Apple Mac OS X Server Administration des services réseau Pour la version 10.4 ou ultérieure Apple sur FNAC.COM - Pour voir la liste complète des manuels APPLE, cliquez ici

 

 

TELECHARGER LE PDF : http://images.apple.com/movies/euro/fr/server/documentation/pdfs/2005/Network_Services_v10.4.pdf

 

 

Voir également d'autres Guides APPLE :

Apple-DVD_Studio_Pro_4_Installation_de_votre_logiciel

Apple-Windows_Services

Apple-Motion_3_New_Features_F

Apple-g4mdd-fw800-lowerfan

Apple-MacOSX10.3_Welcome

Apple-Print_Service

Apple-Xserve_Setup_Guide_F

Apple-PowerBookG4_17inch1.67GHzUG

Apple-iMac_Intel-based_Late2006

Apple-Installation_de_votre_logiciel

Apple-guide_des_fonctions_de_l_iPod_nano

Apple-Administration_de_serveur_v10.5

Apple-Mac-OS-X-Server-Premiers-contacts-Pour-la-version-10.3-ou-ulterieure

Apple-boot_camp_install-setup

Apple-iBookG3_14inchUserGuideMultilingual

Apple-mac_pro_server_mid2010_ug_f

Apple-Motion_Supplemental_Documentation

Apple-imac_mid2011_ug_f

Apple-iphone_guide_de_l_utilisateur

Apple-macbook_air_11inch_mid2011_ug_fr

Apple-NouvellesfonctionnalitesdeLogicExpress7.2

Apple-QT_Streaming_Server

Apple-Web_Technologies_Admin

Apple-Mac_Pro_Early2009_4707_UG

Apple-guide_de_l_utilisateur_de_Numbers08

Apple-Decouverte_d_Aperture_2

Apple-Guide_de_configuration_et_d'administration

Apple-mac_integration_basics_fr_106.

Apple-iPod_shuffle_4thgen_Guide_de_l_utilisateur

Apple-ARA_Japan

Apple-081811_APP_iPhone_Japanese_v5.4.pdf-Japan

Apple-Recycle_Contract120919.pdf-Japan

Apple-World_Travel_Adapter_Kit_UG

Apple-iPod_nano_6thgen_User_Guide

Apple-RemoteSupportJP

Apple-Mac_mini_Early2009_UG_F.pdf-Manuel-de-l-utilisateur

Apple-Compressor_3_Batch_Monitor_User_Manual_F.pdf-Manuel-de-l-utilisateur

Apple-Premiers__contacts_avec_iDVD_08

Apple-Mac_mini_Intel_User_Guide.pdf

Apple-Prise_en_charge_des_surfaces_de_controle_Logic_Express_8

Apple-mac_integration_basics_fr_107.pdf

Apple-Final-Cut-Pro-7-Niveau-1-Guide-de-preparation-a-l-examen

Apple-Logic9-examen-prep-fr.pdf-Logic-Pro-9-Niveau-1-Guide-de-preparation-a-l-examen

Apple-aperture_photography_fundamentals.pdf-Manuel-de-l-utilisateu

Apple-emac-memory.pdf-Manuel-de-l-utilisateur

Apple-Apple-Installation-et-configuration-de-votre-Power-Mac-G4

Apple-Guide_de_l_administrateur_d_Xsan_2.pdf

Apple-premiers_contacts_avec_imovie6.pdf

Apple-Tiger_Guide_Installation_et_de_configuration.pdf

Apple-Final-Cut-Pro-7-Level-One-Exam-Preparation-Guide-and-Practice-Exam

Apple-Open_Directory.pdf

Apple-Nike_+_iPod_User_guide

Apple-ard_admin_guide_2.2_fr.pdf

Apple-systemoverviewj.pdf-Japon

Apple-Xserve_TO_J070411.pdf-Japon

Apple-Mac_Pro_User_Guide.pdf

Apple-iMacG5_iSight_UG.pdf

Apple-premiers_contacts_avec_iwork_08.pdf

Apple-services_de_collaboration_2e_ed_10.4.pdf

Apple-iPhone_Bluetooth_Headset_Benutzerhandbuch.pdf

Apple-Guide_de_l_utilisateur_de_Keynote08.pdf

APPLE/Apple-Logic-Pro-9-Effectsrfr.pdf

Apple-Logic-Pro-9-Effectsrfr.pdf

Apple-iPod_shuffle_3rdGen_UG_F.pdf

Apple-iPod_classic_160Go_Guide_de_l_utilisateur.pdf

Apple-iBookG4GettingStarted.pdf

Apple-Administration_de_technologies_web_10.5.pdf

Apple-Compressor-4-User-Manual-fr

Apple-MainStage-User-Manual-fr.pdf

Apple-Logic_Pro_8.0_lbn_j.pdf

Apple-PowerBookG4_15inch1.67-1.5GHzUserGuide.pdf

Apple-MacBook_Pro_15inch_Mid2010_CH.pdf

Apple-LED_Cinema_Display_27-inch_UG.pdf

Apple-MacBook_Pro_15inch_Mid2009_RS.pdf

Apple-macbook_pro_13inch_early2011_f.pdf

Apple-iMac_Mid2010_UG_BR.pdf

Apple-iMac_Late2009_UG_J.pdf

Apple-iphone_user_guide-For-iOS-6-Software

Apple-iDVD5_Getting_Started.pdf

Apple-guide_des_fonctionnalites_de_l_ipod_touch.pdf

Apple_iPod_touch_User_Guide

Apple_macbook_pro_13inch_early2011_f

Apple_Guide_de_l_utilisateur_d_Utilitaire_RAID

Apple_Time_Capsule_Early2009_Setup_F

Apple_iphone_4s_finger_tips_guide_rs

Apple_iphone_upute_za_uporabu

Apple_ipad_user_guide_ta

Apple_iPod_touch_User_Guide

apple_earpods_user_guide

apple_iphone_gebruikershandleiding

apple_iphone_5_info

apple_iphone_brukerhandbok

apple_apple_tv_3rd_gen_setup_tw

apple_macbook_pro-retina-mid-2012-important_product_info_ch

apple_Macintosh-User-s-Guide-for-Macintosh-PowerBook-145

Apple_ipod_touch_user_guide_ta

Apple_TV_2nd_gen_Setup_Guide_h

Apple_ipod_touch_manual_del_usuario

Apple_iphone_4s_finger_tips_guide_tu

Apple_macbook_pro_retina_qs_th

Apple-Manuel_de_l'utilisateur_de_Final_Cut_Server

Apple-iMac_G5_de_lutilisateur

Apple-Cinema_Tools_4.0_User_Manual_F

Apple-Personal-LaserWriter300-User-s-Guide

Apple-QuickTake-100-User-s-Guide-for-Macintosh

Apple-User-s-Guide-Macintosh-LC-630-DOS-Compatible

Apple-iPhone_iOS3.1_User_Guide

Apple-iphone_4s_important_product_information_guide

Apple-iPod_shuffle_Features_Guide_F

Liste-documentation-apple

Apple-Premiers_contacts_avec_iMovie_08

Apple-macbook_pro-retina-mid-2012-important_product_info_br

Apple-macbook_pro-13-inch-mid-2012-important_product_info

Apple-macbook_air-11-inch_mid-2012-qs_br

Apple-Manuel_de_l_utilisateur_de_MainStage

Apple-Compressor_3_User_Manual_F

Apple-Color_1.0_User_Manual_F

Apple-guide_de_configuration_airport_express_4.2

Apple-TimeCapsule_SetupGuide

Apple-Instruments_et_effets_Logic_Express_8

Apple-Manuel_de_l_utilisateur_de_WaveBurner

Apple-Macmini_Guide_de_l'utilisateur

Apple-PowerMacG5_UserGuide

Disque dur, ATA parallèle Instructions de remplacement

Apple-final_cut_pro_x_logic_effects_ref_f

Apple-Leopard_Installationshandbok

Manuale Utente PowerBookG4

Apple-thunderbolt_display_getting_started_1e

Apple-Compressor-4-Benutzerhandbuch

Apple-macbook_air_11inch_mid2011_ug

Apple-macbook_air-mid-2012-important_product_info_j

Apple-iPod-nano-Guide-des-fonctionnalites

Apple-iPod-nano-Guide-des-fonctionnalites

Apple-iPod-nano-Guide-de-l-utilisateur-4eme-generation

Apple-iPod-nano-Guide-de-l-utilisateur-4eme-generation

Apple-Manuel_de_l_utilisateur_d_Utilitaire_de_reponse_d_impulsion

Apple-Aperture_2_Raccourcis_clavier

AppleTV_Setup-Guide

Apple-livetype_2_user_manual_f

Apple-imacG5_17inch_harddrive

Apple-macbook_air_guide_de_l_utilisateur

Apple-MacBook_Early_2008_Guide_de_l_utilisateur

Apple-Keynote-2-Guide-de-l-utilisateur

Apple-PowerBook-User-s-Guide-for-PowerBook-computers

Apple-Macintosh-Performa-User-s-Guide-5200CD-and-5300CD

Apple-Macintosh-Performa-User-s-Guide

Apple-Workgroup-Server-Guide

Apple-iPod-nano-Guide-des-fonctionnalites

Apple-iPad-User-Guide-For-iOS-5-1-Software

Apple-Boot-Camp-Guide-d-installation-et-de-configuration

Apple-iPod-nano-Guide-de-l-utilisateur-4eme-generation

Power Mac G5 Guide de l’utilisateur APPLE

Guide de l'utilisateur PAGE '08 APPLE

Guide de l'utilisateur KEYNOTE '09 APPLE

Guide de l'Utilisateur KEYNOTE '3 APPLE

Guide de l'Utilisateur UTILITAIRE RAID

Guide de l'Utilisateur Logic Studio

Power Mac G5 Guide de l’utilisateur APPLE

Guide de l'utilisateur PAGE '08 APPLE

Guide de l'utilisateur KEYNOTE '09 APPLE

Guide de l'Utilisateur KEYNOTE '3 APPLE

Guide de l'Utilisateur UTILITAIRE RAID

Guide de l'Utilisateur Logic Studio

Guide de l’utilisateur ipad Pour le logiciel iOS 5.1

PowerBook G4 Premiers Contacts APPLE

Guide de l'Utilisateur iphone pour le logiciel ios 5.1 APPLE

Guide de l’utilisateur ipad Pour le logiciel iOS 4,3

Guide de l’utilisateur iPod nano 5ème génération

Guide de l'utilisateur iPod Touch 2.2 APPLE

Guide de l’utilisateur QuickTime 7  Mac OS X 10.3.9 et ultérieur Windows XP et Windows 2000

Guide de l'utilisateur MacBook 13 pouces Mi 2010

Guide de l’utilisateur iPhone (Pour les logiciels iOS 4.2 et 4.3)

