : Statistiques du quota d’impression d’un utilisateur plist XML UTF-8, valeur unique . MCXFlags : S’il est présent, MCXSettings est chargé ; s’il est absent, MCXSettings n’est pas chargé ; requis pour un utilisateur géré. plist XML UTF-8, valeur unique MCXSettings : Préférences gérées d’un utilisateur plist XML UTF-8, valeurs multiples AdminLimits : Autorisations accordées par Gestionnaire de groupe de travail à un utilisateur qui peut administrer le domaine de répertoire plist XML UTF-8, valeur unique Mot de passe : Mot de passe de l’utilisateur Cryptage UNIX Picture : Chemin d’accès à un fichier d’image reconnu qui constituera l’image affichée pour l’utilisateur Texte UTF-8 Maximum 255 octets. Attribut d’utilisateur Mac OS X Format Exemples176 Annexe A Données de répertoire Mac OS X Comment : Toute documentation que vous choisissez Texte UTF-8 Jean est responsable du marketing Maximum 32 676 octets. UserShell : L’emplacement du shell par défaut pour l’envoi de commandes au serveur Chemin d’accès /bin/tcsh /bin/sh Aucun (cette valeur empêche les utilisateurs possédant des comptes dans le domaine de répertoire d’accéder à distance au serveur via une ligne de commande) Longueur non nulle. Change : Inutilisé par Mac OS X mais correspond à une partie du schéma LDAP standard Nombre Expire : Inutilisé par Mac OS X mais correspond à une partie du schéma LDAP standard Nombre Droit d’authentification : Décrit les méthodes d’authentification d’utilisateur, comme Open Directory ou mot de passe crypté ; pas nécessaire pour un utilisateur avec mot de passe crypté uniquement ; l’absence de cet attribut implique une authentification héritée (cryptage avec Gestionnaire d’authentification, si disponible). Texte ASCII Les valeurs décrivent les méthodes d’authentification d’utilisateur. Valeurs multiples acceptées (par exemple, basic et ShadowHash). Chaque valeur a le format vers; balise; données (où vers et données peuvent être vides). Mot de passe crypté : ;basic; Authentification Open Directory : ;ApplePasswordServer; HexID, adresse IP de la clé publique du serveur :port Mot de passe Shadow (domaine de répertoire local uniquement) : ;ShadowHash; Indice d’authentification : Texte défini par l’utilisateur pour être affiché à titre d’indice de mot de passe Texte UTF-8 Vous avez vu juste. Maximum 255 octets. FirstName : Utilisé par Carnet d’adresses et d’autres applications utilisant la politique de recherche de contacts Attribut d’utilisateur Mac OS X Format ExemplesAnnexe A Données de répertoire Mac OS X 177 LastName : Utilisé par Carnet d’adresses et d’autres applications utilisant la politique de recherche de contacts Adresse de courrier électronique : Adresse électronique vers laquelle le courrier est automatiquement transféré lorsque l’attribut MailAttribute d’un utilisateur n’est pas défini ; utilisé par Carnet d’adresses, Mail et d’autres applications utilisant la politique de recherche de contacts. Toute adresse électronique RFC 822 légale ou URL “mailto: ”valide user@exemple.com mailto:utilisateur@exemple.com PhoneNumber : Utilisé par Carnet d’adresses et d’autres applications utilisant la politique de recherche de contacts AddressLine1 : Utilisé par Carnet d’adresses et d’autres applications utilisant la politique de recherche de contacts PostalAddress : Utilisé par Carnet d’adresses et d’autres applications utilisant la politique de recherche de contacts PostalCode : Utilisé par Carnet d’adresses et d’autres applications utilisant la politique de recherche de contacts OrganizationName : Utilisé par Carnet d’adresses et d’autres applications utilisant la politique de recherche de contacts Attribut d’utilisateur Mac OS X Format Exemples178 Annexe A Données de répertoire Mac OS X Données d’utilisateur utilisées par Mac OS X Server Le tableau suivant décrit la manière dont votre serveur Mac OS X Server utilise les données des enregistrements d’utilisateurs des domaines de répertoires. Consultez ce tableau pour savoir quels sont les attributs (ou types de données) que les divers services de votre serveur s’attendent à trouver dans les enregistrements d’utilisateurs des domaines de répertoires. Notez que, dans la colonne de gauche, “Tous les services” incluent AFP, SMB, FTP, HTTP, NFS, WebDAV, POP, IMAP, Gestionnaire de groupe de travail, Admin Serveur, la fenêtre d’ouverture de session Mac OS X et Gestionnaire Macintosh. Composant du serveur Attribut d’utilisateur Mac OS X Dépendance Tous les services RecordName Requis pour l’authentification Tous les services Nom réel Requis pour l’authentification Tous les services AuthenticationAuthority Utilisé pour l’authentification Kerberos, Serveur de mots de passe et mot de passe shadow Tous les services Password Utilisé pour l’authentification élémentaire (mot de passe crypté) ou Liaison LDAP Tous les services Identifiant unique Nécessaire pour l’autorisation (par exemple, permissions de fichier et comptes de courrier) Tous les services PrimaryGroupID Nécessaire pour l’autorisation (par exemple, permissions de fichier et comptes de courrier) Service FTP Service Web Service de fichiers Apple Service NFS Gestionnaire Macintosh, Fenêtre d’ouverture de session de Mac OS X Préférences de l’application et préférences système Répertoire d’accueil Répertoire d’accueil NFS Facultatif Service de courrier Attribut de courrier Requis pour la connexion au service de courrier de votre serveur Service de courrier Adresse électronique FacultatifAnnexe A Données de répertoire Mac OS X 179 Attributs standard dans les enregistrements de groupes Le tableau suivant fournit des informations sur les attributs standard (ou types de données) que l’on trouve dans les enregistrements de groupes des services de données Mac OS X. Servez-vous de ces informations pour le mappage de domaines LDAP ou Active Directory sur les services de répertoire Mac OS X. Attribut de groupe Mac OS X Format Exemples RecordName : Nom associé à un groupe caractères ASCII A à Z, a à z, 0 à 9, _ Sciences Dépt_Sciences Prof.Sciences Longueur non nulle, maximum 255 octets (de 85 caractères triple octets à 255 caractères d’un octet). Nom réel : Habituellement le nom complet du groupe Texte UTF-8 Professeurs du département de sciences Longueur non nulle, maximum 255 octets (de 85 caractères triple octets à 255 caractères d’un octet) Identifiant de groupe principal : Un identifiant unique pour le groupe Chaîne ASCII signée à 32 bits, composée de chiffres de 0 à 9 Normalement unique par rapport aux autres entrées du groupe. Membres du groupe : Liste de noms abrégés d’enregistrements d’utilisateurs considérés comme faisant partie du groupe Caractères ASCII A à Z, a à z, 0 à 9, _,- bsmith, jdoe Peut être une liste vide (normalement pour le groupe principal d’utilisateurs). Répertoire d’accueil Emplacement d’un répertoire de départ AFP du groupe Texte UTF-8 structuré afp://server/sharept grouphomedir Dans l’exemple ci-dessous, le répertoire d’accueil du groupe Sciences est K-M/Science qui réside sous le répertoire de point de partage Groupes : afp://exemple.com/ Groupes K-M/Science 180 Annexe A Données de répertoire Mac OS X Attributs standard des enregistrements d’ordinateurs Le tableau suivant fournit des informations sur les attributs standard (ou types de données) que l’on trouve dans les enregistrements d’ordinateurs des services de données Mac OS X. Les enregistrements d’ordinateurs associent l’adresse matérielle de l’interface Ethernet d’un ordinateur à un nom attribué à cet ordinateur. Le nom fait partie d’un enregistrement de liste d’ordinateurs (similaire à la notion d’utilisateur dans un groupe). Servez-vous de ces informations pour le mappage de domaines LDAP ou Active Directory sur des services de répertoires Mac OS X. Member : Même données que pour GroupMembership mais chacune étant utilisée par différents services de Mac OS X Server Caractères ASCII A à Z, a à z, 0 à 9, _,- bsmith, jdoe Peut être une liste vide (normalement pour le groupe principal des utilisateurs). HomeLocOwner : Nom abrégé de l’utilisateur qui possède le répertoire de départ du groupe Caractères ASCII de A à Z, a à z, 0 à 9, _,- MCXFlags : S’il est présent, MCXSettings est chargé ; s’il est absent, MCXSettings n’est pas chargé ; requis pour un utilisateur géré. plist XML UTF-8, valeur unique MCXSettings : Préférences d’un groupe de travail (groupe géré) plist XML UTF-8, valeurs multiples Attribut de groupe Mac OS X Format Exemples Attribut d’ordinateur Mac OS X Format Exemples RecordName : Nom associé à un ordinateur Texte UTF-8 iMac 1 Commentaires : Toute documentation que vous choisissez Texte UTF-8 EnetAddress : L’adresse MAC de l’interface Ethernet de l’ordinateur Notation hexa, séparation par deux-points ; les zéros initiaux peuvent être ignorés 00:05:02:b7:b5:88Annexe A Données de répertoire Mac OS X 181 Attributs standard des enregistrements de listes d’ordinateurs Le tableau suivant fournit des informations sur les attributs standard (ou types de données) que l’on trouve dans les enregistrements de listes d’ordinateurs des services de données Mac OS X. Un enregistrement de liste d’ordinateurs identifie un groupe d’ordinateurs (très similaire à la façon dont un enregistrement de groupe identifie un ensemble d’utilisateurs). Servez-vous de ces informations pour le mappage de domaines LDAP ou Active Directory sur des services de répertoires Mac OS X. MCXFlags : Utilisé uniquement dans l’enregistrement d’ordinateur “guest” (invité) ; s’il est présent, MCXSettings est chargé ; s’il est absent, MCXSettings n’est pas chargé ; requis pour un ordinateur géré. plist XML UTF-8, valeur unique MCXSettings : Utilisé uniquement dans l’enregistrement d’ordinateur “guest” (invité) ; préférences d’un ordinateur géré plist XML UTF-8, valeurs multiples Attribut d’ordinateur Mac OS X Format Exemples Attribut de liste d’ordinateurs Mac OS X Format Exemples RecordName : Nom associé à une liste d’ordinateurs Texte UTF-8 Ordinateurs de laboratoire Longueur non nulle, maximum 255 octets (de 85 caractères triple octets à 255 caractères d’un octet). MCXFlags plist XML UTF-8, valeur unique MCXSettings : Stocke les préférences d’un ordinateur géré plist XML UTF-8, valeurs multiples Computers Liste à valeurs multiples de noms d’enregistrements d’ordinateurs iMac 1, iMac 2 Groupe Une liste de groupes dont les membres peuvent ouvrir une session sur les ordinateurs de cette liste d’ordinateurs Liste à valeurs multiples de noms abrégés de groupes herbivores,omnivores182 Annexe A Données de répertoire Mac OS X Attributs standard des enregistrements de montage Le tableau suivant fournit des informations sur les attributs standard (ou types de données) que l’on trouve dans les enregistrements de montage des services de données Mac OS X. Servez-vous de ces informations pour le mappage de domaines LDAP ou Active Directory sur les services de répertoire Mac OS X. Attributs standard des enregistrements de configuration Le tableau suivant fournit des informations sur les attributs standard (ou types de données) que l’on trouve dans les enregistrements de configuration des services de données Mac OS X. Mac OS X Server version 10.2 et ultérieure utilise ces deux types d’enregistrements de configuration : • L’enregistrement mcx_cache porte toujours le nom RecordName de mcx_cache. Il utilise aussi RealName et DataStamp pour déterminer si la mémoire cache doit être actualisée ou les réglages de serveur ignorés. Si vous voulez des clients gérés, vous devez avoir un enregistrement de configuration mcx_cache. • L’enregistrement passwordserver possède l’attribut supplémentaire PasswordServerLocation. Attributs de montage Mac OS X Format Exemples RecordName : Hôte et chemin d’accès au point de partage Texte UTF-8 hostname:/chemin