Guide-de-l-utilisateur-iPod-touch-pour-le-logiciel-ios-4-3-APPLE

Guide-de-l-utilisateur-iPad-2-pour-le-logiciel-ios-4-3-APPLE

Guide de déploiement en entreprise iPhone OS

Guide-de-l-administrateur-Apple-Remote-Desktop-3-1

Guide-de-l-utilisateur-Apple-Xserve-Diagnostics-Version-3X103

Guide-de-configuration-AirPort-Extreme-802.11n-5e-Generation

Guide-de-configuration-AirPort-Extreme-802-11n-5e-Generation

Guide-de-l-utilisateur-Capteur-Nike-iPod

Guide-de-l-utilisateur-iMac-21-5-pouces-et-27-pouces-mi-2011-APPLE

Guide-de-l-utilisateur-Apple-Qadministrator-4

Guide-d-installation-Apple-TV-3-eme-generation

User-Guide-iPad-For-ios-5-1-Software

Mac OS X Server Administration des services réseau Pour la version 10.4 ou ultérieure Apple Computer, Inc. © 2005 Apple Computer, Inc. Tous droits réservés. Le détenteur ou l’utilisateur autorisé d’une copie valide du logiciel de Mac Os X Server peut reproduire cette publication dans le but d’apprendre à utiliser le logiciel. Cette publication ne peut être reproduite ou transmise en tout ou partie à des fins commerciales, comme la vente de copies de cette publication ou la fourniture d’un service d’assistance payant. Tout a été mis en œuvre pour que les informations contenues dans ce manuel soient exactes. Apple Computer, Inc., n’est pas responsable des erreurs d’impression ou de typographie. Apple 1 Infinite Loop Cupertino, CA 95014-2084 408-996-1010 www.apple.com L’utilisation du logo “clavier” d’Apple (Option + Maj + K) à des fins commerciales, sans le consentement préalable écrit d’Apple, pourra constituer un acte de contrefaçon et/ou de concurrence déloyale, contraire aux lois en vigueur. Apple, le logo Apple, AirPort, AppleScript, AppleShare, AppleTalk, Mac, Mac OS, Macintosh, Power Mac, Power Macintosh, QuickTime, Sherlock et WebObjects sont des marques déposées d’Apple Computer, Inc., aux États-Unis et dans d’autres pays. Java et tous les logos et marques dérivés de Java sont des marques ou des marques déposées de Sun Microsystems, Inc. aux États-Unis et dans d’autres pays. UNIX est une marque déposée aux États-Unis et dans d’autres pays, sous licence exclusive de X/Open Company Ltd. Tous les autres noms de produits sont des marques de leurs propriétaires respectifs. Les produits commercialisés par des entreprises tierces ne sont mentionnés qu’à titre d’information, sans aucune intention de préconisation ni de recommandation. Apple ne se porte pas garant de ces produits et décline toute responsabilité quant à leur utilisation et à leur fonctionnement. F019-0165/3-24-05 3 1 Table des matières Préface 9 À propos de ce guide 9 Nouveautés de la version 10.4 9 Contenu de ce guide 10 Utilisation de ce guide 10 Utilisation de l’aide à l’écran 11 La suite Mac OS X Server 13 Obtenir des mises à jour de documentation 13 Informations complémentaires Chapitre 1 15 Connecter votre réseau à Internet 15 Comprendre Assistant réglages de passerelle 16 Utilisation de l’Assistant réglages de passerelle 17 Exemples de configurations 17 Connexion d’un réseau local câblé à Internet 19 Connexion d’un réseau local câblé et des clients sans fil à Internet 21 Connexion d’un réseau local sans fil à Internet Chapitre 2 23 Service DHCP 23 Avant de configurer le service DHCP 24 Création de sous-réseaux 24 Affectation dynamique d’adresses IP 24 Utilisation d’adresses IP statiques 25 Localisation du serveur DHCP 25 Interaction avec d’autres serveurs DHCP 25 Utilisation de plusieurs serveurs DHCP sur un réseau 25 Affectation d’adresses IP réservées 26 Complément d’informations sur le processus DHCP 26 Configuration initiale du service DHCP 27 Gestion du service DHCP 27 Démarrage et arrêt du service DHCP 27 Création de sous-réseaux dans le service DHCP 28 Modification des réglages des sous-réseaux dans le service DHCP 28 Suppression de sous-réseaux du service DHCP4 Table des matières 28 Désactivation temporaire des sous-réseaux 29 Modification de la durée du bail des adresses IP d’un sous-réseau 29 Réglage du serveur DNS pour un sous-réseau DHCP 30 Configuration des options LDAP pour un sous-réseau 30 Configuration des options WINS pour un sous-réseau 31 Affectation d’adresses IP statiques à l’aide de DHCP 32 Suppression ou modification de mappages d’adresses statiques 32 Contrôle du service DHCP 32 Affichage de la vue d’ensemble de l’état du service DHCP 33 Réglage du niveau de détail de l’historique du service DHCP 33 Visualisation des entrées d’historique du service DHCP 33 Visualisation de la liste des clients DHCP 34 Configurations réseau courantes qui utilisent DHCP 37 Autres sources d’informations Chapitre 3 39 Service DNS 40 Avant de configurer le service DNS 40 DNS et BIND 40 Configuration de plusieurs serveurs de noms 41 Configuration initiale du service DNS 43 Gestion du service DNS 43 Démarrage et arrêt du service DNS 44 Activation ou désactivation des transferts de zone 44 Activation ou désactivation de la récursion 45 Gestion de zones DNS 46 Ajout d’une zone principale 47 Ajout d’une zone secondaire 47 Duplication d’une zone 48 Modification d’une zone 48 Suppression d’une zone 48 Utilisation d’un fichier de zone 49 Gestion d’enregistrements d’ordinateur DNS 50 Ajout d’un enregistrement d’ordinateur à une zone DNS 51 Modification d’un enregistrement d’ordinateur dans une zone DNS 52 Suppression d’un enregistrement d’ordinateur d’une zone DNS 52 Contrôle du DNS 52 Affichage de l’état du service DNS 53 Affichage des entrées d’historique DNS 53 Modification du niveau de détail de l’historique DNS 53 Modification de l’emplacement du fichier d’historique DNS 54 Sécurisation du serveur DNS 54 DNS Spoofing 55 Exploration de donnéesTable des matières 5 55 Profilage du service DNS 56 Déni de service (en anglais “Denial of Service” ou “DoS”) 56 “Service Piggybacking” 57 Tâches courantes d’administration du réseau utilisant le service DNS 57 Configuration des enregistrements MX 60 Configuration d’un espace de noms derrière une passerelle NAT 60 Répartition de la charge du réseau (ou permutation circulaire) 61 Configuration d’un réseau TCP/IP privé 62 Hébergement de plusieurs services Internet à une seule adresse IP 62 Hébergement de plusieurs domaines sur le même serveur 63 Autres sources d’informations Chapitre 4 65 Service de coupe-feu IP 66 Pratiques élémentaires en matière de coupe-feu 68 Démarrage du coupe-feu 68 Comprendre les règles de coupe-feu 69 Une règle de coupe-feu, qu’est-ce que c’est ? 71 Utilisation de plages d’adresses 71 Mécanisme et ordre de priorité des règles 72 Adresses IP multiples 72 Configuration initiale du service de coupe-feu 74 Gestion du service de coupe-feu 74 Gestion de coupe-feu Panther Server 10.3 avec Admin Serveur de Tiger Server 10.4 74 Démarrage et arrêt du service de coupe-feu 74 Création d’un groupe d’adresses 75 Modification ou suppression d’un groupe d’adresses 76 Duplication d’un groupe d’adresses 76 Ouverture du coupe-feu pour les services standard 77 Ajout de ports personnalisés à la liste des services 78 Modification ou suppression d’éléments dans la liste des services 78 Création d’une règle de coupe-feu IP avancée 79 Modification ou suppression de règles de coupe-feu IP avancées 80 Modification de l’ordre des règles de coupe-feu IP avancées 80 Activation du mode furtif 81 Initialisation d’un serveur injoignable 81 Contrôle du service de coupe-feu 82 Comprendre le panneau Règles actives 82 Affichage de la vue d’ensemble de l’état du coupe-feu 82 Affichage des règles de règles de coupe-feu actives 83 Configuration des historiques du service de coupe-feu 83 Affichage de l’historique du coupe-feu 84 Affichage des paquets refusés 85 Affichage des paquets consignés par des règles de coupe-feu6 Table des matières 85 Dépannage de règles de coupe-feu IP avancées 86 Exemples pratiques 86 Utilisation d’un coupe-feu IP avec la traduction d’adresses de réseau 87 Blocage de l’accès Web à des utilisateurs Internet 88 Consignation de l’accès à Internet par les utilisateurs du réseau local 88 Blocage du courrier indésirable 89 Client autorisé à accéder au serveur de fichiers Apple 90 Tâches courantes d’administration réseau utilisant le service de coupe-feu 90 Prévention des attaques par déni de service (DoS) 90 Contrôle ou autorisation de l’utilisation du réseau en peer-to-peer 91 Contrôle ou activation de l’utilisation des jeux en réseau 92 Références de ports 97 Autres sources d’informations Chapitre 5 99 Service NAT 99 Utilisation de la traduction d’adresses de réseau avec d’autres services réseau 100 Vue d’ensemble de la configuration d’un réseau local avec traduction des adresses de réseau 101 Démarrage et arrêt du service NAT 101 Configuration du service NAT 102 Création d’une passerelle sans traduction d’adresses de réseau 103 Configuration de la réexpédition de port 104 Exemples de réexpédition du trafic du port 105 Contrôle du service NAT 105 Affichage de la vue d’ensemble de l’état NAT 106 Tâches d’administration réseau courantes qui utilisent la traduction d’adresses de réseau 106 Liaison d’un réseau local à Internet via une adresse IP 108 Configuration d’un tournoi de jeux en réseau 109 Configuration de serveurs virtuels 111 Autres sources d’informations Chapitre 6 113 Service VPN 114 VPN et sécurité 114 Protocoles de transport 114 Méthode d’authentification 115 Avant de configurer le service VPN 116 Configuration d’autres services réseau pour VPN 116 Gestion du service VPN 116 Démarrage ou arrêt du service VPN 116 Activation et configuration du protocole de transport L2TP 117 Activation et configuration du protocole de transport PPTP 118 Configuration de réglages réseau supplémentaires pour les clients VPNTable des matières 7 118 Configuration des définitions de routage réseau VPN 120 Limitation de l’accès VPN à certains utilisateurs ou groupes 121 Limitation de l’accès VPN à certains adresses IP entrantes 122 Instructions de configuration supplémentaires 124 Contrôle du service VPN 124 Affichage de la vue d’ensemble de l’état du VPN 124 Configuration du niveau de détail de l’historique du service VPN 124 Affichage de l’historique du VPN 125 Affichage des connexions client VPN 125 Tâches d’administration réseau courantes qui utilisent le VPN 125 Liaison d’un ordinateur d’un réseau local avec un réseau distant 127 Accès à un élément de parc informatique situé derrière le coupe-feu du réseau distant 128 Liaison de deux sites réseau distants ou plus 132 Autres sources d’informations Chapitre 7 133 Service NTP 133 Fonctionnement du service NTP 134 Utilisation du service NTP sur votre réseau 134 Configuration du service NTP 135 Configuration de NTP sur des clients 135 Autres sources d’informations Chapitre 8 137 Prise en charge des réseaux locaux virtuels 137 Comprendre les réseaux locaux virtuels 137 Configuration de l’adhésion des clients à un réseau local virtuel 138 Autres sources d’informations Chapitre 9 139 Gestion IPv6 140 Services compatibles IPv6 140 Adresses IPv6 dans Admin Serveur 140 Adresses IPv6 140 Notation 141 Adresses réservées IPv6 141 Modèle d’adressage IPv6 141 Types d’adresse IPv6 142 Autres sources d’informations Glossaire 143 Index 157 9 Préface À propos de ce guide Le présent guide explique comment configurer et administrer les services réseau de Mac OS X Server. Nouveautés de la version 10.4 La version 10.4 de Nomdeproduit comporte de nombreuses améliorations et nouvelles fonctionnalités par rapport à la version 10.3. Parmi celles-ci, citons les suivantes : • Nouvel Assistant réglages de passerelle • Interface DNS revue et améliorée • Mappage d’adresses IP statiques via DHCP • Interface de coupe-feu revue et améliorée • Aide sur VPN étendue • Aide sur NAT étendue • Informations sur la prise en charge de VLAN Contenu de ce guide Ce guide comporte neuf chapitres et un glossaire : • Le chapitre 1, “Connecter votre réseau à Internet”, à la page 15 explique comment utiliser Assistant réglages de passerelle pour connecter votre réseau à Internet. • Le chapitre 2, “Service DHCP”, à la page 23 explique comment configurer et utiliser DHCP pour affecter des adresses IP sur votre réseau. • Le chapitre 3, “Service DNS”, à la page 39 explique comment utiliser Nomdeproduit en tant que serveur de noms de domaine. • Le chapitre 4, “Service de coupe-feu IP”, à la page 65 explique comment maintenir la sécurité d’un réseau à l’aide d’un coupe-feu. • Le chapitre 5, “Service NAT”, à la page 99 explique comment configurer et utiliser la traduction d’adresses de réseau pour connecter plusieurs ordinateurs à Internet avec une seule adresse IP publique. • Le chapitre 6, “Service VPN”, à la page 113 explique comment configurer et utiliser VPN pour permettre à des utilisateurs distants d’accéder en toute sécurité à votre réseau local privé.10 Préface À propos de ce guide • Le chapitre 7, “Service NTP”, à la page 133 explique comment faire de votre serveur un serveur d’horloge. • Le chapitre 8, “Prise en charge des réseaux locaux virtuels”, à la page 137 contient des informations utiles sur la prise en charge de VLAN pour certaines configurations matérielles de serveur. • Le chapitre 9, “Gestion IPv6”, à la page 139 contient des informations utiles sur IPv6 et sur les services qui prennent en charge l’adressage IPv6. • Le “Glossaire” à la page 143 contient des définitions des principaux termes utilisés dans ce guide. Utilisation de ce guide Chaque chapitre couvre un service réseau particulier. Lisez le chapitre qui correspond au service que vous prévoyez de fournir à vos utilisateurs. Vous y trouverez des informations sur le fonctionnement du service, son utilité, les stratégies d’utilisation, sa configuration initiale et son administration dans le temps. Lisez également les chapitres qui traitent des services avec lesquels vous n’êtes pas familiarisé. Vous constaterez peut-être que certains des services que vous n’aviez pas utilisés jusqu’à présent peuvent vous permettre de gérer votre réseau de manière plus efficace et d’en améliorer les performances pour vos utilisateurs. La plupart des chapitres se terminent par une section appelée “Autres sources d’informations”. Cette section vous dirige vers des sites Web et des documents de référence contenant davantage d’informations sur le service concerné. Utilisation de l’aide à l’écran Vous pouvez afficher des instructions et d’autres informations utiles sur la suite serveur en utilisant l’aide à l’écran. Sur un ordinateur qui exécute Mac OS X Server, vous pouvez accéder à l’aide à l’écran après avoir ouvert le Gestionnaire de groupe de travail ou Admin Serveur. À partir du menu d’aide, sélectionnez l’une des options : • Aide Gestionnaire de groupe de travail ou Aide Admin Serveur affiche des informations sur l’application. • Aide Mac OS X Server affiche la page d’aide principale du serveur, à partir de laquelle vous pouvez rechercher des informations sur le serveur. • Documentation vous permet d’accéder au site www.apple.com/fr/server/documentation, à partir duquel vous pouvez télécharger la documentation du serveur.Préface À propos de ce guide 11 Vous pouvez également accéder à l’aide à l’écran à partir du Finder ou d’autres applications d’un serveur ou d’un ordinateur administrateur. Un ordinateur administrateur est un ordinateur Mac OS X sur lequel est installé un logiciel d’administration de serveur. Utilisez le menu Aide afin d’ouvrir Visualisation Aide, puis choisissez Bibliothèque > Aide Mac OS X Server. Pour consulter les toutes dernières rubriques d’aide, assurez-vous que l’ordinateur serveur ou administrateur est connecté à Internet lorsque vous utilisez Visualisation Aide. Visualisation Aide extrait et met en cache automatiquement les toutes dernières rubriques d’aide sur Internet concernant le serveur. Lorsque vous n’êtes pas connecté à Internet, Visualisation Aide affiche les rubriques d’aide mises en cache. La suite Mac OS X Server La documentation de Mac OS X Server comprend une série de guides présentant les services offerts ainsi que les instructions relatives à leur configuration, leur gestion et leur dépannage. Tous les guides sont disponibles au format PDF via : www.apple.com/fr/server/documentation/ Ce guide ... explique comment : Mac OS X Server Premiers contacts pour la version 10.4 ou ultérieure installer Mac OS X Server et le configurer pour la première fois. Mac OS X Server Mise à niveau et migration vers la version 10.4 ou ultérieure utiliser les données et réglages des services actuellement utilisés sur les versions antérieures du serveur. Mac OS X Server Gestion des utilisateurs pour la version 10.4 ou ultérieure créer et gérer les utilisateurs, groupes et listes d’ordinateurs ; configurer les préférences gérées des clients Mac OS X. Mac OS X Server Administration des services de fichiers pour la version 10.4 ou ultérieure partager des volumes ou dossiers de serveur sélectionnés parmi les clients du serveur via les protocoles suivants : AFP, NFS, FTP et SMB/CIFS. Mac OS X Server Administration du service d'impression pour la version 10.4 ou ultérieure héberger les imprimantes partagées et gérer les files d’attente et travaux d’impression associés. Mac OS X Server Administration des images système et de la mise à jour de logiciels pour la version 10.4 ou ultérieure utiliser NetBoot et Installation en réseau pour créer des images disque à partir desquelles les ordinateurs Macintosh peuvent démarrer sur le réseau ; configurer un serveur de mise à jour de logiciels pour la mise à jour d’ordinateurs clients via le réseau. Mac OS X Server Administration du service de messagerie pour la version 10.4 ou ultérieure installer, configurer et administrer les services de courrier sur le serveur. Mac OS X Server Administration des technologies Web pour la version 10.4 ou ultérieure configurer et gérer un serveur Web, dont WebDAV, WebMail, et les modules Web.12 Préface À propos de ce guide Mac OS X Server Administration des services réseau pour la version 10.4 ou ultérieure installer, configurer et administrer les services DHCP, DNS, VPN, NTP, de coupe-feu IP et NAT sur le serveur. Mac OS X Server Administration d'Open Directory pour la version 10.4 ou ultérieure gérer les services de répertoires et d’authentification. Mac OS X Server Administration de QuickTime Streaming Server 5.5 pour la version 10.4 ou ultérieure configurer et gérer les services d’enchaînement QuickTime. Mac OS X Server Administration des services Windows pour la version 10.4 ou ultérieure configurer et gérer des services tels que PDC, BDC, fichiers et impression pour les utilisateurs d’ordinateurs Windows. Mac OS X Server Migration à partir de Windows NT pour la version 10.4 ou ultérieure déplacer des comptes, des dossiers partagés et des services à partir de serveurs Windows NT vers Mac OS X Server. Mac OS X Server Administration du serveur d’applications Java pour la version 10.4 ou ultérieure configurer et administrer un serveur d’applications JBoss sur Mac OS X Server. Mac OS X Server Administration de la ligne de commande pour la version 10.4 ou ultérieure utiliser les commandes et les fichiers de configuration pour exécuter les tâches d’administration du serveur via l’interpréteur de commandes UNIX. Mac OS X Server Administration des services de collaboration pour la version 10.4 ou ultérieure configurer et gérer Weblog, la discussion en ligne et d’autres services qui facilitent les interactions entre utilisateurs. Mac OS X Server Administration de la haute disponibilité pour la version 10.4 ou ultérieure gérer le basculement IP, l’agrégation des liens, l’équilibrage de charge et d’autres configurations matérielles et logicielles pour garantir la haute disponibilité des services de Nomdeproduit. Mac OS X Server Administration Xgrid pour la version 10.4 ou ultérieure gérer des clusters de calcul Xserve à l’aide de l’application Xgrid. Mac OS X Server Glossaire : Contient la terminologie relative à Mac OS X Server, Xserve, Xserve RAID et Xsan interpréter les termes utilisés pour les produits de serveur et les produits de stockage. Ce guide ... explique comment :Préface À propos de ce guide 13 Obtenir des mises à jour de documentation Apple publie régulièrement de nouvelles rubriques d’aide à l’écran, des guides révisés et des documents de solutions. Les nouvelles rubriques d’aide incluent des mises à jour des guides les plus récents. • Pour afficher de nouvelles rubriques d’aide à l’écran, assurez-vous que votre ordinateur serveur ou administrateur est connecté à Internet et cliquez sur le lien Informations de dernière minute dans la page d’aide principale de Mac OS X Server. • Pour télécharger les guides et documents de solutions les plus récents au format PDF, rendez-vous à la page Web de documentation de Mac OS X Server : www.apple.com/fr/server/documentation. Informations complémentaires Pour plus d’informations, consultez les ressources suivantes : Documents Ouvrez-moi : mises à jour importantes et informations spécifiques. Recherchez-les sur les disques du serveur. Site Web de Mac OS X Server : passerelle vers des informations détaillées sur des produits et technologies. www.apple.com/fr/macosx/server/ Site Web Service & Support AppleCare : accès à des centaines d’articles provenant de l’organisation d’assistance d’Apple. www.apple.com/fr/support/ Formation des clients Apple : cours en salle et autoformations afin de développer vos compétences en termes d’administration de serveur. train.apple.com Groupes de discussion Apple : moyen de partager des questions, des connaissances et des conseils avec d’autres administrateurs. discussions.info.apple.com Répertoire de liste de diffusion Apple : abonnez-vous à des listes de diffusion afin de pouvoir communiquer par courrier électronique avec d’autres administrateurs. www.lists.apple.com 1 15 1 Connecter votre réseau à Internet Utilisez Assistant réglages de passerelle pour connecter votre réseau à Internet. Il vous guide lors de la configuration initiale d’un serveur destiné à servir de passerelle entre votre réseau privé et Internet. Comprendre Assistant réglages de passerelle Assistant réglages de passerelle vous aide à configurer rapidement et aisément un serveur sous Mac OS X Server 10.4 pour partager votre connexion à Internet avec votre réseau local (LAN). Après vous avoir fait faire quelques choix en matière de configuration, l’assistant enregistre tous les réglages nécessaires au partage de la connexion du serveur. En fonction des choix réalisés en matière de configuration, l’Assistant exécute les tâches suivantes : • Affecter au serveur une adresse IP statique par interface réseau interne. L’adresse affectée est 192.168.x.1. Le numéro utilisé pour x est déterminé par l’ordre de l’interface réseau dans la sous-fenêtre des Préférences Système Réseau. Par exemple, pour la première interface, x est égal à 0, pour la seconde interface de la liste, x est égal à 1. • Autoriser DHCP à allouer des adresses sur le réseau interne, en supprimant les sousréseaux DHCP existants. • Réserver certaines adresses internes (192.168.x.x) pour DHCP. Lorsque VPN n’est pas activé, chaque interface peut allouer les adresses 192.168.x.2-192.168.x.254. • Activer VPN (facultatif) pour autoriser les clients externes autorisés à se connecter au réseau local. Comme VPN L2TP est activé, vous devez saisir le secret partagé que les connexions client doivent utiliser. • Réserver certaines adresses internes (192.168.x.x) pour VPN. Si VPN est sélectionné, la moitié des adresses IP allouées dans la plage DHCP est réservée pour les connexions VPN. Les adresses 192.168.x.128-192.168.x.254 sont allouées aux connexions VPN.16 Chapitre 1 Connecter votre réseau à Internet • Activer le coupe-feu IP pour sécuriser le réseau interne. Des groupes d’adresses sont ajoutées pour chaque interface de réseau interne, tout le trafic étant autorisé à partir des plages d’adresses DHCP créées vers toute adresse de destination. • Activer la traduction d’adresses de réseau sur le réseau interne et ajouter une règle de détournement NAT au coupe-feu IP pour diriger le trafic réseau vers l’ordinateur approprié. Cela protège également le réseau interne des connexions externes non sollicitées. • Activer DNS sur le serveur configuré pour mettre les recherches en mémoire pour améliorer les temps de réponse DNS pour les clients internes. Vous aurez l’occasion de passer en revue les modifications proposées avant que ces réglages ne soient activés. Les réglages existants seront écrasés par ceux configurés dans l’assistant. Vous pouvez apporter des modifications supplémentaires à la configuration des services à l’aide d’Admin Serveur. Pour plus d’instructions sur l’un ou l’autre service réseau, consultez la section correspondante dans ce guide. Si vous exécutez à nouveau l’Assistant réglages de passerelle, il écrasera tous les réglages manuels que vous avez définis. Utilisation de l’Assistant réglages de passerelle Vous pouvez accéder à l’Assistant réglages de passerelle de deux manières différentes. Vous pouvez : • ouvrir /Applications/Server/Assistant réglages de passerelle ou • choisir Présentation > Assistant réglages de passerelle dans Admin Serveur Suivez les instructions de l’assistant et cliquez sur Continuer après chaque page. Lisez avec attention les informations de sortie finales et assurez-vous que la configuration vous convient avant de finaliser les réglages. Avertissement : bien qu’Assistant réglages de passerelle puisse être utilisé pour configurer des serveurs distants, vous pourriez vous priver accidentellement de votre accès administratif au serveur distant.Chapitre 1 Connecter votre réseau à Internet 17 Exemples de configurations La section qui suit contient quelques exemples de configurations réalisées à l’aide d’Assistant réglages de passerelle. Toutes ces configurations partent du principe que les informations fictives suivantes sont utilisées : • Vous disposez d’une adresse IP statique allouée par votre FAI (fournisseur d’accès à Internet) qui sera utilisée par le serveur. • Le serveur est un XServe G5 équipé de 2 ports Ethernet intégrés en tant qu’interfaces réseau, Ethernet 1 (en0) et Ethernet 2 (en1), sauf indication contraire. • Les adresses IP à utiliser sur votre réseau local interne sont les adresses IP pour réseau local internes standard : 192.168.x.x Connexion d’un réseau local câblé à Internet Vous pouvez utiliser Assistant réglages de passerelle pour connecter un réseau local (LAN) câblé à Internet. Votre réseau local peut comporter un nombre quelconque d’ordinateurs connectés entre eux par des concentrateurs et commutateurs Ethernet, mais doit disposer d’un point de contact avec Internet ; la passerelle. Au terme de ce processus, tous les ordinateurs du réseau local : • peuvent faire configurer des adresses IP et des réglages de réseau par DHCP ; • peuvent accéder à Internet (tant que la connexion de la passerelle à Internet est présente) ; • ne sont pas accessibles par les connexions réseau non autorisées provenant d’Internet ; • sont accessibles aux clients VPN autorisés par Internet (si cela est configuré) ; • bénéficient de la mise en mémoire cache des recherches DNS sur la passerelle, ce qui accélère la résolution DNS. Pour connecter un réseau local câblé à Internet : 1 Branchez la connexion à Internet dans le port Ethernet 1 (en0) intégré du XServe. 2 Branchez la connexion à votre réseau local dans le port Ethernet 2 (en1) intégré du XServe. 3 Ouvrez Assistant réglages de passerelle. Vous pouvez l’ouvrir à partir du dossier /Applications/Server/ ou via le menu Présentation d’Admin Serveur. Tapez l’adresse, le nom et le mot de passe de l’administrateur du serveur que vous souhaitez configurer. 4 Désignez Ethernet intégré 1 comme votre interface WAN (Internet).18 Chapitre 1 Connecter votre réseau à Internet 5 Désignez Ethernet intégré 2 comme votre interface LAN (partage). Votre interface LAN est généralement celle qui est connectée à votre réseau local. Tous les ordinateurs sur le réseau local vont partager la connexion Internet du serveur via l’interface WAN du serveur. Si votre serveur dispose de plus d’une interface disponible à ce stade (Ethernet 2 ou Ethernet 3, etc.), choisissez celles à activer. 6 Choisissez de faire ou non de cette passerelle un point d’entrée VPN dans votre LAN. Si vous choisissez d’activer VPN, vous devez disposer d’un “secret partagé”. Un secret partagé est une phrase clé que tous les utilisateurs doivent saisir pour établir une connexion sécurisée avec la passerelle VPN. Il est recommandé d’utiliser une phrase clé très sûre plutôt que le mot de passe d’un utilisateur ou administrateur sur le serveur de passerelle. Pour en savoir plus sur VPN, consultez le chapitre 6, “Service VPN”, à la page 113. 7 Vérifiez et confirmez les modifications. Options : Vous pouvez affiner divers réglages de cette configuration élémentaire. Le reste de la configuration se fait à l’aide d’Admin Serveur. Par exemple, vous pouvez utiliser Admin Serveur pour configurer l’affectation automatique de certaines adresses IP à des ordinateurs spécifiques. Vous devez ajouter des mappages d’adresses statiques dans l’onglet Réglages de la section DHCP. Pour plus de détails, consultez le chapitre 2, “Service DHCP”. Vous pouvez en outre modifier les réglages relatifs au coupe-feu IP pour autoriser certaines connexions d’Internet vers le réseau local. Vous devez modifier les réglages relatifs au coupe-feu en ouvrant les ports IP souhaités et configurer le renvoi de ports (en éditant des fichiers UNIX à partir de l’invite de la ligne de commande) pour désigner l’ordinateur du réseau local qui acceptera le trafic entrant.Chapitre 1 Connecter votre réseau à Internet 19 Connexion d’un réseau local câblé et des clients sans fil à Internet Vous pouvez utiliser Assistant réglages de passerelle pour connecter un réseau local câblé et des clients sans fil à Internet. Votre réseau local peut comporter un nombre quelconque d’ordinateurs connectés entre eux par des concentrateurs et commutateurs Ethernet, mais doit disposer d’un point de contact avec Internet : la passerelle. Votre réseau local doit aussi comporter une borne d’accès AirPort pour connecter les ordinateurs sans fil au reste du réseau câblé. Tous vos clients sans fil doivent pouvoir se connecter au réseau sans fil de la borne d’accès AirPort pour être reliés au réseau local câblé. Au terme de ce processus, les ordinateurs du réseau local et ceux connectés à la borne d’accès AirPort : • peuvent faire configurer des adresses IP et des réglages de réseau par DHCP ; • peuvent accéder à Internet (tant que la connexion de la passerelle à Internet est présente) ; • ne sont pas accessibles par les connexions réseau non autorisées provenant de la connexion câblée vers Internet ; • sont accessibles aux clients VPN autorisés par Internet (si cela est configuré) ; • bénéficient de la mise en mémoire cache des recherches DNS sur la passerelle, ce qui accélère la résolution DNS. Pour connecter un réseau local câblé et des clients sans fil à Internet : 1 Branchez la connexion à Internet dans le port Ethernet 1 (en0) intégré du XServe. 2 Branchez la connexion à votre réseau local dans le port Ethernet 2 (en1) intégré du XServe. 3 Connectez le port de la borne d’accès AirPort (le port WAN s’il y en a deux) au réseau câblé. 4 À l’aide d’Utilitaire Admin AirPort (ou d’Assistant réglages AirPort), configurez la borne d’accès pour se connecter à l’aide d’Ethernet pour obtenir sa propre adresse par DHCP. 5 Dans le panneau Réseau, vérifiez que la case “Distribuer les adresses IP” est désélectionnée. 6 Cliquez sur Mise à jour pour modifier les réglages de la borne d’accès. 7 Ouvrez le Assistant réglages de passerelle. Vous pouvez l’ouvrir à partir du dossier /Applications/Server/ ou via le menu Présentation d’Admin Serveur. Tapez l’adresse, le nom et le mot de passe de l’administrateur du serveur que vous souhaitez configurer. 8 Désignez Ethernet intégré 1 comme votre interface WAN (Internet).20 Chapitre 1 Connecter votre réseau à Internet 9 Désignez Ethernet intégré 2 comme votre interface LAN (partage). Votre interface LAN est généralement celle qui est connectée à votre réseau local. Tous les ordinateurs sur le réseau local vont partager la connexion Internet du serveur via l’interface WAN du serveur. Si votre serveur dispose de plus d’une interface disponible à ce stade (Ethernet 2 ou Ethernet 3, etc.), choisissez celles à activer. 10 Choisissez de faire ou non de cette passerelle un point d’entrée VPN dans votre LAN. Si vous choisissez d’activer VPN, vous devrez disposer d’un “secret partagé”. Un secret partagé est une phrase clé que tous les utilisateurs doivent fournir pour établir une connexion sécurisée avec la passerelle VPN. Il est recommandé d’utiliser une phrase clé très sûre plutôt que le mot de passe d’un utilisateur ou administrateur sur le serveur de passerelle. Pour en savoir plus sur VPN, consultez le chapitre 6, “Service VPN”, à la page 113. 11 Vérifiez et confirmez les modifications. Options : Vous pouvez affiner divers réglages de cette configuration élémentaire. Le reste de la configuration se fait à l’aide d’Admin Serveur. Par exemple, vous pouvez utiliser Admin Serveur pour configurer l’affectation automatique de certaines adresses IP à des ordinateurs spécifiques. Vous devez ajouter des mappages d’adresses statiques dans l’onglet Réglages de la section DHCP. Pour plus de détails, consultez le chapitre 2, “Service DHCP”. Vous pouvez en outre modifier les réglages relatifs au coupe-feu IP pour autoriser certaines connexions d’Internet vers le réseau local. Vous devez modifier les réglages relatifs au coupe-feu en ouvrant les ports IP souhaités et configurer le renvoi de ports dans le panneau NAT pour désigner l’ordinateur du réseau local qui acceptera le trafic entrant.Chapitre 1 Connecter votre réseau à Internet 21 Connexion d’un réseau local sans fil à Internet Connecter vos clients sans fil à Internet par une passerelle Mac OS X Server offre quelques avantages par rapport à l’utilisation des fonctions intégrées de la borne d’accès. La passerelle peut fournir un contrôle de coupe-feu IP avancé, l’affectation DHCP des adresses IP statiques, la mise en mémoire cache DNS et des connexions VPN entrantes vers le réseau local. Si vous ne souhaitez pas utiliser ces fonctions avancées ou que vous n’en n’avez pas besoin, vous pouvez utiliser la borne d’accès AirPort pour connecter vos clients sans fil à Internet, sans mettre de serveur Mac OS X Server entre les bornes d’accès et Internet. Pour bénéficier des fonctionnalités de la passerelle, utilisez la borne d’accès comme un pont entre vos clients sans fil et la passerelle. Chaque client se connecte à la borne d’accès qui envoie le trafic réseau par la passerelle. Tous vos clients sans fil doivent pouvoir se connecter au réseau sans fil de la borne d’accès AirPort pour être reliés à la passerelle. Au terme de ce processus, les ordinateurs connectés à la borne d’accès AirPort : • peuvent faire configurer des adresses IP et des réglages de réseau par DHCP ; • peuvent accéder à Internet (tant que la connexion de la passerelle à Internet est présente) ; • ne sont pas accessibles par les connexions réseau non autorisées provenant de la connexion câblée vers Internet ; • sont accessibles aux clients VPN autorisés par Internet (si cela est configuré) ; • bénéficient de la mise en mémoire cache des recherches DNS sur la passerelle, ce qui accélère la résolution DNS. Pour connecter un réseau local câblé et des clients sans fil à Internet : 1 Branchez la connexion à Internet dans le port Ethernet 1 (en0) intégré du XServe. 2 Connectez le port de la borne d’accès AirPort (le port WAN, s’il y en a deux) au port Ethernet intégré 2 (en1) du XServe. 3 À l’aide d’Utilitaire Admin AirPort (ou d’Assistant réglages AirPort), configurez la borne d’accès pour se connecter à l’aide d’Ethernet pour obtenir sa propre adresse par DHCP. 4 Dans le panneau Réseau, vérifiez que la case “Distribuer les adresses IP” est désélectionnée. 5 Cliquez sur Mise à jour pour modifier les réglages de la borne d’accès. 6 Ouvrez l’Assistant réglages de passerelle. Vous pouvez l’ouvrir à partir du dossier /Applications/Server/ ou via le menu Présentation d’Admin Serveur. Tapez l’adresse, le nom et le mot de passe de l’administrateur du serveur que vous souhaitez configurer.22 Chapitre 1 Connecter votre réseau à Internet 7 Désignez Ethernet intégré 1 comme votre interface WAN (Internet). 8 Désignez Ethernet intégré 2 comme votre interface LAN (partage). Votre interface LAN est généralement celle qui est connectée à votre réseau local. Tous les ordinateurs sur le réseau local vont partager la connexion Internet du serveur via l’interface WAN du serveur. Si votre serveur dispose de plus d’une interface disponible à ce stade (Ethernet 2 ou Ethernet 3, etc.), choisissez celles à activer. 9 Choisissez de faire ou non de cette passerelle un point d’entrée VPN dans votre LAN. Si vous choisissez d’activer VPN, vous devrez disposer d’un “secret partagé”. Un secret partagé est une phrase clé que tous les utilisateurs doivent fournir pour établir une connexion sécurisée avec la passerelle VPN. Il est recommandé d’utiliser une phrase clé très sûre plutôt que le mot de passe d’un utilisateur ou administrateur sur le serveur de passerelle. Pour en savoir plus sur VPN, consultez le chapitre 6, “Service VPN”, à la page 113. 10 Vérifiez et confirmez les modifications. Options : Vous pouvez affiner divers réglages de cette configuration élémentaire. Le reste de la configuration se fait à l’aide d’Admin Serveur. Par exemple, vous pouvez utiliser Admin Serveur pour configurer l’affectation automatique de certaines adresses IP à des ordinateurs spécifiques. Vous devez ajouter des mappages d’adresses statiques dans l’onglet Réglages de la section DHCP. Pour plus de détails, consultez le chapitre 2, “Service DHCP”. Vous pouvez en outre modifier les réglages relatifs au coupe-feu IP pour autoriser certaines connexions d’Internet vers le réseau local. Vous devez modifier les réglages relatifs au coupe-feu en ouvrant les ports IP souhaités et configurer le renvoi de ports dans le panneau NAT pour désigner l’ordinateur du réseau local qui acceptera le trafic entrant.2 23 2 Service DHCP Le service DHCP (Dynamic Host Configuration Protocol) vous permet d’administrer les adresses IP et de les distribuer à des ordinateurs clients à partir de votre serveur. Lors de la configuration du serveur DHCP, vous affectez un bloc d’adresses IP qui peuvent être mises à la disposition des clients. Chaque fois qu’un ordinateur client configuré pour utiliser le service DHCP démarre, il recherche le serveur DHCP sur votre réseau. S’il en détecte un, l’ordinateur client demande alors une adresse IP. Le serveur DHCP recherche une adresse IP disponible et l’envoie à l’ordinateur client en indiquant une “période de bail” (durée pendant laquelle l’ordinateur client pourra utiliser cette adresse) et les informations relatives à la configuration. Vous pouvez utiliser le module DHCP d’Admin Serveur pour : • Configurer et administrer le service DHCP. • Créer et administrer des sous-réseaux. • Configurer les options DNS, LDAP et WINS pour des ordinateurs clients. • Visualiser la durée de bail des adresses DHCP. Si votre organisation compte plus d’ordinateurs clients que d’adresses IP, vous avez avantage à utiliser le service DHCP. Les adresses IP sont affectées au cas par cas et lorsqu’elles ne sont pas nécessaires, elles sont mises à la disposition des autres clients. Si nécessaire, vous pouvez utiliser une combinaison d’adresses IP statiques et dynamiques pour votre réseau. Pour plus de détails sur l’affectation statique et dynamique d’adresses IP, consultez la section suivante. Les organisations peuvent profiter des fonctions du service DHCP, telles que la possibilité de définir les options DNS (Domain Name System) et LDAP (Lightweight Directory Access Protocol) pour des ordinateurs clients sans autre configuration nécessaire sur l’ordinateur client. Avant de configurer le service DHCP Avant d’installer le service DHCP, lisez la présente section pour obtenir des informations sur la création de sous-réseaux, l’affectation d’adresses IP statiques et dynamiques, la localisation de votre serveur sur le réseau et la possibilité d’ignorer des adresses IP réservées.24 Chapitre 2 Service DHCP Création de sous-réseaux Les sous-réseaux sont des regroupements d’ordinateurs se trouvant sur le même réseau afin de simplifier leur administration. Vous pouvez organiser des sous-réseaux à votre convenance. Par exemple, vous pouvez créer des sous-réseaux pour divers groupes dans votre organisation ou différents étages d’un immeuble. Une fois que vous avez regroupé les ordinateurs clients en sous-réseaux, vous pouvez configurer des options pour tous les ordinateurs d’un sous-réseau en une seule fois plutôt que de définir des options pour chaque ordinateur client individuellement. Chaque sous-réseau doit disposer d’un mode de connexion aux autres sous-réseaux. Un périphérique appelé routeur permet généralement de relier les sous-réseaux. Affectation dynamique d’adresses IP Avec l’affectation dynamique, une adresse IP est affectée pour une durée limitée (la durée de bail), ou jusqu’à ce que l’ordinateur client n’ait plus besoin de l’adresse IP, selon le cas qui se présente en premier. En utilisant des délais courts, le protocole DHCP peut réaffecter des adresses IP sur les réseaux ayant plus d’ordinateurs que d’adresses IP. Les délais sont renouvelés automatiquement si l’adresse n’est pas utilisée par un autre ordinateur. Les adresses affectées aux clients d’un réseau VPN (Virtual Private Network) sont distribuées de la même manière que les adresses DHCP, mais ne proviennent pas de la même plage d’adresses qu’elles. Si vous prévoyez d’utiliser un réseau VPN, veillez à laisser quelques adresses DHCP non affectées pour le réseau VPN. Pour en savoir plus sur le réseau VPN, reportez-vous au chapitre 6, “Service VPN”, à la page 113. Utilisation d’adresses IP statiques Les adresses IP statiques sont affectées à un ordinateur ou à un périphérique une seule fois et ne changent pas. Vous pouvez en affecter à des ordinateurs devant assurer une présence Internet continue, tels que les serveurs Web. Les autres périphériques qui doivent être continuellement disponibles pour les utilisateurs du réseau, comme les imprimantes, peuvent également profiter des adresses IP statiques. Les adresses IP statiques peuvent être configurées soit en saisissant manuellement l’adresse IP sur l’ordinateur ou le périphérique qui est affecté à l’adresse, soit en configurant DHCP pour fournir la même adresse à un ordinateur ou périphérique spécifique à chaque demande. Les adresses affectées par DHCP permettent des modifications de la configuration des adresses sur le serveur DHCP plutôt que sur les différents clients. Les adresses IP statiques configurées manuellement permettent d’éviter les problèmes que certains services peuvent rencontrer avec les adresses DHCP et d’éviter le délai nécessaire à l’affectation des adresses DHCP. N’incluez pas des plages d’adresses IP affectées manuellement dans la plage d’adresses distribuées par DHCP.Chapitre 2 Service DHCP 25 Il est possible de configurer DHCP pour toujours affecter la même adresse à un ordinateur, ce qui vous permet de profiter à la fois des avantages des adresses statiques et des avantages de la configuration réseau centralisée. Pour plus de détails, consultez la section “Affectation d’adresses IP statiques à l’aide de DHCP” à la page 31. Localisation du serveur DHCP Lorsqu’un ordinateur client recherche un serveur DHCP, il diffuse un message. Si votre serveur DHCP se trouve sur un sous-réseau différent de celui de l’ordinateur client, vous devez vérifier que les routeurs qui connectent vos sous-réseaux peuvent réexpédier les diffusions du client et les réponses du serveur DHCP. Tout agent ou routeur relais de votre réseau pouvant relayer des communications BootP fonctionnera avec le serveur DHCP. Si vous ne disposez d’aucun moyen pour relayer les communications BootP, vous devez placer le serveur DHCP sur le même sous-réseau que votre ordinateur client. Interaction avec d’autres serveurs DHCP Votre réseau peut comporter d’autres serveurs DHCP, tels que les bornes d’accès AirPort. Mac OS X Server peut cohabiter avec d’autres serveurs DHCP tant que chacun d’eux utilise un pool unique d’adresses IP. Toutefois, vous pouvez souhaiter que votre serveur DHCP fournisse une adresse de serveur LDAP pour la configuration automatique de l’ordinateur client dans les environnements gérés. Les bornes d’accès AirPort ne peuvent pas fournir d’adresse de serveur LDAP. Pour utiliser la fonction de configuration automatique, vous devez donc configurer les bornes d’accès AirPort en mode pont Ethernet et régler Mac OS X Server pour qu’il fournisse le service DHCP. Si les bornes d’accès AirPort se trouvent sur des sous-réseaux distincts, vos routeurs doivent être configurés pour réexpédier les diffusions des clients et les réponses du serveur DHCP comme décrit précédemment. Si vous souhaitez proposer le service DHCP avec les bornes d’accès AirPort, vous ne pouvez pas utiliser la fonction de configuration automatique de l’ordinateur client et devez donc saisir manuellement les adresses du serveur LDAP sur les stations de travail clientes. Utilisation de plusieurs serveurs DHCP sur un réseau Plusieurs serveurs DHCP peuvent se trouver sur le même réseau. Toutefois, il est important qu’ils soient correctement configurés pour éviter toute interférence entre eux. Chaque serveur doit disposer d’un fonds unique d’adresses IP à distribuer. Affectation d’adresses IP réservées Certaines adresses IP ne peuvent pas être affectées à des hôtes individuels. Il s’agit d’adresses réservées pour des boucles et pour diffusion. Votre FAI ne peut vous affecter des adresses de ce type. Si vous essayez de configurer votre serveur DHCP pour utiliser ce type d’adresses, vous recevrez un avertissement vous indiquant que ces adresses ne sont pas valides, et il vous faudra saisir des adresses valides.26 Chapitre 2 Service DHCP Complément d’informations sur le processus DHCP Mac OS X Server utilise un processus démon appelé “bootpd”, qui est responsable de l’affectation des adresses du service DHCP. Pour plus d’informations sur bootpd et ses options de configuration avancées, vous pouvez accéder à la page man bootpd en tapant la commande suivante dans Terminal : man bootpd Configuration initiale du service DHCP Si vous avez utilisé l’Assistant réglages pour configurer des ports sur votre serveur au moment de l’installation de Mac OS X Server, certaines données DHCP sont déjà configurées. Pour terminer la configuration du service DHCP, vous devez suivre les instructions indiquées dans cette section. Pour chaque étape, vous trouverez un complément d’information sur les réglages à la section “Gestion du service DHCP” à la page 27. Étape 1 : Création de sous-réseaux Les instructions suivantes expliquent comment créer un pool d’adresses IP partagées par les ordinateurs clients sur votre réseau. Vous créez une plage d’adresses partagées pour chaque sous-réseau. Ces adresses sont affectées par le serveur DHCP lorsqu’un client émet une requête. Consultez la section “Création de sous-réseaux dans le service DHCP” à la page 27. Étape 2 : Définition des historiques pour le service DHCP Vous pouvez consigner l’activité et les erreurs du service DHCP afin de contrôler les requêtes et identifier les problèmes de votre serveur. Le service DHCP enregistre des messages de diagnostic dans le fichier historique du système. Pour éviter que ce fichier ne devienne trop volumineux, vous pouvez supprimer la plupart des messages en modifiant les réglages de l’historique dans la fenêtre Consignation des réglages du service DHCP. Pour en savoir plus sur la configuration des historiques pour le service DHCP, consultez la section “Réglage du niveau de détail de l’historique du service DHCP” à la page 33. Étape 3 : Démarrage du service DHCP Consultez la section “Démarrage et arrêt du service DHCP” à la page 27.Chapitre 2 Service DHCP 27 Gestion du service DHCP Cette section explique comment configurer et gérer le service DHCP sur Mac OS X Server. Cela comprend le démarrage du service, la création de sous-réseaux et la définition de réglages facultatifs tels que LDAP ou DNS pour un sous-réseau. Démarrage et arrêt du service DHCP Procédez comme suit pour démarrer ou arrêter le service DHCP. Au moins un sous-réseau doit être créé et activé. Pour démarrer ou arrêter le service DHCP : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Vérifiez qu’au moins une interface réseau et sous-réseau est configurée et sélectionnée. 3 Cliquez sur Démarrer le service ou Arrêter le service. Lorsque le service est activé, le bouton Arrêter le service est disponible. Création de sous-réseaux dans le service DHCP Les sous-réseaux sont des regroupements d’ordinateurs clients sur le même réseau, qui peuvent être organisés par emplacement (différents étages d’un immeuble, par exemple) ou par utilisation (tous les élèves de 3e, par exemple). Chaque sous-réseau possède au moins une plage d’adresses IP. Pour créer un sous-réseau : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Sous-réseaux. 4 Cliquez sur le bouton Ajouter ( + ). 5 Sélectionnez l’onglet Général. 6 Saisissez un nom descriptif pour le nouveau sous-réseau (facultatif). 7 Saisissez une adresse IP de début et de fin pour la plage de ce sous-réseau. Les adresses doivent être contiguës et ne peuvent empiéter sur les plages d’autres sous-réseaux. 8 Saisissez le masque de sous-réseau pour la plage d’adresses du réseau. 9 Choisissez l’Interface du réseau dans le menu local. 10 Saisissez l’adresse IP du routeur de ce sous-réseau. Si le serveur que vous êtes en train de configurer est le routeur du sous-réseau, saisissez l’adresse IP interne LAN de ce serveur comme adresse du routeur. 11 Définissez la durée du bail en heures, jours, semaines ou mois.28 Chapitre 2 Service DHCP 12 Si vous souhaitez définir des informations DNS, LDAP ou WINS pour ce sous-réseau, saisissez-les maintenant. Pour plus d’informations, consultez les sections “Réglage du serveur DNS pour un sousréseau DHCP” à la page 29, “Configuration des options LDAP pour un sous-réseau” à la page 30 et “Configuration des options WINS pour un sous-réseau” à la page 30. 13 Cliquez sur Enregistrer. Modification des réglages des sous-réseaux dans le service DHCP Utilisez Admin Serveur pour modifier les réglages d’un sous-réseau DHCP existant. Vous pouvez modifier la plage d’adresses IP, le masque de sous-réseau, l’interface réseau, le routeur ou la durée du bail. Pour modifier les réglages du sous-réseau : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Sous-réseaux. 4 Sélectionnez un sous-réseau. 5 Cliquez sur le bouton Modifier ( / ). 6 Effectuez les changements souhaités. Ces changements peuvent inclure l’ajout d’informations sur DNS, LDAP ou WINS. Vous pouvez également redéfinir des plages d’adresses ou rediriger l’interface réseau qui répond aux requêtes DHCP. 7 Cliquer sur Enregistrer. Suppression de sous-réseaux du service DHCP Vous pouvez supprimer des sous-réseaux et des plages d’adresses IP de sous-réseaux qui ne seront plus distribuées aux clients. Pour supprimer des sous-réseaux ou des plages d’adresses : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez un sous-réseau. 4 Cliquez sur le bouton Supprimer ( - ). 5 Cliquez sur Enregistrer pour confirmer la suppression. Désactivation temporaire des sous-réseaux Vous pouvez suspendre temporairement un sous-réseau sans perdre ses réglages. Cela signifie qu’aucune adresse IP de la plage du sous-réseau ne sera distribuée à un client sur l’interface sélectionnée.Chapitre 2 Service DHCP 29 Pour désactiver un sous-réseau : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Sous-réseaux. 4 Désélectionnez la case “Activer” à côté du sous-réseau que vous souhaitez désactiver. Modification de la durée du bail des adresses IP d’un sous-réseau Vous pouvez modifier la durée pendant laquelle les adresses IP d’un sous-réseau sont disponibles pour les ordinateurs clients. Pour changer la durée de bail d’une plage d’adresses de sous-réseau : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Sous-réseaux. 4 Sélectionnez une plage de sous-réseaux, puis cliquez sur le bouton Modifier ( / ). 5 Sélectionnez l’onglet Général. 6 Sélectionnez une échelle de temps dans le menu local Durée du bail (heures, jours, semaines ou mois). 7 Saisissez un nombre dans le champ Durée du bail. 8 Cliquer sur Enregistrer. Réglage du serveur DNS pour un sous-réseau DHCP Vous pouvez choisir les serveurs DNS et le nom du domaine par défaut qu’un sous-réseau doit utiliser. Le service DHCP fournit ces informations aux ordinateurs clients du sous-réseau. Pour définir des options DNS pour un sous-réseau : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Sous-réseaux. 4 Sélectionnez une sous-réseau, puis cliquez sur le bouton Modifier ( / ). 5 Sélectionnez l’onglet DNS. 6 Saisissez le domaine par défaut du sous-réseau. 7 Saisissez les adresses IP des serveurs de noms principal et secondaire que vous souhaitez que les clients DHCP utilisent. 8 Cliquer sur Enregistrer.30 Chapitre 2 Service DHCP Configuration des options LDAP pour un sous-réseau Vous pouvez utiliser DHCP pour fournir à vos clients des informations sur le serveur LDAP au lieu d’effectuer une configuration manuelle pour chacun d’eux. L’ordre d’apparition des serveurs LDAP détermine l’ordre de recherche dans la règle de recherche automatique Open Directory. Si vous utilisez actuellement Mac OS X Server comme serveur maître LDAP, les options LDAP contiennent déjà les informations de configuration nécessaires. Si votre serveur maître LDAP est une autre machine, vous devez connaître le nom de domaine ou l’adresse IP de la base de données LDAP que vous souhaitez utiliser. Vous devez également connaître la base de recherche LDAP. Pour définir les options LDAP d’un sous-réseau : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Sous-réseaux. 4 Sélectionnez une sous-réseau, puis cliquez sur le bouton Modifier ( / ). 5 Cliquez sur l’onglet LDAP. 6 Saisissez le nom de domaine ou l’adresse IP du serveur LDAP pour ce sous-réseau. 7 Saisissez la base de recherche pour les recherches LDAP. 8 Saisissez le numéro de port LDAP, si vous utilisez un port non standard. 9 Sélectionnez LDAP via SSL, si nécessaire. 10 Cliquer sur Enregistrer. Configuration des options WINS pour un sous-réseau Vous pouvez fournir des informations complémentaires aux ordinateurs clients exécutant Windows dans un sous-réseau en ajoutant les réglages spécifiques de Windows aux données de configuration du réseau DHCP. Ces réglages spécifiques de Windows permettent aux clients Windows de parcourir leur Voisinage réseau. Vous devez connaître le nom de domaine ou l’adresse IP des serveurs principal et secondaire WINS/NBNS (il s’agit généralement de l’adresse IP du serveur DHCP), ainsi que le type de nœud NBT (qui est généralement “diffusion”). Le serveur NBDD et l’identifiant (ID) d’étendue NetBIOS ne sont généralement pas utilisés, mais vous pouvez en avoir besoin, selon la configuration de vos ordinateurs clients Windows et de l’infrastructure réseau de Windows.Chapitre 2 Service DHCP 31 Pour définir les options WINS pour un sous-réseau : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Sous-réseaux. 4 Sélectionnez une sous-réseau, puis cliquez sur le bouton Modifier ( / ). 5 Cliquez sur l’onglet WINS. 6 Saisissez le nom de domaine ou l’adresse IP des serveurs principal et secondaire WINS/NBNS pour ce sous-réseau. 7 Saisissez le nom de domaine ou l’adresse IP du serveur NBDD pour ce sous-réseau. 8 Choisissez le type de nœud NBT dans le menu local. 9 Saisissez l’identifiant (ID) d’étendue NetBIOS. 10 Cliquer sur Enregistrer. Affectation d’adresses IP statiques à l’aide de DHCP Vous pouvez affecter les mêmes adresses à des ordinateurs, si vous le souhaitez. Cela vous permet de conserver la facilité de configuration de DHCP tout en ayant des serveurs ou des services statiques. Pour affecter la même adresse IP à un ordinateur, vous devez connaître l’adresse Ethernet de l’ordinateur (on l’appelle parfois également l’adresse MAC ou l’adresse matérielle). Chaque interface réseau dispose de sa propre adresse Ethernet. N’oubliez pas qu’un ordinateur qui passe d’un réseau câblé à un réseau sans fil utilise deux adresses Ethernet différentes, l’une pour la connexion câblée, l’autre pour la connexion sans fil. Pour affecter des adresses IP statiques : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Cliquez sur Cartes statiques. 4 Cliquez sur le bouton Ajouter ( + ). 5 Saisissez l’adresse Ethernet de l’ordinateur qui doit recevoir une adresse statique. 6 Saisissez l’adresse IP que vous souhaitez lui affecter. 7 Saisissez le nom de l’ordinateur. 8 Cliquez sur OK. 9 Cliquer sur Enregistrer.32 Chapitre 2 Service DHCP Suppression ou modification de mappages d’adresses statiques Vous pouvez modifier ou supprimer les mappages statiques comme vous le souhaitez. Pour modifier ou supprimer un mappage d’adresses statiques : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Cliquez sur Cartes statiques. 4 Sélectionnez le mappage à modifier ou supprimer. 5 Cliquez sur le bouton Modifier ( / ) ou Supprimer ( - ). 6 Si vous modifiez le mappage, apportez les modifications souhaitées, puis cliquez sur OK. 7 Cliquer sur Enregistrer. Contrôle du service DHCP Vous aurez besoin de contrôler le service DHCP. Vous avez deux possibilités pour contrôler le service DHCP. D’abord vous pouvez afficher la liste des clients, ensuite vous pouvez surveiller les fichiers d’historique générés par le service. Vous pouvez utiliser les historiques du service pour vous aider à résoudre des problèmes de réseau. Les sections suivantes traitent de ces modes de contrôle du service DHCP. Affichage de la vue d’ensemble de l’état du service DHCP La vue d’ensemble de l’état du service DHCP propose un récapitulatif sommaire de ce dernier. Elle indique si le service est actif, le nombre de clients qu’il comporte et l’heure à laquelle il a démarré. Il indique également le nombre d’adresses IP affectées de manière statique depuis vos sous-réseaux, ainsi que la date de la dernière mise à jour de la base de données clients. Pour afficher la vue d’ensemble : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur le bouton Vue d’ensemble.Chapitre 2 Service DHCP 33 Réglage du niveau de détail de l’historique du service DHCP Vous pouvez choisir le niveau de détail souhaité pour les historiques du service DHCP. • “Faible (erreurs uniquement)” indiquera les cas où vous devez intervenir immédiatement (par exemple, si le serveur DHCP ne démarre pas). Ce niveau correspond au rapport de bootpd en mode “quiet” (silencieux), identifié par l’indicateur “-q”. • “Moyen (erreurs et messages)” peut vous avertir lorsque des données sont incohérentes, mais que le serveur DHCP peut encore fonctionner. Ce niveau correspond au rapport par défaut de bootpd. • “Élevé (tous les événements)” enregistre toute l’activité du service DHCP, y compris les fonctions routines. Ce niveau correspond au rapport de bootpd en mode “verbose” (maximal), identifié par l’indicateur “-v”. Pour configurer le niveau de détail de l’historique : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Consignation. 4 Choisissez l’option de consignation souhaitée. 5 Cliquer sur Enregistrer. Visualisation des entrées d’historique du service DHCP Si vous avez activé la consignation pour le service DHCP, vous pouvez consulter l’historique système pour connaître les erreurs DHCP. L’affichage d’historique est le fichier .log système filtré pour “bootpd”. Vous pouvez encore restreindre les règles à l’aide du champ de filtrage de texte. Pour afficher des entrées d’historique DHCP : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur Historique. Visualisation de la liste des clients DHCP La fenêtre Clients DHCP fournit les informations suivantes pour chaque client : • l’adresse IP fournie au client ; • le nombre de jours restant pour la durée du bail tant qu’il n’est pas inférieur à 24 heures, et ensuite, le nombre d’heures et de minutes ; • l’identifiant du client DHCP qui correspond en général, mais pas systématiquement, à l’adresse matérielle ; • le nom de l’ordinateur ; • l’identifiant Ethernet.34 Chapitre 2 Service DHCP Pour afficher la liste des clients DHCP : 1 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 2 Cliquez sur Clients. Cliquez sur un en-tête de colonne pour trier la liste selon divers critères. Configurations réseau courantes qui utilisent DHCP La section qui suit contient des exemples de configurations DHCP pour différentes utilisations du réseau. Lorsque vous configurez un réseau privé, vous devez choisir vos adresses IP parmi les blocs d’adresses que l’IANA (Internet Assigned Numbers Authority) réserve aux réseaux privés (Intranets) : • 10.0.0.0 à –10.255.255.255 (préfixe 10/8) • 172.16.0.0 à –172.31.255.255 (préfixe 172.16/12) • 192.168.0.0–192.168.255.255 (préfixe 192.168/16) Utilisation de DHCP pour la fourniture d’adresses IP derrière une passerelle NAT Utilisez DHCP pour fournir des adresses IP aux ordinateurs qui se trouvent derrière une passerelle NAT. Bien que cela ne soit pas absolument nécessaire (la traduction d’adresses de réseau peut être utilisée avec des adresses IP statiques plutôt qu’avec DHCP), cela permet une configuration aisée des ordinateurs clients. Pour plus de détails, consultez la section “Liaison d’un réseau local à Internet via une adresse IP” à la page 106. Configuration Groupe de travail Imaginons que vous ayez un petit groupe de travail qui dispose de son propre groupe d’adresses DHCP. Vous avez également une imprimante connectée par IP, un serveur de fichiers et un serveur Open Directory (sur le réseau ou pas) à des fins de gestion des utilisateurs. Pour utiliser DHCP dans cette configuration, vous devez disposer d’un : • Coupe-feu opérationnel et configuré qui autorise les connections LDAP et d’imprimante (impression IP). Pour plus de détails, consultez le chapitre 4, “Service de coupe-feu IP”. • Serveur Open Directory ou LDAP opérationnel et configuré sur lequel des utilisateurs sont définis. Pour en savoir plus, consultez les guides “Mac OS X Server Administration d'Open Directory pour la version 10.4 ou ultérieure” et “Mac OS X Server Gestion utilisateur pour la version 10.4 ou ultérieure”.Chapitre 2 Service DHCP 35 La configuration de DHCP, dans cet exemple, implique l’utilisation du mappage d’adresses IP statiques et des réglages réseau supplémentaires sur les clients. Vous pourriez configurer cela de la manière suivante : • Pour une imprimante qui doit recevoir une adresse IP statique, vérifiez que la plage d’adresses DHCP affectée ne contient pas l’adresse IP statique de l’imprimante. Si celle-ci peut être configurée pour accepter une adresse via DHCP, ne vous souciez pas d’un éventuel chevauchement. Pour plus de détails, consultez la section “Utilisation d’adresses IP statiques” à la page 24. • Pour un serveur de fichiers qui doit toujours recevoir la même adresse, utilisez le mappage IP statique de Mac OS X Server pour toujours affecter la même adresse IP à son adresse Ethernet. Pour plus de détails, consultez la section “Affectation d’adresses IP statiques à l’aide de DHCP” à la page 31. • Pour la configuration de DHCP, activez les options LDAP pour les clients DHCP. Cela donne automatiquement aux clients les informations de répertoire dont ils ont besoin. Pour plus de détails, consultez la section “Configuration des options LDAP pour un sous-réseau” à la page 30. • Pour la configuration des clients Mac OS X, vérifiez que la méthode de configuration IPv4 dans la sous-fenêtre Réseau des Préférences Système est réglée sur “DHCP”. Cette configuration permet aux ordinateurs sur le réseau d’être gérés par un serveur LDAP ou Open Directory et d’obtenir l’ensemble de leur configuration de mise en réseau de DHCP. Ils peuvent avoir accès à une adresse IP statique ou aux adresses IP affectées de manière constante sur le même réseau. Vous bénéficiez en outre de la configuration centralisée pour tous les ordinateurs clients. Configuration Laboratoire d’étudiants La configuration Laboratoire d’étudiants est semblable à la configuration Groupe de travail, mais ajoute un service supplémentaire qui utilise DHCP : Netboot. En plus de DHCP pour la configuration de mise en réseau centralisée, Netboot standardise les environnements de démarrage en faisant démarrer tous les ordinateurs clients à partir d’une image disque qui se trouve sur un serveur NetBoot central. Cette configuration est identique à la “Configuration Groupe de travail” à la page 34, mais avec les exceptions suivantes : • Il peut y avoir des ressources d’adresses statiques ou pas. Cela dépend de la composition du laboratoire, bien entendu. Vous pouvez avoir une imprimante ou un serveur de fichiers de classe, mais si vous utilisez un chariot mobile que vous déplacez de classe en classe, vous n’allez pas emmener un serveur et une imprimante avez vous.36 Chapitre 2 Service DHCP • NetBoot est activé et configuré, ainsi que les réglages de coupe-feu pour le prendre en charge. Tout client sur le réseau peut être configuré pour démarrer à partir du serveur NetBoot. De nouveaux ordinateurs peuvent être déployés en définissant l’image NetBoot comme disque de démarrage de l’ordinateur. Aucune autre configuration n’est nécessaire et il est aisé de modifier ultérieurement l’usage auquel les ordinateurs sont destinés car le disque dur peut ne pas être modifié. Cette configuration permet aux ordinateurs sur le réseau d’être gérés par un serveur LDAP ou Open Directory et d’obtenir l’ensemble de leur configuration de mise en réseau de DHCP. L’environnement informatique est également configuré de manière centralisée pour tous les ordinateurs clients. Les nouveaux clients peuvent être ajoutés ou remplacés sans efforts. Configuration Bistrot La configuration Bistrot ne concerne pas nécessairement un bistrot. Il s’agit d’un type de configuration destiné à un environnement d’adressage entièrement dynamique, sans gestion des utilisateurs et sans autre service fourni que l’accès à Internet, l’accès à un DNS et, éventuellement, l’un ou l’autre service. Elle se caractérise par un grand nombre d’utilisateurs mobiles de passage qui utilisent l’accès à Internet, puis repartent. Cette configuration pourrait être utilisée dans des situations réelles, comme, par exemple, pour un réseau sans fil dans un établissement d’enseignement supérieur ou un bureau commun destiné aux consultants de passage. Pour utiliser DHCP dans cette configuration, vous devez disposer d’un : • Coupe-feu opérationnel et configuré qui autorise uniquement le trafic sortant vers le Web et les recherches sortantes DNS. Vous pouvez placer ce réseau en dehors de votre coupe-feu et vérifier que le trafic réseau des adresses IP affectées par DHCP est parfaitement contrôlé et surveillé. Pour plus de détails, consultez le chapitre 4, “Service de coupe-feu IP”. Vous pouvez configurer le service DHCP comme suit : • Rendez la configuration de mise en réseau automatique. Configurez les clients DHCP pour recevoir le plus de configuration réseau possible via DHCP. • Ne donnez pas aux clients DHCP des options qu’ils ne sont pas censés avoir. Ne leur donnez pas d’informations supplémentaires sur votre organisation via des informations LDAP. Vous pouvez donner aux clients Windows des options réseau supplémentaires. Pour plus de détails, consultez la section “Configuration des options WINS pour un sous-réseau” à la page 30. Avertissement : vérifiez que les éventuelles informations sensibles qui se trouvent sur votre réseau local sont bien protégées derrière un coupe-feu supplémentaire sur un autre réseau si vous hébergez des utilisateurs temporaires non authentifiés.Chapitre 2 Service DHCP 37 • Limitez l’usage des ressources. Un grand nombre d’utilisateurs peut entraîner l’utilisation de beaucoup de bande passante. Vous pourriez réduire le nombre de clients DHCP pouvant se connecter simultanément en autorisant uniquement l’affectation d’un nombre réduit d’adresses. Pour plus de détails, consultez la section “Création de sous-réseaux dans le service DHCP” à la page 27. • Gardez un rythme de réaffectation des adresses élevé. Vous souhaiterez rendre la durée de bail des adresses aussi courte que possible. De la sorte, comme les utilisateurs vont et viennent sur le réseau, les adresses peuvent être réaffectées aussi rapidement que possible. Pour plus de détails, consultez la section “Création de sous-réseaux dans le service DHCP” à la page 27. • Surveillez le trafic. Gardez un œil sur les connexion et les clients DHCP, la connexion des paquets de règles du coupe-feu ou d’autres outils de surveillance. Les points d’accès ouverts peuvent constituer un danger s’ils ne sont pas gardés avec vigilance. Autres sources d’informations Les documents RFC (Request for Comments) offrent un aperçu d’un protocole ou service et présentent de manière détaillée comment le protocole doit se comporter. Si vous êtes administrateur serveur débutant, vous trouverez probablement certaines informations utiles dans les RFC. Si vous êtes administrateur serveur expérimenté, vous trouverez tous les détails techniques sur un protocole particulier dans le document RFC correspondant. Vous pouvez rechercher des documents RFC par numéro sur le site : www.ietf.org/rfc.html Pour des informations détaillées sur le service DHCP, consultez le RFC 2131. Pour en savoir plus sur bootpd et ses options de configuration avancées, consultez la page man de bootpd dans le Terminal en tapant : man bootpd3 39 3 Service DNS Lorsque vos clients cherchent à se connecter à une ressource réseau, telle qu’un serveur Web ou un serveur de fichiers, ils utilisent en général son nom de domaine (comme www.exemple.com) plutôt que son adresse IP (comme 192.168.12.12). Le système DNS (Domain Name System) est une base de données distribuée mappant des adresses IP vers des noms de domaines afin que vos clients localisent les ressources par leur nom plutôt que par leur adresse numérique. Un serveur DNS met à jour la liste des noms de domaines et des adresses IP associées à chaque nom. Lorsqu’un ordinateur a besoin de l’adresse IP correspondant à un nom, il envoie un message au serveur DNS (également appelé serveur de noms). Le serveur de noms cherche l’adresse IP et la renvoie à l’ordinateur. Si le serveur de noms ne trouve pas l’adresse IP en local, il envoie des messages à d’autres serveurs de noms sur Internet pour l’obtenir. Le processus de configuration et de maintenance d’un serveur DNS est complexe. C’est pourquoi de nombreux administrateurs font appel à leur fournisseur d’accès à Internet (FAI) pour les services DNS. Si tel est le cas, il ne vous reste plus qu’à configurer vos préférences réseau avec l’adresse IP du serveur de noms que votre fournisseur vous a indiquée. Si votre fournisseur ne peut pas traiter les demandes DNS pour votre réseau et que l’une des affirmations suivantes se vérifie, vous devez configurer le service DNS : • Vous n’avez pas la possibilité d’utiliser le service DNS de votre FAI ou toute autre source. • Vous envisagez de modifier souvent l’espace de noms et voulez le gérer vous-même. • Vous disposez d’un serveur de courrier sur votre réseau et rencontrez des problèmes de coordination avec le fournisseur chargé de votre domaine. • Vous avez des craintes en matière de sécurité concernant le fait de donner les noms et les adresses des ordinateurs de votre réseau à une organisation extérieure (votre fournisseur d’accès à Internet). Mac OS X Server utilise Berkeley Internet Name Domain (BIND v.9.2.2) pour l’implémentation des protocoles DNS. BIND est une implémentation open source utilisée par la majorité des serveurs de noms sur Internet.40 Chapitre 3 Service DNS Avant de configurer le service DNS Cette section comporte des informations dont il est recommandé de tenir compte avant de configurer le service DNS sur votre réseau. Les problèmes qu’implique l’administration DNS sont aussi complexes que nombreux. Vous ne devez procéder à la configuration du service DNS sur votre réseau que si vous vous êtes un administrateur DNS expérimenté. Vous pouvez envisager de créer un alias de messagerie appelé “hostmaster” pour recevoir le courrier et l’envoyer à la personne qui fait fonctionner le serveur DNS sur votre site. Cela permet aux utilisateurs et aux autres administrateurs DNS de vous contacter au sujet de problèmes liés au service DNS. DNS et BIND Vous devez maîtriser complètement ce domaine avant de configurer votre propre serveur DNS. Pour vous documenter sur le DNS, lisez DNS and BIND, 4ème édition, de Paul Albitz et Cricket Liu (O’Reilly and Associates, 2001). Remarque : Apple peut vous aider à trouver un conseiller réseau pour implémenter votre service DNS. Vous pouvez prendre contact avec Apple Professional Services et Apple Consultants Network sur le Web à l’adresse www.apple.com/fr/services/ ou www.apple.com/consultants. Configuration de plusieurs serveurs de noms Vous devez configurer au moins un serveur de noms principal et un autre secondaire. De cette manière, le serveur de noms secondaire peut prendre la relève au cas où le serveur de noms principal s’arrête subitement. Un serveur secondaire obtient des données du serveur principal en copiant régulièrement toutes les informations sur le domaine de ce dernier. Une fois que le serveur de noms obtient le couple nom/adresse d’un hôte dans un autre domaine (c’est-à-dire en dehors du domaine qu’il dessert), les informations sont mises en cache afin de garantir que les adresses IP des noms récemment résolus sont stockées pour une utilisation ultérieure. Les informations DNS sont en général mises en cache sur votre serveur de noms pour une durée déterminée, désignée par la valeur time-to-live (TTL). Lorsque la valeur TTL d’un couple nom de domaine/adresse IP est arrivée à expiration, l’entrée correspondante est supprimée de la mémoire cache du serveur de noms. Votre serveur redemande alors les informations dont il a besoin.Chapitre 3 Service DNS 41 Configuration initiale du service DNS Si vous utilisez un serveur de noms DNS externe et avez entré son adresse IP dans l’Assistant réglages, vous n’avez rien d’autre à faire. Si vous configurez votre propre serveur DNS, suivez les étapes décrites dans cette section. Étape 1 : Enregistrement de votre nom de domaine L’enregistrement d’un nom de domaine est géré par une organisation centralisée nommée IANA (Internet Assigned Numbers Authority). IANA garantit l’unicité des noms de domaines à travers Internet. (Consultez la page www.iana.org pour en savoir plus.) Si vous n’enregistrez pas votre nom de domaine, votre réseau ne pourra pas communiquer sur Internet. Une fois le nom de domaine enregistré, vous pouvez créer des sous-domaines si votre serveur DNS est configuré sur votre réseau pour effectuer le suivi des noms et des adresses IP des sous-domaines. Par exemple, si vous enregistrez le nom de domaine “exemple.com”, vous pouvez créer les sous-domaines “hôte1.exemple.com”, “courrier.exemple.com” ou “www.exemple.com”. Le serveur d’un sous-domaine peut s’appeler “principal.www.exemple.com” ou “sauvegarde.www.exemple.com.” Le serveur DNS pour exemple.com assure le suivi des informations pour ses sous-domaines, telles que les noms d’hôtes (ou d’ordinateurs), les adresses IP statiques, les alias et les échangeurs de courrier. Si votre FAI gère votre service DNS, vous devrez l’informer de toutes les modifications apportées à votre espace de noms, y compris l’ajout de sous-domaines. La plage d’adresses IP utilisées pour un domaine donné doit être clairement précisée avant la configuration. Ces adresses sont uniquement utilisées pour un domaine spécifique (et jamais par un autre domaine ou sous-domaine). La plage d’adresses doit être communiquée à votre administrateur réseau ou fournisseur d’accès. Étape 2 : Formation et planification Si c’est la première fois que vous travaillez avec le DNS, vous devez apprendre et comprendre les concepts, les outils et les fonctions DNS de Mac OS X Server et de BIND. Reportez-vous à la section “Autres sources d’informations” à la page 63. Ensuite, planifiez votre service DNS. Vous pouvez vous poser les questions suivantes lors de la planification : • Avez-vous réellement besoin d’un serveur DNS local ? Votre FAI fournit-il le service DNS ? Pourriez-vous utiliser les noms DNS multi-diffusion à la place ? • De combien de serveurs aurez-vous besoin pour la charge prévue ? De combien de serveurs aurez-vous besoin pour les sauvegardes ? Ainsi, vous devrez désigner un second, voire un troisième ordinateur pour le service DNS de sauvegarde. • Quelle est votre stratégie de sécurité en cas d’utilisation illicite ? • À quelle fréquence devez-vous programmer les inspections ou tests périodiques des enregistrements DNS pour vérifier l’intégrité des données ?42 Chapitre 3 Service DNS • Combien de services ou de périphériques (comme un site Web intranet ou une imprimante réseau) auront-ils besoin d’un nom ? Il existe deux façons de configurer le service DNS sur Mac OS X Server. La première (recommandée) consiste à configurer le service DNS en utilisant Admin Serveur. Pour plus d’informations, reportez-vous à la section “Gestion du service DNS” à la page 43 pour les instructions. La seconde façon de configurer le DNS consiste à modifier le fichier de configuration de BIND. BIND est le jeu de programmes utilisé par Mac OS X Server qui implémente le DNS. L’un de ces programmes est le démon des noms ou named. Pour installer et configurer BIND, vous devez modifier le fichier de configuration et le fichier de zone. Le fichier de configuration se trouve dans le fichier suivant : /etc/named.conf Le nom du fichier de zone est créé à partir du nom de la zone. Ainsi, le fichier de zone “exemple.com” se trouve dans le fichier suivant : /var/named/exemple.com.zone Si vous modifiez named.conf pour configurer BIND, ne modifiez en aucun cas les réglages relatifs à l’instruction de contrôle inet. Si vous le faites, Admin Serveur ne pourra plus extraire d’informations d’état pour DNS. Les réglages inet doivent être les suivants : controls { inet 127.0.0.1 port 54 allow {any;} keys { "rndc-key"; }; }; Étape 3 : Configuration des réglages de base du DNS Pour plus de détails, consultez la section “Gestion du service DNS” à la page 43. Décidez si vous allez autoriser la récursion ou les transferts de zone. Étape 4 : Création d’une zone DNS Utilisez Admin Serveur pour configurer des zones DNS. Pour obtenir des instructions, consultez la section “Gestion de zones DNS” à la page 45. Après avoir ajouté une zone principale, Admin Serveur crée automatiquement un enregistrement NS portant le même nom que la SOA (Source of Authority). Chaque fois que vous créez une zone, Mac OS X Server crée une zone de recherche inverse. Les zones de recherche inverse convertissent les adresses IP en noms de domaine, alors que les recherches normales convertissent les noms de domaine en adresses IP.Chapitre 3 Service DNS 43 Étape 5 : Ajout d’enregistrements d’ordinateur DNS à la zone Utilisez Admin Serveur pour ajouter des enregistrements supplémentaires à votre zone. Créez un enregistrement d’adresse pour tous les ordinateurs ou périphériques (imprimante, serveur de fichiers, etc.) possédant une adresse IP statique et ayant besoin d’un nom. Divers enregistrements de zone DNS sont créés à partir des entrées d’ordinateur DNS. Pour obtenir des instructions, consultez la section “Gestion d’enregistrements d’ordinateur DNS” à la page 49. Étape 6 : Configuration d’un enregistrement MX (Mail Exchange) (facultatif) Si vous proposez un service de courrier sur Internet, vous devez configurer un enregistrement MX pour votre serveur. Pour plus de détails, consultez la section “Configuration des enregistrements MX” à la page 57. Étape 7 : Configuration du coupe-feu IP Vous allez devoir configurer votre coupe-feu pour vous assurer que votre service DNS est protégé des attaques et accessible par vos clients. Pour en savoir plus sur la configuration d’un coupe-feu IP, consultez le chapitre 4, “Service de coupe-feu IP”. Étape 8 : Démarrage du service DNS Mac OS X Server offre une interface simple pour démarrer et arrêter le service DNS. Pour plus de détails, consultez la section “Démarrage et arrêt du service DNS” à la page 43. Gestion du service DNS Mac OS X Server offre une interface simple pour démarrer et arrêter le service DNS et visualiser les historiques et les états. Les réglages DNS de base peuvent être configurés à l’aide d’Admin Serveur. Les fonctions plus avancées nécessitent la configuration du BIND à partir de la ligne de commande et ne sont pas traitées dans ce manuel. Démarrage et arrêt du service DNS Procédez comme suit pour démarrer ou arrêter le service DNS. N’oubliez pas de redémarrer le service DNS après chaque modification du service DNS effectuée dans Admin Serveur. Pour démarrer ou arrêter le service DNS : 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Assurez-vous qu’au moins une Zone et sa zone de recherche inverse sont créées et entièrement configurées. 3 Cliquez sur Démarrer le service ou Arrêter le service. Le démarrage et l’arrêt du service peuvent prendre un instant.44 Chapitre 3 Service DNS Activation ou désactivation des transferts de zone Dans le DNS (Domain Name System), le “transfert de zone” permet de dupliquer les données de zone sur les serveurs DNS de référence. Les serveurs DNS secondaires utilisent les transferts de zone pour acquérir leurs données sur les serveurs DNS principaux. Les transferts de zone doivent être activés pour utiliser les serveurs DNS secondaires. Pour activer ou désactiver le transfert de zone : 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Général. 4 Sélectionnez ou désélectionnez “Autoriser les transferts de zone”, selon le cas. Activation ou désactivation de la récursion La récursion est un procédé permettant de résoudre complètement les noms de domaine en adresses IP. Les applications des utilisateurs dépendent du serveur DNS pour l’exécution de cette fonction. Les autres serveurs DNS qui lancent des requêtes sur le vôtre n’ont pas à effectuer la récursion. Pour empêcher des utilisateurs malveillants de corrompre les enregistrements de la zone principale (“corruption de cache” ou “cache poisoning”) ou de favoriser une utilisation illicite du service DNS, vous pouvez désactiver la récursion. Toutefois, si vous l’arrêtez, vos propres utilisateurs ne pourront plus utiliser le service DNS pour rechercher des noms en dehors de vos zones. Vous ne devez donc désactiver la récursion que si aucun client n’utilise ce serveur DNS pour la résolution de noms et qu’aucun serveur ne l’utilise pour les réexpédier. Pour activer ou désactiver la récursion : 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Général. 4 Sélectionnez ou désélectionnez Récursion, comme vous le souhaitez. Sélectionnez Récursion pour l’autoriser. Désélectionnez la récursion pour ne pas l’autoriser. Si vous choisissez d’activer la récursion, vous avez la possibilité de la désactiver pour les adresses IP externes, mais de l’activer pour les adresses IP du réseau LAN, en modifiant le fichier named.conf de BIND. Pour plus d’informations, consultez la documentation de BIND.Chapitre 3 Service DNS 45 Gestion de zones DNS Les zones sont l’élément de base de l’organisation du système de nom de domaine (DNS). Les zones contiennent des enregistrements et sont définies en fonction de leur mode d’acquisition de ces enregistrements et de leur mode de réponse aux requêtes DNS. Il y a, en principe, trois types de zones (les autres ne sont pas couvertes par ce guide) : Principale Une zone principale possède la copie maîtresse des enregistrements de la zone et fournit les réponses officielles aux requêtes de recherche. Secondaire Une zone secondaire est une copie d’une zone principale stockée sur un serveur de noms secondaire. Chaque secondaire conserve une liste des serveurs principaux qu’elle contacte pour recevoir les mises à jour des enregistrements de la zone principale. Les zones secondaires doivent être configurées pour demander la copie des données de la zone principale. Les zones secondaires utilisent les transferts de zone pour obtenir ces copies. Les serveurs de noms secondaires peuvent traiter les requêtes de recherche comme les serveurs principaux. L’utilisation de plusieurs zones secondaires liées à une seule zone principale vous permet de répartir la charge des requêtes DNS entre plusieurs ordinateurs et de garantir que les requêtes de recherche reçoivent une réponse lorsque le serveur de noms principal est hors service. Les zones secondaires disposent également d’un intervalle d’actualisation. Celui-ci détermine la fréquence à laquelle les zones secondaires vérifient si des modifications ont été apportées à la zone principale. Vous pouvez modifier l’intervalle d’actualisation de la zone en utilisant le fichier de configuration de BIND. Pour plus d’informations, reportez-vous à la documentation de BIND. Réexpédition Une zone de réexpédition transfère toutes les requêtes de recherche destinées à cette zone vers d’autres serveurs DNS. Les zones de réexpédition n’effectuent pas de transferts de zone. Bien souvent, les serveurs de zones de réexpédition sont utilisés pour offrir les services DNS à un réseau privé situé derrière un coupe-feu. Dans ce cas, le serveur DNS doit avoir accès à Internet et à un autre serveur DNS situé en dehors du coupe-feu. Enfin, les zones de réexpédition mettent en mémoire cache les réponses aux requêtes qu’elles transmettent. Cela permet d’améliorer les performances des recherches des clients qui utilisent la zone de réexpédition. Admin Serveur ne prend pas en charge la création ni la modification des zones de réexpédition. Pour créer une zone de réexpédition, vous devez configurer BIND manuellement à la ligne de commande. Pour plus de détails, reportez-vous à la documentation de BIND.46 Chapitre 3 Service DNS Ajout d’une zone principale Une zone principale possède la copie maîtresse des enregistrements de la zone et fournit les réponses officielles aux requêtes de recherche. Après avoir ajouté une zone principale, Admin Serveur crée automatiquement un enregistrement NS portant le même nom que la SOA (Source of Authority). Pour ajouter une zone principale : 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Zones. 4 Cliquez sur le bouton Ajouter ( + ) sous la liste Zones. 5 Saisissez un nom de zone. Le nom de la zone est le nom de domaine. 6 Saisissez le nom d’hôte de la SOA du domaine. Si cet ordinateur est le serveur de noms officiel du domaine, saisissez le nom d’hôte de l’ordinateur. Par exemple, “sdn.exemple.com.” 7 Saisissez l’adresse IP du serveur de la zone. 8 Saisissez l’adresse électronique de l’administrateur de la zone. 9 Saisissez la durée de la validité de la zone. Il s’agit de la durée de vie de la zone. La durée de vie détermine pendant combien de temps les informations en réponse aux requêtes peuvent rester en mémoire cache dans les systèmes DNS distants avant d’interroger à nouveau le serveur faisant autorité. 10 Cliquez sur Enregistrer.Chapitre 3 Service DNS 47 Ajout d’une zone secondaire Une zone secondaire est une copie d’une zone principale stockée sur un serveur de noms secondaire. Chaque zone secondaire conserve une liste des serveurs principaux qu’elle contacte pour recevoir les mises à jour des enregistrements de la zone principale. Les zones secondaires doivent être configurées pour demander la copie des données de la zone principale. Les zones secondaires utilisent les transferts de zone pour obtenir ces copies. Les serveurs de noms secondaires peuvent traiter les requêtes de recherche comme les serveurs principaux. Pour ajouter une zone secondaire : 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Zones secondaires. 4 Cliquez sur le bouton Ajouter ( + ) sous la liste Zones. 5 Saisissez un nom de zone. Il s’agit du nom de domaine complet du serveur secondaire. 6 Cliquez sur le bouton Ajouter ( + ). 7 Saisissez les adresses IP des serveurs principaux de cette zone secondaire. 8 Cliquez sur OK. 9 Cliquer sur Enregistrer. Duplication d’une zone Vous pouvez créer une copie d’une zone existante sur le même ordinateur. Vous pourriez utiliser ceci pour accélérer la configuration de plusieurs zones ou noms de domaine pour un seul et unique réseau local physique. Pour dupliquer une zone : 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Zones. 4 Cliquez sur le bouton Dupliquer sous la liste Zones. 5 Si vous le souhaitez, double-cliquez sur la zone nouvellement dupliquée pour modifier les informations sur la zone. 6 Cliquer sur Enregistrer.48 Chapitre 3 Service DNS Modification d’une zone Cette section décrit la modification d’un type de zone et de ses réglages, mais pas celle des enregistrements d’une zone. Vous devrez peut-être modifier l’adresse électronique de l’administrateur, le type ou le nom de domaine d’une zone. Pour modifier une zone : 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Zones. 4 Cliquez sur le bouton Modifier ( / ) sous la liste Zones. 5 Modifiez le nom, le type ou l’adresse électronique de l’administrateur de la zone, selon le cas. Pour plus d’informations sur les types de zones, reportez-vous à la section “Gestion de zones DNS” à la page 45. 6 Cliquez sur OK, puis sur Enregistrer. Suppression d’une zone Cette section explique comment supprimer une zone existante. Cette action supprime la zone et tous les enregistrements qui lui sont associés. Pour supprimer une zone : 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Zones. 4 Sélectionnez la zone à supprimer. 5 Cliquez sur le bouton Supprimer ( - ) sous la liste Zones. 6 Cliquez sur Enregistrer pour confirmer la suppression. Utilisation d’un fichier de zone Vous disposez peut-être d’un fichier de zone BIND provenant d’un serveur DNS d’une autre plateforme. Plutôt que de saisir toutes les informations dans Admin Serveur manuellement, vous pouvez utiliser le fichier de zone directement avec Mac OS X Server. L’utilisation d’un fichier de zone existant requiert des autorisations d’accès root sur le fichier de configuration BIND (/etc/named.conf), le répertoire de zones de travail (/var/named/), des connaissances élémentaires de BIND 9 et une maîtrise de l’application Terminal. À défaut, il est fortement recommandé d’utiliser les outils DNS d’Admin Serveur.Chapitre 3 Service DNS 49 Pour importer un fichier de zone : 1 Ajoutez la directive de zone au fichier de configuration de BIND, /etc/named.conf Vous devez disposer de privilèges root pour modifier named.conf. Pour une zone “xyz.com” décrite dans un fichier de zone “db.xyz.com” dans le répertoire de zones de travail “/var/named/”, la directive ressemble à peu de choses près à ceci : zone "xyz.com" IN { // Zone de recherche en avant pour xyz.com type master; // Il s’agit d’une zone principale file "db.xyz.com"; // Infos stockées dans /var/named/db.xyz.com allow-update { none; }; }; 2 Vérifiez que le fichier de zone est ajouté au répertoire de zones de travail (/var/named/). 3 Redémarrez le service DNS à l’aide d’Admin Serveur. Gestion d’enregistrements d’ordinateur DNS Chaque zone contient un certain nombre d’enregistrements. Ces enregistrements sont demandés lorsqu’un ordinateur client doit convertir un nom de domaine (comme www.exemple.com) en numéro IP. Les navigateurs Web, les clients de messagerie et autres applications réseau se fient aux enregistrements de la zone pour s’adresser au serveur adéquat. Les enregistrements de la zone principale seront consultés par d’autres utilisateurs qui cherchent à se connecter à vos services réseau via Internet. Il existe plusieurs sortes d’enregistrements DNS. Les enregistrements qui peuvent être configurés par l’interface utilisateur d’Admin Serveur sont : • Adresse (A) : stocke l’adresse IP associée à un nom de domaine. • Nom canonique (CNAME) : stocke un alias en connexion avec le “nom réel” d’un serveur. Par exemple, mail.apple.com pourrait être un alias d’un ordinateur portant le nom canonique “réel” MailSrv473.apple.com. • Échangeur de courrier (MX) : contient le nom de domaine de l’ordinateur utilisé pour le courrier électronique d’une zone. • Serveur de noms (NS) : contient le serveur de noms de référence pour une zone donnée. • Pointeur (PTR) : contient le nom de domaine d’une adresse IP donnée (recherche inverse). • Texte (TXT) : contient une chaîne de texte en réponse à une requête DNS. • Service (SRV) : stocke des informations sur les services qu’un ordinateur fournit. • Infos sur le matériel (HINFO) : stocke des informations sur le matériel et les logiciels d’un ordinateur. Si vous avez besoin d’accéder à d’autres types d’enregistrements, il vous faudra modifier manuellement les fichiers de configuration de BIND. Pour plus de détails, reportez-vous à la documentation de BIND.50 Chapitre 3 Service DNS Mac OS X Server simplifie la création de tous ces enregistrements en mettant l’accent sur l’ordinateur ajouté à la zone plutôt que sur les enregistrements proprement dits. Lorsque vous ajoutez un enregistrement d’ordinateur à une zone, Mac OS X Server crée tous les enregistrements de zone appropriés qui opèrent la résolution vers une certaine adresse d’ordinateur. Avec ce modèle, vous pouvez vous concentrer sur ce que vos ordinateurs font dans votre domaine plutôt que sur les types d’enregistrement qui s’appliquent à ses fonctions. Ajout d’un enregistrement d’ordinateur à une zone DNS Vous devez ajouter des enregistrements pour chaque ordinateur dont la zone principale DNS est responsable. Vous ne devez pas ajouter d’enregistrements pour les ordinateurs que cette zone ne contrôle pas. Les enregistrements d’ordinateur sont liés à son adresse IP. C’est pourquoi il ne peut y avoir qu’un seul ordinateur par adresse IP parce qu’il ne peut pas y avoir de doublons d’adresses IP dans une même zone. Pour ajouter un enregistrement d’ordinateur à un enregistrement d’ordinateur DNS : 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Zones. 4 Sélectionnez la zone à laquelle cet enregistrement doit être ajouté. 5 Cliquez sur le bouton Modifier ( / ) sous la liste Zones. 6 Sélectionnez l’onglet Ordinateurs. 7 Cliquez sur le bouton Ajouter ( + ) sous la liste Zones. 8 Saisissez l’adresse IP de l’ordinateur. 