d’accès sur le serveur indigo:/Volumes/home2 VFSLinkDir Chemin d’accès pour le montage sur un client Texte UTF-8 /Network/Servers VFSType Texte ASCII Pour AFP : url Pour NFS : nfs VFSOpts Texte UTF-8 Pour AFP (deux valeurs) : net url==afp:// ;AUTH=NO%20USER%20 AUTHENT@serveur/point de partage/ Pour NFS : net VFSDumpFreq VFSPassNoAnnexe A Données de répertoire Mac OS X 183 Servez-vous de ces informations pour le mappage de domaines LDAP ou Active Directory sur les services de répertoire Mac OS X. Attributs de configuration Mac OS X Format Exemples RecordName : Nom associé à une configuration Caractères ASCII A à Z, a à z, 0 à 9, _,-,. mcx_cache passwordserver Longueur non nulle, maximum 255 octets (de 85 caractères triple octets à 255 caractères d’un octet). PasswordServerLocation : Identifie l’hôte du serveur de mots de passe associé au domaine de répertoire adresse IP ou nom d’hôte 192.168.1.90 Nom réel Pour l’enregistrement de configuration mcx_cache, RealName est un GUID DataStamp Pour l’enregistrement de configuration mcx_cache, DataStamp est un GUID 185 B Annexe B Méthodes d’authentification du serveur de mots de passe Open Directory Open Directory Password Server repose sur le standard SASL pour gérer plusieurs méthodes d’authentification de mots de passe d’utilisateur. Le méthodes d’authentification gérées par Open Directory Password Server incluent APOP, CRAM-MD5, DHX, Digest-MD5, MS-CHAPv2, SMB-NT, SMB-LAN Manager et WebDAV-Digest. Open Directory Password Server peut gérer un large éventail de méthodes d’authentification car il est basé sur le standard SASL (Simple Authentication and Security Layer). Open Directory doit gérer de nombreuses méthodes d’authentification différentes car chaque service requérant l’authentification utilise des méthodes particulières. Les services de fichiers utilisent un ensemble de méthodes d’authentification, le service Web en utilise un autre, le service de courrier encore un autre, etc. Certaines méthodes d’authentification sont plus sûres. Les méthodes les plus sûres exploitent des algorithmes plus robustes pour coder les données transmises entre le client et le serveur. Les méthodes d’authentification les plus sûres stockent en outre les mots de passe sous une forme impossible à récupérer à partir du serveur. Activation ou désactivation des méthodes d’authentification Toutes les méthodes d’authentification de mot de passe gérées par Open Directory Password Server sont activées à l’origine. Vous pouvez désactiver et activer des méthodes d’authentification du serveur de mots de passe Open Directory à l’aide de la commande NeST dans Terminal. Pour plus d’informations, reportez-vous au d’administration par ligne de commande. Lorsque vous décidez des méthodes d’authentification à désactiver ou activer, votre objectif doit être de fournir un confort maximal aux utilisateurs légitimes tout en empêchant les autres utilisateurs d’accéder au serveur. Voici quelques aspects à considérer : • Quels sont les types de validation de mot de passe nécessaires aux services fournis par votre ou vos serveurs ? • Quel équilibre souhaitez-vous établir entre facilité d’accès et sécurité ?186 Annexe B Méthodes d’authentification du serveur de mots de passe Open Directory • Quels sont les types de matériel et de logiciel utilisés par les clients du serveur ? • Votre serveur se trouve-t-il dans un lieu physiquement protégé ? Remarque : désactiver ou activer une méthode d’authentification peut nécessiter la réinitialisation des mots de passe des comptes d’utilisateurs. Si un utilisateur ne parvient pas à utiliser les méthodes que vous venez d’activer, l’utilisateur ou un administrateur du domaine de répertoire doit réinitialiser le mot de passe d’utilisateur. Des informations élémentaires sur les méthodes d’authentification du serveur de mots de passe Open Directory sont fournies dans les pages suivantes. Ces informations ne constituent pas une alternative à l’apprentissage minutieux des méthodes d’authentification et de la manière dont elles affectent la sécurité et la facilité d’accès. Validation de mot de passe APOP APOP peut être utilisé pour le service de courrier POP par Mac OS X Server et le logiciel client de courrier de l’utilisateur. Il code les mots de passe lorsqu’ils sont transmis sur le réseau mais les stocke sous une forme récupérable sur le serveur. Il offre une sécurité correcte pendant la transmission sur le réseau. Un utilisateur mal intentionné peut toutefois obtenir les mots de passe en accédant au serveur et en lisant le fichier des mots de passe. Cette opération reste cependant difficile. Lorsqu’APOP est désactivé, certains programmes de courrier électronique transmettent les mots de passe sur le réseau dans un format clair, ce qui implique un important risque de sécurité. Si vous utilisez votre serveur pour le courrier POP, il faut garder APOP activé. Validation de mot de passe CRAM-MD5 CRAM-MD5 peut être utilisé pour le service de courrier IMAP par Mac OS X Server et le logiciel client de courrier de l’utilisateur. CRAM-MD5 est également utilisé par certains logiciels LDAP. Cette méthode d’authentification code les mots de passe lorsqu’ils sont transmis sur le réseau et les stocke sur le serveur sous une forme brouillée. Il offre une sécurité correcte pendant la transmission sur le réseau. Un utilisateur mal intentionné peut obtenir les mots de passe en accédant au serveur et en décodant le fichier des mots de passe. Cette opération reste cependant difficile. Lorsque CRAM-MD5 est désactivé, certains programmes de courrier électronique transmettent les mots de passe sur le réseau sous forme de texte en clair, ce qui représente un important risque de sécurité. Si vous utilisez votre serveur pour le courrier SMTP ou IMAP, veillez à garder CRAM-MD5 activé. Validation de mot de passe DHX La validation de mot de passe DHX (Diffie-Hellman Exchange) est utilisée par le service de fichiers Apple de Mac OS X Server et certains autres serveurs de fichiers AFP (Apple Filing Protocol). DHX est requis pour l’administration Open Directory et les modifications de mot de passe. Un utilisateur mal intentionné est capable d’obtenir les mots de passe en accédant au serveur et en décodant le fichier des mots de passe. Cette opération reste cependant difficile. DHX code les mots de passe de façon très robuste lors de leur transmission sur le réseau. DHX ne peut être désactivé.Annexe B Méthodes d’authentification du serveur de mots de passe Open Directory 187 Pour utiliser DHX, le logiciel AppleShare Client des ordinateurs Mac OS 8.1 à 8.6 doit être mis à niveau. • Les ordinateurs Mac OS 8.6 doivent utiliser AppleShare Client version 3.8.8. • Les clients Mac OS 8.1 à 8.5 doivent utiliser AppleShare Client version 3.8.6. • Les ordinateurs clients Mac OS 8.1 à 8.6 qui ont des volumes de serveur de fichiers automatiquement montés au démarrage doivent utiliser AppleShare Client version 3.8.3 et disposer du module DHX UAM (User Authentication Module, module d’authentification utilisateur). DHX UAM est fourni avec le logiciel d’installation d’AppleShare Client 3.8.3. Validation de mot de passe Digest-MD5 Digest-MD5 est utilisé par la fenêtre d’ouverture de session de Mac OS X, de nombreux programmes de courrier électronique et certains logiciels LDAP. Cette méthode d’authentification code les mots de passe lorsqu’ils sont transmis sur le réseau, et les stocke sur le serveur dans une forme brouillée. Il offre une sécurité correcte pendant la transmission sur le réseau. Un utilisateur mal intentionné est capable d’obtenir les mots de passe en accédant au serveur et en décodant le fichier des mots de passe. Cette opération reste cependant difficile. Digest-MD5 ne peut être désactivé. Validation de mot de passe MS-CHAPv2 MS-CHAPv2 est utilisé par le service VPN de Mac OS X Server. Cette méthode d’authentification code les mots de passe lorsqu’ils sont transmis sur le réseau, et les stocke sur le serveur dans une forme brouillée. Il offre une sécurité correcte pendant la transmission sur le réseau. Un utilisateur mal intentionné est capable d’obtenir les mots de passe en accédant au serveur et en décodant le fichier des mots de passe. Cette opération reste cependant difficile. Validation de mot de passe SMB-NT La validation de mot de passe SMB-NT est requise par défaut pour certains ordinateurs Microsoft Windows qui doivent se connecter au serveur Mac OS X Server pour les services Windows. On l’appelle parfois Windows Secure Password Exchange (NT). Il code les mots de passe lorsqu’ils sont transmis sur le réseau et les stocke sur le serveur sous forme brouillée. Un utilisateur mal intentionné est capable d’obtenir les mots de passe en accédant au serveur et en décodant le fichier des mots de passe. Cette opération reste cependant difficile. Lorsque la validation de mot de passe SMB-NT est désactivée, le système de chaque client Windows doit être configuré pour travailler avec le serveur. Pour que les utilisateurs sous Windows puissent facilement partager des fichiers sur votre système, gardez SMB-NT activé.188 Annexe B Méthodes d’authentification du serveur de mots de passe Open Directory Validation de mot de passe SMB-LAN Manager La validation de mot de passe SMB-LAN Manager est requise par défaut pour certains systèmes Microsoft Windows qui doivent se connecter au serveur SMB Mac OS X. On l’appelle parfois Windows Secure Password Exchange (LAN Manager). Il code les mots de passe lorsqu’ils sont transmis sur le réseau, et les stocke sur le serveur sous forme brouillée. Un utilisateur mal intentionné est capable d’obtenir les mots de passe en accédant au serveur et en décodant le fichier des mots de passe. Cette opération reste cependant difficile. Lorsque la validation de mot de passe SMB-LAN Manager est désactivée, le système de chaque client Windows doit être configuré pour travailler avec le serveur. Pour que les utilisateurs sous Windows puissent facilement partager des fichiers sur votre système, gardez SMB-LAN Manager activé. Validation de mot de passe WebDAV-Digest WebDAV-Digest gère la validation de mot de passe Digest-MD5 du protocole WebDAV, qui est utilisé pour authentifier l’accès à un iDisk. Gardez WebDAV-Digest activé pour que les utilisateurs puissent monter des iDisk et d’autres serveurs WebDAV dans le Finder. WebDAV-Digest code les mots de passe lorsqu’ils sont transmis sur le réseau et les stocke sur le serveur sous forme brouillée. Il offre une sécurité correcte pendant la transmission sur le réseau. Un utilisateur mal intentionné est capable d’obtenir les mots de passe en accédant au serveur et en décodant le fichier des mots de passe. Cette opération reste cependant difficile. 189 C Annexe C Gestionnaire d’authentification Mac OS X Server gère les utilisateurs qui ont été configurés pour employer la technologie héritée Gestionnaire d’authentification de Mac OS X Server versions 10.0 à 10.2. Gestionnaire d’authentification est une technologie héritée pour la validation sécurisée des mots de passe des utilisateurs suivants : • Utilisateurs de services Windows (y compris gestion de SMB-NT, SMB-LM et CRAM-MD5) • Utilisateurs de services de fichiers Apple dont les ordinateurs Mac OS 8 n’ont pas été mis à niveau avec le logiciel client AFP version 3.8.3 ou plus • Utilisateurs devant s’authentifier pour le service de courrier à l’aide d’APOP ou de CRAM-MD5 Gestionnaire d’authentification ne fonctionne que pour les comptes d’utilisateurs qui ont été créés dans un domaine NetInfo de Mac OS X Server versions 10.0 à 10.2. Gestionnaire d’authentification doit avoir été activé pour le domaine NetInfo. Lorsque vous mettez un serveur à niveau avec Mac OS X Server version 10.3, à partir d’une version antérieure dans laquelle Gestionnaire d’authentification est activé, ce dernier demeure activé. Les utilisateurs existants peuvent conserver leurs mots de passe. Un compte d’utilisateur existant utilise Gestionnaire d’authentification si le compte se trouve dans un domaine NetInfo pour lequel Gestionnaire d’authentification a été activé et si le compte est configuré pour utiliser un mot de passe crypté. Après la mise à niveau d’un serveur avec Mac OS X Server version 10.3, vous pouvez modifier les comptes d’utilisateurs existants pour qu’ils s’authentifient à l’aide d’Open Directory. L’authentification Open Directory est l’option d’authentification par défaut pour les utilisateurs de services Windows. Elle est requise pour l’accès au domaine à partir d’une station de travail Windows vers un contrôleur de domaine principal Mac OS X Server. Les nouveaux comptes d’utilisateurs créés dans Mac OS X Server version 10.3 sont configurés pour utiliser l’authentification Open Directory. 191 Glossaire Glossaire Active Directory Le service de répertoire des serveurs Microsoft Windows 2000 et 2003. administrateur Utilisateur disposant d’autorisations d’administration de serveur ou de domaine de répertoire. Les administrateurs sont toujours membres du groupe “admin” prédéfini. Adresse IP Adresse numérique unique qui identifie un ordinateur sur Internet. attribut d’autorité d’authentification Valeur qui identifie le système de validation de mot de passe spécifié pour un utilisateur et fournit, si nécessaire, des informations supplémentaires. authentification Processus par lequel un utilisateur prouve son identité, généralement en validant un nom d’utilisateur et un mot de passe. L’authentification intervient habituellement avant qu’un processus d’autorisation ne détermine le niveau d’accès d’un utilisateur à une ressource. Par exemple, le service de fichiers autorise l’accès complet aux dossiers et fichiers dont l’utilisateur authentifié est le possesseur. autorisation Processus par lequel un service détermine s’il doit accorder à un utilisateur l’accès à une ressource et spécifie le type d’accès qui doit être accordé. L’autorisation intervient habituellement après que le processus d’authentification s’est assuré de l’identité de l’utilisateur. Par exemple, le service de fichiers autorise un accès complet aux dossiers et fichiers dont un utilisateur authentifié est le possesseur. BSD (Berkeley System Distribution) Version d’UNIX, sur laquelle repose le logiciel Mac OS X. chemin de recherche Voir politique de recherche. classe Voir classe d’objets. classe d’objets Ensemble de règles qui définissent des objets semblables dans un domaine de répertoire en spécifiant les attributs que doit posséder chaque objet, ainsi que d’autres attributs possibles pour l’objet.192 Glossaire client géré Utilisateur, groupe ou ordinateur dont les autorisations d’accès et/ou les préférences sont sous le contrôle d’un administrateur. compte d’ordinateurs Liste d’ordinateurs qui partagent les mêmes réglages de préférences et sont accessibles aux mêmes utilisateurs et groupes. DHCP (Dynamic Host Configuration Protocol) Protocole utilisé pour la répartition d’adresses IP entre les ordinateurs clients. Chaque fois qu’un ordinateur client démarre, le protocole recherche un serveur DHCP et demande une adresse IP au serveur DHCP rencontré. Le serveur DHCP cherche une adresse IP disponible et l’envoie à l’ordinateur client accompagnée d’un délai de bail (période pendant laquelle l’ordinateur client est autorisé à utiliser l’adresse). domaine de répertoire Base de données spécialisée qui stocke les informations de référence sur les utilisateurs et les ressources réseau nécessaires au logiciel système et aux applications. La base de données est optimisée pour gérer de nombreuses requêtes d’informations, trouver et obtenir rapidement ces informations. Le domaine de répertoire peut également être appelé nœud de répertoire ou simplement répertoire. domaine local domaine de répertoire accessible uniquement à partir de l’ordinateur sur lequel il réside. empreinte Forme cryptée d’un mot de passe ou d’un texte. enfant Ordinateur dont les informations de configuration proviennent du domaine de répertoire partagé d’un parent FTP (File Transfer Protocol) Protocole permettant aux ordinateurs de transférer des fichiers sur un réseau. Les clients FTP, dont le système d’exploitation gère le protocole FTP, peuvent se connecter à un serveur de fichiers et télécharger des fichiers, en fonction des autorisations d’accès dont ils bénéficient. La plupart des navigateurs Internet et bon nombre d’applications gratuites (“freeware”) peuvent être utilisés pour accéder à un serveur FTP. groupe Ensemble d’utilisateurs ayant les mêmes besoins. Les groupes simplifient l’administration des ressources partagées. groupe principal Groupe par défaut d’un utilisateur. Le système de fichiers utilise l’identifiant du groupe principal lorsqu’un utilisateur accède à un fichier dont il n’est pas le possesseur. hiérarchie de domaine de répertoire Mode d’organisation des domaines de répertoires partagés et locaux. Une hiérarchie possède une structure arborescente inversée, le domaine racine (root) étant placé en haut et les domaines locaux en bas.Glossaire 193 identifiant de groupe principal Nombre unique identifiant un groupe principal. IP (Internet Protocol) Egalement appelé IPv4. Méthode utilisée conjointement avec le protocole TCP (Transmission Control Protocol) pour envoyer des données d’un ordinateur à un autre via un réseau local ou via Internet. Le protocole IP envoie les paquets de données, alors que le protocole TCP se charge du suivi de ces paquets. Kerberos Système sécurisé d’authentification en réseau. Kerberos utilise des tickets qui sont émis pour un utilisateur, un service et une durée spécifiques. Une fois qu’un utilisateur est authentifié, il peut accéder à des services supplémentaires sans devoir fournir à nouveau un mot de passe (procédure de signature unique) pour les services configurés pour accepter les tickets Kerberos. Mac OS X Server utilise Kerberos v5. LDAP (Lightweight Directory Access Protocol) Protocole client-serveur standard pour accéder à un domaine de répertoire. Mac OS X La dernière version du système d’exploitation d’Apple. Mac OS X allie la fiabilité d’UNIX à la facilité d’emploi de Macintosh. Mac OS X Server Plate-forme de serveur puissante, capable de gérer immédiatement les clients Mac, Windows, UNIX et Linux et offrant un ensemble de services de réseau et de groupes de travail extensible, ainsi que des outils perfectionnés de gestion à distance. NetInfo Un des protocoles Apple permettant d’accéder à un domaine de répertoire. nœud de répertoire Voir domaine de répertoire nom abrégé Abréviation du nom d’un utilisateur. Le nom abrégé est utilisé par Mac OS X pour les répertoires de départ, l’authentification et les adresses électroniques. nom complet Voir nom d’utilisateur nom d’utilisateur Nom complet d’un utilisateur, appelé parfois nom “réel” de l’utilisateur. Voir également nom abrégé. Open Directory Architecture des services de répertoire Apple, capable d’accéder aux informations de référence sur les utilisateurs et les ressources réseau à partir de domaines de répertoire utilisant les protocoles LDAP, NetInfo ou Active Directory ; les fichiers de configuration BSD ; et les services de réseau. open-source Terme désignant le développement coopératif de logiciels par la communauté Internet. Le principe de base consiste à impliquer le maximum de personnes dans l’écriture et la mise au point du code en publiant le code source et en encourageant la formation d’une large communauté de développeurs qui feront part de leurs modifications et améliorations. 194 Glossaire ordinateur administrateur Ordinateur Mac OS X sur lequel vous avez installé les applications d’administration du serveur situées sur le CD Admin Serveur Mac OS X. parent Ordinateur dont le domaine de répertoire partagé fournit des informations de configuration à un autre ordinateur. point de partage Dossier, disque dur (ou partition de disque dur) ou CD accessible via le réseau. Un point de partage constitue le point d’accès situé au premier niveau d’un groupe d’éléments partagés. Les points de partage peuvent être partagés à l’aide des protocoles AFP, Windows SMB, NFS (“exportation”) ou FTP. politique de recherche Liste des domaines de répertoires parmi lesquels un ordinateur Mac OS X effectue ses recherches lorsqu’il a besoin d’informations de configuration. Désigne également l’ordre dans lequel les domaines sont pris en compte lors de la recherche. Parfois appelé “chemin de recherche”. possesseur Personne qui a créé un fichier ou un dossier et qui, dès lors, peut attribuer aux autres utilisateurs des autorisations d’accès à ces éléments. Le possesseur d’un élément dispose automatiquement des autorisations de lecture et d’écriture pour cet élément. Le possesseur d’un élément peut également en transférer la propriété à un autre utilisateur. préférences gérées Préférences système ou d’applications sous le contrôle d’un administrateur. Gestionnaire de groupe de travail permet aux administrateurs de contrôler les réglages de certaines préférences Système pour les clients gérés Mac OS X. Gestionnaire Macintosh permet aux administrateurs de contrôler à la fois les préférences système et les préférences d’applications pour les clients gérés Mac OS 9 et Mac OS 8. protocole Ensemble de règles qui déterminent la manière dont les données sont échangées entre deux applications. protocole AFP (Apple Filing Protocol) Protocole client/serveur utilisé par le service de fichiers Apple sur les ordinateurs Macintosh et compatibles pour partager des fichiers et des services en réseau. Ce protocole utilise TCP/IP et d’autres protocoles pour les communications entre ordinateurs d’un réseau. Rendezvous Protocole développé par Apple pour la détection automatique d’ordinateurs, de périphériques et de services sur les réseaux IP. Ce protocole standard Internet est souvent appelé “ZeroConf” ou “multicast DNS”. Pour plus d’informations, visitez les sites www.apple.com ou www.zeroconf.org répertoire de départ Dossier destiné à l’usage personnel d’un utilisateur. Mac OS X utilise également le répertoire de départ pour, par exemple, stocker des préférences système et des réglages d’utilisateur gérés pour les utilisateurs Mac OS X.Glossaire 195 répertoire de groupe Répertoire servant à organiser les documents et les applications d’un intérêt particulier pour les membres d’un groupe et leur permettant de s’échanger des informations. schéma Ensemble d’attributs et de types (ou classes) d’enregistrements qui fournissent un modèle pour les informations contenues dans un domaine de répertoire. Services de répertoires Services fournissant au logiciel système et aux applications un accès uniforme aux domaines de répertoires et autres sources d’informations sur les utilisateurs et les ressources. signature unique Stratégie d’authentification qui évite aux utilisateurs de devoir saisir un nom et un mot de passe pour chaque service de réseau. Mac OS X Server utilise Kerberos pour activer la signature unique. SLP (Service Location Protocol) DA (Directory Agent) Protocole utilisé pour répertorier les services disponibles sur un réseau, afin de permettre aux utilisateurs d’y accéder facilement. Lorsqu’un service est ajouté au réseau, il utilise le protocole SLP pour s’enregistrer sur le réseau. SLP/DA conserve les services de réseau enregistrés dans un emplacement centralisé. SMB (Server Message Block) Protocole permettant à des ordinateurs clients d’accéder à des fichiers et à des services de réseau. Il peut être utilisé via TCP/IP, Internet ou d’autres protocoles. Les services Windows utilisent le protocole SMB pour fournir l’accès aux serveurs, imprimantes et autres ressources de réseau. SSL (Secure Sockets Layer) Protocole Internet permettant d’envoyer sur Internet des informations cryptées et authentifiées. utilisateur invité Utilisateur pouvant se connecter à votre serveur sans fournir de nom ni de mot de passe. WebDAV (Web-based Distributed Authoring and Versioning) Environnement de création en direct permettant aux utilisateurs clients d’extraire des pages Web d’un site, de les modifier, puis de les replacer sur le site sans que ce dernier ne cesse de fonctionner. WebDAV realm Région d’un site Web, généralement un dossier ou un répertoire, réservé aux utilisateurs et groupes WebDAV. 