9 Saisissez le nom d’hôte de l’ordinateur. Ce champ est la base de l’enregistrement A de l’ordinateur. Les enregistrements de pointeur de recherche inverse sont créés automatiquement pour l’ordinateur. Sous le nom d’hôte, vous pouvez voir le nom de domaine complet de l’ordinateur tel qu’il s’affichera. 10 Cliquez sur le bouton Ajouter ( + ) en regard de la boîte Alias pour ajouter d’autres noms éventuels pour cet ordinateur. Ce champ est la base des enregistrements CNAME de l’ordinateur. Les enregistrements de pointeur de recherche inverse sont créés automatiquement pour l’ordinateur. Ajoutez autant d’alias que vous le souhaitez.Chapitre 3 Service DNS 51 11 Si l’ordinateur est un serveur de messagerie pour la zone, sélectionnez la case indiquée. Ce champ est la base de l’enregistrement MX de l’ordinateur. Si vous cochez cette case, définissez un numéro d’ordre pour le serveur de messagerie. Les serveurs de messagerie livreurs tentent d’abord de livrer leur courrier aux serveurs de messagerie portant les plus petits numéros. Pour plus d’informations, consultez la section “Configuration des enregistrements MX” à la page 57. 12 Saisissez toutes les informations sur le matériel et les logiciels de l’ordinateur dans les champs appropriés. Ce champ est la base de l’enregistrement HINFO de l’ordinateur. 13 Saisissez tout commentaire sur l’ordinateur dans le champ Commentaires. Ce champ est la base de l’enregistrement TXT de l’ordinateur. Vous pouvez stocker pratiquement toute chaîne de texte ASCII sur 7 bits dans le champ Commentaires (jusqu’à 255 caractères ASCII). Par exemple, vous pouvez saisir l’emplacement physique de l’ordinateur (par exemple, Serveur 1er étage, armoire B) ou le nom du propriétaire de l’ordinateur (par exemple, Ordinateur de John) ou toute autre information sur l’ordinateur que vous souhaitez consigner. 14 Cliquez sur OK, puis sur Enregistrer. Modification d’un enregistrement d’ordinateur dans une zone DNS Si vous modifiez fréquemment l’espace de noms du domaine, il vous faudra mettre à jour les enregistrements DNS après chaque modification de l’espace de noms. Une mise à niveau du matériel ou tout ajout à un nom de domaine peuvent également nécessiter la mise à jour des enregistrements DNS. Vous pouvez dupliquer un enregistrement, puis le modifier pour gagner du temps lors de la configuration. Pour modifier un enregistrement : 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Zones. 4 Sélectionnez la zone qui contient l’enregistrement d’ordinateur à modifier. 5 Cliquez sur le bouton Modifier ( / ) sous la liste Zones. 6 Sélectionnez l’onglet Ordinateurs. 7 Sélectionnez l’enregistrement à modifier. 8 Cliquez sur le bouton Modifier ( / ) sous la liste Ordinateurs. 9 Apportez les modifications nécessaires à l’enregistrement. 10 Cliquez sur OK.52 Chapitre 3 Service DNS Suppression d’un enregistrement d’ordinateur d’une zone DNS Vous devez supprimer les enregistrements lorsqu’un ordinateur n’est plus associé à un nom de domaine ou à une adresse utilisable. Pour supprimer un enregistrement : 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Zones. 4 Sélectionnez la zone dans laquelle cet enregistrement va être supprimé. 5 Cliquez sur le bouton Modifier ( / ) sous la liste Zones. 6 Sélectionnez l’onglet Ordinateurs. 7 Sélectionnez l’enregistrement à supprimer. 8 Cliquez sur le bouton Supprimer ( - ) sous la liste Enregistrements. 9 Cliquez sur Enregistrer pour confirmer la suppression. Contrôle du DNS Il est conseillé de contrôler l’état du DNS pour régler les problèmes de résolution de noms, vérifier la fréquence d’utilisation du service DNS ou encore vérifier que le service DNS n’est pas utilisé de façon malveillante ou illicite. Cette section traite des tâches de contrôle courantes du service DNS. Affichage de l’état du service DNS Vous pouvez consulter la fenêtre État du DNS pour voir : • Si le service est actif. • La version de BIND (le logiciel sous-jacent du DNS) utilisée. • L’heure de démarrage et d’arrêt du service. • Le nombre de zones affectées. • Si la consignation est activée ou non. Pour afficher l’état du service DNS : 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Cliquez sur le bouton Vue d’ensemble pour consulter des informations générales sur le service DNS.Chapitre 3 Service DNS 53 Affichage des entrées d’historique DNS Le service DNS crée des entrées dans l’historique système pour les messages d’erreur et d’alerte. L’affichage historique est named.log. Vous pouvez encore restreindre les règles à l’aide du champ de filtrage de texte. Pour afficher des entrées d’historique DNS : 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Cliquez sur Historique. 3 Utilisez le champ de filtrage pour réduire encore les entrées d’historique affichées. Modification du niveau de détail de l’historique DNS Vous pouvez changer le niveau de détail de l’historique du service DNS. Vous pouvez utiliser soit un historique très détaillé pour le débogage, soit un historique moins détaillé n’affichant que les avertissements critiques. Pour modifier le niveau de détail de l’historique : 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Consignation. 4 Choisissez le niveau de détail voulu dans le menu local Niv. d’historique. Les niveaux d’historique disponibles sont : • Critique (le moins détaillé) • Erreur • Avertissement • Note • Informations • Déboguer (le plus détaillé) Modification de l’emplacement du fichier d’historique DNS Vous pouvez changer l’emplacement de l’historique du service DNS. Il est conseillé de le placer à un autre emplacement que le chemin par défaut. Pour modifier le niveau de détail de l’historique : 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Consignation. 4 Saisissez le nouveau chemin du fichier d’historique du service DNS, ou sélectionnez-le en utilisant le bouton Parcourir. Si aucun chemin n’est saisi, l’emplacement par défaut est /Bibliothèque/Logs/named.log.54 Chapitre 3 Service DNS Sécurisation du serveur DNS Les serveurs DNS sont non seulement sollicités par d’autres serveurs Internet légitimes, mais sont également la cible d’utilisateurs malveillants (couramment appelés “pirates”). Les serveurs DNS sont exposés à des attaques de différentes sortes. En prenant des précautions supplémentaires, vous pouvez prévenir les problèmes et l’immobilisation engendrés par ces utilisateurs malveillants. Il existe plusieurs sortes de détournements de la sécurité associées au service DNS : • DNS Spoofing • Exploration de données • Profilage du service DNS • Déni de service (en anglais “Denial of Service” ou “DoS”) • “Service Piggybacking” DNS Spoofing Le “DNS spoofing” consiste à ajouter de fausses données dans le cache du serveur DNS. Cela permet aux pirates d’effectuer les opérations suivantes : • Rediriger les requêtes d’un nom de domaine réel vers d’autres adresses IP. Par exemple, un enregistrement A falsifié pour une banque peut diriger le navigateur d’un utilisateur vers une autre adresse IP contrôlée par le pirate. Sur le site dupliqué, l’utilisateur révélera son numéro de compte et son mot de passe au pirate. De même, un enregistrement de courrier falsifié peut permettre à un pirate d’intercepter les messages envoyés depuis et vers un domaine. Si le pirate réexpédie ces messages vers le bon serveur de courrier après les avoir copiés, cela peut passer inaperçu indéfiniment. • Entraver la résolution des noms de domaine et l’accès à Internet. Il s’agit de l’attaque DNS par spoofing la plus bénigne. Elle provoque un dysfonctionnement du serveur DNS à peine perceptible. La méthode la plus efficace pour se prémunir contre ces attaques est la vigilance. Cela comprend la mise à jour des logiciels et le contrôle régulier des enregistrements DNS. Des exploits ont été trouvés dans la version actuelle de BIND. Ces exploits ont donc été corrigés et une mise à jour de sécurité est disponible pour Mac OS X Server. Appliquez tous les correctifs de ce type. Des contrôles réguliers de vos enregistrements DNS peuvent également être utiles pour prévenir ces attaques.Chapitre 3 Service DNS 55 Exploration de données L’exploration de données (en anglais “server mining”) est une pratique qui consiste à obtenir une copie de la totalité d’une zone principale en demandant un transfert de zone. Dans ce cas, le pirate se fait passer pour une zone secondaire d’une autre zone principale et demande une copie de tous les enregistrements de votre zone principale. Avec une copie de votre zone principale, le pirate peut voir le type de services qu’offre le domaine, ainsi que l’adresse IP des serveurs qui fournissent ces services. Il peut alors intenter des attaques spécifiques en fonction de ces services. C’est une reconnaissance avant une autre attaque. Pour contrer ce type d’attaque, vous devez indiquer les adresses IP qui sont autorisées à demander des transferts de zone (vos serveurs de zone secondaire) et rejeter toutes les autres. Les transferts de zone s’effectuent avec TCP sur le port 53. La méthode de limitation des transferts de zone bloque toutes les demandes de transfert sauf celles provenant de vos serveurs DNS secondaires. Pour indiquer les adresses IP autorisées à demander un transfert de zone : m Créez un filtre coupe-feu qui autorise uniquement les adresses IP situées à l’intérieur de votre coupe-feu à accéder au port TCP 53. Suivez les instructions de la section “Création d’une règle de coupe-feu IP avancée” au chapitre 4, “Service de coupe-feu IP”. Utilisez les réglages suivants : • autoriser le paquet ; • port 53 ; • protocole TCP ; • l’IP source correspond à l’adresse IP de votre serveur DNS secondaire ; • l’IP destinataire correspond à l’adresse IP de votre serveur DNS principal. Profilage du service DNS Une autre technique de reconnaissance couramment employée par les utilisateurs malveillants consiste à profiler (ou personnaliser) votre service DNS. Le pirate commence par effectuer une requête de la version de BIND. Le serveur lui indique la version de BIND en cours d’exécution. Le pirate compare ensuite la réponse aux exploits et failles connus de cette version de BIND. Pour vous prémunir contre cette attaque, vous pouvez configurer BIND pour qu’il réponde en utilisant de fausses informations.56 Chapitre 3 Service DNS Pour fausser la réponse de la version de BIND : 1 Lancez un éditeur de texte à ligne de commande (tel que vi, emacs ou pico). 2 Ouvrez named.conf pour le modifier. 3 Ajoutez le texte suivant dans les crochets “options” du fichier de configuration. version "[votre texte, par exemple ’non communiqué !’]" ; 4 Enregistrez le fichier de configuration. Déni de service (en anglais “Denial of Service” ou “DoS”) Ce type d’attaque est très courant et très facile à lancer. Un pirate envoie un nombre si important de demandes et de requêtes de service que le serveur doit utiliser toute sa puissance de traitement et la bande passante réseau pour essayer d’y répondre. Le pirate bloque ainsi l’utilisation normale du service en le saturant. Il est difficile de prévenir ce type d’attaque avant son apparition. Un contrôle permanent du service DNS et de la charge du serveur peut permettre à l’administrateur de détecter l’attaque rapidement et d’en limiter ainsi les effets néfastes. Le moyen le plus aisé de se prémunir contre cette attaque est de bloquer l’adresse IP responsable avec votre coupe-feu. Consultez la section “Création d’une règle de coupe-feu IP avancée” à la page 78. Malheureusement, cela signifie que l’attaque est déjà en cours, que les requêtes du pirate sont prises en compte et que l’activité a déjà été consignée. “Service Piggybacking” Cette attaque est rarement l’œuvre de pirates, mais plutôt d’utilisateurs Internet ordinaires. Ils estiment que leur temps de réponse DNS par leur propre fournisseur d’accès à Internet est trop lent. Ils apprennent cette astuce auprès d’autres utilisateurs. Les utilisateurs d’Internet vont configurer leur ordinateur pour qu’il interroge un autre serveur DNS plutôt que celui de leur FAI. En conséquence, beaucoup plus d’utilisateurs que prévu accéderont au serveur DNS. Vous pouvez vous prémunir contre cela en limitant ou en désactivant la récursion DNS. Si vous prévoyez d’offrir le service DNS aux utilisateurs de votre LAN, ils auront besoin de la récursion pour résoudre les noms de domaine, mais il est préférable de ne pas offrir ce service à n’importe quel utilisateur d’Internet. Pour bloquer totalement la récursion, consultez la section “Activation ou désactivation de la récursion” à la page 44.Chapitre 3 Service DNS 57 La meilleure solution est d’autoriser la récursion pour les requêtes provenant des adresses IP de votre plage, mais de refuser la récursion aux adresses externes. BIND vous permet de spécifier cette option dans le fichier de configuration named.conf. Modifiez votre fichier named.conf en ajoutant : options { ... allow-recursion{ 127.0.0.0/8; [votre plage d’adresses IP internes, telle que 192.168.1.0/27]; }; }; Pour plus d’informations, reportez-vous à la documentation de BIND. Tâches courantes d’administration du réseau utilisant le service DNS Les sections suivantes décrivent certaines tâches courantes d’administration du réseau nécessitant le service DNS. Configuration des enregistrements MX Si vous envisagez de proposer un service de courrier sur votre réseau, vous devez configurer le service DNS afin que le courrier entrant soit envoyé à l’hôte de courrier approprié. Lors de la configuration du service de courrier, vous déterminez une série d’hôtes nommés échangeurs de courrier ou hôtes MX avec des priorités variables. L’hôte possédant la plus haute priorité recevra le courrier en premier. S’il n’est pas disponible, celui avec une priorité un peu plus basse reçoit le courrier, etc. Par exemple, supposons que le nom d’hôte du serveur de courrier soit “fiable” dans le domaine “exemple.com”. Sans enregistrement MX, les adresses électroniques des utilisateurs incluraient le nom du serveur de courrier, par exemple : nom@fiable.exemple.com Si vous voulez modifier le serveur de courrier ou rediriger le courrier, vous devez informer les expéditeurs potentiels du changement d’adresse de vos utilisateurs. Vous avez également la possibilité de créer un enregistrement MX pour chaque domaine pris en charge par votre serveur de courrier, puis d’acheminer le courrier vers l’ordinateur approprié. 58 Chapitre 3 Service DNS Lorsque vous établissez un enregistrement MX, vous devez inclure une liste de tous les ordinateurs susceptibles de recevoir du courrier pour un domaine. Ainsi, si le serveur est occupé ou hors service, le courrier sera envoyé à un autre ordinateur. Un numéro de priorité (numéro d’ordre) est affecté à chaque ordinateur de la liste. L’ordinateur dont le numéro est le plus petit est essayé en premier. Si cet ordinateur n’est pas disponible, le système consulte le numéro suivant, etc. Lorsqu’un ordinateur est disponible, il récupère le courrier et l’envoie au serveur de courrier principal une fois que celui-ci est accessible pour qu’il se charge de la distribution du courrier. Voici un exemple de liste : exemple.com 10 fiable.exemple.com 20 sauvegarde.exemple.com 30 dernier-ressort.exemple.com Les enregistrements MX sont également utilisés pour le courrier sortant. Lorsque votre serveur envoie du courrier, il examine les enregistrements MX pour savoir si la destination est locale ou située sur Internet. Le même processus se répète ensuite en sens inverse. Si le serveur principal de destination n’est pas disponible, votre serveur de courrier essaie de contacter tous les ordinateurs de la liste MX de destination, jusqu’à ce que l’un d’entre eux accepte le courrier. Remarque : si vous ne saisissez pas correctement les informations MX dans votre serveur DNS, le service de courrier ne fonctionnera pas. Configuration du DNS pour le service de courrier Configurer le DNS pour le service de courrier consiste à créer des enregistrements Mail Exchange (MX) dans DNS pour vos serveurs de courrier. Si vous utilisez le service DNS de votre fournisseur d’accès à Internet (FAI), vous devez prendre contact avec ce dernier pour qu’il active vos enregistrements MX. N’effectuez les étapes suivantes que si vous fournissez votre propre service DNS. Vous devrez peut-être configurer plusieurs serveurs pour la redondance. Si tel est le cas, vous devrez créer un enregistrement MX pour chaque serveur auxiliaire. Pour activer des enregistrements MX pour votre serveur de messagerie : 1 Dans Admin Serveur, choisissez DNS dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Zones. 4 Sélectionnez la zone à laquelle cet enregistrement doit être ajouté. 5 Cliquez sur le bouton Modifier ( / ) sous la liste Zones. 6 Sélectionnez l’onglet Ordinateurs. 7 Cliquez sur le bouton Ajouter ( + ) sous la liste Ordinateurs. 8 Saisissez l’adresse IP de l’ordinateur.Chapitre 3 Service DNS 59 9 Saisissez le nom d’hôte de l’ordinateur. Ce champ est la base de l’enregistrement CNAME et le premier enregistrement A de l’ordinateur. Les enregistrements de pointeur de recherche inverse sont créés automatiquement pour l’ordinateur. Sous le nom d’hôte, vous verrez quel sera le nom de domaine complet de l’ordinateur. 10 Cliquez sur le bouton Ajouter ( + ) en regard de la boîte Alias pour ajouter d’autres noms éventuels pour cet ordinateur. Ce champ est la base des enregistrements A supplémentaires de l’ordinateur. Les enregistrements de pointeur de recherche inverse sont créés automatiquement pour l’ordinateur. Ajoutez autant d’alias que vous le souhaitez. 11 Sélectionnez la case de serveur de messagerie libellée “Cet ordinateur est un serveur de courrier pour la zone”. Ce champ est la base de l’enregistrement MX de l’ordinateur. 12 Saisissez un numéro d’ordre de serveur de courrier. Les serveurs de messagerie livreurs tentent d’abord de livrer leur courrier aux serveurs de messagerie portant les plus petits numéros. 13 Saisissez toutes les informations sur le matériel et les logiciels de l’ordinateur dans les boîtes appropriées. Ce champ est la base de l’enregistrement HINFO de l’ordinateur. 14 Saisissez tout commentaire sur l’ordinateur dans la boîte Commentaires. Ce champ est la base de l’enregistrement TXT de l’ordinateur. Vous pouvez stocker pratiquement toute chaîne de texte dans le champ Commentaires. Par exemple, vous pouvez saisir l’emplacement physique de l’ordinateur (par exemple, Serveur 1er étage, armoire B) ou le nom du propriétaire de l’ordinateur (par exemple, Ordinateur de John) ou toute autre information sur l’ordinateur que vous souhaitez consigner. 15 Cliquez sur OK. 16 Répétez les étapes 7 à 15 pour chaque serveur de messagerie en vérifiant que chacun a un numéro d’ordre distinct. 17 Cliquer sur Enregistrer.60 Chapitre 3 Service DNS Configuration d’un espace de noms derrière une passerelle NAT Si vous vous trouvez derrière une passerelle de traduction d’adresses réseau (en anglais, Network Address Translation ou NAT), vous disposez d’un jeu spécial d’adresses IP qui ne sont utilisables qu’au sein de l’environnement NAT. Si vous deviez affecter un nom de domaine à ces adresses en dehors de la passerelle NAT, aucun nom de domaine ne serait résolu sur le bon ordinateur. Reportez-vous au chapitre 5, “Service NAT”, à la page 99 pour plus d’informations sur la traduction d’adresses de réseau. Vous pouvez toutefois faire fonctionner un service DNS derrière la passerelle en affectant des noms d’hôte aux adresses IP de la traduction d’adresses de réseau. Ainsi, si vous vous trouvez derrière la passerelle NAT, vous pouvez saisir des noms de domaine au lieu des adresses IP pour accéder aux serveurs, aux services et aux stations de travail. Votre serveur DNS doit également disposer d’une zone de réexpédition pour envoyer les requêtes DNS à l’extérieur de la passerelle NAT, afin de permettre la résolution des noms en dehors de la zone couverte par le routeur. Les réglages réseau de vos clients doivent mentionner le serveur DNS situé derrière la passerelle NAT. Le processus de configuration de l’un de ces réseaux est identique à celui d’un réseau privé. Pour plus de détails, consultez la section “Liaison d’un réseau local à Internet via une adresse IP” à la page 106. Si vous choisissez de le faire, les noms saisis par les utilisateurs se trouvant en dehors de la passerelle NAT ne seront pas résolus en adresses derrière celui-ci. Vous devez paramétrer les enregistrements DNS situés en dehors de la zone couverte par la passerelle NAT pour qu’ils soient dirigés vers la passerelle NAT, et utiliser la réexpédition vers le port NAT pour accéder aux ordinateurs situés derrière la passerelle NAT. Pour plus d’informations sur la réexpédition de port, reportez-vous à la section “Configuration de la réexpédition de port” à la page 103. La fonction DNS multi-diffusion de Mac OS X vous permet d’utiliser les noms d’hôte de votre sous-réseau local se terminant par l’extension “.local” sans avoir à activer le DNS. Tous les services ou périphériques qui gèrent le DNS multi-diffusion permettent d’utiliser un espace de noms défini par l’utilisateur sur le sous-réseau local sans avoir besoin d’installer et de configurer le DNS. Répartition de la charge du réseau (ou permutation circulaire) BIND permet de répartir la charge simplement en utilisant une méthode de permutation d’adresses appelée permutation circulaire. Vous établissez un pool d’adresses IP pour plusieurs hôtes possédant le même contenu et BIND fait tourner l’ordre des adresses pour répondre aux requêtes. Cette permutation circulaire ne permet pas de contrôler la charge du serveur et la puissance de traitement. Elle permet simplement de faire tourner l’ordre d’une liste d’adresses pour un nom d’hôte donné.Chapitre 3 Service DNS 61 Vous activez la permutation circulaire en ajoutant plusieurs entrées d’adresses IP dans votre fichier de données de zones pour un nom d’hôte donné. Par exemple, imaginons que vous vouliez répartir le trafic du serveur Web entre trois serveurs de votre réseau possédant le même contenu. Supposons que ces serveurs possèdent les adresses IP 192.168.12.12, 192.168.12.13 et 192.168.12.14. Vous ajouteriez trois enregistrements d’ordinateur avec trois adresses IP, toutes avec le même nom de domaine. Lorsque le service DNS rencontre plusieurs entrées pour un hôte, son comportement par défaut consiste à répondre aux requêtes en envoyant cette liste dans un ordre cyclique. La première requête obtient les adresses dans l’ordre A, B, C. La requête suivante les obtient dans l’ordre B, C, A, celle d’après dans l’ordre C, A, B, etc. Il est recommandé d’affecter à la zone une valeur TTL peu élevé pour réduire les effets de la mise en mémoire cache locale. Configuration d’un réseau TCP/IP privé Si votre réseau local dispose d’une connexion à Internet, vous devez configurer votre serveur et vos ordinateurs clients avec des adresses IP et d’autres informations propres à Internet. Ces adresses IP vous sont attribuées par votre fournisseur d’accès à Internet (FAI). S’il est peu probable que votre réseau local soit un jour connecté à Internet et si vous souhaitez recourir au protocole TCP/IP pour transmettre des informations sur votre réseau, vous pouvez configurer un réseau TCP/IP “privé”. Lorsque vous configurez un réseau privé, vous devez choisir vos adresses IP parmi les blocs d’adresses que l’IANA (Internet Assigned Numbers Authority) réserve aux réseaux privés (Intranets) : • 10.0.0.0 à –10.255.255.255 (préfixe 10/8) • 172.16.0.0 à –172.31.255.255 (préfixe 172.16/12) • 192.168.0.0–192.168.255.255 (préfixe 192.168/16) Important : si vous pensez devoir vous connecter à l’avenir à Internet, vous devez vous enregistrer avec un registre Internet et utiliser les adresses IP fournies par le registre lors de la configuration de votre réseau privé. Sinon, vous devrez reconfigurer chaque ordinateur en réseau au moment de vous connecter à Internet. Lorsque vous configurez un réseau TCP/IP privé, vous pouvez également fournir le service DNS. Si vous configurez le protocole TCP/IP et le service DNS sur votre réseau local, vos utilisateurs pourront accéder facilement aux fichiers, au Web, au courrier et aux autres services de votre réseau.62 Chapitre 3 Service DNS Hébergement de plusieurs services Internet à une seule adresse IP Vous pouvez avoir un serveur qui fournit tous vos services Internet (courrier électronique, Web). Tous ces services peuvent en effet fonctionner sur un seul ordinateur avec une même adresse IP. Par exemple, vous voulez que le nom de domaine www.exemple.com soit résolu vers la même adresse IP que ftp.exemple.com ou courrier.exemple.com. Bien qu’il semble s’agir de plusieurs serveurs à toute personne accédant aux services, il ne s’agit en réalité que d’un seul serveur à une seule et unique adresse IP. La configuration des enregistrements DNS pour ce service est simple. Vous devez seulement ajouter des alias à l’enregistrement DNS d’ordinateur. Configurer les noms DNS pour ces services n’active et ne configure pas les services ; il ne s’agit que de fournir des noms faciles à mémoriser pour les différents services offerts. Cela peut faciliter la configuration du logiciel client pour chaque service. Par exemple, pour chaque service que vous voulez afficher : • créez mail.exemple.com pour la saisie dans les clients de messagerie ; vérifiez que vous avez sélectionné la case de serveur de messagerie dans le panneau Ordinateur ; • créez www.exemple.com pour la saisie dans les navigateurs Web ; • créez afp.exemple.com pour Apple File Sharing dans le Finder ; • créez ftp.exemple.com pour la saisie dans les clients FTP. Pour suivre l’évolution de vos besoins, vous pouvez ajouter d’autres ordinateurs au réseau afin de prendre en charge ces services. Ensuite, tout ce que vous avez à faire, c’est d’enlever l’alias de l’enregistrement DNS de l’ordinateur et de créer un enregistrement pour le nouvel ordinateur ; les réglages de votre client peuvent rester inchangés. Hébergement de plusieurs domaines sur le même serveur Vous pouvez avoir un serveur qui fournit tous vos services Internet (courrier électronique, Web) pour plusieurs noms de domaine différents. Par exemple, vous avez peut-être besoin que le nom de domaine www.exemple.com soit résolu vers la même adresse IP que www.exemple.org. Bien qu’il semble s’agir de plusieurs serveurs à toute personne accédant au domaine, il ne s’agit en réalité que d’un seul serveur à une seule et unique adresse IP. La configuration des enregistrements DNS pour ce service est simple. Il vous suffit d’ajouter des alias des autres noms de domaine dans le panneau des enregistrements DNS d’ordinateur du serveur principal. Configurer les noms DNS pour ces services n’active et ne configure pas les services pour ces domaines. C’est utilisé en conjonction avec l’hébergement de domaines virtuels dans les services de courrier électronique et Web.Chapitre 3 Service DNS 63 Autres sources d’informations Pour plus d’informations sur DNS et BIND, consultez : • DNS and BIND, 4ème édition, de Paul Albitz et Cricket Liu (O’Reilly and Associates, 2001) • le site Web de l’International Software Consortium aux adresses : www.isc.org et www.isc.org/products/BIND/ • le DNS Resources Directory à l’adresse : www.dns.net/dnsrd/ Les documents RFC Les documents RFC (Request for Comments) offrent un aperçu d’un protocole ou service et présentent de manière détaillée comment le protocole doit se comporter. Si vous êtes administrateur serveur débutant, vous trouverez probablement certaines informations utiles dans les RFC. Si vous êtes administrateur serveur expérimenté, vous trouverez tous les détails techniques sur un protocole particulier dans le document RFC correspondant. Vous pouvez rechercher les documents RFC par numéro sur le site Web www.ietf.org/rfc.html. • A, PTR, CNAME, MX -Pour plus d’informations, consultez le document RFC 1035. • AAAA- Pour plus d’informations, consultez le document RFC 1886.4 65 4 Service de coupe-feu IP Le service de coupe-feu est un logiciel qui protège les applications de réseau exécutées sur votre Mac OS X Server. L’activation du service de coupe-feu est similaire à la construction d’un mur afin de limiter l’accès à votre serveur. Le service de coupe-feu IP examine les paquets IP entrants et les refuse ou les accepte en fonction des règles que vous avez créées. Vous pouvez limiter l’accès à un service IP quelconque fonctionnant sur le serveur et personnaliser les règles pour tous les clients entrants ou pour une plage d’adresses IP clientes. L’illustration ci-dessous montre un exemple de service coupe-feu. Les services tels que Web et FTP sont identifiés sur votre serveur par un numéro de port TCP (Transmission Control Protocol) ou UDP (User Datagram Protocol). Lorsqu’un ordinateur essaie de se connecter à un service, le service de coupe-feu examine la liste des règles pour y rechercher un numéro de port correspondant. Y a-t-il une règle pour le port 80 ? Recherchez la règle Tout port dont la plage est la plus petite possible mais incluant néanmoins l'adresse 10.221.41.33. Un ordinateur, dont l’adresse IP est 10.221.41.33, essaie de se connecter au serveur via Internet (port 80). Le serveur lance une recherche dans les règles existantes. Y a-t-il une règle contenant l'adresse IP 10.221.41.33 ? Oui La connexion est refusée. Oui Que précise cette règle ? La connexion est établie. Autoriser Non Refuser66 Chapitre 4 Service de coupe-feu IP Lorsqu’un paquet arrive à une interface réseau et le coupe-feu est activé, le paquet est comparé à chaque règle, en commençant par la règle portant le plus numéro le moins élevé, c’est-à-dire la priorité la plus élevée. Lorsqu’une règle correspond au paquet, l’action spécifiée dans la règle (comme, par exemple, autoriser ou refuser) est exécutée. Ensuite, en fonction de l’action, des règles supplémentaires peuvent être contrôlées. Les règles que vous créez sont appliquées aux paquets TCP et, éventuellement, aux paquets UDP. Vous pouvez par ailleurs configurer des règles afin de limiter le protocole ICMP (Internet Control Message Protocol) ou le protocole IGMP (Internet Group Management Protocol) en créant des règles avancées. Important : la première fois que vous démarrez le service de coupe-feu, seuls les ports essentiels pour l’administration à distance du serveur sont ouverts, y compris Secure Shell (22), et plusieurs autres. Des ports supplémentaires sont ouverts de manière dynamique pour autoriser des réponses spécifiques à des requêtes initiées par le serveur. Si vous souhaitez autoriser l’accès à distance à d’autres services sur votre ordinateur, vous devez ouvrir des ports supplémentaires. Vous pouvez le faire à l’aide de la section Services du panneau Réglages. Si vous prévoyez de partager des données sur Internet et que vous n’avez pas de routeur ou de coupe-feu spécifique pour protéger vos données contre les accès non autorisés, vous avez intérêt à utiliser le service de coupe-feu. Ce service fonctionne bien dans le cadre des petites et moyennes entreprises, des écoles et des petits bureaux ou bureaux à domicile. Les organisations de taille importante disposant d’un coupe-feu peuvent utiliser le service de coupe-feu pour contrôler leurs serveurs de manière plus précise. Par exemple, des groupes de travail individuels au sein d’une entreprise ou des écoles faisant partie d’un réseau scolaire, peuvent utiliser le service de coupe-feu pour contrôler l’accès à leurs serveurs. Le coupe-feu IP assure également un filtrage dynamique des paquets qui détermine si un paquet entrant constitue une réponse légitime à une requête sortante ou fait partie d’une session en cours, autorisant de cette manière des paquets qui auraient normalement été refusés. Pratiques élémentaires en matière de coupe-feu Par défaut, Mac OS X Server utilise un modèle simple pour établir un coupe-feu à la fois sûr et pratique. Si un coupe-feu est trop restrictif, le réseau qui se trouve derrière lui risque d’être isolé. Si un coupe-feu est trop permissif, il ne protège pas des intrusions ce qui se trouve derrière lui. Suivre les trois aspects du modèle élémentaire autorise une flexibilité et un usage maximal avec un minimum de risques.Chapitre 4 Service de coupe-feu IP 67 Autorisation de l’activité IP essentielle On entend par activité IP essentielle les activités réseau nécessaires pour l’utilisation d’IP et le fonctionnement au sein d’un environnement IP. Ces activités couvrent des opérations comme, par exemple, le retour de boucle, et sont exprimées sous la forme de règles de haute priorité (portant des numéros peu élevés) qui sont visibles dans le panneau Avancé des réglages relatifs au coupe-feu. Elles sont configurées automatiquement. Autorisation de l’activité spécifique à un service L’activité spécifique à un service fait référence aux paquets réseau destinés à certains ports spécifiques à un service, comme, par exemple, au service Web ou au service de courrier électronique. En autorisant le trafic vers des ports associés à des services précis et configurés, vous autorisez l’accès au travers du coupe-feu service par service. Ces activités sont exprimées sous la forme de règles de priorité moyenne et correspondent à des cases à cocher dans le panneau Service des réglages relatifs au coupe-feu. Vous pouvez apporter ces modifications vous-même en fonction de vos réglages et de vos groupes d’adresses. Refus de tous les paquets qui ne sont pas déjà autorisés Voici ce que l’on fait avec le reste pour finir. Si un paquet ou le trafic vers un port n’est pas sollicité, le paquet est rejeté et n’est pas autorisé à atteindre sa destination. Cela est exprimé sous la forme de règles de basse priorité (portant des numéros élevés) qui sont visibles dans le panneau Service des réglages relatifs au coupe-feu. Un ensemble élémentaire de règles de refus pour le coupe-feu est créé par défaut.68 Chapitre 4 Service de coupe-feu IP Démarrage du coupe-feu Bien que le coupe-feu soit traité comme un service par l’application Admin Serveur, il n’est pas implémenté par un processus fonctionnant comme les autres services. Il s’agit simplement d’un ensemble de comportements au niveau du noyau, contrôlés par les outils ipfw et sysctl. Pour démarrer et arrêter le coupe-feu, l’application Admin Serveur définit un commutateur à l’aide de l’outil sysctl. Lorsque l’ordinateur démarre, un élément d’ouverture au démarrage nommé IPFilter contrôle le drapeau “IPFILTER” dans le fichier /etc/hostconfig. S’il est défini, l’outil sysctl est utilisé pour activer le coupe-feu comme suit : sysctl -w net.inet.ip.fw.enable=1 À défaut, il désactive le coupe-feu comme suit : sysctl -w net.inet.ip.fw.enable=0 Notez que les règles chargées dans le coupe-feu y restent quel que soit ce réglage. Elles sont simplement ignorées lorsque le coupe-feu est désactivé. Comme la plupart des éléments d’ouverture au démarrage, l’élément d’ouverture au démarrage IPFilter démarre dans un ordre prédéterminé et seulement une fois que certains éléments d’ouverture au démarrage ont fini de démarrer. Dans Mac OS X Server 10.4, la fenêtre de connexion est présentée alors que des éléments d’ouverture au démarrage sont toujours en cours d’exécution. Il est donc possible de se connecter alors que le coupe-feu n’est pas encore configuré d’après ses réglages. L’élément de démarrage qui configure le coupe-feu termine en général son travail quelques minutes après la fin du démarrage du système. Comprendre les règles de coupe-feu Lorsque vous démarrez le service de coupe-feu, la configuration par défaut refuse l’accès à tous les paquets entrants provenant d’ordinateurs distants, à l’exception des ports nécessaires à la configuration à distance. Ceci garantit une sécurité élevée. Des règles dynamiques sont également en place, de sorte que les réponses aux requêtes sortantes initiées par votre ordinateur sont également autorisées. Vous pouvez alors ajouter de nouvelles règles IP pour permettre aux clients ayant besoin d’utiliser des services d’accéder au serveur. Pour connaître le mode de fonctionnement des règles IP, lisez la section suivante. Pour apprendre à créer des règles IP, consultez la section “Gestion du service de coupe-feu” à la page 74.Chapitre 4 Service de coupe-feu IP 69 Une règle de coupe-feu, qu’est-ce que c’est ? Une règle de coupe-feu, c’est un ensemble de caractéristiques d’un paquet IP ainsi qu’une action à exécuter pour chaque paquet qui répond aux caractéristiques. Ces caractéristiques peuvent comporter l’adresse de départ ou de destination, le port de départ ou de destination, le protocole ou l’interface réseau. Les adresses peuvent être exprimées sous la forme d’une adresse IP unique ou d’une plage d’adresses. Un port de service peut être exprimé sous la forme d’une valeur unique, d’une liste de valeurs ou d’une plage de valeurs. L’adresse IP et le masque de sous-réseau ensemble déterminent la plage d’adresses IP à laquelle s’applique la règle, qui peut être configuré de façon à s’appliquer à toutes les adresses. Adresse IP Les adresses IP sont composées de quatre segments de valeurs comprises entre 0 et 255 (l’étendue d’un numéro de 8 bits), séparés par des points (par exemple, 192.168.12.12). Les segments des adresses IP vont de général à spécifique (par exemple, le premier segment pourra appartenir à tous les ordinateurs de l’ensemble d’une entreprise, tandis que le dernier segment à un ordinateur spécifique situé à un étage donné d’un bâtiment). Masque de sous-réseau Un masque de sous-réseau indique quels sont les segments de l’adresse IP spécifiée qui peuvent varier sur un réseau donné et dans quelle mesure. Le masque de sous-réseau est donné en notation CIDR (Classless Inter Domain Routing). Elle comprend l’adresse IP suivie d’une barre oblique (/) et d’un numéro compris entre 1 et 32, appelé préfixe IP. Un préfixe IP identifie le nombre de bits significatifs utilisés pour identifier un réseau. Par exemple, 192.168.2.1 /16 signifie que les 16 premiers bits (les deux premiers numéros séparés par un point) servent à représenter le réseau (toutes les machines du réseau commencent donc par 192.168) et les 16 bits restants (les deux derniers numéros séparés par un point) servent à identifier les hôtes (chaque machine possède un groupe de numéros unique). Les masques de sous-réseaux peuvent être indiqués dans une autre notation : l’adresse IP suivie d’un deux-points (:) et du masque de réseau. Un masque de réseau est un groupe de 4 nombres de 0-255 séparés par des points qui sont les équivalents décimaux des bits significatifs de la notation CIDR.70 Chapitre 4 Service de coupe-feu IP Les adresses comportant des masques de sous-réseaux en notation CIDR correspondent aux masques de sous-réseaux en notation d’adresse. CIDR Correspond au masque réseau Nombre d’adresses dans la plage /1 128.0.0.0 4.29x109 /2 192.0.0.0 2.14x109 /3 224.0.0.0 1.07x109 /4 240.0.0.0 5.36x108 /5 248.0.0.0 1.34x108 /6 252.0.0.0 6.71x107 /7 254.0.0.0 3.35x107 /8 255.0.0.0 1.67x107 /9 255.128.0.0 8.38x106 /10 255.192.0.0 4.19x106 /11 255.224.0.0 2.09x106 /12 255.240.0.0 1.04x106 /13 255.248.0.0 5.24x105 /14 255.252.0.0 2.62x105 /15 255.254.0.0 1.31x105 /16 255.255.0.0 65536 /17 255.255.128.0 32768 /18 255.255.192.0 16384 /19 255.255.224.0 8192 /20 255.255.240.0 4096 /21 255.255.248.0 2048 /22 255.255.252.0 1024 /23 255.255.254.0 512 /24 255.255.255.0 256 /25 255.255.255.128 128 /26 255.255.255.192 64 /27 255.255.255.224 32 /28 255.255.255.240 16 /29 255.255.255.248 8 /30 255.255.255.252 4 /31 255.255.255.254 2 /32 255.255.255.255 1Chapitre 4 Service de coupe-feu IP 71 Utilisation de plages d’adresses Lorsque vous créez un groupe d’adresses à l’aide d’Admin Serveur, vous saisissez une adresse IP et un masque de sous-réseau au format CIDR. Les trois types de notation d’adresses IP sont autorisés : • Une adresse unique : 192.168.2.1 • Une plage exprimée à l’aide de la notation CIDR : 192.168.2.1/24 • Une plage exprimée à l’aide de la notation de masque de réseau : 192.168.2.1:255.255.255.0 Admin Serveur affiche la plage d’adresses obtenue que vous pouvez changer en modifiant le masque de sous-réseau. Lorsque vous indiquez une plage de valeurs possibles pour un segment d’adresse quelconque, ce dernier est appelé caractère générique. Le tableau suivant donne des exemples de plages d’adresses créées pour atteindre des objectifs spécifiques. Mécanisme et ordre de priorité des règles Les règles du panneau Réglages > Services agissent conjointement avec les règles affichées dans le panneau Avancé. Généralement, les règles étendues du panneau Avancé bloquent l’accès à tous les ports. Il s’agit de règles de basse priorité (portant des numéros élevés) qui prennent effet après les règles du panneau Général. Les règles créées avec le panneau Général ouvrent l’accès à des services spécifiques et ont une priorité plus élevée. Elles sont prioritaires sur celles créées dans le panneau Avancé. Si vous créez plusieurs règles dans le panneau Avancé, l’ordre des règles est déterminé par le numéro de règle, c’est-à-dire l’ordre de la règle, qui figure dans le panneau Avancé. L’ordre des règles dans le panneau Avancé peut être modifié en faisant glisser la règle dans la liste. Pour la plupart des utilisations normales, l’ouverture d’accès aux services désignés dans la fenêtre Avancé est suffisant. Si nécessaire, vous pouvez ajouter d’autres règles à l’aide de la fenêtre Avancé, en les créant et en les classant selon vos besoins. Objectif Exemple Adresse IP À saisir dans le champ d’adresse : Plage d’adresses affectée Créer une règle qui spécifie une adresse IP unique. 10.221.41.33 10.221.41.33 ou 10.221.41.33/32 10.221.41.33 (adresse unique) Créer une règle qui laisse le quatrième segment comme caractère générique. 10.221.41.33 10.221.41.33/24 10.221.41.0 à 10.221.41.255 Créer une règle qui laisse une partie du troisième segment et tout le quatrième segment comme caractère générique. 10.221.41.33 10.221.41.33/22 10.221.40.0 à 10.221.43.255 Créer une règle qui s’applique à toutes les adresses entrantes. Sélectionnez “N’importe quel” Toutes les adresses IP72 Chapitre 4 Service de coupe-feu IP Adresses IP multiples Un serveur peut gérer plusieurs adresses IP simultanées, mais le service de coupe-feu n’applique qu’un seul ensemble de règles à toutes les adresses IP du serveur. Si vous créez plusieurs alias d’adresses IP, les règles que vous créez s’appliquent à toutes ces adresses IP. Configuration initiale du service de coupe-feu Une fois que vous avez décidé quelles sont les règles à créer, suivez les étapes d’ensemble ci-après pour configurer le service de coupe-feu. Pour obtenir de l’aide supplémentaire sur l’exécution de l’une ou l’autre de ces étapes, consultez la section “Gestion du service de coupe-feu” à la page 74 et les autres rubriques mentionnées au cours de ces étapes. Étape 1 : Formation et planification Si c’est la première fois que vous travaillez avec le coupe-feu IP, vous devez apprendre et comprendre les concepts, les outils et les fonctions de coupe-feu de Mac OS X Server et de BIND. Pour plus de détails, consultez la section “Comprendre les règles de coupe-feu” à la page 68. Planifiez ensuite votre service de coupe-feu IP en prévoyant les services auxquels vous voulez fournir un accès. Les services de courrier, Web et FTP nécessitent généralement l’accès à partir d’ordinateurs sur Internet. Les services de fichiers et d’impression seront très probablement limités à votre sous-réseau local. Après avoir décidé quels services vous souhaitiez protéger à l’aide du service de coupe-feu, vous devez déterminer les adresses IP que vous autorisez à accéder à votre serveur et celles auxquelles vous en refusez l’accès. Ensuite, vous pouvez créer les règles appropriées. Étape 2 : Démarrage du service de coupe-feu Dans Admin Serveur, sélectionnez Coupe-feu et cliquez sur Démarrer le service. Par défaut, cela bloque tous les ports entrants, à l’exception de ceux utilisés pour configurer le serveur à distance. Si vous configurez le serveur localement, désactivez l’accès externe immédiatement. Important : si vous ajoutez ou modifiez une règle après avoir démarré le service de coupe-feu, cette nouvelle règle a un effet sur les connexions déjà établies avec le serveur. Par exemple, si vous refusez tout accès à votre serveur FTP après le démarrage du service de coupe-feu, les ordinateurs déjà connectés à votre serveur FTP sont déconnectés.Chapitre 4 Service de coupe-feu IP 73 Étape 3 : Créez un groupe d’adresses IP auxquelles les règles vont s’appliquer Par défaut, un groupe d’adresses IP est créé pour toutes les adresses IP entrantes. Les règles appliquées à ce groupe traitent tout le trafic entrant du réseau. Pour plus de détails, consultez la section “Création d’un groupe d’adresses” à la page 74 Étape 4 : Activez les règles du service pour chaque groupe d’adresses Dans le panneau Services, vous pouvez activer les règles en tant que numéros IP de destination en fonction des groupes d’adresses. Pour plus d’informations sur l’activation de règles de service, consultez la section “Ouverture du coupe-feu pour les services standard” à la page 76. Étape 5 : Créez des règles avancées (facultatif) Lisez “Comprendre les règles de coupe-feu” à la page 68 pour apprendre comment les règles IP fonctionnent. Utilisez les règles avancées pour configurer plus avant tous les autres services, renforcer la sécurité de votre réseau et affiner le trafic à travers le coupe-feu. Par défaut, tous les UDP sont bloqués, à l’exception de ceux en réponse à une requête sortante. Il est conseillé de n’appliquer les règles aux ports UDP qu’avec parcimonie car refuser certaines réponses UDP peut empêcher le fonctionnement normal du réseau. Si vous appliquez des règles aux ports UDP, ne sélectionnez pas l’option “Consigner tous les paquets acceptés” dans les fenêtres de configuration de règle d’Admin Serveur. Étant donné que l’UDP est un protocole “sans connexion”, tous les paquets envoyés vers un port UDP seront consignés si vous sélectionnez cette option. Pour en savoir plus sur la création d’une règle, consultez la section “Création d’une règle de coupe-feu IP avancée” à la page 78. Étape 6 : Enregistrement des modifications du service de coupe-feu Après avoir configuré vos règles et déterminé les services à autoriser, enregistrez vos modifications afin que les nouveaux réglages prennent effet. Important : si vous ajoutez ou modifiez une règle après avoir démarré le service de coupe-feu, cette nouvelle règle affectera les connexions déjà établies avec le serveur. Par exemple, si vous refusez tout accès à votre serveur FTP après le démarrage du service de coupe-feu, les ordinateurs déjà connectés à votre serveur FTP seront déconnectés.74 Chapitre 4 Service de coupe-feu IP Gestion du service de coupe-feu Cette section explique étape par étape comment démarrer, arrêter et configurer des groupes d’adresses et des règles de coupe-feu. Gestion de coupe-feu Panther Server 10.3 avec Admin Serveur de Tiger Server 10.4 Panther Server 10.3 ne gère pas l’ajout de règles aux règles de port standard ni l’arrangement des règles par glisser-déposer. Si vous administrez un coupe-feu Panther 10.3 Server avec un Admin Serveur de Tiger Server 10.4, vous ne pourrez pas modifier les règles de port standard ni réarranger les règles. Vous n’aurez pas accès à ces aspects d’Admin Serveur lorsque vous serez connecté à un serveur Panther 10.3. Démarrage et arrêt du service de coupe-feu Par défaut, le service de coupe-feu bloque toutes les connexions TCP entrantes et refuse tous les paquets UDP, à l’exception de ceux en réponse à des requêtes sortantes du serveur. Avant d’activer le service de coupe-feu, assurez-vous que vous avez configuré des règles pour autoriser l’accès aux adresses IP sélectionnées. Faute de quoi, aucune adresse ne pourra accéder à votre serveur. Important : si vous ajoutez ou modifiez une règle après avoir démarré le service de coupe-feu, cette nouvelle règle affectera les connexions déjà établies avec le serveur. Par exemple, si vous refusez tout accès à votre serveur FTP après le démarrage du service de coupe-feu, les ordinateurs déjà connectés à votre serveur FTP sont déconnectés. Pour démarrer ou arrêter le service de coupe-feu : 1 Dans Admin Serveur, choisissez Coupe-feu dans la liste Ordinateurs et services. 2 Cliquez sur Démarrer le coupe-feu. Une fois que le service a démarré, le bouton Arrêter le service devient disponible. Création d’un groupe d’adresses Vous pouvez définir des groupes d’adresses IP pour vos règles de coupe-feu. Ces groupes servent à organiser et à cibler les règles. Le groupe d’adresses “tout” correspond à toutes les adresses. Deux autres groupes d’adresses IP sont présents par défaut. Il sont prévus pour la plage complète du réseau “10-...” d’adresses privées et la plage complète du réseau “192.168-...” d’adresses privées. Les adresses peuvent être répertoriées sous la forme d’adresses individuelles (192.168.2.2), d’adresses IP avec notation CIDR (192.168.2.0/24) ou d’adresses IP avec notation de masque de réseau (192.168.2.0:255.255.255.0).Chapitre 4 Service de coupe-feu IP 75 Pour créer un groupe d’adresses : 1 Dans Admin Serveur, choisissez Coupe-feu dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Général. 4 Cliquez sur le bouton Ajouter ( + ) à droite de la sous-fenêtre Groupe d’adresses. 5 Saisissez le nom du groupe. 6 Saisissez les adresses et le masque de sous-réseau auxquels vous voulez que les règles s’appliquent. Utilisez les boutons Ajouter ( + ) et Supprimer ( - ). Utilisez le mot “tout” pour indiquer n’importe quelle adresse IP. 7 Cliquez sur OK. 8 Cliquer sur Enregistrer. Modification ou suppression d’un groupe d’adresses Vous pouvez modifier vos groupes d’adresses pour changer la plage d’adresses IP prise en compte. Le groupe d’adresses par défaut correspond à toutes les adresses. Vous pouvez supprimer des groupes d’adresses de votre liste de règles de coupe-feu. Les règles associées à ces adresses sont également supprimées. Les adresses peuvent être répertoriées sous la forme d’adresses individuelles (192.168.2.2) ou sous la forme d’une adresse IP et d’un masque de réseau au format CIDR (192.168.2.0/24). Pour modifier ou supprimer un groupe d’adresses : 1 Dans Admin Serveur, choisissez Coupe-feu dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Général. 4 Sélectionnez le nom du groupe dans la fenêtre Groupe d’adresses. 5 Cliquez sur le bouton Modifier ( / ) à droite de la sous-fenêtre Groupe d’adresses pour le modifier. Cliquez sur le bouton Supprimer ( - ) à droite de la sous-fenêtre Groupe d’adresses pour le supprimer. 6 Modifiez le nom du groupe ou les adresses comme vous le souhaitez, puis cliquez sur OK. 7 Cliquer sur Enregistrer.76 Chapitre 4 Service de coupe-feu IP Duplication d’un groupe d’adresses Vous pouvez dupliquer des groupes d’adresses de votre liste de règles de coupe-feu. Cela peut permettre d’accélérer la configuration de groupes d’adresses similaires. Pour dupliquer un groupe d’adresses : 1 Dans Admin Serveur, choisissez Coupe-feu dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Général. 4 Sélectionnez le nom du groupe dans la fenêtre Groupe d’adresses. 5 Cliquez sur le bouton Dupliquer à droite de la sous-fenêtre Groupe d’adresses. Ouverture du coupe-feu pour les services standard Par défaut, le service de coupe-feu bloque les connexions TCP entrantes sur les ports qui ne sont pas essentiels à l’administration à distance du serveur et autorise toutes les connexions UDP. De plus, par défaut, les règles dynamiques qui autorisent des réponses spécifiques à des requêtes sortantes sont en place. Avant d’activer le service de coupefeu, assurez-vous d’avoir configuré des règles autorisant l’accès à partir des adresses IP que vous avez choisies, sinon aucune d’entre elles ne sera acceptée par votre serveur. L’ouverture du coupe-feu pour les services standard est simple et ne nécessite aucune configuration avancée ou compliquée. Les services standard comprennent (mais ne se limitent pas à ceux-ci) : • accès SSH ; • service Web ; • service de fichiers Apple ; • service de fichiers Windows ; • service FTP • partage d’imprimante ; • DNS/DNS multi-diffusion ; • réponse Écho ICMP (pings entrants) ; • IGMP (Internet Gateway Multicast Protocol) ; • VPN PPTP ; • VPN L2TP ; • diffusion média QTSS ; • partage de musique iTunes. Important : si vous ajoutez ou modifiez une règle après avoir démarré le service de coupe-feu, cette nouvelle règle aura un effet sur les connexions déjà établies avec le serveur. Par exemple, si vous refusez tout accès à votre serveur FTP après le démarrage du service de coupe-feu, les ordinateurs déjà connectés à votre serveur FTP sont déconnectés.Chapitre 4 Service de coupe-feu IP 77 Pour ouvrir le coupe-feu pour les services standard : 1 Dans Admin Serveur, choisissez Coupe-feu dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Général. 4 Sélectionnez un groupe d’adresses dans le menu local Modifier les services pour. 5 Choisissez d’autoriser soit tout le trafic pour le groupe d’adresses, soit le trafic sur des points désignés. 6 Cochez la case Autoriser pour tous les services à autoriser sur le groupe d’adresses. Si vous ne voyez pas le service dont vous avez besoin, vous pouvez ajouter un port et une description à la liste des services. Si vous souhaitez créer une règle personnalisée, consultez la section “Création d’une règle de coupe-feu IP avancée” à la page 78. 7 Cliquez sur Enregistrer. Ajout de ports personnalisés à la liste des services Vous pouvez ajouter des ports personnalisés à la liste des services. Cela vous permet d’ouvrir des ports spécifiques à vos groupes d’adresses sans devoir créer une règle IP avancée. Pour ajouter des ports personnalisés à la liste des services : 1 Dans Admin Serveur, choisissez Coupe-feu dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Général. 4 Cliquez sur le bouton Ajouter ( + ) sous la liste des services. 5 Saisissez un nom de règle pour le service. 6 Saisissez un port unique (par exemple, 22) ou une plage de ports (par exemple, 650-750). 7 Choisissez un protocole. Si vous avez un protocole autre que TCP ou UDP, vous devez utiliser le panneau Avancé pour créer une règle personnalisée. 8 Cliquez sur OK. 9 Cliquer sur Enregistrer.78 Chapitre 4 Service de coupe-feu IP Modification ou suppression d’éléments dans la liste des services Vous pouvez supprimer ou modifier les ports de la liste des services. Cela vous permet de personnaliser votre choix de services pour faciliter la configuration. Pour modifier la liste des services : 1 Dans Admin Serveur, choisissez Coupe-feu dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Général. 4 Sélectionnez le service que vous souhaitez modifier. 5 Cliquez sur le bouton Modifier ( / ) sous la liste des services pour le modifier. Cliquez sur le bouton Supprimer ( - ) sous la liste des services pour le supprimer. 6 Modifiez le nom, le port ou le protocole comme vous le souhaitez, puis cliquez sur OK. 7 Cliquer sur Enregistrer. Création d’une règle de coupe-feu IP avancée Vous pouvez utiliser la sous-fenêtre Réglages avancés pour configurer des règles très spécifiques pour le coupe-feu IP. Les règles de coupe-feu IP contiennent la source et la destination des adresses IP avec des masques de sous-réseau. Elles spécifient également ce qu’il faut faire avec le trafic réseau reçu. Vous pouvez appliquer une règle à toutes les adresses IP, à une adresse en particulier ou à une plage d’adresses IP. Les adresses peuvent être répertoriées sous la forme d’adresses individuelles (192.168.2.2) ou de plages définies par une adresse IP et un masque de réseau au format CIDR (192.168.2.0/24). Pour créer une règle de coupe-feu IP avancée : 1 Dans Admin Serveur, choisissez Coupe-feu dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Règles avancées. 4 Cliquez sur le bouton Ajouter ( + ). Vous pouvez également sélectionner une règle similaire à celle que vous voulez créer et cliquer sur Dupliquer puis Modifier. 5 Choisissez si cette règle doit autoriser ou refuser l’accès en sélectionnant l’option correspondante dans le menu local Action. Si vous choisissez Autre, saisissez l’action souhaitée (par exemple, historique). 6 Choisissez un protocole dans le menu local Protocole. Si vous choisissez Autre, saisissez le protocole souhaité (par exemple, icmp, esp, ipencap).Chapitre 4 Service de coupe-feu IP 79 7 Choisissez un service dans le menu local Service. Pour sélectionner un port de service non standard, choisissez Autre. 8 Si vous le souhaitez, choisissez de consigner les paquets qui correspondent à la règle. 9 Choisissez un groupe d’adresses dans le menu local comme source du trafic filtré. Si vous ne souhaitez pas utiliser un groupe d’adresses existant, saisissez la plage d’adresses IP source (avec notation CIDR) que vous souhaitez filtrer. Si vous voulez que le filtre s’applique à toutes les adresses, choisissez N’importe quel dans le menu local. 10 Si vous avez sélectionné un port de service non standard, saisissez le numéro du port source. 11 Choisissez un groupe d’adresses dans le menu local comme destination du trafic filtré. Si vous ne souhaitez pas utiliser un groupe d’adresses existant, saisissez la plage d’adresses IP de destination (avec notation CIDR). Si vous voulez que le filtre s’applique à toutes les adresses, choisissez N’importe quel dans le menu local. 12 Si vous avez sélectionné un port de service non standard, saisissez le numéro du port de destination. 13 Choisissez l’interface réseau à laquelle s’applique cette règle. “Intérieur” fait référence à l’interface WAN désignée. “Extérieur” fait référence à l’interface LAN désignée. Si vous avez sélectionné Autre, saisissez le nom de l’interface (en0, en1, fw1, etc.) 14 Cliquez sur OK. 15 Cliquez sur Enregistrer pour appliquer la règle. Modification ou suppression de règles de coupe-feu IP avancées Vous pouvez modifier ou supprimer des règles de coupe-feu IP avancées. Si vous souhaitez simplement désactiver une règle dans la perspective de la réutiliser, désélectionnez la règle plutôt que de la supprimer. Si vous modifiez une règle après avoir activé le service de coupe-feu, vos modifications auront un effet sur les connexions établies avec le serveur. Par exemple, si des ordinateurs sont connectés à votre serveur Web et que vous modifiez la règle pour refuser tout accès au serveur, les ordinateurs connectés seront déconnectés.80 Chapitre 4 Service de coupe-feu IP Pour modifier une règle de coupe-feu IP avancée : 1 Dans Admin Serveur, choisissez Coupe-feu dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Règles avancées. 4 Sélectionnez la règle que vous souhaitez modifier. 5 Cliquez sur le bouton Modifier ( / ) sous la liste des services pour la modifier. Cliquez sur le bouton Supprimer ( - ) sous la liste des services pour la supprimer. Si vous supprimez une règle, vous avez terminé. 6 Modifiez la règle comme vous le souhaitez, puis cliquez sur OK. 7 Cliquer sur Enregistrer. Modification de l’ordre des règles de coupe-feu IP avancées L’ordre des règles de coupe-feu IP avancées est déterminé par leur ordre dans l’onglet Règles avancées. Pour modifier l’ordre des règles : m Faites glisser les règles dans l’ordre désiré. Activation du mode furtif Vous pouvez masquer l’existence de votre coupe-feu en choisissant de ne pas envoyer de notification d’échec de connexion aux connexions bloquées par le coupe-feu. Cela a pour effet de masquer les ports fermés de votre serveur. Par exemple, si un intrus tente de se connecter à votre serveur, même si le port est bloqué, il saura qu’il y a un serveur et cherchera d’autres manières de pénétrer sur votre réseau. Si le mode furtif est activé, plutôt que d’être rejeté, il ne recevra même pas d’indication qu’une tentative de connexion a eu lieu. Pour activer le mode furtif : 1 Dans Admin Serveur, choisissez Coupe-feu dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Règles avancées. 4 Sélectionnez “Activer pour TCP” ou “Activer pour UDP”, comme vous le souhaitez. 5 Cliquer sur Enregistrer.Chapitre 4 Service de coupe-feu IP 81 Initialisation d’un serveur injoignable Certaines erreurs dans la configuration d’un coupe-feu peuvent rendre un serveur injoignable pour l’administration à distance. Dans ce cas, remettez le coupe-feu dans son état par défaut afin qu’Admin Serveur puisse administrer le serveur. Cette procédure de reprise doit être effectuée par un administrateur qui dispose d’un accès physique au serveur. Cette procédure nécessite l’utilisation de l’interface de ligne de commande et des connaissances en la matière. Pour initialiser un coupe-feu : 1 Déconnectez le serveur de l’Internet externe. 2 Redémarrez le serveur en mode mono-utilisateur en maintenant les touches Commande + s pendant le démarrage. 3 Supprimez ou renommez le fichier de groupe d’adresses. Il se trouve dans /etc/ipfilter/ip_address_groups.conf. 4 Supprimez ou renommez le fichier de configuration ipfw. Il se trouve dans /etc/ipfilter/ipfw.conf. 5 Purgez de force les règles de coupe-feu en saisissant : ipfw -f flush 6 Modifiez /etc/hostconfig et définissez IPFILTER=-YES-. 7 Terminez le démarrage de Mac OS X Server jusqu’à la fenêtre de connexion en tapant : exit L’ordinateur va démarrer avec les règles de coupe-feu par défaut et avec le coupe-feu activé. Vous pourrez utiliser Admin Serveur pour affiner la configuration du coupe-feu. 8 Connectez-vous à l’aide du compte de l’administrateur local de votre serveur pour confirmer que le coupe-feu est remis dans sa configuration par défaut. 9 Reconnectez votre hôte à Internet. Contrôle du service de coupe-feu Les coupe-feu sont la première ligne de défense d’un réseau contre les utilisateurs d’ordinateur malveillants (couramment appelés “pirates”). Pour préserver la sécurité de vos ordinateurs et de vos utilisateurs, vous devez contrôler l’activité des coupe-feu et prévenir les éventuelles menaces. Cette section explique comment consigner et surveiller votre coupe-feu.82 Chapitre 4 Service de coupe-feu IP Comprendre le panneau Règles actives Le panneau Règles actives affiche les nombres de paquets et d’octets associés à chaque règle. Lorsque l’on apporte une modification à la configuration du coupe-feu à l’aide d’Admin Serveur, les anciennes règles de coupe-feu sont purgées, de nouvelles sont générées et enregistrées dans un fichier et la commande ipfw(1) est invoquée pour mettre les règles en service. Lors de la purge, les nombres de paquets et d’octets associés aux différentes règles sont effacés. Le panneau Règles actives reflète l’état du coupe-feu à un moment donné. Lorsque vous regardez ce panneau, notez que des règles dynamiques peuvent être affichées en même temps que des règles statiques. Ces règles dynamiques apparaissent et disparaissent en quelques secondes en réponse à l’activité du réseau. Elles sont le résultat des règles dynamiques (de règles qui contiennent une clause “keep-state”). Le panneau Règles actives affiche le numéro de règle de la règle dynamique qui a été déclenchée pour créer la règle dynamique. Affichage de la vue d’ensemble de l’état du coupe-feu La vue d’ensemble de l’état affiche un récapitulatif sommaire du service de coupe-feu. Elle affiche le nombre de règles actives, si le service est en cours d’exécution et combien de paquets ont été traités par le coupe-feu. Pour afficher la vue d’ensemble : 1 Dans Admin Serveur, choisissez Coupe-feu dans la liste Ordinateurs et services. 2 Cliquez sur le bouton Vue d’ensemble. Affichage des règles de règles de coupe-feu actives Le panneau Règles actives affiche un récapitulatif sommaire des règles de coupe-feu. Il affiche les informations suivantes : • les règles au format du code ipfw ; • la priorité des différentes règles ; • le nombre des paquets des différentes règles ; • le nombre total d’octets traités par les différentes règles. Pour afficher la vue d’ensemble : 1 Dans Admin Serveur, choisissez Coupe-feu dans la liste Ordinateurs et services. 2 Cliquez sur le bouton Règles actives.Chapitre 4 Service de coupe-feu IP 83 Configuration des historiques du service de coupe-feu Vous pouvez consigner uniquement les paquets dont l’accès est refusé par les règles que vous avez définies, uniquement les paquets autorisés par ces mêmes règles, ou les deux à la fois. Les deux options de consignation peuvent générer un grand nombre d’entrées d’historique, mais il y a des moyens de limiter le volume : • Ne consignez que les paquets autorisés ou que les paquets refusés, plutôt que tous les paquets. • Ne consignez les paquets que le temps qu’il faut. • Limitez le nombre total de paquets à l’aide du panneau Réglages de consignation. • Ajoutez une règle de comptage dans le panneau Réglages avancés pour compter le nombre de paquets qui répondent aux caractéristiques que vous souhaitez compter. Vous pouvez choisir de consigner les paquets autorisés, les paquets refusés et un nombre déterminé de paquets. Pour configurer des historiques : 1 Dans Admin Serveur, choisissez Coupe-feu dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Général. 4 Sélectionnez les options de consignation voulues. 5 Cliquez sur Enregistrer pour démarrer la consignation. Affichage de l’historique du coupe-feu Chaque règle que vous créez dans Admin Serveur correspond à une ou plusieurs règles du logiciel de coupe-feu sous-jacent. Les entrées d’historique font apparaître la règle appliquée, les adresses IP du client et du serveur et d’autres types d’informations. L’historique affiche le contenu du fichier /var/log/ipfw.log. Vous pouvez encore restreindre les règles à l’aide du champ de filtrage de texte. Pour consulter l’historique du service de coupe-feu : 1 Dans Admin Serveur, choisissez Coupe-feu dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Historique.84 Chapitre 4 Service de coupe-feu IP Voici quelques exemples d’entrées d’historique de coupe-feu et la manière de les interpréter. Exemple d’historique nº 1 Dec 12 13:08:16 ballch5 mach_kernel: ipfw: 65000 Unreach TCP 10.221.41.33:2190 192.168.12.12:80 in via en0 Cette entrée indique que le service de coupe-feu a utilisé la règle 65000 pour refuser (unreach) que le client distant de l’adresse 10.221.41.33:2190 n’accède au serveur 192.168.12.12 sur le port Web 80 via le port Ethernet 0. Exemple d’historique nº 2 Dec 12 13:20:15 mayalu6 mach_kernel: ipfw: 100 Accept TCP 10.221.41.33:721 192.168.12.12:515 in via en0 Cette entrée indique que le service de coupe-feu a utilisé la règle 100 pour autoriser le client distant 10.221.41.33:721 à accéder au serveur 192.168.12.12 sur le port d’impression LPR 515 via le port Ethernet 0. Exemple d’historique nº 3 Dec 12 13:33:15 smithy2 mach_kernel: ipfw: 10 Accept TCP 192.168.12.12:49152 192.168.12.12:660 out via lo0 Cette entrée affiche la règle de détournement NAT appliquée à un paquet sortant. Dans le cas présent, elle détourne la règle vers le port de service 660, le port que le démon NAT utilise. Affichage des paquets refusés L’examen des paquets refusés peut vous aider à identifier les problèmes du service de coupe-feu et à les résoudre. Pour afficher les paquets refusés : 1 Dans Admin Serveur, choisissez Coupe-feu dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Général. 4 Assurez-vous que la case “Consigner tous les paquets refusés” est cochée. 5 Affichez les entrées d’historique dans Admin Serveur en cliquant sur le bouton Historique. 6 Tapez le mot “unreach” dans la boîte de filtrage de texte.Chapitre 4 Service de coupe-feu IP 85 Affichage des paquets consignés par des règles de coupe-feu L’examen des paquets filtrés par les règles de coupe-feu peut vous aider à identifier des problèmes liés au service de coupe-feu et à les résoudre. Pour afficher les paquets filtrés : 1 Dans Admin Serveur, choisissez Coupe-feu dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Général. 4 Assurez-vous que la case “Consigner tous les paquets autorisés” est cochée. Consultez la section “Modification ou suppression de règles de coupe-feu IP avancées” à la page 79 si vous n’avez pas activé la consignation pour une règle particulière. 5 Affichez les entrées d’historique dans Admin Serveur en cliquant sur le bouton Historique. 6 Tapez le mot “Accept” dans le champ de filtrage de texte. Dépannage de règles de coupe-feu IP avancées Le panneau Avancé de configuration du coupe-feu accepte toute entrée tant que vous configurez une règle correctement. Les erreurs éventuelles ne sont détectées qu’à l’enregistrement des règles et lorsque Admin Serveur applique toutes les règles à l’aide de la commande ipfw. La première règle contenant une erreur de syntaxe provoque l’arrêt de l’opération et l’ajout d’un message d’erreur à l’historique. Cette erreur n’indique pas quelle règle est incorrecte, mais toutes les règles valides qui précèdent la règle incorrecte sont chargées dans le coupe-feu. Voici la technique permettant de déterminer quelle règle est incorrecte. Pour déterminer quelle règle est incorrecte : 1 Notez le message qui figure dans l’historique. 2 Attendez quelques minutes que Admin Serveur affiche les règles actives dans la section Vue d’ensemble. 3 Comparez la liste de règles actives dans la section Vue d’ensemble avec la liste de règles de la section Réglages. 4 Inspectez le contenu du fichier /etc/ipfilter/ipfw.conf.apple pour voir lesquelles Admin Serveur a tenté de charger dans le coupe-feu. La première de ce fichier qui n’apparaît pas dans le panneau Vue d’ensemble est presqu’à coup sûr la règle incorrecte. Celle-ci peut également être suivie d’autres règles incorrectes. 5 Si la règle correspond à une règle du panneau Avancé, vous pouvez la désactiver ou la corriger. Les règles désactivées apparaissent dans le fichier /etc/ipfilter/ipfw.conf.apple précédées par un caractère de commentaire afin qu’elles ne soient pas traitées par l’outil ipfw.86 Chapitre 4 Service de coupe-feu IP Exemples pratiques Les règles de coupe-feu IP que vous créez opèrent ensemble de façon à assurer la sécurité de votre réseau. Les exemples ci-après montrent comment utiliser des règles pour atteindre certains objectifs spécifiques. Utilisation d’un coupe-feu IP avec la traduction d’adresses de réseau Le coupe-feu IP doit être activé pour utiliser la traduction d’adresses de réseau (en anglais, Network Address Translation ou NAT). L’activation de la traduction d’adresses de réseau crée automatiquement une règle de détournement de la configuration de coupe-feu. Bien que l’application Admin Serveur de Tiger Server permette d’activer et de désactiver le service de traduction d’adresses de réseau, ou service NAT, et le service de coupe-feu séparément, pour que le service NAT fonctionne, le service NAT et le service de coupe-feu doivent tous deux être activés. Une composante essentielle de la traduction d’adresses de réseau est la règle de détournement de paquets utilisée dans le coupe-feu. La règle de coupe-feu IP créée indique au coupe-feu comment il doit router le trafic réseau provenant du réseau derrière la passerelle de NAT. Lorsque vous avez un réseau local derrière une passerelle de NAT, vous devez créer le groupe d’adresses qui correspond au réseau local ou, en tout cas, ne pas le perdre de vue. La manière la plus simple de configurer un coupe-feu IP pour qu’il fonctionne avec la traduction d’adresses de réseau consiste à utiliser Assistant réglages de passerelle. Ce dernier va configurer automatiquement les groupes d’adresses IP dans le coupe-feu et créer la bonne règle de détournement de paquets. Si vous configurez un réseau avec traduction d’adresses de réseau au travers d’une passerelle pour la première fois, Apple vous recommande d’utiliser Assistant réglages de passerelle. Si vous ne souhaitez pas utiliser Assistant réglages de passerelle ou que vous disposez de réglages de passerelle que vous ne souhaitez pas écraser, vous pouvez configurer la traduction d’adresses de réseau et le coupe-feu IP manuellement. Pour obtenir des instructions détaillées sur la configuration d’un réseau local avec traduction d’adresses de réseau, consultez la section “Liaison d’un réseau local à Internet via une adresse IP” à la page 106. Avertissement : le coupe-feu IP doit être activé pour que la traduction d’adresses de réseau fonctionne.Chapitre 4 Service de coupe-feu IP 87 Blocage de l’accès Web à des utilisateurs Internet Cette section vous montre, à l’aide d’un exemple, comment autoriser l’accès au service Web de votre serveur aux utilisateurs de votre sous-réseau, tout en interdisant son accès au grand public sur Internet. Dans cet exemple, votre réseau local possède la plage d’adresses IP privées 10.0.1.1 à 10.0.1.254. Le service Web de votre serveur se trouve à l’adresse 10.0.2.1 sur le port en2 du serveur. À l’aide d’une règle avancée : 1 Dans Admin Serveur, créez un groupe d’adresses nommé “Réseau local” avec la plage d’adresses 10.0.1.1/24 Il couvre toutes les adresses dans la plage de sous-réseau 10.0.1.x. Pour obtenir des instructions, consultez la section “Création d’un groupe d’adresses” à la page 74. 2 Créez une règle avancée avec les réglages suivants : • Action : Autoriser • Protocole : TCP • Service : Web • Groupe d’adresses source : LAN • Adresse de destination : Autre 10.0.2.1 • Interface : en2 Pour obtenir des instructions, consultez la section “Création d’une règle de coupe-feu IP avancée” à la page 78. À l’aide des règles standard : 1 Dans Admin Serveur, créez un groupe d’adresses nommé “Serveur Web” avec la plage d’adresses 10.0.2.1. Pour obtenir des instructions, consultez la section “Création d’un groupe d’adresses” à la page 74. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Général. 4 Sélectionnez le groupe d’adresses “Serveur Web” dans le menu local “Modifier les services pour”. 5 Autorisez le trafic pour le groupe “Serveur Web” sur le port du service Web désigné. Sélectionnez Autoriser le service Web. 6 Cliquer sur Enregistrer.88 Chapitre 4 Service de coupe-feu IP Consignation de l’accès à Internet par les utilisateurs du réseau local Cette section vous montre, à l’aide d’un exemple, comment autoriser l’accès au service Web d’autres serveurs aux utilisateurs de votre réseau local et consigner leur accès au grand public sur Internet. Dans cet exemple, votre réseau local possède la plage d’adresses IP privées 10.0.1.1 à 10.0.1.254. 1 Dans le panneau Coupe-feu IP d’Admin Serveur, cliquez sur Réglages. 2 Sélectionnez l’onglet Général. 3 Sélectionnez le groupe d’adresses “tout” dans le menu local Modifier les services pour. 4 Autorisez le trafic pour le groupe “Serveur Web” sur le port du service Web désigné. Sélectionnez Autoriser le service Web. 5 Cliquer sur Enregistrer. 6 Cliquez sur l’onglet Général. 7 Sélectionnez Consigner tous les paquets acceptés. Affichez les historiques dans le panneau Historique. Blocage du courrier indésirable Cette section vous montre, à l’aide d’un exemple, comment rejeter le courrier d’un expéditeur de courrier indésirable possédant l’adresse IP 17.128.100.0, tout en acceptant tous les autres messages électroniques Internet. Important : configurez dans les règles que vous créez des plages d’adresses très spécifiques pour bloquer le courrier SMTP entrant. Par exemple, si vous définissez une règle sur le port 25 pour refuser le courrier provenant de n’importe quelle adresse, vous empêchez la distribution du courrier de vos utilisateurs. Pour cela : 1 Dans Admin Serveur, choisissez Coupe-feu dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Général. 4 Sélectionnez le groupe d’adresses “tout” dans le menu local. 5 Activez “Courrier SMTP”. 6 Sélectionnez l’onglet Général. 7 Cliquez sur le bouton Ajouter ( + ) pour créer une plage d’adresses. 8 Nommez le groupe d’adresses. 9 Saisissez 17.128.100.0 dans la plage d’adresses pour indiquer l’adresse de l’expéditeur du courrier indésirable.Chapitre 4 Service de coupe-feu IP 89 10 Cliquez sur OK. 11 Sélectionnez le groupe d’adresses créé. 12 Désélectionnez “Courrier SMTP” dans l’onglet Services pour désactiver le transfert de courrier. 13 Cliquer sur Enregistrer. Client autorisé à accéder au serveur de fichiers Apple Cette section vous montre, sous forme d’exemple, comment autoriser un client possédant l’adresse IP 10.221.41.33 à accéder au serveur de fichiers Apple. Pour cela : 1 Dans Admin Serveur, choisissez Coupe-feu dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Général. 4 Sélectionnez le groupe d’adresses “tout”. 5 Désactivez “Service de fichiers Apple” dans le panneau Service. 6 Sélectionnez l’onglet Général. 7 Cliquez sur le bouton Ajouter ( + ) pour créer une plage d’adresses. 8 Nommez le groupe d’adresses. 9 Saisissez 10.221.41.33 dans la plage d’adresses pour indiquer l’adresse du client. 10 Cliquez sur OK. 11 Sélectionnez l’onglet Général. 12 Sélectionnez le groupe d’adresses créé. 13 Sélectionnez “Service de fichiers Apple” dans le panneau Service pour autoriser l’accès aux fichiers. 14 Cliquez sur Enregistrer.90 Chapitre 4 Service de coupe-feu IP Tâches courantes d’administration réseau utilisant le service de coupe-feu Votre coupe-feu est la première ligne de défense contre les intrus non autorisés sur votre réseau, les utilisateurs malveillants et les attaques de virus contre les réseaux. De bien des façons, ces attaques peuvent endommager vos données ou utiliser les ressources de votre réseau. Cette section présente quelques-unes des utilisations courantes du service de coupe-feu dans l’administration réseau. Prévention des attaques par déni de service (DoS) Lorsque le serveur reçoit une requête de connexion TCP d’un client pour lequel l’accès est refusé, il renvoie par défaut une réponse spécifiant que la connexion a été refusée. Cela empêche le client refusé de renvoyer sans cesse sa demande. Un utilisateur malveillant peut toutefois générer une série de requêtes de connexion TCP à partir de l’adresse IP d’un client refusé et forcer le serveur à lui répondre continuellement, bloquant ainsi toutes les autres connexions au serveur. C’est un des types d’attaque par déni de service. Pour prévenir les attaques par déni de service ping : 1 Dans Admin Serveur, choisissez Coupe-feu dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Réglages. 4 Sélectionnez le groupe d’adresses “tout”. 5 Désélectionnez la case “Réponse (ping) à l’écho ICMP”. 6 Cliquer sur Enregistrer. Important : les attaques par déni de service (en anglais Denial of Service ou DoS) sont plutôt rares. N’effectuez ces réglages que si vous estimez que votre serveur peut être la cible d’une attaque. Si vous refusez les réponses à l’écho ICMP, les services utilisant le ping pour localiser les services réseau seront incapables de détecter votre serveur. Contrôle ou autorisation de l’utilisation du réseau en peer-to-peer Les administrateurs réseau ont parfois besoin de contrôler l’utilisation des applications de partage de fichiers peer-to-peer (P2P). Ces applications pourraient en effet utiliser la bande passante et les ressources du réseau de façon inappropriée ou disproportionnée. Le partage de fichiers en P2P peut également exposer une entreprise à des risques en termes de sécurité ou de propriété intellectuelle. Vous pouvez couper la mise en réseau P2P en bloquant tout le trafic entrant et sortant sur le numéro de port utilisé par l’application P2P. Il vous faudra déterminer le port utilisé pour chaque réseau P2P dont il est question. Par défaut, le coupe-feu de Mac OS X Server bloque tous les ports non spécifiquement ouverts.Chapitre 4 Service de coupe-feu IP 91 Vous pouvez limiter l’utilisation du réseau en P2P aux adresses IP situées derrière le coupe-feu. Pour ce faire, vous devez ouvrir le port P2P pour votre interface LAN, mais continuer de bloquer le port sur l’interface connectée à Internet (interface WAN). Pour apprendre à créer une règle de coupe-feu, consultez la section “Création d’une règle de coupe-feu IP avancée” à la page 78. Contrôle ou activation de l’utilisation des jeux en réseau Les administrateurs réseau ont parfois besoin de contrôler l’utilisation des jeux en réseau. Ces jeux pourraient en effet utiliser la bande passante et les ressources du réseau de façon inappropriée ou disproportionnée. Vous pouvez couper les jeux en réseau en bloquant tout le trafic entrant et sortant sur le numéro de port utilisé par le jeu. Il vous faudra déterminer le port utilisé pour chaque jeu en réseau dont il est question. Par défaut, le coupe-feu de Mac OS X Server bloque tous les ports non spécifiquement ouverts. Vous pouvez choisir de limiter l’utilisation des jeux en réseau aux adresses IP situées derrière le coupe-feu. Pour ce faire, vous devez ouvrir le port approprié sur votre interface LAN, mais continuer de bloquer le port sur l’interface connectée à Internet (interface WAN). Certains jeux ont besoin d’une connexion à un service de jeux, ce qui ne fonctionnera peut-être plus. Pour apprendre à créer une règle de coupe-feu, consultez la section “Création d’une règle de coupe-feu IP avancée” à la page 78. Vous pouvez ouvrir le coupe-feu pour certains jeux en réseau afin que ceux-ci puissent se connecter aux autres joueurs et services de jeux se trouvant en dehors du coupe-feu. Pour cela, vous devez ouvrir le port adéquat sur vos interfaces LAN et WAN. Certains jeux nécessitent l’ouverture de plusieurs ports. Consultez la documentation du jeu pour plus de détails sur la mise en réseau. Pour apprendre à créer une règle de coupe-feu, consultez la section “Création d’une règle de coupe-feu IP avancée” à la page 78.92 Chapitre 4 Service de coupe-feu IP Références de ports Les tableaux suivants répertorient les numéros de ports TCP et UDP généralement utilisés par les ordinateurs Mac OS X et Mac OS X Server. Ces ports peuvent être utilisés lors de la configuration de vos règles. Consultez le site Web suivant pour obtenir la liste des documents RFC référencés dans les tableaux. www.faqs.org/rfcs Port TCP Utilisé pour Référence 7 écho RFC 792 20 Données FTP RFC 959 21 Contrôle FTP RFC 959 22 SSH (secure shell) Configuration de répliques Open Directory 23 Telnet RFC 854 25 SMTP (courrier) RFC 821 53 DNS RFC 1034 79 Finger RFC 1288 80 HTTP (Web) RFC 2068 88 Centre de distribution de clés Kerberos 5 RFC 1510 106 Serveur de mots de passe Open Directory (avec 3659) 110 POP3 (courrier) RFC 1081 111 Appel de procédure à distance (RPC) RFC 1057 113 AUTH RFC 931 115 sftp 119 NNTP (nouvelles) RFC 977 123 Synchronisation du serveur horloge de réseau (NTP) RFC 1305 137 Noms Windows 138 Explorateur Windows 139 Service de fichiers et d’impression Windows (SMB/CIFS) RFC 100 143 IMAP (accès au courrier) RFC 2060 201-208 AppleTalkChapitre 4 Service de coupe-feu IP 93 311 SSL Admin Serveur, administration Web à distance IP AppleShare, Contrôle de serveur, Admin Serveur (servermgrd), Gestionnaire de groupe de travail (DirectoryService) 389 LDAP (annuaires) Recherche LDAP Sherlock 2 RFC 2251 407 Timbuktu 427 SLP (localisation de services) 443 SSL (HTTPS) 445 Microsoft Domain Server 497 Dantz Retrospect 514 shell, syslog 515 LPR (désynchronisation de l’impression) RFC 1179 532 netnews 548 AFP (Apple File Service ou Service de fichiers Apple) 554 RTSP, protocole de diffusion en temps réel (QTSS) RFC 2326 591 Accès Web de FileMaker 600–1023 Services RPC pour Mac OS X (par exemple, NetInfo) 625 Accès au répertoire distant 626 Administration IMAP (service de courrier Mac OS X et courrier AppleShare IP 6.x) 631 IPP (partage d’imprimantes) 636 LDAP SSL 660 Réglages de serveur, Gestionnaire de serveur 687 Utilisateurs et groupes partagés AppleShare IP, Contrôle de serveur, Admin Serveur (servermgrd) 749 Administration de Kerberos et de changepw à l’aide de l’outil de ligne de commande kadmind 985 Port statique NetInfo 993 IMAP sur SSL (courrier) Port TCP Utilisé pour Référence94 Chapitre 4 Service de coupe-feu IP 995 POP3 sur SSL (courrier) 1085 Web Objects 1099, 8043 RMI à distance et accès RMI/IIOP à JBoss 1220 Admin QTSS 1694 Basculement IP 1723 VPN PPTP RFC 2637 2049 NFS 2236 Gestionnaire Macintosh 2399 Couche d’accès aux données de FileMaker 3004 iSync 3031 Program Linking, Remote AppleEvents 3283 ARD 2.0 3306 MySQL 3632 Compilateur distribuée de XCode 3659 Serveur de mots de passe Open Directory (avec 106) 3689 Partage de musique iTunes 4111 XGrid 5003 Liaison de noms et transport FileMaker 5100 Partage d’appareils photo et de numériseurs 5190 iChat et transfert de fichiers iChat 5222 Serveur iChat 5223 SSL du serveur iChat 5269 Serveur iChat - serveur à serveur 5298 iChat - sous-réseau local 5432 Base de données ARD 2.0 5900 VNC ARD 2.0 7070 RTSP, protocole de diffusion en temps réel (QTSS) 7777 Serveur iChat - proxy de transfert de fichiers 8000–8999 Service Web Port TCP Utilisé pour RéférenceChapitre 4 Service de coupe-feu IP 95 8000-8001 Diffusion en continu MP3 QTSS 8005 Arrêt à distance de Tomcat 8043, 1099 RMI à distance et accès RMI/IIOP à JBoss 8080, 8443, 9006 Tomcat autonome et JBoss 8080 Alternative du service Web (valeur par défaut d’Apache 2) 9007 Accès au serveur Web à distance au port AIP 16080 Service Web avec redirection de la mémoire cache des performances 42000-42999 Flux radio iTunes 7 écho 53 DNS 67 Serveur DHCP (BootP), serveur NetBoot 68 Client DHCP 69 Protocole de transfert de fichiers TFTP 111 Appel de procédure à distance (RPC) 123 Protocole de synchronisation d’horloge (NTP) RFC 1305 137 Service WINS (Windows Name Service) 138 Windows Datagram Service (NETBIOS) 161 Protocole SNMP (Simple Network Management Protocol) 192 Administration d’AirPort 427 SLP (localisation de services) 497 Retrospect 500 VPN ISAKMP/IKE 513 who 514 Syslog 554 RTSP, protocole de diffusion en temps réel (QTSS) 600–1023 Services RPC pour Mac OS X (par exemple, NetInfo) Port TCP Utilisé pour Référence96 Chapitre 4 Service de coupe-feu IP 626 Prise en charge des numéros de série 985 NetInfo (lors de la création d’un domaine partagé à l’aide de Configuration de domaine NetInfo) 1701 VPN L2TP 3283 ARD 1.2 5353 DNS multi-diffusion (mDNSResponder) 2049 Service NFS (Network File System) 3031 Lien entre les applications 3283 Assistant réseau Apple, Remote Desktop Apple 4500 IKE NAT Traversal 5060 Initiation iChat 5297, 5678 iChat - local 5353 DNS multi-diffusion (mDNSResponder) 6970 -6999 Diffusion en continu RTP QTSS 7070 Protocole RTSP alternatif (QTSS) 16384-16403 RTP et RTCP audio/vidéo iChat Port TCP Utilisé pour RéférenceChapitre 4 Service de coupe-feu IP 97 Autres sources d’informations Pour plus d’informations sur ipfw : Vous trouverez plus d’informations sur ipfw, l’outil qui contrôle le service de coupefeu IP, en accédant à sa page man. Cette dernière explique comment accéder à ses fonctionnalités et comment les mettre en place. Pour accéder à la page man, utilisez l’application Terminal pour taper : man ipfw Les documents RFC Les documents RFC (Request for Comments) offrent un aperçu d’un protocole ou service et présentent de manière détaillée comment le protocole doit se comporter. Si vous êtes administrateur serveur débutant, vous trouverez probablement certaines informations utiles dans les RFC. Si vous êtes administrateur serveur expérimenté, vous trouverez tous les détails techniques sur un protocole particulier dans le document RFC correspondant. La section RFC du site Web suivant contient plusieurs numéros RFC pour divers protocoles : www.ietf.org/rfc.html L’IANA (Internet Assigned Number Authority) maintient la liste des “ports célèbres”, c’est-à-dire des ports TCP et UDP qui ont été affectés par l’organisation pour les divers protocoles. Vous trouverez cette liste sur le site : www.iana.org/assignments/port-numbers Vous trouverez également de la documentation sur les adresses de multidiffusion importantes dans le document RFC le plus récent sur l’affectation de numéros, actuellement RFC 1700.5 99 5 Service NAT La traduction d’adresses de réseau (NAT) est parfois appelée masquage d’adresses IP. La traduction d’adresses de réseau est utilisée pour autoriser l’accès à Internet à plusieurs ordinateurs avec une seule adresse IP publique ou externe affectée. Il vous permet de créer un réseau privé qui accède à Internet via un routeur ou une passerelle NAT. Le routeur NAT reçoit tout le trafic provenant de votre réseau privé et mémorise les adresses internes qui ont effectué les requêtes. Lorsque le routeur NAT reçoit la réponse à la requête, il la fait suivre à l’ordinateur à partir duquel elle a été émise. Le trafic provenant d’Internet n’atteint donc aucun ordinateur situé derrière le routeur NAT, sauf si l’option de réexpédition de port est activée. Utilisation de la traduction d’adresses de réseau avec d’autres services réseau L’activation de la traduction d’adresses de réseau sur Mac OS X Server nécessite souvent un contrôle détaillé de DHCP, qui est donc configuré séparément dans Admin Serveur. Pour en savoir plus sur DHCP, reportez-vous au chapitre 2, “Service DHCP”, à la page 23. L’activation de NAT crée aussi automatiquement une règle de détournement de la configuration de coupe-feu. L’application Admin Serveur de Mac OS X Server permet d’activer et de désactiver le service NAT et le service de coupe-feu séparément. Mais, pour que le service NAT fonctionne, le service NAT et le service de coupe-feu doivent tous deux être activés. Cela est dû au fait qu’une composante essentielle de la traduction d’adresses de réseau est la règle de détournement de paquets. Cette règle est ajoutée au coupe-feu lors de l’activation du service NAT, mais le service de coupe-feu doit être activé pour que la règle de détournement de paquets, ou toute autre règle de coupefeu, puisse faire effet. Avertissement : le coupe-feu IP doit être activé pour que la traduction d’adresses de réseau fonctionne.100 Chapitre 5 Service NAT Vue d’ensemble de la configuration d’un réseau local avec traduction des adresses de réseau Pour configurer un segment de réseau en tant que réseau local avec traduction des adresses de réseau, il est nécessaire de réaliser plusieurs étapes. Chacune d’entre elles est nécessaire pour obtenir un réseau privé opérationnel derrière une passerelle NAT. Vous trouverez un exemple de configuration détaillé à la section “Liaison d’un réseau local à Internet via une adresse IP” à la page 106. La section qui suit fournit une vue d’ensemble élémentaire du processus de configuration. Étape 1 : Choisissez votre passerelle NAT et ses fonctions d’interface Il doit s’agir d’un ordinateur Mac OS X Server avec (au moins) deux interfaces réseau : une pour la connexion à Internet (le port WAN) et une autre pour la connexion au segment de réseau privé (le port LAN). Étape 2 : Décidez comment les clients du réseau local avec traduction d’adresses de réseau doivent obtenir leurs adresses IP Vous pouvez leur affecter vos propres adresses IP statiques au sein des plages approuvées pour les réseaux locaux privés ou faire affecter les adresses à votre place par la fonctionnalité DHCP de Mac OS X Server. Étape 3 : Configurez les réglages de réseau de la passerelle Affectez votre adresse IP publique au port WAN et l’adresse de la passerelle interne au port LAN. Étape 4 : Configurez les réglages relatifs à la traduction d’adresses de réseau Consultez la section “Configuration du service NAT” à la page 101. Étape 5 : Configurez les réglages relatifs à la réexpédition de port Consultez la section “Configuration de la réexpédition de port” à la page 103. Étape 6 : Démarrez le service NAT Consultez la section “Démarrage et arrêt du service NAT” à la page 101. Étape 7 : Démarrez le service de coupe-feu Pour que le service NAT fonctionne, le service NAT et le service de coupe-feu doivent tous deux être activés. Pour plus de détails, consultez la section “Démarrage et arrêt du service de coupe-feu” à la page 74. Étape 8 : Configurez et démarrez le service DHCP, si nécessaire Si les adresses des clients vont être affectées de manière dynamique, configurez DHCP et démarrez-le maintenant. Pour plus de détails, consultez le chapitre 2, “Service DHCP”.Chapitre 5 Service NAT 101 Démarrage et arrêt du service NAT Admin Serveur vous permet de démarrer et d’arrêter le service NAT sur votre interface réseau par défaut. Démarrer le service NAT ne démarre pas automatiquement DHCP sur l’interface NAT. L’adressage du réseau local doit donc être traité séparément. Démarrer le service NAT n’équivaut pas à configurer un segment de réseau en tant que réseau local avec traduction des adresses de réseau. Pour démarrer le service NAT : 1 Dans Admin Serveur, sélectionnez NAT dans la fenêtre Ordinateurs et services. 2 Cliquez sur Démarrer le service. Une fois le service lancé, l’option Arrêter le service devient disponible. Configuration du service NAT Admin Serveur vous permet d’indiquer l’interface réseau connectée à Internet ou à un autre réseau externe. Configurer le service NAT n’équivaut pas à configurer un segment de réseau en tant que réseau local avec traduction des adresses de réseau. Pour configurer le service NAT : 1 Dans Admin Serveur, sélectionnez NAT dans la fenêtre Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez “Transfert d’adresses IP et traduction d’adresse réseau”. 4 Choisissez l’interface réseau souhaitée dans le menu local “Connexion réseau à partager”. Cette interface doit correspondre à celle qui est connectée à Internet ou à un réseau externe. 5 Cliquer sur Enregistrer.102 Chapitre 5 Service NAT Création d’une passerelle sans traduction d’adresses de réseau Il arrive parfois que l’on doive utiliser un ordinateur en tant que passerelle entre différents segments de réseau, mais sans devoir traduire leurs adresses IP de la plage publique à la plage privée et inversement. On appelle cela le “transfert d’adresses IP”. Mac OS X Server gère le transfert d’adresses IP au travers de la section NAT d’Admin Serveur. Pour cette configuration, plusieurs configurations réseau sont possibles. Par exemple, un autre serveur peut traduire les adresses IP privées en adresses publiques à l’aide de la traduction d’adresses de réseau, mais votre passerelle Mac OS X Server peut router des informations entre différents sous-réseaux d’adresses privées. De la même manière, vous pouvez activer un coupe-feu entre les différents segments de votre propre réseau local. Toute condition qui vous amène à router du trafic réseau au travers du serveur sans masquer les adresses IP est une condition qui nécessite l’utilisation du transfert d’adresses IP. Les étapes de la création d’une passerelle pour le transfert d’adresses sont les mêmes que pour la création d’un réseau local avec traduction des adresses de réseau. Cela signifie que les ports réseau doivent être configurés sur leurs propres réglages et que le service de coupe-feu doit être activé pour que la passerelle fonctionne. Pour configurer une passerelle sans service NAT : 1 Dans Admin Serveur, sélectionnez NAT dans la fenêtre Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez “Transfert d’adresses IP uniquement”. 4 Cliquer sur Enregistrer.Chapitre 5 Service NAT 103 Configuration de la réexpédition de port Vous pouvez diriger le trafic entrant dans votre réseau NAT vers une adresse IP spécifique derrière la passerelle NAT. Cela vous permet de configurer des ordinateurs, sur le réseau interne, qui gèrent certaines connexions entrantes sans exposer les autres ordinateurs aux connexions extérieures. Par exemple, vous pouvez configurer un serveur Web derrière la traduction d’adresses de réseau et réexpédier toutes les demandes de connexion TCP entrantes sur le port 80 vers le serveur Web désigné. Vous ne pouvez pas réexpédier le même port vers plusieurs ordinateurs, mais vous pouvez réexpédier certains ports vers un ordinateur et d’autres vers un autre. Activer la réexpédition de port nécessite l’utilisation de Terminal et une certaine maîtrise de cette application ainsi qu’un accès administratif à des privilèges root via sudo. Vous allez devoir modifier une plist et le contenu de cette plist va être utilisé pour générer /etc/nat/natd.conf.apple, le fichier qui est transféré au démon NAT au démarrage de ce dernier. Ne tentez pas de modifier /etc/nat/natd.conf.apple directement. Si vous choisissez d’utiliser un éditeur de plist plutôt qu’un éditeur de texte pour ligne de commande, vous allez devoir adapter les instructions suivantes. Pour réexpédier le trafic du port : 1 Si le fichier /etc/natd.plist n’existe pas, faites une copie de la plist par défaut du démon NAT. sudo cp /etc/nat/natd.plist.default /etc/natd.plist 2 À l’aide d’un éditeur de Terminal, ajoutez un nouveau bloc de texte XML à /etc/ natd.plist avant les deux dernières lignes qui clôturent le fichier ( et ) Ajoutez ce bloc et remplacez les réglages en italique par les réglages souhaités : redirect_port proto TCP ou UDP targetIP adresse IP du LAN targetPortRange plage d’adresses IP du LAN aliasIP adresse IP du WAN aliasPortRange plage de ports du WAN 104 Chapitre 5 Service NAT 3 Enregistrez vos modifications. Les modifications apportées au fichier, à l’exception des réglages qu’Admin Serveur peut modifier et des commentaires, seront respectées par les outils de configuration du serveur (Admin Serveur, Assistant réglages de passerelle et serveradmin). 4 Configurez le service NAT dans Admin Serveur comme vous le souhaitez. Pour plus de détails, consultez la section “Configuration du service NAT” à la page 101. 5 Cliquer sur Enregistrer. Exemples de réexpédition du trafic du port Vous pouvez réexpédier un port unique ou un nombre quelconque de ports vers une adresse IP donnée. Les ports côté WAN ne doivent pas être identiques aux ports côté LAN, mais ils doivent correspondre. Par exemple, si vous réexpédiez 10 ports consécutifs côté WAN, vous devez les réexpédier vers 10 ports consécutifs côté LAN, mais il ne doit pas s’agir des 10 mêmes ports. Réexpédition d’un seul port Cet exemple montre les réglages permettant de réexpédier les connexions au port TCP 80 (service Web) à l’adresse WAN 17.128.128.128 vers le port TCP 80 (service Web) à l’adresse de réseau local privé 192.168.1.1. Le bloc de texte à ajouter au fichier /etc/ natd.plist file est le suivant : redirect_port proto TCP targetIP 192.168.1.1 targetPortRange 80 aliasIP 17.128.128.128 aliasPortRange 80 Chapitre 5 Service NAT 105 Réexpédition de plusieurs ports Cet exemple montre les réglages permettant de réexpédier les connexions aux ports TCP 600-1023 (NetInfo, plage complète) à l’adresse WAN 17.128.128.128 vers les ports correspondants à l’adresse de réseau local privé 192.168.1.1. Le bloc de texte à ajouter au fichier /etc/natd.plist file est le suivant : redirect_port proto TCP targetIP 192.168.1.1 targetPortRange 600-1023 aliasIP 17.128.128.128 aliasPortRange 600-1023 proto UDP targetIP 192.168.1.1 targetPortRange 600-1023 aliasIP 17.128.128.128 aliasPortRange 60-1023 Contrôle du service NAT Vous souhaitez peut-être surveiller votre service NAT à des fins de dépannage et de sécurisation. La présente section décrit la vue d’ensemble de l’état NAT et la surveillance de l’activité de détournement NAT. Affichage de la vue d’ensemble de l’état NAT La vue d’ensemble de l’état du NAT vous permet de savoir si le service fonctionne et combien de liens de protocoles sont actifs. Pour afficher la vue d’ensemble : 1 Dans Admin Serveur, choisissez Service NAT dans la liste Ordinateurs et services. 2 Cliquez sur le bouton Vue d’ensemble.106 Chapitre 5 Service NAT Tâches d’administration réseau courantes qui utilisent la traduction d’adresses de réseau La section qui suit décrit certaines tâches d’administration de réseau courantes qui utilisent le service NAT. Liaison d’un réseau local à Internet via une adresse IP La manière la plus simple de lier un réseau local traduction des adresses de réseau à Internet consiste à utiliser Assistant réglages de passerelle. Ce dernier va configurer automatiquement les groupes d’adresses IP dans le coupe-feu et créer la bonne règle de détournement de paquets. Si vous configurez un réseau avec traduction d’adresses de réseau au travers d’une passerelle pour la première fois, il est recommandé d’utiliser Assistant réglages de passerelle. Consultez la section “Connecter votre réseau à Internet” à la page 15 pour en savoir plus sur Assistant réglages de passerelle. Si vous ne souhaitez pas utiliser Assistant réglages de passerelle ou que vous disposez de réglages de passerelle que vous ne souhaitez pas écraser, vous pouvez configurer la traduction d’adresses de réseau et le coupe-feu IP manuellement. Pour ce faire, vous aurez besoin d’un serveur Mac OS X Server équipé de deux interfaces réseau, une pour la connexion à Internet et une autre pour la connexion à votre réseau privé. Cet exemple suppose l’existence de la configuration suivante : • Noms d’interface et fonctions Ethernet : Ethernet intégré (connecté à Internet), logement Ethernet PCI 1 (connecté au réseau interne) • Adresse IP Internet ou publique : 17.254.0.3 (à titre d’exemple uniquement, votre numéro IP sera fourni par votre FAI) • Adresse IP DNS Internet ou publique : 17.254.1.6 (à titre d’exemple uniquement, votre numéro IP sera fourni par votre FAI) • Plage d’adresses IP et masque de réseau du réseau privé : 192.168.0.2-192.168.0.254 (aussi exprimé sous la forme 192.168.0.0/24 ou 192.168.0.0:255.255.255.0) • Adresse IP du réseau privé du serveur : 192.168.0.1 • Réglages en matière d’adresses IP des clients du réseau local : configurez IPv4 pour l’utilisation de DHCP. Bien que cela ne soit pas absolument nécessaire (la traduction d’adresses de réseau peut être utilisée avec des adresses IP statiques plutôt qu’avec DHCP), cela permet une configuration aisée des ordinateurs clients.Chapitre 5 Service NAT 107 Pour configurer votre réseau local avec traduction des adresses de réseau : 1 Ouvrez la sous-fenêtre Réseau de Préférences Système sur le serveur de passerelle. 2 Dans l’écran Configuration des ports réseau actif, vérifiez que l’interface “Ethernet intégré” se trouve en tête de la liste des interfaces. Si ce n’est pas le cas, faites-la glisser en tête de la liste. Cela définit la passerelle par défaut dans la table de routage. La première interface de la liste est toujours configurée pour être hors d’Internet ou du WAN. 3 Vérifiez que l’adresse IP et les réglages pour “Ethernet intégré” sont les réglages relatifs à l’adresse publique fournie par votre FAI. Dans notre exemple, ce serait : • Adresse IP : 17.254.0.3 • Masque de réseau : 255.255.252.0 • DNS : 17.254.1.6 4 Vérifiez que l’adresse IP et les réglages pour “Logement Ethernet PCI 1” sont les réglages relatifs à votre adresse locale. Dans notre exemple, ce serait : • Adresse IP : 192.168.0.1 • Masque de réseau : 255.255.255.0 • DNS : 17.254.1.6 5 Cliquez sur Appliquer les modifications, si nécessaire. 6 Ouvrez Admin Serveur. 7 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 8 Dans Admin Serveur, créez un groupe d’adresses avec les paramètres de configuration suivants pour le réseau local interne : • Nom de sous-réseau : • Adresse IP de début : 192.168.0.2 • Adresse IP de fin : 192.168.0.254 • Masque de sous-réseau : 255.255.255.0 • Interface réseau : en1 • Routeur : 192.168.0.1 • Délai de bail : • DNS : 17.254.1.6 Pour des instructions détaillées sur la configuration de DHCP, consultez la section “Création de sous-réseaux” à la page 24. 9 Activez le service DHCP. 10 Dans Admin Serveur, choisissez NAT dans la liste Ordinateurs et services. 11 Configurez la traduction d’adresses de réseau à l’aide des réglages suivants : • Connexion réseau à partager : Ethernet intégré 12 Cliquez sur Enregistrer, si nécessaire. 13 Activez le service NAT.108 Chapitre 5 Service NAT 14 Dans Admin Serveur, choisissez Coupe-feu dans la liste Ordinateurs et services. 15 Activez le coupe-feu. 16 Créez des règles de coupe-feu pour autoriser l’accès à et à partir de votre réseau privé. Par exemple, créez un groupe d’adresses IP nommé “Réseau local privé” pour les adresses 192.168.0.0/24. Pour obtenir des instructions détaillées, consultez la section “Création d’un groupe d’adresses” à la page 74. 17 Activez tous les services auxquels vous souhaitez que le réseau local privé accède (Web, SSH, partage de fichiers, etc.) à l’aide du groupe “Réseau local privé”. Pour obtenir des instructions détaillées, consultez la section “Ouverture du coupe-feu pour les services standard” à la page 76. 18 Activez tous les services auxquels vous souhaitez qu’Internet accède sur votre réseau local privé (Web, SSH, partage de fichiers, etc.) à l’aide du groupe d’adresses “tout”. Pour obtenir des instructions détaillées, consultez la section “Ouverture du coupe-feu pour les services standard” à la page 76. 19 Cliquer sur Enregistrer. Configuration d’un tournoi de jeux en réseau La configuration d’un tournoi de jeux en réseau est essentiellement la même que “Liaison d’un réseau local à Internet via une adresse IP” Considérations spéciales : • Faites particulièrement attention à ouvrir les ports nécessaires pour jouer un jeu sur Internet. • Si le jeu ne doit être joué qu’au sein du réseau local, il n’est pas nécessaire d’ouvrir le coupe-feu aux ports de jeu. • Si vous avez des ordinateurs qui entrent dans le réseau local puis le quittent, il est préférable d’utiliser DHCP pour la configuration des adresses des clients.Chapitre 5 Service NAT 109 Configuration de serveurs virtuels Un serveur virtuel est un serveur de passerelle qui envoie des services derrière un mur NAT à des serveurs réels port par port. Par exemple, imaginons que vous avez une passerelle NAT à l’adresse 17.100.0.1 (domaine.exemple.com) qui pourrait être configurée pour réexpédier le trafic Web (port 80) vers 10.0.0.5 (port 80) derrière le coupe-feu et les demandes pour le trafic ssh (port 22) pourraient envoyer les paquets à 10.0.0.15 (port 22). Dans l’exemple ci-avant, en réalité le contenu Web n’est pas fourni par la passerelle NAT, mais par le serveur à l’adresse 10.0.0.5, mais cela est invisible pour les clients qui visitent le site Web. Vers Internet, vous n’avez qu’un seul serveur, mais derrière la barrière constituée par la traduction d’adresses de réseau, vous pouvez en avoir autant que vous le souhaitez. Cela peut être utilisé pour l’équilibrage de la charge en tant que schéma organisationnel pour la topographie du réseau. Les serveurs virtuels permettent également de réacheminer aisément du trafic réseau vers d’autres ordinateurs sur le réseau local simplement en reconfigurant la passerelle. Les serveurs virtuels requièrent la configuration de trois services : NAT, DNS et coupe-feu IP. Le service NAT doit être configuré avec la réexpédition de port du port virtuel souhaité. L’enregistrement DNS pour le serveur doit accepter quelques alias de services courants et les résoudre tous vers la même adresse IP. En fin, le coupe-feu doit autoriser le trafic sur certains ports dans le réseau local avec traduction des adresses de réseau. Dans cet exemple, nous allons configurer une passerelle NAT et faire pointer deux noms de domaine et services vers d’autres ordinateurs derrière le coupe-feu de la passerelle. Cet exemple suppose l’existence de la configuration suivante : • Noms d’interface et fonctions Ethernet : Ethernet intégré (connecté à Internet), logement Ethernet PCI 1 (connecté au réseau interne) • Adresse IP Internet ou publique : 17.100.0.1 (à titre d’exemple uniquement, votre numéro IP sera fourni par votre FAI) • Plage d’adresses IP et masque de réseau du réseau privé : 192.168.0.0-192.168.0.255 (aussi exprimé sous la forme 192.168.0.0/24 ou 192.168.0.0:255.255.255.0) • Adresse IP du réseau privé du serveur de la passerelle : 192.168.0.1 • Adresse IP du réseau privé du serveur Web : 192.168.0.2 • Adresse IP du réseau privé du serveur de courrier : 192.168.0.3 • Réglages en matière d’adresses IP du serveur Web et de messagerie : configurez IPv4 pour l’utilisation de DHCP. Bien que cela ne soit pas absolument nécessaire (la traduction d’adresses de réseau peut être utilisée avec des adresses IP statiques plutôt qu’avec DHCP), cela permet une configuration aisée des ordinateurs clients.110 Chapitre 5 Service NAT Pour configurer vos serveurs virtuels : 1 Ouvrez Admin Serveur. 2 Dans Admin Serveur, choisissez DHCP dans la liste Ordinateurs et services. 3 Dans Admin Serveur, créez un groupe d’adresses avec les paramètres de configuration suivants pour le réseau local interne : • Nom de sous-réseau : • Adresse IP de début : 192.168.0.2 • Adresse IP de fin : 192.168.0.254 • Masque de sous-réseau : 255.255.255.0 • Interface réseau : en1 • Routeur : 192.168.0.1 • Délai de bail : • DNS : • Mappage statique (Web) : mappée sur 192.168.0.2 • Mappage statique (messagerie) : mappée sur 192.168.0.3 Pour des instructions détaillées sur la configuration de DHCP, consultez les sections “Création de sous-réseaux” à la page 24 et “Affectation d’adresses IP statiques à l’aide de DHCP” à la page 31. 4 Activez le service DHCP. 5 Dans Admin Serveur, choisissez NAT dans la liste Ordinateurs et services. 6 Configurez la traduction d’adresses de réseau à l’aide des réglages suivants : • Connexion réseau à partager : Ethernet intégré • Réexpédition de port : port TCP 80 (Web) vers 192.168.0.2 • Réexpédition de port : port TCP 25 (messagerie) vers 192.168.0.3 7 Cliquer sur Enregistrer. 8 Activez le service NAT. 9 Dans Admin Serveur, choisissez Coupe-feu dans la liste Ordinateurs et services. 10 Activez le coupe-feu. 11 Créez des règles de coupe-feu pour autoriser l’accès à votre réseau privé. Pour obtenir des instructions détaillées, consultez la section “Création d’un groupe d’adresses” à la page 74. 12 Activez les deux services auxquels vous souhaitez qu’Internet accède sur votre réseau local privé (Web et messagerie SMTP) à l’aide du groupe d’adresses “tout”. Pour obtenir des instructions détaillées, consultez la section “Ouverture du coupe-feu pour les services standard” à la page 76. 13 Cliquer sur Enregistrer. 14 Ajoutez deux alias à l’enregistrement DNS de votre serveur de passerelle.Chapitre 5 Service NAT 111 Prenez contact avec votre fournisseur DNS (généralement le FAI) et demandez-lui d’ajouter un enregistrement “A” du nom de “www.exemple.com” pointant vers l’adresse IP 17.100.0.1. Demandez également un enregistrement MX du nom de “mail.exemple.com” pointant vers la même adresse IP. Ces enregistrements viennent en plus des enregistrements A et CNAME pour votre domaine. Maintenant, tout le trafic Web vers www.exemple.com va être réexpédié vers le serveur Internet à l’adresse 192.168.0.2 et le trafic de messagerie entrant vers mail.exemple.com va être réexpédié vers le serveur interne à l’adresse 192.168.0.3. Si vous souhaitez modifier les serveurs qui se trouvent derrière la traduction d’adresses de réseau (pour une mise à niveau matérielle, par exemple), il vous suffit de modifier adressage IP statique DHCP pour pointer vers les adresses Ethernet des nouveaux serveurs. Les adresses IP internes existantes vont être affectées aux nouveaux serveurs désignés pour le Web et la messagerie et la passerelle réexpédiera le trafic vers les nouveaux serveurs sans interruption. Autres sources d’informations Pour plus d’informations sur natd : Vous trouverez plus d’informations sur natd, le démon qui contrôle le service NAT, en accédant à sa page man. Cette dernière explique comment accéder à ses fonctionnalités et comment les implémenter. Pour accéder à la page man, utilisez l’application Terminal pour taper : man natd Documents RFC Les documents RFC (Request for Comments) offrent un aperçu d’un protocole ou service et présentent de manière détaillée comment le protocole doit se comporter. Si vous êtes administrateur serveur débutant, vous trouverez probablement certaines informations utiles dans les RFC. Si vous êtes administrateur serveur expérimenté, vous trouverez tous les détails techniques sur un protocole particulier dans le document RFC correspondant. Vous pouvez rechercher des documents RFC par numéro sur le site : www.ietf.org/rfc.html Pour des descriptions de la traduction d’adresses de réseau, consultez : • RFC 1631 • RFC 3022.6 113 6 Service VPN Un réseau privé virtuel (VPN) correspond à deux ou plusieurs ordinateurs ou réseaux (nœuds) connectés par un lien privé de données cryptées. Ce lien simule une connexion locale, comme si l’ordinateur distant était relié au réseau local (LAN). Les VPN permettent aux utilisateurs travaillant depuis leur domicile ou en dehors du réseau LAN de s’y connecter en toute sécurité à l’aide de n’importe quelle connexion réseau, comme Internet. Du point de vue de l’utilisateur, la connexion VPN apparaît comme un lien privé dédié. La technologie VPN permet également aux filiales d’une organisation de se connecter à Internet, tout en conservant des communications sécurisées. La connexion VPN via Internet joue le rôle d’un lien WAN (Wide Area Network) entre les sites. Les VPN présentent aussi de nombreux avantages pour les organisations dont les ressources d’ordinateurs sont physiquement séparées. Par exemple, chaque utilisateur ou nœud distant utilise les ressources réseau de son fournisseur d’accès à Internet (FAI) au lieu d’être relié directement, par câble, à l’emplacement principal. Les VPN permettent également aux utilisateurs de portables vérifiés d’accéder aux ressources d’ordinateurs privés (serveurs de fichiers, etc.) depuis n’importe quelle connexion Internet. Enfin, le VPN peut permettre de relier plusieurs réseaux LAN entre eux sur de grandes distances en utilisant l’infrastructure Internet existante. Ce chapitre explique la méthode d’authentification VPN, les protocoles de transport et les modes de configuration, de gestion et de contrôle du service VPN. Il ne contient pas d’instructions sur la configuration des clients VPN devant utiliser votre serveur VPN.114 Chapitre 6 Service VPN VPN et sécurité Les VPN assurent la confidentialité et l’inaltérabilité des données grâce à une authentification stricte de l’identité et au transport de données cryptées entre les nœuds. La section suivante contient des informations sur toutes les méthodes de transport et d’authentification gérées. Protocoles de transport Vous avez la possibilité d’activer l’un ou l’autre, ou les deux protocoles de transport crypté. Chacune d’elles possède ses propres avantages et ses exigences. Protocole L2TP/IPSec (Layer Two Tunnelling Protocol, Secure Internet Protocol) Le protocole L2TP/IPSec utilise un cryptage de sécurité IP (IPSec) fort pour la “tunnelisation” des données depuis et vers les nœuds réseau. Il est repose sur le protocole L2F de Cisco. IPSec requiert des certificats de sécurité émis par une autorité de certification telle que Verisign, ou un secret partagé prédéfini entre les nœuds connectés. Le secret partagé doit être saisi sur le serveur et sur un client. Il ne s’agit pas d’un mot de passe d’authentification et il ne génère pas des clés de cryptage afin d’établir des tunnels sécurisés entre les nœuds. Il s’agit d’un jeton qui permet aux systèmes de gestion de clés de se faire confiance mutuellement. L2TP est le protocole VPN préféré de Mac OS X Server à cause de son cryptage du transport supérieur et la possibilité de l’authentifier via Kerberos. Protocole PPTP (Point to Point Tunneling) PPTP est un protocole VPN courant ainsi que le protocole VPN standard de Windows. PPTP offre un bon cryptage (à condition que les mots de passe utilisés soient des mots de passe forts) et gère un certain nombre de schémas d’authentification. Il utilise le mot de passe fourni par l’utilisateur pour produire une clé de cryptage. Vous pouvez également autoriser un cryptage de sécurité 40 bits (faible) en plus du cryptage par défaut 128 bits (plus fort) si vos clients VPN en ont besoin. PPTP est nécessaire si vous disposez de vieux clients Windows ou de Mac OS X 10.2.x. Méthode d’authentification Le VPN L2TP de Mac OS X Server utilise soit Kerberos 5 soit Challenge Handshake Authentication Protocol version 2 de Microsoft (MS-CHAPv2) pour l’authentification. Le VPN PPTP de Mac OS X Server utilise MS-CHAPv2 uniquement pour l’authentification. Kerberos est un protocole d’authentification sécurisé qui dépend d’un serveur de distribution de clés Kerberos en tant que “tiers de confiance” pour authentifier un client auprès d’un serveur. L’authentification MS-CHAPv2 ne nécessite pas la même infrastructure d’authentification que Kerberos. Elle encode les mots de passe lorsqu’ils sont envoyés sur le réseau et les stocke sous une forme brouillée sur le serveur pour garantir un bon niveau de sécurité lors de la transmission réseau. Il s’agit également du système d’authentification standard de Windows pour les VPN.Chapitre 6 Service VPN 115 Le VPN PPTP de Mac OS X Server peut utiliser des méthodes d’authentification supplémentaires. Chacune d’elles possède ses propres avantages et ses exigences. Il n’est pas possible de choisir une autre méthode d’authentification pour PPTP à l’aide d’Admin Serveur. Si vous voulez configurer un système d’authentification différent de celui défini par défaut (pour utiliser par exemple le système d’authentification SecurID de RSA Security), il vous faudra modifier manuellement le fichier de configuration du VPN. Ce fichier de configuration se trouve dans : /Bibliothèque/Préférences/SystemConfiguration/com.apple.RemoteAccessServers.plist Pour plus de détails, consultez la section “Authentification SecurID avec un serveur VPN” à la page 122. Avant de configurer le service VPN Avant de configurer le service VPN (Virtual Private Network), vous devez choisir le protocole de transport à utiliser. Le tableau ci-dessous présente les protocoles gérés par les différentes plate-formes. Si vous utilisez le protocole L2TP, vous devez posséder un certificat de sécurité (émis par une autorité de certification ou auto-signé) ou un secret partagé prédéfini entre les nœuds connectés. Si vous optez pour le secret partagé, sachez qu’il doit également être sécurisé (au moins 8, mais idéalement 12 caractères alphanumériques avec ponctuation et sans espaces ou plus) et gardé secret par les utilisateurs. Si vous utilisez le protocole PPTP, vous devez vous assurer que tous vos clients gèrent les connexions PPTP 128 bits, pour une sécurité optimale du transport. Sachez qu’en activant une sécurité de transport 40 bits, vous vous exposez à des risques importants en matière de sécurité. Si vous avez des... vous pouvez utiliser L2TP/IPSec. vous pouvez utiliser PPTP. clients Mac OS X 10.4 et 10.3.x X X clients Mac OS X 10.2.x X clients Windows X (sous Windows XP) X clients Linux ou Unix X X116 Chapitre 6 Service VPN Configuration d’autres services réseau pour VPN L’activation de VPN sur Mac OS X Server nécessite un contrôle détaillé de DHCP. DHCP est configuré séparément dans Admin Serveur. Les adresses IP affectées aux clients VPN ne peuvent pas chevaucher les adresses affectées aux clients DHCP locaux. Pour en savoir plus sur DHCP, reportez-vous au chapitre 2, “Service DHCP”, à la page 23. L’activation de VPN nécessite également la configuration du coupe-feu IP. Le coupe-feu doit pouvoir acheminer du trafic réseau provenant d’adresses IP externes au travers du coupe-feu vers le réseau local. Cela peut se faire de la manière aussi ouverte ou fermée que vous le jugez nécessaire. Par exemple, si les clients VPN viennent d’une large plage d’adresses IP (vous avez un grand nombre d’utilisateurs et certains se connectent par plusieurs FAI différents), vous devrez peut-être ouvrir le groupe d’adresses de coupe-feu “tout” aux connexions VPN. Si vous souhaitez restreindre l’accès à une petite plage d’adresses IP, y compris des adresses IP statiques, vous pouvez créer un groupe d’adresses qui reflète cette plus petite plage et n’activer que le trafic VPN provenant de cette liste. Gestion du service VPN Cette section décrit les tâches associées à la gestion du service VPN. Ces tâches incluent le démarrage, l’arrêt et la configuration du service. Démarrage ou arrêt du service VPN Vous utilisez Admin Serveur pour démarrer ou arrêter le service VPN. Pour démarrer ou arrêter le service VPN : 1 Dans Admin Serveur, choisissez le service VPN dans la liste Ordinateurs et services. 2 Assurez-vous qu’au moins un protocole de transport est activé et configuré. 3 Cliquez sur Démarrer le service ou Arrêter le service. Lorsque le service est activé, le bouton Arrêter le service est disponible. Activation et configuration du protocole de transport L2TP Utilisez Admin Serveur pour désigner L2TP comme protocole de transport. En activant ce protocole, vous devez également configurer les réglages des connexions. Vous devez définir un secret partagé IPSec (sauf si vous n’utilisez pas de certificat de sécurité signé), la plage d’affectation d’adresses IP à fournir à vos clients et le groupe destiné à recevoir les privilèges VPN (si nécessaire). Si les protocoles L2TP et PPTP sont utilisés ensemble, chaque protocole doit disposer d’une plage d’adresses distincte et ces plages ne peuvent pas se chevaucher.Chapitre 6 Service VPN 117 Pour activer le protocole L2TP : 1 Dans Admin Serveur, choisissez le service VPN dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet L2TP. 4 Sélectionnez “Activer L2TP via IPsec”. 5 Définissez la première adresse IP de la plage d’affectation. 6 Définissez la dernière adresse IP de la plage d’affectation. 7 Choisissez un type d’authentification PPP. Si votre ordinateur est lié à un serveur d’authentification Kerberos, choisissez Kerberos sinon choisissez MS-CHAPv2. 8 Tapez le secret partagé ou sélectionnez le certificat à utiliser. 9 Cliquez sur Enregistrer. Activation et configuration du protocole de transport PPTP Utilisez Admin Serveur pour désigner PPTP comme protocole de transport. En activant ce protocole, vous devez également configurer les réglages des connexions. Vous devez indiquer la longueur de la clé de cryptage (40 bits en plus de 128 bits), la plage d’affectation des adresses IP à donner à vos clients et le groupe destiné à recevoir les privilèges VPN (si nécessaire). Si les protocoles L2TP et PPTP sont utilisés ensemble, chaque protocole doit disposer d’une plage d’adresses distincte et ces plages ne peuvent pas se chevaucher. Pour activer le protocole PPTP : 1 Dans Admin Serveur, choisissez le service VPN dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet PPTP. 4 Sélectionnez “Activer PPTP”. 5 Si vous le souhaitez, sélectionnez “Autoriser les clés de cryptage 40 bits” pour autoriser ces clés à être utilisées en plus des clés 128 bits. Avertissement : les clés de cryptage 40 bits sont bien moins sûres, mais il peut être nécessaire de les autoriser pour certaines applications clients VPN. 6 Définissez l’adresse de départ et les adresses IP de la plage d’affectation. 7 Cliquer sur Enregistrer.118 Chapitre 6 Service VPN Configuration de réglages réseau supplémentaires pour les clients VPN Lorsqu’un utilisateur se connecte à votre serveur via le service VPN, il reçoit une adresse IP tirée de votre plage d’adresses affectées. Cette plage n’est pas desservie par un serveur DHCP, vous allez donc devoir configurer des réglages réseau supplémentaires. Ces réglages incluent le masque de réseau, l’adresse du DNS et les domaines de recherche. Pour configurer des réglages réseau supplémentaires : 1 Dans Admin Serveur, choisissez le service VPN dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Informations sur les clients. 4 Saisissez l’adresse IP du serveur DNS. 5 Saisissez si nécessaire les domaines de recherche. 6 Cliquer sur Enregistrer. Configuration des définitions de routage réseau VPN Les définitions de routage réseau permettent de choisir entre le routage des données provenant des clients VPN vers un groupe d’adresses au travers du tunnel VPN (“privé”) et le routage par la connexion FAI de l’utilisateur VPN (“publique”). Vous pouvez par exemple décider que tout le trafic destiné à la plage d’adresses IP du réseau LAN passe par le tunnel sécurisé avant d’arriver au LAN, mais que le trafic en direction des autres adresses soit acheminé via la connexion Internet normale, non sécurisée, de l’utilisateur. Cela peut vous aider à mieux contrôler le trafic du tunnel VPN. Notes importantes sur les définitions de routage réseau VPN : • Si aucune définition de routage n’a été ajoutée, par défaut, tout le trafic est routé au travers de la connexion VPN. • Si des définitions de routage ont été ajoutées, la connexion VPN n’est plus définie comme route par défaut et tout le trafic destiné à des adresses qui ne sont pas spécifiquement déclarées en tant que route privée ne transitera pas par la connexion VPN. • Toutes les recherches DNS transitent à présent par la connexion VPN, quelles que soient les routes définies. • Les définitions ne sont pas classées dans l’ordre ; elles appliquent uniquement la description qui correspond le mieux au paquet acheminé.Chapitre 6 Service VPN 119 Exemple Imaginons que les adresses IP de votre réseau local sont toutes des adresses 17.x.x.x. Si vous ne faites pas de définitions de routage, le trafic réseau de tout client VPN (les requêtes d’URL du navigateur Web, les tâches d’impression de file d’attente d’impression LPR, la navigation sur les serveurs de fichiers) est routé de son ordinateur au travers du tunnel VPN au réseau local 17.x.x.x. Vous décidez maintenant de ne plus gérer tout le trafic vers des sites Web ou des serveurs de fichiers qui ne se trouvent pas sur réseau. Vous pouvez définir le trafic qui sera envoyé au réseau 17.x.x.x et celui qui transitera par la connexion Internet normale du client. Pour limiter le trafic que le tunnel gère, vous devez saisir une définition de routage désignant le trafic vers le réseau 17.x.x.x comme étant privé, ce qui le fera transiter par le tunnel. Dans la table de la définition de routage, tapez : 17.0.0.0 255.0.0.0 Privé Tout le trafic vers le réseau local est maintenant envoyé par la connexion VPN et, par défaut, toutes les autres adresses qui ne figurent pas dans la table des définitions sont envoyées par la connexion Internet non cryptée des utilisateurs. Vous vous rendez compte maintenant qu’il y a certaines adresses IP dans la plage 17.x.x.x auxquelles vous ne souhaitez pas que l’on accède par la connexion VPN. Vous voulez que le trafic transite par la connexion Internet de l’utilisateur plutôt que par le tunnel. Les adresses peuvent être devant le coupe-feu et ne pas être accessibles à partir du réseau 17.x.x.x. Par exemple, utilisons les adresses de la plage 17.100.100.x. Tapez une définition de routage supplémentaire comme suit : 17.100.100.0 255.255.255.0 Public Comme la définition d’adresse est plus spécifique que 17.x.x.x, cette règle prime sur la règle plus large, plus générale et le trafic destiné à toute adresse dans la plage 17.100.100.x est envoyé par la connexion Internet de l’utilisateur VPN. En résumé, si vous ajoutez des routes, les routes que vous spécifiez comme étant privées transitent par la connexion VPN alors que celles que vous déclarez publiques ne transitent pas par la connexion VPN. Toutes celles qui ne sont pas spécifiées ne transitent pas non plus par la connexion VPN.120 Chapitre 6 Service VPN Pour créer les définitions de routage : 1 Dans Admin Serveur, choisissez le service VPN dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Informations sur les clients. 4 Cliquez sur le bouton Ajouter sous la liste des définitions de routage. 5 Saisissez la plage d’adresses de destination des paquets à router en spécifiant : a une adresse de base (par exemple, 192.168.0.0) ; b un masque de réseau (par exemple, 255.255.0.0). 6 Sélectionnez la destination de routage dans le menu local. a Privé signifie un acheminement via le tunnel VPN. b Public signifie utiliser l’interface normale, sans tunnel. 7 Cliquez sur OK. 8 Cliquer sur Enregistrer. Limitation de l’accès VPN à certains utilisateurs ou groupes Par défaut, tous les utilisateurs sur le serveur ou dans le répertoire maître ont accès au VPN une fois qu’il est activé. Vous pouvez limiter l’accès au VPN à certains utilisateurs pour des raisons de sécurité ou pour simplifier l’administration. Vous pouvez également limiter l’accès au VPN à l’aide des listes de contrôle d’accès de Mac OS X Server. Les listes de contrôle d’accès (an anglais Access Control Lists ou ACL) sont une méthode permettant de définir individuellement l’accès aux services de certains utilisateurs ou groupes. Par exemple, vous pouvez utiliser une liste de contrôle d’accès pour n’autoriser l’accès à un serveur de fichiers ou à une connexion de shell qu’un seul utilisateur, sans autoriser tous les utilisateurs du serveur à y accéder. Pour limiter l’accès VPN par connexion à l’aide de listes de contrôle d’accès : 1 Dans Admin Serveur, sélectionnez le serveur sur lequel le service VPN fonctionne et l’utilisateur ou le groupe qui doit recevoir l’accès VPN. 2 Cliquer sur Accès. 3 Désélectionnez “Utiliser le même accès pour tous les services”. 4 Sélectionnez “Autoriser uniquement les utilisateurs et groupes ci-dessous”. 5 Cliquez sur le bouton Ajouter ( + ) pour afficher le tiroir Utilisateurs et groupes. 6 Faites glisser l’utilisateur ou le groupe souhaité dans la liste d’accès. 7 Cliquer sur Enregistrer.Chapitre 6 Service VPN 121 Limitation de l’accès VPN à certains adresses IP entrantes Par défaut, le coupe-feu IP bloque toutes les connexions VPN entrantes. Vous pouvez limiter l’accès au VPN à certaines adresses pour des raisons de sécurité ou pour simplifier l’administration. Vous pouvez également limiter l’accès au VPN en configurant le coupefeu IP de Mac OS X Server. Pour limiter l’accès VPN par adresse IP : 1 Dans Admin Serveur, choisissez Coupe-feu dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Règles avancées. 4 Cliquez sur le bouton Ajouter ( + ). 5 Sélectionnez “Autoriser” l’accès dans le menu local Action. 6 Choisissez un protocole dans le menu local Protocole. Si vous avez choisi L2TP comme accès VPN, choisissez UDP. Si vous avez choisi PPTP comme accès VPN, choisissez TDP. 7 Choisissez un type de service VPN dans le menu local : L2TP ou PPTP. Le port de destination approprié est ajouté automatiquement. 8 Si vous le souhaitez, choisissez de consigner les paquets qui répondent à cette règle de filtrage. 9 Saisissez la plage d’adresses IP source (avec notation CIDR) à laquelle vous souhaitez donner accès au VPN et laissez Autre sélectionné dans le menu local. Il s’agit des adresses IP pouvant se connecter au service VPN. 10 Dans le menu local, choisissez le groupe d’adresses qui a le serveur VPN comme destination du trafic filtré. Si vous ne souhaitez pas utiliser un groupe d’adresses existant, saisissez la plage d’adresses IP de destination (avec notation CIDR). 11 Choisissez l’interface réseau “In” pour lui appliquer cette règle. “Intérieur” fait référence à l’interface WAN désignée. 12 Cliquez sur OK. 13 Cliquez sur Enregistrer pour appliquer le filtre immédiatement.122 Chapitre 6 Service VPN Instructions de configuration supplémentaires La section qui suit contient des instructions pour quelques scénarios facultatifs supplémentaires. Ils nécessitent l’intégration à un système de service de répertoires existant ou des services d’authentification de tierce partie. Activer l’accès VPN PPTP pour les utilisateurs dans un domaine LDAP Dans Mac OS X 10.4, vous pouvez utiliser un outil à ligne de commande pour activer les connexions VPN PPTP pour les utilisateurs qui sont dans un domaine LDAP. Cela résout la situation dans laquelle les utilisateurs peuvent établir une connexion VPN via PPTP avec un serveur Mac OS X Server qui, une fois établie, n’est utilisée par aucun trafic réseau. Cela concerne Mac OS X Server 10.3 et 10.4. 1 Exécutez l’outil /usr/sbin/vpnaddkeyagentuser en tant que root avec le nom du nœud LDAP (le répertoire dans lequel les utilisateurs se trouvent) comme argument. Par exemple, si le serveur sur lequel le service VPN fonctionne est également le maître LDAP, tapez la commande suivante dans Terminal : sudo /usr/sbin/vpnaddkeyagentuser /LDAPv3/127.0.0.1 Si le serveur sur lequel le service VPN fonctionne n’est pas le maître LDAP et que le répertoire LDAP se trouve sur un autre ordinateur, utilisez l’adresse IP du serveur LDAP dans la commande. Par exemple, si le serveur LDAP est à l’adresse 17.221.67.87, tapez la commande suivante dans Terminal : sudo /usr/sbin/vpnaddkeyagentuser /LDAPv3/17.221.67.87 2 L’outil vous invite à tapez le nom d’utilisateur et le mot de passe. a Si le serveur VPN est le maître LDAP, tapez le nom et le mot de passe de l’administrateur du serveur. b Si le répertoire LDAP se trouve sur un autre serveur, tapez le nom et le mot de passe de l’administrateur du serveur qui héberge le répertoire LDAP (ou le nom et le mot de passe de l’administrateur qui est utilisé pour ajouter des utilisateurs au répertoire LDAP dans Gestionnaire de groupe de travail). L’outil va ajouter un utilisateur au répertoire LDAP et configurer des éléments de configuration supplémentaires dans le serveur VPN afin qu’il gère le protocole PPTP. 3 Configurez PPTP dans le panneau Réglages du service VPN d’Admin Serveur. 4 Démarrez le service VPN. Authentification SecurID avec un serveur VPN RSA Security permet une authentification forte grâce à leur offre de produits. Ils utilisent des jetons matériels et logiciels pour vérifier l’identité d’utilisateurs. L’authentification SecurID est disponible pour les transports L2TP et PPTP. Pour obtenir des détails et l’offre des produits, consultez : www.rsasecurity.comChapitre 6 Service VPN 123 Le service VPN de Mac OS X Server permet l’authentification SecurID, mais cette dernière ne peut pas être configurée à l’aide de l’application Admin Serveur. Vous pouvez utiliser Admin Serveur pour configurer des services VPN standard, mais Admin Serveur n’a pas d’interface pour choisir une méthode d’authentification. Si vous devez désigner un schéma d’authentification autre que celui défini par défaut (SecurID de RSA Security, par exemple), il vous faut modifier manuellement la configuration VPN manuellement. Configuration pour SecurID 1 Pour configurer l’authentification SecurID de RSA Security, vous devez d’abord copier le fichier sdconf.rec de votre serveur SecurID dans un nouveau répertoire nommé /var/ace sur votre serveur Mac OS X Server. Il y plusieurs manière de la faire. Les étapes qui suivent illustrent une des méthodes : a Sur votre serveur, ouvrez Terminal (/Applications/Utilitaires/). b Tapez sudo mkdir /var/ace, puis appuyez sur Retour. c Tapez votre mot de passe d’administrateur, puis appuyez sur Retour. d Cliquez sur l’icône du Finder dans le Dock. e Dans le menu Aller, choisissez Aller au dossier. f Tapez : /var/ace g Cliquer sur Aller. h Copiez le fichier sdconf.rec de votre serveur SecurID dans le dossier “ace”. i Une zone de dialogue indiquant que le dossier “ace” ne peut pas être modifié apparaît. Cliquez sur le bouton Authentifier pour autoriser la copie. 2 Configurez ensuite le service VPN sur votre serveur Mac OS X Server pour activer l’authentification EAP-SecurID pour les protocoles avec lesquels vous souhaitez l’utiliser. Pour l’utiliser avec PPTP, exécutez les deux commandes suivantes dans Terminal (chacune ne fait qu’une ligne) : # sudo serveradmin settings vpn:Servers:com.apple.ppp.pptp:PPP:AuthenticatorEAPPlugins:_array_index : 0 = "EAP-RSA" # sudo serveradmin settings vpn:Servers:com.apple.ppp.pptp:PPP:AuthenticatorProtocol:_array_index:0 = "EAP" Pour l’utiliser avec L2TP, exécutez les deux commandes suivantes dans Terminal : # sudo serveradmin settings vpn:Servers:com.apple.ppp.l2tp:PPP:AuthenticatorEAPPlugins:_array_index : 0 = "EAP-RSA" # sudo serveradmin settings vpn:Servers:com.apple.ppp.l2tp:PPP:AuthenticatorProtocol:_array_index:0 = "EAP" C’est tout ce qu’il faut faire pour configurer SecurID. Le reste de la configuration du service VPN de Mac OS X Server peut se faire à l’aide de l’application Admin Serveur.124 Chapitre 6 Service VPN Contrôle du service VPN Cette section décrit les tâches associées au contrôle d’un service VPN en cours de fonctionnement. Cela comprend l’accès aux rapports d’état, le réglage des options de consignation, l’affichage des historiques et le contrôle des connexions. Affichage de la vue d’ensemble de l’état du VPN La vue d’ensemble VPN vous fournit un bref rapport d’état sur vos services VPN actifs. Elle vous indique le nombre de clients L2TP et PPTP connectés, la méthode d’authentification sélectionnée et l’heure de démarrage du service. Pour afficher la vue d’ensemble : 1 Dans Admin Serveur, choisissez le service VPN dans la liste Ordinateurs et services. 2 Cliquez sur le bouton Vue d’ensemble. Configuration du niveau de détail de l’historique du service VPN Vous pouvez choisir le niveau de détail de l’historique du service VPN. • La consignation non prolixe ne consigne que les cas nécessitant une action immédiate (par exemple, si le service VPN ne démarre pas). • La consignation maximale enregistre toute l’activité du service VPN, y compris les fonctions de routine. La consignation non prolixe est activée par défaut. Pour définir le niveau de détail de l’historique VPN : 1 Dans Admin Serveur, choisissez le service VPN dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Consignation. 4 Sélectionnez Maximale pour activer la consignation maximale, si vous le souhaitez. 5 Cliquer sur Enregistrer. Affichage de l’historique du VPN Vous allez devoir contrôler les historiques VPN pour garantir le bon fonctionnement de votre réseau privé virtuel. Les historiques VPN peuvent vous aider à résoudre les problèmes. L’historique affiche le contenu du fichier /var/log/ppp/vpnd.log. Vous pouvez encore restreindre les règles à l’aide du champ de filtrage de texte. Pour afficher l’historique : 1 Dans Admin Serveur, choisissez le service VPN dans la liste Ordinateurs et services. 2 Cliquez sur Historiques.Chapitre 6 Service VPN 125 Affichage des connexions client VPN Vous pouvez contrôler les connexions client VPN pour garantir un accès sécurisé au réseau privé virtuel (VPN). L’écran des connexions client vous permet de voir l’utilisateur qui est connecté, l’adresse IP à partir de laquelle il s’est connecté, l’adresse IP affectée par votre réseau, ainsi que le type et la durée de la connexion. Vous pouvez trier la liste en cliquant sur les en-têtes de colonne. Pour afficher les connexions client : 1 Dans Admin Serveur, choisissez le service VPN dans la liste Ordinateurs et services. 2 Cliquez sur Connexions. Tâches d’administration réseau courantes qui utilisent le VPN La section qui suit décrit certaines tâches d’administration de réseau courantes qui utilisent le service VPN. Liaison d’un ordinateur d’un réseau local avec un réseau distant VPN permet de lier un ordinateur à un réseau distant et d’y accéder comme s’il était connecté physiquement au réseau local. Cet exemple utilise les informations suivantes : • L’utilisateur peut s’authentifier à l’aide d’un nom et d’un mot de passe. • Type de VPN souhaité : L2TP • Secret partagé : prDwkj49fd!254 • Adresse IP Internet ou publique de la passerelle VPN : passerelle.exemple.com • Plage d’adresses IP et masque de réseau du réseau privé : 192.168.0.0-192.168.0.255 (aussi exprimé sous la forme 192.168.0.0/24 ou 192.168.0.0:255.255.255.0) • Adresses de début et de fin DHCP : 192.168.0.3–192.168.0.127 • Adresse IP DNS du réseau privé : 192.168.0.2 Le résultat de cette configuration est un client VPN capable de se connecter à un réseau local distant via L2TP et avec un accès complet au réseau local.126 Chapitre 6 Service VPN Étape 1 : Configuration du VPN 1 Dans Admin Serveur, choisissez le service VPN dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Général. 4 Sélectionnez L2TP. 5 Tapez le secret partagé (prDwkj49fd!254). Le secret partagé est un mot de passe commun qui authentifie les membres du cluster. IPSec utilise le secret partagé en tant que clé prépartagée pour établir des tunnels sécurisés entre les nœuds du cluster. 6 Définissez la première adresse IP de la plage d’affectation VPN. Cette dernière ne peut pas chevaucher la plage d’affectation DHCP, donc tapez 192.168.0.128 7 Définissez la dernière adresse IP de la plage d’affectation VPN. Cette dernière ne peut pas chevaucher la plage d’affectation DHCP, donc tapez 192.168.0.255 8 Laissez le champ pour le groupe vide pour que tous les groupes de travail aient accès à la connexion VPN. 9 Cliquer sur Enregistrer. 10 Sélectionnez l’onglet Informations sur les clients. 11 Saisissez l’adresse IP du serveur DNS du réseau local (192.168.0.2). 12 Laissez les définitions de routage vides. Tout le trafic provenant du client transitera par le tunnel VPN. 13 Cliquer sur Enregistrer. 14 Démarrez le service VPN. Étape 2 : Configuration du coupe-feu IP 1 Créez un groupe d’adresses pour la plage d’affectation VPN. Pour plus de détails, consultez la section “Création d’un groupe d’adresses” à la page 74. 2 Ouvrez le coupe-feu aux connexions VPN externes en activant les connexions L2TP dans le groupe d’adresses “tout”. Pour plus de détails, consultez la section “Ouverture du coupe-feu pour les services standard” à la page 76. 3 Configurez le coupe-feu pour le groupe d’adresses VPN en autorisant ou refusant des ports et des services comme vous le souhaitez. 4 Enregistrez vos modifications, puis démarrez ou redémarrez le coupe-feu.Chapitre 6 Service VPN 127 Étape 3 : Configuration du client Le client de cet exemple est un client Mac OS X qui utilise Connexion à Internet. 1 Ouvrez Connexion à Internet. 2 Choisissez Fichier > Nouvelle connexion VPN. 3 Sélectionnez L2TP via IPSec. 4 Sélectionnez “Modifier les configurations” dans le menu local Configuration. 5 Saisissez les informations de configuration suivantes : a Nom du serveur : passerelle.exemple.com b Nom du compte : c Authentification : utilisez Mot de passe d Secret partagé : prDwkj49fd!254 6 Cliquez sur OK. L’utilisateur peut désormais se connecter. Accès à un élément de parc informatique situé derrière le coupe-feu du réseau distant Accéder à un élément de parc informatique situé derrière un coupe-feu, ce n’est pas la même chose qu’autoriser un client à devenir un nœud sur le réseau distant. Dans l’exemple précédent, l’ordinateur de l’utilisateur VPN devient un participant à part entière dans le réseau local distant. Dans ce nouveau scénario, l’élément de parc informatique auquel il s’agit d’accéder est uniquement un serveur de fichiers, l’ordinateur de l’utilisateur VPN n’ayant pas d’autre contact avec le réseau local distant. Ce scénario tient compte de toutes les informations de la section “Liaison d’un ordinateur d’un réseau local avec un réseau distant” à la page 125 et y ajoute les informations suivantes : • Adresse IP du serveur de fichiers : 192.168.0.15 • Type du serveur de fichiers : partage de fichiers Apple Pour ce scénario, suivez toutes les instructions qui figurent dans la section “Liaison d’un ordinateur d’un réseau local avec un réseau distant” à la page 125, à l’exception des instructions suivantes : m À l’étape 1, partie 12, ne laissez pas les définitions de routage vides. Créez une route privée avec le numéro IP du serveur de fichiers (192.168.0.15 255.255.255.255) m À l’étape 2, partie 3, configurez le coupe-feu pour n’accepter que les connexions Apple File Sharing Protocol et DNS provenant du groupe d’adresses VPN. Les utilisateurs VPN qui sont maintenant connectés au travers de la passerelle VPN auront accès au serveur de fichiers alors qu’aucun autre trafic réseau ne transitera par la passerelle cryptée.128 Chapitre 6 Service VPN Liaison de deux sites réseau distants ou plus VPN ne permet pas seulement de relier un ordinateur à un réseau principal, mais aussi à un réseau supplémentaire. Cela permet aux deux réseaux d’interagir comme s’ils étaient connectés l’un à l’autre physiquement. Chaque site doit disposer de sa propre connexion à Internet, mais les données privées transitent entre les deux sites sous une forme cryptée. On utilise souvent cette fonctionnalité pour relier des bureaux satellites au réseau local du siège d’une organisation. À propos de l’outil d’administration VPN de site à site Pour relier plusieurs réseaux locaux distants à un réseau local principal, il faut utiliser un utilitaire à ligne de commande installé sur Mac OS X Server appelé s2svpnadmin (pour l’anglais “site-to-site VPN admin”). Pour utiliser s2svpnadmin, il faut disposer de Terminal, être familiarisé avec ce dernier et disposer d’un accès administratif aux privilèges de root à l’aide de sudo. Pour en savoir plus sur s2svpnadmin, consultez sa page man en tapant : man s2svpnadmin Pour relier plusieurs réseaux locaux distants à un réseau local principal, il faut également créer un certificat de sécurité. L’outil s2svpnadmin peut créer des liens à l’aide soit de l’authentification par secret partagé (les deux sites ont un mot de passe dans leur fichier de configuration) soit de l’authentification par certificat. Pour utiliser l’authentification par certificat, vous devez créer le certificat avant d’exécuter s2svpnadmin. Les connexions VPN de site à site ne peuvent être réalisées qu’à l’aide de connexions VPN L2TP/IPSec. Vous ne pourrez pas relier deux sites à l’aide de PPTP et de ces instructions. Cet exemple utilise les informations suivantes : • Type de VPN souhaité : L2TP • Authentification par secret partagé. • Secret partagé : prDwkj49fd!254 • Adresse IP Internet ou publique de la passerelle du réseau local principal VPN (du “site 1”) : A.B.C.D • Adresse IP Internet ou publique de la passerelle du réseau local distant VPN (du “site 2”) : W.X.Y.Z • Adresse IP privée de Site 1 : 192.168.0.1 • Adresse IP privée de Site 2 : 192.168.20.1 • Plage d’adresses IP et masque de réseau du réseau local privé de Site 1 : 192.168.0.0- 192.168.0.255 (aussi exprimé sous la forme 192.168.0.0/24 ou 192.168.0.0:255.255.0.0) • Plage d’adresses IP et masque de réseau du réseau local privé de Site 2 : 192.168.20.0- 192.168.20.255 (aussi exprimé sous la forme 192.168.20.0/16 ou 192.168.0.0:255.255.0.0) • Adresse IP DNS de l’organisation : 192.168.0.2 Le résultat de cette configuration est un réseau local distant auxiliaire connecté à un réseau local principal par L2TP.Chapitre 6 Service VPN 129 Étape 1 : Exécutez s2svpnadmin sur les passerelles des deux sites 1 Dans Terminal, démarrez s2svpnadmin en tapant : sudo s2svpnadmin 2 Tapez le nombre approprié dans le champ “Configurer un nouveau serveur de site à site”. 3 Tapez un nom identifiant la configuration (pas d’espaces). Dans notre exemple, tapez “site_1” sur la passerelle de Site 1 et ainsi de suite. 4 Tapez l’adresse IP publique de la passerelle. Dans notre exemple, tapez A.B.C.D sur la passerelle de Site 1 et W.X.Y.Z sur la passerelle de Site 2. 5 Tapez l’adresse IP publique de l’autre site. Dans notre exemple, tapez W.X.Y.Z sur la passerelle de Site 1 et A.B.C.D sur la passerelle de Site 2. 6 Tapez “s” pour l’authentification par secret partagé, puis tapez le secret partagé : (“prDwkj49fd!254”). Si vous utilisez l’authentification par certificat, tapez “c”, puis choisissez le certificat installé à utiliser. 7 Saisissez au moins une politique d’adressage pour la configuration. 8 Saisissez une adresse de sous-réseau local (par exemple, 192.168.0.0 pour Site 1 et 192.168.20.0 pour Site 2). 9 Saisissez les bits de préfixe pour la plage d’adresses avec la notation CIDR. Dans notre exemple, la notation CIDR pour la plage du sous-réseau est 192.168.2.0/16 pour Site 1, vous devez donc entrer “16.” 10 Saisissez une adresse de sous-réseau distant (par exemple, 192.168.20.0 pour Site 1 et 192.168.0.0 pour Site 2). 11 Saisissez les bits de préfixe pour la plage d’adresses avec la notation CIDR. Dans notre exemple, la notation CIDR pour la plage du sous-réseau est 192.168.2.0/16 pour Site 1, vous devez donc entrer “16.” 12 Pour créer d’autres politiques, indiquez-le maintenant, sinon, appuyez sur Retour. Si vous avez d’autres sites à connecter ou une configuration d’adresses plus complexe (par exemple, si vous ne deviez relier que certaines parties de votre réseau local principal au réseau local distant), créez dès à présent les autres politiques pour cette configuration. Répétez les étapes relatives à la politique précédentes pour chacune des nouvelles politiques.130 Chapitre 6 Service VPN 13 Activez la configuration du site en appuyant sur “y”. Vous pouvez vérifier vos réglages en affichant les détails de la configuration du serveur, puis en saisissant le nom de la configuration (dans notre exemple, “site_1”). 14 Quittez s2svpnadmin. Étape 2 : Configuration du coupe-feu sur les passerelles des deux sites 1 Créez un groupe d’adresses ne contenant que l’adresse IP publique de la passerelle du réseau local. Dans notre exemple, utilisez A.B.C.D/32 pour Site 1 et W.X.Y.Z/32 pour Site 2. Pour plus de détails, consultez la section “Création d’un groupe d’adresses” à la page 74. 2 Ouvrez le coupe-feu aux connexions VPN externes en activant les connexions L2TP dans le groupe d’adresses “tout”. Pour plus de détails, consultez la section “Ouverture du coupe-feu pour les services standard” à la page 76. 3 Créez les règles de filtrage IP avancées suivantes sur les passerelles des deux sites : Règle 1 Action : Autoriser Protocole : UDP Adresse source : A.B.C.D Adresse de destination : W.X.Y.Z Interface : Autre, tapez “isakmp” Règle 2 Action : Autoriser Protocole : UDP Adresse source : W.X.Y.Z Adresse de destination : A.B.C.D Interface : Autre, tapez “isakmp” Règle 3 Action : Autoriser Protocole : Autre, tapez “esp” Adresse source : A.B.C.D Adresse de destination : W.X.Y.ZChapitre 6 Service VPN 131 Règle 4 Action : Autoriser Protocole : Autre, tapez “esp” Adresse source : W.X.Y.Z Adresse de destination : A.B.C.D Règle 5 Action : Autoriser Protocole : Autre, tapez “ipencap” Adresse source : A.B.C.D Adresse de destination : W.X.Y.Z Règle 6 Action : Autoriser Protocole : Autre, tapez “ipencap” Adresse source : W.X.Y.Z Adresse de destination : A.B.C.D Pour en savoir plus sur la création de règles avancées, consultez la section “Création d’une règle de coupe-feu IP avancée” à la page 78. 4 Ces règles permettent au trafic crypté de transiter jusqu’aux deux hôtes. 5 Enregistrez vos modifications et (re)démarrez le coupe-feu. Étape 3 : Démarrage du service VPN sur les passerelles des deux sites 1 Pour les deux passerelles VPN, dans Admin Serveur, choisissez Service VPN dans la liste Ordinateurs et services. Si vous avez utilisé s2svpnadmin correctement, le bouton Démarrer le service doit être activé et prêt à l’emploi. 2 Cliquez sur Démarrer le service. Vous devriez maintenant pouvoir accéder à un ordinateur sur le réseau local distant à partir du réseau local. Vous pouvez utiliser ping ou tout autre moyen pour vérifier le lien.132 Chapitre 6 Service VPN Autres sources d’informations Pour plus d’informations sur le protocole L2TP/IPSec : L’IETF (Internet Engineering Task Force) travaille à la création de normes standard formelles pour le système d’authentification d’utilisateur L2TP/IPsec. Pour en savoir plus, consultez le site Web suivant : www.ietf.org/ids.by.wg/ipsec.html. Documents RFC Les documents RFC (Request for Comments) offrent un aperçu d’un protocole ou service et présentent de manière détaillée comment le protocole doit se comporter. Si vous êtes administrateur serveur débutant, vous trouverez probablement certaines informations utiles dans les RFC. Si vous êtes administrateur serveur expérimenté, vous trouverez tous les détails techniques sur un protocole particulier dans le document RFC correspondant. Vous pouvez rechercher les documents RFC par numéro sur le site Web www.ietf.org/rfc.html. • Pour une description du protocole L2TP, consultez le document RFC 2661. • Pour une description du protocole PPTP, consultez le document RFC 2637. • Pour Kerberos 5, consultez le document RFC 1510.7 133 7 Service NTP Le protocole NTP (Network Time Protocol) est un protocole réseau utilisé pour synchroniser les horloges des ordinateurs de votre réseau sur l’heure d’une horloge de référence. Le protocole NTP est utilisé pour garantir que tous les ordinateurs du réseau affichent la même heure. Si un réseau isolé, voire un seul ordinateur, fonctionne avec la mauvaise heure, les services utilisant l’horodatage (comme le service de courrier ou le service Web utilisant des cookies horodatés) enverront des dates et des heures erronées et ne seront donc plus synchronisés avec les autres ordinateurs sur Internet. Par exemple, un message électronique pourrait arriver plusieurs minutes ou années avant son envoi (d’après l’horodatage) et la réponse à ce message pourrait arriver avant que l’original n’ait été envoyé. Fonctionnement du service NTP NTP utilise le temps universel coordonné UTC, (Universal Time Coordinated) comme heure de référence. L’heure universelle se fonde sur une résonance atomique, c’est pourquoi les horloges qui affichent l’heure universelle sont souvent appelées “horloges atomiques”. Les serveurs NTP faisant autorité sur l’ensemble d’Internet (on les appelle des serveurs d’horloge de strate 1) conservent l’heure UTC courante. D’autres serveurs subordonnés (appelés serveurs d’horloge de strate 2 et 3) interrogent régulièrement les serveurs de la strate 1 et évaluent le temps qu’il a fallu pour envoyer et recevoir la requête. Ils combinent ensuite cette estimation avec le résultat de la requête pour synchroniser l’heure des serveurs d’horloge des strates 2 et 3. La précision des estimations est de l’ordre de la nanoseconde. Votre réseau local peut alors synchroniser son horloge sur les serveurs de strate 3. Le processus se répète ainsi de suite. Un ordinateur client NTP de votre réseau prend pour référence l’heure UTC et la convertit en heure locale d’après ses propres réglages de fuseau horaire et règle son horloge interne en conséquence.134 Chapitre 7 Service NTP Utilisation du service NTP sur votre réseau Mac OS X Server peut servir non seulement de client NTP, recevant l’heure officielle d’un serveur de temps sur Internet, mais aussi de serveur de temps de référence pour un réseau. Vos clients locaux peuvent interroger votre serveur pour synchroniser leur horloge. Si vous définissez votre serveur pour qu’il réponde aux requêtes de temps, il est conseillé de le configurer également pour qu’il se synchronise sur un serveur de référence sur Internet. Configuration du service NTP Si vous choisissez d’exécuter le service NTP sur votre réseau, assurez-vous que votre serveur désigné peut accéder à un serveur de temps de référence plus élevé. Apple fournit un serveur de temps de strate 2 à ses clients sur le site time.apple.com. En outre, vous devez vous assurer que votre coupe-feu autorise les requêtes NTP vers un serveur de temps de référence sur le port UDP 123, ainsi que les requêtes entrantes provenant des clients locaux sur le même port. Pour plus d’informations sur la configuration de votre coupe-feu, consultez le chapitre 4, “Service de coupe-feu IP”, à la page 65. Pour configurer le service NTP : 1 Ouvrez Admin Serveur. 2 Assurez-vous que votre serveur est bien configuré pour “Régler automatiquement la date et l’heure”. Ce réglage s’effectue dans la sous-fenêtre Date et heure de la sous-fenêtre des réglages d’Admin Serveur pour le serveur. 3 Sélectionnez le serveur que vous souhaitez utiliser comme serveur d’horloge. 4 Cliquez sur Réglages. 5 Sélectionnez l’onglet Général. 6 Sélectionnez Activer NTP. 7 Cliquer sur Enregistrer.Chapitre 7 Service NTP 135 Configuration de NTP sur des clients Si vous avez configuré un serveur de temps local, vous pouvez configurer vos clients pour qu’ils interrogent ce serveur de temps afin d’obtenir la date et l’heure du réseau. Par défaut, les clients peuvent se synchroniser sur le serveur de temps Apple. Ces instructions vous permettent de configurer vos ordinateurs clients pour qu’ils interrogent votre serveur de temps. Pour configurer le service NTP sur vos ordinateurs clients : 1 Ouvrez les Préférences Système. 2 Cliquez sur Date et heure. 3 Sélectionnez “Régler automatiquement la date et l’heure”. 4 Sélectionnez et supprimez le texte qui se trouve dans le champ au lieu d’utiliser le menu local. 5 Saisissez le nom d’hôte de votre serveur de temps. Le nom d’hôte peut correspondre à un nom de domaine (tel que “temps.exemple.com”) ou à une adresse IP. 6 Quittez Préférences Système. Autres sources d’informations Vous trouverez le groupe de travail, la documentation et une FAQ concernant le service NTP sur le site Web suivant : www.ntp.org Vous trouverez des listes de serveurs NTP accessibles publiquement et leurs politiques d’utilisation sur le site Web suivant : www.eecis.udel.edu/~mills/ntp/servers.html Les documents RFC Les documents RFC (Request for Comments) offrent un aperçu d’un protocole ou service et présentent de manière détaillée comment le protocole doit se comporter. Si vous êtes administrateur serveur débutant, vous trouverez probablement certaines informations utiles dans les RFC. Si vous êtes administrateur serveur expérimenté, vous trouverez tous les détails techniques sur un protocole particulier dans le document RFC correspondant. Vous pouvez rechercher des documents RFC par numéro sur le site suivant : www.ietf.org/rfc.html La spécification officielle de la version 3 du service NTP se trouve dans le document RFC 1305.8 137 8 Prise en charge des réseaux locaux virtuels Comprendre les réseaux locaux virtuels Mac OS X Server gère les réseaux locaux virtuels (en anglais, Virtual Local Area Network ou VLAN) à la norme 802.1q sur les ports Ethernet et sur les cartes Ethernet Gigabit PCI secondaires disponibles en option pour les serveurs Xserve ou livrées avec ces derniers. Les réseaux locaux virtuels permettent à plusieurs ordinateurs situés sur des réseaux locaux physiques différents de communiquer entre eux comme s’ils se trouvaient sur le même réseau local. Parmi leurs avantages, citons une utilisation plus efficace de la bande passante réseau et une meilleure sécurité car le trafic de diffusion ou de multidiffusion n’est envoyé qu’aux ordinateurs qui se trouvent sur le segment de réseau commun. La prise en charge de VLAN par les serveurs Xserve G5 est conforme à la norme IEEE 802.1q. Configuration de l’adhésion des clients à un réseau local virtuel Vous pouvez utiliser la zone VLAN de la sous-fenêtre Réseau des Préférences Système pour configurer et gérer des réseaux locaux virtuels. Il est important de s’assurer que les ports auxquels sont connectés des périphériques non VLAN (c’est-à-dire non conformes à la norme 802.1Q) sont configurés pour transmettre des trames non balisées. De nombreuses cartes Ethernet ne sont pas conformes à la norme 802.1Q. Si elles reçoivent une trame balisée, elles ne comprennent pas la balise VLAN et abandonnent la trame. Remarque : cette partie de la sous-fenêtre Réseau n’est visible que si votre matériel, comme, par exemple, un système Xserve G5, prend en charge cette fonctionnalité.138 Chapitre 8 Prise en charge des réseaux locaux virtuels Pour configurer un réseau local virtuel : 1 Connectez-vous à votre serveur en tant qu’administrateur. 2 Ouvrez la sous-fenêtre Réseau des Préférences Système. 3 Choisissez “Configuration des ports réseau” dans le menu local Afficher. 4 Cliquez sur le bouton VLAN. 5 Sélectionnez le port Ethernet que vous souhaitez utiliser pour le réseau local virtuel. 6 Cliquez sur Créer un réseau VLAN. 7 Tapez le nom du réseau local virtuel, tapez une balise (un nombre entre 1 et 4094) dans le champ Balise, puis cliquez sur OK. La balise VLAN désigne l’identifiant de VLAN (en anglais, VLAN ID ou VID). Chaque réseau logique possède un VID unique. Les interfaces qui sont configurées avec le même VID se trouvent sur le même réseau virtuel. 8 Pour utiliser le réseau local virtuel, sélectionnez-le dans la liste des configurations de port réseau, puis cliquez sur Appliquer. Autres sources d’informations Pour en savoir plus sur les réseaux locaux virtuels sur Internet : www.ieee.org La norme VLAN est définie par l’IEEE. Document de référence Les documents de référence contiennent un aperçu d’un protocole et des détails sur la manière dont le protocole doit se comporter. Si vous êtes administrateur serveur débutant, vous trouverez probablement certaines informations utiles dans les documents de référence. Si vous êtes administrateur serveur expérimenté, vous trouverez des détails techniques sur un protocole particulier dans le document de référence correspondant. Ce dernier est disponible à l’adresse : standards.ieee.org/getieee802/download/802.1Q-1998.pdf 9 139 9 Gestion IPv6 IPv6 est l’abréviation de “Internet Protocol Version 6”. IPv6 est le protocole Internet nouvelle génération conçu pour remplacer le protocole Internet actuel, IP Version 4 (IPv4, ou simplement IP). Le protocole Internet actuel commence à être confronté à des problèmes liés à la croissance et à la popularité d’Internet. Les principaux problèmes liés à IPv4 sont : • Les limites de l’adressage IP. Les adresses IPv4 sont de 32 bits, ce qui signifie qu’il ne peut exister que 4 300 000 000 adresses réseau. • Le poids accru de la configuration et du routage. À mesure que le nombre d’ordinateurs connectés à Internet augmente, la charge sur le réseau, la mémoire et le temps nécessaires à l’acheminement des informations IPv4 s’accroissent rapidement. • La communication de bout en bout est couramment contournée. Cela est en réalité une conséquence du problème d’adressage d’IPv4. Comme le nombre d’ordinateurs allait en grandissant et la pénurie d’adresses se faisait de plus en plus aiguë, il a fallu développer un autre service d’adressage et de routage : Network Address Translation (NAT). Le protocole NAT sert d’intermédiaire entre les deux extrémités du réseau et les sépare. Cela s’avère toutefois restrictif et freine un certain nombre de services réseau. IPv6 permet de résoudre certains de ces problèmes et d’en réduire d’autres. Il améliore le routage et la configuration automatique du réseau. Il ’augmente le nombre d’adresses réseau, pour atteindre plus de 3 x1038 , et de supprimer le recours au protocole NAT. Il est prévu qu’IPv6 remplace progressivement IPv4 lors des prochaines années et que les deux protocoles coexistent pendant la transition. Ce chapitre répertorie les services compatibles IPv6 utilisés par Mac OS X Server, donne les lignes directrices pour l’utilisation des adresses IPv6 dans ces services et explique les types d’adresse IPv6 et leur notation.140 Chapitre 9 Gestion IPv6 Services compatibles IPv6 Les services suivants de Mac OS X Server gèrent IPv6 pour l’adressage : • DNS (BIND) • Service de coupe-feu IP • Courrier (POP/IMAP/SMTP) • SMB/CIFS • Web (Apache 2) De plus, certains outils à ligne de commande installés dans Mac OS X Server gèrent IPv6 (par exemple, ping6 et traceroute6). Adresses IPv6 dans Admin Serveur Les services ci-dessus ne gèrent pas les adresses IPv6 dans l’interface utilisateur. Ils peuvent être configurés à l’aide d’outils à ligne de commande de façon à ajouter des adresses IPv6, mais ces mêmes adresses ne donnent rien si elles sont saisies dans les champs d’adresse d’Admin Serveur. Adresses IPv6 Les adresses IPv6 sont différentes des adresses IPv4. À la modification des adresses s’ajoute la modification de la notation d’adresse, des adresses réservées, du modèle d’adresse et des types d’adresse. Notation Alors que les adresses IPv4 ont une longueur de 4 octets et sont exprimées en décimales, les adresses IPv6 ont une longueur de 16 octets et peuvent être exprimées de multiples façons. Les adresses IPv6 s’écrivent généralement de la façon suivante : xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx Les groupes d’octets IPv6 sont séparés par deux points et chaque octet est représenté par une paire de nombres hexadécimaux, comme le montre l’exemple suivant : E3C5:0000:0000:0000:0000:4AC8:C0A8:6420 ou E3C5:0:0:0:0:4AC8:C0A8:6420Chapitre 9 Gestion IPv6 141 Les adresses IPv6 contiennent souvent plusieurs octets de valeur zéro, une notation abrégée est donc autorisée. Cette notation abrégée permet d’omettre l’écriture des zéros et de les remplacer par un double deux-points, comme suit : E3C5::4AC8:C0A8:6420 Le dernier type de notation comprend les adresses IPv4. Comme beaucoup d’adresses IPv6 sont des extensions d’adresses IPv4, le groupe de 4 octets situé le plus à droite de l’adresse IPv6 (les 2 paires de 2 octets situées le plus à droite) peut être réécrit en notation IPv4. Cette notation mixte (à partir de l’exemple ci-dessus) pourrait être exprimée de la façon suivante : E3C5:4AC8:192.168.100.32 Adresses réservées IPv6 IPv6 réserve deux adresses que les nœuds de réseau ne peuvent pas utiliser pour leurs besoins de communication : 0:0:0:0:0:0:0:0 (adresse non spécifiée, interne au protocole) 0:0:0:0:0:0:0:1. (adresse de bouclage, comme 127.0.0.1 dans IPv4) Modèle d’adressage IPv6 Les adresses IPv6 sont affectées aux interfaces (votre carte Ethernet, par exemple) et non aux nœuds (votre ordinateur, par exemple). Plusieurs adresses IPv6 peuvent être affectées à une même interface. En outre, une même adresse IPv6 peut être affectée à plusieurs interfaces pour le partage de charge. Enfin, les routeurs n’ont pas besoin d’adresse IPv6, ce qui évite d’avoir à les configurer pour les monodiffusions point à point. De plus, IPv6 n’utilise pas les classes d’adresses IPv4. Types d’adresse IPv6 IPv6 gère les trois types d’adresse IP suivants : • Unicast (communication un à un) • Multicast (communication un à plusieurs) • Anycast Vous remarquerez que le protocole IPv6 ne gère plus les adresses broadcast. La préférence a été accordée au multicast pour les diffusions réseau. Sinon, les adresses unicast et multicast dans IPv6 sont les mêmes que dans IPv4. Avec IPV6, les adresses multidiffusions (multicast) commencent par “FF” (255). Anycast est une variante du multicast. Tandis que les adresses multicast distribuent les messages à tous les nœuds du groupe multicast, les adresses anycast ne les distribuent qu’à un seul nœud du groupe.142 Chapitre 9 Gestion IPv6 Autres sources d’informations Le site Web du groupe de travail sur le protocole IPv6 (Internet Protocol Version 6) se trouve à l’adresse : www.ipv6.org Un groupe de passionnés d’IPv6 tient à jour la liste des applications compatibles IPv6 sur le site Web : www.ipv6forum.com/navbar/links/v6apps.htm Les documents RFC Les documents RFC (Request for Comments) offrent un aperçu d’un protocole ou service et présentent de manière détaillée comment le protocole doit se comporter. Si vous êtes administrateur serveur débutant, vous trouverez probablement certaines informations utiles dans les RFC. Si vous êtes administrateur serveur expérimenté, vous trouverez tous les détails techniques sur un protocole particulier dans le document RFC correspondant. Vous pouvez rechercher des documents RFC par numéro sur le site : www.ietf.org/rfc.html Il existe plus de 29 documents RFC relatifs à IPv6. Vous en trouverez une liste à l’adresse : www.ipv6.org/specs.html 143 Glossaire Glossaire Ce glossaire définit les termes et explique les abréviations que vous pouvez rencontrer en utilisant l’aide en ligne ou en lisant le manuel Mac OS X Server Administration des services réseau pour version 10.3 ou ultérieur. Les références à des termes définis ailleurs dans ce glossaire apparaissent en italiques. ACL Access Control List ou liste de contrôle d’accès. Liste maintenue par un système qui définit les droits des utilisateurs et des groupes pour accéder aux ressources qui se trouvent sur le système. administrateur de liste Administrateur de liste de diffusion. Les administrateurs de liste peuvent ajouter et supprimer des abonnés d’une liste de diffusion et désigner d’autres administrateurs de liste. Les administrateurs de liste ne sont pas nécessairement des administrateurs d’ordinateur local ni des administrateurs de domaine. adresse Numéro ou autre identifiant qui identifie sans ambiguïté un ordinateur sur un réseau, un bloc de données stocké sur un disque ou un emplacement dans la mémoire d’un ordinateur. Voir aussi adresse IP, adresse MAC. adresse IP Adresse numérique unique qui identifie un ordinateur sur Internet. adresse IP dynamique Adresse IP affectée pour une période de temps limitée ou jusqu’à ce que l’ordinateur client n’en ait plus besoin. adresse IP statique Adresse IP affectée de manière permanente à un ordinateur ou un périphérique. adresse MAC Adresse Media Access Control ou adresse de contrôle d’accès au support. Adresse matérielle qui identifie sans ambiguïté chaque nœud d’un réseau. Pour les périphériques AirPort, l’adresse MAC est appelée l’identifiant AirPort. attaque par saturation Également appelé attaque par déni de service. Attaque Internet qui utilise de milliers de pings réseau dans le but d’empêcher l’utilisation légitime d’un serveur.144 Glossaire autorisations Réglages qui déterminent le type d’accès à des éléments partagés dont les utilisateurs bénéficient dans un système de fichiers. Vous pouvez affecter quatre types d’autorisations à un point de partage, dossier ou fichier : lecture/écriture, lecture seule, écriture seule et aucune (pas d’accès). Voir aussi privilège. autorité de certificat Autorité qui émet et gère des certificats numériques pour assurer la transmission sécurisée de données sur un réseau public. Voir aussi infrastructure à clé publique et certificat. bidouilleur Personne qui aime la programmation et qui explore des façons de programmer de nouvelles fonctionnalités et d’étendre les possibilités d’un système informatique. Voir aussi pirate. bit Unité élémentaire d’information ayant pour valeur 0 ou 1. caractère Synonyme d’octet. caractère générique Plage de valeurs possibles pour tout segment d’une adresse IP. carte d’interface réseau Voir NIC. certificat Appelé parfois également “certificat d’identité” ou “certificat à clé publique”. Fichier dans un format spécial (Mac OS X Server utilise le format x.509) qui contient la partie clé publique d’une paire de clés publique-privée, des informations sur l’identité de l’utilisateur, notamment son nom et des informations de contact, et la signature numérique et soit une autorité de certificat (AC), soit l’utilisateur de la clé. Challenge Handshake Authentication Protocol Voir CHAP. CHAP Challenge Handshake Authentication Protocol. Protocole d’authentification courant. Voir aussi MS-CHAP. chemin de recherche Voir politique de recherche. contrôle d’accès Méthode consistant à contrôler quels ordinateurs peuvent accéder à un réseau ou à des services réseau. contrôle d’accès au support Voir adresse MAC. coupe-feu Logiciel destiné à protéger les applications réseau exécutées sur votre serveur. Le service de coupe-feu IP, inclus dans le logiciel Mac OS X Server, examine les paquets IP entrants et les rejette ou les accepte en fonction d’un jeu de filtres que vous créez. cryptage Processus peu élaboré consistant à brouiller des données pour les rendre illisibles. On utilise généralement le cryptage à des fins de secret et pour préserver la confidentialité des communications. Voir aussi décryptage.Glossaire 145 délai de bail Période limitée durant laquelle les adresses IP sont affectées. En utilisant des délais courts, le protocole DHCP peut réaffecter des adresses IP sur les réseaux ayant plus d’ordinateurs que d’adresses IP. délai de bail DHCP Voir délai de bail. DHCP Dynamic Host Configuration Protocol. Protocole utilisé pour la répartition dynamique d’adresses IP entre les ordinateurs clients. Chaque fois qu’un ordinateur client démarre, le protocole recherche un serveur DHCP et demande une adresse IP au serveur DHCP rencontré. Ce serveur cherche une adresse IP disponible et l’envoie à l’ordinateur client accompagnée d’un délai de bail : période pendant laquelle l’ordinateur client est autorisé à utiliser l’adresse. diffusion Dans le contexte de la mise en réseau en général, la transmission d’un message ou de données que tout client sur le réseau peut lire. En matière de diffusion, l’on distingue la monodiffusion (l’envoi d’un message à un ordinateur spécifique) et à la multidiffusion (l’envoi d’un message à un ensemble d’ordinateurs sélectionnés). Dans QuickTime Streaming Server, la transmission d’une copie d’un flux sur l’ensemble du réseau. DNS multidiffusion Protocole développé par Apple pour la détection automatique d’ordinateurs, de périphériques et de services sur les réseaux IP. Ce protocole standard Internet proposé est parfois aussi appelé “ZeroConf”. Pour plus d’informations, visitez les sites www.apple.com ou www.zeroconf.org. Pour voir comment ce protocole est utilisé dans Mac OS X Server, voir nom d’hôte local. Domain Name System Voir DNS. domaine DNS Nom unique d’un ordinateur, utilisé dans le système DNS (Domain Name System) pour convertir les adresses IP et les noms. Également appelé nom de domaine. domaine local Domaine de répertoires accessible uniquement à partir de l’ordinateur sur lequel il réside. durée de vie Voir TTL. Dynamic Host Configuration Protocol Voir DHCP. EAP Extensible Authentication Protocol. Protocole d’authentification qui gère plusieurs méthodes d’authentification. enregistrement d’échange de courrier Voir enregistrement MX.146 Glossaire enregistrement MX Enregistrement d’échange de courrier. Entrée d’un tableau DNS qui détermine l’ordinateur gérant le courrier pour un domaine Internet. Lorsqu’un serveur de courrier doit remettre des messages à un domaine Internet, il demande l’enregistrement MX du domaine concerné. Le serveur envoie les messages à l’ordinateur spécifié dans l’enregistrement MX. enregistrement pointeur Voir enregistrement PTR. enregistrement PTR Enregistrement pointeur. Type d’enregistrement DNS qui traduit les adresses IP (IPv4) en noms de domaine. Utilisé dans les recherches DNS inverses. enregistrement TXT Enregistrement de texte. Type d’enregistrement DNS qui stocke une chaîne de texte en réponse à une requête DNS. étendue Groupe de services. Une étendue peut correspondre à un regroupement logique d’ordinateurs (tous les ordinateurs utilisés par le département de production, par exemple) ou à un regroupement physique (tous les ordinateurs situés au premier étage d’un bâtiment, par exemple). Vous pouvez définir une étendue en tant que simple partie ou en tant qu’ensemble de votre réseau. Ethernet Technologie de réseau local courante dans laquelle les données sont transmises en unités appelées paquets à l’aide de protocoles, par exemple TCP/IP. FAI Fournisseur d’accès à Internet. Entreprise qui commercialise l’accès à Internet et fournit généralement un service d’hébergement de sites Web pour le commerce électronique, ainsi que des services de courrier. filtre Méthode de “filtrage” utilisée pour contrôler l’accès à un serveur. Un filtre est constitué d’une adresse IP, d’un masque de sous-réseau et parfois d’un numéro de port et d’un type d’accès. L’adresse IP et le masque de sous-réseau déterminent la plage d’adresses IP à laquelle s’applique le filtre. fournisseur d’accès à Internet Voir FAI. FTP File Transfer Protocol. Protocole permettant aux ordinateurs de transférer des fichiers sur un réseau. Les clients FTP dont le système d’exploitation gère le protocole FTP peuvent se connecter à un serveur de fichiers et télécharger des fichiers, en fonction des autorisations d’accès dont ils bénéficient. La plupart des navigateurs Internet et bon nombre d’applications gratuites (“freeware”) peuvent être utilisés pour accéder à un serveur FTP. gigaoctet Voir Go. Go Gigaoctet. 1 073 741 824 (2 30 ) octets.Glossaire 147 groupe de travail Ensemble d’utilisateurs pour lesquels vous définissez des préférences et des autorisations de groupe. Toutes les préférences que vous définissez pour un groupe sont stockées dans le compte de groupe. HTTP Hypertext Transfer Protocol. Protocole client/serveur pour le Web. Le protocole HTTP permet à un navigateur Web d’accéder à un serveur Web et de demander des documents hypermédia créés en HTML. Hypertext Transfer Protocol Voir HTTP. IANA Internet Assigned Numbers Authority. Organisation chargée d’attribuer des adresses IP et des paramètres de protocole, ainsi que de gérer des noms de domaines. ICMP Internet Control Message Protocol. Protocole dédié au contrôle des messages et à la génération de rapports d’erreurs, utilisé entre serveurs hôtes et passerelles. Par exemple, certaines applications Internet utilisent le protocole ICMP pour envoyer un paquet en aller-retour entre deux hôtes, déterminer ainsi la durée requise par le trajet et détecter ainsi d’éventuels problèmes sur le réseau. identifiant Ethernet Voir adresse MAC. IEEE Institute of Electrical and Electronics Engineers, Inc. Organisation chargée de promouvoir des normes en informatique et dans le génie électrique. IGMP Internet Group Management Protocol. Protocole Internet utilisé par les hôtes et les routeurs pour envoyer des paquets à des listes d’hôtes volontaires, dans le cadre d’un processus appelé multidiffusion. Le serveur d’enchaînement QuickTime (QTSS) utilise l’adressage multidiffusion, de même que le protocole SLP (Service Location Protocol). indicatif d’un interpréteur de commandes Caractère qui apparaît au début d’une ligne, dans une interface à ligne de commande, pour indiquer que vous pouvez saisir une commande. interface à ligne de commande Manière de communiquer avec un ordinateur (par exemple, pour exécuter des programmes ou modifier des autorisations de système de fichiers) en tapant des commandes sous la forme de texte à l’invite d’un interpréteur de commandes. interface réseau Connexion du matériel de votre ordinateur à un réseau. Cela comprend, entre autres, les connexions Ethernet, les cartes Airport et les connexions FireWire. Internet Ensemble de réseaux d’ordinateurs interconnectés, qui communiquent via un protocole commun (TCP/IP). Internet (notez la majuscule) est le système public le plus étendu au monde de réseaux d’ordinateurs interconnectés. Internet Assigned Numbers Authority Voir IANA. Internet Control Message Protocol Voir ICMP.148 Glossaire Internet Group Management Protocol Voir IGMP. Internet Message Access Protocol Voir IMAP. Internet Protocol Voir IP. IP Internet Protocol. Également désigné par IPv4. Méthode utilisée conjointement avec le protocole TCP (Transmission Control Protocol) pour envoyer des données d’un ordinateur à un autre via un réseau local ou via Internet. Le protocole IP envoie les paquets de données, alors que le protocole TCP se charge du suivi de ces paquets. IPSec Complément de sécurité au protocole IP. Protocole qui assure la sécurité de la transmission des données pour les connexions VPN L2TP. IPSec intervient au niveau de la couche réseau, en protégeant et en authentifiant les paquets IP qui circulent entre les nœudsIP participants. IPv4 Voir IP. IPv6 Internet Protocol version 6. Protocole de communication prochaine génération destiné à remplacer le protocole IP (appelé également IPv4IP). IPv6 permet d’affecter un plus grand nombre d’adresses réseau et de réduire les charges de routage sur Internet. Ko Kilooctet. 