197 Index Index A Active Directory accès LDAPv3 à 118 configuration de l’accès à 113 groupes d’administrateurs 117 mappage UID 117 mise en cache des références 116 modification de comptes d’utilisateur 118 politiques de recherche et 114, 115, 119 serveur préféré 116 administrateur Active Directory 114, 115, 117 choix des services de répertoires 62 délégué 69, 71, 72 Kerberos 69, 71 mot de passe, réinitialisation 136 NetInfo 121 nom distinctif 108 obligations 85 Open Directory 89 politiques de mot de passe 40, 82, 83 serveur de mots de passe Open Directory 89, 135 administrateur délégué 69 administration distante 57, 125 Admin Serveur 58 connexion à un domaine de répertoire existant 68 informations sur les services de répertoires 127 maître Open Directory 64 réplique Open Directory 65 serveur de mot de passe Open Directory 127 utilisations 58 aiguillage automatique, clients NetInfo vers LDAP 75 AppleTalk activation et désactivation d’Open Directory 94 protocole de détection de services 27 application Format de répertoire accès LDAP via DHCP 101 accès NIS 119 activation et désactivation de protocoles 94, 95, 96, 97 Active Directory, accès 113, 118 administration distante 125 bases de recherche et mappages LDAP, modification 106, 109 configuration LDAP, duplication 104 configuration LDAP, modifier 103 configuration LDAP, suppression 105 configurations LDAP, affichage et masquage 102 connexions LDAP, modification 105 LDAP configuration, ajout 102, 116, 117 liaison NetInfo, configuration 123 politique de recherche automatique, utilisation 98 politique de recherche de domaine local 100 politiques de recherche 97–100 politiques de recherche personnalisées, définition 99 SMB, configuration 97 assistant du serveur 63 attaque hors ligne 46 attaque par saturation 74 attribut d’autorité d’authentification 38, 90, 156 attributs ajout 108 à propos des 21 enregistrements d’emplacements 173 enregistrements d’imprimantes 171 enregistrements d’ordinateurs 163, 180–181 enregistrements d’utilisateurs 158, 173–177 enregistrements d’utilisateurs préréglés 169 enregistrements de configuration 166, 182–183 enregistrements de configuration automatique de serveur 172 enregistrements de groupes 162, 179–180 enregistrements de groupes préréglés 169 enregistrements de listes d’ordinateurs 165, 181 enregistrements de listes d’ordinateurs préréglés 168 enregistrements de montage 163, 182 enregistrements de personnes 167 LDAP 144 mappage LDAP 106 attributs d’imprimante (printer) 152 attributs d’ordinateur (computer) 153198 Index attributs d’ordinateur (machine) 150 attributs d’ouverture de session 157 attributs d’utilisateur préréglé 156 attributs de configuration 154 attributs de groupe 148, 162, 179–180 attributs de liste d’ordinateurs 181 attributs de montage (mount) 151 authentification Kerberos 39, 41, 69, 70, 72, 88 protocoles gérés 39 sécurité 56 serveur de mot de passe Open Directory 39 signature unique 44 authentification APOP 40, 186 authentification CRAM-MD5 40, 186 authentification de base 45 authentification DHX 40, 45, 186 authentification Digest-MD5 40, 187 authentification LAN Manager 40, 45, 188 authentification MS-CHAPv2 40, 41, 69, 135, 187 authentification NT 40, 187 authentification par liaison LDAP 47, 88 authentification SMB-LAN Manager 40, 188 authentification SMB-NT 40, 187 authentification VPN 41, 69, 135 authentification WebDAV-Digest 40, 188 autorisations d’accès, services de répertoires 20 B basculement, Open Directory 67 base de données Berkeley DB 52 domaine de répertoire 15, 52 Kerberos 42 LDAP 55, 73 migration 75 restauration 132 sauvegarde 130 serveur de mots de passe Open Directory 40, 41, 56 base de recherche Active Directory 119 mappages stockés sur serveur 108 répertoire LDAP 65, 77, 102 types d’enregistrements LDAP 107 besoins répertoire et authentification 52 C centre de distribution de clés Voir Kerberos classe d’objets d’autorité d’authentification (authentication authority) 143 classe d’objets d’emplacement (location) 143 classe d’objets d’imprimante (printer) 140 classe d’objets d’ordinateur (computer) 140 classe d’objets d’ordinateur (machine) 140 classe d’objets d’utilisateur (user) 139 classe d’objets d’utilisateur préréglé (preset user) 142 classe d’objets de configuration 141 classe d’objets de configuration d’assistant du serveur (server assistant configuration) 143 classe d’objets de conteneur (container) 138 classe d’objets de groupe (group) 139 classe d’objets de groupe préréglé (preset group) 142 classe d’objets de liste d’ordinateurs (computer list) 141 classe d’objets de liste d’ordinateurs préréglés (preset computer list) 142 classe d’objets de montage (mount) 140 classes d’objets 138 comptes d’utilisateur dans des domaines de répertoire 15–16 connecté à un système de répertoire 68 connexion à un domaine Kerberos 72 cryptage LDAP 74 mot de passe 40, 46 D délai de recherche, LDAP 74 détection de services 27, 93 DHCP liaison NetInfo 98, 122, 123 maître Open Directory 65 option 95 34 politique de recherche automatique 34 politique de recherche automatique et 98 répertoire LDAP migré et 75, 77 réplique Open Directory et 67 serveur LDAP pour clients DHCP 34, 78, 98, 101 DNS (Domain Name System), Rendezvous 27 DNS en multidiffusion 27 domaine, Kerberos 42, 65, 76 domaine de répertoire besoins 52 comptes d’utilisateur 15–16 planification 49 sécurité 53 simplification des modifications 51 stockage d’informations 15, 21, 51 domaine de répertoire local NetInfo 122 politique de recherche 30, 100 dans la politique de recherche automatique 33 serveur autonome 63 stockage d’informations 22 domaine de répertoire partagéIndex 199 Voir également LDAP, NetInfo connexion (à un domaine existant) 68 hébergement 64, 65 impression réseau 24 ressources 25 stockage d’informations 22 domaine NetInfo enfant 121 domaine NetInfo parent 121 domaine root 122 domaines de répertoires partagés Voir aussi LDAP, NetInfo données administratives Voir domaine de répertoire données brutes de répertoire, modification 128 duplication basculement 67 fréquence 73 planification 54 sécurité 57 E empreinte, mot de passe 40, 44 empreinte, mot de passe SHA-1 45 empreinte NT 45 enregistrements d’ordinateurs, attributs des 180– 181 enregistrements d’utilisateurs attributs 144, 158, 173–177 mappage 157, 178 utilisation par le serveur 178 enregistrements de configuration, attributs 182–183 enregistrements de groupe 21 enregistrements de groupes 161 enregistrements de listes d’ordinateurs, attributs 153 enregistrements de montage 162, 182 F fichiers de configuration Voir fichiers de configuration BSD fichiers de configuration BSD activation et désactivation 94 histoire 16 remplissage à l’aide de données 121 utilisation 120 Format de répertoire utilisations 58 G Gestionnaire d’authentification 76, 90, 189 Gestionnaire de groupe de travail remplissage de domaines LDAP avec 110 utilisations 59 Gestionnaire NetInfo 59, 123, 124 groupes, administration d’Active Directory 115, 117 guides d’administration du serveur 11 H historiques serveur de mots de passe Open Directory 127 I importation et exportation utilisateurs du serveur de mots de passe Open Directory 89 Utilisateurs Gestionnaire d’authentification 90 Inspecteur affichage 128 masquage 129 nom abrégé, modification 129 J journaux services de répertoire 127 K Kerberos activation 88 centre de distribution de clés intégré 42 configuration 69 domaine 42, 65, 76 duplication 54 maître Open Directory 70 politiques de mot de passe 39, 43, 82, 83 principaux 42 processus d’authentification 43 résolution de problèmes 135 services compatibles 70 services gérant 42 ticket 43 ticket d’octroi de ticket 43 utilisation 42 L LDAP Voir également domaines de répertoires activation et désactivation 95 affichage et masquage des configurations 102 ajout de configurations de serveur 102 associer à 47 attributs 144 bascule des clients à partir de NetInfo 77 classes d’objets 138 configuration 100–111 configuration de ports 57, 106 délai de recherche 74 domaines partagés 33 duplication 54 duplication de configurations de serveur 104 emplacement de la base de données 73200 Index extensions du schéma 138 lecture seule 110 liaison 34 migration du répertoire à partir de NetInfo 75 modification des configurations de serveur 103 options, configuration pour serveur 72 politique de recherche automatique 34 protocole de service de répertoire 26 réglages de connexion 105 remplissage de données 110 restauration à partir d’une sauvegarde 132 résultats de recherche, limitation 74 sauvegarde 130 SSL 74, 106 suppression de configurations de serveur 105 liaison LDAP 34, 98 NetInfo 122 liaison broadcast, NetInfo 123 liaison statique, NetInfo 123 Lightweight Directory Access Protocol (LDAP) Voir LDAP M Mac OS X Server applications d’administration 57 documentation 11 domaines de répertoires partagés 22–26 données utilisées par 178 maître Open Directory à propos 54 basculement vers une réplique 67 configuration 64 Kerberos 70 restauration à partir d’une sauvegarde 132 sauvegarde 130 signature unique 70 mappage Active Directory 157 enregistrements d’emplacements 172 enregistrements d’imprimantes 171 enregistrements d’ordinateurs 163, 180–181 enregistrements d’utilisateurs 157, 173–177 enregistrements d’utilisateurs préréglés 169 enregistrements de configuration 165, 182–183 enregistrements de configuration automatique de serveur 172 enregistrements de groupes 161, 179–180 enregistrements de groupes préréglés 168 enregistrements de listes d’ordinateurs 165, 181 enregistrements de listes d’ordinateurs préréglés 168 enregistrements de montage 162, 182 enregistrements de personnes 166 LDAP 106, 157 méthodes d’authentification, activation et désactivation 185 méthodes d’authentification en réseau 185 migration, domaine de répertoire NetInfo vers LDAP 75 mise en cache des références, Active Directory 116 modèles, domaine de répertoire Voir mappage montage automatique, services de répertoire 20 mot de passe crypté 44, 86 mot de passe en clair 40 mot de passe Open Directory 39, 85, 89 mot de passe shadow 44, 45, 87 mots de passe changement 80 composition 80 craquage 46 méthodes d’authentification 39 migration vers Open Directory 90 modification impossible 135 problèmes posés par ceux qui sont lisibles 46 réinitialisation simultanée 81 synchronisation des modifications dans les répliques 68 N NetInfo Voir également domaines de répertoires activation et désactivation de l’accès 95 bascule des clients vers LDAP 77 configuration 121–124 configuration de port 124 désactivation du domaine 75, 78 domaine partagé 33 enfant 121 liaison 122 migration du domaine vers LDAP 75 parent 121 politique de recherche automatique 34 protocole de service de répertoire 26 NIS, accès 119 nom abrégé, modification 129 nom distinctif 108 O obligations administrateur 85 Open Directory Voir également services de répertoires authentification 16 autorisations d’accès 20 comparaison avec les systèmes UNIX 18 configuration des protocoles 93 détection de services 27 dossiers de départ 20Index 201 droits d’administrateur 89 enregistrements de groupe 21 gestion des informations 19, 27 montage automatique des points de partage 20 origines UNIX 16 performances 55 planification 49 politiques de recherche 29–36 quotas 20 recherche dans des domaines non-Apple 26 réglages des comptes de messagerie 20 schéma 138 stockage d’informations 14, 27 utilisations 19–21 Option 95, DHCP 34 ordinateur administrateur 57 outils à ligne de commande 59 ouverture de session, authentification 16, 20 P performances, Open Directory 55 planification 49 politique de mot de passe globale 82 politique de recherche automatique Voir également politiques de recherche à propos de 33 définition 98 mappages LDAP fournis par 108 utilisation 98 politique de recherche d’authentification 36, 97, 100 politique de recherche personnalisée, définition 99 politiques de mot de passe administrateur 40, 89 globales 82 Kerberos 39, 43 répliques 54 utilisateur individuel 83 politiques de recherche ajout de fichiers BSD 120 ajout de NIS 120 ajout de serveur Active Directory à 114, 115, 119 authentification 97 automatiques 33, 98 configuration 97–100 personnalisées 35, 99 répertoire local 30, 100 principaux, Kerberos 42 protocoles Voir également protocoles spécifiques détection de services 27 Open Directory 93 options pour serveur LDAP 72 services de répertoires 93 Protocole SLP (Service Location Protocol) 27, 96 Q quotas, réglages d’utilisateur 20 R ralentissement au démarrage, causes 134 redondance, Open Directory 56 Rendezvous 27, 96 répertoires de départ 20 réplique plusieurs bâtiments 55 réplique Open Directory à propos 54 basculement à partir du maître 67 configuration 65 politiques de mot de passe 54 résultats de recherche LDAP, limitation 74 S SASL (Simple Authentication and Security Layer) 185 sauvegarde, maître Open Directory 130 schéma Voir également mappage schéma, extensions Open Directory 138 sécurité du matériel serveur 53 mots de passe 46 Open Directory 56 Server Message Block (SMB) Voir SMB serveur autonome 63 serveur de mots de passe Voir serveur de mots de passe Open Directory serveur de mots de passe Open Directory activation pour un utilisateur 85 authentification Windows 14 configuration 64, 65 contrôle 128 duplication 54 fonctions de sécurité 14 hébergement 64, 65 historiques 127 méthodes d’authentification 185 politiques de mot de passe 82, 83 recommandé pour Windows 14 résolution de problèmes 135 restauration à partir d’une sauvegarde 132 sauvegarde 130 serveurs, sécurité 53 Service Location Protocol (SLP) Voir SLP services de répertoires Voir également Open Directory administrateurs 62 authentification 16202 Index avantages 13 états 127 historiques 127 planification 62 résumé des outils 57 rôle dans le réseau 15 stockage d’informations 14 services kerberisés 42 services réseau données utilisées par 178 protocoles de détection 27 services Windows authentification 14 détection via protocole SMB 97 signature unique Voir aussi Kerberos activation 88 à propos de 44 configuration 69 maître Open Directory 70 SMB (Server Message Block) activation et désactivation 96 configuration 97 méthodes d’authentification 187–188 protocole Windows 27 SSL 74, 106 suffixe, base de recherche 65, 77, 102 T ticket, Kerberos 43 ticket d’octroi de ticket, Kerberos 43 type de mot de passe mot de passe crypté 44, 86 mot de passe shadow 44, 87 types d’enregistrements Voir également types d’enregistrements spécifiques ajout 107 à propos des 21 mappage 106 U UNIX comparaison avec Open Directory 16–18 fichiers de configuration BSD 120 stockage d’informations 17–19 V validation de mot de passe attribut d’autorité d’authentification 38 Kerberos 42 mot de passe shadow 44 Open Directory 39 Apple Remote Desktop Guide de l’administrateur Version 2.2 Apple Computer, Inc. © 2005 Apple Computer, Inc. Tous droits réservés. Le possesseur ou l’utilisateur autorisé d’une copie valide du logiciel Apple Remote Desktop peut reproduire cette publication à des fins d’apprentissage du logiciel. Aucune partie de cette publication ne peut être reproduite ou transmise à des fins commerciales, comme la vente de copies de ladite publication ou la prestation de services d’assistance rémunérés. Le logo Apple est une marque d’Apple Computer, Inc., déposée aux États-Unis et dans d’autres pays. En l’absence du consentement écrit d’Apple, l’utilisation à des fins commerciales de ce logo via le clavier (Option + 1) pourra constituer un acte de contrefaçon et/ou de concurrence déloyale. Apple, le logo Apple, AirPort, AppleScript, AppleTalk, AppleWorks, FireWire, iBook, iMac, Keychain, Mac, Macintosh, Mac OS, PowerBook, QuickTime et XServe sont des marques d’Apple Computer, Inc. déposées aux États-Unis et dans d’autres pays. eMac, Finder, iCal, Rendezvous, Bonjour et Safari sont des marques d’Apple Computer, Inc. Adobe et Acrobat sont des marques d’Adobe Systems Incorporated. Java et toutes les marques et logos relatifs à Java sont des marques ou des marques déposées de Sun Microsystems, Inc. aux États-Unis et dans d’autres pays. UNIX est une marque déposée aux États-Unis et dans d’autres pays, exclusivement sous licence de X/Open Company, Ltd. F019-0359 3/24/05 3 3 Table des matières Préface 5 À propos de ce livre 5 Qu’est-ce qu’Apple Remote Desktop ? 5 Utilisation de ce guide 7 Où trouver des informations supplémentaires à propos d’Apple Remote Desktop Chapitre 1 9 Utilisation d’Apple Remote Desktop 9 Administration d’ordinateurs 20 Prise en charge d’utilisateurs 24 Obtention d’informations supplémentaires Chapitre 2 27 Installation 28 Configuration requise pour Apple Remote Desktop 28 Configuration d’un ordinateur administrateur Apple Remote Desktop 31 Configuration d’ordinateurs clients avec Mac OS X 10.2 installé 35 Configuration d’ordinateurs clients avec Mac OS X 10.3 installé 39 Création d’un programme d’installation client personnalisé 41 Présentation des types d’accès 48 Remarques pour les clients gérés 49 Configuration du logiciel d’administration 53 Configuration du réseau 55 Optimisation des performances 55 Gestion de la sécurité Chapitre 3 59 Administration d’ordinateurs 60 Recherche et ajout de clients aux listes d’ordinateurs ARD 63 Création et gestion des listes 65 Installation de logiciels à l’aide d’ARD 69 Mise à niveau de logiciels 70 Copie de fichiers 74 Création de rapports 87 Entretien des systèmes 90 Gestion des ordinateurs 95 Automatisation des fonctions4 Table des matières Chapitre 4 103 Communication avec les utilisateurs 104 Contrôle 108 Observation 111 Envoi de messages 113 Partage d’écrans Annexe A 115 Références 115 Icônes de scanneur d’ordinateur 116 ARD Icônes d’état 116 Références des ports TCP et UDP 117 Rapport, champ, définitions, références 124 Schéma modèle PostgreSQL 5 Préface À propos de ce livre Qu’est-ce qu’Apple Remote Desktop ? Apple Remote Desktop (ARD) est un logiciel puissant, simple à utiliser et basé sur des normes standard ouvertes, destiné à la gestion d’ordinateurs Macintosh en réseau. Il permet aux professionnels des technologies de l’information, de contrôler et de configurer des systèmes, d’installer des logiciels, de fournir une aide en ligne en direct aux utilisateurs finals et de produire des rapports détaillés sur les logiciels et les matériels pour tout un réseau Macintosh, le tout à distance. Vous pouvez utiliser Apple Remote Desktop pour : • Gérer des ordinateurs clients et entretenir, mettre à jour et distribuer leurs logiciels. • Rassembler plus de 200 attributs d’informations système pour tout Mac de votre réseau. Stocker les résultats dans une base de données SQL et visualiser les informations via l’un des nombreux rapports matériels ou logiciels proposés. • Fournir aux utilisateurs de l’aide et une assistance à distance lorsqu’ils en ont besoin. • Communiquer avec les utilisateurs en leur envoyant des messages de texte, en observant et en contrôlant leur écran et en partageant ces derniers avec d’autres utilisateurs clients. Le logiciel Apple Remote Desktop vous permet, où que vous soyez, d’accéder aux documents et applications de votre ordinateur de travail. Utilisé dans une classe, Apple Remote Desktop enrichit l’expérience d’apprentissage et permet aux professeurs de surveiller et de contrôler les ordinateurs de leurs élèves. Dans le cadre des entreprises, il constitue la solution idéale pour la gestion de systèmes distants, la diminution des coûts administratifs et l’accroissement de la productivité. Utilisation de ce guide Le guide de l’administrateur ARD inclut des chapitres pour vous aider à utiliser Remote Desktop. Il comprend des vues d’ensemble et des explications à propos des fonctionnalités et commandes d’ARD. Il contient également des explications sur l’installation et la configuration d’ARD sur des ordinateurs clients, l’administration des ordinateurs clients et l’utilisation de Remote Desktop pour dialoguer avec les utilisateurs des ordinateurs.6 Préface À propos de ce livre Ce guide est également disponible sur le disque d’installation ARD et sur le site Web d’assistance Apple Remote Desktop dans un format PDF doté de signets qui permet d’effectuer des recherches. Vous pouvez utiliser l’application Aperçu d’Apple ou Adobe (Acrobat) Reader pour naviguer dans le contenu de ce guide ainsi que pour rechercher des termes spécifiques, des fonctionnalités ou des tâches. L’Aide Remote Desktop est disponible via la Visualisation Aide. Pour ouvrir l’Aide Remote Desktop, choisissez Aide > Aide Remote Desktop. Les fichiers d’aide contiennent les mêmes informations que ce guide et s’avèrent utiles lorsque vous essayez d’accomplir une tâche, si vous n’avez pas accès à ce guide. Notations conventionnelles Ce guide ainsi que l’Aide Remote Desktop contiennent des instructions pour vous aider à utiliser de manière efficace les commandes d’ARD. Dans de nombreuses tâches présentées dans ce manuel et dans l’Aide Remote Desktop, vous devez choisir des commandes de menu semblables à : m Choisissez Modifier > Supprimer. Le premier terme après Choisir est le nom d’un menu dans la barre des menu Remote Desktop. Le(s) terme(s) suivant(s) sont les éléments que vous choisissez dans ce menu. Conventions de commandes de Terminal Les commandes ou paramètres de commande que vous saisissez, ainsi que le texte qui apparaît normalement dans une fenêtre de Terminal sont affichés dans cette police. Par exemple : Vous pouvez utiliser la commande doit à cette fin. Lorsqu’une commande apparaît seule sur une ligne, comme lorsque vous la saisissez dans une fenêtre de Terminal, elle suit un signe «$» qui représente une invite de commande shell. Par exemple : $ doit Pour effectuer cette commande, saisissez «doit» sans le signe dollar à l’invite de la commande, dans une fenêtre de Terminal, puis appuyer sur la touche retour. Notation Signification police à espacement constant Une commande ou un texte de Terminal $ Une invite de commande shell Un valeur affichée qui dépend de votre configuration ou de vos réglagesPréface À propos de ce livre 7 Où trouver des informations supplémentaires à propos d’Apple Remote Desktop Pour en savoir plus sur Apple Remote Desktop, consultez les sources suivantes. • Vous trouverez d’autres informations dans le fichier Ouvrez-moi ARD ainsi que sur le site Web d’Apple Remote Desktop : http://www.apple.com/fr/remotedesktop • La dernière édition du Guide de l’administrateur est disponible sur : http://www.apple.com/fr/server/documentation • Le site Web d’assistance Apple Remote Desktop Support fournit une base de données d’articles techniques sur les produits, leur utilisation et leur mise en place. http://www.apple.com/fr/support/remotedesktop • Pour obtenir un feed-back à propos d’ ARD, consultez la page : http://www.apple.com/feedback/remotedesktop.html • Pour savoir comment figurer