1 024 (2 10 ) octets. L2TP Layer Two Tunnelling Protocol. Protocole de transport réseau utilisé pour les connexions VPN. Il s’agit ni plus ni moins d’une combinaison du protocole L2F de Cisco et du protocole PPTP. L2TP lui-même n’est pas un protocole de cryptage, c’est pourquoi il utilise IPSec pour crypter les paquets. LAN Réseau local. Réseau local géré au sein d’une infrastructure donnée, contrairement au réseau étendu WAN (Wide Area Network), qui relie des infrastructures séparées géographiquement. LDAP Lightweight Directory Access Protocol. Protocole client-serveur standard pour accéder à un domaine de répertoires. Lightweight Directory Access Protocol Voir LDAP. ligne de commande Texte que vous tapez à l’invite d’un interpréteur de commandes lorsque vous utilisez une interface à ligne de commande. liste de contrôle d’accès Voir ACL. Mac OS X La dernière version du système d’exploitation d’Apple. Mac OS X associe la fiabilité d’UNIX à la facilité d’utilisation de Macintosh. Glossaire 149 Mac OS X Server Plate-forme de serveur puissante qui permet de gérer les clients Mac, Windows, UNIX et Linux sans préparation préalable et vous offre toute une gamme de services réseau et de groupes de travail évolutifs, ainsi que des outils de gestion à distance avancés. masque de sous-réseau Nombre utilisé dans la mise en réseau IP pour spécifier quelle portion d’une adresse IP est le numéro du réseau. mégaoctet Voir Mo. Microsoft Challenge Handshake Authentication Protocol Voir MS-CHAP. mot de passe Chaîne alphanumérique utilisée pour authentifier l’identité d’un utilisateur ou autoriser l’accès à des fichiers ou à des services. MS-CHAP Microsoft Challenge Handshake Authentication Protocol. Système d’authentification standard de Windows pour le VPN. Cette méthode d’authentification permet d’encoder les mots de passe lorsqu’ils sont envoyés à travers le réseau et de les stocker sous une forme cryptée sur le serveur. Elle offre un bon niveau de sécurité au cours de la transmission réseau. MS-CHAP est une version propriétaire de CHAP. multi-adressage Capacité à gérer plusieurs connexions réseau. Lorsque plusieurs connexions sont disponibles, Mac OS X sélectionne la connexion adéquate en fonction de l’ordre spécifié dans les préférences Réseau. multidiffusion En général, la transmission simultanée d’un message à un ensemble spécifique d’ordinateurs sur un réseau. Voir aussi diffusion, monodiffusion. Dans le serveur d’enchaînement QuickTime, moyen efficace de diffusion d’un message à plusieurs destinataires. Les utilisateurs peuvent rejoindre ou quitter le multicast mais ils ne peuvent interagir avec ce dernier. NAT Network Address Translation. Méthode de connexion de plusieurs ordinateurs à Internet (ou tout autre réseau IP) en utilisant une seule adresse IP. NAT convertit les adresses IP que vous affectez aux ordinateurs de votre réseau interne privé en adresses IP officielles pour les communications Internet. NetInfo L’un des protocoles Apple d’accès à un domaine de répertoire. Network Address Translation Voir NAT. nœud Emplacement de traitement. Un nœud peut correspondre à un ordinateur ou autre périphérique, tel qu’une imprimante. Chaque nœud possède une adresse réseau unique. Dans Xsan, un nœud, c’est tout ordinateur connecté à un réseau de stockage. nom canonique Nom “réel” d’un serveur lorsque vous lui avez donné un “surnom” ou un alias. Le serveur “courrier.apple.com”, par exemple, peut avoir comme nom canonique “SrvCourrier473.apple.com”.150 Glossaire nom d’hôte Nom unique pour un serveur. Pour des raisons historiques, on l’appelle également nom d’hôte UNIX. Le nom d’hôte Mac OS X Server est utilisé principalement pour l’accès client à des répertoires de départ NFS. Un serveur détermine son nom d’hôte en prenant le premier nom qui est disponible parmi les sources suivantes : le nom spécifié dans le fichier /etc/hostconfig (HOSTNAME=un-nom-d’hôte), le nom fourni par le serveur DHCP ou BootP pour l’adresse IP principale, le premier nom renvoyé par une recherche DNS inverse (de l’adresse vers le nom) pour l’adresse IP principale, le nom de l’hôte local ou le nom “localhost”. nom d’hôte local Nom qui désigne un ordinateur sur un sous-réseau local. Il peut être utilisé sans système DNS global afin de résoudre les noms en adresses IP. Il est constitué de lettres minuscules, de chiffres ou de traits d’union (sauf en tant que derniers caractères) et se termine par “.local” (par exemple, factures-ordinateur.local). Bien que le nom soit défini par défaut à partir du nom d’ordinateur, l’utilisateur peut définir ce nom dans la sous-fenêtre Réseau des Préférences Système. Il peut être modifié facilement et utilisé partout où un nom DNS ou un nom de domaine complet est utilisé. Il peut uniquement être résolu sur le même sous-réseau que l’ordinateur qui l’utilise. nom d’utilisateur Nom complet d’un utilisateur, parfois qualifié de réel. Voir aussi nom abrégé. nom de domaine Voir nom DNS. nom de l’ordinateur Nom par défaut utilisé pour les enregistrements des services SLP et SMB/CIFS. L’Explorateur réseau du Finder utilise SLP pour trouver les ordinateurs qui utilisent le partage de fichiers personnels et le partage de fichiers Windows. Il peut être configuré pour relier des sous-réseaux en fonction des réglages du routeur réseau. Lorsque vous activez le partage de fichiers personnels, les utilisateurs voient le nom de l’ordinateur dans la zone de dialogue Se connecter au serveur, dans le Finder. Il s’agit initialement de “Ordinateur de ” (par exemple, “Ordinateur de Pierre”), mais ce nom peut être modifié. Le nom de l’ordinateur est utilisé pour explorer les serveurs de fichiers réseau, les files d’attente d’impression, la détection Bluetooth, les clients Apple Remote Desktop, ainsi que toute autre ressource réseau qui identifie les ordinateurs par nom d’ordinateur plutôt que par adresse réseau. Le nom d’ordinateur est également la base du nom d’hôte local par défaut. nom DNS Nom unique d’un ordinateur, utilisé dans le système DNS (Domain Name System) pour convertir les adresses IP et les noms. Également appelé nom de domaine. octet Unité de mesure élémentaire pour les données équivalente à huit bits (ou chiffres binaires).Glossaire 151 Open Directory Architecture des services de répertoires Apple, qui peut accéder à des informations de référence sur les utilisateurs et les ressources réseau à partir de domaines de répertoires utilisant les protocoles LDAP, NetInfo ou Active Directory ; les fichiers de configuration BSD et les services de réseau. open-source Terme désignant le développement coopératif de logiciels par la communauté Internet. Le principe de base consiste à impliquer le maximum de personnes dans l’écriture et la mise au point du code en publiant le code source et en encourageant la formation d’une large communauté de développeurs qui feront part de leurs modifications et améliorations. paquet Unité de données composée d’enregistrements d’en-tête, d’informations, de détection d’erreurs et complémentaires. QTSS utilise des paquets TCP, UDP et IP pour communiquer avec des clients de diffusion. passerelle Nœud de réseau qui relie un réseau à un autre. Il fait souvent référence à un ordinateur qui relie un réseau LAN privé à un réseau WAN public, avec ou sans NAT (Network Address Translation). Un routeur est un type particulier de passerelle qui relie des segments réseau liés. pirate Utilisateur malveillant qui tente d’accéder à un système informatique sans y être autorisé dans le but de saboter des ordinateurs et des réseaux ou de voler des informations. Comparer à bidouilleur. Point to Point Tunneling Protocol Voir PPTP. politique de mot de passe Ensemble de règles qui régulent la composition et la validité du mot de passe d’un utilisateur. politique de recherche Liste des domaines de répertoires parmi lesquels un ordinateur Mac OS X effectue ses recherches lorsqu’il a besoin d’informations de configuration. Désigne également l’ordre dans lequel les domaines sont pris en compte lors de la recherche. Parfois appelé “chemin de recherche”. pont Périphérique de mise en réseau d’ordinateurs qui connecte deux types de support de réseau, comme, par exemple, un support de réseau sans fil et un support de réseau Ethernet. Un pont fonctionne comme une passerelle car il fait transiter du trafic réseau directement vers le support de destination sans le router ou l’altérer d’aucune manière. Les deux extrémités du pont doivent avoir le même sous-réseau d’adresses IP. Un pont permet de relier plusieurs petits segments de réseau de manière simple. port Sorte de boîte à lettres virtuelle. Un serveur utilise les numéros de port pour déterminer quelle application doit recevoir les paquets de données. Les coupe-feu utilisent les numéros de port pour déterminer si les paquets de données sont autorisés ou non à traverser un réseau local. “Port” fait généralement référence à un port TCP ou UDP. 152 Glossaire Post Office Protocol Voir POP. PPTP Point to Point Tunneling Protocol. Protocole de transport réseau utilisé pour les connexions VPN. Il s’agit du protocole VPN standard de Windows. Il utilise le mot de passe fourni par l’utilisateur pour produire une clé de cryptage. privilège Droit d’accéder à des zones restreintes d’un système ou d’effectuer certaines tâches (telles que des tâches de gestion) dans le système. protocole Ensemble de règles qui déterminent la manière dont les données sont envoyées et reçues entre deux applications. QTSS QuickTime Streaming Server. Technologie permettant de diffuser des données en temps réel sur Internet. récursion Procédé de résolution complète des noms de domaines en adresses IP. Une requête DNS non-récursive permet d’interroger d’autres serveurs DNS pour résoudre l’adresse. En général, les applications d’utilisateur dépendent du serveur DNS pour exécuter cette fonction, mais les autres serveurs DNS n’ont pas à effectuer de requête récursive. relais Dans QuickTime Streaming Server, un relais reçoit un flux entrant et le réexpédie vers un ou plusieurs serveurs de diffusion en continu. Les relais permettent de réduire la consommation de bande passante Internet et s’avèrent très utiles pour les diffusions ayant de nombreux spectateurs à différents endroits. Dans le domaine du courrier électronique sur Internet, un relais est un serveur de courrier SMTP qui envoie le courrier à un autre serveur SMTP, mais pas à son destinataire final. relais ouvert Serveur recevant et transférant automatiquement le courrier vers un autre serveur. Les expéditeurs de courrier indésirable exploitent les serveurs de relais ouverts, afin d’éviter que leurs propres serveurs de courrier ne figurent pas sur une liste noire comme sources de courriers indésirables. répartition de la charge Processus qui consiste à répartir sur plusieurs services les demandes de services réseau effectuées par les ordinateurs clients, afin d’optimiser les performances. réseau local Voir LAN. saturation Voir attaque par saturation. secret partagé Valeur définie à chaque nœud d’une connexion VPN L2TP et servant de clé de cryptage pour négocier les connexions du transport des données et de l’authentification. Secure Sockets Layer Voir SSL. serveur Ordinateur qui fournit des services (comme, par exemple, le service de fichiers, de courrier ou le service Web) à d’autres ordinateurs ou périphériques réseau.Glossaire 153 serveur d’horloge Serveur de réseau sur l’horloge duquel d’autres ordinateurs du réseau synchronisent leur horloge afin que tous les ordinateurs indiquent la même heure. Voir aussi NTP. serveur de mots de passe Voir Serveur de mots de passe Open Directory. serveur de noms Serveur d’un réseau qui tient à jour une liste des noms de domaines et des adresses IP associées à chaque nom. Voir aussi DNS, WINS. Serveur Enchaînement QuickTime (QTSS) Voir QTSS. serveur proxy Serveur qui se trouve entre une application cliente, comme, par exemple, un navigateur Web, et un serveur réel. Le serveur proxy intercepte toutes les requêtes adressées au serveur réel pour voir s’il ne peut pas répondre à la requête lui-même. S’il ne peut pas, il réexpédie la requête au serveur réel. service DNS Domain Name System. Base de données distribuée qui fait correspondre des adresses IP à des noms de domaines. Un serveur DNS, appelé également “serveur de noms”, conserve une liste des noms et des adresses IP associées à chaque nom. service NTP Network Time Protocol. Protocole réseau utilisé pour synchroniser les horloges des ordinateurs d’un réseau avec une horloge de référence. Le protocole NTP est utilisé pour garantir que tous les ordinateurs du réseau affichent la même heure. services de répertoire Services fournissant au logiciel système et aux applications un accès uniforme aux domaines de répertoires et autres sources d’informations sur les utilisateurs et les ressources. shell Programme qui exécute d’autres programmes. Vous pouvez utiliser un interpréteur de commandes pour interagir avec un ordinateur en tapant des commandes à l’invite de l’interpréteur de commandes. Voir aussi interface à ligne de commande. SLP DA Service Location Protocol Directory Agent. Protocole utilisé pour répertorier les services disponibles sur un réseau, afin de permettre aux utilisateurs d’y accéder facilement. Lorsqu’un service est ajouté au réseau, il utilise le protocole SLP pour s’enregistrer sur le réseau. SLP/DA conserve les services de réseau enregistrés dans un emplacement centralisé. SMTP Simple Mail Transfer Protocol. Protocole utilisé pour envoyer et transférer du courrier. Sa capacité à placer les messages entrants en file d’attente est limitée, il n’est donc généralement utilisé que pour envoyer les messages, POP ou IMAP étant utilisés pour les recevoir. sous-domaine Appelé parfois nom d’hôte. Partie du nom de domaine d’un ordinateur sur Internet. Il n’inclut pas le domaine ni la désignation du domaine de premier niveau (par exemple .com, .net, .us, .uk). Le nom de domaine “www.exemple.com” est constitué du sous-domaine “www”, du domaine “exemple” et du domaine de premier niveau “com”.154 Glossaire sous-réseau Regroupement d’ordinateurs clients faisant partie du même réseau, structuré en fonction de l’emplacement physique (les différents étages d’un bâtiment, par exemple) ou de l’utilisation (tous les élèves d’une même classe par exemple). L’utilisation de sous-réseaux permet de simplifier les tâches d’administration. Voir aussi sous-réseau IP. sous-réseau IP Portion d’un réseau IP, qui peut être un segment de réseau physiquement indépendant, partageant une adresse réseau avec d’autres portions du réseau et identifiée par un numéro de sous-réseau. spam courrier non sollicité ; courrier indésirable. SSL Secure Sockets Layer. Protocole permettant d’envoyer sur Internet des informations cryptées et authentifiées. Les versions plus récentes de SSL sont appelées TLS (Transport Level Security). strate 1 Serveur Internet NTP (Network Time Protocol) de référence qui gère l’heure UTC courante. Il existe d’autres strates (2, 3, etc.), chacune synchronisant son horloge sur un serveur de la strate supérieure. TCP Transmission Control Protocol. Méthode utilisée avec le protocole IP (Internet Protocol) pour envoyer, via Internet, des données sous forme d’unités de messages entre ordinateurs. Le protocole IP se charge de gérer le transfert des données, alors que le protocole TCP effectue le suivi individuel des unités de données (appelées “paquets”). Chaque message est fractionné en plusieurs unités afin d’assurer un routage efficace à travers Internet. texte en clair Données non cryptées. transfert de zone Méthode utilisée pour copier des données de zone sur des serveurs DNS de référence. Les serveurs DNS esclaves demandent des transferts de zones à leur serveur maître pour acquérir leurs données. Transmission Control Protocol Voir TCP. TTL Time-to-live ou durée de vie. Durée spécifiée pendant laquelle les informations DNS sont stockées dans la mémoire cache. Lorsqu’une paire nom de domaine/adresse IP se trouve en mémoire cache depuis plus longtemps que la durée TTL spécifiée, l’entrée est supprimée du cache du serveur de noms (mais pas du serveur DNS principal). type d’enregistrement Catégorie spécifique d’enregistrements, comme les enregistrements d’utilisateurs, d’ordinateurs et de montage. Pour chaque type d’enregistrement, un domaine de répertoire peut contenir un nombre quelconque d’enregistrements. UCE Unsolicited Commercial Email ou polluriel. Voir courrier indésirable.Glossaire 155 UDP User Datagram Protocol. Méthode de communication utilisant le protocole IP pour envoyer une unité de données (appelée datagramme) d’un ordinateur à un autre sur un réseau. Les applications réseau qui ont de toutes petites unités de données à échanger peuvent utiliser le protocole UDP à la place du TCP. monodiffusion Transmission de données à un seul destinataire ou client. Si un film est diffusé en monodiffusion (unicast) à un utilisateur à l’aide de RSTP, l’utilisateur peut se déplacer librement d’un point à l’autre dans un film à la demande. monodiffusion manuelle Méthode de transmission en direct d’un flux vers un unique client QuickTime Player ou un ordinateur exécutant QTSS. Un fichier SDP est généralement créé par l’application de diffusion et doit ensuite être envoyé manuellement au spectateur ou au serveur d’enchaînement. Universal Time Coordinated Voir UTC. User Datagram Protocol Voir UDP. UTC Universal Time Coordinated ou temps universel coordonné. Heure de référence standard. L’heure universelle se fonde sur une résonance atomique, c’est pourquoi les horloges qui affichent l’heure universelle sont souvent appelées “horloges atomiques”. Virtual Private Network Voir VPN. VPN Virtual Private Network. Réseau privé virtuel utilisant le cryptage ainsi que d’autres technologies pour fournir des communications sécurisées sur un réseau public, en général Internet. Ces réseaux sont généralement moins onéreux que des réseaux privés réels qui recourent à des lignes privées, mais s’appuient sur le même système de cryptage aux deux extrémités de la ligne. Le cryptage peut être réalisé par des logiciels de coupe-feu ou par des routeurs. WAN Réseau étendu. Réseau reliant des sites géographiquement dispersés, par opposition au réseau local (LAN, Local Area Network), installé au sein d’un même groupe de bâtiments. Votre interface WAN est généralement celle qui est connectée à Internet. Windows Internet Naming Service Voir WINS. WINS Windows Internet Naming Service. Service de résolution de noms utilisé par les ordinateurs Windows pour faire correspondre les noms des clients avec des adresses IP. Un serveur WINS peut se trouver soit sur le réseau local, soit sur Internet. WLAN Wireless Local Area Network ou réseau local sans fil. zone de réexpédition Zone DNS qui ne contient aucun enregistrement, mais qui réexpédie les requêtes DNS vers une autre zone. zone maîtresse Enregistrements de zones du DNS détenus par un serveur DNS principal. Une zone maîtresse est dupliquée par transferts de zones sur des zones esclaves situées sur des serveurs DNS secondaires.157 Index Index A Admin Serveur 27, 33, 87, 88, 89, 107, 108, 110, 120 adresses IP affectation 25 affectation dynamique 24 DHCP et 23 durée de bail et DHCP 23 durée du bail DHCP, modification 29 dynamiques 24 multiples 72 notation IPv6 140 ordre des filtres 71 plages 71 réservées 25 statiques 24 attaques par déni de service (DoS) prévention 90 B BIND 39, 40 répartition de la charge 60 bornes d’accès AirPort service DHCP et 25 C coupe-feu IP démarrage et arrêt 32 courrier redirection 57 D désactivation 28 documentation 11 Dynamic Host Configuration Protocol Voir DHCP E échangeurs de courrier 57 éléments de l’historique activité DHCP 26 enregistrement IANA 41 enregistrements MX (Mail Exchange) 43, 58 F filtres exemples 86–89 modification 79 filtres, IP ajout 73 description 69 G guides d’administration du serveur 11 H historiques DHCP 33 service de coupe-feu IP 83–85 service DNS 53 hôtes MX 57 I Internet Gateway Multicast Protocol Voir IGMP Internet Protocol Version 6 Voir IPv6 IPv6 adressage 140–141 dans Admin Serveur 140 informations supplémentaires 142 notation d’adresses 140 services disponibles 140 L Les 92 M Mac OS X Server ports utilisés par 92–96 Mail Exchange. Voir MX masques de sous-réseaux 69 N NAT à propos de 99 configuration 101 contrôle 105 démarrage, arrêt 101158 Index vue d’ensemble de l’état 105 NetBoot visualisation des listes de clients 33 noms de domaine enregistrement 41 notation CIDR des masques de réseaux 69, 71 NTP à propos de 133 configuration 134 configuration des clients 135 informations supplémentaires 135 système de temps 133 P permutation circulaire 60 ports ordinateurs sous Mac OS X 92–96 ports TCP 92–93, 95 ports UDP 95 R répartition de la charge 60 réseaux privés 61 réseaux TCP/IP 61 S serveurs de courrier 57 serveurs de noms 40 serveurs de temps de strate 133 serveurs DHCP 25 emplacement du réseau 25 interactions 25 service de coupe-feu IP 65–68 adresses IP multiples 72 affichage des historiques 83 ajout de filtres 73 à propos de 65 avantages 66 configuration 72–73, 76–89 contexte 68 création de filtres 77, 78 démarrage, arrêt 74 filtres 69–72 filtres exemples 86–89 gestion 74–81 historiques, configuration 83–84 informations supplémentaires 97 modification des filtres 79 planification 72 préparation de la configuration 68–72 prévention des attaques par déni de service (DoS) 90 référence des ports 92–96 utilisations 66 service de courrier utilisation du service DNS avec 57 service DHCP 23–37 bornes d’accès AirPort 25 configuration 26 configuration automatique LDAP 25 démarrage et arrêt 27 désactivation de sous-réseaux 29 description 23 durée du bail des adresses IP d’un sous-réseau, modification 29 gestion 27–32 historiques 33 historiques pour 26 informations supplémentaires 37 modification des sous-réseaux 28 options DNS 29 options LDAP pour les sous-réseaux 30 options WINS pour les sous-réseaux 31, 32 préparation de la configuration 23–25 réglages du sous-réseau 28 serveur DNS pour clients DHCP 29 sous-réseaux 24 sous-réseaux, création 27 suppression des sous-réseaux 28 utilisations pour 23 visualisation des listes de clients 33 visualisation du bail, liste des clients 34 service DNS 39–63 arrêt 43 avec service de courrier 57 configuration 41 démarrage 43 description 39 gestion 43–44 informations supplémentaires 63 options des sous-réseaux DHCP 29 planification 40 préparation de la configuration 40 présentation générale de la configuration 41–43 répartition de la charge 60 serveurs 40 stratégies 40–43 utilisations 39 sous-réseaux 24 création 24, 27 Systèmes Mac OS X 92–96 T TCP/IP réseaux privés 61 Temps universel coordonné (UTC) 133 V VPN affichage de l’état 124 affichage des historiques 124 connexions client 125 consignation 124 iPod USB Power AdapterEnglish 3 iPod USB Power Adapter The iPod USB Power Adapter is for use with iPod shuffle, and with all iPods with Dock Connectors. Note: Your power adapter may look different from the one pictured here. Connect your iPod to the power adapter using the USB cable that came with your iPod. If you have an original iPod shuffle, you can connect it directly to the power adapter. Then extend the electrical prongs (if necessary) and plug the adapter into an electrical outlet to charge the iPod battery. AC plug adapter iPod USB Power Adapter USB cable that came with your iPod4 English You can also connect the power adapter to an iPod Dock and place iPod in the Dock. For information on charging times, see the manual that came with your iPod. Important: If your power adapter has retractable prongs, be sure to extend them completely before you plug the adapter into the outlet. Safety The only way to shut off power to your power adapter completely is to disconnect it from the power source. Always leave space around your power adapter. Don’t use it in a location where airflow around the power adapter is obstructed, such as a bookcase. When connecting or disconnecting your power adapter, always hold it by its sides. Keep your fingers away from the metal part of the plug. Before connecting the USB cable to the power adapter, make sure there are no foreign objects inside the power adapter’s USB port. The power adapter is a high-voltage component and should not be opened for any reason, even when iPod is off.English 5 Never force a connector into the power adapter USB port. If the connector and port do not join with reasonable ease, make sure that the connector matches the port and that you have positioned the connector correctly in relation to the port. Keep your power adapter away from sources of liquid, such as drinks, washbasins, bathtubs, shower stalls, rain, and so on. Take care not to spill any food or liquid on the power adapter. If you do, unplug the power adapter before cleaning up the spill. In case of a spill, you may have to send your equipment to Apple for service. Do not attempt to open your power adapter or disassemble it. You run the risk of electric shock and voiding the limited warranty. No user-serviceable parts are inside. If the power adapter appears to be damaged or does not function properly, go to www.apple.com/support for instructions on how to obtain warranty service. Specifications Input: AC 100-240 volts (V), 50/60 hertz (Hz) Output: DC 5V, 1 A678Français 9 Adaptateur secteur USB iPod Power Adapter L’adaptateur secteur de l’iPod USB Power Adapter est à utiliser avec l’iPod shuffle ou tout autre iPod muni du connecteur Dock. Remarque : votre adaptateur secteur peut être différent de celui illustré ci-dessus. Branchez votre iPod à l’adaptateur secteur grâce au câble USB fourni avec votre iPod. Si vous disposez du tout premier iPod shuffle, vous pouvez le brancher directement à l’adaptateur. Adaptateur CA Adaptateur secteur USB iPod Power Adapter Câble USB fourni avec votre iPod10 Français Étendez ensuite les broches électriques (si besoin), puis branchez l’adaptateur à une prise électrique afin de recharger la batterie de l’iPod. Vous pouvez aussi placer votre iPod sur son socle iPod Dock et brancher ce dernier à l’adaptateur secteur. Pour de plus amples informations sur les temps de charge de la batterie, reportez-vous au manuel fourni avec votre iPod. Important : si votre adaptateur secteur est doté de broches électriques à enrouleur, assurezvous de les étendre au maximum avant de brancher l’adaptateur sur la prise. Sécurité Le seul moyen de couper complètement le courant de votre adaptateur secteur est de le débrancher de sa source électrique. Gardez toujours un peu d’espace autour de votre adaptateur secteur. Ne l’utilisez pas dans un endroit où l’air ne circule pas autour de l’adaptateur, comme c’est le cas dans une bibliothèque.Français 11 Lorsque vous branchez ou débranchez votre adaptateur secteur, tenez-le toujours par ses côtés. Ne touchez pas la partie en métal de la prise. Avant de brancher le câble USB à l’adaptateur secteur, assurez-vous qu’aucun objet n’est logé dans le port USB de ce dernier. L’adaptateur secteur est un composant à haut voltage et ne doit en aucun cas être ouvert, même si l’iPod est éteint. Ne forcez jamais de connecteur à entrer dans le port USB de l’adaptateur. Si le connecteur et le port ne s’adaptent pas relativement facilement, assurez-vous qu’ils sont bien prévus pour se brancher ensemble et que vous avez positionné correctement le connecteur par rapport au port. Éloignez l’adaptateur secteur des liquides et sources de liquides, tels que les boissons, les lavabos, les baignoires, les blocs de douche, la pluie, etc.12 Français Prenez garde de ne pas faire tomber de nourriture ou de liquide sur l’adaptateur secteur. Si le cas se présente, débranchez l’adaptateur secteur avant de l’essuyer. Si vous renversez quelque chose dessus, il peut s’avérer nécessaire de renvoyer votre équipement à Apple pour le faire réviser. N’essayez pas d’ouvrir ou de démonter votre adaptateur secteur. Vous risquez de recevoir une décharge électrique et d’annuler la garantie limitée. L’appareil ne contient pas de pièces pouvant être réparées par l’utilisateur. Si l’adaptateur secteur semble endommagé ou ne fonctionne pas correctement, rendezvous sur le site www.apple.com/fr/support pour connaître les conditions de réparation dans le cadre de la garantie. Spécifications Entrée : CA 100-240 volts (V), 50/60 hertz (Hz) Sortie : CC 5V, 1 ADeutsch 13 iPod USB Power Adapter (Netzteil) Der iPod USB Power Adapter (Netzteil) kann mit dem iPod shuffle und allen iPod Playern mit Dock Connector verwendet werden. Hinweis: Ihr Netzteil sieht möglicherweise anders als hier dargestellt aus. Schließen Sie den iPod mit dem mitgelieferten USB-Kabel an das Netzteil an. Wenn Sie einen original iPod shuffle besitzen, können Sie diesen direkt an das Netzteil anschließen. Netzteilstecker iPod USB Power Adapter (Netzteil) Mit dem iPod geliefertes USB-Kabel14 Deutsch Klappen Sie dann die Steckerstifte (falls erforderlich) heraus und schließen Sie das Netzteil an eine Steckdose an, um die iPod Batterie zu laden. Sie können das Netzteil auch mit einem iPod Dock verbinden und den iPod in das Dock stellen. Informationen zu Ladezeiten finden Sie im Handbuch, das Sie mit Ihrem iPod erhalten haben. Wichtig: Wenn Ihr Netzteil herausklappbare Steckerstifte besitzt, stellen Sie sicher, dass Sie diese vollständig herausgeklappt haben, bevor Sie das Netzteil an die Steckdose anschließen. Sicherheit Die einzige Möglichkeit, die Stromzufuhr zum Netzteil komplett zu unterbrechen, besteht darin, das Kabel des Netzteils vom Stromnetz zu trennen. Achten Sie darauf, dass um das Netzteil ausreichend Freiraum vorhanden ist. Verwenden Sie es nur in Umgebungen, in denen eine ausreichende Luftzirkulation gewährleistet ist. Verwenden Sie es zum Beispiel nicht in einem Aktenkoffer oder Ähnlichem.Deutsch 15 Halten Sie das Netzteil an den Seiten, wenn Sie es vom Stromnetz trennen oder daran anschließen. Achten Sie darauf, die Metallstifte des Steckers nicht zu berühren. Stellen Sie vor dem Anschließen des USBKabels an das Netzteil sicher, dass sich keine Fremdkörper im USB-Anschluss des Netzteils befinden. Bei dem Netzteil handelt es sich um ein Hochspannungsbauteil, das unter keinen Umständen geöffnet werden darf, auch dann nicht, wenn der iPod ausgeschaltet ist. Versuchen Sie niemals, einen Stecker mit Gewalt an den USB-Anschluss des Netzteils anzuschließen. Wenn sich der Stecker nicht relativ einfach mit dem Netzteil verbinden lässt, vergewissern Sie sich, dass der Stecker zum Anschluss passt und Sie den Stecker wie erforderlich mit dem Anschluss ausgerichtet haben. Schützen Sie Ihr Netzteil vor Feuchtigkeit und Witterungseinflüssen. Legen Sie es nicht in der Nähe von Getränken, Waschbecken, Bade- und Duschwannen und anderen Feuchtigkeitsquellen ab.16 Deutsch Achten Sie darauf, dass das Netzteil nicht durch Speisereste oder Flüssigkeiten verunreinigt wird. Wenn dies doch einmal passiert, trennen Sie das Netzteil vom Stromnetz, bevor Sie es reinigen. Unter Umständen ist es erforderlich, Ihre Geräte an Apple zur Wartung zu senden. Versuchen Sie keinesfalls, das Netzteil zu öffnen oder auseinander zu bauen. Dabei kann es zu einem Kurzschluss kommen, und Sie riskieren den Verlust des Garantieanspruchs. Im Innern des Gerätes befinden sich keine Komponenten, die vom Benutzer gewartet werden können. Wenn das Netzteil beschädigt ist oder nicht korrekt funktioniert, finden Sie Näheres zu Ihren Garantieansprüchen und zu Service und Support unter folgender Adresse: www.apple.com/de/support. Technische Daten Eingangsleistung: 100 - 240 V Wechselstrom, 50/60 Hz Ausgangsleistung: 5 V Gleichstrom, 1,0 A17 Disposal and Recycling Information When this product has reached the end of its useful life, please dispose of it according to your local environmental laws and guidelines. For information about Apple’s recycling program, go to www.apple.com/environment/summary.html. European Union—Disposal Information: The symbol above means that according to local laws and regulations your product should be disposed of separately from household waste. When this product reaches its end of life, take it to a collection point designated by local authorities. Some collection points accept products for free. The separate collection and recycling of your product at the time of disposal will help conserve natural resources and ensure that it is recycled in a manner that protects human health and the environment.18 Union Européenne : informations sur l’élimination Le symbole ci-dessus signifie que vous devez vous débarasser de votre produit sans le mélanger avec les ordures ménagères, selon les normes et la législation de votre pays. Lorsque ce produit n’est plus utilisable, portez-le dans un centre de traitement des déchets agréé par les autorités locales. Certains centres acceptent les produits gratuitement. Le traitement et le recyclage séparé de votre produit lors de son élimination aideront à préserver les ressources naturelles et à protéger l’environnement et la santé des êtres humains. Europäische Union – Informationen zur Entsorgung Das Symbol oben bedeutet, dass dieses Produkt entsprechend den geltenden gesetzlichen Vorschriften und getrennt vom Hausmüll entsorgt werden muss. Geben Sie dieses Produkt zur Entsorgung bei einer offiziellen Sammelstelle ab. Bei einigen Sammelstellen können Produkte zur Entsorgung unentgeltlich abgegeben werden. Durch das separate Sammeln und Recycling werden die natürlichen Ressourcen geschont und es ist sichergestellt, dass beim Recycling des Produkts alle Bestimmungen zum Schutz von Gesundheit und Umwelt beachtet werden.19 Unione Europea: informazioni per l’eliminazione Questo simbolo significa che, in base alle leggi e alle norme locali, il prodotto dovrebbe essere eliminato separatamente dai rifiuti casalinghi. Quando il prodotto diventa inutilizzabile, portarlo nel punto di raccolta stabilito dalle autorità locali. Alcuni punti di raccolta accettano i prodotti gratuitamente. La raccolta separata e il riciclaggio del prodotto al momento dell’eliminazione aiutano a conservare le risorse naturali e assicurano che venga riciclato in maniera tale da salvaguardare la salute umana e l’ambiente. Europeiska unionen – uttjänta produkter Symbolen ovan betyder att produkten enligt lokala lagar och bestämmelser inte får kastas tillsammans med hushållsavfallet. När produkten har tjänat ut måste den tas till en återvinningsstation som utsetts av lokala myndigheter. Vissa återvinningsstationer tar kostnadsfritt hand om uttjänta produkter. Genom att låta den uttjänta produkten tas om hand för återvinning hjälper du till att spara naturresurser och skydda hälsa och miljö.Apple and the Environment At Apple, we recognize our responsibility to minimize the environmental impacts of our operations and products. For more information, go to www.apple.com/environment/summary.html. www.apple.com/ipod/support © 2006 Apple Computer, Inc. All rights reserved. Apple, the Apple logo, and iPod are trademarks of Apple Computer, Inc., registered in the U.S. and other countries. Shuffle is a trademark of Apple Computer, Inc. 0Z034-3775-A Printed in XXXX Mac OS X Server Administration du service de messagerie Pour version 10.4 ou ultérieureKApple Computer, Inc. © 2005 Apple Computer, Inc. Tous droits réservés. Le propriétaire ou l’utilisateur autorisé d’un exemplaire enregistré du logiciel Mac OS X Server peut reproduire cette publication aux fins d’apprentissage du logiciel. Cette publication ne peut être reproduite ou transmise en tout ou partie à des fins commerciales, comme la vente de copies de cette publication ou la fourniture d’un service d’assistance payant. Tout a été mis en œuvre pour que les informations contenues dans ce manuel soient exactes. Apple Computer, Inc., n’est pas responsable des erreurs d’impression ou de typographie. Apple 1 Infinite Loop Cupertino, CA 95014-2084 408-996-1010 www.apple.com Le logo Apple est une marque d’Apple Computer Inc. déposée aux États-Unis et dans d’autres pays. L’utilisation de ce logo à des fins commerciales via le clavier (Option-1) pourra constituer un acte de contrefaçon et/ou de concurrence déloyale. Apple, le logo Apple, AppleScript, AppleShare, AppleTalk, ColorSync, FireWire, Keychain, Mac, Macintosh, Power Macintosh, QuickTime, Sherlock et WebObjects sont des marques d’Apple Computer, Inc., déposées aux États-Unis et dans d’autres pays. AirPort, Extensions Manager, Finder, iMac et Power Mac sont des marques d’Apple Computer, Inc. Java et tous les logos et marques dérivés de Java sont des marques ou des marques déposées de Sun Microsystems, Inc. aux États-Unis et dans d’autres pays. UNIX est une marque déposée aux États-Unis et dans d’autres pays sous la licence exclusive de X/Open Company Ltd. F019-0163/03-24-05 3 1 Table des matières Préface 9 À propos de ce guide 9 Nouveautés de la version 10.4 9 Contenu de ce guide 9 Utilisation de ce guide 10 Configuration initiale de Mac OS X Server 10 Pour toute aide concernant les tâches de gestion quotidiennes 10 Utilisation de l’aide à l’écran 11 La suite Mac OS X Server 13 Obtenir des mises à jour de documentation 13 Informations complémentaires Chapitre 1 15 Configuration du service de messagerie 16 Protocoles du service de messagerie 16 Courrier sortant 16 Courrier entrant 18 Interaction de l’utilisateur avec le service de messagerie 18 Stockage du courrier 18 Emplacement du courrier sortant 18 Emplacement du courrier entrant 19 Nombre maximal de messages par volume 19 Utilisation du service Web avec Mail 20 Utilisation des services réseau avec le service de messagerie 21 Configuration DNS pour le service de messagerie 22 Utilisation des connexions SSL par le service de messagerie 23 Activation du transport de courrier sécurisé à l’aide de SSL 23 Avant de commencer 24 Impact des réglages du compte d’utilisateur sur le service de messagerie 24 Déplacement des messages d’Apple Mail Server vers Mac OS X Server version 10.4 24 Présentation générale des outils du service de messagerie 25 Présentation générale de la configuration 27 Configuration du service de messagerie entrant 28 Activation de l’accès POP 28 Activation de l’accès IMAP4 Table des matières 29 Si vous choisissez de ne pas récupérer le courrier entrant 30 Activation de l’authentification POP sécurisée 30 Activation de l’authentification moins sécurisée pour POP 31 Configuration du transport SSL pour les connexions POP 31 Activation de l’authentification IMAP sécurisée 32 Activation de l’authentification IMAP moins sécurisée 33 Configuration du transport SSL pour les connexions IMAP 33 Configuration du service de messagerie sortant 33 Activation de l’accès SMTP 34 L’authentification SMTP 34 Activation de l’authentification SMTP sécurisée 35 Activation de l’authentification SMTP moins sécurisée 36 Configuration du transport SSL pour les connexions SMTP 36 Retransmission du courrier SMTP via un autre serveur 37 Limitation de la taille des messages entrants 37 Utilisation des listes de contrôle d’accès (ACL) pour l’accès au service de messagerie 39 Gestion des utilisateurs du service de messagerie 39 Configuration des réglages de courrier pour les comptes d’utilisateur 39 Configuration du logiciel client de messagerie 40 Création d’un compte d’administration 41 Création d’adresses électroniques supplémentaires pour un utilisateur 42 Configuration du transfert d’adresses électroniques pour un utilisateur 43 Ajout ou suppression de domaines virtuels 44 Exécution d’un hôte virtuel 44 Activation de l’hébergement virtuel 45 Ajout ou suppression d’hôtes virtuels 45 Association d’utilisateurs à l’hôte virtuel 47 Gestion des quotas de courrier 48 Activation de quotas de courrier pour les utilisateurs 48 Configuration d’avertissements de quota 49 Configurer les réactions au dépassement de quota 49 Limitation du courrier indésirable et des virus 50 Contrôle de la connexion 53 Filtrage des connexions SMTP 53 Contrôle des messages 58 Options et outils de configuration avancés 58 cyradm 59 Prise en charge des scripts Sieve Chapitre 2 63 Maintenance du service de messagerie 63 Démarrage et arrêt du service de messagerie 64 Suspension du service de messagerie sortant 64 Blocage des connexions du courrier entrantTable des matières 5 65 Rechargement du service de messagerie 65 Modification des réglages de protocole pour le service de messagerie entrant 65 Amélioration des performances 66 Utilisation de la base de données et de l’espace de stockage du courrier 66 Visualisation de l’emplacement de la base de données et de l’espace de stockage du courrier 67 Réparation de la base de données du courrier 67 Réparation de la base de données du compte d’utilisateur de courrier 68 Conversion de l’espace de stockage et de la base de données du courrier à partir d’une version antérieure 69 Spécification de l’emplacement de la base de données et de l’espace de stockage du courrier 70 Création d’emplacements supplémentaires de stockage du courrier 71 Sauvegarde et restauration des messages de courrier 71 Surveillance des dossiers et des messages de courrier 72 Autorisation de l’accès administrateur aux dossiers de courrier 72 Enregistrement des messages électroniques pour la surveillance et l’archivage 73 Surveillance du service de messagerie 73 Visualisation de l’ensemble des activités du service de messagerie 74 Affichage de la liste des connexions de courrier 74 Consultation de la file d’attente du courrier sortant 74 Effacement de messages dans la file d’attente du courrier sortant 75 Visualisation des comptes de messagerie 75 Affichage des historiques du service de messagerie 75 Configuration du niveau de détail de l’historique du service de messagerie 76 Archivage par planification des historiques du service de messagerie 76 Récupération de l’espace disque utilisé par les archives des historiques du service de messagerie 77 Gestion d’un disque saturé 77 Traitement du courrier non distribuable 77 Transfert du courrier entrant non distribuable 78 Copie du courrier entrant non distribuable 78 Nouvelle tentative d’envoi des messages sortants non distribués 79 Autres sources d’informations 79 Bibliographie 79 Internet Chapitre 3 81 Listes d’envoi 82 Configuration d’une liste d’envoi 82 Activation des listes d’envoi 83 Création d’une nouvelle liste d’envoi 84 Définition de la taille maximum d’un message 84 Création d’une description de liste d’envoi6 Table des matières 85 Personnalisation du message d’accueil de la liste d’envoi 85 Personnalisation du message d’annulation d’inscription à la liste d’envoi 86 Activation d’un modérateur de liste d’envoi 87 Définition des options de renvoi de messages de la liste d’envoi 87 Constitution d’une liste d’envoi en tant que privée 88 Ajout de membres 89 Administration des listes d’envoi 89 Affichage des listes d’envoi d’un serveur 89 Affichage de la page d’information d’une liste d’envoi 90 Désignation d’un administrateur de liste 90 Accès aux options de l’administrateur basées sur le Web 91 Désignation d’un modérateur de liste 91 Archivage du courrier électronique d’une liste 92 Affichage des archives de liste d’envoi 92 Utilisation des membres de la liste d’envoi 92 Ajout d’un abonné à une liste existante 93 Suppression d’un abonné d’une liste 93 Modification des autorisations de publication pour les abonnés 94 Suspension d’un abonné 94 Options de membre de liste 94 Inscription à une liste d’envoi par courrier électronique 95 Inscription à une liste d’envoi par Internet 96 Annulation d’inscription à une liste d’envoi par courrier électronique 96 Annulation d’inscription à une liste d’envoi par Internet 96 Définition et modification de votre mot de passe de liste d’envoi 97 Désactivation de la distribution du courrier d’une liste 97 Basculement en mode digest 98 Faire basculer les résumés (“digests”) MIME ou en texte clair 99 Définition des options d’abonné supplémentaires 99 Autres sources d’informations Annexe 101 Certificats et sécurité 101 Infrastructure de clés publiques 102 Clés publiques et privées 102 Certificats 103 Autorités de certificat (CA, Certificate Authority) 103 Identités 103 Certificats auto-signés 103 Gestionnaire de certificats d’Admin Serveur 104 Préparation des certificats 104 Demande d’un certificat à une autorité de certificat 105 Création d’un certificat auto-signé 106 Importation d’un certificatTable des matières 7 106 Gestion des certificats 107 Modification d’un certificat 107 Suppression d’un certificat 107 Utilisation des certificats Glossaire 109 Index 119 9 Préface À propos de ce guide Ce guide explique comment configurer et administrer les services de messagerie de Mac OS X Server. Nouveautés de la version 10.4 Le service de messagerie de Mac OS X Server inclut plusieurs nouvelles fonctionnalités très utiles. Elles comptent : • de nouvelles règles de prévention de courrier indésirable ; • le contrôle du courrier indésirable (basé sur SpamAssassin) ; • l’hébergement virtuel ; • une meilleure gestion du quota de messages ; • des outils de maintenance et de migration intégrés. Contenu de ce guide Ce guide est divisé en trois chapitres et une annexe. • Le chapitre 1, “Configuration du service de messagerie”, à la page 15 contient toutes les informations nécessaires à l’installation et à la configuration du service de messagerie, ainsi qu’à l’assistance et à la configuration des utilisateurs du courrier. • Le chapitre 2, “Maintenance du service de messagerie”, à la page 63 vous informe sur la maintenance courante et l’administration du serveur de messagerie. • Le chapitre 3, “Listes d’envoi”, à la page 81 explique le service de liste d’envoi de Mac OS X Server. Les listes d’envoi sont un outil performant de collaboration pour l’archivage et la diffusion de discussions par courrier électronique. • L’annexe “Certificats et sécurité” à la page 101 décrit le gestionnaire de certificats de Admin Serveur, un moyen simple de créer, d’organiser et d’utiliser les certificats de sécurité pour des services compatibles SSL. Utilisation de ce guide Le premier chapitre donne un aperçu du fonctionnement du service de messagerie, de ce qu’il permet de faire, des stratégies d’utilisation, de la manière de le configurer pour la première fois et de l’administrer par la suite. 10 Préface À propos de ce guide Consultez également tout chapitre décrivant un service avec lequel vous n’êtes pas familiarisé. Vous constaterez peut-être que certains des services que vous n’aviez pas utilisés jusqu’à présent peuvent vous permettre de gérer votre réseau de manière plus efficace et d’en améliorer les performances pour vos utilisateurs. La plupart des chapitres se terminent par une section appelée “Autres sources d’informations”. Cette section vous propose des sites Web et d’autres documents de référence où figurent d’autres informations sur le service concerné. Configuration initiale de Mac OS X Server Si vous n’avez pas encore installé, puis configuré Mac OS X Server, procédez de suite. • Consultez le document Mac OS X Server Premiers contacts avec la version 10.4 ou ultérieure, fourni avec le logiciel, afin de prendre connaissance des instructions d’installation et de configuration du serveur. Ce document fournit toutes les informations nécessaires, dans plusieurs environnements, pour démarrer votre serveur, le faire fonctionner et le rendre disponible pour une première utilisation. • Lisez les sections spécifiques pour apprendre à configurer des fonctions individuelles du service de messagerie. Portez une attention toute particulière aux informations figurant dans les sections suivantes : “Présentation générale de la configuration” et “Avant de commencer”. Pour toute aide concernant les tâches de gestion quotidiennes Pour modifier des réglages, contrôler des services, afficher des historiques sur les services ou effectuer toute autre tâche d’administration quotidienne, consultez les aides à l’écran disponibles dans Mac OS X Server pour obtenir des procédures détaillées. Toutes les tâches d’administration sont décrites dans le deuxième chapitre de ce guide, mais il peut s’avérer plus pratique de rechercher des informations via l’aide à l’écran lorsque vous utilisez votre serveur. Utilisation de l’aide à l’écran Vous pouvez afficher des instructions et d’autres informations utiles sur la suite serveur en utilisant l’aide à l’écran. Sur un ordinateur qui exécute Mac OS X Server, vous pouvez accéder à l’aide à l’écran en ouvrant Gestionnaire de groupe de travail ou Admin Serveur. Sélectionnez une option dans le menu Aide : • Aide Gestionnaire de groupe de travail ou Aide Admin Serveur affiche des informations sur l’application.Préface À propos de ce guide 11 • Aide Mac OS X Server affiche la page d’aide principale du serveur, à partir de laquelle vous pouvez rechercher des informations sur le serveur. • Documentation vous permet d’accéder au site www.apple.com/fr/server/ documentation, à partir duquel vous pouvez télécharger la documentation du serveur. Vous pouvez également accéder à l’aide à l’écran à partir du Finder ou d’autres applications d’un serveur ou d’un ordinateur administrateur. Un ordinateur administrateur est un ordinateur Mac OS X sur lequel est installé un logiciel d’administration de serveur. Utilisez le menu Aide afin d’ouvrir Visualisation Aide, puis choisissez Bibliothèque > Aide Mac OS X Server. Pour consulter les toutes dernières rubriques d’aide, assurez-vous que l’ordinateur serveur ou administrateur est connecté à Internet lorsque vous utilisez Visualisation Aide. Visualisation Aide extrait et met en cache automatiquement les toutes dernières rubriques d’aide sur Internet concernant le serveur. Lorsque vous n’êtes pas connecté à Internet, Visualisation Aide affiche les rubriques d’aide mises en cache. La suite Mac OS X Server La documentation de Mac OS X Server comprend une série de guides présentant les services offerts ainsi que les instructions relatives à leur configuration, leur gestion et leur dépannage. Tous les guides sont disponibles au format PDF via : www.apple.com/fr/server/documentation/ Ce guide ... explique comment : Mac OS X Server Premiers contacts avec la version 10.4 ou ultérieure installer Mac OS X Server et le configurer pour la première fois. Mac OS X Server Mise à niveau et migration vers la version 10.4 ou ultérieure utiliser les données et réglages des services actuellement utilisés sur les versions antérieures du serveur. Mac OS X Server Gestion utilisateur pour la version 10.4 ou ultérieure créer et gérer les utilisateurs, groupes et listes d’ordinateurs ; configurer les préférences gérées des clients Mac OS X. Mac OS X Server Administration du service de fichiers pour la version 10.4 ou ultérieure partager des volumes ou dossiers de serveur sélectionnés parmi les clients du serveur via les protocoles suivants : AFP, NFS, FTP, et SMB. Mac OS X Server Administration du service d'impression pour la version 10.4 ou ultérieure héberger les imprimantes partagées et gérer les files d’attente et travaux d’impression associés. Mac OS X Server Administration de mises à jour de logiciels et d'images de système pour la version 10.4 ou ultérieure utiliser NetBoot et Installation en réseau pour créer des images disque à partir desquelles les ordinateurs Macintosh peuvent démarrer sur le réseau ; configurer un serveur de mise à jour de logiciels pour la mise à jour d’ordinateurs clients via le réseau.12 Préface À propos de ce guide Mac OS X Server Administration du service de courrier pour la version 10.4 ou ultérieure installer, configurer et administrer les services de messagerie sur le serveur. Mac OS X Server Administration de technologies Web pour la version 10.4 ou ultérieure configurer et gérer un serveur Web, dont WebDAV, WebMail, et les modules Web. Mac OS X Server Administration de services de réseaux pour la version 10.4 ou ultérieure installer, configurer et administrer DHCP, DNS, VPN, NTP, coupe-feu IP et services NAT sur le serveur. Mac OS X Server Administration d'Open Directory pour la version 10.4 ou ultérieure gérer les services de répertoires et d’authentification. Mac OS X Server Administration du Serveur Enchaînement QuickTime pour la version 10.4 ou ultérieure configurer et gérer les services d’enchaînement QuickTime. Mac OS X Server Administration des services Windows pour la version 10.4 ou ultérieure configurer et gérer des services tels que PDC, BDC, fichiers et impression pour les utilisateurs d’ordinateurs Windows. Mac OS X Server Migration à partir de Windows NT pour la version 10.4 ou ultérieure déplacer des comptes, des dossiers partagés et des services à partir de serveurs Windows NT vers Mac OS X Server. Mac OS X Server Administration du serveur d’applications Java pour la version 10.4 ou ultérieure configurer et administrer un serveur d’applications JBoss sur Mac OS X Server. Mac OS X Server Administration de la ligne de commande pour la version 10.4 ou ultérieure utiliser les commandes et les fichiers de configuration pour exécuter les tâches d’administration du serveur via l’interpréteur de commandes UNIX. Mac OS X Server Administration des services de collaboration pour la version 10.4 ou ultérieure configurer et gérer un journal Web, des discussions instantanées et d’autres services facilitant les interactions entre les utilisateurs. Mac OS X Server Administration de la haute disponibilité pour la version 10.4 ou ultérieure gérer le basculement et la restauration automatique pour les services de fichiers, les services Web, les services de messagerie, les services IP et d’autres services. Mac OS X Server Administration d'Xgrid pour la version 10.4 ou ultérieure gérer des clusters de calcul Xserve à l’aide de l’application Xgrid. Mac OS X Server Glossaire : inclut la terminologie pour Mac OS X Server, Xserve, Xserve RAID et Xsan interpréter les termes utilisés pour les produits de serveur et les produits de stockage. Ce guide ... explique comment :Préface À propos de ce guide 13 Obtenir des mises à jour de documentation Apple publie régulièrement de nouvelles rubriques d’aide à l’écran, des guides révisés et des documents de solutions. Les nouvelles rubriques d’aide incluent des mises à jour des guides les plus récents. • Pour afficher de nouvelles rubriques d’aide à l’écran, assurez-vous que votre serveur ou ordinateur d’administration administrateur est connecté à Internet et cliquez sur le lien Informations de dernière minute dans la page d’aide principale de Mac OS X Server. • Pour télécharger les guides et documents de solutions les plus récents au format PDF, rendez-vous sur la page Web de documentation de Mac OS X Server : www.apple.com/fr/server/documentation. Informations complémentaires Pour plus d’informations, consultez les ressources suivantes : Documents Ouvrez-moi—mises à jour importantes et informations spécifiques. Recherchez-les sur les disques du serveur. Site Web de Mac OS X Server—source d’informations sur la technologie et les produits. www.apple.com/fr/macosx/server/ Service & Support AppleCare—accès à des centaines d’articles des services d’assistance Apple. www.apple.com/fr/support/ Formation des clients Apple—cours en salle et autoformations afin de développer vos compétences en termes d’administration de serveur. train.apple.com Groupes de discussion Apple—moyen de partager des questions, des connaissances et des conseils avec d’autres administrateurs. discussions.info.apple.com Répertoire de listes d’envoi Apple—abonnez-vous à des listes d’envoi afin de pouvoir communiquer par courrier électronique avec d’autres administrateurs. www.lists.apple.com1 15 1 Configuration du service de messagerie Le service de messagerie de Mac OS X Server permet aux utilisateurs du réseau d’envoyer ou de recevoir des messages électroniques sur votre réseau ou sur Internet. Pour ce faire, il recourt à des protocoles de messagerie Internet standard : IMAP (Internet Message Access Protocol), POP (Post Office Protocol) et SMTP (Simple Mail Transfer Protocol). Le service de messagerie utilise également un service DNS (Domain Name System) afin de déterminer l’adresse IP de destination du courrier sortant. Ce chapitre offre tout d’abord une présentation générale des protocoles standard utilisés pour l’envoi et la réception de messages électroniques. Il décrit ensuite le fonctionnement du service de messagerie, expose brièvement les aspects de la configuration du service de messagerie et vous explique comment : • configurer le service de messagerie pour les messages entrants et sortants, • fournir l’assistance aux utilisateurs du service de messagerie, • limiter le courrier indésirable. Entrant Sortant Entrant Sortant cathie@school.edu Internet roland@exemple.com Serveur de messagerie de school.edu Serveur de messagerie d'exemple.com16 Chapitre 1 Configuration du service de messagerie Protocoles du service de messagerie La configuration standard d’un client de courrier utilise le protocole SMTP pour envoyer les messages sortants et les protocoles POP et IMAP pour recevoir les messages entrants. Mac OS X Server comprend un service SMTP et un service combiné POP et IMAP. Nous vous conseillons d’examiner plus en détails ces trois protocoles de messagerie. Courrier sortant Le service de messagerie sortant constitue le moyen par lequel les utilisateurs envoient des messages électroniques via Internet. Sauf restrictions de votre part, ce service transfère également du courrier en provenance et à destination de services de messagerie situés sur d’autres serveurs. Si les utilisateurs de votre service de messagerie envoient des messages vers un autre domaine Internet, votre service SMTP transmet ces messages sortants au domaine serveur correspondant. Simple Mail Transfer Protocol (SMTP) SMTP est un protocole utilisé pour envoyer et transférer le courrier. SMTP met les messages sortant de l’utilisateur en file d’attente. Ces messages sont transférés vers leur destination via Internet, et seront reçus par des protocoles de courrier entrant. Mac OS X Server utilise Postfix comme agent de transfert de messages (MTA). Postfix prend intégralement en charge le protocole Internet standard SMTP. Vos utilisateurs de courrier électronique choisiront votre Mac OS X Server exécutant Postfix comme serveur de messagerie sortant pour leurs applications de courrier électronique et accéderont à leur propre courrier entrant à partir d’un Mac OS X Server exécutant un service de messagerie entrant. Vous trouverez plus d’informations sur Postfix à l’adresse suivante : www.postfix.org Si vous choisissez d’utiliser un autre MTA (tel que Sendmail), vous ne pourrez pas configurer votre service de messagerie à l’aide des outils d’administration de Mac OS X Server. Si vous souhaitez utiliser le programme Sendmail plutôt que Postfix, vous devez désactiver le service SMTP actuel via Postfix, puis installer et configurer Sendmail. Pour plus d’informations sur Sendmail, consultez le site Web www.sendmail.org. Courrier entrant Le courrier est transféré de l’espace de stockage du courrier entrant vers la boîte de réception du destinataire par un agent de distribution local (LDA). Le LDA est responsable de la gestion de la distribution locale, en mettant le courrier à la disposition de l’application de courrier de l’utilisateur. L’agent d’accès au courrier de Mac OS X Server propose deux protocoles différents : POP et IMAP.Chapitre 1 Configuration du service de messagerie 17 Mac OS X Server utilise Cyrus pour fournir les services POP et IMAP. Vous trouverez plus d’informations sur Cyrus à l’adresse suivante : asg.web.cmu.edu/cyrus Post Office Protocol (POP) POP est utilisé uniquement pour la réception de courrier et non pour l’envoi. Le service de messagerie de Mac OS X Server stocke le courrier POP entrant jusqu’à ce que l’ordinateur de l’utilisateur soit connecté au service et que l’utilisateur télécharge son courrier en attente. Une fois les messages POP téléchargés, ils ne sont plus stockés que sur l’ordinateur de l’utilisateur. L’ordinateur de l’utilisateur se déconnecte alors du service de messagerie et l’utilisateur peut lire, organiser et répondre au courrier POP reçu. Le fonctionnement du service POP est analogue à celui d’un bureau de poste, car il stocke le courrier et le remet à une adresse donnée. L’un des avantages de l’utilisation de POP est que votre serveur n’a pas besoin de stocker le courrier que les utilisateurs ont téléchargé. Votre serveur ne nécessite donc pas un espace de stockage aussi important que s’il utilisait le protocole IMAP. Cependant, le courrier étant supprimé du serveur, si certains ordinateurs clients connaissent des problèmes de disque dur et perdent leurs fichiers de courrier, seule l’utilisation de sauvegardes de données permet de récupérer ces fichiers. Un autre avantage de POP est dû au fait que les connexions POP sont transitoires. Une fois le courrier transféré, la connexion est interrompue et la charge sur le réseau et sur le serveur de messagerie est supprimée. Le protocole POP ne constitue pas la meilleure solution pour les utilisateurs qui accèdent à leur courrier à partir de plusieurs ordinateurs, tels qu’un ordinateur chez eux, leur ordinateur de bureau ou un ordinateur portable lors de déplacements. Lorsqu’un utilisateur extrait son courrier via le protocole POP, il le télécharge sur son ordinateur, le supprimant en général totalement du serveur. Si l’utilisateur se connecte par la suite à partir d’un ordinateur différent, il ne pourra plus accéder aux messages téléchargés précédemment. Protocole IMAP (Internet Message Access Protocol) IMAP est la solution pour ceux qui sont amenés à utiliser plusieurs ordinateurs pour recevoir leur courrier. Il s’agit d’un protocole de messagerie client-serveur qui permet aux utilisateurs d’accéder à leur courrier à partir de n’importe quel emplacement sur Internet. Les utilisateurs peuvent envoyer et lire du courrier avec plusieurs clients de messagerie compatibles à ce protocole. Avec le protocole IMAP, le courrier d’un utilisateur est distribué au serveur et stocké dans une boîte aux lettres distante sur le serveur ; il s’affiche comme s’il se trouvait sur l’ordinateur local de l’ordinateur. Une différence essentielle entre IMAP et POP est la suivante : avec le protocole IMAP, le courrier n’est pas supprimé du serveur tant que l’utilisateur ne l’a pas lui-même supprimé.18 Chapitre 1 Configuration du service de messagerie L’ordinateur de l’utilisateur IMAP peut demander au serveur l’accès aux en-têtes de messages ou au corps de certains messages, ou encore rechercher des messages répondant à des critères spécifiques. Ces messages sont téléchargés lors de leur ouverture par l’utilisateur. Les connexions IMAP sont persistantes et demeurent ouvertes, ce qui a pour effet d’entraîner une charge sur le serveur, ainsi que sur le réseau. Interaction de l’utilisateur avec le service de messagerie Le courrier est distribué au destinataire final via un agent utilisateur de courrier (MUA). Les MUA sont généralement appelés “clients de messagerie” ou “applications de messagerie”. Ces clients de messagerie sont généralement exécutés sur l’ordinateur local de chaque utilisateur. L’application de messagerie de chaque utilisateur doit être configurée pour envoyer les messages vers le serveur sortant approprié et recevoir les messages en provenance du serveur entrant. Ces configurations peuvent affecter la charge de traitement supportée par votre serveur ainsi que l’espace de stockage disponible. Stockage du courrier Le courrier est stocké soit dans une file d’attente sortante en attendant le transfert vers un serveur distant, soit dans un espace local de stockage des messages accessible par les utilisateurs du service de messagerie local. Emplacement du courrier sortant Les messages sortants sont stockés par défaut dans le répertoire d’attente suivant sur le disque de démarrage : /var/spool/postfix Cet emplacement est temporaire et le courrier y est stocké jusqu’à ce qu’il ait été transféré avec succès vers Internet. Ces emplacements peuvent être placés sur n’importe quel volume accessible (local ou monté NFS) et l’administrateur de courrier peut établir un lien symbolique vers ces emplacements. Emplacement du courrier entrant Le service de messagerie assure le suivi des messages entrants à l’aide d’une petite base de données (BerkeleyDB.4.2.52) qui ne contient pas, cependant, les messages proprement dits. Le service de messagerie stocke chaque message sous la forme d’un fichier distinct dans un dossier de courrier correspondant à chaque utilisateur. Le courrier entrant est stocké sur le disque de démarrage dans le répertoire suivant : /var/spool/imap/user/[nom d’utilisateur]Chapitre 1 Configuration du service de messagerie 19 Cyrus place un fichier d’index de base de données dans le dossier des messages d’utilisateur. Vous pouvez déplacer tout ou partie des dossiers de messages et des index de base de données vers un autre dossier, un autre disque ou une autre partition de disque. Bien que l’utilisation d’un volume partagé provoque des problèmes de performances, il vous est même possible de spécifier un volume partagé sur un autre serveur comme emplacement du dossier des messages et de la base de données. Pour des systèmes de fichiers montés à distance, NFS n’est pas recommandé. Le courrier entrant demeure sur le serveur tant qu’il n’a pas été supprimé par un MUA. Le stockage de courrier Cyrus peut également être divisé sur plusieurs partitions. Cela peut servir à ajuster la taille des services de messagerie ou à faciliter la sauvegarde des données. Pour plus de détails, consultez la rubrique “Création d’emplacements supplémentaires de stockage du courrier” à la page 70. Nombre maximal de messages par volume Dans la mesure où le service de messagerie stocke chaque message dans un fichier distinct, le nombre de messages pouvant être stockés sur un volume est déterminé par le nombre total de fichiers que ce dernier peut accueillir. Le nombre total de fichiers pouvant être stockés sur un volume utilisant le format Mac OS étendu (parfois appelé format HFS Plus) dépend des facteurs suivants : • la taille du volume ; • la taille des fichiers ; • la taille minimale d’un fichier (par défaut, un bloc de 4 Ko). Par exemple, un volume HFS Plus de 4 Go avec une taille de bloc par défaut de 4 Ko comporte un million de blocs disponibles. Ce volume peut contenir un maximum d’un million de fichiers de 4 Ko, c’est-à-dire un million de messages électroniques d’une taille inférieure ou égale à 4 Ko. Si certains messages électroniques présentent une taille supérieure à 4 Ko, ce volume peut contenir un nombre inférieur de messages. Un volume de plus grande capacité doté de la même taille de bloc par défaut peut contenir proportionnellement plus de fichiers. Utilisation du service Web avec Mail WebMail est un agent utilisateur de courrier (MUA) utilisant le Web. Il permet à un navigateur Web, tel que Safari d’Apple de rédiger, lire et réexpédier un message électronique comme n’importe quel autre client de messagerie électronique. La fonctionnalité WebMail de Mac OS X Server est également incluse dans un logiciel appelé SquirrelMail. Rendez-vous à l’adresse suivante : www.squirrelmail.org. Avec WebMail, le serveur de messagerie réel est en fait fourni par votre service de messagerie. WebMail ne peut fournir le service de messagerie sans la présence du serveur de messagerie. WebMail utilise le service de messagerie de votre Mac OS X Server.20 Chapitre 1 Configuration du service de messagerie WebMail utilise les protocoles de courrier standard et requiert que ces derniers soient pris en charge par votre serveur de messagerie. Ces protocoles sont les suivants : • Protocole IMAP (Internet Message Access Protocol) pour la récupération du courrier entrant • Protocole SMTP (Simple Mail Transfer Protocol) pour l’échange du courrier avec d’autres serveurs de messagerie (envoi du courrier sortant et réception du courrier entrant) WebMail ne prend pas en charge la récupération du courrier entrant via le protocole POP (Post Office Protocol). Même si votre serveur de messagerie dispose d’un protocole POP activé, WebMail ne l’utilise pas. Pour utiliser WebMail : 1 Premièrement, vous devez activer et configurer votre serveur de messagerie. Ce livre contient des instructions d’installation détaillées pour mettre en marche votre serveur de messagerie. 2 Puis, une fois le serveur de messagerie configuré, vous devez activer le logiciel de WebMail. Pour obtenir des instructions sur l’installation du WebMail, consultez le guide “Mac OS X Server Administration de technologies Web pour la version 10.4 ou ultérieure” disponible sur www.apple.com/fr/server/documentation/. Utilisation des services réseau avec le service de messagerie Le service de messagerie utilise les services réseau afin de garantir la distribution du courrier électronique. Avant d’envoyer un message électronique, votre service de messagerie utilisera certainement un service DNS (Domain Name System) pour déterminer l’adresse IP (Internet Protocol) de la destination. Le service DNS est nécessaire car les utilisateurs adressent généralement leur courrier sortant via un nom de domaine, tel que exemple.com, plutôt que via une adresse IP, telle que 198.162.12.12. Pour envoyer un message sortant, votre service de messagerie doit connaître l’adresse IP de la destination. Il fait donc appel à un service DNS pour rechercher les noms des domaines et déterminer les adresses IP correspondantes. Le service DNS peut être fourni par votre fournisseur d’accès à Internet (FAI) ou par Mac OS X Server, comme l’explique le guide d’administration de services de réseau. En outre, un enregistrement de type Mail Exchange (MX) peut être source de redondance en indiquant un hôte de courrier alternatif pour un domaine. Si l’hôte de courrier principal n’est pas disponible, le message peut être envoyé à l’hôte de courrier alternatif. Un enregistrement MX peut répertorier plusieurs hôtes de courrier ayant chacun un numéro de priorité. Si l’hôte prioritaire est occupé, les messages peuvent être envoyés à l’hôte suivant selon l’ordre de priorité défini et ainsi de suite.Chapitre 1 Configuration du service de messagerie 21 Les services de messagerie utilisent le service DNS de la façon suivante : 1 Le serveur d’envoi examine le nom de domaine du destinataire du message (c’est-à-dire la portion qui se trouve après le caractère @ dans l’adresse). 2 Le serveur d’envoi examine l’enregistrement MX de ce nom de domaine afin de rechercher le serveur destinataire. 3 S’il le trouve, le message est envoyé au serveur destinataire. 4 Si la recherche d’un enregistrement MX pour le nom de domaine échoue, le serveur expéditeur suppose généralement que le nom du serveur destinataire correspond au nom de domaine. Dans ce cas, le serveur expéditeur recherche une adresse (A) sur ce nom de domaine et tente d’y envoyer le fichier. En l’absence d’un enregistrement MX correctement configuré dans le service DNS, il se peut que le courrier ne parvienne pas au serveur destinataire. Configuration DNS pour le service de messagerie La configuration DNS pour le service de messagerie consiste à activer les enregistrements MX avec votre propre serveur DNS. Si votre FAI assure le service DNS, vous devez le contacter afin qu’il puisse activer vos enregistrements MX. Ne suivez les étapes suivantes que dans le cas où vous assurez votre propre service DNS à l’aide de Mac OS X Server. Pour activer les enregistrements MX : 1 Dans Admin Serveur, sélectionnez DNS dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Zones. 4 Sélectionnez la zone où l’enregistrement MX sera ajouté. S’il n’y a pas de zone, vous devrez en créer une. Pour plus d’informations, consultez le guide d’administration de services réseau. 5 Cliquez sur le bouton Modifier (/) situé sous la liste des zones. 6 Sélectionnez l’onglet Ordinateurs. 7 Cliquez sur le bouton Ajouter (+) situé sous la liste des ordinateurs. 8 Saisissez l’adresse IP du serveur de messagerie. 9 Sélectionnez le nom d’hôte du serveur de messagerie. Sous le nom d’hôte, vous verrez le futur nom de domaine complet de l’ordinateur. 10 Cliquez sur le bouton Ajouter (+) à côté de la case Alias pour ajouter d’autres noms à cet ordinateur. Ajoutez autant d’alias que vous le souhaitez. 11 Cochez la case intitulée “Cet ordinateur est un serveur de courrier pour la zone”. Ce champ constitue la base de l’enregistrement MX de l’ordinateur.22 Chapitre 1 Configuration du service de messagerie 12 Définissez un numéro de priorité du serveur de courrier. Les serveurs de messagerie tentent de délivrer le courrier premièrement à un petit nombre de serveurs de messagerie. 13 Saisissez toutes les informations concernant le matériel et le logiciel de l’ordinateur dans les cases appropriées. 14 Saisissez tous les commentaires concernant votre ordinateur dans la case “Commentaire”. Vous pouvez entrer pratiquement n’importe quelle chaîne de texte dans la case de commentaires. Par exemple, vous pouvez préciser le lieu où se trouve l’ordinateur (tel que 1er étage, porte 3) ou bien le propriétaire de l’ordinateur (tel que Ordinateur de Pierre) ou toute autre information que vous souhaitez garder concernant votre ordinateur. 15 Cliquez sur OK puis sur Enregistrer. Si vous devez configurer plusieurs serveurs pour la redondance, il est nécessaire d’ajouter des enregistrements MX supplémentaires avec différents numéros d’ordre. Utilisation des connexions SSL par le service de messagerie Les connexions SSL (Secure Sockets Layer) garantissent le cryptage des données échangées entre votre serveur de messagerie et les clients de messagerie de vos utilisateurs. Cela permet le transport sécurisé et confidentiel des messages sur un réseau local. Le transport SSL n’offre pas d’authentification sécurisée, mais simplement le transfert sécurisé entre votre serveur de messagerie et vos clients. Reportez-vous au guide d’administration Open Directory pour obtenir des informations sur l’authentification sécurisée. S’agissant du courrier entrant, le service de messagerie gère les connexions de messagerie sécurisées avec le logiciel client qui les demande. Si un client de messagerie demande une connexion SSL, le service de messagerie peut l’établir automatiquement si cette option a été activée. Le service de messagerie continue d’établir des connexions non SSL (non chiffrées) avec les clients qui ne demandent pas de connexion SSL. En fait, seule la configuration de chaque client détermine si la connexion SSL a lieu ou non. S’agissant du courrier sortant, le service de messagerie gère les connexions de messagerie sécurisées entre les serveurs SMTP. Si un serveur SMTP demande une connexion SSL, le service de messagerie peut l’établir automatiquement si cette option a été activée. Le service de messagerie peut toujours autoriser les connexions non SSL (non chiffrées) avec les serveurs de messagerie qui ne demandent pas de connexion SSL.Chapitre 1 Configuration du service de messagerie 23 Activation du transport de courrier sécurisé à l’aide de SSL Le service de messagerie nécessite quelques étapes de configuration pour établir automatiquement des connexions SSL. La procédure de base est la suivante : Étape 1 : obtention d’un certificat de sécurité Pour cela, vous pouvez procéder de la manière suivante : 1 Procurez-vous un certificat provenant d’une autorité de certificat. a Générez une demande de signature de certificat (CSR) et créez un trousseau. b Utilisez la CSR pour obtenir un certificat auprès d’une autorité de certificat. 2 Créez un certificat auto-signé dans le gestionnaire de certificats d’Admin Serveur. 3 Localisez un certificat existant d’une installation antérieure de Mac OS X Server 10.3. Si vous avez déjà généré un certificat de sécurité dans une version antérieure de Mac OS X Server, vous pouvez l’importer pour l’utiliser. Consultez l’annexe “Certificats et sécurité” à la page 101 pour obtenir plus d’informations. Étape 2 : importez le certificat vers le gestionnaire de certificats d’Admin Serveur Vous pouvez soit utiliser le gestionnaire de certificats pour faire glisser et déposer les informations du certificat, soit diriger le gestionnaire vers un certificat déjà installé. Consultez l’annexe “Certificats et sécurité” à la page 101 pour en savoir plus. Étape 3 : configuration du service souhaité pour utiliser le certificat Pour savoir comment autoriser ou exiger le transport SSL, consultez les sections suivantes : • “Configuration du transport SSL pour les connexions POP” à la page 31 • “Configuration du transport SSL pour les connexions IMAP” à la page 33 • “Configuration du transport SSL pour les connexions SMTP” à la page 36 Avant de commencer Avant de configurer le service de messagerie pour la première fois : • Choisissez le protocole à utiliser pour accéder au courrier : POP, IMAP ou les deux. • Si votre serveur fournit le service de messagerie via Internet, votre nom de domaine doit être enregistré. Vous devez également déterminer si votre fournisseur d’accès Internet doit créer les enregistrements MX ou si vous devez les créer dans votre propre service DNS. • Identifiez les futurs utilisateurs du service de messagerie ne disposant pas encore de comptes d’utilisateur dans un domaine de répertoire accessible à votre service de courrier, puis créez-leur des comptes d’utilisateur. • Déterminez les exigences en termes de stockage du courrier et assurez-vous que vous disposez de suffisamment d’espace disque pour le volume de courrier prévu. • Déterminez vos besoins en termes d’authentification et de sécurité du transport.24 Chapitre 1 Configuration du service de messagerie Impact des réglages du compte d’utilisateur sur le service de messagerie Outre la configuration du service de messagerie telle qu’elle est décrite dans ce chapitre, vous pouvez également configurer certains réglages de courrier pour chaque utilisateur disposant d’un compte sur votre serveur. Chaque compte d’utilisateur dispose de réglages permettant : • d’activer ou désactiver le service de messagerie pour le compte d’utilisateur ou transférer le courrier entrant destiné à ce compte vers une autre adresse électronique ; • de spécifier le serveur assurant le service de messagerie pour le compte d’utilisateur ; • de définir un quota d’espace disque pour le stockage des messages de l’utilisateur sur le serveur. • de spécifier le protocole pour le courrier entrant du compte d’utilisateur : POP, IMAP ou les deux. Déplacement des messages d’Apple Mail Server vers Mac OS X Server version 10.4 Si vous avez mis à niveau votre serveur à partir d’une version antérieure à Mac OS X Server 10.3 et que vous possédez une base de données Apple Mail Server existante, vous devez procéder à la migration de votre base de données de courrier vers le service de messagerie Mac OS X Server 10.4. Pour obtenir des instructions plus détaillées et des descriptions d’outils, consultez la section “Conversion de l’espace de stockage et de la base de données du courrier à partir d’une version antérieure” à la page 68. Présentation générale des outils du service de messagerie Les applications suivantes vous permettent de configurer et de gérer le service de courrier : • Admin Serveur : utilisez cette application pour démarrer, arrêter, configurer, maintenir et surveiller le service de messagerie lorsque vous installez Mac OS X Server. • Gestionnaire de groupe de travail : utilisez cette application pour créer des comptes pour les utilisateurs de la messagerie et configurer les options de courrier de chaque utilisateur. • Terminal : utilisez cette application pour les tâches qui impliquent des outils de ligne de commande UNIX, telles que la sauvegarde et la restauration de la base de données de courrier.Chapitre 1 Configuration du service de messagerie 25 Présentation générale de la configuration La configuration et le démarrage du service de messagerie peuvent être automatiques lors de l’installation de Mac OS X Server. Une option de configuration du service de messagerie apparaît dans l’application “Assistant du serveur”, qui s’exécute automatiquement à la fin de la procédure d’installation. En sélectionnant cette option, le service de messagerie est configuré de la manière suivante : • SMTP, POP et IMAP sont tous actifs et utilisent des ports standard. • Des modes d’authentification standard (et non Kerberos) sont utilisés, les protocoles POP et IMAP étant configurés pour les mots de passe en clair (les modes APOP et CRAM MD-5 sont désactivés) et l’authentification SMTP désactivée. • Le courrier n’est distribué que localement (aucun courrier n’est envoyé vers Internet). • La retransmission du courrier est restreinte. Les tâches suivantes sont essentielles pour modifier cette configuration de base ou configurer votre service de messagerie, si ce n’est déjà fait : Étape 1 : avant de commencer, élaborez un plan Pour obtenir la liste des éléments à prendre en considération avant de lancer un service de messagerie complet, consultez la section “Avant de commencer” à la page 23. Étape 2 : configuration des enregistrements MX Pour que les utilisateurs puissent envoyer et recevoir du courrier via Internet, assurezvous que le service DNS est configuré avec les enregistrements MX appropriés pour votre service de messagerie. • Si votre FAI fournit un service DNS pour votre réseau, contactez-le et demandez-lui de configurer les enregistrements MX pour vous. Votre FAI vous demandera le nom DNS (tel que courrier.exemple.com) ainsi que l’adresse IP de votre serveur. • Si vous utilisez Mac OS X Server pour fournir un service DNS, créez vos propres enregistrements MX, selon la procédure décrite dans la section “Configuration DNS pour le service de messagerie” à la page 21. • Si vous ne configurez aucun enregistrement MX pour votre serveur de messagerie, il est probable qu’il puisse tout de même permettre l’échange de courrier avec d’autres serveurs. Certains serveurs de messagerie localiseront votre serveur en recherchant son enregistrement A dans DNS (vous possédez probablement un enregistrement A si vous disposez d’un serveur Web configuré). Remarque : si vous n’avez défini aucun enregistrement MX, les utilisateurs de votre service de messagerie peuvent tout de même s’envoyer du courrier entre eux. Le service de messagerie local ne nécessite pas d’enregistrements MX. Étape 3 : configuration du service de messagerie entrant Votre service de messagerie dispose de plusieurs réglages définissant le traitement du courrier entrant. Pour obtenir des instructions, consultez la section “Configuration du service de messagerie entrant” à la page 27.26 Chapitre 1 Configuration du service de messagerie Étape 4 : configuration du service de messagerie sortant Votre service de messagerie est également doté de plusieurs réglages définissant le traitement du courrier sortant. Pour obtenir des instructions, consultez la section “Configuration du service de messagerie sortant” à la page 33. Étape 5 : sécurité de votre serveur Si votre serveur échange du courrier via Internet, assurez-vous que vous ne fonctionnez pas comme relais ouvert. Un relais ouvert présente un risque en termes de sécurité et permet aux expéditeurs de courrier indésirable d’utiliser vos ressources informatiques pour l’envoi de tel courrier. Pour obtenir des instructions, consultez les sections “Limitation du courrier indésirable et des virus” à la page 49 et “Limitation du relais SMTP” à la page 50. Étape 6 : configuration des réglages supplémentaires du service de messagerie Il existe des réglages supplémentaires que vous pouvez modifier pour influer sur le comportement du service de messagerie relatif au stockage du courrier, à son interaction avec le service DNS, à la limitation du courrier indésirable et au traitement du courrier non distribué. Pour obtenir des instructions détaillées, consultez les sections suivantes : • “Utilisation de la base de données et de l’espace de stockage du courrier” à la page 66. • “Limitation du courrier indésirable et des virus” à la page 49. • “Traitement du courrier non distribuable” à la page 77. Étape 7 : configuration des comptes d’utilisateur pour le service de messagerie Quiconque souhaite utiliser le service de messagerie doit disposer d’un compte d’utilisateur dans un domaine de répertoire accessible au service de messagerie. Le nom abrégé du compte d’utilisateur correspond au nom du compte de messagerie et est utilisé pour constituer l’adresse électronique de l’utilisateur. Par ailleurs, chaque compte d’utilisateur est doté de réglages définissant le traitement du courrier par le service de messagerie. Vous pouvez configurer les réglages de courrier d’un utilisateur lorsque vous créez son compte, mais également les modifier à tout moment pour un utilisateur existant. Pour obtenir des instructions, consultez les sections “Gestion des utilisateurs du service de messagerie” à la page 39 et “Configuration du logiciel client de messagerie” à la page 39. Étape 8 : création d’un alias postmaster (facultatif, mais recommandé) Vous devez créer un alias d’administration appelé “postmaster”. Des rapports sont susceptibles de lui être envoyés par le service de messagerie ou les administrateurs de courrier. Un alias permet que du courrier envoyé à “postmaster@votredomaine.com” soit réexpédié vers un compte de votre choix.Chapitre 1 Configuration du service de messagerie 27 Il est recommandé de configurer le transfert du courrier du compte postmaster vers un compte que vous consultez régulièrement. D’autres comptes postmaster courants sont nommés “abuse” (utilisés pour signaler les abus de votre service de messagerie) et “spam” (utilisé pour signaler les abus relatifs au courrier indésirable). Consultez la section “Création d’adresses électroniques supplémentaires pour un utilisateur” à la page 41 afin d’en savoir plus sur la création d’un alias pour un utilisateur de courrier existant. Étape 9 : démarrage du service de messagerie Avant de démarrer le service de messagerie, assurez-vous que l’ordinateur serveur affiche la date, l’heure, le fuseau horaire et les réglages d’heure d’été appropriés dans le tableau Date et heure de Préférences Système. Le service de messagerie utilise ces informations pour horodater chaque message. Si les messages sont mal horodatés, leur traitement par d’autres serveurs risque d’engendrer des problèmes. Assurez-vous également que vous avez activé un ou plusieurs protocoles de service de courrier (SMTP, POP ou IMAP) dans le volet Réglages. Après avoir vérifié ces informations, vous pouvez démarrer le service de messagerie. Si vous avez sélectionné dans l’Assistant du serveur l’option pour que le service de messagerie démarre automatiquement, arrêtez le service de messagerie maintenant, puis redémarrez-le pour que vos modifications prennent effet. Pour obtenir des instructions détaillées, consultez la section “Démarrage et arrêt du service de messagerie” à la page 63. Étape 10 : configuration du logiciel client de chaque utilisateur pour le courrier Une fois le service de messagerie configuré sur votre serveur, les utilisateurs doivent configurer leur logiciel client en conséquence. Pour plus de détails sur les informations nécessaires aux utilisateurs pour configurer leur logiciel client, consultez la section “Gestion des utilisateurs du service de messagerie” à la page 39. Configuration du service de messagerie entrant La configuration du service de messagerie entrant permet de configurer le courrier pour être récupéré par les utilisateurs et les applications des clients de messagerie. Elle compte trois étapes principales : • choisir et activer le type d’accès (POP, IMAP ou les deux) ; • choisir une méthode pour authentifier le client de courrier électronique ; • choisir une politique pour l’acheminement sécurisé des données de courrier via SSL. La section suivante contient les informations sur la façon d’accomplir ces trois étapes.28 Chapitre 1 Configuration du service de messagerie Activation de l’accès POP Le protocole POP est utilisé pour recevoir du courrier. Le service de messagerie POP stocke du courrier POP entrant jusqu’à ce que les utilisateurs connectent leur ordinateur au service de messagerie et téléchargent leur courrier en attente. Une fois les messages POP téléchargés, ils ne sont plus stockés que sur l’ordinateur de l’utilisateur. L’un des avantages de l’utilisation de POP est que votre serveur n’a pas besoin de stocker le courrier que les utilisateurs ont téléchargé. Le protocole POP ne constitue pas la meilleure solution pour les utilisateurs qui accèdent à leur courrier à partir de plusieurs ordinateurs, tels qu’un ordinateur chez eux, leur ordinateur de bureau ou un ordinateur portable lors de déplacements, car une fois qu’un ordinateur a accédé aux messages, ils sont éliminés du serveur. Pour activer l’accès POP : 1 Dans Admin Serveur, sélectionnez Courrier dans le volet Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Général. 4 Cliquez sur Activer POP. 5 Cliquez sur Enregistrer. 6 Continuez et configurez la sécurité pour l’authentification et l’acheminement POP. Consultez les sections suivantes pour continuer la configuration : • “Activation de l’authentification POP sécurisée” à la page 30. • “Activation de l’authentification moins sécurisée pour POP” à la page 30. • “Configuration du transport SSL pour les connexions POP” à la page 31. Activation de l’accès IMAP Il s’agit d’un protocole de messagerie client-serveur qui permet aux utilisateurs d’accéder à leur courrier à partir de n’importe quel endroit via Internet. Avec le protocole IMAP, le courrier d’un utilisateur est distribué au serveur et stocké dans une boîte aux lettres distante sur le serveur ; il s’affiche comme s’il se trouvait sur l’ordinateur local de l’ordinateur. Une différence essentielle entre IMAP et POP est la suivante : avec le protocole IMAP, le courrier n’est pas supprimé du serveur tant que l’utilisateur ne l’a pas lui-même supprimé. Les connexions IMAP sont persistantes et demeurent ouvertes, ce qui a pour effet d’entraîner une charge sur le serveur, ainsi que sur le réseau.Chapitre 1 Configuration du service de messagerie 29 Pour activer l’accès IMAP : 1 Dans Admin Serveur, sélectionnez Courrier dans le volet Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Général. 4 Cliquez sur Activer IMAP. 5 Tapez le nombre de connexions simultanées que vous souhaitez autoriser, puis cliquez sur Enregistrer. La valeur par défaut est 32 et la valeur maximale est 300. 6 Cliquez sur Enregistrer. 7 Continuez et configurez la sécurité pour l’authentification et l’acheminement IMAP. Consultez les sections suivantes pour continuer la configuration : • “Activation de l’authentification IMAP sécurisée” à la page 31. • “Activation de l’authentification IMAP moins sécurisée” à la page 32. • “Configuration du transport SSL pour les connexions IMAP” à la page 33. Si vous choisissez de ne pas récupérer le courrier entrant Vous pouvez choisir d’activer le service de messagerie SMTP, mais de ne pas fournir de service IMAP ou POP pour la récupération de courrier entrant. Si vous n’activez ni POP ni IMAP, le courrier entrant provenant d’autres services de messagerie sera toujours transmis à l’utilisateur, mais les utilisateurs ne pourront pas utiliser les applications de client de messagerie pour accéder à leur courrier. Le courrier pouvant être distribué localement sera mis en attente jusqu’à ce que les services POP et/ou IMAP soient activés, ou que la distribution sur /var/mail soit activée, ou encore que le message expire et que l’envoyeur reçoive un message d’avis de non-distribution, un “Non Delivery Receipt” (NDR) (par défaut, après 72 heures). Si la distribution sur /var/mail a été activée, les utilisateurs peuvent encore accéder au courrier via les outils de courrier UNIX tels que PINE ou ELM. Les messages distribués sur /var/mail/ ne pourront être distribués aux utilisateurs avec Cyrus, une fois POP et/ou IMAP de nouveau activé(s). Si les protocoles POP et IMAP sont tous les deux désactivés, vous pouvez modifier l’emplacement de votre courrier entrant défini par défaut sur /var/spool/imap/user/ [nom d’utilisateur] à /var/mail/[nom d’utilisateur].30 Chapitre 1 Configuration du service de messagerie Pour modifier le répertoire de distribution local : 1 Dans Admin Serveur, sélectionnez Courrier dans le volet Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Général. 4 Sélectionnez “Distribuer à /var/mail/...” 5 Cliquez sur Enregistrer. Activation de l’authentification POP sécurisée Votre service de messagerie POP peut protéger les mots de passe des utilisateurs à l’aide des protocoles APOP (Authenticated POP) ou Kerberos. Si un utilisateur se connecte via une connexion APOP ou Kerberos, son logiciel client chiffre son mot de passe avant de l’envoyer à votre service POP. Avant de configurer votre service de messagerie pour imposer l’authentification sécurisée, assurez-vous que les applications de courrier et les comptes de vos utilisateurs gèrent la méthode d’authentification que vous avez choisie. Avant d’activer l’authentification Kerberos pour le service de messagerie entrant, vous devez intégrer Mac OS X à un serveur Kerberos. Si vous utilisez Mac OS X Server pour l’authentification Kerberos, cette opération a déjà été effectuée. Pour obtenir des instructions et en savoir plus, consultez le guide d’administration d’Open Directory. Si vous souhaitez exiger l’une ou l’autre de ces méthodes d’authentification, n’activez qu’une méthode. Pour configurer la méthode d’authentification POP : 1 Dans Admin Serveur, sélectionnez Courrier dans le volet Ordinateurs et services. 2 Cliquez sur Réglages. 3 Cliquez sur l’onglet Avancé. 4 Sélectionnez Sécurité. 5 Sélectionnez APOP ou Kerberos (selon vos besoins) dans la liste POP3. 6 Cliquez sur Enregistrer. Activation de l’authentification moins sécurisée pour POP Vous pouvez choisir d’autoriser l’authentification par mot de passe élémentaire (texte en clair). Cette méthode est considérée comme moins sécurisée qu’APOP ou Kerberos, car le mot de passe lui-même est transmis en texte clair. Si vous souhaitez exiger l’authentification en texte clair, activez En clair comme seule méthode d’authentification.Chapitre 1 Configuration du service de messagerie 31 Pour activer l’authentification POP en texte clair : 1 Dans Admin Serveur, sélectionnez Courrier dans le volet Ordinateurs et services. 2 Cliquez sur Réglages. 3 Cliquez sur l’onglet Avancé. 4 Sélectionnez Sécurité. 5 Sélectionnez En clair. 6 Cliquez sur Enregistrer. Configuration du transport SSL pour les connexions POP Le transport SSL permet le cryptage sécurisé du courrier transmis via le réseau. Vous pouvez choisir d’exiger, d’utiliser ou de ne pas utiliser SSL pour les connexions POP (et IMAP). Pour utiliser des connexions SSL, vous devez disposer d’un certificat de sécurité pour l’utilisation du courrier. Consultez “Gestionnaire de certificats d’Admin Serveur” à la page 103 pour en savoir plus sur les certificats. La configuration du transport SSL pour POP entraîne également sa configuration pour IMAP. Pour configurer le transport SSL pour les connexions POP : 1 Dans Admin Serveur, sélectionnez Courrier dans le volet Ordinateurs et services. 2 Cliquez sur Réglages. 3 Cliquez sur l’onglet Avancé. 4 Sélectionnez Sécurité. 5 Sélectionnez Demander ou Utiliser pour activer (Ne pas utiliser pour désactiver) dans la section SSL IMAP et POP. 6 Sélectionnez le certificat que vous souhaitez utiliser dans le menu local correspondant, si vous utilisez ou demandez l’utilisation de SSL. 7 Cliquez sur Enregistrer. Activation de l’authentification IMAP sécurisée Votre service de messagerie IMAP peut protéger les mots de passe des utilisateurs en exigeant que les connexions utilisent une méthode d’authentification sécurisée. Vous pouvez choisir l’authentification CRAM MD-5 ou Kerberos v5. Lorsqu’un utilisateur se connecte avec une authentification sécurisée, son logiciel client chiffre son mot de passe avant de l’envoyer à votre service IMAP. Assurez-vous que les applications de courrier et les comptes de vos utilisateurs gèrent la méthode d’authentification choisie.32 Chapitre 1 Configuration du service de messagerie Si vous configurez votre service de messagerie pour imposer l’utilisation de CRAM MD-5, les comptes des utilisateurs du courrier doivent être configurés de manière à utiliser un serveur de mot de passe de Mac OS X Server pour lequel CRAM MD-5 est activé. Pour plus d’informations, consultez le guide d’administration d’Open Directory. Avant d’activer l’authentification Kerberos pour le service de messagerie entrant, vous devez intégrer Mac OS X à un serveur Kerberos. Si vous utilisez Mac OS X Server pour l’authentification Kerberos, cette opération a déjà été effectuée. Pour obtenir des instructions et en savoir plus, consultez le guide d’administration d’Open Directory. Si vous souhaitez exiger l’une ou l’autre de ces méthodes d’authentification, n’activez qu’une méthode. Pour configurer l’authentification IMAP sécurisée : 1 Dans Admin Serveur, sélectionnez Courrier dans le volet Ordinateurs et services. 2 Cliquez sur Réglages. 3 Cliquez sur l’onglet Avancé. 4 Sélectionnez Sécurité. 5 Sélectionnez CRAM MD-5 ou Kerberos (selon vos besoins) dans la section IMAP. 6 Cliquez sur Enregistrer. Activation de l’authentification IMAP moins sécurisée Votre service de messagerie IMAP peut fournir les mots de passe des utilisateurs via des méthodes moins sécurisées. Ces méthodes d’authentification ne chiffrent pas de manière sécurisée les mots de passe des utilisateurs lors de leur transit sur le réseau. Si vous souhaitez exiger l’une ou l’autre de ces méthodes d’authentification, n’activez qu’une méthode. Pour autoriser l’authentification IMAP LOGIN, PLAIN ou En clair : 1 Dans Admin Serveur, sélectionnez Courrier dans le volet Ordinateurs et services. 2 Cliquez sur Réglages. 3 Cliquez sur l’onglet Avancé. 4 Sélectionnez Sécurité. 5 Sélectionnez LOGIN, PLAIN ou En clair dans la liste IMAP. 6 Cliquez sur Enregistrer.Chapitre 1 Configuration du service de messagerie 33 Configuration du transport SSL pour les connexions IMAP Le transport SSL permet le cryptage sécurisé du courrier transmis via le réseau. Vous pouvez choisir d’exiger, d’utiliser ou de ne pas utiliser SSL pour les connexions IMAP. Pour utiliser des connexions SSL, vous devez disposer d’un certificat de sécurité pour l’utilisation du courrier. Consultez “Gestionnaire de certificats d’Admin Serveur” à la page 103 pour en savoir plus sur les certificats. La configuration du transport SSL pour IMAP entraîne également sa configuration pour POP. Pour configurer le transport SSL pour les connexions IMAP : 1 Dans Admin Serveur, sélectionnez Courrier dans le volet Ordinateurs et services. 2 Cliquez sur Réglages. 3 Cliquez sur l’onglet Avancé. 4 Sélectionnez Sécurité. 5 Cliquez sur Demander ou Utiliser pour activer (Ne pas utiliser pour désactiver) dans la section SSL IMAP et POP. 6 Sélectionnez le certificat que vous souhaitez utiliser dans le menu local correspondant, si vous utilisez ou demandez l’utilisation de SSL. 7 Cliquez sur Enregistrer. Configuration du service de messagerie sortant Le service de messagerie inclut un service SMTP pour l’envoi du courrier. Sauf restrictions de votre part, ce service transfère également du courrier en provenance et à destination de services de messagerie situés sur d’autres serveurs. Si les utilisateurs de votre service de messagerie envoient des messages vers un autre domaine Internet, votre service SMTP transmet ces messages sortants au service correspondant. Les autres services transmettent les messages destinés à vos utilisateurs à votre service SMTP, qui transfère alors ces messages vers vos services POP et IMAP. Activation de l’accès SMTP On utilise SMTP pour transférer du courrier entre les services de messagerie et envoyer des messages provenant des clients de messagerie des utilisateurs. Le service de messagerie SMTP stocke le courrier sortant dans une file d’attente jusqu’à ce qu’il trouve le serveur d’échange de courrier à la destination du message. Il transfère ensuite le courrier vers le serveur de destination pour le traitement et la distribution finale. Le service SMTP est requis pour le service de messagerie sortant et pour pouvoir recevoir du courrier provenant de serveurs de messagerie externes à votre entreprise.34 Chapitre 1 Configuration du service de messagerie Pour activer l’accès SMTP : 1 Dans Admin Serveur, sélectionnez Courrier dans le volet Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Général. 4 Cliquez sur Activer SMTP. 5 Sélectionnez “Autoriser le courrier entrant”, le cas échéant. Si vous autorisez le courrier entrant, saisissez le nom de domaine pour accepter le courrier et le nom d’hôte du serveur de messagerie. 6 Cliquez sur Enregistrer. L’authentification SMTP Si vous ne choisissez pas de méthode d’authentification SMTP ni de serveurs SMTP spécifiques autorisés pour retransmettre le courrier, le serveur SMTP autorisera les relais de messagerie SMTP anonymes et sera considéré comme un “relais ouvert”. Les relais ouverts ont l’inconvénient de permettre aux expéditeurs de courrier indésirable d’exploiter le relais pour masquer leur identité et envoyer du courrier indésirable en toute impunité. Il faut faire la distinction entre retransmettre du courrier et accepter la distribution de courrier. Le fait de retransmettre du courrier revient à passer du courrier d’un serveur de messagerie (pouvant être externe) ou du client de messagerie d’un utilisateur local à un autre (troisième) serveur de messagerie. En acceptant la distribution, vous recevez du courrier provenant d’un serveur de messagerie (pouvant être externe) devant être distribué aux utilisateurs de messagerie propres au serveur. Le courrier adressé à des destinataires locaux demeure toujours accepté et distribué. L’activation de l’authentification pour SMTP requiert l’authentification par l’une ou l’autre des méthodes d’authentification sélectionnées avant la retransmission du courrier. L’authentification SMTP est utilisée en même temps qu’un transfert de courrier SMTP restreint pour limiter la propagation de courrier indésirable. Pour plus d’informations sur ces réglages, consultez la section “Limitation du courrier indésirable et des virus” à la page 49. Activation de l’authentification SMTP sécurisée Votre serveur peut prendre lui-même les dispositions nécessaires pour ne pas se comporter comme un relais ouvert en autorisant l’authentification SMTP (un relais ouvert retransmet le courrier sans distinction aux autres serveurs de messagerie). Vous pouvez configurer le service de messagerie afin qu’il exige l’authentification sécurisée via la méthode CRAM MD-5 ou Kerberos. Si certains utilisateurs possèdent des clients de messagerie qui ne gèrent pas les méthodes sécurisées, vous pouvez également autoriser les méthodes d’authentification moins sécurisées, telles que PLAIN et LOGIN, qui ne chiffrent pas les mots de passe.Chapitre 1 Configuration du service de messagerie 35 Si vous configurez votre service de messagerie pour imposer l’utilisation de CRAM MD-5, les comptes des utilisateurs du courrier doivent être configurés pour utiliser un serveur de mot de passe pour lequel CRAM MD-5 est activé. Pour en savoir plus, consultez le guide d’administration Open Directory. Avant d’activer l’authentification Kerberos pour le service de messagerie entrant, vous devez intégrer Mac OS X à un serveur Kerberos. Si vous utilisez Mac OS X Server pour l’authentification Kerberos, cette opération a déjà été effectuée. Pour obtenir des instructions, reportez-vous au guide d’administration Open Directory. En activant l’authentification SMTP : • vos utilisateurs devront s’authentifier auprès de leur client de messagerie avant d’accepter l’envoi de tout courrier ; • vous empêchez des utilisateurs mal intentionnés d’utiliser le serveur de messagerie pour envoyer des messages par le biais de votre système sans votre consentement. Si vous souhaitez exiger l’une ou l’autre de ces méthodes d’authentification, n’activez qu’une méthode. Pour autoriser l’authentification SMTP sécurisée : 1 Dans Admin Serveur, sélectionnez Courrier dans le volet Ordinateurs et services. 2 Cliquez sur Réglages. 3 Cliquez sur l’onglet Avancé. 4 Sélectionnez Sécurité. 5 Sélectionnez CRAM MD-5 ou Kerberos (selon vos besoins) dans la section SMTP. 6 Cliquez sur Enregistrer. Activation de l’authentification SMTP moins sécurisée Votre serveur peut prendre lui-même les dispositions nécessaires pour ne pas se comporter comme un relais ouvert en exigeant une authentification SMTP (un relais ouvert retransmet le courrier sans distinction aux autres serveurs de messagerie). ce qui garantit que seuls les utilisateurs connus (c’est-à-dire disposant de comptes d’utilisateur sur votre serveur) peuvent envoyer du courrier depuis votre service de messagerie. Vous pouvez choisir d’exiger, d’autoriser ou d’interdire les méthodes d’authentification moins sécurisées (PLAIN ou LOGIN) pour le service de messagerie SMTP. L’authentification PLAIN envoie les mots de passe de courrier sous forme de texte en clair via le réseau. L’authentification LOGIN envoie, via le réseau, un hachage chiffré du mot de passe, sécurisé au minimum. Si vous souhaitez exiger l’une ou l’autre de ces méthodes d’authentification, n’activez qu’une méthode. 