dans la liste d’envoi d’ARD, rendez-vous sur : http://lists.apple.com/mailman/listinfo/remote-desktop • Pour partager des informations et en obtenir au travers de discussions en ligne, consultez le forum de discussion relatifs à ARD : http://discussions.info.apple.com/appleremotedesktop • Pour en savoir plus sur WBEM/CIM, consultez : http://www.dmtf.org • Pour en savoir plus sur PostgreSQL, consultez : http://www.postgresql.org1 9 1 Utilisation d’Apple Remote Desktop Apple Remote Desktop vous aide à maintenir à jour et en service les ordinateurs Macintosh et leurs logiciels. Il vous permet également de dialoguer directement avec les utilisateurs Macintosh pour les guider ou leur fournir une assistance de dépannage. Ce chapitre présente les principaux aspects de l’administration d’ARD, les possibilités de dialogue avec les utilisateurs et vous indique où trouver des informations détaillées concernant celles-ci. Administration d’ordinateurs ARD vous permet d’effectuer à distance une multitude de tâches d’administration sur le matériel et les logiciels clients, à partir d’un ordinateur administrateur (l’ordinateur sur lequel le logiciel d’administration est installé) : • Maintenez à jour les logiciels des utilisateurs grâce à ARD pour déployer les logiciels et fichiers associés sur les ordinateurs clients. • Créez des rapports dressant l’inventaire des caractéristiques du matériel et des logiciels d’ordinateurs clients. • Utilisez les possibilités d’administration à distance d’ARD pour effectuer des tâches de gestion interne sur les ordinateurs clients.10 Chapitre 1 Utilisation d’Apple Remote Desktop Vous pouvez administrer les ordinateurs clients individuellement, mais la plupart des fonctionnalités ARD peuvent être utilisées pour gérer plusieurs ordinateurs à la fois. Par exemple, vous pouvez installer ou mettre à jour les mêmes applications sur tous les ordinateurs d’un département en particulier. Vous pouvez également partager votre écran pour faire la démonstration d’une tâche à un groupe d’utilisateurs, comme des étudiants dans une salle de classe. Pour gérer plusieurs ordinateurs en effectuant une seule opération, vous devez définir des listes d’ordinateurs ARD. Une liste d’ordinateurs représente un groupe d’ordinateurs que vous souhaitez administrer simultanément. Il est facile de créer des listes d’ordinateurs ; il vous suffit d’importer les identités des ordinateurs à partir de fichiers ou de scans de réseau. Un ordinateur peut appartenir à plus d’une liste à la fois ; ceci vous procure une grande flexibilité pour la gestion de multiples ordinateurs. Un ordinateur peut être classé selon son type (ordinateur portable, de bureau), son emplacement (bâtiment 3, 4e étage), son usage (marketing, ingénierie, informatique) et ainsi de suite. Une fois les listes d’ordinateurs créées, vous pouvez mener la plupart des tâches d’administration décrites ci-dessous pour des groupes d’ordinateurs clients. Département de marketing Département d’ingénierieChapitre 1 Utilisation d’Apple Remote Desktop 11 Déploiement du logiciel ARD vous permet de distribuer les logiciels et fichiers associés aux ordinateurs clients à partir de votre ordinateur administrateur ARD ou à partir d’un ordinateur sous Mac OS X Server. Distribution des paquets d’installation Vous pouvez distribuer et installer automatiquement les paquets aux formats .pkg et .mpkg. ARD vous permet d’installer le logiciel et les mises à jour de logiciels sur un ou plusieurs ordinateurs clients sans dialoguer avec ou interrompre les utilisateurs, même si aucun utilisateur n’est connecté. Après l’installation, ARD efface les fichiers du programme d’installation. Si les ordinateurs doivent être redémarrés, ce qui est nécessaire après une mise à jour du système d’exploitation, vous pouvez les redémarrer par l’intermédiaire d’ARD. Nœud de cluster Xserve Département de marketing Département d’ingénierie Déploiement de fichiers de configuration Déploiement de dossiers d’applications autonomes Ordinateur administrateur Mac OS X Server Déploiement de paquets d’installation (.pkg ou .mpkg) Images d’installation en réseau Images NetBoot Déploiement de scripts shell UNIX Configuration de la partition de démarrage12 Chapitre 1 Utilisation d’Apple Remote Desktop Par exemple, vous pouvez utiliser la Mise à jour de logiciels d’Apple pour télécharger une mise à jour d’iCal ou d’un système d’exploitation sur un ordinateur test. Si la mise à jour fonctionne comme prévu et ne rapporte aucun problème d’incompatibilité, copiez le paquet d’installation sur l’ordinateur administrateur pour le distribuer aux ordinateurs nécessitant une mise à niveau. Notez que cette méthode préserve la bande passante Internet car il n’est nécessaire de télécharger qu’une seule copie du paquet. Vous pouvez également utiliser ARD pour déployer de nouvelles versions de logiciels informatiques sur des ordinateurs Xserve dans un noeud de cluster. Vous pouvez utiliser l’outil PackageMaker des Outils de développement d’Apple pour créer vos propres paquets d’installation, comme lorsque vous souhaitez : • Distribuer des ressources pour des projets scolaires ou des modèles et des formulaires commerciaux. • Automatiser l’installation de multiples paquets d’installation. • Déployer des applications personnalisées. Avant d’effectuer des installations à distance, vous pouvez envoyer un message de texte ARD pour prévenir les utilisateurs, en leur indiquant éventuellement que vous allez utiliser ARD pour verrouiller leurs écrans à un moment précis avant de commencer l’installation. Utilisation d’images d’installation en réseau Vous pouvez également distribuer et installer des logiciels, y compris le système d’exploitation Mac OS X, à l’aide d’images d’Installation en réseau. Sous Mac OS X Server, utilisez l’Utilitaire d’images de réseau pour créer une image d’Installation en réseau. Vous pouvez créer cette image en clonant un système déjà installé ou configuré ou en utilisant un disque d’installation ou une image téléchargée via la Mise à jour de logiciels d’Apple. Si vous optez pour l’installation automatique, vous n’aurez pas à dialoguer avec chaque ordinateur individuellement. Sur l’ordinateur administrateur d’ARD, configurez le disque de démarrage des systèmes clients distants pour indiquer l’image d’installation en réseau, puis redémarrez les clients à distance pour commencer l’installation. Avant de lancer des installations nécessitant le redémarrage postérieur des ordinateurs, envoyez un message de texte ARD aux utilisateurs clients pour les avertir qu’une installation est en attente. Par exemple, dites aux utilisateurs que leurs ordinateurs seront déconnectés à 17 h afin d’installer une mise à jour du système d’exploitation.Chapitre 1 Utilisation d’Apple Remote Desktop 13 Utilisation d’images NetBoot Les images NetBoot constituent un autre type d’images système que vous pouvez créer avec Mac OS X Server. Comme une image d’installation en réseau, un ordinateur client utilise des images NetBoot pour démarrer. Contrairement à une image d’installation en réseau, le logiciel de démarrage n’est pas installé sur le système client. Il se trouve sur un serveur distant. Il est conseillé d’utiliser une image NetBoot sur laquelle est installé et configuré ARD. Autrement, l’administration de l’ordinateur avec ARD après un démarrage avec NetBoot est impossible. Les ordinateurs clients qui démarrent à partir d’une image NetBoot obtiennent des environnements système intacts à chaque démarrage. Pour cette raison, l’utilisation d’images NetBoot est utile lorsqu’un ordinateur spécifique est partagé par plusieurs utilisateurs qui requièrent des environnements de travail différents ou intacts, ou lorsque vous souhaitez entreprendre une nouvelle expérience ou utiliser un environnement informatique différent dans un noeud de cluster. ARD permet de configurer les disques de démarrage des systèmes clients pour indiquer l’image NetBoot, puis redémarrer les systèmes à distance grâce à ARD. Les utilisateurs peuvent aussi choisir une image NetBoot pour le démarrage via la sous-fenêtre Démarrage des Préférences Système. Reconfigurez tous les ordinateurs d’un laboratoire ou d’un cluster en quelques clics, sans avoir à redémarrer chaque ordinateur manuellement et les configurer un par un. Distribution de fichiers de configuration Nombre de services principaux Mac OS X dépendent des réglages figurant dans les fichiers de configuration. Avec ARD, distribuez des fichiers de configuration lorsque vous avez besoin de reconfigurer des services. Si vous ajoutez, par exemple, une nouvelle imprimante réseau, vous pouvez mettre à jour la liste d’imprimantes de tous les ordinateurs de la zone en utilisant ARD pour copier un fichier de configuration CUPS actualisé et les fichiers PPD (définition d’impression) sur les ordinateurs. ARD permet également de distribuer des fichiers AppleScript qui automatisent les flux de travaux PDF ou des instructions de tâches pour des clusters informatiques.14 Chapitre 1 Utilisation d’Apple Remote Desktop Utilisation de scripts shell UNIX ARD vous permet de distribuer et d’exécuter des scripts shell UNIX sur les ordinateurs clients. Par exemple, un script peut monter un volume de serveur AFP, à partir duquel il télécharge une image disque sur les ordinateurs clients. Le script peut également télécharger un paquet d’installation puis exécuter une installation au moyen d’une ligne de commande. Sur un Xserve se trouvant sur un noeud de cluster, vous pouvez aussi exécuter un script permettant de monter un disque RAID pour Xserve conçu pour un débit élevé, et qui télécharge ensuite de grands groupes de données à traiter. Distribution d’applications autonomes Vous pouvez distribuer et installer des applications autonomes (par simple glisser-déposer) en les copiant sur un ou plusieurs ordinateurs clients. Utilisez cette méthode, par exemple, pour distribuer les mises à jour de l’application Safari. Vérification d’installations Pour vérifier si une installation s’est achevée correctement, utilisez les capacités de contrôle à distance d’ARD. Vous pouvez ainsi démarrer une application à distance, ou rechercher des fichiers spécifiques. Consultez le rapport de Recherche de fichier pour vous assurer que tous les fichiers d’une application ont été installés correctement. Inventaire ARD vous donne la possibilité de capturer des données relatives aux attributs des ordinateurs clients, puis de produire des rapports basés sur ces données. Indiquez la fréquence avec laquelle vous souhaitez capturer des données, les données que vous désirez capturer et les ordinateurs dont vous voulez établir le profil. Le logiciel vous permet de collecter des données juste avant de produire un rapport si vous avez besoin d’informations récemment actualisées. Vous pouvez par ailleurs programmer des collectes de données par ARD à des intervalles réguliers et leur stockage dans leur base de données SQL (Structured Query Language) intégrée pour une utilisation ponctuelle. Chapitre 1 Utilisation d’Apple Remote Desktop 15 Vous pouvez également spécifier où vous souhaitez stocker la base de données, autrement dit, sur l’ordinateur administrateur local ou sur un serveur sur lequel le logiciel d’administration ARD est installé et toujours en service, afin que les données soient capturées en continu. Avec les données collectées, ARD produit des rapports en fonction de vos indications. Nœud de cluster Xserve Département de marketing Département d’ingénierie Ordinateur administrateur Mac OS X Server Base de données SQL ARD Base de données Outils SQL SQL ARD16 Chapitre 1 Utilisation d’Apple Remote Desktop Rapport de Recherche de fichier Le rapport de Recherche de fichier vous permet de rechercher des