36 Chapitre 1 Configuration du service de messagerie Pour autoriser l’authentification moins sécurisée : 1 Dans Admin Serveur, sélectionnez Courrier dans le volet Ordinateurs et services. 2 Cliquez sur Réglages. 3 Cliquez sur l’onglet Avancé. 4 Sélectionnez Sécurité. 5 Sélectionnez PLAIN ou LOGIN dans la section SMTP. 6 Cliquez sur Enregistrer. Configuration du transport SSL pour les connexions SMTP Le transport SSL permet le cryptage sécurisé du courrier transmis via le réseau. Vous pouvez choisir d’exiger, d’utiliser ou de ne pas utiliser SSL pour les connexions IMAP. Pour utiliser des connexions SSL, vous devez disposer d’un certificat de sécurité pour l’utilisation du courrier. Consultez “Gestionnaire de certificats d’Admin Serveur” à la page 103 pour en savoir plus sur les certificats. Pour configurer le transport SSL pour les connexions SMTP : 1 Dans Admin Serveur, sélectionnez Courrier dans le volet Ordinateurs et services. 2 Cliquez sur Réglages. 3 Cliquez sur l’onglet Avancé. 4 Sélectionnez Sécurité. 5 Cliquez sur Demander ou Utiliser pour activer (Ne pas utiliser pour désactiver) dans la section STMP SSL. 6 Sélectionnez le certificat que vous souhaitez utiliser dans le menu local correspondant, si vous utilisez ou demandez l’utilisation de SSL. 7 Cliquez sur Enregistrer. Retransmission du courrier SMTP via un autre serveur Au lieu d’acheminer le courrier sortant vers ses différentes destinations, votre service de messagerie SMTP peut le transmettre à un autre serveur. En général, lorsqu’un serveur SMTP reçoit un message adressé à un destinataire distant, il tente d’envoyer ce message directement à ce serveur ou au serveur spécifié dans l’éventuel enregistrement MX. En fonction de votre configuration réseau, il se peut que cette méthode de transport du courrier ne soit pas souhaitable ni même possible. Vous pouvez alors être amené à retransmettre tous les messages sortants via un serveur spécifique.Chapitre 1 Configuration du service de messagerie 37 • Cette méthode peut être nécessaire pour distribuer le courrier sortant via le coupe-feu configuré par votre entreprise. Dans ce cas, l’entreprise désigne un serveur particulier pour retransmettre le courrier via le coupe-feu. • Cette méthode peut s’avérer utile si les connexions de votre serveur avec Internet sont lentes ou intermittentes. N’essayez pas de retransmettre du courrier via un serveur de messagerie indépendant du contrôle de votre entreprise ou sans l’autorisation de l’administrateur du serveur de relais. Sinon, sans l’autorisation expresse de l’administrateur du serveur de relais, vous serez considéré comme un utilisateur indésirable du service de messagerie. Pour retransmettre le courrier SMTP via un autre serveur : 1 Dans Admin Serveur, sélectionnez Courrier dans le volet Ordinateurs et services. 2 Cliquez sur Réglages. 3 Cliquez sur l’onglet Général. 4 Cliquez sur “Relayer tout le courrier SMTP via cet hôte”, puis saisissez le nom DNS ou l’adresse IP du serveur servant de relais SMTP. 5 Cliquez sur Enregistrer. Limitation de la taille des messages entrants Vous pouvez fixer une taille maximale pour les messages entrants, dont la valeur par défaut est de 10 mégaoctets. Vous souhaitez peut-être limiter la taille des pièces jointes ajoutées aux messages. Pour définir une taille maximale de message entrant : 1 Dans Admin Serveur, sélectionnez Courrier dans le volet Ordinateurs et services. 2 Cliquez sur Réglages. 3 Cliquez sur l’onglet Quotas. 4 Cochez “Refuser les messages entrants... “ et indiquez le nombre de mégaoctets correspondant à la quantité maximale souhaitée. 5 Cliquez sur Enregistrer. Utilisation des listes de contrôle d’accès (ACL) pour l’accès au service de messagerie Les listes de contrôle d’accès (ou ACL, Access Control Lists) permettent de désigner un accès au service pour certains utilisateurs ou groupes de manière individuelle. Par exemple, vous pouvez utiliser une ACL pour permettre à un seul utilisateur d’accéder à un serveur de fichiers ou à une connexion shell, sans autoriser n’importe quel utilisateur sur le serveur.38 Chapitre 1 Configuration du service de messagerie Les services de messagerie sont différents des nombreux autres services qui utilisent traditionnellement une ACL pour déterminer l’accès au service. Le service de messagerie est déjà spécifié sur la base d’un utilisateur. Soit vous disposez d’un compte de messagerie sur un serveur particulier soit vous n’en disposez pas. Le simple fait d’utiliser un serveur ne permet pas automatiquement d’accéder au stockage et à la récupération du courrier électronique. Certains administrateurs trouvent qu’il est peut-être plus facile de désigner un accès au courrier au moyen des ACL, s’ils utilisent des ACL pour toutes leurs autres configurations. Ils peuvent également disposer d’environnements réseau mixtes nécessitant des ACL pour assigner un accès au courrier électronique. Mac OS X Server vous permet d’activer l’accès au courrier pour les utilisateurs utilisant l’onglet d’accès dans la liste Admin Serveur d’un serveur. Si vous avez activé un accès utilisateur via Admin Serveur et un accès au courrier traditionnel au moyen de Gestionnaire de groupe de travail, les réglages interagissent de la manière suivante : Pour activer un accès au courrier d’un utilisateur grâce aux ACL : 1 Dans Admin Serveur, sélectionnez le serveur dont le service de messagerie est en cours d’exécution et l’utilisateur qui recevra un compte de courrier électronique. 2 Cliquez sur Accès. 3 Désélectionnez l’option “Utiliser le même accès pour tous les services”. 4 Sélectionnez “Autoriser uniquement les utilisateurs et groupes ci-dessous”. 5 Cliquez sur le bouton Ajouter (+) pour faire apparaître un volet Utilisateurs et groupes. 6 Faites glisser l’utilisateur souhaité vers la liste d’accès. 7 Cliquez sur Enregistrer. Accès via ACL Accès via Gestionnaire de groupe de travail Résultat Activé Activé L’utilisateur dispose d’un accès au courrier accordé selon les réglages POP et/ou IMAP dans le panneau des réglages généraux de la messagerie dans Admin Serveur. Activé Désactivé L’utilisateur dispose d’un accès au courrier accordé selon les réglages POP et/ou IMAP dans le panneau des réglages généraux de la messagerie dans Admin Serveur. Désactivé Activé L’utilisateur dispose d’un accès au courrier accordé selon les réglages de sa fiche d’utilisateur dans Gestionnaire de groupe de travail. Il s’agit du comportement par défaut. Désactivé Désactivé L’utilisateur n’a pas accès au courrier.Chapitre 1 Configuration du service de messagerie 39 Gestion des utilisateurs du service de messagerie Cette partie traite des réglages de messagerie dans les comptes d’utilisateur de votre serveur, des quotas de stockage de courrier ainsi que des réglages de service de messagerie dans le logiciel client de messagerie. Configuration des réglages de courrier pour les comptes d’utilisateur Vous devez configurer les réglages de courrier dans les comptes de vos utilisateurs, afin que ces derniers puissent accéder au service de messagerie. Pour chaque utilisateur, vous devez : • activer l’utilisation de la messagerie ; • saisir le nom DNS ou l’adresse IP de votre serveur de messagerie ; • sélectionner les protocoles pour la récupération du courrier entrant (POP, IMAP ou les deux) ; • définir un quota d’espace disque disponible pour le stockage du courrier d’un utilisateur ; • configurer tout emplacement de stockage de courrier alternatif souhaité. Vous pouvez configurer ces réglages à l’aide de Gestionnaire de groupe de travail. Pour obtenir des instructions détaillées, consultez la section Mac OS X Server Gestion utilisateur pour la version 10.4 ou ultérieure. Configuration du logiciel client de messagerie Les utilisateurs doivent configurer leur logiciel client, afin que celui-ci puisse se connecter à votre service de messagerie. Le tableau suivant détaille les informations requises par la plupart des clients, ainsi que la source de ces informations dans Mac OS X Server. Logiciel client de messagerie Mac OS X Server Exemple Nom d’utilisateur Nom complet de l’utilisateur Pierre Macintosh Nom de compte Identifiant de compte Nom abrégé du compte d’utilisateur Pierre Mot de passe Mot de passe du compte d’utilisateur Nom d’hôte serveur de messagerie Hôte de courrier Nom DNS complet ou adresse IP du serveur de messagerie, correspondant à celui que vous utilisez pour vous connecter au serveur dans Admin Serveur courrier.exemple.com 192.168.50.140 Chapitre 1 Configuration du service de messagerie Création d’un compte d’administration Vous pouvez être amené à créer un compte d’administrateur de courrier pour assurer la maintenance et surveiller les dossiers de courrier, supprimer les comptes d’utilisateur obsolètes et archiver le courrier. Ce compte d’administrateur ne doit pas nécessairement être un administrateur du serveur. En outre, ce compte administrateur ne doit pas recevoir du courrier. Il ne s’agit pas d’un compte de messagerie normal. Pour créer un compte d’administrateur de courrier : 1 Créez un utilisateur qui sera administrateur du courrier. 2 Si vous n’avez pas créé d’enregistrement d’utilisateur pour le compte de l’administrateur de courrier, consultez le guide de gestion des utilisateurs. 3 Ouvrez /etc/imapd.conf dans un éditeur de texte. Si vous n’êtes pas habitué à utiliser un éditeur de texte terminal tel que emacs ou vi, vous pouvez utiliser TextEdit. 4 Recherchez la ligne “admins:”. 5 Modifiez la ligne afin d’ajouter le nom du compte d’administrateur après les deux-points. 6 Enregistrez vos modifications. Pour plus d’informations, consultez la page du manuel (“man”) correspondant à imapd.conf. Adresse électronique Nom abrégé de l’utilisateur, suivi du symbole @, puis par l’un des éléments suivants : • Domaine Internet du serveur (si le serveur de messagerie dispose d’un enregistrement MX dans DNS) • Nom DNS complet du serveur de messagerie • Adresse IP du serveur pierre@exemple.com pierre@courrier.exemple.com pierre@192.168.50.1 Hôte SMTP Serveur SMTP Identique au nom d’hôte courrier.exemple.com 192.168.50.1 Hôte POP Serveur POP Identique au nom d’hôte courrier.exemple.com 192.168.50.1 Hôte IMAP Serveur IMAP Identique au nom d’hôte courrier.exemple.com 192.168.50.1 Utilisateur SMTP Nom abrégé du compte d’utilisateur Pierre Mot de passe SMTP Mot de passe du compte d’utilisateur Logiciel client de messagerie Mac OS X Server ExempleChapitre 1 Configuration du service de messagerie 41 Création d’adresses électroniques supplémentaires pour un utilisateur Le service de messagerie permet à chaque utilisateur de posséder plusieurs adresses électroniques, appelées “alias”. Chaque utilisateur dispose d’une adresse constituée du nom abrégé de son compte. Vous pouvez en outre définir plusieurs noms pour tout compte d’utilisateur en créant un fichier d’alias. Chaque nom supplémentaire constitue une adresse électronique alternative pour l’utilisateur dans le même domaine. Ces adresses électroniques supplémentaires ne correspondent pas à des comptes supplémentaires nécessitant des quotas ou des mots de passe distincts. Les fichiers d’alias sont généralement utilisés pour mettre en correspondance des utilisateurs “postmaster” avec un compte réel et attribuer une adresse électronique du type “prénom.nom@exemple.com” aux utilisateurs dotés d’un nom de compte de connexion abrégé. Il existe deux manières de créer des alias de courrier électronique : style Mac OS X Server et style Postfix. Chacun comporte des avantages et des inconvénients. Les alias Mac OS X Server sont faciles à créer et sont répertoriés suivant un nom d’utilisateur. Vous pouvez ainsi identifier facilement un alias et son utilisateur. Le problème avec ce genre d’alias est que la fonctionnalité Sieve du service de messagerie ne comprend pas les alias Mac OS X Server et ne filtrera pas le courrier qui dépend d’alias Mac OS X Server. Les alias Postfix requièrent une administration par ligne de commande et sont plus difficiles à vérifier. Cependant, le principal avantage des alias Postfix est qu’ils permettent une utilisation des scripts Sieve. Seuls les alias créés avec Postfix peuvent être commandés par des scripts Sieve. Pour créer un alias Mac OS X Server : 1 Dans Gestionnaire de groupe de travail, ouvrez le compte d’utilisateur souhaité (si ce n’est déjà fait). Pour ouvrir le compte, cliquez sur le bouton Comptes puis sur l’icône du globe située sous le menu de la barre d’outils et ouvrez le domaine de répertoire où réside le compte. Cliquez sur le verrou pour être authentifié. Sélectionnez l’utilisateur dans la liste des utilisateurs. 2 Cliquez sur l’onglet Élémentaires. 3 Double-cliquez sous le dernier élément dans la liste Noms abrégés. 4 Saisissez l’alias. Par exemple, si votre domaine est “exemple.com” et si vous choisissez le nom d’utilisateur “bob” comme alias de “robert.utilisateur”, vous devez entrer : robert.utilisateur 5 Cliquez sur Enregistrer.42 Chapitre 1 Configuration du service de messagerie Dès lors, les messages adressés à “robert.utilisateur@exemple.com” seront envoyés à l’utilisateur “bob,” attribuant ainsi deux adresses électroniques à Bob : bob@exemple.com et robert.utilisateur@exemple.com. Pour créer un alias Postfix : 1 Créez un fichier (si ce n’est pas déjà fait) qui sera utilisé comme liste d’alias dans /etc/ postfix/aliases. 2 Pour chaque alias, créez dans le fichier une ligne au format suivant : alias:adresse_locale_1,adresse_locale_2,... Si, par exemple, vous souhaitez attribuer au nom d’utilisateur “bob”, de votre domaine exemple.com, l’alias “robert.utilisateur”, vous devez taper : robert.utilisateur : bob Les messages adressés à votre serveur de messagerie à l’attention de robert.utilisateur@exemple.com seront en fait adressés au compte de courrier réel bob@exemple.com. 3 Enregistrez les modifications apportées au fichier. 4 Dans Terminal.app, tapez la commande suivante : postalias /etc/aliases Le fichier texte est traité dans une base de données pour un accès plus rapide. 5 A l’invite, tapez la commande suivante : newaliases La base de données d’alias est rechargée. Dès lors, les messages adressés à “robert.utilisateur@exemple.com” seront envoyés à l’utilisateur “bob,” attribuant ainsi deux adresses électroniques à Bob : bob@exemple.com et robert.utilisateur@exemple.com. Pour plus d’informations sur la création et la gestion des alias d’adresse électronique, consultez /etc/postfix/alias. Configuration du transfert d’adresses électroniques pour un utilisateur Vous pouvez utiliser cette fonction pour offrir à vos utilisateurs un service de redirection du courrier électronique. Tout message envoyé au compte de courrier électronique de l’utilisateur est transféré vers le compte indiqué. Il est également possible de réexpédier des messages grâce aux scripts Sieve. Pour en savoir plus sur cette méthode, consultez la section “Prise en charge des scripts Sieve” à la page 59.Chapitre 1 Configuration du service de messagerie 43 Pour transférer le courrier d’un utilisateur : 1 Dans Gestionnaire de groupe de travail, ouvrez le compte d’utilisateur souhaité (si ce n’est déjà fait). Pour ouvrir le compte, cliquez sur le bouton Comptes, puis cliquez sur l’icône représentant un globe sous la barre d’outils et ouvrez le domaine de répertoires où est situé le compte. Cliquez sur le verrou pour être authentifié. Sélectionnez l’utilisateur dans la liste des utilisateurs. 2 Cliquez sur l’onglet Courrier. 3 Sélectionnez Réexpédier. 4 Tapez l’adresse électronique de transfert dans le champ Réexpédier à. Il est possible de saisir plusieurs adresses en les séparant par des virgules. Ajout ou suppression de domaines virtuels Les domaines virtuels sont d’autres domaines qui peuvent être utilisés dans les adresses électroniques de vos utilisateurs. Un domaine virtuel comprend également une liste de tous les noms de domaines qui lui appartiennent. Il est conseillé d’ajouter tous les noms susceptibles d’apparaître après le symbole @ dans les adresses des courriers destinés à votre serveur. Vous devez également indiquer tout nom de domaine complet qui déterminerait l’adresse IP de votre serveur de messagerie. Cette liste peut par exemple contenir des variantes de l’orthographe du nom de votre domaine ou de votre société. Si vous hébergez le courrier des domaines exemple.com et exemple.org, un domaine virtuel permettra à bob@exemple.com de recevoir le courrier adressé à bob@exemple.com et bob@exemple.org via la même boîte aux lettres. En outre, courrier.exemple.com pourrait être converti en une même adresse IP telle que exemple.com. Assurez-vous donc que courrier.exemple.com constitue le groupe de domaine virtuel. En bref : les domaines virtuels permettent à un nom d’utilisateur (“bob” dans l’exemple ci-dessus) de recevoir du courrier dans une boîte de réception unique, indépendamment du domaine virtuel venant après le symbole @ dans l’adresse électronique. L’adresse “bob@exemple.com” distribue sur la même adresse que “bob@exemple.org.” Les réglages de courrier s’appliquent à tous les noms de domaines de cette liste. Il est recommandé de ne jamais indiquer le même domaine dans le domaine virtuel. Pour utiliser un domaine virtuel, il faut que ce dernier soit enregistré et qu’un enregistrement MX soit pointé vers votre serveur de messagerie pour les domaines que vous souhaitez activer.44 Chapitre 1 Configuration du service de messagerie Pour ajouter ou supprimer des noms de domaines virtuels pour le serveur de messagerie : 1 Dans Admin Serveur, sélectionnez Courrier dans le volet Ordinateurs et services. 2 Cliquez sur Réglages. 3 Cliquez sur l’onglet Avancé. 4 Cliquez sur le bouton Ajouter (+) et tapez le nom de domaine d’un hôte de courrier virtuel à ajouter à votre serveur. 5 Pour modifier un domaine virtuel, sélectionnez-le et cliquez sur le bouton Modifier (/). 6 Pour supprimer un élément de la liste, sélectionnez-le, puis cliquez sur le bouton Supprimer (-). Remarque : il est recommandé de définir des enregistrements MX pour chaque domaine virtuel. Si un nom de domaine de cette liste ne comporte pas d’enregistrement MX, seul votre service de messagerie le reconnaît. Tout courrier externe adressé à ce nom de domaine sera renvoyé. Exécution d’un hôte virtuel L’hébergement virtuel est une méthode que vous pouvez utiliser pour héberger plusieurs noms de domaine sur le même ordinateur et avec la même adresse IP, avec des noms d’utilisateurs de messagerie identiques. Par exemple, un serveur de messagerie pourrait recevoir des demandes de transfert de courrier pour deux domaines, courrier.exemple1.com et courrier.exemple.com, les deux étant convertis en une même adresse IP. Dans le cas de courrier.exemple1.com, le serveur distribuerait le courrier sur “bob@exemple1.com” sur la boîte à lettres d’un utilisateur pour “bob”, et distribuerait en même temps du courrier sur “bob@exemple2.com” sur une boîte à lettres d’utilisateur différente. Les hôtes virtuels sont essentiellement l’inverse des domaines virtuels. Activation de l’hébergement virtuel Avant de pouvoir activer l’hébergement virtuel, vous devez ajouter une liste de domaines virtuels hébergés localement à votre serveur de messagerie. Pour plus de détails, consultez la rubrique “Ajout ou suppression d’hôtes virtuels” à la page 45 Pour activer l’hébergement virtuel : 1 Dans Admin Serveur, sélectionnez Courrier dans le volet Ordinateurs et services. 2 Cliquez sur Réglages. 3 Cliquez sur l’onglet Avancé. 4 Sélectionnez Hébergement.Chapitre 1 Configuration du service de messagerie 45 5 Ajoutez au moins un hôte virtuel. Pour plus de détails, consultez la rubrique “Ajout ou suppression d’hôtes virtuels” 6 Sélectionnez “Activer l’hébergement virtuel”. Vous pouvez à présent ajouter ou supprimer des hôtes virtuels grâce aux boutons Ajouter (+) et Supprimer (-). 7 Cliquez sur Enregistrer. Ajout ou suppression d’hôtes virtuels Avant de pouvoir activer l’hébergement virtuel, vous devez ajouter une liste de domaines virtuels hébergés localement à votre serveur de messagerie. L’hébergement virtuel doit être activé pour pouvoir ajouter ou supprimer des hôtes virtuels. Si l’hébergement virtuel n’est pas activé, consultez la section “Activation de l’hébergement virtuel” à la page 44 pour en savoir plus. Pour ajouter ou supprimer des hôtes virtuels : 1 Dans Admin Serveur, sélectionnez Courrier dans le volet Ordinateurs et services. 2 Cliquez sur Réglages. 3 Cliquez sur l’onglet Avancé. 4 Sélectionnez Hébergement. 5 Cliquez sur le bouton Ajouter (+) situé à côté de la case “Domaines virtuels hébergés localement” et saisissez le nom de domaine d’un hôte virtuel que vous souhaitez ajouter sur votre serveur. Pour modifier un domaine virtuel, sélectionnez-le et cliquez sur le bouton Modifier (/). Pour supprimer un élément de la liste, sélectionnez-le, puis cliquez sur le bouton Supprimer (-). 6 Cliquez sur Enregistrer. Remarque : il est recommandé de définir des enregistrements MX pour chaque domaine virtuel. Si un nom de domaine de cette liste ne comporte pas d’enregistrement MX, seul votre service de messagerie le reconnaît. Tout courrier externe adressé à ce nom de domaine sera renvoyé. Association d’utilisateurs à l’hôte virtuel L’association d’utilisateurs à un hôte virtuel nécessite la création d’un alias dans leurs enregistrements d’utilisateur contenant l’adresse électronique entière (par exemple “bob@exemple.com”, où “exemple.com” ne constitue pas le nom de domaine du serveur de messagerie, mais un hôte virtuel).46 Chapitre 1 Configuration du service de messagerie Il existe deux manières de créer des alias pour les utilisateurs d’un hôte virtuel : Mac OS X Server et Postfix. Chacun comporte des avantages et des inconvénients. Les alias Mac OS X Server sont faciles à créer et sont répertoriés suivant un nom d’utilisateur. Vous pouvez ainsi identifier facilement un alias et son utilisateur. Le problème avec ce genre d’alias est que la fonctionnalité Sieve du service de messagerie ne comprend pas les alias Mac OS X Server et ne filtrera pas le courrier qui dépend d’alias Mac OS X Server. Les alias Postfix requièrent une administration par ligne de commande et sont plus difficiles à vérifier. Cependant, le principal avantage des alias Postfix est qu’ils permettent une utilisation des scripts Sieve. Seuls les alias créés avec Postfix peuvent être commandés par des scripts Sieve. Pour associer un utilisateur à un hôte virtuel en utilisant les alias Mac OS X Server : 1 Ajoutez un hôte virtuel en suivant les instructions de la section “Ajout ou suppression d’hôtes virtuels” à la page 45. 2 Dans Gestionnaire de groupe de travail, ouvrez le compte d’utilisateur souhaité (si ce n’est pas déjà fait). Pour ouvrir le compte, cliquez sur le bouton Comptes puis sur l’icône située sous le menu de la barre d’outils et ouvrez ensuite le domaine de répertoire hébergeant le compte. Cliquez sur le verrou pour être authentifié. Sélectionnez l’utilisateur dans la liste des utilisateurs. 3 Cliquez sur l’onglet Élémentaires. 4 Double-cliquez sous le dernier élément dans la liste Noms abrégés. 5 Saisissez l’alias correspondant à l’adresse de l’hôte virtuel. Par exemple, si votre domaine est exemple.com et le domaine de l’hôte virtuel est server.com, et si vous souhaitez que les messages soient adressés à “postmaster@server.com” pour être distribués à l’utilisateur “bob”, ouvrez l’enregistrement d’utilisateur de “bob” dans Gestionnaire de groupe de travail, et tapez : postmaster@server.com 6 Cliquez sur Enregistrer. Les messages adressés à votre serveur de messagerie à l’attention de “postmaster@server.com” seront en fait adressés au compte de courrier réel de l’utilisateur “bob”. En attendant, le courrier envoyé à “postmaster@exemple.com” ira sur un autre compte de messagerie choisi. Pour associer un utilisateur à un hôte virtuel en utilisant les alias Postfix : 1 Ajoutez un nom d’hôte virtuel en suivant les instructions de la section “Ajout ou suppression d’hôtes virtuels” à la page 45.Chapitre 1 Configuration du service de messagerie 47 2 Créez un fichier à utiliser en tant que liste d’alias dans /etc/aliases (si ce fichier n’existe pas encore). 3 Pour chaque alias, créez dans le fichier une ligne au format suivant : alias@hôtevirtuel:adresse_locale_1,adresse_locale_2... Par exemple, si votre domaine est “exemple.com”, si vous êtes en train d’exécuter un hôte virtuel pour “serveur.com” et si vous souhaitez que l’utilisateur “bob” reçoive du courrier envoyé à “postmaster@serveur.com”, veuillez taper : postmaster@serveur.com: bob Cela permettra de prendre le courrier envoyé à votre serveur de messagerie correspondant à “postmaster@serveur.com” et de l’envoyer à l’utilisateur “bob”. Le courrier envoyé à “postmaster@exemple.com” sera envoyé à un autre destinataire choisi. 4 Enregistrez les modifications apportées au fichier. 5 Dans Terminal.app, tapez la commande suivante : postalias /etc/aliases Le fichier texte est traité dans une base de données pour un accès plus rapide. 6 A l’invite, tapez la commande suivante : newaliases La base de données d’alias est rechargée. 7 A l’invite, rechargez le serveur de messagerie en tapant la commande suivante : postfix reload Les messages adressés à votre serveur de messagerie à l’attention de “postmaster@server.com” seront en fait adressés au compte de courrier réel de l’utilisateur “bob”. En attendant, le courrier envoyé à “postmaster@exemple.com” ira sur un autre compte de messagerie choisi. Gestion des quotas de courrier Les quotas de courrier permettent de définir la quantité d’espace disque attribué au courrier d’un utilisateur sur le serveur de messagerie. Les quotas sont définis pour chaque utilisateur sur l’enregistrement d’utilisateur dans Gestionnaire de groupe de travail. Bien que vous ne définissiez pas le quota d’un utilisateur de courrier dans Admin Serveur, vous contrôlez malgré tout la contrainte de quota et la réaction de votre serveur face à une violation du quota. Les quotas de courrier sont particulièrement importants si le serveur de messagerie héberge de nombreux comptes IMAP. IMAP ne requiert pas la suppression du courrier dans le serveur une fois lu ; par conséquent, les utilisateurs IMAP qui reçoivent des pièces jointes de grande taille remplissent très rapidement leur quota.48 Chapitre 1 Configuration du service de messagerie Activation de quotas de courrier pour les utilisateurs Vous pouvez mettre en place des limites de stockage de courrier sur le serveur. Ces limites sont particulièrement importantes si vous utilisez le protocole IMAP pour les messages entrants car les messages ne sont pas nécessairement supprimés une fois que l’utilisateur les a téléchargés. Utilisez Gestionnaire de groupe de travail pour activer le quota de courrier d’un utilisateur. Pour activer le quota de courrier d’un utilisateur : 1 Dans Gestionnaire de groupe de travail, ouvrez le compte d’utilisateur souhaité (si ce n’est pas déjà fait). Pour ouvrir le compte, cliquez sur le bouton Comptes puis sur l’icône située sous le menu de la barre d’outils et ouvrez ensuite le domaine de répertoire hébergeant le compte. Cliquez sur le verrou pour être authentifié. Sélectionnez l’utilisateur dans la liste des utilisateurs. 2 Cliquez sur l’onglet Courrier. Si le courrier de l’utilisateur n’est pas activé, activez-le. 3 Saisissez le nombre de Mo correspondant au stockage de messages de l’utilisateur dans la case Quota de courrier. 4 Cliquez sur Enregistrer. Configuration d’avertissements de quota Lorsque la boîte à lettres d’un utilisateur se rapproche de la limite de son quota de stockage, vous pouvez avertir les utilisateurs que le quota sera bientôt dépassé. Vous pouvez décider d’avertir ou pas l’utilisateur de courrier, choisir combien de messages d’avertissement vous souhaitez envoyer et quand envoyer l’avertissement. Pour configurer les avertissements de quota : 1 Dans Admin Serveur, sélectionnez Courrier dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Quotas. 4 Cliquez sur “Activer les avertissements de quota”. 5 Indiquez le pourcentage maximum de l’espace de stockage avant l’envoi d’un avertissement. 6 Indiquez la fréquence des avertissements, en nombre de jours. 7 Si vous souhaitez personnaliser l’avertissement de quota, cliquez sur Modifier à côté du message d’avertissement. 8 Cliquez sur Enregistrer.Chapitre 1 Configuration du service de messagerie 49 Configurer les réactions au dépassement de quota Lorsqu’un utilisateur de courrier a emmagasiné plus de messages que son quota ne l’y autorise, le serveur de messagerie reconnaît un dépassement du quota. Il existe deux types de réactions caractéristiques en cas de dépassement de quota : un avis de dépassement et la suspension du service de messagerie. Pour configurer les réactions en cas de dépassement de quota : 1 Dans Admin Serveur, sélectionnez Courrier dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Autre. 4 Cliquez sur “Activer les avertissements de quota”. 5 Si vous souhaitez personnaliser l’avertissement de dépassement de quota, cliquez sur Modifier à côté du message avertissant que le quota a été dépassé. 6 Si vous souhaitez interrompre le service de messagerie pour les utilisateurs ayant dépassé leur quota, sélectionnez “Désactiver la boîte à lettres d’un utilisateur...” 7 Cliquez sur Enregistrer. Limitation du courrier indésirable et des virus Vous pouvez configurer votre service de messagerie de manière à réduire le volume de messages commerciaux non souhaités, notamment connus sous le terme de courrier indésirable (ou spam), et de messages porteurs de virus. Il vous est possible de prendre des dispositions pour bloquer les messages indésirables ou les virus envoyés à vos utilisateurs de courrier. En outre, vous pouvez sécuriser votre serveur pour empêcher des utilisateurs mal intentionnés d’utiliser votre service de messagerie ; ces utilisateurs tentent d’utiliser vos ressources pour envoyer du courrier indésirable à d’autres personnes. Vous pouvez également prendre des mesures pour empêcher les émetteurs de ces messages intempestifs d’utiliser votre serveur comme point de relais. Un point de relais ou relais ouvert est un serveur qui reçoit, puis transmet l’ensemble du courrier adressé à d’autres serveurs, de manière non sélective. Ce type de relais envoie le courrier d’un domaine vers un autre, sans aucune distinction. Les émetteurs de courrier indésirable exploitent les serveurs relais ouverts, afin que leurs propres serveurs SMTP ne figurent pas sur les listes noires référençant les sources de courrier indésirable. Il est impératif que votre serveur ne soit pas catalogué comme relais ouvert, car les autres serveurs pourraient refuser le courrier provenant de vos utilisateurs.50 Chapitre 1 Configuration du service de messagerie Il existe deux principaux moyens d’empêcher le passage de virus et de courrier indésirable dans votre système. L’utilisation simultanée de ces deux méthodes vous permettra d’assurer l’intégrité de votre système de messagerie. Les deux points de contrôle sont les suivants : • “Contrôle de la connexion” (ci-après). • “Contrôle des messages” à la page 53. Contrôle de la connexion Cette méthode de prévention contrôle quels serveurs peuvent se connecter à votre système de messagerie et ce qu’ils doivent faire pour envoyer du courrier via votre système de messagerie. Pour appliquer un contrôle de la connexion, votre service de courrier peut : • exiger l’authentification SMTP ; • limiter la retransmission SMTP en l’autorisant uniquement pour des serveurs approuvés ; • refuser toutes les connexions SMTP en provenance de serveurs non approuvés ; • refuser le courrier en provenance de serveurs répertoriés sur une liste noire ; • filtrer les connexions SMTP. Demande d’authentification SMTP Si votre service de messagerie exige une authentification SMTP, votre serveur ne peut pas être utilisé comme relais ouvert par des utilisateurs anonymes. Quiconque souhaite utiliser votre serveur comme tel doit tout d’abord fournir les nom et mot de passe associé à un compte d’utilisateur stocké sur votre serveur. Bien que l’authentification SMTP s’applique principalement au relais de messagerie, les utilisateurs de votre service de messagerie local doivent également s’authentifier avant l’envoi de courrier. Cela signifie que vos utilisateurs doivent disposer d’un logiciel client de courrier gérant l’authentification SMTP, sinon ils ne pourront pas envoyer de courrier aux serveurs distants. Le courrier envoyé à partir de serveurs externes et adressé aux destinataires locaux sera encore accepté et distribué. Pour exiger l’authentification SMTP, reportez-vous aux sections “Activation de l’authentification SMTP sécurisée” à la page 34 et “Activation de l’authentification SMTP moins sécurisée” à la page 35. Limitation du relais SMTP Votre service de messagerie peut restreindre la retransmission SMTP en autorisant uniquement les hôtes approuvés à retransmettre le courrier. Vous-même créez la liste des serveurs autorisés. Les hôtes approuvés peuvent retransmettre le courrier par l’intermédiaire de votre service de messagerie sans authentification. Les serveurs ne figurant pas sur cette liste ne sont donc pas en mesure de retransmettre le courrier via votre service, sans avoir préalablement été authentifiés. Tous les hôtes, qu’ils aient été approuvés ou non, peuvent distribuer le courrier aux utilisateurs de votre service de messagerie local sans authentification.Chapitre 1 Configuration du service de messagerie 51 Votre service de messagerie peut consigner des tentatives de connexion effectuées par des hôtes ne figurant pas sur votre liste de serveurs approuvés. Pour limiter le relais SMTP : 1 Dans Admin Serveur, sélectionnez Courrier dans le volet Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Relais. 4 Cochez la case “N’accepter les relais SMTP que de ces hôtes et réseaux”. 5 Modifiez la liste d’hôtes. • Cliquez sur le bouton Ajouter (+) pour ajouter un hôte à la liste. • Cliquez sur le bouton Supprimer (-) pour effacer de la liste l’hôte actuellement sélectionné. • Cliquez sur le bouton Modifier (/) pour modifier l’hôte actuellement sélectionné dans la liste. Lorsque vous ajoutez un serveur à la liste, vous pouvez recourir à plusieurs notations. • Saisissez soit une adresse IP unique, soit le modèle réseau/masque tel que 192.168.40.0/21. • Saisissez un nom d’hôte, tel que courrier.exemple.com • Saisissez un nom de domaine Internet, tel que exemple.com Combinaisons entre authentification SMTP et relais SMTP limité Le tableau suivant décrit les résultats de différentes combinaisons entre authentification SMTP et relais SMTP limité. SMTP nécessite l’authentification Relais SMTP limité Résultat Activé Désactivé Tous les serveurs de messagerie doivent être authentifiés avant que votre service de messagerie n’accepte de retransmettre un courrier quelconque. Les utilisateurs de votre service de messagerie local doivent également s’ authentifier pour expédier un courrier. Activé Activé Les serveurs de messagerie autorisés peuvent servir de relais sans être authentifiés. Les serveurs auxquels vous n’avez pas accordé d’autorisation peuvent retransmettre du courrier après s’être authentifiés auprès de votre service de messagerie. Désactivé Activé Votre service de messagerie ne peut pas être utilisé comme relais ouvert. Les serveurs de messagerie autorisés peuvent retransmettre du courrier (sans être authentifiés). Les serveurs auxquels vous n’avez pas accordé d’autorisation ne peuvent pas servir de relais sans s’être authentifiés, mais sont en mesure de distribuer du courrier aux utilisateurs de votre service de messagerie local. Ces derniers n’ont pas besoin de s’authentifier pour envoyer du courrier. Il s’agit de la configuration la plus courante.52 Chapitre 1 Configuration du service de messagerie Refus des connexions SMTP provenant de serveurs spécifiques Votre service de messagerie peut refuser les connexions SMTP non autorisées provenant d’hôtes figurant sur une liste d’hôtes non approuvés que vous avez créée. Tout le trafic de courrier provenant des serveurs de cette liste est refusé et les connexions SMTP sont fermées après le renvoi d’une erreur de connexion SMTP refusée (code 554). Pour refuser les connexions SMTP non autorisées provenant de serveurs spécifiques : 1 Dans Admin Serveur, sélectionnez Courrier dans le volet Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Relais. 4 Cochez la case “Refuser tous les messages de ces hôtes et réseaux”. 5 Modifiez la liste des serveurs. Cliquez sur le bouton Ajouter (+) pour ajouter un hôte à la liste. Cliquez sur le bouton Supprimer (-) pour effacer de la liste l’hôte actuellement sélectionné. Cliquez sur le bouton Modifier (/) pour modifier l’hôte actuellement sélectionné dans la liste. Lorsque vous ajoutez un serveur à la liste, vous pouvez recourir à plusieurs notations. • Saisissez soit une adresse IP unique, soit le modèle réseau/masque tel que 192.168.40.0/21. • Saisissez un nom d’hôte, tel que courrier.exemple.com. • Saisissez un nom de domaine Internet, tel que exemple.com. Refus du courrier provenant d’expéditeurs figurant sur une liste noire Votre service de messagerie peut refuser le courrier provenant de serveurs SMTP placés dans une liste noire référençant les relais ouverts, liste dressée par un serveur Real-time Blacklist (RBL). Votre service de messagerie utilise un serveur RBL spécifié par vos soins. Les RBL sont parfois appelés serveurs “trous noirs”. Important : le blocage du courrier non sollicité envoyé par des expéditeurs figurant sur une liste noire peut s’avérer imprécis. Il peut parfois entraîner le refus d’un courrier valide. Pour refuser le courrier provenant d’expéditeurs mis sur liste noire : 1 Dans Admin Serveur, sélectionnez Courrier dans le volet Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Relais. 4 Cochez la case Utiliser ces serveurs de refus de courrier non désiré. 5 Modifiez la liste des serveurs en ajoutant le nom DNS d’un serveur RBL. Cliquez sur le bouton Ajouter (+) pour ajouter un serveur à la liste.Chapitre 1 Configuration du service de messagerie 53 Cliquez sur le bouton Supprimer (-) pour effacer de la liste le serveur actuellement sélectionné. Cliquez sur le bouton Modifier (/) pour modifier le serveur actuellement sélectionné dans la liste. Tapez le nom de domaine du serveur RBL souhaité, tel que rbl.exemple.com. Filtrage des connexions SMTP Vous pouvez utiliser le service de coupe-feu de Mac OS X Server pour autoriser ou refuser l’accès de votre service de messagerie SMTP à des adresses IP spécifiques. Le filtrage interdit toute communication entre un hôte d’origine et votre serveur de messagerie. Le service de messagerie ne recevra jamais la connexion entrante et aucune erreur SMTP ne sera générée et renvoyée au client. Pour filtrer des connexions SMTP : 1 Dans Admin Serveur, sélectionnez Coupe-feu dans le tableau Ordinateurs et services. 2 Créez un filtre IP de coupe-feu en suivant les instructions se trouvant dans le guide d’administration des services de réseau et en utilisant les réglages suivants : • Accès : refusé • Numéro de port : 25 (ou votre port SMTP entrant, si vous utilisez un port non standard) • Protocole : TCP • Source : l’adresse IP ou la plage d’adresses IP que vous souhaitez bloquer • Destination : l’adresse IP de votre serveur de messagerie 3 Si vous le souhaitez, vous pouvez consigner les paquets afin de surveiller les abus SMTP. 4 Ajoutez plusieurs nouveaux filtres pour le port SMTP, afin d’autoriser ou de refuser l’accès à d’autres adresses IP ou plages d’adresses IP. Pour plus d’informations sur le service de coupe-feu, consultez le guide d’administration de services réseau Contrôle des messages Lorsqu’une connexion de distribution de courrier est établie et que le message peut être distribué localement (le courrier transmis n’est pas contrôlé), le serveur de messagerie peut contrôler ce message avant sa distribution. Mac OS X Server utilise SpamAssassin (spamassassin.apache.org) pour analyser le texte d’un message et détermine la probabilité qu’il s’agisse de courrier indésirable. Aucun filtre de courrier indésirable n’identifie parfaitement le courrier non souhaité. C’est pourquoi le filtre de courrier indésirable dans Mac OS X Server n’efface ni ne retire le courrier indésirable de la distribution. Mais il marque le courrier comme courrier indésirable potentiel. L’utilisateur peut alors décider s’il s’agit réellement de messages commerciaux non sollicités et agir en conséquence. De nombreux clients de messagerie électronique utilisent même les classements que SpamAssassin ajoute à titre de guide lors du classement automatique du courrier pour l’utilisateur.54 Chapitre 1 Configuration du service de messagerie Mac OS X Server utilise ClamAV (www.clamav.net) pour examiner les messages et rechercher d’éventuels virus. Si vous repérez un élément que vous soupçonnez d’être un virus, vous pouvez le traiter de différentes façons (voir ci-après). Les définitions de virus sont mises à jour (si la fonction est activée) via Internet, grâce à un processus appelé “freshclam”. Activation du contrôle de courrier indésirable (filtres bayésiens) Pour pouvoir utiliser le contrôle de messages, celui-ci doit être activé. Lors de l’activation du contrôle, vous pouvez configurer certains paramètres de contrôle. Le filtrage de courrier bayésien est un classement de messages basé sur des statistiques. Tous les messages sont analysés et les statistiques concernant la fréquence des mots sont enregistrées. Les messages contenant à peu près le même nombre de mots que les courriers indésirables seront plus fortement marqués pour indiquer que ce sont peut-être des messages indésirables. Lorsque le message est contrôlé, le serveur ajoute un en-tête (“X-Spam-Level”) accompagné du taux de probabilité. Imaginons par exemple que vous disposiez de 400 messages. 200 d’entre eux sont des messages indésirables et les 200 autres sont du bon courrier. Lorsqu’un nouveau message arrive, son texte est à la fois comparé au texte des messages indésirables et à celui du bon courrier. Puis le filtre indique la probabilité qu’il s’agisse de courrier indésirable ou pas, selon le groupe auquel il s’apparente le plus. Le filtrage bayésien s’avère être une méthode très efficace pour rechercher le courrier indésirable, si le filtre dispose des données suffisantes. L’un des points forts de cette méthode réside dans le fait que plus le nombre de messages que vous recevez et classez est grand (processus appelé “training”), plus le classement du cycle suivant sera précis. Même si les personnes qui envoient du courrier indésirable modifient leurs envois, le filtre en tiendra compte plus tard. Pour activer le contrôle de courrier indésirable : 1 Dans Admin Serveur, sélectionnez Courrier dans le volet Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Filtres. 4 Sélectionnez “Rechercher les courriers indésirables dans le courrier électronique”. 5 Définissez le niveau de permission (Min, Modéré, La plupart). L’instrument évaluant la permission définit le nombre de drapeaux de courrier indésirable pouvant être attribués à un message avant qu’il ne soit traité en tant que message indésirable. Si vous avez choisi une permission minimum, tout message pouvant représenter un risque, même minime, sera indiqué et traité comme un message indésirable. Si vous avez choisi une permission maximum, un résultat élevé sera nécessaire (c’est-à-dire un nombre élevé de caractéristiques de courrier indésirable) pour marquer le message comme indésirable.Chapitre 1 Configuration du service de messagerie 55 6 Choisissez la manière de traiter les messages indésirables. Renvoyés : cette option renverra le message à l’expéditeur. Vous pouvez envoyer une notification par courrier électronique du message renvoyé sur un compte de messagerie électronique, qui sera probablement l’administrateur de courrier. Supprimés : cette option supprimera les messages non distribués. Vous pouvez envoyer une notification par courrier électronique du message renvoyé sur un compte de messagerie électronique, qui sera probablement l’administrateur de courrier. Distribués : cette option distribuera le message même s’il peut s’agir d’un message indésirable. Vous avez la possibilité d’ajouter du texte dans l’intitulé du message pour indiquer qu’il s’agit probablement d’un message indésirable ou bien d’encapsuler le message indésirable dans une pièce jointe au format MIME. Redirigés : cette option distribuera le message à une personne autre que le destinataire prévu. 7 Si vous le souhaitez, vous pouvez choisir la fréquence de mise à jour de la base de données de courrier indésirable. 8 Cliquez sur Enregistrer. Pour en savoir plus sur les autres options, consultez la section “Filtrage du courrier selon la langue et l’endroit” à la page 56. Formation manuelle du filtre de courrier indésirable Il est important d’apprendre au filtre à faire la distinction entre le courrier indésirable et le bon courrier. Au début, le filtre ne sera pas très précis lors du marquage du courrier indésirable, mais vous pouvez le “former” pour le rendre plus efficace. Une formation précise requiert un grand nombre de messages : au moins 200 messages pour chaque type de courrier (recommandé). Pour “former” le filtre : 1 Choisissez une boîte à lettres contenant 200 messages, tous indésirables. 2 Utilisez Terminal et l’outil de formation par ligne de commande du filtre afin d’analyser le courrier et de rappeler qu’il s’agit de courrier indésirable grâce à la commande suivante : sa-learn --showdots --spam /* 3 Choisissez une boîte à lettres de 200 messages, tous acceptables. 4 l’outil de formation par ligne de commande du filtre afin d’analyser le courrier et de rappeler qu’il s’agit de courrier acceptable grâce à la commande suivante : sa-learn --showdots --ham /*56 Chapitre 1 Configuration du service de messagerie Si le filtre de courrier indésirable ne peut identifier un message indésirable, continuez à le former pour qu’il soit plus efficace. Utilisez sa-learn avec l’argument --spam sur le message mal étiqueté. De même, si vous obtenez un faux message indésirable (c’est-à-dire un message acceptable marqué comme indésirable), utilisez de nouveau sa-learn avec l’argument --ham pour continuer à former le filtre. Formation automatique du filtre de courrier indésirable Vous devez montrer au filtre de courrier indésirable le courrier qui est indésirable et celui qui est acceptable. Mac OS X Server propose une méthode de formation du filtre automatiquement avec l’aide des utilisateurs de courrier. Le serveur exécute une commande automatisée à 1 h 00 (tâche planifiée), qui analyse deux boîtes de réception d’utilisateurs spécifiques. Il exécute l’outil sa-learn de SpamAssassin pour le contenu des boîtes de réception et utilise les résultats pour adapter son filtre de courrier indésirable. Pour former automatiquement le filtre de courrier indésirable : 1 Activez le filtrage de courrier indésirable. Pour plus de détails, consultez la section “Activation du contrôle de courrier indésirable (filtres bayésiens)” à la page 54 2 Créez deux comptes locaux : courrierindésirable et courrieracceptable 3 Utilisez Gestionnaire de groupe de travail pour les activer. Si vous avez besoin d’aide, consultez la section “Configuration des réglages de courrier pour les comptes d’utilisateur” à la page 39. 4 Demandez à vos utilisateurs de messagerie de “rediriger” les messages indésirables n’ayant pas été indiqués comme indésirables vers “courrierindésirable@”. 5 Demandez à vos utilisateurs de courrier de “rediriger” les vrais messages de courrier ayant été indiqués par erreur comme étant indésirables vers “courrieracceptable@”. 6 Tous les jours à 1 h 00, le filtre de courrier indésirable apprendra à reconnaître le courrier indésirable et le courrier indiqué par erreur comme indésirable mais qui ne l’est pas. 7 Supprimez les messages des comptes courrierindésirable et courrieracceptable tous les jours. Filtrage du courrier selon la langue et l’endroit Vous pouvez filtrer le courrier selon l’endroitou bien selon la langue. Les messages rédigés avec des encodages étrangers sont souvent indiqués par erreur comme étant du courrier indésirable. Vous pouvez configurer votre serveur de messagerie de sorte qu’il ne marque pas comme indésirable le courrier provenant de certains pays et rédigés en certaines langues.Chapitre 1 Configuration du service de messagerie 57 Pour accepter du courrier selon la langue et l’endroit : 1 Dans Admin Serveur, sélectionnez Courrier dans le volet Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Filtres. 4 Sélectionnez “Rechercher les courriers indésirables dans le courrier électronique”. 5 Cliquez sur le bouton Modifier (/) situé à côté de Langues acceptées pour modifier la liste. a Sélectionnez les encodages de langue à autoriser comme courrier acceptable puis cliquez sur OK. 6 Cliquez sur le bouton Modifier (/) situé à côté d’Endroits acceptés pour modifier la liste. a Sélectionnez les codes de pays à autoriser comme courrier acceptable puis cliquez sur OK. 7 Cliquez sur Enregistrer. Activation du filtrage de virus Pour pouvoir utiliser le contrôle de messages, celui-ci doit être activé. Lors de l’activation du contrôle, vous pouvez configurer certains paramètres de contrôle. Mac OS X Server utilise ClamAV (www.clamav.net) pour examiner les messages et rechercher d’éventuels virus. Si un virus suspect est repéré, vous pouvez le traiter de différentes façons (voir ci-après). Les définitions de virus sont mises à jour (si la fonction est activée) via Internet, grâce à un processus appelé freshclam. Pour activer le filtrage de virus : 1 Dans Admin Serveur, sélectionnez Courrier dans le volet Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Filtres. 4 Sélectionnez “Rechercher les virus dans le courrier électronique”. 5 Choisissez la manière de traiter les messages indésirables. Renvoyés : cette options renverra le message à l’expéditeur. Vous pouvez envoyer une notification par courrier électronique du message renvoyé sur un compte de messagerie électronique (probablement l’administrateur de courrier) et avertir le destinataire prévu. Supprimés : cette option supprimera les messages non distribués. Vous pouvez envoyer une notification par courrier électronique du message renvoyé sur un compte de messagerie électronique (probablement l’administrateur de courrier) ainsi qu’au destinataire prévu.58 Chapitre 1 Configuration du service de messagerie Mis en quarantaine : cette option distribuera le message à un répertoire pour y effectuer un analyse plus approfondie. Vous pouvez envoyer une notification par courrier électronique concernant la mise en quarantaine sur un compte de messagerie électronique, probablement l’administrateur de courrier. 6 Vous avez la possibilité d’avertir le destinataire prévu si le message a été filtré. 7 Si vous le souhaitez, vous pouvez choisir la fréquence de mise à jour de la base de données de virus. Il est recommandé d’effectuer cette mise à jour deux fois par jour. Certains administrateurs choisissent huit fois par jours. 8 Cliquez sur Enregistrer. Options et outils de configuration avancés Mac OS X Server propose des outils performants permettant d’administrer votre service de messagerie. Ces outils de configuration avancés utilisent la ligne de commande et requièrent des connaissances sur l’utilisation dans un shell, ainsi que des notions de base sur les scripts. cyradm L’outil cyradm est inclus dans Mac OS X Server. Il s’agit d’un shell d’administration pour Cyrus, le paquet de service de messagerie IMAP. Il communique avec le module Cyrus::IMAP::Admin Perl. Cyradm peut être utilisé pour créer, supprimer ou renommer des boîtes à lettres, ainsi que pour définir des ACL pour les boîtes à lettres (pour les clients de messagerie compatibles). Remarques : • Cyradm est un shell limité : il peut réexpédier le courrier à la manière d’un shell, mais ne comprend pas les canaux de communication. • Cyradm peut être utilisé de manière interactive ou bien il peut être piloté, mais le pilotage Perl avec Cyrus::IMAP::Admin sera plus flexible. • Les espaces dans les noms de répertoires ou de fichiers doivent être remplacés par “\”, comme c’est le cas pour les shell. Pour obtenir le liste complète des commandes de cyradm, consultez sa page man dans Terminal en tapant : man cyradmChapitre 1 Configuration du service de messagerie 59 Prise en charge des scripts Sieve Mac OS X Server est compatible avec les scripts Sieve pour le traitement du courrier. Sieve est un langage de filtrage de courrier standard Internet pour le filtrage côté serveur. Les scripts Sieve interagissent avec le courrier entrant avant la distribution finale. Sieve joue le même rôle que les “règles” de différents programmes permettant de sélectionner ou de traiter du courrier sur la base de critères définis par l’utilisateur. En fait, certains clients de messagerie utilisent Sieve pour le traitement du courrier côté client. Sieve permet entre autres d’envoyer des avis de départs en vacances, de sélectionner du courrier et de faire suivre du courrier. Les scripts Sieve de chaque utilisateur sont conservés sur le serveur de messagerie : /usr/sieve// Le service de messagerie est propriétaire du répertoire, c’est pourquoi les utilisateurs n’y ont en principe pas accès et ne peuvent y mettre leurs scripts pour traiter le courrier. Pour des raisons de sécurité, les utilisateurs et les administrateurs téléchargent leurs scripts vers un processus Sieve (timsieved) qui transporte les scripts vers le traitement du courrier pour les utiliser. Il existe plusieurs façons de passer les scripts à timsieved : les scripts shell Perl (“sieveshell”), les modules de messagerie Web (“avelsieve”) mais également certains clients de messagerie. Activation de la prise en charge de Sieve Pour que Sieve fonctionne, vous devez activer son port de communication. L’extension de notification d’absence de Sieve s’ajoute par défaut. Tous les scripts doivent être placés dans l’emplacement de dépôt de scripts central dans /usr/sieve/ et les scripts Sieve ne peuvent être utilisés pour traiter du courrier dans le cas des alias de courrier définis dans Gestionnaire de groupe de travail ; vous devez utiliser des alias Postfix. Pour activer la prise en charge Sieve : 1 Ajoutez l’entrée suivante dans /etc/services/ sieve 2000/tcp #filtrage de courrier Sieve 2 Rechargez le service de messagerie. Apprentissage de l’écriture de scripts Sieve Les arguments, les commandes et la syntaxe complète Sieve sont disponibles dans IETF RFC 3028 : www.ietf.org/rfc/rfc3028.txt?number=3028 D’autres informations concernant Sieve ainsi qu’un exemple de script est disponible sur : www.cyrusoft.com/sieve60 Chapitre 1 Configuration du service de messagerie Exemple de scripts Sieve Les scripts suivants sont des exemples de scripts habituels que des utilisateurs pourraient utiliser. Scripts de notification d’absence #-------- # Voici un exemple de script concernant les règles d’absence. # Lisez les commentaires suivant le symbole dièse pour savoir # ce que fait le script. #--------- # # Assurez-vous que l’extension de notification d’absence est utilisé. require "vacation"; # Définissez le script comme script d’absence vacation # Envoyez la réponse d’absence à tout expéditeur seulement une fois tous les sept jours, indépendamment du nombre de messages envoyés par cet expéditeur. :days 7 #Pour tous les messages envoyés à ces destinataires :addresses ["bob@exemple.com", "robert.utilisateur@serveur.com"] # Créez un message dont le sujet est le suivant :subject “Réponse d’absence au bureau” # Et composez le message de la manière suivante “Je serai absent jusqu’au 31 décembre. Je ne pourrai répondre que 6 mois après cette date. Salutations, Bob.”; # Fin du script Transfert auto-défini #-------- # Voici un exemple de script illustrant la manière dont Sieve peut être utilisé # pour permettre aux utilisateurs de s’occuper eux-même du transfert de leur courrier. # Lisez les commentaires suivant le symbole dièse pour savoir ce que # fait le script. #--------- # # Pas besoin d’ajouter d’extension. ’rediriger’ est intégré. # Rediriger tous mes messages entrants vers l’adresse indiquée redirect “mon-autre-adresse@exemple.com”; # Mais gardez-en une copie sur le serveur IMAP keep; # Fin du scriptChapitre 1 Configuration du service de messagerie 61 Tri standard et filtre de courrier indésirable #-------- # Voici un exemple de script illustrant la manière de mettre côté et de classer le courrier. # Lisez les commentaires suivant le symbole dièse pour savoir # ce que fait le script #--------- # # Assurez-vous que les modes de classement et de rejet sont activés require “fileinto”; # # Si cela vient de ma mère... if header ["De"] : contains ["Maman"]{ # envoyer le message à ma messagerie personnelle redirect “adresse-maison@exemple.com”; } # # Si l’objet contient un mot clé déterminé... else if header “Objet” :contains “jonquille” { # réexpédier vers l’administrateur de courrier forward “postmaster@serveur.edu”; } # # Si le filtre de courrier indésirable a marqué ce message comme indésirable... else if header : contains ["X-Spam-Flag"] ["YES"]{ # le rejeter discard; } # # Si le filtre de courrier indésirable pense qu’il s’agit probablement d’un message indésirable else if header : contains ["X-Spam-Level"] ["***"]{ # mettre le message dans ma boîte de courrier indésirable fileinto “BOÎTEDERÉCEPTION.CourrierIndésirable”; } # # dans tous les autres cas... else { # mettre le message dans ma boîte de réception fileinto “BOÎTEDERÉCEPTION”; } # Fin du script2 63 2 Maintenance du service de messagerie Une fois que vous avez configuré votre service de messagerie, il est important d’effectuer certaines tâches régulières afin que ce service fonctionne efficacement et sans heurts. L’application Admin Serveur comporte un certain nombre de fonctions qui vous aident à réaliser ces tâches quotidiennes. Ce chapitre décrit la maintenance du service de messagerie, de la base de données et de l’espace de stockage des messages, y compris l’archivage. Il contient également des informations sur la surveillance du courrier, la journalisation et le courrier non distribuable. Démarrage et arrêt du service de messagerie En règle générale, le service de messagerie se lance automatiquement, une fois que vous avez suivi toutes les étapes de l’Assistant Serveur. Vous pouvez également utiliser l’application Admin Serveur pour démarrer et arrêter le service de messagerie en fonction de vos besoins. Il se peut que vous ne souhaitiez pas interrompre complètement le service de messagerie, mais plutôt mettre en attente le courrier sortant ou bien bloquer les connexions du courrier entrant. Si vous souhaitez seulement désactiver partiellement le service de messagerie, consultez les sections suivantes : • “Suspension du service de messagerie sortant” à la page 64 • “Blocage des connexions du courrier entrant” à la page 64 Il n’est pas nécessaire d’arrêter et de démarrer le service de messagerie pour charger de nouveaux réglages sur le logiciel de messagerie. Si vous souhaitez seulement configurer de nouveaux réglages, consultez la section suivante : • “Rechargement du service de messagerie” à la page 65 Pour lancer ou arrêter le service de messagerie : 1 Dans Admin Serveur, sélectionnez Courrier dans le volet Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Général. 4 Assurez-vous qu’au moins un des protocoles de messagerie (SMTP, POP ou IMAP) est activé.64 Chapitre 2 Maintenance du service de messagerie 5 Cliquez sur Démarrer le service ou sur Arrêter le service dans la barre des menus. Lorsque le service est activé, le bouton Arrêter le service est disponible. Si vous envisagez de désactiver le service de messagerie pendant une longue période, informez les utilisateurs avant de procéder. Suspension du service de messagerie sortant Vous pouvez empêcher le service de messagerie d’envoyer de nouveaux courriers sortants. Procédez ainsi pour isoler un problème ou empêcher des conflits avec un autre service de messagerie sur votre réseau. En outre, vous pouvez utiliser cette fonction pour enrayer la propagation de virus ou la retransmission de courrier indésirable provenant de votre serveur. La suspension du service de messagerie et la désactivation du service SMTP sont deux options bien différentes. La désactivation empêche toute connexion d’utilisateur pour le courrier sortant, alors que la suspension du service de messagerie sortant met les messages en attente pour les envoyer ultérieurement. Tous les messages sont conservés dans la file d’attente de courrier sortant pour être inspectés ou supprimés jusqu’à ce que vous interrompiez la suspension. Pour suspendre le courrier sortant : 1 Dans Admin Serveur, sélectionnez Courrier dans le volet Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Général. 4 Cliquez sur Retenir le courrier sortant. 5 Cliquez sur Enregistrer. Blocage des connexions du courrier entrant Vous pouvez empêcher le service de messagerie de recevoir de nouveaux courriers entrants provenant de serveurs externes. Procédez ainsi pour isoler un problème ou empêcher des conflits avec un autre service de messagerie sur votre réseau. En outre, vous pouvez utiliser cette fonction pour enrayer la propagation de virus ou la retransmission de courrier indésirable provenant de serveurs externes. La blocage du service de messagerie entrant et la désactivation du service SMTP sont deux options bien différentes. La désactivation empêche tout message en attente d’être envoyé, alors que le blocage du courrier entrant empêche simplement d’accepter les connexions qui pourraient ajouter un nouveau message à la file d’attente. Toutes les tentatives d’envoi de courrier sont refusées et retournées à l’envoyeur.Chapitre 2 Maintenance du service de messagerie 65 Pour bloquer les connexions entrantes : 1 Dans Admin Serveur, sélectionnez Courrier dans le volet Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Général. 4 Cliquez sur Bloquer les connexions entrantes. 5 Cliquez sur Enregistrer. Rechargement du service de messagerie Il est parfois nécessaire de recharger le serveur de messagerie afin que les modifications apportées aux réglages du service de messagerie prennent effet, par exemple après une restauration à partir d’une sauvegarde ou après la modification du fichier d’alias. Le rechargement du service de messagerie peut être effectué sans interrompre le service de courrier actuel. Pour recharger le service de messagerie sortant : 1 Démarrez Terminal. 2 En tant que root, tapez la commande suivante : postfix reload Modification des réglages de protocole pour le service de messagerie entrant Vous pouvez modifier les réglages de votre service de messagerie entrant en choisissant POP3, IMAP ou les deux. 1 Dans Admin Serveur, sélectionnez Courrier dans le volet Ordinateurs et services. 2 Cliquez sur Réglages. 3 Cliquez sur l’onglet Général. 4 Cochez ou décochez les cases IMAP ou POP en fonction de vos besoins. Amélioration des performances Le service de messagerie se doit d’offrir d’excellents temps de réponse sur des périodes très courtes. Il demeure inactif jusqu’à ce qu’un utilisateur décide de lire ou d’envoyer un message, puis il transfère immédiatement le message. Il impose ainsi des charges intenses mais brèves au serveur. En règle générale, le serveur peut traiter plusieurs centaines d’utilisateurs connectés simultanément, pour autant que d’autres services ne le sollicitent pas fortement en permanence (ce qui serait le cas avec un serveur de diffusion QuickTime, par exemple).66 Chapitre 2 Maintenance du service de messagerie Une sollicitation accrue du serveur par le service de messagerie va de pair avec l’augmentation du nombre d’utilisateurs connectés. Si les performances de votre service de messagerie doivent être améliorées, procédez de la manière suivante : • Ajustez la charge que les utilisateurs peuvent placer sur votre serveur en limitant le nombre de connexions de courrier. Pour obtenir des instructions, consultez la section “Activation de l’accès IMAP” à la page 28. • Modifiez l’emplacement de stockage du courrier vers le disque dur de l’utilisateur ou l’une de ses partitions. Pour obtenir des instructions, consultez la section “Spécification de l’emplacement de la base de données et de l’espace de stockage du courrier” à la page 69. • Exécutez d’autres services sur un serveur différent, en particulier les services sollicitant fortement et fréquemment le serveur (une licence Mac OS X Server unique doit être attribuée à chaque serveur). Utilisation de la base de données et de l’espace de stockage du courrier La base de données de courrier peut effectuer un suivi des messages pour tous les utilisateurs du service de messagerie. Les messages sont stockés dans des fichiers distincts. Les opérations suivantes peuvent être effectuées sur la base de données et les fichiers de courrier : • visualiser et réparer la base de données du stockage de courrier ; • réparer les espaces de stockage du courrier d’utilisateur ; • convertir la base de données de courrier à partir d’une version antérieure de Mac OS X Server ; • indiquer l’emplacement dans lequel la base de données et les fichiers de courrier sont stockés ; • sauvegarder et restaurer l’espace de stockage du courrier. Toutes ces tâches sont décrites dans cette section. Visualisation de l’emplacement de la base de données et de l’espace de stockage du courrier Vous pouvez visualiser l’emplacement de l’espace de stockage du courrier et de la base de données, ainsi que la taille totale de l’espace de stockage du courrier. Il peut s’avérer nécessaire de garder un suivi de la taille actuelle de l’espace de stockage du courrier, de manière à mieux planifier les ressources du serveur de messagerie. Ne modifiez pas ici l’emplacement de la base de données du courrier ou celui de l’espace de stockage du courrier. Consultez la section “Spécification de l’emplacement de la base de données et de l’espace de stockage du courrier” à la page 69 si vous souhaitez modifier ces emplacements.Chapitre 2 Maintenance du service de messagerie 67 Pour visualiser l’emplacement de l’espace de stockage et de la base de données du courrier : 1 Dans Admin Serveur, sélectionnez Courrier dans le volet Ordinateurs et services. 2 Cliquez sur Maintenance. 3 Sélectionnez l’onglet Base de données. Réparation de la base de données du courrier Le service de messagerie consulte sa base de données de listes de boîtes à lettres chaque fois qu’il essaie de distribuer un message à une boîte de réception d’un utilisateur. Il peut arriver que la base de données de listes de boîtes à lettres d’un serveur de messagerie soit corrompue. Si le courrier n’est pas envoyé au bon utilisateur, ou que les messages ne sont pas envoyés correctement, il est possible que la base de données soit corrompue et doive être reconstituée. La reconstitution d’une base de données peut être effectuée pendant le fonctionnement du serveur de messagerie. Toutefois, la meilleure option serait de bloquer les connexions entrantes avant la reconstitution, pour s’assurer que le courrier entrant est traité suivant la base de données mise à jour. Pour obtenir des instructions sur le blocage des connexions entrantes, consultez la section “Blocage des connexions du courrier entrant” à la page 64. Pour réparer une base de données de serveur de messagerie corrompue : 1 Dans Admin Serveur, sélectionnez Courrier dans le volet Ordinateurs et services. 2 Cliquez sur Maintenance. 3 Sélectionnez l’onglet Base de données. 4 Cliquez sur Réparer. Réparation de la base de données du compte d’utilisateur de courrier Le service de messagerie met à jour la base de données d’utilisateur des messages stockés chaque fois qu’un message est ajouté, supprimé ou déplacé. Au cours de ces mises à jour, il peut arriver que la base de données soit corrompue. Lorsque des utilisateurs signalent que des messages ont “disparu” ou sont devenus illisibles, il est possible que la base de données soit corrompue et doive être reconstruite. Réparez la base de données d’un utilisateur individuel lorsqu’elle a manifestement subi une corruption ; la reconstitution ne répare que la boîte à lettres affectée. La reconstruction d’une base de données peut être effectuée pendant le fonctionnement du serveur de messagerie.68 Chapitre 2 Maintenance du service de messagerie Pour reconstituer une base de données de courrier d’utilisateur corrompue : 1 Dans Admin Serveur, sélectionnez Courrier dans le volet Ordinateurs et services. 2 Cliquez sur Maintenance. 3 Sélectionnez l’onglet Comptes. 4 Sélectionnez le compte d’utilisateur affecté. 5 Cliquez sur Reconstituer. Conversion de l’espace de stockage et de la base de données du courrier à partir d’une version antérieure Si vous avez utilisé des versions antérieures d’Apple Mail Service, vous devrez convertir les messages de vos utilisateurs et la base de données de courrier en format actuel. Par exemple, si vous mettez à niveau Mac OS X Server versions 10.1 ou 10.2 vers la version 10.4, vous devez faire migrer vos base de données et espace de stockage de courrier. Si vous effectuez une mise à niveau à partir de Mac OS X Server version 10.3, il n’est pas nécessaire de faire migrer votre installation de courrier. Pour convertir la base de données de stockage du courrier : 1 Dans Admin Serveur, sélectionnez Courrier dans le volet Ordinateurs et services. 2 Cliquez sur Maintenance. 3 Sélectionnez l’onglet Migration. 4 Cliquez sur Sélectionner et choisissez l’emplacement de l’ancienne base de données du service de messagerie Apple. Par défaut, l’emplacement des versions 10.1 et 10.2 était /Bibliothèque/AppleMailServer. 5 Sélectionnez le compte d’utilisateur à faire migrer, puis cliquez sur Faire migrer l’utilisateur. 6 Si vous souhaitez faire migrer tous les utilisateurs, il vous suffit de cliquer sur Tout faire migrer. Le courrier est exporté vers le répertoire de destination par défaut et des boîtes aux lettres cibles sont créées selon les besoins. Remarque : pour une conversion correcte de la base de données de courrier, le serveur doit disposer de suffisamment d’espace disque disponible. Cet espace doit être au moins égal à la taille du fichier de base de données en cours de conversion. Si l’espace disque disponible n’est pas suffisant, Admin Serveur ne convertit pas la base de données et les messages.Chapitre 2 Maintenance du service de messagerie 69 Spécification de l’emplacement de la base de données et de l’espace de stockage du courrier Si vous démarrez le service de messagerie pour la première fois et qu’il n’existe aucune base de données de courrier, vous pouvez indiquer où seront stockés la base de données de courrier et les fichiers de messages. Par défaut, l’emplacement de la base de données de courrier est /var/imap/ et celui de l’espace de stockage est /var/spool/imap/. Remarque : le changement d’emplacement de l’espace de stockage du courrier d’un système de courrier existant n’entraîne pas le transfert du courrier de l’ancien emplacement vers le nouveau. Pour spécifier l’emplacement de stockage du courrier sur le serveur : 1 Si le service de messagerie est déjà en cours d’exécution, arrêtez-le. Pour plus de détails, consultez le “Démarrage et arrêt du service de messagerie” à la page 63. Lorsque le service de messagerie démarre pour la première fois, il crée un espace de stockage vide dans l’emplacement par défaut. Vous pouvez l’ignorer ou le supprimer après avoir spécifié un autre emplacement de stockage du courrier et après avoir redémarré le service de messagerie. 2 Dans Admin Serveur, sélectionnez Courrier dans le volet Ordinateurs et services. 3 Cliquez sur Réglages. 4 Cliquez sur l’onglet Avancé. 5 Cliquez sur Base de données. Vous voyez alors l’emplacement actuel de la base de données et de l’espace de stockage du courrier. 6 Cliquez sur Modifier à côté du champ Emplacement de la base de données. 7 Dans le champ Emplacement de la base de données, saisissez le chemin de l’emplacement auquel vous souhaitez stocker la base de données du courrier. Vous pouvez rechercher un emplacement en cliquant sur l’option Modifier en regard du champ d’emplacement. 8 Dans le champ Emplacement de stockage du courrier, saisissez le chemin de l’emplacement auquel vous souhaitez stocker les fichiers de courrier. Vous pouvez rechercher un emplacement en cliquant sur Explorer en regard du champ d’emplacement.70 Chapitre 2 Maintenance du service de messagerie Création d’emplacements supplémentaires de stockage du courrier Le service de messagerie peut s’adapter parfaitement lorsque vous devez modifier votre stockage. Vous pouvez étendre l’espace de stockage du courrier sur plusieurs disques ou systèmes de fichiers. De nouvelles partitions peuvent être ajoutées à l’espace de stockage à tout moment sans nécessiter de temps d’arrêt, ni même de connaissance spécifique de la part de l’utilisateur. Pour utiliser les nouveaux emplacements d’espace de stockage du courrier, vous devrez désigner, dans l’enregistrement d’utilisateur, quelle partition contient l’espace de stockage de courrier de cet utilisateur. Pour cela, saisissez le chemin de l’espace de stockage du courrier dans les réglages de courrier de l’utilisateur à l’aide de Gestionnaire de groupe de travail. Pour plus d’instructions, consultez la section Mac OS X Server Gestion utilisateur pour la version 10.4 ou ultérieure. Les partitions de stockage de courrier que vous ajoutez peuvent être des partitions de disque dur supplémentaires ou bien des systèmes de fichiers montés à distance. Pour des systèmes de fichiers montés à distance, NFS n’est pas recommandé. Remarque : le fait de créer de nouveaux emplacements ne place pas automatiquement le courrier à ces emplacements. Modifiez les enregistrements d’utilisateur dans Gestionnaire de groupe de travail afin de commencer à distribuer le courrier vers les nouvelles partitions. Le fait de supprimer un emplacement ne supprime pas le courrier qui s’y trouve, mais rend inaccessibles tous les dossiers de courrier. Pour diviser l’espace de stockage de courrier : 1 Dans Admin Serveur, sélectionnez Courrier dans le volet Ordinateurs et services. 2 Cliquez sur Réglages. 3 Cliquez sur l’onglet Avancé. 4 Cliquez sur Base de données. Vous voyez alors, dans une liste, l’emplacement actuel de la base de données et de l’espace de stockage du courrier. 5 Pour ajouter un emplacement, cliquez sur le bouton Ajouter (+) à côté de la case “Stockages de courrier supplémentaires”. a Saisissez un nom descriptif pour le nouvel emplacement d’espace de stockage de courrier (par exemple, “Marketing” ou “Bureau”). b Saisissez le chemin du nouvel emplacement (tel que /Volumes/espacedestockage2). c Cliquez sur OK.Chapitre 2 Maintenance du service de messagerie 71 6 Pour modifier un emplacement, cliquez sur le bouton Modifier (/) à côté de la case “Stockages de courrier supplémentaires”. a Modifiez le chemin d’accès au nouvel emplacement. b Cliquez sur OK. 7 Pour supprimer un emplacement, sélectionnez l’emplacement à supprimer et cliquez sur le bouton Supprimer (-) à côté de la case “Stockages de courrier supplémentaires 0148. 8 Cliquez sur Enregistrer. Sauvegarde et restauration des messages de courrier Vous pouvez sauvegarder les données du service de messagerie en effectuant une copie du dossier de service de messagerie. Si vous devez restaurer ces données, il est possible de remplacer le dossier du service de messagerie par une copie de sauvegarde. Vous pouvez sauvegarder des dossiers de stockage individuels ou l’ensemble de l’espace de stockage du courrier, en fonction de vos besoins. L’outil à ligne de commande ditto permet de sauvegarder vos messages électroniques. Pour plus d’informations, consultez la page de manuel (“man”) relative à ditto. Important : arrêtez le service de messagerie avant de procéder à la sauvegarde ou à la restauration du dossier du service de messagerie. Si vous sauvegardez le dossier alors que le service de messagerie est actif, le fichier de base de données de courrier de sauvegarde risque d’être désynchronisé. Il en va de même si vous procédez à une restauration alors que le service de messagerie est actif. Une sauvegarde incrémentielle du dossier de service de messagerie peut s’avérer rapide et efficace. Si vous sauvegardez les données de courrier de façon incrémentielle, seuls le fichier de la petite base de données et les fichiers de messages créés ou modifiés depuis la dernière sauvegarde seront copiés. Après avoir restauré ce dossier, informez les utilisateurs que les messages stockés sur le serveur ont été restaurés à partir d’une copie de sauvegarde. Vous trouverez des informations précieuses sur la sauvegarde des messages de courrier à l’adresse suivante : acs-wiki.andrew.cmu.edu/twiki/bin/view/Cyrus/Backup Surveillance des dossiers et des messages de courrier Cette section décrit comment effectuer les tâches d’administration courantes pour la surveillance des messages électroniques. Elle explique comment : • désigner un compte comme compte d’administrateur de courrier ; • enregistrer les messages électroniques pour la surveillance et l’archivage.72 Chapitre 2 Maintenance du service de messagerie Autorisation de l’accès administrateur aux dossiers de courrier Vous pouvez configurer IMAP pour autoriser l’administrateur de serveur à afficher la hiérarchie du service de messagerie. Les administrateurs ne peuvent pas afficher le courrier proprement dit, mais uniquement les emplacements des dossiers des utilisateurs. Lorsque vous vous connectez en tant qu’administrateur IMAP, vous voyez tous les dossiers de courrier utilisateur stockés sur le serveur. La boîte à lettres de chaque utilisateur est affiché par le logiciel client, dans un dossier distinct. Vous pouvez supprimer les dossiers de boîtes aux lettres inactifs qui appartenaient à des comptes d’utilisateur supprimés. Pour configurer l’accès administrateur aux dossiers de courrier : 1 Dans Admin Serveur, sélectionnez Courrier dans le volet Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Général et cochez la case Activer IMAP si elle n’est pas encore cochée. 4 Sélectionnez un utilisateur existant ou utilisez Gestionnaire de groupe de travail pour créer un utilisateur administrateur IMAP. 5 Si vous n’avez pas créé d’enregistrement utilisateur pour le compte d’administrateur de courrier, consultez le guide de gestion des utilisateurs. 6 Ouvrez /etc/imapd.conf dans un éditeur de texte. Si vous n’êtes pas habitué à utiliser un éditeur de texte terminal tel que emacs ou vi, vous pouvez utiliser TextEdit. 7 Recherchez la ligne “admins:”. 8 Modifiez la ligne afin d’ajouter le numéro UID du compte d’administrateur après les deux-points. 9 Enregistrez vos modifications. 10 Dans votre application de client de messagerie, créez un compte qui utilise IMAP pour se connecter à votre service de messagerie à l’aide du nom d’administrateur de courrier. Pour plus d’informations, consultez la page correspondant à imapd.conf. Enregistrement des messages électroniques pour la surveillance et l’archivage Vous pouvez configurer le service de messagerie afin d’envoyer à un utilisateur ou groupe spécifié des copies carbone invisibles (Cci) de chaque message entrant ou sortant. Cela peut s’avérer utile si vous devez contrôler ou archiver des messages. Les expéditeurs et les destinataires du courrier ne savent pas que des copies de leurs messages sont archivées.Chapitre 2 Maintenance du service de messagerie 73 Vous pouvez configurer l’utilisateur ou le groupe spécifié afin qu’il reçoive les copies carbone invisibles via POP, puis configurer une application de courrier client qui se connectera régulièrement afin de nettoyer le compte en récupérant tous les nouveaux messages. Il est recommandé de copier et d’archiver régulièrement les messages directement depuis le répertoire de destination, à l’aide de commandes shell automatisées. Vous pouvez configurer des filtres dans le client de messagerie pour isoler certains types de messages. Vous pouvez également archiver tous les messages pour des raisons légales. Pour enregistrer tous les messages : 1 Dans Admin Serveur, sélectionnez Courrier dans le volet Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Général. 4 Cochez la case “Copier les messages entrants et sortants dans” et tapez un nom d’utilisateur ou de groupe. 5 Cliquez sur Enregistrer. Surveillance du service de messagerie Cette section décrit l’utilisation de l’application Admin Serveur pour surveiller les éléments suivants : • l’activité globale du service de messagerie, notamment le nombre de connexions de courrier entrantes ou sortantes ; • le nombre d’utilisateurs actuellement connectés ; • les comptes de courrier ; • les historiques du service de messagerie. Cette section décrit également les sollicitations de Mac OS X Server concernant l’espace disque utilisé par les historiques, ainsi que la procédure de sollicitation manuelle. Visualisation de l’ensemble des activités du service de messagerie Vous pouvez utiliser Admin Serveur pour afficher une vue d’ensemble de l’activité du service de messagerie. Cette vue d’ensemble indique si le service est en cours d’exécution, l’heure à laquelle il a démarré, ainsi que les connexions entrantes et sortantes par protocole. Pour afficher une vue d’ensemble des activités du service de messagerie : 1 Dans Admin Serveur, sélectionnez Courrier dans la liste Ordinateurs et services. 2 Cliquez sur le bouton Vue d’ensemble.74 Chapitre 2 Maintenance du service de messagerie Affichage de la liste des connexions de courrier L’application Admin Serveur peut répertorier les utilisateurs actuellement connectés au service de messagerie. Pour chaque utilisateur, vous disposez alors des informations suivantes : nom de l’utilisateur, adresse IP de l’ordinateur client, type de compte de messagerie (IMAP ou POP), nombre de connexions et durée de connexion. Pour afficher une liste des utilisateurs connectés : 1 Dans Admin Serveur, sélectionnez Courrier dans la liste Ordinateurs et services. 2 Cliquez sur le bouton Connexions. Consultation de la file d’attente du courrier sortant Il se peut que vous deviez consulter le courrier en attente d’être envoyé. Si vous possédez un historique des messages non distribués, ou que vous avez interrompu le courrier sortant, il se peut que la file d’attente comporte un certain nombre d’éléments. Il est par ailleurs conseillé de contrôler la distribution de courrier pour s’assurer que le courrier est distribué à la fois aux hôtes locaux et aux hôtes distants. Lorsque vous consultez la file d’attente, vous voyez le numéro d’identification du message, l’expéditeur, les destinataires, la date et la taille du message. Vous pouvez sélectionner un message dans la file d’attente et consulter plus précisément les entêtes de message. Pour consulter la file d’attente du courrier sortant : 1 Dans Admin Serveur, sélectionnez Courrier dans le volet Ordinateurs et services. 2 Cliquez sur Maintenance. 3 Cliquez sur l’onglet File d’attente du courrier. 4 Pour consulter plus précisément un message individuel, sélectionnez-le. Effacement de messages dans la file d’attente du courrier sortant La file d’attente de votre courrier sortant peut contenir un historique des messages non distribués. Il s’agit de messages qui ne peuvent être envoyés pour un certain nombre de raisons : adresse du message incorrecte, serveur de destination ne répondant pas ou encore compte de destination ayant dépassé le quota. Dans ce cas, il est recommandé d’effacer un certain nombre de messages dans l’historique des messages non distribués. Pour effacer un message de la file d’attente des messages sortants : 1 Dans Admin Serveur, sélectionnez Courrier dans le volet Ordinateurs et services. 2 Cliquez sur Maintenance. 3 Cliquez sur l’onglet File d’attente du courrier. 4 Sélectionnez le message à effacer. 5 Cliquez sur Supprimer.Chapitre 2 Maintenance du service de messagerie 75 Visualisation des comptes de messagerie Vous pouvez utiliser l’application Admin Serveur pour afficher la liste des utilisateurs qui ont utilisé leur compte de courrier au moins une fois. Pour chaque compte, vous disposez alors des informations suivantes : nom de l’utilisateur, quota d’espace disque, espace disque utilisé et pourcentage d’espace disque disponible pour l’utilisateur. Les comptes de courrier qui n’ont jamais été utilisés ne sont pas répertoriés. Pour afficher une liste de comptes de messagerie : 1 Dans Admin Serveur, sélectionnez Courrier dans la liste Ordinateurs et services. 2 Cliquez sur Comptes. Affichage des historiques du service de messagerie Le service de messagerie gère quatre historiques que vous pouvez visualiser via Admin Serveur. • Accès au courrier : les informations générales sur le service de messagerie sont journalisées dans l’historique du serveur. • Historique IMAP : l’activité propre à IMAP est journalisé dans cet historique. • Historique POP : l’activité POP spécifique est journalisé dans cet historique. • Historique SMTP : l’activité SMTP spécifique est journalisé dans cet historique. • Historiques des listes d’envoi : l’activité de Mailman, y compris service, erreur, échecs de distribution, publications et inscriptions. Tous les historiques peuvent être affinés à l’aide de la case de filtre de texte de la fenêtre. Pour afficher un historique du service de messagerie : 1 Dans Admin Serveur, sélectionnez Courrier dans la liste Ordinateurs et services. 2 Cliquez sur le bouton Historiques. 3 Sélectionnez un type d’historique dans le menu Afficher. 4 Cliquez sur Enregistrer. Configuration du niveau de détail de l’historique du service de messagerie Les historiques du service de messagerie peuvent afficher plusieurs niveaux de détail. Les trois niveaux de détail sont les suivants : • Faible (erreurs uniquement) • Moyen (erreurs et messages) • Élevé (tous les événements) Vous pouvez choisir le détail d’historique pour chacune des catégories de services (filtre de courrier sortant, entrant ou indésirable).76 Chapitre 2 Maintenance du service de messagerie Pour définir le niveau de détail de l’historique du service de messagerie : 1 Dans Admin Serveur, sélectionnez Courrier dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Autre. 4 Sélectionnez le service dont vous voulez définir le détail d’historique. a SMTP correspond au courrier sortant et aux connexions provenant de serveurs de messagerie externes. b POP/IMAP correspond à la récupération de courrier entrant pour les utilisateurs. c L’historique des virus/courriers indésirables est pour le service de messagerie indésirable. 5 Sélectionnez un niveau de détail dans le menu Niveau de... de détail de l’historique. 6 Cliquez sur Enregistrer. Archivage par planification des historiques du service de messagerie Mac OS X Server archive automatiquement les historiques du service de messagerie après une période donnée. Chaque historique d’archive est compressé et utilise moins d’espace disque que le fichier d’historique original. Vous pouvez personnaliser le planning pour archiver les historiques après une période donnée, mesurée en jours. Pour archiver les historiques par planification : 1 Dans Admin Serveur, sélectionnez Courrier dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Autre. 4 Cliquez sur “Archiver les historiques tous les____ jours.” 5 Saisissez le nombre de jours souhaité. 6 Cliquez sur Enregistrer. Récupération de l’espace disque utilisé par les archives des historiques du service de messagerie Mac OS X Server récupère automatiquement l’espace disque utilisé par les historiques du service de messagerie dès qu’ils atteignent une certaine taille ou ancienneté. Si vous êtes familiarisé avec l’utilisation de l’application Terminal et des outils de ligne de commande UNIX, vous pouvez utiliser l’outil “diskspacemonitor” pour surveiller à tout moment l’espace disque et supprimer ou déplacer les archives d’historique. Pour plus d’informations, consultez “diskspacemonitor” dans le guide de l’administration en ligne de commande .Chapitre 2 Maintenance du service de messagerie 77 Gestion d’un disque saturé Lorsque le disque sur lequel sont stockés les messages est saturé, le service de messagerie peut fonctionner de manière irrégulière et les données peuvent être endommagées. Dans ce cas, vous serez confronté aux comportements suivants : Comportement de Postfix Si le système d’exploitation peut exécuter le processus smtpd, Postfix tentera de fonctionner et d’accepter le message. Le message sera alors refusé avec une erreur de type “disque saturé”. Dans le cas contraire, son comportement est imprévisible. Comportement de Cyrus Si le système d’exploitation peut exécuter un processus imapd ou pop3d, le serveur tentera d’ouvrir le compte de courrier de l’utilisateur. En cas de réussite, l’utilisateur pourra accéder normalement au courrier. Toute modification nécessitant des ajouts à la base de données et entraînant l’augmentation de la taille de cette dernière peut provoquer le blocage du processus et la corruption de la base de données. Traitement du courrier non distribuable Plusieurs raisons peuvent entraîner la non-distribution d’un courrier. Vous pouvez configurer votre service de messagerie pour transférer le courrier entrant non distribuable, limiter les tentatives de distribution de courrier sortant problématique, créer des rapports sur les échecs des tentatives de distribution, ou encore changer les délais du service de messagerie pour augmenter les chances de réussite de la connexion. La non distribution de courrier entrant peut être due à la présence de fautes d’orthographe dans l’adresse ou à un compte d’utilisateur supprimé. Pour le courrier sortant, la non-distribution peut être due à une adresse erronée ou à un dysfonctionnement du serveur de messagerie destinataire. Transfert du courrier entrant non distribuable Vous pouvez faire en sorte que votre service de messagerie transmette les messages arrivant à l’attention d’utilisateurs locaux inconnus à une autre personne réelle locale ou un autre groupe de votre entreprise. Quiconque reçoit un courrier transféré ne lui étant pas adressé (comportant une faute de frappe dans l’adresse, par exemple) peut le transférer au destinataire concerné. Si le transfert de ces messages non distribuables n’est pas explicitement activé, ils sont renvoyés à l’expéditeur.78 Chapitre 2 Maintenance du service de messagerie Pour configurer le transfert du courrier entrant non distribuable : 1 Ouvrez /etc/postfix/main.cf dans un éditeur de texte. Si vous n’êtes pas habitué à utiliser un éditeur de texte terminal tel que emacs ou vi, vous pouvez utiliser TextEdit. 2 Recherchez la ligne “luser_relay.” 3 Supprimez la caractère dièse (“#”) du début de la ligne, s’il apparaît. 4 Modifiez la ligne afin d’ajouter le nom d’utilisateur, l’alias ou le groupe du compte de destination après le signe égal (“=”). 5 Enregistrez vos modifications. 6 Rechargez le serveur de messagerie. Pour en savoir plus sur la recharge de Postfix, consultez la section “Rechargement du service de messagerie” à la page 65. Copie du courrier entrant non distribuable Vous pouvez faire en sorte que votre service de messagerie copie les messages arrivant à l’attention d’utilisateurs locaux inconnus pour une autre personne ou un autre groupe de votre entreprise, en général l’administrateur du courrier. Vous pouvez utiliser ce réglage pour garder un suivi des échecs de distribution de courrier comme les refus de connexion SMTP, le courrier mal adressé, ou bien déterminer la source des courriers indésirables Pour conserver une copie du courrier entrant non distribuable : 1 Dans Admin Serveur, sélectionnez Courrier dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Général. 4 Sélectionnez “Copier le courrier non distribuable à” et tapez un nom d’utilisateur, de groupe, ou un alias. 5 Cliquez sur Enregistrer. Nouvelle tentative d’envoi des messages sortants non distribués Il arrive parfois que la file d’attente du courrier sortant contienne des messages non distribués. Ces messages sont correctement adressés, mais pour une raison quelconque (panne du serveur de destination, coupe-feu bloquant le port sortant pour SMTP, etc.), les messages ne sont pas envoyés. Vous pouvez tenter de les renvoyer. Normalement, le serveur de messagerie tentera tout seul de les renvoyer, mais il est conseillé de le provoquer manuellement au lieu d’attendre.Chapitre 2 Maintenance du service de messagerie 79 Pour tenter de renvoyer un message sortant : 1 Dans Admin Serveur, sélectionnez Courrier dans le volet Ordinateurs et services. 2 Cliquez sur Maintenance. 3 Cliquez sur l’onglet File d’attente du courrier. 4 Sélectionnez le message à renvoyer. Maintenez enfoncée la touche Maj ou Commande pour sélectionner plusieurs messages. 5 Cliquez sur Réessayer. Autres sources d’informations Pour obtenir des informations supplémentaires sur le service de messagerie, consultez Internet ou la documentation consacrée à ce sujet. Bibliographie Pour obtenir des informations d’ordre général sur les protocoles de messagerie et d’autres technologies, consultez les ouvrages suivants : • L’ouvrage Internet Messaging, de David Strom et Marshall T. Rose (Prentice Hall, 1998), fournit une bonne introduction générale au service de messagerie. • Pour plus d’informations sur les enregistrements MX, consultez la section “DNS and Electronic Mail” dans DNS and BIND, 3rd edition, de Paul Albitz, Cricket Liu et Mike Loukides (O’Reilly and Associates, 1998). • Vous pouvez également consulter Removing the Spam : Email Processing and Filtering, de Geoff Mulligan (Addison-Wesley Networking Basics Series, 1999). • Pour en savoir plus sur les normes standard de courrier électronique, reportez-vous à l’ouvrage Essential email Standards : RFCs and Protocols Made Practical, de Pete Loshin (John Wiley & Sons, 1999). • Pour en savoir plus sur Postfix, reportez-vous à Postfix, de Richard Blum (Sams; 1st edition, 2001) • Pour en savoir plus sur Cyrus, reportez-vous à l’ouvrage Managing IMAP, de Dianna Mullet, Kevin Mullet (O’Reilly & Associates, 2000) Internet Internet propose en outre un très grand nombre d’informations sur les différents protocoles de courrier, le système DNS et autres rubriques connexes. Vous trouverez sur le site Web suivant une très bonne présentation générale des systèmes de courrier : www.wikipedia.org80 Chapitre 2 Maintenance du service de messagerie Les documents RFC (Request for Comments) offrent un aperçu d’un protocole ou service et présentent de manière détaillée comment le protocole doit se comporter. Si vous êtes novice en tant qu’administrateur de serveur, certaines informations fondamentales des documents RFC vous seront probablement utiles. Si vous êtes un administrateur confirmé, vous trouverez tous les détails pratiques et techniques relatifs à un protocole dans le document RFC correspondant. Vous pouvez rechercher les documents RFC par numéro sur le site Web suivant : www.faqs.org/rfcs Consultez les documents RFC suivants pour obtenir des détails techniques sur le fonctionnement des protocoles de courrier : • POP : RFC 1725 • IMAP : RFC 2060 • SMTP : RFC 821 et RFC 822 • Sieve : RFC 3028 Pour plus d’informations sur Postfix, consultez le site suivant : www.postfix.org Pour plus d’informations sur Cyrus, consultez le site suivant : asg.web.cmu.edu/cyrus Pour plus d’informations sur Sendmail, consultez le site suivant : www.sendmail.org Pour en savoir plus sur SquirrelMail, consultez le site Web suivant : www.squirrelmail.org Pour en savoir plus sur Sieve, consultez le site suivant : www.cyrusoft.com/sieve Pour plus d’informations sur les serveurs permettant de filtrer le courrier indésirable, consultez le site Web suivant : www.ordb.org3 81 3 Listes d’envoi Les listes d’envoi permettent la distribution d’un même message à plusieurs destinataires. Il existe quelques différences fondamentales entre les listes d’envoi et les groupes de travail. Tout d’abord, les listes d’envoi ne sont pas liées aux autorisations de fichier ou de répertoire. En outre, les listes d’envoi peuvent être administrées par une autre personne que l’administrateur du groupe de travail ou du serveur. Plus important encore, les abonnés des listes d’envoi n’ont pas besoin d’un compte particulier (accès aux messages ou aux fichiers) sur le serveur de la liste ; n’importe quelle adresse électronique peut être ajoutée à la liste. Enfin, les utilisateurs des listes peuvent généralement s’abonner ou se désabonner eux-mêmes. Mac OS X Server utilise Mailman version 2.1.2 comme service de listes d’envoi. Certaines des principales caractéristiques de Mailman incluent (depuis www.list.org/features.html) : • une administration par listes basée sur le Web pour presque toutes les tâches, y compris une configuration par listes, une modération (autorisations de correspondance) par listes, une gestion des comptes d’utilisateur par listes ; • une inscription et une annulation d’inscription basées sur le Web, et une gestion de la configuration de l’utilisateur. Les utilisateurs peuvent momentanément désactiver leur compte, sélectionner les modes digest, masquer leur adresse électronique aux autres utilisateurs, etc ; • une page d’accueil à personnaliser pour chaque liste d’envoi ; • des caractéristiques de confidentialité pour chaque liste, telles que des inscriptions fermées, des dossiers privés, des listes d’adhésion privées et des normes de correspondance adaptées à l’expéditeur ; • un mode de distribution à configurer (par liste et par utilisateur) ; • une détection de renvoi intégrée au sein d’une structure extensible ; • la mise en place automatique des adresses renvoyées (désactiver, annuler l’inscription). • des filtres anti-spam intégrés ; • une archivation intégrée basée sur le Web, avec des liens vers des archiveurs externes ; • un système de passerelles Usenet intégré ; • un mode de réponses automatiques intégré ; • des commandes de type gestionnaire de listes de diffusion, conçues pour le courrier électronique ;82 Chapitre 3 Listes d’envoi • il est possible de disposer de propriétaires et de modérateurs de listes multiples ; • ine assistance pour les domaines virtuels ; • compatible avec la plupart des serveurs et navigateurs Web ainsi qu’avec la plupart des serveurs SMTP. Requiert Python 2.1.3 ou ultérieur ; • une architecture pipeline de distribution de courrier flexible ; • une distribution du courrier très performante, avec une architecture extensible. Vous trouverez des informations supplémentaires concernant Mailman sur le site Web suivant : www.list.org Configuration d’une liste d’envoi Cette section décrit le processus de configuration d’une liste d’envoi. Pour cela, vous devez activer le service, définir le nom de la liste et ajouter des abonnés à la liste. Lorsque vous créez une liste d’envoi pour la première fois, vous devez définir un mot de passe maître qui vous permettra de contrôler toutes les listes. N’utilisez pas un mot de passe d’administrateur ou d’utilisateur. Vous devez également définir les adresses électroniques des autres administrateurs qui possèdent le mot de passe maître. Activation des listes d’envoi Pour pouvoir définir des listes d’envoi et des abonnés, vous devez activer le service de listes et créer la liste d’envoi par défaut de l’administrateur. Lorsque vous activez les listes d’envoi, vous définissez également un mot de passe qui vous permet d’administrer toutes les listes du serveur et de créer automatiquement une liste spéciale pour les administrateurs des listes d’envoi. Les administrateurs de listes d’envoi obtiennent une copie du mot de passe de la liste principale et les notifications d’erreurs. Remarque : la liste (appelée “Mailman”) doit exister pour que les listes d’envoi fonctionnnent correctement. Vous ne devez pas supprimer la liste principale. Pour activer les listes d’envoi : 1 Dans Admin Serveur, sélectionnez Courrier dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Listes d’envoi. 4 Cliquez sur Activer les listes d’envoi. 5 Saisissez le mot de passe de la liste principale. 6 Saisissez les adresses électroniques des administrateurs de la liste. Vous devez saisir au moins un administrateur, qui recevra les notifications concernant le service de liste d’envoi. Vous pouvez en ajouter autant que vous le souhaitez. 7 Cliquer sur Enregistrer. La liste Mailman est créée et elle envoie le mot de passe maître aux administrateurs que vous avez indiqués.Chapitre 3 Listes d’envoi 83 Création d’une nouvelle liste d’envoi Les listes d’envoi permettent la distribution d’un même message à plusieurs destinataires. Une fois que vous avez créé une liste d’envoi, tout courrier électronique envoyé à une adresse de la liste est envoyé à tous les membres de cette liste. Les listes d’envoi disposent d’administrateurs de liste qui peuvent modifier les entrées à cette liste et ses caractéristiques. L’adhésion aux listes peut être automatisée. Ainsi, les administrateurs de listes n’ont pas besoin d’ajouter et de supprimer des membres ; les membres le font eux-mêmes. Pour créer une nouvelle liste : 1 Dans Admin Serveur, sélectionnez Courrier dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Listes d’envoi. 4 Cliquez sur le bouton Ajouter (+) sous la sous-fenêtre Listes. 5 Tapez le nom de la liste. Le nom de la liste d’envoi est le nom du compte de courrier auquel les utilisateurs de la liste envoient leurs messages. Le nom ne tient pas compte de la casse et ne peut pas contenir d’espaces. 6 Tapez l’adresse électronique de l’administrateur de la liste. Si vous saisissez un nom seulement, cela doit être un nom d’utilisateur du serveur. Si vous saisissez une adresse du style “nomd’utilisateur@domaine”, l’administrateur ne doit pas nécessairement être un utilisateur local. 7 Si vous le désirez, cliquez sur “Les utilisateurs peuvent s’inscrire”. 8 Choisissez la langue par défaut de la liste : Vous pouvez choisir entre l’anglais, l’allemand, le japonais, le coréen, le russe ou l’espagnol. Ce réglage définit le texte généré par la liste selon la langue par défaut. 9 Sélectionnez toute langue supplémentaire prise en charge par la liste. Ce réglage définit également le texte généré par la liste selon la langue par défaut. 10 Cliquez sur OK. 11 Cliquer sur Enregistrer. Vous pouvez à présent ajouter des membres à la liste. Pour ajouter des membres, voir “Ajout de membres” à la page 88. Si vous avez permis aux utilisateurs de s’inscrire eux-mêmes, ils pourront le faire par courrier électronique ou à travers la page d’administration Web.84 Chapitre 3 Listes d’envoi Définition de la taille maximum d’un message Vous pouvez définir la taille maximum d’un message accepté par la liste. Vous pouvez par exemple rejeter les pièces jointes importantes en définissant une taille maximum réduite, ou bien autoriser la collaboration de fichiers en définissant une taille de message illimitée. Utilisez Admin Serveur pour régler le taille maximum des messages. Pour définir la taille maximum des messages d’une liste : 1 Dans Admin Serveur, sélectionnez Courrier dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Listes d’envoi. 4 Sélectionnez la liste pour laquelle vous voulez définir la taille des messages. 5 Cliquez sur le bouton Modifier (/) sous la sous-fenêtre Listes. 6 Saisissez la taille maximum des messages (en Ko). Si vous saisissez 0, la taille maximum est illimitée. 7 Cliquez sur OK. Création d’une description de liste d’envoi À partir du nom de la liste, il est parfois difficile de connaître la portée et le contenu du sujet d’une liste d’envoi. La page d’information de la liste contient une description de la liste, le contenu du sujet qu’elle renferme et parfois même qui est autorisé à s’y inscrire. Ces informations sont particulièrement intéressantes pour les listes d’inscription automatique ; un membre potentiel peut décider de s’inscrire ou pas à partir de la description de la liste. Vous pouvez utiliser l’interface basée sur le Web pour définir la description de la liste d’envoi. Les services Web doivent être activés pour accéder à l’interface basée sur le Web. Pour créer la description d’une liste : 1 Saisissez l’URL de la page d’administration de la liste dans un navigateur Web. Cela correspond en général à : /mailman/admin/ 2 Saisissez le mot de passe de la liste principale et cliquez sur “Laissez-moi entrer”. Ce n’est pas le mot de passe de l’utilisateur. Le mot de passe de la liste principale a été défini à l’activation des listes d’envoi sur le serveur et envoyé à tous les administrateurs de la liste alors désignés. 3 Assurez-vous que l’option Options générales est sélectionnée dans la section de lien Catégories de configuration. 4 Saisissez une courte phrase dans la zone de texte de la description.Chapitre 3 Listes d’envoi 85 5 Saisissez quelques lignes à propos de la liste, de ses règles et des attentes de son contenu dans la zone de texte d’informations. 6 Cliquez sur Appliquer les changements. Personnalisation du message d’accueil de la liste d’envoi Lorsque de nouveaux membres adhèrent à une liste d’envoi, que cela soit par affectation ou par inscription automatique, ils reçoivent un message d’accueil automatisé. Ce message explique où trouver les archives de liste et comment annuler l’inscription. Vous pouvez le personnaliser en ajoutant du texte, en décrivant les connaissances et les règles de la liste ou en apportant toute information que vous désirez communiquer aux membres. Vous pouvez utiliser l’interface basée sur le Web pour définir le message d’accueil de la liste d’envoi. Les services Web doivent être activés pour accéder à l’interface basée sur le Web. Pour personnaliser le message d’accueil d’un membre : 1 Saisissez l’URL de la page d’administration de la liste dans un navigateur Web. Cela correspond en général à : /mailman/admin/ 2 Saisissez le mot de passe de la liste principale. Ce n’est pas le mot de passe de l’utilisateur. Le mot de passe de la liste principale a été défini à l’activation des listes d’envoi sur le serveur et envoyé à tous les administrateurs de la liste alors désignés. 3 Assurez-vous que l’option Options générales est sélectionnée dans la section de lien Catégories de configuration. 4 Activez l’option “Envoyer un message d’accueil aux membres nouvellement inscrits”. 5 Saisissez dans la zone de texte “Texte destiné à la liste placé au début...” le texte que vous voulez inclure. 6 Cliquez sur Appliquer les changements. Personnalisation du message d’annulation d’inscription à la liste d’envoi Lorsqu’un utilisateur n’est plus inscrit à une liste d’envoi, que cela soit par décision de l’administrateur de la liste ou bien qu’il ait fait l’annulation lui-même, il reçoit un message d’annulation d’inscription automatisé. Ce message confirme l’annulation d’inscription. Vous pouvez le personnaliser en ajoutant toute information que vous voulez communiquer aux utilisateurs une fois qu’ils ont quitté la liste. Vous pouvez utiliser l’interface basée sur le Web pour définir le message d’accueil de la liste d’envoi. Les services Web doivent être activés pour accéder à l’interface basée sur le Web.86 Chapitre 3 Listes d’envoi Pour créer le message d’accueil d’un membre : 1 Saisissez l’URL de la page d’administration de la liste dans un navigateur Web. Cela correspond en général à /mailman/admin/ 2 Saisissez le mot de passe de la liste principale. Ce n’est pas le mot de passe de l’utilisateur. Le mot de passe de la liste principale a été défini à l’activation des listes d’envoi sur le serveur et envoyé à tous les administrateurs de la liste alors désignés. 3 Assurez-vous que l’option Options générales est sélectionnée dans la section de lien Catégories de configuration. 4 Activez l’option “Envoyer un message d’au revoir aux membres...”. 5 Saisissez dans la zone de texte “Texte envoyé aux personnes quittant la liste...” le texte que vous voulez inclure. 6 Cliquez sur Appliquer les changements. Activation d’un modérateur de liste d’envoi Vous pouvez créer une liste réduite, dans laquelle les correspondances doivent être autorisées par un administrateur de liste avant d’être envoyées à la liste. Désignez des “modérateurs de liste”, qui disposent d’autorisations administratives limitées. Ils ne peuvent pas modifier les options de la liste, mais ils peuvent autoriser ou rejeter des demandes d’inscription ou des postages. Lorsque les modérateurs tapent leur mot de passe dans la page d’administration de la liste, une page contenant les fonctions de modération à leur disposition apparaît. Vous pouvez utiliser l’interface basée sur le Web pour définir la modération de la liste d’envoi. Les services Web doivent être activés pour accéder à l’interface basée sur le Web. Pour activer une modération de liste : 1 Saisissez l’URL de la page d’administration de la liste dans un navigateur Web. Cela correspond en général à /mailman/admin/ 2 Saisissez le mot de passe de la liste principale. Ce n’est pas le mot de passe de l’utilisateur. Le mot de passe de la liste principale a été défini à l’activation des listes d’envoi sur le serveur et envoyé à tous les administrateurs de la liste alors désignés. 3 Assurez-vous que l’option Options générales est sélectionnée dans la section de lien Catégories de configuration. 4 Saisissez les adresses du modérateur de liste que vous voulez inclure dans la zone de texte intitulée “Les adresses électroniques du modérateur de liste”. 5 Cliquez sur Appliquer les changements.Chapitre 3 Listes d’envoi 87 6 Sélectionnez l’option Options de mot de passe dans la section de lien Catégories de configuration. 7 Tapez un mot de passe dans le champ du mot de passe du modérateur et confirmez-le. 8 Cliquez sur Appliquer les changements. Définition des options de renvoi de messages de la liste d’envoi Lorsqu’un message d’une liste n’est pas distribué et qu’il est renvoyé au serveur de la liste, vous pouvez définir la manière dont le serveur de la liste traitera le renvoi résultant. Vous pouvez utiliser l’interface basée sur le Web pour définir les options de renvoi de la liste d’envoi. Les services Web doivent être activés pour accéder à l’interface basée sur le Web. Pour définir les options de renvoi : 1 Saisissez l’URL de la page d’administration de la liste dans un navigateur Web. Cela correspond en général à : /mailman/admin/ 2 Saisissez le mot de passe de la liste principale. Ce n’est pas le mot de passe de l’utilisateur. Le mot de passe de la liste principale a été défini à l’activation des listes d’envoi sur le serveur et envoyé à tous les administrateurs de la liste alors désignés. 3 Sélectionnez l’option Traitement des renvois dans la section de lien Catégories de configuration. 4 Sélectionnez les options de traitement des renvois que vous désirez. Dans chaque section d’option, un lien renvoie à une page d’aide qui explique en quoi consiste cette option. 5 Cliquez sur Appliquer les changements. Constitution d’une liste d’envoi en tant que privée Il se peut que vous ne vouliez pas afficher certaines listes sur la page d’accès aux listes basée sur le Web. Vous pouvez constituer une liste en tant que “privée” ; dans ce cas, elle ne sera pas affichée de cette manière : /mailman/listinfo Vous pouvez utiliser l’interface basée sur le Web pour définir les options de confidentialité d’une liste. Les services Web doivent être activés pour accéder à l’interface basée sur le Web. Pour définir les options de confidentialité : 1 Saisissez l’URL de la page d’administration de la liste dans un navigateur Web. Cela correspond en général à /mailman/admin/ 2 Saisissez le mot de passe de la liste principale.88 Chapitre 3 Listes d’envoi Ce n’est pas le mot de passe de l’utilisateur. Le mot de passe de la liste principale a été défini à l’activation des listes d’envoi sur le serveur et envoyé à tous les administrateurs de la liste alors désignés. 3 Sélectionnez Options de confidentialité puis Normes d’inscription dans la section de lien Catégories de configuration. 4 Désélectionnez “Rendre cette liste publique...” dans la liste de confidentialité. 5 Cliquez sur Appliquer les changements. Ajout de membres Utilisez Admin Serveur pour ajouter des membres à une liste d’envoi. Les abonnés des listes d’envoi n’ont pas besoin d’un compte particulier (accès aux messages ou aux fichiers) sur le serveur de la liste ; n’importe quelle adresse électronique peut être ajoutée à la liste. Vous devez posséder une liste existante pour ajouter un abonné. Si l’abonné est un utilisateur du serveur de courrier, vous pouvez utiliser le bouton Utilisateurs et groupes pour ajouter un abonné local à la liste. Pour ajouter des membres : 1 Dans Admin Serveur, sélectionnez Courrier dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Listes d’envoi. 4 Sélectionnez la liste à laquelle vous souhaitez ajouter un abonné. 5 Cliquez sur le bouton Ajouter (+) situé sous la sous-fenêtre Membres. 6 Tapez l’adresse électronique du destinataire. Si vous saisissez plusieurs abonnés, indiquez les adresses électroniques de tous les destinataires ou bien déposez une liste au format texte dans la case Identifiants d’utilisateurs. Si les abonnés sont des utilisateurs du serveur de courrier, vous pouvez utiliser le bouton Utilisateurs et groupes pour ajouter un groupe local à la liste. 7 Attribuez les privilèges utilisateur. Utilisateurs abonnés à la liste : cela signifie que l’utilisateur recevra le courrier envoyé à l’adresse de la liste. Utilisateurs pouvant poster dans la liste : cela signifie que la liste acceptera le courrier envoyé par l’utilisateur. Utilisateurs pouvant administrer la liste : cela signifie que l’utilisateur possède des autorisations pour administrer la liste. 8 Cliquez sur OK.Chapitre 3 Listes d’envoi 89 Administration des listes d’envoi Les listes d’envoi peuvent être administrées par un membre de liste désigné, appelé “administrateur de liste” ou “gestionnaire de liste”. Les administrateurs de liste peuvent ajouter ou supprimer des abonnés et désigner d’autres administrateurs de liste. Ils peuvent aussi désigner des “modérateurs de liste” qui auront des autorisations administratives très limitées. Ils ne peuvent pas modifier les options de la liste, mais ils peuvent autoriser ou rejeter des demandes d’inscription ou des postages. Mailman utilise une interface basée sur le Web ainsi qu’un système administratif basé sur le courrier électronique. Les services Web doivent être activés pour accéder à l’interface basée sur le Web. Il existe des dizaines d’options de configuration disponibles pour les listes d’envoi de Mailman qui ne sont pas accessibles via Admin Serveur. Pour obtenir une interface d’administration basée sur le Web, consultez : /mailman/listinfo Pour obtenir des informations et accéder à une liste spécifique, consultez : /mailman/listinfo/ Pour obtenir la documentation de ces fonctions pour les utilisateurs, les administrateurs de liste et les administrateurs de serveur, consultez le site suivant : www.list.org/docs.html Affichage des listes d’envoi d’un serveur Vous pouvez afficher les listes publiques (non privées) qui sont en cours d’exécution sur le serveur. Elles seront affichées à travers du portail informatif basé sur le Web du serveur. Les services Web doivent être activés pour accéder à l’interface basée sur le Web. Pour voir les listes : m Ouvrez un navigateur Web et tapez l’URL de la liste. /mailman/listinfo Affichage de la page d’information d’une liste d’envoi Chaque liste possède une page d’information située sur le serveur et qui donne quelques informations élémentaires sur la liste, explique comment correspondre avec elle, comment s’y inscrire et comment accéder à vos préférences d’inscription. Vous accédez à la page d’information de la liste à l’aide d’un navigateur Web. Les services Web doivent être activés pour accéder à l’interface basée sur le Web. Pour voir la page d’information de la liste : m Ouvrez un navigateur Web et tapez l’URL de la liste. /mailman/listinfo/90 Chapitre 3 Listes d’envoi Désignation d’un administrateur de liste Lorsque vous configurez une liste d’envoi, désignez au moins un utilisateur pour l’administrer. L’administrateur peut accéder aux autres pages de réglages de listes de toutes les listes du serveur. Vous pouvez désigner plusieurs administrateurs de listes et permettre à tout membre de devenir administrateur, et vice-versa. Vous pouvez ajouter, supprimer ou modifier un administrateur de liste en suivant ces instructions. Les administrateurs de listes ne doivent pas nécessairement être des utilisateurs (ni être administrateur, ni un utilisateur régulier) du serveur. Ils sont répertoriés en tant qu’adresses électroniques. Donner des autorisations d’administrateur de liste à un membre ne lui donne aucune autre autorisation sur le serveur de la liste d’envoi outre de pouvoir créer et supprimer des listes et modifier des préférences de liste. Pour désigner un administrateur de liste : 1 Dans Admin Serveur, sélectionnez Courrier dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Listes d’envoi. 4 Sélectionnez la liste qui comprend le membre auquel vous souhaitez donner les autorisations d’administrateur de liste. Si l’utilisateur n’est pas encore inscrit à la liste, vous devez tout d’abord l’inscrire. Pour plus de détails, consultez la rubrique “Ajout de membres” à la page 88 5 Sélectionnez le membre de votre choix. 6 Cochez ou décochez “Admin”, au choix, dans la liste des membres. 7 Cliquez sur OK. Accès aux options de l’administrateur basées sur le Web Les administrateurs de liste doivent définir les préférences du comportement de la liste d’envoi et les demandes de modération en attente d’affichage des listes d’envoi qui sont en cours d’exécution sur un serveur. Ces tâches, et bien d’autres encore, s’effectuent à travers le portail d’administration Web du serveur. Les services Web doivent être activés pour accéder à l’interface basée sur le Web. Admin Serveur ne donne pas accès à tout l’éventail de préférences dont dispose une liste d’envoi. Il est préférable que les administrateurs de listes utilisent l’interface basée sur le Web pour effectuer toutes les tâches de configuration les plus élémentaires. Vous trouverez des informations sur les options disponibles via l’interface Web à l’adresse suivante : www.list.org/docs.htmlChapitre 3 Listes d’envoi 91 Pour accéder aux options basées sur le Web d’une liste : 1 Saisissez l’URL de la page d’administration de la liste dans un navigateur Web. Cela correspond en général à : /mailman/admin/ 2 Saisissez le mot de passe de la liste principale. Ce n’est pas le mot de passe de l’utilisateur. Le mot de passe de la liste principale a été défini à l’activation des listes d’envoi sur le serveur et envoyé à tous les administrateurs de la liste alors désignés. 3 Modifiez les configurations de la liste comme vous le souhaitez. Désignation d’un modérateur de liste Lorsque vous configurez une liste d’envoi, vous pouvez désigner un autre utilisateur pour la contrôler. Pour désigner un modérateur de liste : 1 Dans Admin Serveur, sélectionnez Courrier dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Listes d’envoi. 4 Sélectionnez la liste qui comprend le membre de votre choix. 5 Cliquez sur le bouton Modifier (/) sous la sous-fenêtre Listes. Maintenez enfoncée la touche Maj ou Commande afin de sélectionner plusieurs abonnés. 6 Cochez ou décochez la case “Utilisateurs pouvant administrer la liste” selon vos besoins. 7 Cliquez sur OK. Archivage du courrier électronique d’une liste Tous les messages envoyés à une liste d’envoi peuvent être archivés et consultés ultérieurement. Les messages sont regroupés par volumes d’archives et rangés par heure et par date. Vous pouvez décider si les archives d’une liste sont accessibles aux personnes non inscrites et à quelle fréquence les archives sont mises à jour. Par défaut, les archives se trouvent à l’emplacement suivant : /pipermail/ Vous pouvez utiliser l’interface basée sur le Web pour définir les préférences d’archives de la liste d’envoi. Les services Web doivent être activés pour accéder à l’interface basée sur le Web.92 Chapitre 3 Listes d’envoi Pour archiver le courrier électronique d’une liste : 1 Saisissez l’URL de la page d’administration de la liste dans un navigateur Web. Cela correspond en général à : /mailman/admin/ 2 Saisissez le mot de passe de la liste principale. Ce n’est pas le mot de passe de l’utilisateur. Le mot de passe de la liste principale a été défini à l’activation des listes d’envoi sur le serveur et envoyé à tous les administrateurs de la liste alors désignés. 3 Sélectionnez “Options d’archivage” dans la section Catégories de configuration. 4 Sélectionnez Oui à côté de “Archiver les messages ?” 5 Choisissez si les archives seront publiques ou privées. 6 Définissez à quelle fréquence débuter un nouveau volume d’archives. 7 Cliquez sur Appliquer les changements. Affichage des archives de liste d’envoi Si l’administrateur de la liste a activé l’archivage des messages, vous pouvez rechercher et accéder aux messages archivés. Pour afficher les archives d’une liste : 1 Saisissez l’URL de la page d’information de la liste dans un navigateur Web. Cela correspond en général à : /mailman/archives/ 2 Sélectionnez l’année et le mois des archives que vous voulez consulter. Utilisation des membres de la liste d’envoi Une fois qu’une liste a été créée, vous pouvez y ajouter des utilisateurs ou en supprimer. Vous pouvez accorder des autorisations d’administration de liste à un utilisateur ou modifier la possibilité pour un utilisateur de recevoir ou de publier des messages. Ajout d’un abonné à une liste existante Il s’agit de la même procédure que celle permettant d’ajouter un utilisateur à une liste nouvellement créée. Pour ajouter un abonné à une liste existante : 1 Dans Admin Serveur, sélectionnez Courrier dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Listes d’envoi. 4 Sélectionnez la liste à laquelle vous souhaitez ajouter un abonné.Chapitre 3 Listes d’envoi 93 5 Cliquez sur le bouton Ajouter (+) situé sous la sous-fenêtre Membres. 6 Tapez l’adresse électronique du destinataire. L’adresse électronique doit coïncider avec l’adresse de retour du destinataire afin d’expédier les messages n’étant pas autorisés par l’administrateur. Si l’utilisateur a été ajouté grâce au bouton “Utilisateurs et groupes”, l’adresse électronique apparaîtra dans la liste sous la forme de “utilisateur@serveur.domaine.com”. Changez si nécessaire l’adresse électronique dans le panneau des listes d’envoi d’Admin Serveur pour faire correspondre l’adresse de retour utilisée par le client. 7 Attribuez les privilèges d’abonné. 8 Cliquez sur OK. Suppression d’un abonné d’une liste Vous pouvez supprimer un abonné d’une liste d’envoi, de force ou sur demande. Pour supprimer un membre d’une liste : 1 Dans Admin Serveur, sélectionnez Courrier dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Liste d’envoi. 4 Sélectionnez la liste dont vous souhaitez supprimer un abonné. 5 Sélectionnez l’abonné dans la sous-fenêtre Membres. Maintenez enfoncée la touche Maj ou Commande afin de sélectionner plusieurs abonnés. 6 Cliquez sur le bouton Supprimer (-) situé sous la sous-fenêtre Membres. 7 Confirmez la suppression. Modification des autorisations de publication pour les abonnés Il est parfois recommandé de créer une liste de type “annonce uniquement” ; les destinataires de cette liste ne peuvent pas publier de messages à l’adresse de la liste. Pour ajouter ou supprimer les autorisations de publication d’un abonné : 1 Dans Admin Serveur, sélectionnez Courrier dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Listes d’envoi. 4 Sélectionnez la liste qui comprend le membre que vous souhaitez. 5 Cliquez sur le bouton Modifier (/) situé sous la sous-fenêtre Listes. Maintenez enfoncée la touche Maj ou Commande afin de sélectionner plusieurs abonnés. 6 Cochez ou décochez la case “Utilisateurs pouvant poster dans la liste”. 7 Cliquez sur OK.94 Chapitre 3 Listes d’envoi Suspension d’un abonné Vous pouvez conserver un utilisateur dans une liste d’envoi en l’autorisant à publier des messages sur une liste sans pouvoir recevoir les messages de la liste. Pour cela, vous devez suspendre temporairement l’abonnement de l’utilisateur à la liste. Pour suspendre l’abonnement d’un utilisateur à une liste : 1 Dans Admin Serveur, sélectionnez Courrier dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Listes d’envoi. 4 Sélectionnez la liste qui comprend le membre que vous souhaitez. 5 Cliquez sur le bouton Modifier (/) situé sous la sous-fenêtre Listes. Maintenez enfoncée la touche Maj ou Commande afin de sélectionner plusieurs abonnés. 6 Cochez ou décochez la case “Utilisateurs abonnés à la liste” selon vos besoins. 7 Cliquez sur OK. Options de membre de liste Un abonné peut personnaliser certaines caractéristiques de son inscription à la liste d’envoi. Sans être désigné comme “administrateur de liste” ou sans avoir aucune autorisation d’utilisateur sur le serveur, l’utilisateur peut contrôler quelques caractéristiques de son inscription. La section suivante donne des instructions sur quelques réglages généraux que vos utilisateurs peuvent avoir envie de personnaliser. Vous trouvez une liste complète d’options possibles configurer et d’instructions d’utilisation sur la page de documentation de Mailman : www.list.org/docs.html Inscription à une liste d’envoi par courrier électronique Vous pouvez vous inscrire aux listes par courrier électronique. Envoyez un message à l’adresse d’inscription à la liste. Selon les réglages de la liste, il se peut que vous deviez confirmer votre inscription ou attendre l’autorisation du modérateur. Dans tous les cas, vous n’êtes pas obligé de vous inscrire à la fois via le courrier électronique et Internet. Une seule option suffit. Vous pouvez vous inscrire vous-même, si la liste permet l’inscription automatique. Pour vous inscrire par courrier électronique : 1 Ouvrez le logiciel de messagerie dans lequel se trouve l’adresse que vous voulez inscrire.Chapitre 3 Listes d’envoi 95 2 Envoyez un courrier électronique à l’adresse d’inscription à la liste, qui correspond en général à : NOMDELALISTE-join@DOMAINE Le sujet et le corps du message seront ignorés. 1 Ouvrez le logiciel de messagerie dans lequel se trouve l’adresse que vous voulez inscrire. 2 Envoyez un courrier électronique à l’adresse d’inscription à la liste, qui correspond en général à : NOMDELALISTE-join@DOMAINE Le sujet et le corps du message seront ignorés. Inscription à une liste d’envoi par Internet Vous pouvez vous inscrire aux listes en utilisant l’interface Web. Allez à la page d’information de la liste et indiquez votre adresse électronique et un mot de passe pour vos préférences de liste. Selon les réglages de la liste, il se peut que vous deviez confirmer votre inscription ou attendre l’autorisation du modérateur. Dans tous les cas, vous ne devez pas vous inscrire à travers Internet et le courrier électronique. Une seule inscription suffit. Vous pouvez vous inscrire vous-même, si la liste permet l’inscription automatique. Pour s’inscrire par Internet : 1 Saisissez l’URL de la page d’information de la liste dans un navigateur Web. Cela correspond en général à : /mailman/listinfo/ 2 Dans la section Abonné de la page Web, saisissez votre adresse électronique et votre nom (le nom est facultatif). 3 Définissez un mot de passe pour l’utilisation de la liste et tapez-le deux fois pour le confirmer. Cela ne doit pas être un mot de passe d’ouverture de session ou bien un mot de passe utilisé dans un autre contexte que l’administration des options de la liste. Il peut parfois vous être envoyé au format texte. 4 Sélectionnez votre préférence de mode de message résumé. Si vous choisissez de recevoir un résumé journalier au lieu de correspondre avec chaque liste de manière séparée, vous recevrez un courrier journalier. Si vous souhaitez changer votre mode digest après vous être inscrit, consultez la section “Basculement en mode digest” à la page 97. 5 Cliquez sur S’abonner.96 Chapitre 3 Listes d’envoi Annulation d’inscription à une liste d’envoi par courrier électronique L’annulation d’inscription à une liste d’envoi est un processus similaire à la Inscription à une liste d’envoi par courrier électronique. Selon les réglages de la liste, il se peut que vous deviez confirmer votre résiliation d’abonnement ou bien attendre la réponse du modérateur. Pour annuler son inscription par courrier électronique : 1 Ouvrez le logiciel de messagerie dans lequel se trouve l’adresse qui reçoit les courriers de la liste d’envoi. 2 Envoyez un courrier électronique à l’adresse d’inscription à la liste, qui correspond en général à : NOMDELALISTE-join@DOMAINE Le sujet et le corps du message seront ignorés. 3 Suivez les instructions indiquées dans le mail de confirmation. Annulation d’inscription à une liste d’envoi par Internet L’annulation d’inscription à une liste d’envoi par Internet est un processus similaire à Inscription à une liste d’envoi par Internet. Selon les réglages de la liste, il se peut que vous deviez confirmer votre résiliation d’abonnement ou bien attendre la réponse du modérateur. Pour annuler son inscription par Internet : 1 Saisissez l’URL de la page d’information de la liste dans un navigateur Web. Cela correspond en général à : /mailman/listinfo/ 2 Dans la section Abonné de la page Web, saisissez votre adresse électronique et cliquez sur “Annuler l’inscription ou modifier les options”. 3 Cliquez sur Annuler l’inscription. Définition et modification de votre mot de passe de liste d’envoi Votre mot de passe de liste d’envoi est utilisé pour modifier les préférences attachées à une liste donnée. Le mot de passe ne devrait pas être un mot de passe valable. Il est envoyé périodiquement au format texte depuis les listes auxquelles vous êtes inscrit. Pour définir ou modifier votre mot de passe : 1 Saisissez l’URL de la page d’information de la liste dans un navigateur Web. Cela correspond en général à : /mailman/listinfo/ 2 Dans la section Abonné de la page Web, saisissez votre adresse électronique et cliquez sur Annuler l’inscription ou modifier les options.Chapitre 3 Listes d’envoi 97 3 Saisissez votre mot de passe et cliquez sur Ouvrir une session. Ce n’est pas votre mot de passe d’utilisateur. Si vous vous êtes inscrit à travers l’interface Web, vous avez choisi un mot de passe de liste. Si vous vous êtes inscrit par courrier électronique ou si vous étiez inscrit via Admin Serveur, votre mot de passe est vide. 4 Recherchez la section de mot de passe de la page d’inscription. 5 Saisissez un nouveau mot de passe dans le champ indiqué puis saisissez-le à nouveau pour le confirmer. Si vous voulez modifier votre mot de passe pour toutes les listes auxquelles vous appartenez sur ce serveur, sélectionnez Appliquer le changement en général. 6 Cliquez sur Changer mon mot de passe. Désactivation de la distribution du courrier d’une liste Il se peut que vous souhaitiez désactiver temporairement la distribution des messages d’une liste d’envoi ; par exemple, il se peut que vous vouliez éviter de recevoir du courrier en excès lorsque vous êtes en vacances. Pour désactiver la distribution propre à une liste : 1 Saisissez l’URL de la page d’information de la liste dans un navigateur Web. Cela correspond en général à : /mailman/listinfo/ 2 Dans la section Abonné de la page Web, saisissez votre adresse électronique et cliquez sur Annuler l’inscription ou modifier les options. 3 Saisissez votre mot de passe et cliquez sur Ouvrir session. Ce n’est pas votre mot de passe d’utilisateur. Si vous vous êtes inscrit à travers l’interface Web, vous avez choisi un mot de passe de liste. Si vous vous êtes inscrit par courrier électronique ou si vous étiez inscrit via Admin Serveur, votre mot de passe est vide. 4 Dans la section Distribution du courrier, sélectionnez Désactivé. Si vous voulez désactiver la distribution à toutes les listes auxquelles vous appartenez sur ce serveur, sélectionnez Appliquer le changement en général. 5 Cliquez sur Appliquer les changements. Basculement en mode digest En mode digest, un seul mail par jour est envoyé, quel que soit le volume du courrier de la liste. Vous pouvez soit recevoir chaque message, soit recevoir un seul message digest. Si la distribution de votre liste est en mode digest Activé, vous allez recevoir un seul message digest par jour.98 Chapitre 3 Listes d’envoi Pour basculer en mode digest: 1 Saisissez l’URL de la page d’information de la liste dans un navigateur Web. Cela correspond en général à : /mailman/listinfo/ 2 Dans la section Abonné de la page Web, saisissez votre adresse électronique et cliquez sur Annuler l’inscription ou modifier les options. 3 Saisissez votre mot de passe et cliquez sur Ouvrir une session. Ce n’est pas votre mot de passe d’utilisateur. Si vous vous êtes inscrit à travers l’interface Web, vous avez choisi un mot de passe de liste. Si vous vous êtes inscrit par courrier électronique ou si vous étiez inscrit via Admin Serveur, votre mot de passe est vide. 4 Dans la section Définir le mode digest, choisissez si vous souhaitez recevoir ou non un résumé journalier en cliquant sur Activé ou Désactivé. 5 Cliquez sur Appliquer les changements. Faire basculer les résumés (“digests”) MIME ou en texte clair Si vous vous inscrivez à une liste d’envoi et que vous recevez des résumés (“digests”) (un seul mail contenant les courriers de chaque jour), vous pouvez choisir de les recevoir en résumé MIME (un ensemble de courriers individuels) ou en résumé au format Texte (un seul message contenant le texte de tous les courriers). Pour faire basculer les types de message : 1 Saisissez l’URL de la page d’information de la liste dans un navigateur Web. Cela correspond en général à : /mailman/listinfo/ 2 Dans la section Abonné de la page Web, saisissez votre adresse électronique et cliquez sur Annuler l’inscription ou modifier les options. 3 Saisissez votre mot de passe et cliquez sur Ouvrir session. Ce n’est pas votre mot de passe d’utilisateur. Si vous vous êtes inscrit à travers l’interface Web, vous avez choisi un mot de passe de liste. Si vous vous êtes inscrit par courrier électronique ou si vous étiez inscrit via Admin Serveur, votre mot de passe est vide. 4 Dans la section “Obtenir des résumés MIME ou de format texte”, sélectionnez le type de résumé souhaité. Si vous voulez définir le type de résumé à toutes les listes auxquelles vous appartenez sur ce serveur, sélectionnez Appliquer le changement en général. 5 Cliquez sur Appliquer les changements.Chapitre 3 Listes d’envoi 99 Définition des options d’abonné supplémentaires Les abonnés peuvent modifier d’autres options d’adhésion à la liste, parmi lesquelles : • leur adresse électronique ; • leur nom figurant sur la liste ; • leurs confirmations d’envoi ; • la gestion de la copie des messages. Ces options sont disponibles sur votre page d’options d’inscription. Pour accéder à ces autres options : 1 Saisissez l’URL de la page d’information de la liste dans un navigateur Web. Cela correspond en général à : /mailman/listinfo/ 2 Dans la section Abonné de la page Web, saisissez votre adresse électronique et cliquez sur Annuler l’inscription ou modifier les options. 3 Recherchez les options que vous voulez modifier et suivez les instructions à l’écran. Autres sources d’informations Vous pouvez consulter les fonctionnalités et les caractéristiques de Mailman à l’adresse suivante : www.list.org Vous trouverez également les informations suivantes à l’adresse www.list.org/docs.html : • les commandes d’abonné et d’administration basées sur le Web ; • les commandes d’abonné et d’administration basées sur le courrier électronique ; • les listes des questions les plus fréquentes. 101 Annexe Certificats et sécurité Mac OS X Server gère de nombreux services qui utilisent SSL pour garantir un transfert de données crypté. Il utilise un système d’infrastructure de clés publiques pour créer et conserver les certificats d’identité à utiliser avec des services compatibles SSL. Infrastructure de clés publiques Les systèmes d’infrastructure de clés publiques (PKI, Public Key Infrastructure) permettent aux deux parties de s’identifier l’une à l’autre lors d’une transaction de données et d’utiliser des clés de cryptage ainsi que d’autres informations présentes sur les certificats d’identité afin de crypter et décrypter les messages circulant entre eux. Le système PKI permet aux différentes parties en communication de mettre en place des normes de confidentialité, d’intégrité du message et d’authentification du message original sans échanger aucune information confidentielle au préalable. La technologie SSL (Secure Socket Layer) se base sur un système PKI pour sécuriser la transmission de données et l’authentification de l’utilisateur. Il crée un canal de communication sécurisé initial qui permet une transmission de clés plus rapide et en toute confidentialité. Mac OS X Server utilise la technologie SSL pour assurer une transmission cryptée des données pour les services de messagerie, les services Web et les services de répertoire. La section suivante vous offre plus d’informations générales concernant les clés dans un système PKI : • “Clés publiques et privées” • “Certificats” • “Autorités de certificat (CA, Certificate Authority)” • “Identités”102 Annexe Certificats et sécurité Clés publiques et privées Deux clés numériques sont créées à l’intérieur d’un système PKI : la clé publique et la clé privée. La clé privée n’est distribuée à personne et elle est souvent cryptée grâce à une phrase clé. En revanche, la clé publique est distribuée aux autres groupes en communication. Les principales fonctionnalités des clés sont les suivantes : Les services Web, les services de messagerie et ceux de répertoire utilisent la clé publique associée à la technologie SSL afin de disposer d’une clé partagée pour toute la durée de la connexion. Par exemple, un serveur de messagerie envoit sa clé publique à un client connecté et entamera les négociations afin de parvenir à une connexion sécurisée. Le client en cours de connexion utilise la clé publique pour crypter une réponse à envoyer pour négociation. Le serveur de messagerie peut décrypter la réponse grâce à sa clé privée. Les négociations continuent jusqu’à ce que le serveur de messagerie et le client puissent crypter les échanges entre les deux ordinateurs grâce à un secret partagé. Certificats Les clés publiques sont souvent associées aux certificats. Un utilisateur peut apposer une signature numérique à des messages à l’aide de sa clé privée et un autre utilisateur peut vérifier la signature avec la clé publique associée au certificat du signataire, délivré par une autorité de certificat (CA, Certificate Authority) au sein du système PKI. Un certificat de clé publique (parfois appelé “certificat d’identité”) est un document d’un format particulier (Mac OS X Server utilise le format x.509) et qui contient : • la clé publique d’une paire de clés publique/privée ; • des informations sur l’identité de l’utilisateur de la clé, par exemple le nom et les informations de contact ; • une période de validité (durée pendant laquelle le certificat est considéré comme valable) ; • l’URL d’une personne autorisée à annuler le certificat (son “centre d’annulation”) ; • la signature numérique soit de l’autorité de certificat, soit de l’utilisateur de la clé. Type de clé Fonctionnalités Clés publiques • Elles peuvent crypter les messages qui ne peuvent être décryptés que par le titulaire de la clé privée correspondante. • Elles peuvent certifier que la signature d’un message est issue d’une clé privée. Clés privées • Elles peuvent apposer une signature numérique à un message ou à un certificat pour assurer une authentification. • Elles peuvent décrypter les messages cryptés à l’aide d’une clé publique. • Elles peuvent crypter des messages qui ne peuvent être décryptés que par la clé privée en question.Annexe Certificats et sécurité 103 Autorités de certificat (CA, Certificate Authority) Une autorité de certificat est une entité qui signe et délivre des certificats d’identité numériques certifiant le groupe identifié. En ce sens, elle représente une tierce partie sécurisée entre deux transactions. Dans les systèmes x.509, les autorités de certificat sont hiérarchiques par nature : elles sont certifiées par d’autres autorités de certificat, jusqu’à arriver à une “autorité racine”. La hiérarchie des certificats fonctionne toujours du haut vers le bas, le certificat de l’autorité racine se trouvant au sommet. Une autorité racine est une autorité de certificat qui est certifiée par toutes les parties intéressées, ou au moins l’une d’entre elles, et qui par conséquent n’a pas besoin d’être authentifiée par une autre tierce partie sécurisée. Une autorité de certificat peut être une entreprise qui, pour un tarif, signe et met en place un certificat de clé publique qui déclare que la clé publique contenue dans le certificat appartient à son propriétaire, comme enregistré dans le certificat. Dans un sens, l’autorité de certificat est une “assistance notariale numérique”. Une personne sollicite un certificat à l’autorité de certificat en indiquant son identité, ses informations de contact et la clé publique. Une autorité de certificat peut vérifier l’identité d’un candidat ; ainsi, les utilisateurs peuvent authentifier les certificats délivrés par l’autorité de certificat comme appartenant au candidat identifié. Identités Les identités, dans le contexte du gestionnaire de certificats Mac OS X Server, représentent un certificat signé pour l’ensemble des deux clés d’une paire de clés PKI. Les identités sont utilisées par le trousseau système et peuvent également être utilisées par plusieurs services qui prennent en charge la technologie SSL. Certificats auto-signés Les certificats auto-signés sont des certificats auxquels la clé privée, appartenant à la paire de clés incluse dans le certificat, appose une signature numérique. Cela remplace la signature d’une autorité de certificat. Lorsque vous auto-signez un certificat, vous attestez que vous êtes bien la personne en question. Aucune tierce partie sécurisée n’est impliquée. Gestionnaire de certificats d’Admin Serveur Le gestionnaire de certificats de Mac OS X Server est intégré dans Admin Serveur pour vous aider à créer, utiliser et conserver les identités pour les services compatibles SSL. Le gestionnaire de certificats fournit une gestion intégrée des certificats SSL dans Mac OS X Server pour tous les services qui permettent l’utilisation de certificats SSL. Le gestionnaire de certificats permet de créer des certificats auto-signés et des demandes de signature de certificat (CSR) pour obtenir un certificat signé par une autorité de certificat. Les services qui prennent en charge SSL ont accès aux certificats, qu’ils soient auto-signés ou signés par une autorité de certificat.104 Annexe Certificats et sécurité Les identités qui ont été créées et stockées dans des fichiers OpenSSL au préalable peuvent également être importées dans le gestionnaire de certificats ; tous les services qui prennent en charge SSL y ont alors accès. Le gestionnaire de certificats d’Admin Serveur ne vous permet pas de signer et de délivrer des certificats en tant qu’autorité de certificat, ni en tant qu’autorité racine. Si vous avez besoin d’une de ces fonctions, vous pouvez utiliser l’Assistant de certification d’Apple dans /Applications/Utilitaires/. Il permet d’activer ces fonctions, et bien d’autres. Les certificats auto-signés et signés par l’autorité de certificat dans l’Assistant de certification d’Apple peuvent être utilisés dans le gestionnaire de certificats : il suffit d’importer le certificat. Pour chaque certificat, le gestionnaire de certificats affiche les attributs ci-après : • le nom du domaine pour lequel le certificat a été délivré ; • ses dates de validité ; • l’autorité qui l’a signé (comme par exemple l’entité autorité de certificat ; si le certificat est auto-signé, il est affiché “Auto-signé”). Préparation des certificats Avant de pouvoir utiliser SSL dans les services de Mac OS X Server, les certificats doivent être créés ou importés. Vous pouvez créer votre propre certificat auto-signé, élaborer une demande de signature de certificat (CSR) à envoyer à une autorité de certificat ou bien importer un certificat créé au préalable avec OpenSSL. Demande d’un certificat à une autorité de certificat Le gestionnaire vous permet de créer une demande de signature de certificat (CSR) à envoyer à l’autorité de certificat que vous avez choisie. Pour demander un certificat signé : 1 Dans Admin Serveur, sélectionnez le serveur qui contient des services qui prennent en charge SSL. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Certificats. 4 Cliquez sur le bouton Ajouter (+). 5 Remplissez les champs d’information sur l’identité. Le nom commun correspond au nom de domaine complet du serveur qui utilisera les services compatibles SSL. 6 Saisissez les dates de validité de début et de fin. 7 Sélectionnez une taille de clé privée (1024 bits est la taille par défaut). 8 Saisissez une phrase clé pour la clé privée.Annexe Certificats et sécurité 105 9 Cette phrase clé doit être plus sécurisée qu’un mot de passe normal. Il est recommandé d’utiliser au moins 20 caractères, d’inclure des changements de casse, des chiffres et/ou des signes de ponctuation, de ne pas répéter les caractères et de ne pas utiliser de termes présents dans le dictionnaire. 10 Cliquez sur “Demander un certificat signé....” 11 Suivez les instructions à l’écran pour demander un certificat signé à l’autorité de certificat que vous avez choisie. Par exemple, il se peut que vous ayez besoin de réaliser cette opération en ligne ou de saisir l’adresse électronique. 12 Cliquez sur Envoyer la demande. 13 Cliquez sur Enregistrer. 14 Lorsque l’autorité de certificat répond à votre message, elle inclura celui-ci dans le texte d’un message. 15 Veillez à nouveau à ce que l’identité soit ouverte dans l’onglet Certificats. 16 Cliquez sur “Ajouter un certificat signé”. 17 Copiez les caractères dans la zone de texte depuis “==Begin CSR==” jusqu’à “==End CSR==”. 18 Cliquez sur OK. 19 Cliquez sur Enregistrer. Création d’un certificat auto-signé Chaque fois que vous créez une identité dans le gestionnaire de certificats, vous créez un certificat auto-signé. Le gestionnaire de certificats crée une paire de clés publique/privée dans le trousseau système ayant la taille de clé que vous avez spécifiée (512 - 2048 bits). Puis il crée le certificat auto-signé correspondant dans le trousseau système. Tandis que le certificat auto-signé est créé, une demande de signature de certificat (CSR) est également élaborée. Elle n’est pas stockée dans le trousseau mais elle est écrite sur le disque à /etc/certificats/cert.nom.commun.tld.csr, où “nom.commun.tld” correspond au nom commun du certificat qui a été délivré. Pour créer un certificat auto-signé : 1 Dans Admin Serveur, sélectionnez le serveur qui contient des services qui prennent en charge SSL. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Certificats. 4 Cliquez sur le bouton Ajouter (+). 5 Remplissez les champs d’information sur l’identité. Le nom commun correspond au nom de domaine complet du serveur qui utilisera les services compatibles SSL.106 Annexe Certificats et sécurité 6 Saisissez les dates de validité de début et de fin. 7 Sélectionnez une taille de clé privée (1024 bits est la taille par défaut). 8 Saisissez une phrase clé pour la clé privée. 9 Cette phrase clé doit être plus sécurisée qu’un mot de passe normal. Il est recommandé d’utiliser au moins 20 caractères, d’inclure des changements de casse, des chiffres et/ou des signes de ponctuation, de ne pas répéter les caractères et de ne pas utiliser de termes présents dans le dictionnaire. 10 Cliquer sur Enregistrer. Importation d’un certificat Vous pouvez importer dans le gestionnaire de certificats une clé privée et un certificat OpenSSL élaborés préalablement. Ces éléments sont stockés et disponibles dans la liste des identités ; ils sont disponibles pour les services compatibles SSL. Pour importer un certificat de style OpenSSL existant : 1 Dans Admin Serveur, sélectionnez le serveur qui contient des services qui prennent en charge SSL. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Certificats. 4 Cliquez sur le bouton Importer. 5 Saisissez le nom de fichier et le chemin du certificat existant. Sinon, recherchez son emplacement. 6 Saisissez le nom et le chemin du fichier de la clé privée. Sinon, recherchez son emplacement. 7 Saisissez la phrase clé de la clé privée. 8 Cliquez sur Importer. Gestion des certificats Une fois qu’ils sont créés et signés, il n’y a plus grand chose à faire avec les certificats. Ils ne sont modifiables qu’à travers Admin Serveur et ne peuvent pas être modifiés une fois signés par l’autorité de certificat. En revanche, les certificats auto-signés peuvent être modifiés. Il est conseillé de supprimer les certificats si les informations qu’ils contiennent (informations de contact, etc.) ne sont plus correctes ou si vous pensez que la paire de clés a pu être mise en péril de quelque façon que ce soit.Annexe Certificats et sécurité 107 Modification d’un certificat Une fois qu’un certificat a été signé par une autorité de certificat, il ne peut pas être modifié. En revanche, un certificat auto-signé peut être modifié. Tous les champs du certificat (dont le nom de domaine et la phrase clé de la clé privée, la taille de la clé privée, etc.) peuvent être modifiés. Si l’identité a été exportée vers le disque depuis le trousseau système, il faudra l’exporter à nouveau. Pour modifier un certificat : 1 Dans Admin Serveur, sélectionnez le serveur qui contient des services qui prennent en charge SSL. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Certificats. 4 Sélectionnez l’identité de certificat à modifier. Il doit s’agir d’un certificat auto-signé. 5 Cliquez sur le bouton Modifier (/). 6 Cliquer sur Enregistrer. Suppression d’un certificat Lorsqu’un certificat a expiré ou a été mis en péril, il est nécessaire de le supprimer. Pour supprimer un certificat : 1 Dans Admin Serveur, sélectionnez le serveur qui contient des services qui prennent en charge SSL. 2 Cliquez sur Réglages. 3 Sélectionnez l’onglet Certificats. 4 Sélectionnez l’identité de certificat à supprimer. 5 Cliquez sur le bouton Supprimer (-). 6 Cliquer sur Enregistrer. Utilisation des certificats Dans Admin Serveur, les divers services tels que les services Web, les services de messagerie et bien d’autres affichent une liste locale de certificats à l’administrateur, qui peut choisir parmi eux. Ces services ont des présentations différentes ; par conséquent, la liste locale peut changer d’emplacement. Consultez le guide de l’administrateur au sujet du service que vous tentez d’utiliser avec un certificat. 109 Glossaire Glossaire Ce glossaire définit les termes et détaille les abréviations que vous pouvez rencontrer lorsque vous utilisez l’aide en ligne ou toute autre documentation Mac OS X Server. Les références à des termes définis ailleurs dans ce glossaire apparaissent en italiques. ACL ou liste de contrôle d’accès Liste conservée par un système et qui définit les droits des utilisateurs et des groupes pour l’accès aux ressources du système. administrateur de liste Administrateur d’une liste d’envoi. Les administrateurs de liste peuvent ajouter ou supprimer des abonnés d’une liste d’envoi et désigner d’autres administrateurs de liste. Ils ne sont pas nécessairement administrateurs de l’ordinateur local ou du domaine. adresse Nombre ou tout autre identifiant qui se limite à identifier un ordinateur sur un réseau, un ensemble de données stockées sur un disque ou un emplacement sur la mémoire d’un ordinateur. Voir aussi adresse IP, adresse MAC. adresse IP Adresse numérique unique identifiant un ordinateur sur Internet. adresse IP statique Adresse IP affectée de manière permanente à un ordinateur ou un périphérique. adresse MAC Adresse de contrôle d’accès aux données multimédias (Media Access Control). Adresse matérielle qui identifie exclusivement chaque nœud d’un réseau. Pour les périphériques d’AirPort, l’adresse MAC est appelée identifiant AirPort. agent d’accès au courrier Voir MAA. agent d’utilisateur de courrier Voir MUA. agent de transfert de courrier Voir MTA. alias Autre adresse électronique sur votre domaine qui permet de rediriger les messages entrants vers un utilisateur existant. alphanumérique Qui contient des caractères qui incluent des lettres, des nombres et des signes de ponctuation (tels que _ et ?).110 Glossaire authentification Processus de certification de l’identité d’un utilisateur, typiquement basé sur la validation d’un nom et d’un mot de passe utilisateur. L’authentification précède généralement le processus d’autorisation déterminant le niveau d’accès de l’utilisateur à une ressource. Par exemple, le service de fichiers autorise l’accès total aux dossiers et fichiers que possède un utilisateur authentifié. authentification APOP Extension au protocole de courrier POP3. Elle garantit que le nom d’utilisateur et le mot de passe sont cryptés avant d’être utilisés pour s’authentifier auprès d’un serveur de messagerie. autorisations Réglages qui définissent le type d’accès aux éléments partagés dont bénéficient les utilisateurs dans un système de fichiers. Vous pouvez attribuer quatre types d’autorisations d’accès à un point de partage, un dossier ou un fichier : lecture/ écriture, lecture seule, écriture seule et aucune (pas d’accès). Voir aussi privilèges. autorité de certificat Autorité qui délivre et gère les certificats numériques afin d’assurer la transmission des données de manière sécurisée sur un réseau public. Voir aussi infrastructure de clés publiques et certificat. autorité de certification Voir autorité de certificat. bidouilleur Personne qui apprécie la programmation et explore les différentes manières de programmer des nouvelles fonctionnalités et d’augmenter les capacités d’un système informatique. Voir aussi pirate. bit Unité d’information ayant une valeur de 0 ou de 1. caractère Synonyme d’octet. caractère générique Plage de valeurs possibles pour tout segment d’une adresse IP. certificat Parfois appelé “certificat d’identité” ou “certificat de clé publique”. Fichier d’un format particulier (Mac OS X Server utilise le format x.509) qui contient la clé publique d’une paire de clés publique/privée, les informations sur l’identité de l’utilisateur, par exemple son nom et ses informations de contact, et soit la signature numérique, soit une autorité de certificat (CA), soit l’utilisateur de la clé. certificat d’identité Voir certificat. certificat de clé publique Voir certificat. clé privée L’une des deux clés asymétriques utilisées dans un système sécurisé PKI. La clé privée n’est pas distribuée et est en général cryptée à l’aide d’une phrase clé par son propriétaire. Elle peut apposer une signature numérique à un message ou à un certificat pour assurer une authentification, ou bien décrypter les messages cryptés à l’aide de la clé publique correspondante. Enfin, elle peut crypter des messages qui ne peuvent être décryptés que par la clé privée en question.Glossaire 111 clé publique L’une des deux clés asymétriques utilisées dans un système sécurisé PKI. La clé publique est distribuée aux autres groupes en communication. Elle peut crypter des messages qui peuvent être décryptés uniquement par le détenteur de la clé privée correspondante, et peut vérifier la signature qui figure sur un message provenant d’une clé privée correspondante. client Ordinateur (ou un utilisateur de l’ordinateur) qui demande des données ou des services depuis un autre ordinateur ou serveur. contrôle d’accès Méthode pour contrôler quels ordinateurs peuvent accéder à un réseau ou à des services réseau. copie de sauvegarde Ensemble de données qui est stocké dans le but d’être récupéré au cas où la copie originale des données serait égarée ou deviendrait inaccessible. coupe-feu Logiciel destiné à protéger les applications réseau exécutées sur votre serveur. Le service de coupe-feu IP, intégré au logiciel Mac OS X Server, examine les paquets IP entrants et les refuse ou les accepte en fonction des filtres établis. cryptage Opération consistant à occulter des données et à les rendre illisibles sans connaissances particulières. Généralement utilisé pour les communications confidentielles et sécurisées. Voir aussi décryptage. cryptographie de clé publique Méthode de cryptage des données qui utilise une paire de clés, l’une publique et l’autre privée, que l’on obtient auprès d’une autorité de certification. L’une des clés est utilisée pour crypter les messages, et l’autre pour les décrypter. décryptage Opération consistant à récupérer des données cryptées grâce à des connaissances particulières. Voir aussi cryptage. DNS Domain Name System. Base de données distribuée qui fait correspondre des adresses IP à des noms de domaines. Un serveur DNS, appelé également “serveur de noms”, conserve une liste des noms et des adresses IP associées à chaque nom. Domain Name System Voir DNS. domaine Partie du nom de domaine d’un ordinateur sur Internet. Il n’inclut pas la désignation du domaine de premier niveau (par exemple .com, .net, .us, .uk). Le nom de domaine “www.exemple.com” est constitué du sous-domaine ou nom d’hôte “www”, du domaine “exemple” et du domaine de premier niveau “com”. domaine DNS Nom unique d’un ordinateur, utilisé dans le système DNS (Domain Name System) pour convertir les adresses IP et les noms. également appelé nom de domaine.112 Glossaire domaine local Domaine de répertoires accessible uniquement à partir de l’ordinateur sur lequel il réside. domaine virtuel Autre domaine pouvant être utilisé dans les adresses électroniques des utilisateurs de votre messagerie. Également, liste de tous les noms de domaine dont votre serveur de courrier est responsable. enregistrement d’échange de courrier (enregistrement MX) Voir enregistrement MX. enregistrement MX Enregistrement d’échange de courrier. Entrée d’un tableau DNS qui détermine l’ordinateur gérant le courrier pour un domaine Internet. Lorsqu’un serveur de courrier doit remettre des messages à un domaine Internet, il demande l’enregistrement MX du domaine concerné. Le serveur envoie les messages à l’ordinateur spécifié dans l’enregistrement MX. Ethernet Technologie courante de mise en réseau locale dans laquelle les données sont transmises en unités, appelées paquets, via des protocoles tels que TCP/IP. FAI Fournisseur d’accès à Internet. Entreprise qui commercialise un accès à Internet et qui offre généralement des services d’hébergement Web pour les applications de commerce électronique, ainsi que des services de messagerie. file d’attente Espace d’attente ordonné dans lequel les éléments attendent d’être traités par le système. Voir aussi file d’attente d’impression. fournisseur d’accès à Internet Voir FAI. gigaoctet Voir Go. Go Gigaoctet. 1 073 741 824 (2 30 ) octets. hôte Autre nom d’un serveur. hôte de courrier Ordinateur qui fournit le service de messagerie. identifiant Ethernet Voir adresse MAC. IMAP Internet Message Access Protocol. Protocole client/serveur de courrier permettant aux utilisateurs de stocker leur courrier sur le serveur de courrier plutôt que de le télécharger sur l’ordinateur local. Le courrier demeure sur le serveur jusqu’à ce que l’utilisateur décide de l’effacer. infrastructure de clé publique Méthode d’échange de données via un réseau public non sécurisé, tel qu’Internet, en utilisant la cryptographie de clé publique. interface de ligne de commande Méthode d’interface avec l’ordinateur (par exemple, pour exécuter des programmes ou modifier des autorisations de systèmes de fichiers) qui s’opère en tapant des commandes de texte à une invite de shell.Glossaire 113 Internet Ensemble de réseaux d’ordinateurs interconnectés, qui communiquent via un protocole commun (TCP/IP). Internet (notez la majuscule) est le système public le plus étendu au monde de réseaux d’ordinateurs interconnectés. Internet Message Access Protocol (IMAP) Voir IMAP. Internet Protocol Voir IP. IP Internet Protocol. Également désigné par IPv4. Méthode utilisée conjointement avec le protocole TCP (Transmission Control Protocol) pour envoyer des données d’un ordinateur à un autre via un réseau local ou via Internet. Le protocole IP envoie les paquets de données, alors que le protocole TCP se charge du suivi de ces paquets. IPv4 Voir IP. IPv6 “Internet Protocol version 6”. Le protocole de communication de nouvelle génération qui remplace IP (également appelé IPv4). IPv6 permet d’avoir un plus grand nombre d’adresses réseau et peut réduire les charges de routage sur Internet. Kerberos Système d’authentification réseau sécurisé. Kerberos utilise des tickets, délivrés pour un utilisateur, un service et une période déterminés. Une fois l’utilisateur authentifié, celui-ci peut accéder à des services supplémentaires sans devoir ressaisir de mot de passe (signature unique) pourvu que ces services aient été configurés pour accepter les tickets Kerberos. Mac OS X Server utilise Kerberos v5. kilo-octet Voir Ko. Ko Kilo-octet. 1 024 (2 10 ) octets. LDA (Local Delivery Agent) Agent de distribution locale. Agent du service de messagerie qui transfère les messages de l’espace de stockage de courrier entrant vers la boîte de réception du destinataire. Le LDA est responsable de la gestion de la distribution locale des messages ; il doit également mettre le courrier à la disposition de l’application de courrier de l’utilisateur. LDAP Lightweight Directory Access Protocol. Protocole client/serveur standard pour accéder à un domaine de répertoires. Lightweight Directory Access Protocol Voir LDAP. ligne de commande Texte que vous saisissez à une invite de shell lorsque vous utilisez une interface de ligne de commande. liste d’envoi Service de messagerie permettant de distribuer un même message électronique à plusieurs destinataires. Les abonnés à la liste d’envoi ne doivent pas nécessairement être des utilisateurs de votre serveur de courrier. En outre, les listes d’envoi peuvent être administrées par une autre personne qu’un administrateur de groupe de travail ou de serveur. Les utilisateurs peuvent généralement s’abonner ou se désabonner des listes.114 Glossaire liste de contrôle d’accès Voir ACL. MAA (Mail Access Agent) Agent d’accès au courrier. Service de messagerie qui communique avec le programme de courrier d’un utilisateur afin de télécharger les messages ou les en-têtes vers l’ordinateur local de l’utilisateur. Mac OS X La dernière version du système d’exploitation d’Apple. Mac OS X allie la fiabilité d’UNIX à la facilité d’emploi de Macintosh. Mac OS X Server Plate-forme de serveur puissante, capable de gérer immédiatement les clients Mac, Windows, UNIX et Linux et offrant un ensemble de services de réseau et de groupes de travail extensible, ainsi que des outils perfectionnés de gestion à distance. mégaoctet Voir Mo. Mo Mégaoctet. 1 048 576 (2 20 ) octets. MTA Mail Transfer Agent. Service de messagerie qui envoie le courrier sortant, reçoit le courrier entrant à l’attention des destinataires locaux et fait suivre le courrier entrant des destinataires non locaux vers d’autres MTA. MUA Mail User Agent ou agent d’utilisateur de courrier. Processus de courrier sur l’ordinateur local d’un utilisateur, qui fonctionne avec le MAA pour télécharger des messages et des en-têtes vers l’ordinateur local de l’utilisateur. On parle généralement “d’application de messagerie” ou “d’application de courrier électronique”. nœud Emplacement destiné au traitement. Cela peut être un ordinateur ou un autre périphérique, comme par exemple une imprimante. Chaque nœud possède une adresse réseau unique. Dans Xsan, un nœud correspond à tout ordinateur connecté à un réseau de stockage. nom abrégé Abréviation du nom d’un utilisateur. Le nom abrégé est utilisé par Mac OS X pour les répertoires de départ, l’authentification et les adresses électroniques. nom canonique Nom “réel” d’un serveur, si vous lui avez attribué un “surnom” ou un alias. Le serveur courrier.apple.com, par exemple, peut avoir comme nom canonique SrvCourrier473.apple.com. nom complet Voir nom long. nom complet Forme longue d’un nom d’utilisateur ou de groupe. Voir aussi nom d’utilisateur.Glossaire 115 nom d’hôte Nom exclusif d’un serveur, historiquement appelé nom d’hôte UNIX. Le nom d’hôte de Mac OS X Server est d’abord utilisé pour l’accès client aux répertoires de départ NFS. Un serveur établit son nom d’hôte à partir du premier nom disponible dans les sources suivantes : le nom indiqué dans le fichier /etc/hostconfig (NOMD’HÔTE=unnom-d’hôte) ; le nom donné à l’adresse IP principale par le serveur DHCP ou BootP ; le premier nom renvoyé par une requête DNS inverse (adresse vers nom) à l’adresse IP principale ; le nom de domaine local DNS multidiffusion ; le nom “hôte local”. nom d’hôte local Nom qui désigne un ordinateur sur un sous-réseau local. Il peut être utilisé sans système DNS global afin de résoudre les noms en adresses IP. Il est constitué de lettres minuscules, de chiffres ou de traits d’union (sauf en tant que dernier caractère), et se termine par “.local” (par exemple, factures-ordinateur.local). Bien que le nom soit défini par défaut à partir du nom d’ordinateur, l’utilisateur peut définir ce nom dans la sous-fenêtre Réseau des Préférences Système. Il peut être modifié facilement et peut être utilisé partout où un nom DNS ou un nom de domaine complet est utilisé. Il peut uniquement être résolu sur le même sous-réseau que l’ordinateur qui l’utilise. nom d’utilisateur Nom complet d’un utilisateur, parfois qualifié de réel. Voir aussi nom abrégé. nom de domaine Voir nom DNS. nom de l’ordinateur Nom par défaut utilisé pour les enregistrements des services SLP et SMB/CIFS. L’Explorateur réseau du Finder utilise SLP pour trouver les ordinateurs qui utilisent le partage de fichiers personnels et le partage de fichiers Windows. Il peut être configuré pour relier des sous-réseaux en fonction des réglages du routeur réseau. Lorsque vous activez le partage de fichiers personnels, les utilisateurs voient le nom de l’ordinateur dans la zone de dialogue Se connecter au serveur, dans le Finder. Il s’agit initialement de “Ordinateur de ” (par exemple, “Ordinateur de Pierre”), mais ce nom peut être modifié. Le nom de l’ordinateur est utilisé pour explorer les serveurs de fichiers réseau, les files d’attente d’impression, la détection Bluetooth, les clients Apple Remote Desktop, ainsi que toute autre ressource réseau qui identifie les ordinateurs par nom d’ordinateur plutôt que par adresse réseau. Le nom de l’ordinateur est également la base du nom d’hôte local par défaut. nom DNS Nom unique d’un ordinateur, utilisé dans le système DNS (Domain Name System) pour convertir les adresses IP et les noms. également appelé nom de domaine. octet Unité de mesure de données élémentaire, qui équivaut à huit bits (ou chiffres binaires). Open Relay Behavior-modification System Voir ORBS.116 Glossaire open-source Terme désignant le développement coopératif de logiciels par la communauté Internet. Le principe de base consiste à impliquer le maximum de personnes dans l’écriture et la mise au point du code en publiant le code source et en encourageant la formation d’une large communauté de développeurs qui feront part de leurs modifications et améliorations. ORBS Open Relay Behavior-modification System, système de modification de comportement de relais ouvert. Service Internet qui référence sous forme de liste noire les serveurs connus pour être des relais ouverts ou des serveurs supposés comme tels pour les expéditeurs de courrier indésirable. Les serveurs ORBS sont également appelés serveurs “trou noir”. permutation circulaire Stratégie d’allocation de réserve de stockage Xsan. Dans un volume composé de plusieurs réserves de stockage, Xsan alloue de l’espace aux enregistrements successifs dans chacune des réserves de stockage disponibles tour à tour. pirate Utilisateur malveillant qui tente d’accéder sans autorisation à un système informatique afin de perturber le fonctionnement d’ordinateurs ou de réseaux ou bien de voler des informations. À comparer avec bidouilleur. point de relais Voir relais ouvert. polluriel Courrier commercial non sollicité. Voir spam. POP Post Office Protocol. Protocole destiné à récupérer le courrier entrant. Une fois qu’un utilisateur a récupéré son courrier POP, ce dernier est stocké sur l’ordinateur de l’utilisateur et, généralement, supprimé automatiquement du serveur de courrier. port Sorte de logement virtuel de courrier. Un serveur utilise les numéros de port pour déterminer quelle est l’application qui devrait recevoir les paquets de données. Les coupe-feu utilisent les numéros de port pour déterminer si des paquets de données sont autorisés à traverser un réseau local. “Port” désigne en général soit un port TCP, soit un port UDP. Post Office Protocol Voir POP. privilèges Droit d’accéder à des zones restreintes d’un système ou d’effectuer certaines tâches (telles que des tâches de gestion) dans le système. privilèges d’accès Voir autorisations. RBL Realtime Blackhole List, liste noire. Service Internet qui référence sous forme de liste noire les serveurs connus pour être des relais ouverts ou des serveurs supposés comme tels pour les expéditeurs de courrier indésirable. Realtime Blackhole List, liste noire Voir RBL.Glossaire 117 relais Dans QuickTime Streaming Server, un relais reçoit un flux entrant puis le redirige vers un ou plusieurs serveurs d’enchaînement. Les relais peuvent réduire l’utilisation de la bande passante Internet et sont utiles pour les diffusions avec de nombreux spectacteurs à différents emplacements. En termes de courrier Internet, un relais est un serveur SMTP de courrier qui envoie le courrier entrant à un autre serveur SMTP, mais pas à sa destination finale. relais ouvert Serveur recevant et transférant automatiquement le courrier vers un autre serveur. Les émetteurs de courrier indésirable exploitent les serveurs relais ouverts, afin que leurs propres serveurs de messagerie ne figurent pas sur les listes noires référençant les sources de courrier indésirable. répertoire Également appelé dossier. Liste de fichiers et/ou d’autres répertoires organisée hiérarchiquement. réseau étendu Voir WAN. réseau local Voir LAN (Local area network). sauvegarder Fait de créer une copie de sauvegarde. Secure Sockets Layer Voir SSL. serveur de noms Serveur d’un réseau qui tient à jour une liste des noms de domaines et des adresses IP associées à chaque nom. Voir aussi DNS, WINS. services de répertoire Services fournissant au logiciel système et aux applications un accès uniforme aux domaines de répertoire et autres sources d’informations sur les utilisateurs et les ressources. signature numérique Signature électronique qui peut servir à confirmer l’identité de l’expéditeur d’un message. Simple Mail Transfer Protocol Voir SMTP. SMTP Simple Mail Transfer Protocol. Protocole utilisé pour envoyer et transférer du courrier. Sa capacité à placer les messages entrants en file d’attente est limitée, il n’est donc généralement utilisé que pour envoyer les messages, POP ou IMAP étant utilisés pour les recevoir. sous-domaine Parfois appelé nom d’hôte. Partie du nom de domaine d’un ordinateur sur Internet. Il n’inclut pas la désignation du domaine ou du domaine de premier niveau (TLD, Top-Level Domain) (par exemple .com, .net, .us, .uk). Le nom de domaine “www.exemple.com” est constitué du sous-domaine “www”, du domaine “exemple” et du domaine de premier niveau “com”.118 Glossaire sous-réseau IP Partie d’un réseau IP, pouvant être un segment de réseau physiquement indépendant, partageant une adresse réseau avec d’autres parties du réseau et identifiée par un numéro de sous-réseau. spam courrier non sollicité ; courrier indésirable. SSL Secure Sockets Layer. Protocole permettant d’envoyer sur Internet des informations cryptées et authentifiées. Les versions plus récentes de SSL sont appelées TLS (Transport Level Security). TCP Transmission Control Protocol. Méthode utilisée avec le protocole IP (Internet Protocol) pour envoyer, via Internet, des données sous forme d’unités de messages entre ordinateurs. Le protocole IP se charge de gérer le transfert des données, alors que le protocole TCP effectue le suivi individuel des unités de données (appelées “paquets”). Chaque message est fractionné en plusieurs unités afin d’assurer un routage efficace à travers Internet. téraoctet Voir To. texte en clair Texte qui n’a pas été crypté. To Téraoctet. 1 099 511 627 776 (2 40 ) octets. type de fiche Catégorie spécifique de fiches, comme les utilisateurs, les ordinateurs et les montages. Un domaine de répertoire peut contenir un nombre quelconque d’enregistrements, quel que soit leur type. UDP User Datagram Protocol. Méthode de communication utilisant le protocole IP pour envoyer une unité de données (appelée datagramme) d’un ordinateur à un autre sur un réseau. Les applications réseau qui ont de toutes petites unités de données à échanger peuvent utiliser le protocole UDP à la place du protocole TCP. utilisateur virtuel Autre adresse électronique (nom abrégé) d’un utilisateur. Similaire à un alias, mais impliquant la création d’un nouveau compte d’utilisateur. WAN Réseau étendu. Réseau reliant des sites géographiquement dispersés, par opposition au réseau local (LAN, Local Area Network), installé au sein d’un même groupe de bâtiments. L’interface WAN est généralement celle connectée à Internet.119 Index Index A activation contrôle 54 administrateur de liste à propos de 89, 94 désignation 90 Admin Serveur service de messagerie, démarrage et arrêt 63 service de messagerie, rechargement 65 affichage comptes d’utilisateur 75 utilisateurs connectés 74 agent de distribution local (LDA) 16 de transfert de courrier (MTA) 16 utilisateur de courrier (MUA) 18 aide 10 en ligne 10 alias de compte d’utilisateur 41 authentification APOP 30 du service de messagerie 34 IMAP 31, 32 Kerberos 30 B base 69 base de données de courrier 66–71 à propos de 18 emplacement 18 sauvegarde 71 BerkeleyDB 18 C Cci (copies carbone invisibles) 72 ClamAV 57 compte postmaster 26 comptes d’utilisateur 42 adresses électroniques 42 postmaster 26 réglages 24 supprimés, suppression du courrier 72 comptes de courrier spéciaux postmaster 26 contrôle 53 copies carbone invisibles 72 coupe-feu envoi de courrier à travers 37 courrier entrant configuration 25 courrier indésirable 49–53 authentification SMTP ??–51 formation du filtre 55, 56 liste de serveurs non approuvés 52 retransmission SMTP restreinte 51 serveurs SMTP refusés 52 courrier non distribuable 77 transfert 77 courrier non sollicité courrier sortant configuration 26, 33 CRAM-MD5 34 cyradm (outil de tierce partie) 58 D DNS enregistrements MX 20 utilisation avec les services de messagerie 21 documentation 11 documents RFC (Request for Comments) 80 domaines virtuels 43 E échangeur de courrier (MX) 20 écriture de scripts Sieve activation de la prise en charge 59 apprentissage 59 exemples 60–61 emplacement du courrier sortant 18 enregistrements d’échange de courrier (MX) Voir enregistrements MX enregistrements MX 20, 25, 44, 45 espace de stockage du courrier120 Index sauvegarde 71 F filtrage des connexions SMTP 53 selon la langue 56 selon le lieu 56 virus 57 filtres bayésiens 54 courrier indésirable 49–52 freshclam 57 G guides d’administration du serveur 11 H historiques archivage 76 récupération de l’espace disque utilisé 76 service de messagerie 75–76 hôte virtuel 45–47 I IMAP (Internet Message Access Protocol) 31 accès administrateur 72 à propos de 17, 28 réglages 33 L limitation de la taille des messages entrants 37 liste d’envoi activation 82 administration 89–99 ajout d’abonnés à une liste existante 92 ajout d’un abonné 88 configuration 82–88 désignation d’un administrateur de liste 90 modification des autorisations 93 suppression d’un abonné 93 suspension d’un abonné 94 M Mac OS X Server configuration 10 Mailman 81 MX (échangeur de courrier) 20 N noms d’utilisateur en tant qu’adresses électroniques 42 P planification du service de messagerie 23 POP à propos de 17 réglages 31 transport sécurisé 31 Post Office Protocol (POP) Voir POP premiers pas avec Mac OS X Server 10 présentation générale de la configuration 25–27 des outils 24 protocoles IMAP 17 POP 17 service de messagerie 16 Q quotas 47–49 gestion 47 R réglages d’utilisateur 26 des performances 65 du client de messagerie 39 réglages du serveur limitation de la taille des messages entrants 37 suspension du courrier sortant 64 relais SMTP limité 50 via un autre serveur 36 répertoire d’attente emplacement 18 ressources service de messagerie 79–80 S sauvegarde base de données de courrier 71 espace de stockage du courrier 71 Scripts Sieve 59 serveur “trous noirs” 52 de retransmission 36 figurant sur une liste noire 52 RBL 52 service de messagerie Cci (copies carbone invisibles) 72 démarrage et arrêt 27, 63 historiques 75–76 plus d’informations 79 prévention du courrier indésirable 49–53 protocoles, changement 65 rechargement 65 ressources 79–80 surveillance 73–75 suspension du courrier sortant 64Index 121 transfert de courrier non distribuable 78 service DNS enregistrements MX 20, 25, 44, 45 service de messagerie et 20, 25 SMTP (Simple Mail Transfer Protocol) 16 à propos de 16 authentification 50, 51 réglages 33 transport sécurisé 36 spam Voir courrier indésirable SSL (Secure Sockets Layer) service de messagerie et 22 utilisation avec les services de messagerie 22 stockage des messages 66–71 surveillance comptes d’utilisateur 75 utilisateurs connectés 74 T transport activation de SSL 31 U utilisateurs supprimés, effacement de courrier 72 AirPort Express Opstillingsvejledning2 Indholdsfortegnelse 4 Kapitel 1: Introduktion 5 Om AirPort Express 7 Om AirPort-softwaren 7 Hvad du har brug for 9 Tilslutte AirPort Express 10 Statusindikatorerne på AirPort Express 11 Hvad er det næste? 12 Kapitel 2: Brug af AirPort Express 12 Bruge AirPort Express med en bredbåndsforbindelse til Internet 14 Bruge AirPort Express sammen AirTunes til at afspille iTunes-musik på dit stereoanlæg 15 Bruge AirPort Express på et eksisterende trådløst netværk til at streame musik til stereoanlægget 20 Bruge AirPort Express til at dele en USB-printer 21 Udvide rækkevidden af et eksisterende AirPort Extreme- eller AirPort Express-netværk 23 Bruge AirPort Express med dit AirPort Extreme-netværk 24 Kapitel 3: Indstille AirPort Express 26 Bruge AirPort-værktøj 28 Oprettelse af et nyt trådløst netværkIndholdsfortegnelse 3 28 Konfiguration og deling af Internetadgang 29 Tilslutning til et eksisterende trådløst netværk 30 Udvide rækkevidden af et eksisterende AirPort Extreme- eller AirPort Express-netværk 31 Angivelse af avancerede indstillinger 33 Kapitel 4: AirPort Express, når du er på farten 36 Kapitel 5: Tip og fejlfinding 42 Overvejelser ved placering af AirPort Express 43 Forhold, der kan skabe forstyrrelser for AirPort 44 Kapitel 6: Yderligere oplysninger, service og support 44 Kilder på Internet 44 Hjælp på skærmen 45 Garantiservice 45 Sådan finder du serienummeret på AirPort Express 46 Appendiks: Specifikationer for AirPort Express 47 Gode råd om sikkerhed til AirPort Express 48 Undgå våde steder 48 Foretag ikke selv reparationer 49 Om håndtering 50 Regulatory Compliance Information4 1 1 Introduktion Tillykke med købet af AirPort Express. Læs denne håndbog, så du kan komme i gang med at bruge den. Du kan bruge AirPort Express til at dele din bredbåndsforbindelse til Internet med trådløse computere på netværket, afspille iTunes-musik på stereoanlægget og meget mere. AirPort Express leveres med AirTunes, så du kan afspille iTunes-musik på eksterne højttalere. Med AirPort Express kan du:  Oprette et trådløst netværk i dit hjem og derefter oprette forbindelse til Internet og dele forbindelsen med op til ti computere samtidigt. En hel familie kan have forbindelse til Internet på samme tid.  Slutte AirPort Express til dit stereoanlæg eller dine forstærkede højttalere og bruge AirTunes til at afspille iTunes-musik på stereoanlægget fra en Macintosh med et AirPort- eller AirPort Extreme-kort eller en kompatibel trådløs Windows XP- eller Windows 2000-computer.  Indstille en trådløs forbindelse til dit Ethernet-netværk. AirPort- og AirPort Extremeudstyrede Macintosh-computere eller Windows XP- eller Windows 2000-computere kan derefter få adgang til hele netværket uden kabelforbindelser.Kapitel 1 Introduktion 5  Udvide rækkevidden af netværket ved at tilføje AirPort Express på det eksisterende trådløse AirPort Extreme- eller AirPort Express-netværk. Dette kaldes WDS eller Wireless Distribution System - trådløst distributionssystem.  Slutte en USB-printer til AirPort Express. Alle kompatible computere på AirPortnetværket - både trådløse og kabelforbundne - kan udskrive til printeren.  Oprette specielle beskrivelser, så du kan lagre indstillinger til op til fem forskellige placeringer. Tage AirPort Express med på farten og hurtigt oprette forbindelse til bredbåndsnetværk, f.eks. i et hotelværelse. Om AirPort Express AirPort Express har tre porte, der er placeret i bunden:  En Ethernet-port (G) til tilslutning af et DSL- eller kabelmodem eller til tilslutning af et eksisterende Ethernet-netværk  Analog og optisk digitalt minijackstik til lyd (-), så du kan slutte AirPort Express til et stereoanlæg eller forstærkede højttalere6 Kapitel 1 Introduktion  En USB-port (d), så du kan slutte en kompatibel printer til AirPort Express Ved siden af portene er der en nulstillingsknap, der bruges til fejlfinding af AirPort Express. Statusindikatoren på siden af AirPort Express viser den aktuelle status. Statuslampe Nulstillingsknap Linjeudgang (Analogt og optisk digitalt minijackstik) Ethernet-port USB-port Netstik Kapitel 1 Introduktion 7 Om AirPort-softwaren AirPort Express fungerer sammen med den AirPort-software, der findes på AirPort Express-cd'en. Hvad du har brug for Hvis du vil indstille AirPort Express med en Macintosh, skal du have følgende:  En Macintosh-computer med et AirPort- eller AirPort Extreme-kort installeret  Mac OS X v10.4 eller en nyere version AirPort-værktøj AirPort-værktøj hjælper dig med at indstille AirPort Express, så du kan oprette et trådløst netværk, oprette forbindelse til Internet og dele en USB-printer. Du kan også slutte AirPort Express til et eksisterende trådløst AirPort Extreme- eller AirPort Express-netværk og udvide netværkets rækkevidde med WDS. Brug AirPortværktøj til hurtigt og let at indstille AirPort Express og det trådløse netværk. AirPort-værktøj er et avanceret værktøj til indstilling og administration af AirPort Extreme- og AirPort Express-baser. Brug AirPort-værktøj, når du skal justere netværks-, routing-, sikkerheds- og andre avancerede indstillinger. AirPort-statusmenuen i menulinjen Brug AirPort-statusmenuen til hurtigt at skifte mellem AirPort-netværk, overvåge signalstyrken på det valgte netværk, oprette et computer til computer-netværk og slå AirPort til og fra. Statusmenuen er tilgængelig på computere, der bruger Mac OS X. Z8 Kapitel 1 Introduktion Hvis du vil indstille AirPort Express med en Windows-computer, skal du have følgende:  En Windows-computer med 300 MHz processor eller hurtigere  Windows XP Home eller Professional Du skal have iTunes for at afspille lyd fra computeren på et stereoanlæg, der er tilsluttet AirPort Express. Du kan sikre dig, at du har den nyeste version af iTunes, hvis du besøger www.apple.com/dk/itunes. Du kan bruge AirPort Express med alle computere, der er forberedt til trådløs anvendelse, og som overholder standarderne IEEE 802.11b eller 802.11g. Hvis du vil indstille AirPort Express, skal computeren opfylde de krav, der er anført herover.Kapitel 1 Introduktion 9 Tilslutte AirPort Express Før du tilslutter AirPort Express, skal du forbinde de rigtige kabler med de porte, du vil bruge, herunder Ethernet-kablet, der er forbundet med DSL- eller kabelmodemmet (hvis du vil oprette forbindelse til Internet), lydkablet, der er forbundet med stereoanlægget (hvis du vil afspille musik fra iTunes), og et USB-kabel, der er forbundet med en kompatibel USB-printer (hvis du vil udskrive til en USB-printer). Så snart du har forbundet kablerne med de enheder, du har planlagt at bruge, skal du tilslutte strømforsyningen, hvis det er nødvendigt. Sæt AirPort Express i vægstikket. Der er ingen afbryderknap. Netstik10 Kapitel 1 Introduktion Når du sætter AirPort Express i stikkontakten, blinker statusindikatoren grønt, hvorefter den lyser orange, mens AirPort Express starter. Så snart den er startet, lyser statusindikatorerne konstant grønt. Statusindikatorerne på AirPort Express I følgende tabel forklares rækkefølgen af indikatorerne i AirPort Express og deres betydning. Indikator Status/beskrivelse Slukket AirPort Express er ikke tilsluttet. Blinker grønt AirPort Express starter. Bemærk:Hvis du vælger Blink ved aktivitet på lokalmenuen Statusindikator i vinduet Base i AirPort-indstillinger i AirPortværktøj, blinker statusindikatoren måske grønt for at vise normal aktivitet. Konstant grønt AirPort Express er tændt og fungerer korrekt. Hvis du vælger Blink ved aktivitet på lokalmenuen Statusindikator i vinduet Base i AirPort-værktøj, blinker statusindikatoren måske grønt for at vise normal aktivitet. Blinker orange AirPort Express kan ikke etablere forbindelse til netværket eller Internet.Se “Statusindikatoren på AirPort Express blinker orange” på side 39. Lyser orange AirPort Express er ved at færdiggøre startsekvensen. Blinker orange og grønt Måske er der et problem med at starte. AirPort Express genstartes og prøver igen.Kapitel 1 Introduktion 11 Hvad er det næste? Når du har tilsluttet AirPort Express, skal du bruge AirPort-værktøj til at indstille den til at bruge Internetforbindelsen, stereoanlægget, USB-printeren eller et eksisterende netværk. Se “Brug af AirPort Express” på side 12, hvis du vil se eksempler på alle de måder, du kan bruge AirPort Express, samt oplysninger om, hvordan du indstiller det trådløse netværk. Se derefter “Indstille AirPort Express” på side 24, hvis du vil vide mere om indstilling af AirPort Express.12 2 2 Brug af AirPort Express Dette kapitel indeholder beskrivelser af de forskellige måder, du kan bruge AirPort Express på. Dette kapitel indeholder eksempler på, hvordan din indstilling kan se ud, afhængigt af hvordan du bruger AirPort Express. Det indeholder også en kort beskrivelse af, hvordan du hurtigt får AirPort Express-netværket til at fungere. Bruge AirPort Express med en bredbåndsforbindelse til Internet Når du indstiller AirPort Express til at give netværks- og Internetadgang, kan Macintosh-computere med AirPort- og AirPort Extreme-kort og computere, der er udstyret med trådløs 802.11b- og 802.11g-teknologi, få adgang til det trådløse AirPortnetværk, så du kan dele arkiver, spille spil og bruge Internetprogrammer, f.eks. webbrowsere og e-postprogrammer.Kapitel 2 Brug af AirPort Express 13 Sådan ser det ud Sådan indstilles det 1 Slut DSL- eller kabelmodemmet til AirPort Express via Ethernet-porten (G). 2 Brug AirPort-værktøj til at oprette et nyt netværk. (Se side 24, hvis du ønsker yderligere oplysninger). Computere, der bruger AirPort, og computere, der bruger andre trådløse kort eller moduler, opretter forbindelse til Internet gennem AirPort Express. Trådløse computere kommunikerer med hinanden gennem AirPort Express. DSL- eller kabelmodem Ethernet-port til Internet G14 Kapitel 2 Brug af AirPort Express Bruge AirPort Express sammen AirTunes til at afspille iTunesmusik på dit stereoanlæg Du kan slutte AirPort Express til stereoanlægget via et fiberoptisk kabel (Toslink-tilmini), et ministereo-til-dobbelt-RCA-kabel eller et ministereo-til-ministereo-kabel, afhængigt af hvilken type stik der er på stereoanlægget, hvorefter du kan bruge AirTunes til at spille musik trådløst fra iTunes. Sådan ser det ud Optisk digital lydindgang eller or Digitalt fiberoptisk kabel (toslink-til-mini) eller ministereo-til-RCAkabel Stereomodtager Computer med iTunes Linjeudgang Venstre og højre lydindgange af RCA-typenKapitel 2 Brug af AirPort Express 15 Sådan indstilles det 1 Slut AirPort Express til stereoanlægget eller eksterne højttalere via et digitalt fiberoptisk kabel, analogt ministereo-til-dobbelt-RCA-kabel eller et ministereo-til-ministereokabel (afhængigt af hvilken type stik der er på stereoanlægget) – stereoanlægget skal være tilsluttet stereominijackstikket (-). Bemærk: Du kan ikke bruge forstærkede USB-højttalere med AirPort Express. Brug forstærkede højttalere med et stereominijackstik. 