fichiers ou dossiers particuliers dans les systèmes clients et de procéder au diagnostic des applications installées. Ce rapport peut vous aider à déterminer combien de copies d’une application spécifique sont actuellement utilisées afin de ne pas contrevenir aux contrats de licence. Rapport de versions de logiciels Le Rapport de versions de logiciels vous permet de vous assurer que tous les utilisateurs possèdent les dernières versions des applications adaptées à leurs systèmes. Rapport des différences logicielles Le Rapport des différences logicielles vous permet de détecter les versions des applications qui ne sont pas à jour, non standard ou qui ne sont pas acceptables pour une raison quelconque. Ce rapport vous permet également de détecter si un utilisateur a installé une application qui ne devrait pas être installée. Rapport sur la vue d’ensemble du système Le rapport sur la vue d’ensemble du système met en évidence un large éventail de caractéristiques des ordinateurs clients. Il permet d’examiner les informations à propos de la configuration AirPort d’un client, les caractéristiques de l’ordinateur et de l’écran, les périphériques, les réglages de réseau, les préférences système, les listes d’imprimantes ainsi que les attributs principaux des logiciels. Ce rapport peut être utilisé à de nombreuses fins, comme l’identification de problèmes, la vérification des configurations système avant l’installation de nouveaux logiciels, ou la détermination du nombre de périphériques spécifiques (tel que les scanneurs) se trouvant dans un laboratoire précis. Rapports sur le matériel Plusieurs rapports concentrent les détails concernant la matériel utilisé par les ordinateurs clients, comme les disques durs, les périphériques FireWire, les périphériques USB, les interfaces réseau, la mémoire et les cartes PCI.Chapitre 1 Utilisation d’Apple Remote Desktop 17 Utilisez ces rapports pour déterminer par exemple quels ordinateurs ont besoin de mémoire supplémentaire, quel ordinateur possède le processeur le plus rapide et combien d’espace libre il reste sur un disque en particulier. Rapport sur les réglages d’administration Le Rapport sur les réglages d’administration vous permet de déterminer quelles autorisations d’administration ARD sont activées ou désactivées dans la fenêtre Partage ou Remote Desktop des Préférences Système sur les ordinateurs clients individuels. Rapport du test de réseau Un rapport du test de réseau vous permet de mesurer et déterminer les problèmes de communication entre l’ordinateur administrateur et les ordinateurs clients. Ce rapport vous permet d’identifier les motifs des problèmes de communication du réseau qui pourraient affecter ARD. Par exemple, si vous ne parvenez pas à copier des éléments des ordinateurs clients à partir de l’ordinateur administrateur, cela peut être dû à une mauvaise connexion avec les ordinateurs. Ces informations peuvent vous permettre d’identifier le câble ou le concentrateur problématique. Production de vos propres rapports Étant donné que la base de données ARD est au format standard SQL, vous pouvez aussi utiliser vos scripts SQL favoris pour interroger, classer et analyser les données collectées. De plus, vous pouvez exporter les données de la base de données vers un fichier afin d’importer celui-ci pour le visualiser dans un autre programme, tel qu’un tableur.18 Chapitre 1 Utilisation d’Apple Remote Desktop Gestion interne ARD propose différentes façons de contrôler les ordinateurs clients à distance pour les tâches de gestion interne, qui peuvent être menées à l’aide d’une ou plusieurs fenêtres ARD. Gestion des réglages de puissance ARD vous permet de gérer les réglages de puissance des ordinateurs clients. Ainsi, il est probable qu’il faille éteindre tous les ordinateurs lors de l’entretien du générateur électrique ou pendant la fermeture durant les vacances. Vous pouvez envoyer un message de texte ARD aux utilisateurs pour leur rappeler d’éteindre leur ordinateur à un moment bien précis. Tout ordinateur encore allumé lorsque vous devez commencer l’entretien peut être détecté et éteint à distance via ARD. Nœud de cluster Xserve Département de marketing Département d’ingénierie Ordinateur administrateur Exécution de scripts shell UNIX Redémarrage/ Mise hors tension/ Suspension d’activité Contrôle d’écran à distance Vidage de la Corbeille Configuration de la partition de démarrage Envoi d’un message de notification Mac OS X Server Images NetBoot Chapitre 1 Utilisation d’Apple Remote Desktop 19 Verrouillage des écrans d’ordinateur Vous pouvez verrouiller les écrans des ordinateurs pour des durées déterminées lorsque vous ne voulez pas que les ordinateurs soient utilisés. Cela peut être nécessaire dans le cas où vous souhaitez effectuer l’entretien du réseau et que vous voulez vous assurer que les ordinateurs n’utiliseront pas le réseau durant plusieurs heures. Affichez une image personnalisée et/ou des messages de texte sur les écrans lorsqu’ils sont verrouillés afin que les utilisateurs sachent lorsqu’ils seront à nouveau disponibles. Récupération d’espace disque Videz régulièrement la Corbeille des ordinateurs clients pour conserver de l’espace disque. Automatisation de l’entretien périodique Les scripts shell UNIX permettent d’automatiser l’entretien périodique, comme la vérification des autorisations ou la suppression de fichiers d’historique. Contrôle d’écrans Utilisez le contrôle d’écran à distance d’ARD pour réaliser des opérations sur le bureau d’ordinateurs Xserve, ou utiliser des applications graphiques. ARD se substitue aux commandes de clavier, vidéo et souris pour accéder aux ordinateurs Xserve sans moniteur. Vous pouvez aussi contrôler à distance l’ordinateur d’un utilisateur afin de déterminer les raisons de la lenteur des opérations ou d’autres problèmes affectant l’utilisateur. Changement de disques de démarrage Changez le disque de démarrage d’un ordinateur client afin d’effectuer des diagnostics ou des dépannages. Ainsi, démarrez un ordinateur avec une image NetBoot basée sur un serveur et configurée pour le dépannage. Une fois cette opération terminée, réinitialisez le disque de démarrage sur le volume de démarrage d’origine. Gestion d’ordinateurs partagés Sur les ordinateurs partagés par plusieurs utilisateurs, recherchez les fichiers devant être supprimés parmi les logins des utilisateurs, fermez des applications, déconnectez des utilisateurs ou effectuez d’autres opérations nécessaires à la préparation des ordinateurs pour les utilisateurs suivants.20 Chapitre 1 Utilisation d’Apple Remote Desktop Prise en charge d’utilisateurs ARD permet de dialoguer avec les utilisateurs à partir de votre ordinateur administrateur des façons suivantes : • Assistance : venez en aide aux utilisateurs qui en ont besoin en utilisant ARD pour recevoir leurs demandes et pour effectuer des diagnostics et dépannages à distance. • Dialogue : établissez un dialogue interactif avec les élèves d’une école ou d’un environnement de formation en entreprise afin de procéder à des tâches allant du contrôle ou de l’observation des écrans des élèves jusqu’au partage de votre écran avec tous vos élèves pour effectuer une démonstration. Prestation d’un service d’assistance Lorsqu’un utilisateur se trouve en difficulté, ARD vous propose plusieurs façons de dialoguer avec l’utilisateur et son ordinateur afin de diagnostiquer et résoudre son problème. Département de marketing Département d’ingénierie Copie d’éléments Ordinateur administrateur Contrôle, observation et partage d’écrans Participation à des discussionsChapitre 1 Utilisation d’Apple Remote Desktop 21 Demande d’aide Un utilisateur peut vous avertir discrètement d’un problème en vous envoyant une demande d’assistance via un message de texte ARD. Les utilisateurs effectuent leurs demandes en utilisant les commandes du menu qui apparaît lorsqu’ils cliquent sur l’icône ARD de la barre des menus. Une notification sur l’ordinateur administrateur vous alerte lorsqu’un tel message est reçu, et vous pouvez obtenir des informations supplémentaires ou résoudre le problème de plusieurs manières différentes. Conversation avec l’utilisateur Vous pouvez mener une conversation bidirectionnelle par messages de texte avec l’utilisateur afin d’obtenir des informations supplémentaires. Surveillance d’écran ARD vous permet d’observer l’écran de l’utilisateur si vous avez besoin de plus de détails pour comprendre le problème. Contrôle d’écran ARD vous permet de contrôler l’écran de l’utilisateur afin de diagnostiquer le problème de l’utilisateur et éventuellement de le résoudre. Vous bénéficiez d’un contrôle illimité ; un utilisateur peut aussi vous octroyer un accès d’invité temporaire afin de contrôler son ordinateur lors du dépannage seulement. Il existe plusieurs niveaux de contrôle. Vous pouvez contrôler totalement l’ordinateur de l’utilisateur, ou bien partager le contrôle du clavier et de la souris avec l’utilisateur. Partage d’écran Si le problème est dû à une manipulation erronée de l’utilisateur, partagez votre écran avec l’utilisateur afin de lui montrer comment effectuer correctement la manipulation. Utilisation de rapports Les rapports sur le matériel et les logiciels sont des outils de diagnostic permettant de déterminer si la configuration de l’ordinateur client fait partie du problème. Par exemple, si un utilisateur ne parvient pas à enregistrer son travail, le rapport sur le stockage peut vous aider à savoir s’il s’agit d’une question d’espace disque. Déploiement de nouveaux logiciels ou fichiers Si les logiciels ou les réglages de configuration font partie du problème, utilisez ARD pour copier les nouveaux fichiers de configuration, installer des paquets ou copier d’autres éléments sur des ordinateurs clients.22 Chapitre 1 Utilisation d’Apple Remote Desktop Communication avec les élèves ARD permet aux professeurs d’enseigner de manière plus efficace car ils peuvent ainsi communiquer individuellement ou en groupe avec les ordinateurs des élèves. Utilisation des messages de texte Envoyez des messages de texte ARD pour communiquer avec les élèves. Par exemple, prévenez-les qu’une activité de classe va bientôt commencer, ou qu’il leur reste 10 minutes pour terminer l’examen. Surveillances des ordinateurs des élèves Vous pouvez visualiser les écrans des élèves sur votre ordinateur afin de surveiller leurs activités ou d’évaluer leurs capacités à effectuer une tâche spécifique. ARD vous offre aussi la possibilité de surveiller les applications en cours sur les ordinateurs de tous les élèves. Partage d’écrans Affichez votre écran ou l’écran d’un élève sur les ordinateurs des autres élèves pour leur formation et pour réaliser des démonstrations Salle de classe Ordinateur administrateur Observation et partage d’un ou plusieurs écrans Service d’assistance individuelle Diffusion de messages de texte Verrouillage d’écrans Distribution de documents électroniques Ouverture d’applications ou de fichiers Contrôle d’écran Fermeture des sessions des étudiantsChapitre 1 Utilisation d’Apple Remote Desktop 23 Contrôle d’écrans Montrez aux élèves comment effectuer certaines tâches en contrôlant leur écran à partir de votre ordinateur, en ouvrant des applications et en utilisant des fichiers de manière appropriée. Verrouillage d’écrans Verrouillez les écrans des étudiants pour les empêcher d’utiliser leur ordinateur lorsque vous souhaitez qu’ils se concentrent sur d’autres activités. Suspension de l’utilisation des ordinateurs Fermez la session des élèves ou éteignez leurs ordinateurs à distance à la fin du cours ou de la journée. Distribution et collecte de fichiers Distribuez des documents électroniques, pour ne pas interrompre la classe ou lorsqu’ils sont nécessaires pour l’activité suivante, et collectez les fichiers de devoirs. Automatisation de l’accès aux sites Web Ouvrez une page Web sur tous les ordinateurs des élèves. Faites glisser une URL de Safari sur votre bureau, puis copiez-la sur les ordinateurs des étudiants et ouvrez-la dans Safari. Vous pouvez également copier des fichiers et les ouvrir dans l’application appropriée sur les ordinateurs des étudiants. Apport d’une assistance individuelle Aidez un élève lorsqu’il en a besoin, en communiquant via vos deux ordinateurs de manière personnelle et discrète.24 Chapitre 1 Utilisation d’Apple Remote Desktop Obtention d’informations supplémentaires Vous trouverez des informations détaillées pour effectuer les tâches mises en surbrillance dans ce chapitre, et d’autres encore, tout au long de ce manuel. Pour en savoir plus à propos de Consultez les informations concernant À partir de la Administration ARD Autorisations d’administration Ordinateurs administrateurs Sécurité page 41 Listes d’ordinateurs Création de listes d’ordinateurs page 63 Déploiement de logiciels Installation de logiciels Mise à jour de logiciels page 65 Distribution de fichiers Copie de fichiers page 70 Inventaire Options de collecte de données Vérification de logiciels Vérification de matériel Capacité de réaction du réseau Personnalisation de rapports Export de données de rapport page 74 Tâches de gestion interne Suppression d’éléments Vider la corbeille Configuration de volumes de démarrage Renommer des ordinateurs Suspension d’activité et réactivation Verrouillage d’écrans Fermeture de sessions d’utilisateurs Redémarrage et extinction page 87 Tâches d’automatisation Configuration de collecte de données Programmation de tâches Utilisation de scripts shell UNIX page 87 Utilisation de messages de texte ARD Messages de texte page 111 Contrôle d’écrans Contrôle page 104 Observation d’écrans Observation page 108 Partage d’écrans Partager des écrans page 113Chapitre 1 Utilisation d’Apple Remote Desktop 25 Pour obtenir des informations supplémentaires, vous pouvez consulter plusieurs sites Web d’Apple : • Pour en savoir plus sur NetBoot et Installation en réseau, rendez-vous sur www.apple.com/fr/server/documentation/ et téléchargez le guide d’administration des images système. • Pour en savoir plus sur PackageMaker, rendez-vous sur www.developer.apple.com et recherchez PackageMaker.2 27 2 Installation Pour utiliser Apple Remote Desktop, commencez par installer le logiciel d’administration sur l’ordinateur administrateur, puis installez et activez le logiciel client sur les ordinateurs à gérer. Ce chapitre décrit les grandes lignes de l’installation et de la configuration d’ARD pour l’administration système et la communication entre les utilisateurs. Il offre également des instructions complètes d’installation. Il vous permettra d’en savoir plus sur les opérations suivantes : • “Configuration requise pour Apple Remote Desktop” à la page 28 • “Configuration d’un ordinateur administrateur Apple Remote Desktop” à la page 28 • “Configuration d’ordinateurs clients avec Mac OS X 10.2 installé” à la page 31 • “Configuration d’ordinateurs clients avec Mac OS X 10.3 installé” à la page 35 • “Création d’un programme d’installation client personnalisé” à la page 39 • “Présentation des types d’accès” à la page 41 • “Remarques pour les clients gérés” à la page 48 • “Configuration du logiciel d’administration” à la page 49 • “Configuration du réseau” à la page 53 • “Optimisation des performances” à la page 55 • “Gestion de la sécurité” à la page 5528 Chapitre 2 Installation Configuration requise pour Apple Remote Desktop Ordinateurs clients et administrateurs : • eMac, iMac, iBook G3 ou G4, PowerBook G3 ou G4, Power Mac G3, G4 ou G5, Xserve G4 ou G5. • Mac OS X versions 10.2.8, 10.3 ou ultérieures. • Disque dur au format Mac OS étendu (HFS+). • Pour observer et contrôler d’autres plates-formes : un système exécutant un logiciel serveur compatible VNC. NetBoot et Installation en réseau • Mac OS X Server 10.3 avec les services NetBoot et Installation en réseau activés. Configuration réseau requise • Ethernet (conseillé), AirPort, FireWire ou autre connexion réseau. Pour plus d’informations, consultez la section “Configuration du réseau” à la page 53. Configuration d’un ordinateur administrateur Apple Remote Desktop Si Apple Remote Desktop version 1.2 et des listes d’ordinateurs ARD sont déjà installés sur un autre ordinateur que celui sur lequel vous voulez installer ARD 2, vous devez d’abord transférer ces listes d’ordinateurs ARD vers le nouvel ordinateur. Sinon, consultez la section “Installation du logiciel d’administration” à la page 29. Transfert d’anciennes listes d’ordinateurs vers un nouvel ordinateur administrateur Si vous installez ARD 2 sur un autre ordinateur que l’ordinateur administrateur actuel, vous devez déplacer vos listes d’ordinateurs existantes vers le nouvel ordinateur administrateur avant d’installer la version 2. Ces instructions s’appliquent uniquement dans le cas d’un transfert de listes d’ordinateurs administrateurs ARD 1.2 vers un nouvel ordinateur. Dans ces instructions, l’ordinateur possédant les listes d’origine est appelé “ordinateur source”. L’ordinateur sur lequel ARD 2 sera installé est quant à lui appelé “ordinateur cible”. Pour transférer les listes d’ordinateurs : 1 Sur l’ordinateur source, ouvrez l’utilitaire Trousseau d’accès (dans /Applications/ Utilitaires). 2 Choisissez Fichier > Nouveau trousseau. 3 Attribuez un nom au nouveau trousseau et cliquez sur Créer. Chapitre 2 Installation 29 4 Entrez ensuite un mot de passe pour ce trousseau. Il s’agit d’un mot de passe temporaire qui servira à obtenir des informations contenues dans le trousseau. N’utilisez pas votre mot de passe de connexion ni tout autre d’importance. 5 Si besoin est, cliquez sur Afficher les trousseaux pour afficher le trousseau administrateur. 6 Sélectionnez le trousseau principal de l’ordinateur source. Si le trousseau est verrouillé, déverrouillez-le et authentifiez-vous. 7 Sélectionnez uniquement les entrées ARD dans le trousseau. 8 Glissez les entrées ARD vers le trousseau créé. 9 Pour chacune d’elles, entrez le mot de passe du trousseau de l’ordinateur source. 10 Quittez l’utilitaire Trousseau d’accès sur l’ordinateur source. 11 Copiez le trousseau créé de l’ordinateur source (~/Bibliothèque/Keychains/ ) au même emplacement sur l’ordinateur cible. Cette opération de copie peut s’effectuer en réseau ou à l’aide d’une unité amovible de stockage. 12 Sur l’ordinateur cible, ouvrez l’utilitaire Trousseau d’accès dans le Finder. 13 Choisissez Fichier > Ajouter un trousseau. 14 Sélectionnez le trousseau copié de l’ordinateur source et cliquez sur Ouvrir. 15 Si besoin est, cliquez sur Afficher les trousseaux pour afficher les trousseaux. 16 Déverrouillez le trousseau importé à l’aide du mot de passe qui lui est attribué. 17 Sélectionnez les entrées ARD. 18 Glissez les entrées ARD vers le trousseau principal de l’ordinateur cible. Pour chacune d’elles, entrez le mot de passe temporaire du trousseau. 19 Quittez l’utilitaire Trousseau d’accès sur l’ordinateur source. À l’ouverture d’ARD sur le nouvel ordinateur, les listes d’ordinateurs provenant de l’autre poste sont disponibles. Installation du logiciel d’administration Pour installer ARD sur des ordinateurs administrateurs, vous devez installer le logiciel sur l’ordinateur devant servir à administrer les ordinateurs distants. Vous devez ensuite ouvrir l’application et créer une liste principale d’ordinateurs. Pour installer Apple Remote Desktop sur un ordinateur administrateur : 1 Insérez le disque Apple Remote Desktop. 2 Double-cliquez sur le paquet d’installation ARD et suivez les instructions à l’écran. L’application Remote Desktop est installée dans le dossier Applications.30 Chapitre 2 Installation 3 Ouvrez Remote Desktop (depuis le dossier Applications). L’Assistant réglages Remote Desktop s’ouvre. 4 Entrez le numéro de série d’ARD. Ce numéro se trouve dans le document de Bienvenue d’Apple Remote Desktop fourni avec le logiciel. 5 Cliquez sur Continuer. Si le logiciel client ARD 2 n’est pas déjà installé, l’assistant vous demande si vous souhaitez l’installer. Cliquez sur OK pour continuer. 6 Entrez un mot de passe Remote Desktop et confirmez-le. Le mot de passe Remote Desktop permet de crypter des noms et des mots de passe d’ordinateurs clients pour ARD. Par commodité, vous pouvez stocker ce mot de passe dans votre trousseau ou bien faire en sorte qu’il soit demandé à chaque ouverture de Remote Desktop. 7 Cliquez sur Terminé. La fenêtre principale de l’application s’ouvre. Si ARD 1.2 est déjà installé (ou si vous avez transféré des listes d’ordinateurs d’un autre ordinateur administrateur), toutes les listes d’ordinateurs existantes sont disponibles dans la nouvelle fenêtre. Mettez à jour et configurez vos clients selon les instructions de la section “Mise à niveau d’un logiciel client existant sur Mac OS X 10.2” à la page 31 ou “Mise à niveau du logiciel client sur Mac OS X 10.3 avec ARD” à la page 36. Si aucune version d’ARD n’est installée, vous devez activer et configurer les ordinateurs clients pour que Remote Desktop puisse les administrer. Désinstallation du logiciel d’administration Pour une suppression complète du logiciel d’administration, vous devez supprimer l’application, la liste cryptée de noms et de mots de passe de connexion, ainsi que la base de données d’informations clients. Pour supprimer le logiciel d’administration : 1 Glissez l’application Remote Desktop vers la Corbeille. 2 Videz ensuite la Corbeille. 3 Dans l’application Terminal, supprimez la base de données ARD dans /var/db/ RemoteManagement/ à l’aide de la commande suivante : $ sudo rm -rf /var/db/RemoteManagement $ sudo rm /Bibliothèque/Preferences/com.apple.RemoteDesktop.plist $ rm ~/Bibliothèque/Preferences/com.apple.RemoteDesktop.plistChapitre 2 Installation 31 Configuration d’ordinateurs clients avec Mac OS X 10.2 installé La section qui suit explique comment installer Apple Remote Desktop 2 sur des ordinateurs exécutant Mac OS X 10.2. Reportez-vous aux instructions appropriées, pour la configuration initiale de clients ou pour la mise à niveau de clients ARD existants. Première installation du logiciel client sur Mac OS X 10.2 Pour installer le logiciel client sur les ordinateurs devant accueillir Apple Remote Desktop, utilisez le logiciel d’administration d’ARD afin de créer un programme d’installation du logiciel client. Pour installer le paquet, vous avez besoin du nom et du mot de passe d’un utilisateur possédant des autorisations d’administrateur sur l’ordinateur client. Pour la première installation du logiciel client : 1 Créez un paquet d’installation client personnalisé. Pour des instructions détaillées, consultez la section “Création d’un programme d’installation client personnalisé” à la page 39. 2 Copiez et installez le paquet sur les ordinateurs clients. Pour ce faire, vous pouvez procéder de plusieurs façons. Par exemple, vous pouvez : • Distribuer le paquet à l’aide de supports amovibles, tels qu’un CD. • Copier le programme d’installation sur les clients via le réseau, à l’aide du partage de fichier. • Copier le programme d’installation sur les clients à l’aide d’outils de ligne de commande comme scp (si ssh est activé), puis utiliser l’outil de ligne de commande “installer” d’Apple pour installer le paquet à distance. La procédure est décrite en détail dans la section “Mise à niveau d’un ordinateur client Mac OS X 10.2 existant avec ssh” à la page 32. Mise à niveau d’un logiciel client existant sur Mac OS X 10.2 Pour les ordinateurs Mac OS X 10.2 utilisant le logiciel client Apple Remote Desktop 1.2 ou ultérieur, vous pouvez utiliser la fonction “