2 Brug AirPort-værktøj til at oprette et nyt netværk. (Se side 24, hvis du ønsker yderligere oplysninger). 3 Åbn iTunes på computeren, og vælg stereoanlæg eller højttalere på højttalerlokalmenuen i nederste højre hjørne af iTunes-vinduet. Trådløse computere, der er inden for rækkevidde af AirPort Express, kan streame musik trådløst til den vha. iTunes 4.6 eller en nyere version. Der kan kun streames musik fra en computer ad gangen til AirPort Express. Du kan kun streame musik til en AirPort Express ad gangen. Bemærk: Slut ikke AirPort Express til jackstikket på stereoanlægget. Bruge AirPort Express på et eksisterende trådløst netværk til at streame musik til stereoanlægget Du kan også slutte AirPort Express til et trådløst netværk og bruge AirTunes til at afspille musik på stereoanlægget fra iTunes. Hvis du slutter AirPort Express til det eksisterende netværk, kan du også anbringe AirPort Express i et andet lokale inden for netværkets rækkevidde.16 Kapitel 2 Brug af AirPort Express Sådan ser det ud Du opretter forbindelse til det trådløse netværk vha. AirPort-statusmenuen i menulinjen på Macintosh. På en Windows-computer skal du holde markøren over symbolet for den trådløse forbindelse, indtil du kan se AirPort-netværkets navn (SSID) og vælge det på listen, hvis der er flere tilgængelige netværk. DSL- eller kabelmodem til Internet Stereomodtager Linjeudgang AirPort Extremebase til Ethernet-portKapitel 2 Brug af AirPort Express 17 Der er også andre måder, hvorpå du kan slutte AirPort Express til stereoanlægget. Hvis der er installeret et AirPort Extreme-kort i computeren eller et kompatibelt trådløst kort til Windows, kan du bruge AirTunes til at afspille iTunes-musik på et stereoanlæg, der er tilsluttet AirPort Express. DSL- eller kabelmodem til Internet Stereomodtager Linjeudgang18 Kapitel 2 Brug af AirPort Express Du kan også slutte AirPort Express til Internet og give Internetadgang til computere på netværket. Slut AirPort Express til stereoanlægget, hvorefter computere med AirPort Extreme- eller kompatible 802.11b- eller 802.11g-kort kan bruge iTunes til at afspille musik på stereoanlægget. DSL- eller kabelmodem til Internet Stereomodtager Ethernet-port LinjeudgangKapitel 2 Brug af AirPort Express 19 Ekstra lydkabel og netledning Du kan købe AirPort Express-stereotilslutningssættet med Monster Cables (ekstraudstyr), så du kan slutte AirPort Express til stereoanlægget eller de forstærkede højttalere. Sættet omfatter analoge mini-stereo-til-dual-RCA-stik, et digitalt fiberoptisk Toslink-kabel og en netledning.  Slut det analoge kabel til stereoanlægget, hvis det bruger analoge standardkabler.  Tilslut det digitale fiberoptiske kabel, hvis stereoanlægget har en digital Toslink-port.  Tilslut netledningen, hvis du indstiller AirPort Express et stykke væk fra en stikkontakt. Ministereo-til-RCA-kabel Digitalt fiberoptisk kabel (toslink-til-mini) Netledning20 Kapitel 2 Brug af AirPort Express Bruge AirPort Express til at dele en USB-printer Hvis du slutter en USB-printer til AirPort Express, kan alle computere på netværket udskrive til den. Sådan ser det ud USB-port Fælles printer dKapitel 2 Brug af AirPort Express 21 Sådan indstilles det 1 Slut printeren til USB-porten (d) på AirPort Express vha. et USB-kabel. 2 Brug AirPort-værktøj til at oprette et nyt netværk eller oprette forbindelse til et eksisterende netværk. Trådløse computere kan udskrive til printeren fra Mac OS X v10.2.7 eller en nyere version og fra Windows 2000 eller Windows XP. Du bruger printeren fra en computer med Mac OS X på følgende måde: 1 Åbn Printerværktøj (ligger i mappen Hjælpeprogrammer i mappen Programmer). 2 Vælg printeren på listen. Hvis printeren ikke står på listen, skal du klikke på Tilføj og vælge Bonjour på lokalmenuen. Vælg derefter printeren på listen. Bruge printeren fra en Windows-computer: 1 Installer Bonjour til Windows fra den cd, der fulgte med AirPort Express. 2 Tilslut printeren som beskrevet i instruktionerne på skærmen. Udvide rækkevidden af et eksisterende AirPort Extreme- eller AirPort Express-netværk Du kan tilslutte en yderligere AirPort Express, hvis du vil udvide rækkevidden af dit eksisterende AirPort Extreme- eller AirPort Express-netværk. Hvis du føjer en base eller AirPort Express til et eksisterende netværk, opretter du et såkaldt WDS-system (Wireless Distribution System). Hvis AirPort-netværket er forbundet med Internet, kan computerne oprette forbindelse til AirPort-netværket og dele Internetforbindelsen.22 Kapitel 2 Brug af AirPort Express Sådan ser det ud Sådan indstilles det 1 Du skal have et eksisterende AirPort-netværk oprettet af en AirPort Extreme-base eller en AirPort Express, der er forbundet til Internet. Denne base kaldes hovedbasen og deler sin Internetforbindelse med AirPort Express. 2 Brug AirPort-værktøj til at oprette forbindelse til netværket og udvide dets rækkevidde. (Se side 24, hvis du ønsker yderligere oplysninger). Begge baser deler Internetforbindelsen med klientcomputerne trådløst eller bruger Ethernet, hvis klientcomputerne er tilsluttet via Ethernet. Køkken/alrum Spisestue Dagligstue til Internet AirPort Extremebase DSL- eller kabelmodemKapitel 2 Brug af AirPort Express 23 Bruge AirPort Express med dit AirPort Extreme-netværk Tegningen herunder viser et trådløst netværk med alle ovenstående eksempler i et enkelt trådløst netværk. Sådan indstilles det  Brug AirPort-værktøj til at oprette et nyt netværk, og udnyt alle fordelene ved funktionerne i AirPort Express. DSL- eller til linjeudgang til USB-port kabelmodem til Internet til Ethernetport Køkken/alrum Dagligstue AirPort Extremebase24 3 3 Indstille AirPort Express Dette kapitel indeholder oplysninger om og vejledning i brugen af AirPort-software til indstilling af AirPort Express. Brug tegningerne i det foregående kapitel som en hjælp til at beslutte, hvor du vil bruge AirPort Express, og hvilke funktioner du ønsker at indstille på AirPort-netværket. Brug derefter vejledningen i dette kapitel til nemt at konfigurere AirPort Express og til at indstille AirPort-netværket. Med AirPort-værktøj kan du:  Indstille et nyt netværk, som trådløse computere kan bruge til at kommunikere med hinanden. Hvis du indstiller AirPort Express som en base og opretter forbindelse til Internet, kan trådløse computere også dele Internetforbindelsen.  Slutte AirPort Express til et eksisterende trådløst netværk, bruge AirTunes til at afspille iTunes-musik på et stereoanlæg eller forstærkede højttalere og tilslutte en USBprinter, som skal være fælles.  Slutte AirPort Express til det eksisterende AirPort Extreme- eller AirPort Expressnetværk og udvide rækkevidden af det trådløse netværk ved brug af AirPort Express som en trådløs forbindelse. Dette kaldes et WDS (Wireless Distribution System). Kapitel 3 Indstille AirPort Express 25 Du kan bruge AirTunes til at afspille musik fra iTunes og dele en USB-printer på enhver type netværk, du indstiller, uanset om det er et nyt netværk, eller om du opretter forbindelse til et eksisterende netværk. Hvis du har mere end en AirPort Express, kan du f.eks. slutte en til stereoanlægget i dagligstuen og en anden til de forstærkede højttalere i hobbyrummet. Med AirTunes kan du streame iTunes-musik til begge AirPort Express-baser, afhængig af hvor du er i huset. Vælg navnet på den AirPort Express-base, du vil bruge, på lokalmenuen med højttalere i iTunes. Dette kapitel indeholder en oversigt over brugen af indstillingsassistenten i AirPortværktøj til indstilling af netværket og andre funktioner i AirPort Express. Der findes mere detaljerede oplysninger om trådløse netværk og om de avancerede funktioner i AirPort-værktøj i dokumentet “Designing AirPort 802.11n Networks”, som findes på www.apple.com/dk/support/airport. Dokumentet indeholder detaljerede oplysninger om nedenstående:  Brug af AirPort-værktøj med AirPort Extreme 802.11n-basen  Brug af AirPort-værktøj til at indstille AirPort Express 802.11g-basen Bemærk: Du kan foretage de fleste netværksindstillings- og konfigurationsopgaver med indstillingsassistenten i AirPort-værktøj. Hvis du vil foretage avancerede indstillinger, skal du vælge Manuel indstilling på Basemenuen i AirPort-værktøj. Se “Angivelse af avancerede indstillinger” på side 31.26 Kapitel 3 Indstille AirPort Express Bruge AirPort-værktøj Hvis du vil indstille og konfigurere AirPort Express til at bruge AirPort til trådløst netværk og Internetadgang, skal du bruge indstillingsassistenten i AirPort-værktøj. AirPort-værktøj installeres på din computer, når du installerer software fra cd'en AirPort Express. På en Macintosh-computer med Mac OS X v10.4 eller en nyere version: 1 Åbn AirPort-værktøj, der ligger i mappen Hjælpeprogrammer i mappen Programmer. 2 Vælg basen, og klik på Fortsæt. 3 Følg vejledningen på skærmen for at indstille AirPort Express og det trådløse netværk. På en computer med Windows XP (med Service Pack 2): 1 Åbn AirPort-værktøj, som ligger i Start > Alle programmer > AirPort. 2 Vælg basen, og klik på Fortsæt.Kapitel 3 Indstille AirPort Express 27 3 Følg vejledningen på skærmen for at indstille AirPort Express og det trådløse netværk. Indstillingsassistenten stiller en række spørgsmål om den type netværk, du vil bruge, og de tjenester, du vil indstille. Indstillingsassistenten hjælper dig med at angive de korrekte indstillinger til det netværk, du indstiller. Hvis du bruger AirPort Express til at oprette forbindelse til Internet, skal du have en bredbåndsforbindelse (med DSL- eller kabelmodem) og en konto hos en Internetudbyder eller en Internetforbindelse via et eksisterende Ethernet-netværk. Hvis du modtog bestemte oplysninger fra din Internetudbyder (f.eks. en fast IP-adresse eller en klient-id til DHCP), skal du måske angive dem i AirPort-værktøj. Du skal have disse oplysninger klar, før du indstiller AirPort Express.28 Kapitel 3 Indstille AirPort Express Oprettelse af et nyt trådløst netværk Du kan bruge indstillingsassistenten i AirPort-værktøj til at oprette et nyt trådløst netværk. Indstillingsassistenten fører dig gennem de trin, der er nødvendige for at navngive netværket, beskytte netværket med en adgangskode og angive andre indstillinger. Hvis du planlægger at dele en USB-printer på netværket: 1 Slut printeren eller harddisken til USB-porten på AirPort Express (d). 2 Åbn AirPort-værktøj, der ligger i mappen Hjælpeprogrammer i mappen Programmer på en Macintosh og i Start > Alle programmer > AirPort på en computer med Windows XP. 3 Følg vejledningen på skærmen, hvis du vil oprette et nyt netværk. Konfiguration og deling af Internetadgang Hvis du vil dele Internetforbindelsen med trådløse computere på netværket, skal du indstille AirPort Express til at dele sin Internetforbindelse. Så snart den er indstillet, kan computerne oprette forbindelse til Internet via AirPort-netværket. Basen opretter forbindelse til Internet og sender oplysninger til computere over AirPort-netværket. Før du bruger AirPort-værktøj til at indstille basen, skal du slutte DSL- eller kabelmodemmet til Ethernet-porten (G) på AirPort Express. Hvis du bruger et eksisterende Ethernet-netværk med Internetadgang til at oprette forbindelse til Internet, kan du i stedet slutte AirPort Express til Ethernet-netværket. Brug indstillingsassistenten i AirPort-værktøj til at angive Internetudbyderens indstillinger og til at konfigurere, hvordan AirPort Express deler indstillingerne med andre computere.Kapitel 3 Indstille AirPort Express 29 1 Vælg det trådløse netværk, som skal ændres. På Macintosh skal du bruge AirPort-statusmenuen i menulinjen. På en computer med Windows XP skal du holde markøren over symbolet for den trådløse forbindelse, indtil du kan se AirPort-netværkets navn (SSID) og vælge det på listen, hvis der er flere tilgængelige netværk. Standardnavnet på en Apple-base er AirPort NetworkXXXXXX, hvor XXXXXX erstattes med de sidste seks cifre i AirPort-id'en, også kaldet Media Access Control- eller MACadressen. AirPort-id er trykt på den side af AirPort Express, hvor det elektriske stik sidder. 2 Åbn AirPort-værktøj, der ligger i mappen Hjælpeprogrammer i mappen Programmer på en Macintosh og i Start > Alle programmer > AirPort på en computer med Windows XP. 3 Vælg basen, og klik på Fortsæt. 4 Følg instruktionerne på skærmen for at konfigurere og dele Internetadgangen på AirPort Express. Det er hurtigt og nemt at indstille basen og netværket med AirPort-værktøj. Hvis du vil foretage yderligere indstillinger til netværket, f.eks. begrænse adgangen eller foretage avancerede DHCP-indstillinger, kan du vælge Manuel indstilling på Basemenuen i AirPort-værktøj. Tilslutning til et eksisterende trådløst netværk Du kan bruge AirPort-værktøj til at oprette forbindelse til et eksisterende trådløst netværk. Når du slutter AirPort Express til dit stereoanlæg, kan computere på det trådløse netværk bruge AirTunes til at afspille musik på stereoanlægget fra iTunes. Hvis du slutter en USB-printer til AirPort Express, kan alle computere på netværket udskrive til den.30 Kapitel 3 Indstille AirPort Express Sørg for at slutte lydkablet til stereoanlægget og USB-kablet til printeren, før du bruger AirPort-værktøj. 1 Åbn AirPort-værktøj, der ligger i mappen Hjælpeprogrammer i mappen Programmer på en Macintosh og i Start > Alle programmer > AirPort på en computer med Windows. 2 Følg vejledningen på skærmen for at slutte AirPort Express til det trådløse netværk. Udvide rækkevidden af et eksisterende AirPort Extreme- eller AirPort Express-netværk Du kan udvide rækkevidden af et eksisterende trådløst AirPort Extreme- eller AirPort Express-netværk ved at indstille det som et WDS. Trådløse computere kan oprette forbindelse til netværket og dele Internetforbindelsen, dele arkiver og spille netværksspil. Hvis du slutter AirPort Express til dit stereoanlæg, kan computere på det trådløse netværk bruge AirTunes til at afspille musik på stereoanlægget fra iTunes. Hvis du slutter en USB-printer til AirPort Express, kan alle computere på netværket udskrive til den. m Åbn AirPort-værktøj, og følg instruktionerne på skærmen for at udvide rækkevidden af AirPort Extreme- eller AirPort Express-netværket. Hvis du udvider rækkevidden af et trådløst netværk med WDS, kan det have indflydelse på netværkets samlede ydeevne.Kapitel 3 Indstille AirPort Express 31 Angivelse af avancerede indstillinger Hvis du vil foretage avancerede indstillinger, kan du bruge AirPort-værktøj til at indstille AirPort Express manuelt. Du kan konfigurere avancerede baseindstillinger, f.eks. avancerede sikkerhedsindstillinger, indstillinger til lukkede netværk, varighed af DHCPlease, adgangskontrol, strømstyring, brugerkonti m.m. Du angiver avancerede indstillinger på følgende måde: 1 Vælg det trådløse netværk, som skal ændres. På Macintosh skal du bruge AirPort-statusmenuen i menulinjen. På en computer med Windows XP skal du holde markøren over symbolet for den trådløse forbindelse, indtil du kan se AirPort-netværkets navn (SSID) og vælge det på listen, hvis der er flere tilgængelige netværk. Standardnavnet på en Apple-base er AirPort NetworkXXXXXX, hvor XXXXXX erstattes med de sidste seks cifre i AirPort-id'en, også kaldet Media Access Control- eller MACadressen. AirPort-id er trykt på den side af AirPort Express, hvor det elektriske stik sidder. 2 Åbn AirPort-værktøj, der ligger i mappen Hjælpeprogrammer i mappen Programmer på en Macintosh og i Start > Alle programmer > AirPort på en computer med Windows XP. 3 Hvis der er mere end en base på listen, skal du vælge den base, du vil konfigurere. Hvis du ikke kan se den base, du vil konfigurere, skal du klikke på Søg igen for at søge efter tilgængelige baser og derefter vælge den ønskede base. 4 Vælg Manuel indstilling på Basemenuen. Indtast adgangskoden, hvis du bliver bedt om det.32 Kapitel 3 Indstille AirPort Express Dokumentet “Designing AirPort 802.11n Networks”, som findes på www.apple.com/dk/ airport, indeholder flere oplysninger og instruktioner til manuel indstilling med AirPortværktøj. Dokumentet indeholder detaljerede oplysninger om nedenstående:  Brug af AirPort-værktøj med AirPort Extreme 802.11n-basen  Brug af AirPort-værktøj til at indstille AirPort Express 802.11g-basen4 33 4 AirPort Express, når du er på farten AirPort Express kan lagre indstillinger til forskellige lokaliteter, så du nemt kan flytte den fra sted til sted. AirPort Express kan lagre op til 5 forskellige konfigurationer, også kaldet beskrivelser. En beskrivelse indeholder indstillinger til AirPort Express, f.eks. højttalernavn og adgangskode til iTunes, samt netværksoplysninger, f.eks. netværksnavn og adgangskode. Beskrivelser kan være nyttige, hvis du flytter AirPort Express fra et sted til et andet. Du kan f.eks. have en beskrivelse for AirPort Express derhjemme, hvor du bruger AirTunes til at afspille musik på dit stereoanlæg fra iTunes og oprette forbindelse til Internet ved brug af PPPoE. Du kan have en anden beskrivelse til brug med AirPort Express på et hotel, hvor du opretter forbindelse til Internet ved brug af DHCP.34 Kapitel 4 AirPort Express, når du er på farten Brug AirPort-værktøj, som ligger i mappen Hjælpeprogrammer i mappen Programmer på Macintosh og i Start > Alle programmer > AirPort på en computer med Windows XP, til at oprette, redigere, omdøbe og slette beskrivelser. Sådan opretter du en ny beskrivelse: 1 Åbn AirPort-værktøj, vælg din AirPort Express på listen, og vælg derefter Manuel indstilling på Basemenuen. 2 Skriv evt. en adgangskode til basen. 3 Vælg Administrer beskrivelser på Basemenuen.Kapitel 4 AirPort Express, når du er på farten 35 4 Klik på Tilføj for at oprette en ny beskrivelse. Giv beskrivelsen et navn, og klik derefter på OK. 5 Angiv indstillinger som f.eks. netværksnavn, navn på eksterne højttalere, adgangskoder og Internetforbindelsesmetode. 6 Når du har angivet disse indstillinger, skal du klikke på Opdater. Når du har en beskrivelse på listen, findes lokalmenuen Beskrivelser nederst i AirPortværktøjs vindue. Du redigerer en eksisterende beskrivelse på følgende måde: 1 Åbn AirPort-værktøj, vælg din AirPort Express på listen, og vælg derefter Manuel indstilling på Basemenuen. 2 Indtast en adgangskode, hvis det er nødvendigt. 3 Vælg på lokalmenuen Beskrivelser den beskrivelse, du vil redigere. 4 Rediger indstillinger til beskrivelsen. Når du er færdig med at redigere indstillingerne, skal du klikke på Opdater for at arkivere beskrivelsen og gøre den aktiv på AirPort Express.36 5 5 Tip og fejlfinding Du kan hurtigt løse de fleste problemer med AirPort Express ved at følge de råd, der findes i dette kapitel. AirPort Express-softwaren kan ikke finde den korrekte AirPort-hardware Sørg for, at der er installeret et AirPort-kort eller AirPort Extreme-kort i den computer, du bruger. Hvis du for nylig har installeret et AirPort-kort, skal du slukke computeren og sørge for, at det er korrekt installeret. Sørg for, at AirPort-antennen er sluttet korrekt til kortet (du kan høre et klik, når antennen tilsluttes korrekt). Sørg for, at den anden ende af kortet er sluttet korrekt til stikket i pladsen til AirPort-kortet. Hvis du bruger en Windows-computer, skal du sørge for, at det trådløse kort eller modul er installeret korrekt. Se i den dokumentation, der fulgte med computeren, når du vil kontrollere forbindelsen.Kapitel 5 Tip og fejlfinding 37 Du kan ikke afspille musik på dit stereoanlæg fra iTunes Kontroller følgende:  Kontroller, at AirPort Express er sat i en stikkontakt, er inden for din computers rækkevidde, og at du har anvendt de rigtige kabler. Du skal eventuelt oprette forbindelse til AirPort Express-netværket.  Sørg for at vælge AirPort Express på lokalmenuen med højttalere i iTunes.  Kontroller, at du bruger iTunes 4.6 eller en nyere version. Du kan ikke høre musikken blive afspillet Hvis musikken afspilles (statuslinjen øverst i iTunes-vinduet flytter sig), men du ikke kan høre noget, skal du kontrollere følgende:  Hvis du forsøger at afspille musik gennem højttalere, der er tilsluttet en AirPort Express, og du har valgt afkrydsningsfeltet “Slå justering af lydstyrke på eksterne AirTunes-højttalere fra i iTunes" i vinduet Lyd i iTunes-indstillinger, skal du sørge for, at de eksterne højttalerne er valgt på lokalmenuen nederst i iTunesvinduet, og at der ikke er skruet ned for lydstyrken på de eksterne højttalere. Du har glemt adgangskoden til netværket eller AirPort Express Du kan nulstille adgangskoden til AirPort-netværket eller AirPort Express ved at nulstille AirPort Express. Følg disse instruktioner: 1 Brug enden af en udrettet papirclips til at trykke på og holde nulstillingsknappen inde i et sekund. 2 Vælg dit AirPort-netværk.  På en Macintosh skal du bruge AirPort-statusmenuen i menulinjen til at vælge det netværk, der er oprettet af AirPort Express (netværksnavnet ændres ikke).38 Kapitel 5 Tip og fejlfinding  På en computer med Windows 2000 eller Windows XP skal du holde markøren over symbolet for den trådløse forbindelse, indtil du kan se AirPort-netværkets navn (SSID) og vælge det på listen, hvis der er flere tilgængelige netværk. 3 Åbn AirPort-værktøj (i mappen Hjælpeprogrammer i mappen Programmer på en Macintosh og i Start > Alle programmer > AirPort på en computer med Windows XP eller Windows 2000). 4 Vælg AirPort Express, og klik på Konfigurer. 5 Foretag følgende ændringer i den viste dialog:  Nulstil AirPort Express-adgangskoden.  Slå kryptering til, hvis du vil beskytte AirPort-netværket med en adgangskode. Hvis du slår kryptering til, skal du skrive en ny adgangskode til AirPort-netværket. 6 Klik på OK. AirPort Express genstartes for at indlæse de nye indstillinger. AirPort Express svarer ikke Prøv at trække stikket ud af stikkontakten, og sæt det i igen. Hvis AirPort Express holder helt op med at svare, skal du måske nulstille den. Dette sletter alle de indstillinger, som du har foretaget, og i stedet benyttes standardindstillingerne for AirPort Express. Kapitel 5 Tip og fejlfinding 39 Statusindikatoren på AirPort Express blinker orange Ethernet-kablet er måske ikke tilsluttet korrekt, AirPort Express er måske uden for et AirPort-netværks rækkevidde, eller der kan være et problem med Internetudbyderen. Hvis du har oprettet forbindelse til Internet via et DSL- eller kabelmodem, har modemmet måske tabt forbindelsen til netværket eller Internet. Selvom modemmet tilsyneladende fungerer korrekt, kan du prøve at afmontere modemmets strømforsyning, vente et par sekunder og derefter tilslutte den igen. Sørg for, at AirPort Express er sluttet direkte til modemmet via Ethernet, før du tilslutter modemmets strømforsyning igen. Hvis AirPort Express er indstillet i et WDS (Wireless Distribution System), kan WDSforbindelsen være afbrudt. Bemærk: Hvis AirPort Express er indstillet som en trådløs klient, og det netværk, som den opretter forbindelse til, er beskyttet af en adgangskontrolliste (ACL), skal AirPort Express stå på adgangskontrollisten for at kunne oprette forbindelse til netværket. Hvis du vil vide mere om, hvorfor lampen blinker orange, kan du åbne AirPort-værktøj, vælge basen og derefter vælge Manuel indstilling på Basemenuen. Skriv om nødvendigt adgangskoden til basen, og klik derefter på Status for base for at se oplysninger om den blinkende lampe. Du nulstiller AirPort Express til fabriksindstillingerne på følgende måde: m Brug enden af en udrettet papirclips til at trykke på og holde nulstillingsknappen inde i ti sekunder. AirPort Express starter igen med følgende indstillinger:40 Kapitel 5 Tip og fejlfinding  AirPort Express modtager IP-adressen vha. DHCP.  Netværksnavnet er Apple Network XXXXXX (hvor X er et bogstav eller et tal).  AirPort Express-adgangskoden nulstilles til public. Hvis du brugte AirPort-værktøj til at oprette beskrivelser til AirPort Express, bevares de, når du nulstiller AirPort Express. Hvis du får brug for at nulstille AirPort Express til fabriksindstillingerne og fjerne eventuelle beskrivelser, du har indstillet: 1 Tag AirPort Express ud af stikket. 2 Brug enden af en papirclips, der er foldet ud, til at trykke på og holde nulstillingsknappen inde, mens du tilslutter AirPort Express. Vent, indtil statuslampen blinker, og nulstil derefter basen. Printeren svarer ikke Hvis du har sluttet en printer til USB-porten på AirPort Express, og computerne på AirPort-netværket ikke kan udskrive, kan du prøve at gøre følgende: 1 Sørg for, at printeren er tilsluttet og tændt. 2 Kontroller, at kablerne er sluttet korrekt til printeren og til USB-porten på AirPort Express. 3 Sørg for, at printeren er valgt på printerlisten på klientcomputerne. Hvis du vil gøre dette på en Macintosh, der bruger Mac OS X v10.3 eller en nyere version:  Åbn Printerværktøj, der ligger i mappen Hjælpeprogrammer i mappen Programmer.  Klik på Tilføj, hvis printeren ikke står på listen.  Vælg Bonjour på lokalmenuen.  Vælg printeren, og klik på Tilføj.Kapitel 5 Tip og fejlfinding 41 Du vælger printer på en computer, der bruger Windows XP eller Windows 2000, på følgende måde:  Åbn “Printere og faxenheder” i menuen Start.  Vælg printeren. Hvis printeren ikke står på listen, skal du klikke på Tilføj printer og derefter følge vejledningen på skærmen. 4 Sluk for printeren, vent nogle sekunder, og tænd den derefter igen. Du kan få flere oplysninger om, hvordan du indstiller en printer på en Windowscomputer, i “Bruge printeren fra en Windows-computer:” på side 21. Du vil opdatere AirPort-softwaren Apple frigiver regelmæssigt opdateringer til AirPort-softwaren. Du opdaterer software i basen på følgende måde: 1 Åbn AirPort-værktøj, der ligger i mappen Hjælpeprogrammer i mappen Programmer. 2 Vælg “Søg efter opdateringer” på menuen AirPort-værktøj. 3 Klik på Hent for at hente alle tilgængelige firmwareopdateringer, eller klik på Vis info for at vælge bestemt firmware til basen. 4 Når firmwaren er hentet, skal du klikke på Opdater for at installere den på basen. Hvis du opdaterer flere baser, skal du klikke på Vis info for at vælge de baser, der skal opdateres.42 Kapitel 5 Tip og fejlfinding Overvejelser ved placering af AirPort Express Følgende anbefalinger kan hjælpe med til, at AirPort Express opnår den maksimale trådløse rækkevidde og den optimale netværksdækning.  Placer AirPort Express i et åbent område, hvor der er få forhindringer, som f.eks. store møbler eller vægge. Anbring den ikke i nærheden af metalliske overflader.  Hvis du anbringer AirPort Express bag møbler, skal der mindst være 2,5 cm frit mellem AirPort Express og kanten af møblet.  Undgå at anbringe AirPort Express på steder, der er omgivet af metaloverflader på tre eller flere sider.  Hvis du anbringer AirPort Express i et underholdningscenter med dit stereoudstyr, skal du undgå at omgive AirPort Express fuldstændigt med lyd-, video- og strømkabler. Anbring AirPort Express, så kablerne er på den ene side. Sørg for, at der er så meget afstand som muligt mellem AirPort Express og kablerne.  Hvis du anbringer AirPort Express bag stereoudstyret, skal du anbringe den på en af siderne. Undgå at anbringe den lige bag ved stereoanlægget.  Forsøg at anbringe AirPort Express mindst 8 m fra mikrobølgeovne og trådløse 2,4 GHz telefoner eller andre kilder til forstyrrelse.Kapitel 5 Tip og fejlfinding 43 Forhold, der kan skabe forstyrrelser for AirPort Jo længere væk kilden til forstyrrelse er, desto mindre sandsynligt er det, at den skaber problemer. Følgende elementer kan medføre forstyrrelse af AirPort-kommunikation:  Mikrobølgeovne  DSS-radiosignaler (Direct Satellite Service)  Det originale koaksiale kabel, der fulgte med visse typer parabolantenner. Kontakt producenten af udstyret for at få nogle nyere kabler.  Visse elektriske enheder som højspændingsledninger, elektriske jernbanespor og elværker  Trådløse telefoner, der virker inden for 2,4 GHz-båndet. Hvis der er problemer med telefonen eller AirPort-kommunikationen, skal du ændre den kanal, som basen eller AirPort Express bruger.  Tilstødende baser, der bruger kanaler i nærheden. Hvis f.eks. base A er indstillet til kanal 1, bør base B indstilles til kanal 4 eller højere.44 6 6 Yderligere oplysninger, service og support Du kan finde yderligere oplysninger om brugen af AirPort Express på din harddisk, på Internet og i hjælpen på skærmen. Kilder på Internet Du kan se de nyeste oplysninger om AirPort Express på www.apple.com/dk/ airportexpress. Hvis du vil registrere AirPort Express (hvis du ikke gjorde det, da du installerede softwaren på AirPort Express-cd'en), skal du gå til www.apple.com/register. Oplysninger om service og support til AirPort, forskellige fora med produktoplysninger og feedback samt den nyeste software fra Apple findes på www.apple.com/dk/ support/airport. På www.apple.com/support findes oplysninger om support uden for USA. Vælg land på lokalmenuen. Hjælp på skærmen m Hvis du vil vide mere om brugen af AirPort, skal du åbne AirPort-værktøj og vælge Hjælp > Hjælp til AirPort-værktøj.Kapitel 6 Yderligere oplysninger, service og support 45 Garantiservice Hvis produktet er beskadiget eller ikke fungerer korrekt, skal du følge vejledningen i dette hæfte, i hjælpen og i ressourcerne på Internet. Hvis enheden stadig ikke fungerer, kan du på www.apple.com/dk/support få oplysninger om, hvordan du får service i henhold til garantien. Sådan finder du serienummeret på AirPort Express Serienummeret er trykt på bagsiden af AirPort Express.46 Appendiks Specifikationer for AirPort Express Specifikationer for AirPort  Datafrekvens ved trådløs overførsel: Op til 54 megabit pr. sekund (Mbps)  Rækkevidde: Op til 45 meter ved normal brug (varierer med omgivelserne)  Frekvens: 2,4 GHz  Sendestyrke: 15 dBm (nominelt)  Standarder: 802.11 DSSS 1 og 2 Mbps-standard, 802.11b- og 802.11g-specifikation Grænseflader  RJ-45 Ethernet LAN-stik til indbygget 10/100Base-T (G)  USB-printerport (Universal Serial Bus) (d)  Analogt/digitalt optisk 3,5 mm stik  AirPort Extreme Specifikationer for omgivelser  Driftstemperatur: 0° C til 35° C  Opbevaringstemperatur: –25° C til 60° C  Relativ luftfugtighed (drift): 20% til 80%  Relativ luftfugtighed (opbevaring): 10% til 90%, ikke kondenserende  Højde (drift): Maks. 3.048 m  Højde (opbevaring): Maks. 4.572 mAppendiks Specifikationer for AirPort Express 47 Størrelse og vægt  Højde: 94 mm  Bredde: 75 mm  Tykkelse: 28,5 mm  Vægt: 188 gram Hardware-adresser AirPort har to hardwareadresser trykt på siden af kabinettet:  AirPort-ID: Adressen bruges til at identificere AirPort Express på et trådløst netværk.  Ethernet-ID: Dette er også kendt som MAC-adressen. Det kan være nødvendigt at opgive denne adresse til din Internetudbyder for at slutte AirPort Express til Internet. Gode råd om sikkerhed til AirPort Express  Du kan kun afbryde strømmen til AirPort Express ved at tage den ud af stikkontakten.  Når du tænder eller slukker for AirPort Express, skal du altid holde den i siderne. Sørg for, at du ikke rører ved metalbenene på stikket.  AirPort Express er en stærkstrømskomponent, og du bør under ingen omstændigheder åbne den, heller ikke når AirPort Express er taget ud af stikket. Hvis du har brug for service til AirPort Express, kan du se i “Yderligere oplysninger, service og support” på side 44.  Tving aldrig et stik ind i portene. Hvis stikket ikke kan sættes i porten uden besvær, passer det sikkert ikke til porten. Sørg for, at du bruger det rigtige stik, og hold stikket korrekt i forhold til porten.48 Appendiks Specifikationer for AirPort Express  Hvis du bruger netledningen (ekstraudstyr), skal du sørge for, at AirPort Express ikke hænger i netledningen.  Når du bruger AirPort Express, vil kabinettet normalt blive varmt. AirPort Expresskabinettet fungerer som en kølende overflade, der overfører varme fra enhedens inderside til den køligere luft uden for. Undgå våde steder  Hold AirPort Express væk fra væskekilder f.eks. drinks, håndvaske, badekar, brusekabiner osv.  Beskyt AirPort Express mod direkte sollys og regn eller anden fugt.  Pas på ikke at spilde mad eller væske på AirPort Express. Hvis du gør det, skal du tage AirPort Express ud af stikkontakten, før du fjerner det spildte. Udstyret skal måske sendes til reparation hos Apple, afhængigt af hvad du har spildt, og hvor megen væske der er kommet ind i udstyret. Se “Yderligere oplysninger, service og support” på side 44. Foretag ikke selv reparationer Advarsel: Reducer risikoen for elektrisk stød eller beskadigelse ved at undlade at bruge AirPort Express i eller i nærheden af vand eller våde steder. Advarsel: Forsøg ikke at åbne AirPort Express eller at skille enheden ad. Du risikerer at få elektrisk stød, og at den begrænsede garanti ikke længere gælder. Udstyret indeholder ingen komponenter, som brugeren selv kan reparere eller udskifte.Appendiks Specifikationer for AirPort Express 49 Om håndtering AirPort Express kan blive beskadiget ved forkert opbevaring og håndtering. Pas på ikke at tabe AirPort Express, når du transporterer enheden.50 Regulatory Compliance Information FCC Declaration of Conformity This device complies with part 15 of the FCC rules. Operation is subject to the following two conditions: (1) This device may not cause harmful interference, and (2) this device must accept any interference received, including interference that may cause undesired operation. See instructions if interference to radio or television reception is suspected Radio and Television Interference This computer equipment generates, uses, and can radiate radio-frequency energy. If it is not installed and used properly—that is, in strict accordance with Apple’s instructions—it may cause interference with radio and television reception. This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in Part 15 of FCC rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no guarantee that interference will not occur in a particular installation. You can determine whether your computer system is causing interference by turning it off. If the interference stops, it was probably caused by the computer or one of the peripheral devices. If your computer system does cause interference to radio or television reception, try to correct the interference by using one or more of the following measures:  Turn the television or radio antenna until the interference stops.  Move the computer to one side or the other of the television or radio.  Move the computer farther away from the television or radio.  Plug the computer into an outlet that is on a different circuit from the television or radio. (That is, make certain the computer and the television or radio are on circuits controlled by different circuit breakers or fuses.) If necessary, consult an Apple Authorized Service Provider or Apple. See the service and support information that came with your Apple product. Or, consult an experienced radio/television technician for additional suggestions. Important: Changes or modifications to this product not authorized by Apple Inc. could void the EMC compliance and negate your authority to operate the product. This product was tested for FCC compliance under conditions that included the use of Apple peripheral devices and Apple shielded cables and connectors between system components. It is important that you use Apple peripheral devices and shielded cables and connectors between system components to reduce the possibility of causing interference to radios, television sets, and other electronic devices. You can obtain Apple peripheral devices and the proper shielded cables and connectors through an Apple-authorized dealer. For non-Apple peripheral devices, contact the manufacturer or dealer for assistance. Responsible party (contact for FCC matters only): Apple Inc., Product Compliance, 1 Infinite Loop M/S 26-A, Cupertino, CA 95014-2084, 408-974-2000.51 Industry Canada Statement This Class B device meets all requirements of the Canadian interference-causing equipment regulations. Cet appareil numérique de la Class B respecte toutes les exigences du Règlement sur le matériel brouilleur du Canada. VCCI Class B Statement Europa – erklæring om opfyldelse af EU-krav Opfylder kravene i de europæiske direktiver 72/23/EEC, 89/336/EEC, 1999/5/EC. Du kan læse mere på webstedet www.apple.com/euro/compliance. Den Europæiske Union – oplysninger om bortskaffelse Dette symbol betyder, at dit produkt bør bortskaffes adskilt fra husholdningsaffald i henhold til nationale love og regulativer. Når dette produkts livscyklus er forbi, skal du aflevere det på den lokale genbrugsplads. På nogle genbrugspladser er det gratis at aflevere produkter. Den indsamling og genbrug af dit produkt, som sker i forbindelse med bortskaffelsen, hjælper med at bevare naturens ressourcer, og sikrer, at produktet genbruges på en måde, som beskytter vores sundhed og miljø.www.apple.com/airport www.apple.com/support/airport © 2007 Apple Inc. Alle rettigheder forbeholdes. Apple, Apple-logoet, AirPort, AirPort Express, AirPort Extreme, Bonjour, iTunes, Mac, Macintosh og Mac OS er varemærker tilhørende Apple Inc. og registreret i USA og andre lande. AirTunes er et varemærke tilhørende Apple Inc. DK019-0989 MagSafe Airline Adapter2 English 1 MagSafe Airline Adapter The MagSafe Airline Adapter works with all Apple portable computers that have the MagSafe power adapter port. Plug the MagSafe Airline Adapter into the EmPower port nearest your airline seat. Connect the other end to your computer’s MagSafe port. Using the MagSafe Airline Adapter provides power for your computer but does not charge the battery. Safety Unplug the MagSafe Airline Adapter before leaving your seat, to avoid tripping over the cable. Be careful not to spill liquid on the MagSafe Airline Adapter. For general safety and regulatory information, see the user’s guide that came with your computer.English 3 Other Power Sources On airlines that have 20 mm power ports, use the 20 mm adapter (included in the kit) with the MagSafe Airline Adapter. To attach the 20 mm adapter to the MagSafe Airline Adapter, align the airplane logos and slide the adapters together. Then insert the 20 mm adapter into a 20 mm port. When you unplug the MagSafe Airline Adapter from a 20 mm port, remove it by pulling on the 20 mm adapter, not the MagSafe cable. EmPower port 20 mm port WARNING: Never plug the MagSafe Airline Adapter, with or without the 20 mm adapter or third-party adapter, into an automobile’s cigarette lighter or auxiliary power socket. Using the MagSafe Airline Adapter in a car won’t provide power to the computer or charge the battery.4 2 MagSafe Airline Adapter 56 Français 3 MagSafe Airline Adapter L’adaptateur avion MagSafe Airline Adapter fonctionne avec tous les ordinateurs portables Apple dotés d’un port pour adaptateur secteur MagSafe. Branchez l’adaptateur avion MagSafe Airline Adapter dans le port EmPower le plus proche de votre siège d’avion. Connectez l’autre extrémité au port MagSafe de votre ordinateur. L’utilisation de l’adaptateur avion MagSafe Airline Adapter vous permet d’alimenter votre ordinateur sans décharger sa batterie. Sécurité Débranchez l’adaptateur avion MagSafe Airline Adapter avant de quitter votre siège afin d’éviter de trébucher sur le câble. Faites attention à ne pas renverser de liquide sur l’adaptateur avion MagSafe Airline Adapter. Pour des consignes générales de sécurité et des informations concernant la réglementation en vigueur, consultez le manuel de l’utilisateur fourni avec votre ordinateur.Français 7 Autres sources d’alimentation Sur les compagnies aériennes dont les avions sont équipés de ports d’alimentation de 20 mm, utilisez l’adaptateur de 20 mm (fourni dans le kit) avec l’adaptateur avion MagSafe Airline Adapter. Pour brancher l’adaptateur de 20 mm à l’adaptateur avion MagSafe Airline Adapter, alignez les logos d’avion et faites glisser les adaptateurs l’un vers l’autre. Insérez ensuite l’adaptateur de 20 mm dans un port de 20 mm. Lorsque vous débranchez l’adaptateur avion MagSafe Airline Adapter d’un port de 20 mm, retirez-le en tirant sur l’adaptateur de 20 mm et non sur le câble MagSafe. Port EmPower Ports d’alimentation de 20 mm AVERTISSEMENT : ne branchez jamais l’adaptateur avion MagSafe Airline Adapter dans un allume-cigare d’automobile ou une prise d’alimentation auxiliaire, avec ou sans l’adaptateur de 20 mm ou tout adaptateur tiers. L’utilisation de l’adaptateur avion MagSafe Airline Adapter dans une voiture n’alimente pas l’ordinateur et ne recharge pas sa batterie.8 Deutsch 4 MagSafe Airline Adapter Der MagSafe Airline Adapter ist mit allen Apple-Mobilcomputern mit MagSafeAnschluss kompatibel. Schließen Sie den MagSafe Airline Adapter an den EmPowerNetzanschluss in Nähe Ihres Sitzes im Flugzeug an. Verbinden Sie das andere Ende des Kabels mit dem MagSafe-Anschluss Ihres Computers Der MagSafe Airline Adapter versorgt Ihren Computer mit Strom, lädt aber nicht die Batterie auf. Sicherheit Ziehen Sie das Kabel des MagSafe Airline Adapters aus dem Anschluss, bevor Sie Ihren Sitzplatz verlassen, um zu vermeiden, dass Sie über das Kabel stolpern. Achten Sie darauf, dass keine Flüssigkeit in oder auf den MagSafe Airline Adapter gelangt. Allgemeine Sicherheitshinweise und -richtlinien finden Sie im Benutzerhandbuch Ihres Computers.Deutsch 9 Andere Stromquellen Verwenden Sie in Flugzeugen, die einen 20-mm-Netzanschluss bereitstellen, den (mit diesem Kit gelieferten) 20-mm-Adapter mit dem MagSafe Airline Adapter. Sie verbinden den 20-mm-Adapter mit dem MagSafe Airline Adapter, indem Sie die Flugzeugsymbole aneinander ausrichten und die Adapterstecker zusammenschieben. Schließen Sie dann den 20-mm-Adapter an einen 20-mm-Netzanschluss an. Wenn Sie den MagSafe Airline Adapter von einem 20-mm-Anschluss trennen, ziehen Sie am 20-mm-Adapter, nicht am MagSafe-Kabel. EmPower-Anschluss 20-mm-Anschluss ACHTUNG: Schließen Sie den MagSafe Airline Adapter niemals – weder mit noch ohne den 20-mm-Adapter oder den Adapter eines Drittanbieters – an den Zigarettenanzünder oder an einen anderen Netzanschluss im Auto an. Durch den Anschluss des MagSafe Airline Adapters in einem Auto wird weder der Computer mit Strom versorgt, noch wird die Batterie geladen.10 Español 5 MagSafe Airline Adapter El adaptador MagSafe Airline Adapter funciona con todos los ordenadores portátiles de Apple que dispongan de un puerto MagSafe Power Adapter. Enchufe el adaptador MagSafe Airline Adapter al puerto EmPower más cercano a su asiento. Conecte el otro extremo al puerto MagSafe de su ordenador. El adaptador MagSafe Airline Adapter suministra energía a su ordenador pero no recarga la batería. Seguridad Desconecte el adaptador MagSafe Airline Adapter antes de abandonar su asiento para evitar tropezarse con el cable. Procure no derramar líquidos en el adaptador MagSafe Airline Adapter. Para obtener más información sobre seguridad y reglamentación, consulte el manual del usuario que venía con el ordenador.Español 11 Otras fuentes de alimentación En las aerolíneas que disponen de puertos de alimentación de 20 mm, utilice el adaptador de 20 mm (incluido en el kit) con el adaptador MagSafe Airline Adapter. Para conectar el adaptador de 20 mm al adaptador MagSafe Airline Adapter, alinee los logotipos del avión y junte los dos adaptadores. A continuación, inserte el adaptador de 20 mm en un puerto de 20 mm. Cuando desenchufe el adaptador MagSafe Airline de un puerto de 20 mm, retírelo estirando del adaptador de 20 mm, no del cable MagSafe. Puerto EmPower Puerto de alimentación de 20 mm ADVERTENCIA: No enchufe nunca el adaptador MagSafe Airline Adapter, esté o no conectado a un adaptador de 20 mm o al adaptador de otro fabricante, al encendedor de un automóvil o a una fuente de alimentación auxiliar. Utilizar el adaptador MagSafe Airline Adapter en un automóvil no suministrará energía al ordenador o recargará la batería.www.apple.com © 2008 Apple Inc. All rights reserved. Apple, the Apple logo, and MagSafe are trademarks of Apple Inc., registered in the U.S. and other countries. Other company and product names mentioned herein may be trademarks of their respective companies. ZM034-4527-A Printed in XXXX Caractéristiques Exceptionnelle qualité d'image • L’écran Trinitron de Sony affiche des images très nettes et précises avec des couleurs fidèles grâce à ses qualités exceptionnelles de luminosité, contraste, convergence, mise au point et homogénéité du blanc • Le réglage numérique vous permet d’ajuster précisément la luminosité, le contraste, la géométrie, le centrage et la convergence ainsi que la balance du blanc • La faible courbure de l’écran diminue la distorsion et les reflets Particularités ergonomiques • Le socle pivotant et inclinable vous permet de positionner l’écran pour obtenir un confort visuel idéal • Les connexions du clavier et de la souris se font aisément via les connecteurs Apple Desktop Bus (ADB) intégrés à la base même du moniteur. • Facilité d’accès au tableau de réglage situé à l’avant du moniteur • Un filtre de haute qualité contre les reflets et le scintillement • Taux de rafraîchissement de 75 Hz pour diminuer la fatigue oculaire due aux tremblements • Conforme aux règles d’économie de l’énergie du EPA EnergyStar grâce au passage en mode de faible consommation durant les périodes d’inactivité • Conforme aux normes MPR II d’émissions électriques et magnétiques basse fréquence Fonctionnalités de pointe • L’électronique à balayage multiple offre un niveau supérieur de souplesse à l’utilisateur • Possibilité d’afficher différents niveaux de résolution: de 640 X 480 jusqu’à 1280 X 1024 pixels • Possibilité de régler le blanc pour une restitution fidèle de la couleur • Logiciel permettant le changement de mode de résolution sans devoir redémarrer l’ordinateur Compatibilité et prix • Fonctionne avec le Power Macintosh, le Macintosh Quadra, le Macintosh Centris et le Macintosh Display Card 24AC • Fourni avec un adaptateur PC pour une connexion aisée avec un IBM PC • Doté de techniques de pointe à un prix raisonnable Avec l'Apple Multiple Scan 20 Display, les professionnels de la publication disposent de la solution idéale pour l’affichage de graphiques en couleur. Cet écran double page de haute qualité est équipé d’un adaptateur PC video grâce auquel il pourra être accueilli par vos systèmes MS-DOS, Windows et bien sûr n’importe quel Macintosh. A l’heure actuelle, le format double page est tout aussi indispensable aux professionnels du graphisme et de la publication qu’aux retoucheurs photos ou aux journalistes. L'Apple Multiple Scan 20 propose une solution Apple complète de haute qualité pour remplir cette condition; le système est facile à configurer et vous permet de faire votre travail comme la création d’un bulletin d’information ou la réalisation d’un journal. Doté du tube cathodique Trinitron dernier cri de Sony qui présente un espacement de grille de 0,26 mm, l'Apple Multiple Scan 20 Display restitue des images couleurs nettes et lumineuses. Il offre une large gamme de niveaux de résolutions permettant une plus grande flexibilité. Grâce au logiciel fourni avec cet écran et sans devoir quitter vos applications ou redémarrer votre Macintosh, vous pouvez agrandir les images à l’écran et augmenter avec souplesse la résolution jusqu’au format double page. Il supporte toutes les résolutions depuis 640 X 480 jusqu’à 1.280 X 1.024 pixelssur les ordinateurs Macintosh ou compatibles IBM PC d’autres distributeurs. Traduisant le souci constant d’Apple d’assurer le meilleur confort à l’utilisateur, l'Apple Multiple Scan 20 Display est facile à configurer et très agréable à utiliser. En effet, le connecter à votre système est un jeu d’enfant: les connecteurs ADB sont intégrés à la base même du moniteur. Il comprend aussi l’adaptateur PC pour la connexion à un PC. L’Apple Multiple Scan 20 Display dispose d’un filtre antireflet de haute qualité permettant une forte réduction de la distorsion. L’accès aisé de réglages numé-riques très précis pour le blanc, la géométrie, le centrage et la convergence de l’image vous permet d’obtenir une qualité optimale de visualisation. Même avec toutes ces caractéristiques, l'Apple Multiple Scan 20 Display reste pour les professionnels du développement de graphiques et de la mise en page le meilleur choix à un prix raisonnable. L'Apple Multiple Scan 20 DisplayApple Computer Benelux B.V. Buro & Design Center Esplanade du Heysel 001 - bte 100 1020 Bruxelles Spécifications techniques Tube • Tube cathodique Trinitron d’une diagonale de 20 pouces Taille de visualisation de l’image: 19,1 pouces • Espacement de grille: 0,26 mm Résolution Ordinateurs Macintosh • 620 X 480 à 67 Hz: format de présentation • 832 X 624 à 75 Hz: format de publication • 1024 X 768 à 75 Hz: format double page • 1152 X 870 à 75 Hz: format agrandi • 1280 X 1024 pixels à 75 Hz Systèmes IBM PC compatibles • 640 X 480 à 60 Hz (VGA) • 800 X 600 à 60 Hz (SVGA) • 1024 X 768 à 60 Hz (SVGA) • 1280 X 1024 à 60 Hz Fréquence de balayage • De 30 à 85 KHz à l’horizontale • De 50 à 120 KHz à la verticale Conditionnement de l’écran • Filtre de haute qualité antireflet et anti-statique Réglages numériques • Luminosité • Contraste • Centrage et taille à l’horizontale • Centrage et taille à la verticale • Convergence • Rotation • Pincushion • Gamme de points blancs: 5000°K, 6500°K, 9300°K • Commutateur marche/arrêt Connecteurs • Connecteur DSub à 15 broches pour systèmes Macintosh • Adaptateur HD à 15 broches pour PC Circuit de démagnétisation • Automatique à l’allumage Alimentation électrique • Voltage: 90 à 132 V AC et 198 à 264 V AC • Fréquence: 43 à 63 Hz, monophasé • Consommation: 165 W maximum en fonctionnement, et moins de 15 W en mode économique Conditions d’utilisation • Température d’utilisation: 10 à 40 °C • Taux d’humidité: 90% maximum sans condensation • Altitude maximale: 0 à 3.048 mètres Poids et dimensions • Hauteur: 47,5 cm • Largeur: 47,5 cm • Profondeur: 50 cm • Poids de l’écran: 29,7 kg • Poids total emballé: 36 kg Normes de conformité • FCC Part 15 Class A • CE Mark (y compris CISPR 22 Class B) • DOC Class A • MPR II • VCCI • EPA EnergyStar • UL 1950 • CSA 950 • EN60950 Configuration requise • Power Macintosh, Macintosh Quadra, Macintosh Centris ou Macintosh Display Card 24 AC L'Apple Multiple Scan 20 Display Configuration disponible L'Apple Multiple Scan 20 Display • Apple Multiple Scan 20 • Logiciel Apple Multiple Scan • Adaptateur PC • Câble Captive video • Câble ADB jumper • Câble Power jumper • Manuel d'utilisation • Garantie limitée © 1994 Apple Computer, Inc. Tous droits réservés. Apple, le logo Apple, Macintosh, Macintosh Quadra, Macintosh Centris et Power Macintosh sont des marques d’Apple Computer, Inc. enregistrées aux Etats-Unis et autres pays. Apple Desktop Bus et Macintosh Centris sont des marques d’Apple Computer, Inc. MS-DOS est une marque déposée de Microsoft Corporation et Windows est une marque de Microsoft Corporation. Trinitron est une marque déposée de Sony Corporation. Les produits non Apple sont mentionnés à titre d’information; ils ne sont ni conseillés ni approuvés par Apple Computer. Apple Computer décline toute responsabilité quant à la sélection, la fiabilité ou l’utilisation de ces produits. Tous les accords, contrats et garanties sont passés directement entre les vendeurs et les utilisateurs potentiels. Septembre 1995. Les spécifications des produits décrits dans cette brochure sont susceptibles d’être modifiées sans préavis. Mac OS X Server Administration des images systËme Pour la version 10.3 ou ultÈrieure Apple Computer, Inc. © 2003 Apple Computer, Inc. Tous droits réservés. Le propriétaire ou l’utilisateur autorisé d’une copie valide du logiciel Mac OS X Server peut reproduire cette publication pour les besoins de l’apprentissage de l’utilisation de ce logiciel. Aucune partie de cette publication ne peut être reproduite ou transmise à des fins commerciales, notamment pour la vente de copies ou la fourniture de services de support payants. L’utilisation de ce logo à des fins commerciales via le clavier (Option-1) pourra constituer un acte de contrefaçon et/ou de concurrence déloyale. Apple, le logo Apple, AirPort, AppleShare, iBook, iMac, Mac, Macintosh, Mac OS, PowerBook, Power Mac et Xserve sont des marques d’Apple Computer, Inc., déposées aux États-Unis et dans d’autres pays. Remarque : Apple améliore continuellement les performances et le design de ses produits. Il se peut que certaines illustrations de ce manuel soient légèrement différentes de votre version du logiciel. F022-1325 3 1 Table des matières Chapitre 1 7 À propos de l’administration de l’image système 7 NetBoot et l’installation en réseau 8 Description de NetBoot 8 Images disque 9 Points de partage NetBoot 9 Fichier d’informations client 10 Fichiers masqués 10 Dossiers d’image NetBoot 12 Fichier Property list 14 Protocole BSDP (Boot Server Discovery Protocol) 14 Serveur BootP 14 TFTP et les fichiers d’initialisation 14 Utilisation d’images stockées sur d’autres serveurs 15 Sécurité 15 Avant de configurer NetBoot 15 Tout ce que vous devez savoir 15 Configuration requise pour les ordinateurs client 17 Configuration matérielle requise pour le réseau 17 Configuration requise pour les services réseau 17 Planification de la capacité 18 Vue d’ensemble de la configuration Chapitre 2 21 Création d’images d’initialisation et d’installation 21 Création d’images d’initialisation Mac OS X 21 Création d’une image d’initialisation Mac OS X 23 Installation de l’environnement Classic dans une image disque Mac OS X 24 Configuration de Format de répertoire pour une image d’initialisation 24 Ajout d’un paquet de mise à jour du système d’exploitation à une image d’initialisation Mac OS X 24 Création d’une image d’initialisation Mac OS X à partir d’un système existant 25 Synchronisation d’une image avec un volume source mis à jour 26 Choix du protocole utilisé pour fournir une image 26 Compression des images pour gagner de l’espace disque4 Table des matières 26 Modification du mode d’allocation des fichiers masqués par les clients NetBoot de Mac OS X 27 Création d’images d’initialisation Mac OS 9 27 Installation d’une image d’initialisation Mac OS 9 27 Modification d’une image d’initialisation Mac OS 9 30 Configuration de plusieurs images Mac OS 9 30 Déverrouillage d’une image 30 Création d’images d’installation 30 Création d’une image d’installation du système d’exploitation 32 Ajout de logiciels aux images d’initialisation et d’installation 32 À propos des paquets 32 Création de paquets 33 Ajout de paquets à une image d’initialisation ou d’installation 33 Création d’une image d’installation pour application uniquement 34 Automatisation de l’installation d’une image 35 Affichage du contenu d’un paquet 35 Installation de mises à jour Mac OS Chapitre 3 37 Configuration du service NetBoot 37 Configuration de NetBoot 37 Configuration du service NetBoot 38 Démarrage de NetBoot et des services associés 39 Activation d’images 39 Choix de l’emplacement de stockage des images 39 Choix de l’emplacement de stockage des fichiers masqués 40 Utilisation d’images stockées sur d’autres serveurs NFS 41 Déplacement d’images vers des serveurs “headless” 41 Spécification de l’image par défaut 42 Configuration d’une image pour l’initialisation sans disque 42 Limitation des clients NetBoot par filtrage des adresses 43 Modification des options avancées de NetBoot Chapitre 4 45 Configuration des clients 45 Gestion des ordinateurs client 45 Mise à jour du tableau de bord Démarrage 45 Configuration de clients sans disque 46 Sélection d’une image d’initialisation NetBoot (Mac OS X) 46 Sélection d’une image d’initialisation NetBoot (Mac OS 9) 47 Sélection d’une image d’installation NetBoot (Mac OS X) 47 Sélection d’une image d’installation NetBoot (Mac OS 9) 48 Démarrage à l’aide de la touche NTable des matières 5 Chapitre 5 49 Gestion du service NetBoot 49 Contrôle et surveillance de NetBoot 49 Désactivation du service NetBoot 50 Désactivation d’images d’initialisation ou d’installation individuelles 50 Affichage d’une liste de clients NetBoot 50 Vérification de l’état du service NetBoot et des services associés 51 Affichage de l’historique du service NetBoot 51 Performances et équilibrage de la charge 51 Images d’initialisation 51 Répartition des images d’initialisation sur plusieurs serveurs 52 Répartition des images d’initialisation sur les disques d’un serveur 53 Équilibrage de l’accès à l’image d’initialisation 53 Distribution de fichiers masqués 54 Optimisation NetBoot avancée Chapitre 6 55 Résolution de problèmes 55 Conseils généraux 55 Un ordinateur client NetBoot ne démarre pas. 56 Vous utilisez Gestionnaire Macintosh et un utilisateur ne parvient pas à se connecter à un client NetBoot 56 Le bouton Créer d’Utilitaire d’images de réseau n’est pas activé 56 Les contrôles et les champs sont désactivés dans Utilitaire d’images de réseau 56 Impossible de configurer une image pour utiliser l’initialisation statique (NetBoot version 1.0) Glossaire 57 Index 591 7 1 À propos de l’administration de l’image système Ce chapitre explique comment démarrer des ordinateurs client à l’aide d’un système d’exploitation installé sur un serveur et comment installer des logiciels sur ces ordinateurs via le réseau. NetBoot et l’installation en réseau Les fonctionnalités NetBoot et installation en réseau de Mac OS X Server sont des outils efficaces pour la gestion du système d’exploitation et des logiciels d’application dont vos clients Macintosh (ou même d’autres serveurs) ont besoin pour démarrer et effectuer leur travail. Plutôt que passer d’un ordinateur à l’autre pour installer le système d’exploitation ou les logiciels à partir de CD-ROM, vous pouvez préparer une image d’installation qui sera automatiquement installée sur chaque ordinateur au démarrage. Vous pouvez également choisir de ne pas installer de logiciels sur les clients, mais plutôt de les faire démarrer (ou “initialiser”) directement à partir d’une image stockée sur le serveur. Les clients n’ont même pas besoin d’avoir de disques durs. Grâce à NetBoot et l’installation réseau, vous pouvez démarrer vos ordinateurs client à partir d’une configuration Mac OS normalisée adaptée à leurs opérations spécifiques. Dans la mesure où les ordinateurs client démarrent à partir de la même image, vous pouvez rapidement mettre à jour le système d’exploitation pour l’ensemble du groupe, en mettant à jour une image d’initialisation unique. Une image d’initialisation est un fichier dont l’aspect et le fonctionnement sont semblables à ceux d’un disque ou d’un volume pouvant être monté. Les images d’initialisation NetBoot contiennent le logiciel système requis pour servir de disque de démarrage aux ordinateurs client sur le réseau. Une image d’installation est une image d’initialisation particulière qui démarre le client pour l’installation des logiciels à partir de l’image, après quoi le client peut démarrer à partir de son disque dur. Les images d’initialisation et d’installation constituent des types particuliers d’images disque. Celles-ci sont des fichiers qui se comportent de la même façon que les volumes disque.8 Chapitre 1 À propos de l’administration de l’image système Vous pouvez configurer plusieurs images d’initialisation ou d’installation afin de satisfaire aux besoins de différents groupes de clients ou pour fournir plusieurs copies de la même image afin de mieux répartir la charge de démarrage du client. Vous pouvez utiliser NetBoot avec les services de gestion client de Mac OS X afin d’offrir un environnement de travail personnalisé pour chaque utilisateur d’un ordinateur client. Pour plus d’informations sur les services de gestion client, consultez le guide de gestion des utilisateurs. Vous pouvez utiliser les applications Mac OS X Server ci-dessous pour configurer et gérer NetBoot et l’installation en réseau : • Utilitaire d’images de réseau pour créer des images disques Mac OS X. Installé avec le logiciel Mac OS X Server dans le dossier /Applications/Server. • Admin Serveur pour activer et configurer le service NetBoot ainsi que les services de support. Installé avec le logiciel Mac OS X Server dans le dossier /Applications/Server. • PackageMaker pour créer des fichiers de paquet que vous utilisez pour ajouter des logiciels complémentaires aux images disque. Sur le CD-ROM Outils d’administration, dans le dossier Utilities. • Property List Editor pour éditer les listes de propriétés telles que NBImageInfo.plist. Sur le CD-ROM Outils d’administration, dans le dossier Utilities. • Admin de bureau NetBoot, application facultative pour modifier les images disque système Mac OS 9 et l’image disque des applications. Si vous possédez toujours des clients Mac OS 9, vous avez besoin d’une copie du CD-ROM NetBoot pour Mac OS 9 (disponible séparément). Ce CD-ROM inclut une image disque système Mac OS 9.2.2 préconfigurée ainsi que l’application Admin de bureau NetBoot. Description de NetBoot Cette section décrit l’implémentation de NetBoot sur Mac OS X Server, avec notamment des informations sur les protocoles, fichiers, structures de répertoires et configurations. Images disque Les images disque en lecture seule contiennent le logiciel système et les applications utilisés par les ordinateurs client via le réseau. Le nom d’une image disque porte généralement l’extension “.img” ou “.dmg”. L’Utilitaire de disque, fourni avec Mac OS X et Mac OS 9.2.2, peut monter des fichiers d’image disque comme des volumes sur le bureau. Vous devez configurer les images disque Mac OS 9 et Mac OS X de façon légèrement différente.Chapitre 1 À propos de l’administration de l’image système 9 Vous pouvez recourir à Utilitaire d’images de réseau pour créer des images disque Mac OS X, en utilisant un disque d’installation Mac OS X ou un volume système existant comme source. Consultez la section “Création d’une image d’initialisation Mac OS X” à la page 21. Une image disque Mac OS 9 préconfigurée est fournie sur un CD-ROM nommé NetBoot pour Mac OS 9, disponible séparément. Celui-ci contient des versions de l’image Mac OS 9 localisées dans plusieurs langues. Consultez la section “Installation d’une image d’initialisation Mac OS 9” à la page 27. Pour modifier cette image disque Mac OS 9, utilisez Admin de bureau NetBoot. Consultez la section “Modification d’une image d’initialisation Mac OS 9” à la page 27. Points de partage NetBoot NetBoot configure des points de partage afin de mettre les fichiers image et masqués à la disposition des clients. NetBoot crée des points de partage pour le stockage d’images d’initialisation et d’installation dans le dossier /Library/NetBoot sur chaque volume que vous activez et les nomme NetBootSPn, où n est égal à 0 pour le premier point de partage et augmente de 1 pour chaque point de partage supplémentaire. Par exemple, si vous décidez de stocker les images sur trois disques serveur distincts, NetBoot configure trois points de partage nommés NetBootSP0, NetBootSP1 et NetBootSP2. Les points de partage des fichiers masqués client sont également créés dans le dossier /Library/NetBoot et sont nommés NetBootClientsn. Vous pouvez créer et activer des points de partage NetBootSPn et NetBootClientsn complémentaires sur d’autres volumes du serveur à l’aide des réglages généraux du service NetBoot dans Admin Serveur. Fichier d’informations client NetBoot rassemble les informations sur le client la première fois que ce dernier tente de démarrer à partir du serveur NetBoot. NetBoot stocke ces informations dans le fichier /var/db/bsdpd_clients. Avertissement : ne renommez pas un point de partage NetBoot ou le volume sur lequel il réside. N’utilisez pas le Gestionnaire de groupe de travail pour cesser le partage d’un point de partage NetBoot sauf si vous désélectionnez d’abord le point de partage pour les images et les fichiers masqués dans Admin Serveur.10 Chapitre 1 À propos de l’administration de l’image système Fichiers masqués De nombreux clients peuvent lire des données à partir de la même image d’initialisation, mais lorsqu’un client doit écrire des données sur son volume de démarrage (par exemple des tâches d’impression et autres fichiers temporaires), NetBoot les redirige automatiquement vers les fichiers masqués du client, lesquels sont distincts des logiciels système et d’application standard. Les fichiers masqués préservent l’identité unique de chaque client pendant toute la durée de l’exécution à partir d’une image NetBoot. Celui-ci gère de façon transparente les données utilisateur modifiées dans les fichiers masqués, alors qu’il lit les données non modifiées à partir de l’image système partagée. Les fichiers masqués sont recréés à chaque démarrage, de sorte que toutes les modifications apportées par l’utilisateur sur son volume de démarrage sont perdues au redémarrage. Supposons qu’un utilisateur sauvegarde un document sur son volume de démarrage, ce document aura tout simplement disparu au redémarrage. Cette fonction permet de préserver les conditions d’environnement définies par l’administrateur. Il est par conséquent recommandé aux utilisateurs de créer un compte sur un serveur de fichiers sur le réseau pour enregistrer leurs documents. Équilibrage de la charge des fichiers masqués NetBoot crée un point de partage AFP sur chaque volume du serveur spécifié (voir “Choix de l’emplacement de stockage des fichiers masqués” à la page 39) et répartit les fichiers masqués client afin d’équilibrer la charge pour les clients NetBoot. Les performances ne sont pas améliorées si les volumes sont des partitions du même disque. Consultez la section “Distribution de fichiers masqués” à la page 53. Allocation de fichiers masqués pour les clients NetBoot Mac OS X Lorsqu’un ordinateur client démarre à partir d’une image d’initialisation Mac OS X, il crée ses fichiers masqués sur un point de partage NetBootClientsn du serveur ou, si aucun point de partage n’est disponible, sur un disque local du client. Pour plus d’informations sur la modification de ce comportement, consultez la section “Modification du mode d’allocation des fichiers masqués par les clients NetBoot de Mac OS X” à la page 26. Dossiers d’image NetBoot Un dossier d’image NetBoot contient le fichier image de démarrage, un fichier d’initialisation utilisé par le programme interne pour lancer le démarrage, ainsi que d’autres fichiers utiles au démarrage d’un ordinateur client sur le réseau. Le nom d’un dossier d’image NetBoot porte l’extension “.nbi”. Le dossier NBI pour Mac OS 9 est légèrement différent de celui pour Mac OS X, dans la mesure où les composants requis pour le démarrage sont différents. Chapitre 1 À propos de l’administration de l’image système 11 Dossier d’image NetBoot de Mac OS X Vous pouvez employer Utilitaire d’images de réseau pour configurer les dossiers NBI de Mac OS X. Cet utilitaire permet de : • Nommer l’image • Choisir le type d’image (NetBoot ou Installation en réseau) • Préciser un ID d’image • Choisir la langue par défaut • Spécifier un nom d’utilisateur et un mot de passe par défaut • Activer l’installation automatique des images • Ajouter des paquets ou des applications préinstallés Consultez la section “Création d’une image d’initialisation Mac OS X” à la page 21. Dossier d’image NetBoot Mac OS 9 Recourez à Admin de bureau NetBoot pour modifier le dossier NBI Mac OS 9. Cet utilitaire permet de modifier le fichier d’image (NetBoot HD.img), de modifier le nom de l’image, d’ajuster la taille de l’image et d’ajouter des logiciels à l’image d’application. Fichier Description booter Fichier de démarrage mach.macosx Kernel UNIX mach.macosx.mkext Pilotes System.dmg Fichier image de démarrage (peut inclure des applications) NBImageInfo.plist Fichier Property list Fichier ou dossier Description Mac OS ROM Fichier de démarrage NetBoot HD.img Fichier d’image de démarrage du système Application HD.img Fichier d’image d’applications NBImageInfo.plist Fichier Property list Backup Dossiers créés par Admin de bureau NetBoot (pendant l’exécution) pour l’image de sauvegarde12 Chapitre 1 À propos de l’administration de l’image système Fichier Property list Le fichier de liste de propriétés (NBImageInfo.plist) stocke les propriétés des images. Ces fichiers pour Mac OS 9 et Mac OS X sont décrits dans les tableaux ci-dessous. Les valeurs initiales contenues dans NBImageInfo.plist sont définies par les outils utilisés pour traiter les fichiers image (Admin de bureau NetBoot pour les images Mac OS 9 et Utilitaire d’images de réseau pour les images Mac OS X) et vous n’avez généralement pas besoin de modifier le fichier directement. Certaines valeurs sont définies par Admin Serveur. En revanche, si vous devez modifier un fichier de liste de propriétés, vous pouvez utiliser TextEdit ou Property List Editor, outils qui résident dans le dossier Utilities du CD-ROM Outils d’administration de Mac OS X Server. Liste des propriétés de Mac OS 9 Propriété Type Description BootFile Chaîne Nom du fichier ROM de démarrage : Mac OS ROM. Index Entier Les valeurs de 1 à 4095 indiquent une image locale unique pour le serveur. Les valeurs 4096 à 65 535 indiquent une image identique dupliquée sur plusieurs serveurs pour l’équilibrage de la charge. IsDefault Booléen La valeur “True” spécifie ce fichier image comme image d’initialisation par défaut sur le sous-réseau. IsEnabled Booléen Définit si l’image est disponible pour les clients NetBoot (ou Image réseau). IsInstall Booléen “True” indique une image Installation réseau ; “False” indique une image NetBoot. Name Chaîne Nom de l’image tel qu’il apparaît dans la tableau de bord Démarrage (Mac OS 9) ou la fenêtre Préférences (Mac OS X). Type Chaîne Classique. SupportsDiskless Booléen La valeur “True” ordonne au serveur NetBoot d’allouer de l’espace pour les fichiers masqués requis par les clients non équipés de disque.Chapitre 1 À propos de l’administration de l’image système 13 Liste des propriétés de Mac OS X Propriété Type Description BootFile Chaîne Nom du fichier ROM de démarrage : booter. Index Entier Les valeurs de 1 à 4095 indiquent une image locale unique pour le serveur. Les valeurs 4096 à 65 535 indiquent une image identique dupliquée sur plusieurs serveurs pour l’équilibrage de la charge. IsDefault Booléen La valeur “True” spécifie ce fichier image comme image d’initialisation par défaut sur le sous-réseau. IsEnabled Booléen Définit si l’image est disponible pour les clients NetBoot (ou Image réseau). IsInstall Booléen “True” indique une image Installation réseau ; “False” indique une image NetBoot. Name Chaîne Nom de l’image tel qu’il apparaît dans la tableau de bord Démarrage (Mac OS 9) ou la fenêtre Préférences (Mac OS X). RootPath Chaîne Indique le chemin vers l’image de disque sur le serveur ou celui vers une image sur un autre serveur. Consultez la section “Utilisation d’images stockées sur d’autres serveurs” à la page 14. Type Chaîne NFS ou HTTP. SupportsDiskless Booléen La valeur “True” ordonne au serveur NetBoot d’allouer de l’espace pour les fichiers masqués requis par les clients non équipés de disque. Description Chaîne Texte aléatoire qui décrit l’image. Langue Chaîne Code indiquant la langue à utiliser lors de l’initialisation à partir de l’image.14 Chapitre 1 À propos de l’administration de l’image système Protocole BSDP (Boot Server Discovery Protocol) NetBoot utilise un protocole développé par Apple et reposant sur le protocole DHCP, appelé BSDP (Boot Server Discovery Protocol). Ce protocole permet la détection des serveurs NetBoot sur un réseau. Les clients NetBoot obtiennent leur adresse IP via un serveur DHCP et leurs informations NetBoot via BSDP. Le protocole BSDP offre une prise en charge intégrée de l’équilibrage de la charge. Consultez la section “Performances et équilibrage de la charge” à la page 51. Serveur BootP NetBoot utilise un serveur BootP (bootpd) pour fournir les informations nécessaires aux ordinateurs client lorsqu’ils tentent de démarrer à partir d’une image sur le serveur. Si vous disposez de clients BootP sur votre réseau, ceux-ci peuvent demander une adresse IP au serveur BootP NetBoot ; cette requête échoue, car le serveur BootP NetBoot n’a pas d’adresses à proposer. Pour empêcher le serveur BootP NetBoot de répondre aux demandes d’adresses IP, utilisez Gestionnaire NetInfo pour ouvrir le répertoire NetInfo local du serveur NetBoot et ajouter une clé nommée bootp_enabled mais pas de valeur au répertoire /config/dhcp. TFTP et les fichiers d’initialisation NetBoot utilise le protocole TFTP (Trivial File Transfer Protocol) pour envoyer les fichiers d’initialisation du serveur vers le client. Les fichiers d’initialisation sont configurés par Utilitaire d’images de réseau lorsque vous créez une image et ils sont stockés sur le serveur dans le répertoire /Library/NetBoot/ NetBootSPn/image.nbi (où n est le numéro du volume et image est le nom de l’image). Pour Mac OS 9, il existe un seul fichier nommé Mac OS ROM. Pour les images Mac OS X, il existe trois fichiers : booter, mach.macosx et mach.macosx.mkext. Le répertoire NetBootSPn est automatiquement configuré sur le volume d’initialisation de votre serveur si vous activez NetBoot lors de l’installation de Mac OS X Server. Dans le cas contraire, des points de partage NetBootSPn sont configurés sur chaque volume que vous choisissez pour stocker des images dans les réglages NetBoot d’Admin Serveur. Utilisation d’images stockées sur d’autres serveurs Vous pouvez stocker des images d’initialisation ou d’installation Mac OS X sur des serveurs NFS autres que le serveur NetBoot proprement dit. Pour plus de détails, consultez la section “Utilisation d’images stockées sur d’autres serveurs NFS” à la page 40.Chapitre 1 À propos de l’administration de l’image système 15 Sécurité Vous pouvez limiter l’accès au service NetBoot au cas par cas en répertoriant les adresses matérielles (également appelées adresses Ethernet ou MAC) des ordinateurs auxquels vous souhaitez accorder ou refuser l’accès. Une adresse matérielle d’ordinateur client est ajoutée automatiquement à la liste de filtrage de NetBoot lorsque le client démarre à l’aide de NetBoot et il est, par défaut, autorisé à utiliser NetBoot. Vous pouvez en spécifier d’autres. Consultez la section “Limitation des clients NetBoot par filtrage des adresses” à la page 42. Avant de configurer NetBoot Avant de configurer un serveur NetBoot, tenez compte des considérations et exigences ci-après. Tout ce que vous devez savoir Pour configurer NetBoot sur votre serveur, vous devez être familiarisé avec votre configuration réseau, notamment les services DHCP offerts. Assurez-vous de satisfaire aux exigences suivantes : • Vous êtes l’administrateur du serveur. • Vous êtes familiarisé avec la configuration du réseau. • Vous connaissez la configuration DHCP. Vous pouvez également être amené à travailler avec l’équipe réseau pour modifier les topologies, les commutateurs, les routeurs et autres réglages du réseau. Configuration requise pour les ordinateurs client La plupart des ordinateurs Macintosh pouvant exécuter Mac OS 9.2.2 ou une version ultérieure peuvent utiliser NetBoot pour démarrer à partir d’une image disque Mac OS X sur un serveur. À l’heure où nous publions cette documentation, les ordinateurs Macintosh suivants sont concernés : • iMac G3 à chargement par fente (les iMac à chargement par tiroir ne sont pas pris en charge) • iMac G4 • iBook • eMac • Power Mac G5 • Power Mac G4 • Power Mac G4 Cube • PowerBook G3 (FireWire) • PowerBook G4 • Xserve16 Chapitre 1 À propos de l’administration de l’image système Assurez-vous d’installer les dernières mises à jour de programmes internes sur tous vos ordinateurs client. Ces mises à jour sont disponibles sur le site Web de support d’Apple : www.apple.com/support/ Les clients Power Mac G5 ne peuvent pas être initialisés à partir d’images préparées pour des processeurs Power Mac G4 ou antérieurs, pas plus que les processeurs Power Mac G4 ou antérieurs ne peuvent être initialisés à partir d’images préparées pour des processeurs Power Mac G5. Si vous possédez les deux types de client, vous devez configurer deux images distinctes. Les ordinateurs Macintosh plus anciens, à savoir les ordinateurs iMac à chargement par tiroir et les ordinateurs Power Macintosh G3 (bleu et blanc), nécessitent des versions plus anciennes du programme interne (nécessitant la version 1.0 du logiciel NetBoot) et ne sont plus pris en charge. Mac OS X Server version 10.3 prend uniquement en charge NetBoot version 2.0. Mémoire vive requise pour l’ordinateur client Voici la quantité minimale de mémoire requise pour un ordinateur client qui démarre à partir d’une image d’initialisation Mac OS 9 ou Mac OS X. • Démarrage à partir d’une image disque Mac OS 9 : 64 Mo • Démarrage à partir d’une image disque Mac OS X : 128 Mo Les ordinateurs client utilisant Installation réseau doivent également disposer de 128 Mo de RAM. Mises à jour logicielles pour les images disque système NetBoot Vous devez utiliser le logiciel système le plus récent lors de la création d’images disque NetBoot. Les nouveaux ordinateurs Macintosh nécessitent la mise à jour du logiciel système, de sorte que si vous possédez de nouveaux clients Macintosh, vous devez mettre à jour vos images d’initialisation. Pour mettre à jour une image disque Mac OS X, consultez la section “Ajout d’un paquet de mise à jour du système d’exploitation à une image d’initialisation Mac OS X” à la page 24. Pour mettre à jour une image disque Mac OS 9, consultez la section “Modification d’une image d’initialisation Mac OS 9” à la page 27. Support Ethernet sur les ordinateurs client NetBoot est uniquement pris en charge via la connexion Ethernet intégrée. Sur les ordinateurs client, un seul port Ethernet est géré. Les clients doivent être équipés de cartes Ethernet d’au moins 100 Mbits.Chapitre 1 À propos de l’administration de l’image système 17 Configuration matérielle requise pour le réseau Le type de connexion réseau que vous utilisez dépend du nombre de clients que vous prévoyez d’initialiser via le réseau : • Carte Ethernet 100 Mo (pour l’initialisation de moins de 10 clients) • Carte Ethernet commutée 100 Mo (pour l’initialisation de 10 à 50 clients) • Carte Ethernet Gigabit (pour l’initialisation de plus de 50 clients) Il s’agit ici d’estimations du nombre de clients pris en charge. Consultez la section “Planification de la capacité” à la page 17 pour plus de détails sur les configurations optimales du système et du réseau en fonction du nombre de vos clients. Configuration requise pour les services réseau En fonction des types de client que vous souhaitez initialiser ou installer, votre serveur NetBoot doit également fournir les services ci-après. Remarque : le service DHCP est indiqué comme facultatif, car bien qu’il soit nécessaire pour NetBoot, il peut être fourni par un serveur autre que le serveur NetBoot. Les serveurs marqués comme “obligatoires” doivent être exécutés sur le serveur NetBoot. NetBoot et AirPort L’utilisation de la technologie sans fil AirPort avec les clients NetBoot n’est pas prise en charge par Apple voire même déconseillée. Planification de la capacité Le nombre d’ordinateurs client NetBoot pouvant être pris en charge par votre serveur dépend de la façon de la configuration de votre serveur, du moment où les clients démarrent habituellement, de l’espace disque du serveur et d’un certain nombre d’autres facteurs. Lors de la planification de l’évolution des besoins concernant le serveur et le réseau, tenez compte des facteurs suivants : Service fourni par le serveur NetBoot Pour l’initialisation des ordinateurs Mac OS X équipés de disque dur Pour l’initialisation des ordinateurs Mac OS X sans disque dur Pour l’initialisation des ordinateurs Mac OS 9 DHCP facultatif facultatif facultatif NFS obligatoire si pas de protocole HTTP obligatoire si pas de protocole HTTP AFP obligatoire obligatoire HTTP obligatoire si pas de NFS obligatoire si pas de NFS TFTP obligatoire obligatoire obligatoire18 Chapitre 1 À propos de l’administration de l’image système • Vitesse Ethernet : des connexions 100Base-T ou plus rapides sont exigées aussi bien pour les ordinateurs client que le serveur. Plus vous augmenterez le nombre de clients, plus vous serez amené à accroître la vitesse des connexions Ethernet de votre serveur. Dans l’idéal, vous tirez avantage de la capacité Ethernet Gigabit intégrée au matériel de votre Mac OS X Server pour vous connecter à un commutateur Gigabit. De ce commutateur, vous pouvez alors connecter Ethernet Gigabitou Ethernet 100 Mo à chacun de vos clients NetBoot. • Capacité du disque dur et nombre d’images : les images d’initialisation et d’installation occupent de l’espace disque sur les volumes serveur, en fonction de la taille et de la configuration de l’image système et en fonction du nombre d’images stockées. Les images peuvent être réparties sur plusieurs volumes ou serveurs. Pour plus de détails, consultez la section “Performances et équilibrage de la charge” à la page 51. • Capacité du disque dur et nombre d’utilisateurs : si vous possédez un grand nombre de clients Mac OS 9 ou Mac OS X sans disque, envisagez l’ajout d’un serveur de fichiers distinct à votre réseau pour le stockage des documents temporaires des utilisateurs. Comme le logiciel système d’une image disque est inscrit dans une copie d’image pour chaque client démarrant à partir de cette image disque, vous pouvez obtenir une vague estimation de l’espace disque requis en multipliant la taille de la copie d’image par le nombre de clients. • Nombre de ports Ethernet sur le commutateur : la répartition de clients NetBoot sur plusieurs ports Ethernet de votre commutateur vous permet d’offrir des performances nettement plus avantageuses. Chaque port doit être destiné à un segment différent. Vue d’ensemble de la configuration Voici une vue d’ensemble des étapes élémentaires de configuration du service NetBoot. Étape 1 : Évaluation et mise à jour de votre réseau, vos serveurs et vos ordinateurs client, si nécessaire Le nombre d’ordinateurs client que vous pouvez prendre en charge avec NetBoot est déterminé par le nombre de serveurs dont vous disposez, la façon dont ils sont configurés, la capacité de stockage du disque dur, ainsi que d’autres facteurs. Consultez la section “Planification de la capacité” à la page 17. En fonction des résultats de cette évaluation, vous pouvez ajouter des serveurs ou des disques durs, ajouter des ports Ethernet à votre serveur, ou apporter d’autres modifications. Vous pouvez également configurer davantage de sous-réseaux pour vos clients BootP, en fonction du nombre de clients pris en charge. Vous pouvez également mettre en œuvre des sous-réseaux sur ce serveur (ou d’autres serveurs), afin de tirer parti du filtrage NetBoot. Consultez la section “Limitation des clients NetBoot par filtrage des adresses” à la page 42.Chapitre 1 À propos de l’administration de l’image système 19 Si vous envisagez de fournir des environnements de travail personnalisés et des autorisations à vos clients NetBoot grâce à Gestionnaire de groupe de travail (clients Mac OS X) et Gestionnaire Macintosh (clients Mac OS 9), vous devez les configurer, puis importer des utilisateurs de la base de données Utilisateurs et groupes de Mac OS X Server, avant de créer vos images disque. Assurez-vous de disposer au moins d’un utilisateur Gestionnaire Macintosh affecté au groupe de travail Accès au système pour les clients Mac OS 9 et au Gestionnaire de groupe de travail pour les clients Mac OS X. Étape 2 : Création d’images disque pour les ordinateurs client Pour commencer, configurez les images disque Mac OS 9 et Mac OS X pour les ordinateurs client. Une image Mac OS 9 préconfigurée est fournie avec Mac OS X Server sur le CD-ROM NetBoot pour Mac OS 9, disponible séparément. Cette image Mac OS 9 peut être modifiée. Si vous utilisez de nouveaux ordinateurs client commercialisés après Mac OS X Server version 10.0.3, vous devez modifier l’image disque Mac OS 9 afin de prendre en charge les nouveaux clients. Consultez la section “Modification d’une image d’initialisation Mac OS 9” à la page 27. Utilisez l’Utilitaire d’images de réseau pour créer des images disque Mac OS X. Consultez la section “Création d’une image d’initialisation Mac OS X” à la page 21. Pour créer des paquets d’application que vous pouvez ajouter à une image, utilisez PackageMaker. Les paquets logiciels d’application peuvent être installés en tant que tels ou avec le logiciel système Mac OS X. Consultez la section “Création de paquets” à la page 32. Étape 3 : Configuration DHCP NetBoot nécessite de disposer d’un serveur DHCP soit sur le serveur local, soit sur un serveur distant sur le réseau. Assurez-vous de disposer d’une plage d’adresses IP suffisante pour couvrir le nombre de clients susceptibles d’utiliser NetBoot simultanément. Si votre serveur NetBoot fournit également un service DHCP, vous obtiendrez de meilleures performances en configurant votre serveur en tant que passerelle. Autrement dit, configurez vos sous-réseaux pour utiliser l’adresse IP du serveur en tant qu’adresse IP du routeur. Assurez-vous que le service DHCP est démarré. Étape 4 : Configuration et activation du service NetBoot Utilisez les réglages NetBoot d’Admin Serveur pour configurer NetBoot sur votre serveur. Consultez le chapitre 3, “Configuration du service NetBoot”. Vous pouvez activer le service NetBoot via Admin Serveur. Consultez “Démarrage de NetBoot et des services associés” à la page 38 et “Activation d’images” à la page 39.20 Chapitre 1 À propos de l’administration de l’image système Étape 5 : Configuration du filtrage d’adresse Ethernet (facultatif) Le filtrage NetBoot est effectué via l’adresse matérielle de l’ordinateur client. Celle-ci est automatiquement enregistrée lors de la première tentative de démarrage du client correspondant à partir d’une image disque NetBoot. Vous pouvez autoriser ou interdire les clients en fonction de leur adresse. Consultez la section “Limitation des clients NetBoot par filtrage des adresses” à la page 42. Étape 6 : Test de votre configuration NetBoot Le risque de perdre des données ou de provoquer une interruption du réseau étant réel (du fait d’une mauvaise configuration DHCP), il est recommandé de tester votre configuration NetBoot avant de la mettre en œuvre sur tous les clients. Il convient de tester chaque modèle de Macintosh que vous serez amené à gérer. Pour vous assurer qu’il ne subsiste aucun problème lié au fichier Boot ROM d’un type de matériel particulier. Étape 7 : Configuration de tous les ordinateurs client pour utiliser NetBoot Après avoir vérifié que NetBoot fonctionne sur tous les types d’ordinateur client, vous pouvez configurer les clients afin qu’ils démarrent à partir d’images disque NetBoot. Pour les clients Mac OS 9 : ouvrez le tableau de bord Démarrage, puis sélectionnez l’image d’un disque de démarrage sur le serveur. Redémarrez ensuite l’ordinateur. Consultez la section “Sélection d’une image d’initialisation NetBoot (Mac OS 9)” à la page 46. Remarque : vous devrez peut-être mettre à jour le tableau de bord Démarrage sur les ordinateurs client qui exécutent Mac OS 9 à partir de leur disque dur local, afin qu’il puisse afficher les images disque NetBoot. Consultez la section “Mise à jour du tableau de bord Démarrage” à la page 45. Pour les clients Mac OS X, version 10.2 ou ultérieure : ouvrez le volet des Préférences Système Démarrage, puis sélectionnez l’image d’un disque de démarrage sur le serveur. Redémarrez ensuite l’ordinateur. Consultez la section “Sélection d’une image d’initialisation NetBoot (Mac OS X)” à la page 46. Tout type de client : redémarrez l’ordinateur en maintenant la touche N enfoncée jusqu’à ce que l’icône NetBoot clignote. Le client démarre alors à partir de l’image par défaut sur le serveur NetBoot. Consultez la section “Démarrage à l’aide de la touche N” à la page 48.2 21 2 Création d’images d’initialisation et d’installation Ce chapitre présente les instructions pas à pas pour la préparation d’images d’initialisation ou d’installation utilisables avec le service NetBoot. Création d’images d’initialisation Mac OS X Les instructions de cette section indiquent comment créer des images d’initialisation du système d’exploitation Mac OS X que vous pouvez utiliser pour démarrer des ordinateurs client sur le réseau. Pour obtenir de l’aide sur la création d’images Mac OS 9, consultez la section “Création d’images d’initialisation Mac OS 9” à la page 27. Création d’une image d’initialisation Mac OS X Utilisez Utilitaire d’images de réseau pour créer des images NetBoot Mac OS X. Remarque : vous devez acquérir une licence utilisateur du système d’exploitation pour chaque client qui démarre à partir d’une image disque NetBoot. Pour créer une image d’initialisation : 1 Connectez-vous au serveur en tant qu’administrateur. 2 Ouvrez Utilitaire d’images de réseau et cliquez sur Initialisation. 3 Dans le volet Général, tapez un nom pour l’image que vous créez. Ce nom identifiera l’image dans le volet des préférences de disque de démarrage sur les ordinateurs client. 4 Tapez un ID d’image. Pour créer une image unique pour ce serveur, choisissez un ID dans la plage 1 à 4095. Pour créer une image parmi plusieurs identiques qui seront stockées sur différents serveurs pour l’équilibrage de la charge, utilisez un ID dans la plage 4096 à 65 535. Plusieurs images de même type avec un ID identique dans cette plage sont répertoriées comme une seule image dans le volet des préférences du disque de démarrage d’un client.22 Chapitre 2 Création d’images d’initialisation et d’installation 5 (Facultatif) Tapez toute information qui vous aidera à caractériser l’image dans le champ Description. Les clients ne voient pas ce que vous tapez. 6 (Source CD-ROM uniquement) Choisissez la langue par défaut du système. Cette option est disponible uniquement si vous avez inséré le CD-ROM et que vous l’avez choisi comme source. 7 Déterminez si l’image doit être distribuée via NFS ou HTTP. Si vous n’êtes pas certain du choix, optez pour NFS. 8 Cliquez sur Contenu et choisissez la source de l’image. Vous pouvez choisir un CD-ROM d’installation, un volume d’initialisation monté ou une image disque. Si vous créez l’image à partir d’un CD-ROM, assurez-vous qu’il est inséré. Important : si vous avez créé une image disque standard (fichier .dmg) à partir d’un CD-ROM d’installation du système d’exploitation et que vous souhaitez utiliser cette image comme source d’une image NetBoot, double-cliquez sur le fichier .dmg dans le Finder afin de monter l’image, puis sélectionnez-la dans le menu local. 9 (Facultatif) Cliquez sur le bouton Ajouter (+) sous la liste Autres éléments afin d’ajouter un paquet d’application, un paquet de mise à jour système ou un script à l’image. 10 (Source CD-ROM uniquement) Cliquez sur Utilisateur par défaut, tapez un nom d’utilisateur, un nom abrégé et un mot de passe (dans les champs Mot de passe et Confirmer) pour le compte d’utilisateur par défaut du système. Vous pouvez vous connecter à un client initialisé à l’aide de ce compte. 11 Cliquez sur Créer l’image. Si le bouton Créer n’est pas activé, assurez-vous d’avoir saisi un nom et un ID pour l’image, d’avoir choisi une source pour l’image et d’avoir tapé un nom d’utilisateur par défaut avec un mot de passe d’au moins quatre caractères. 12 Dans la boîte de dialogue Enregistrer sous, choisissez où enregistrer l’image. Si vous ne souhaitez pas utiliser le nom de l’image que vous avez saisi précédemment, vous pouvez le changer en tapant un nouveau nom dans le champ Enregistrer sous. Si vous créez l’image sur le serveur qui la transférera, choisissez un volume dans le menu local “Transférer depuis le point de partage NetBoot sur”. Pour enregistrer l’image ailleurs, choisissez un emplacement dans le menu local Emplacement, ou cliquez sur le triangle en regard du champ Enregistrer sous et sélectionnez un dossier. 13 Cliquez sur Enregistrer. Pour examiner la progression, observez le coin inférieur gauche de la fenêtre. Si vous devez insérer un autre CD, vous y serez invité. Pour créer l’image sans inclure le contenu d’un autre CD, cliquez sur Finaliser lorsque vous êtes invité à l’insérer.Chapitre 2 Création d’images d’initialisation et d’installation 23 Important : n’ouvrez pas le dossier .nbi dans /Library/NetBoot/NetBootSPn pendant la création de l’image, car les clients ne pourraient pas utiliser l’image résultante. À partir de la ligne de commande Vous pouvez également créer une image d’initialisation à l’aide des commandes de Terminal. Pour plus d’informations, consultez le chapitre relatif aux images système dans le guide d’administration des lignes de commande. Installation de l’environnement Classic dans une image disque Mac OS X Vous pouvez installer l’environnement Classic dans une image Mac OS X en copiant un dossier système Mac OS 9.2.2 dans une image NetBoot “non verrouillée”. Vous devez également spécifier l’image Mac OS X en tant que volume de démarrage Classic et démarrer l’environnement Classic à partir de l’image en utilisant le volet des préférences de Mac OS 9 pour compléter l’intégration. N’essayez pas d’installer l’environnement Classic dans des images d’installation réseau. Cette procédure fonctionne uniquement avec les images NetBoot. Pour installer l’environnement Classic sur une image d’initialisation Mac OS X : 1 Assurez-vous que le fichier d’image disque (.dmg) est déverrouillé. Si l’icône du fichier présente un petit verrou dans le Finder (dans /Library/NetBoot/ NetBootSPn), connectez-vous au serveur en tant qu’utilisateur root, sélectionnez le fichier image, choisissez Lire les informations dans le menu Fichier du Finder, puis désélectionnez la case à cocher Verrouillé. 2 Double-cliquez sur le fichier image afin de le monter. 3 Faites glisser un Dossier Système Mac OS 9 dans l’image disque. Vous pouvez utiliser le Dossier Système situé sur le CD-ROM NetBoot pour Mac OS 9 (disponible séparément) ou utiliser un autre Dossier Système Mac OS 9 version 9.2.2 précédemment exécuté en tant qu’environnement Classic sous Mac OS X. 4 Dans les Préférences Système de votre serveur, ouvrez le volet des préférences Classic et sélectionnez l’image disque comme volume de démarrage pour l’environnement Classic. 5 Cliquez sur Démarrer afin de démarrer l’environnement Classic. 6 Arrêtez l’environnement Classic, puis éjectez le fichier image. Avertissement : ne modifiez jamais une image disque actuellement utilisée par des clients NetBoot, car vous risquez de provoquer des comportements inattendus des clients. Avant de modifier une image disque, assurez-vous que personne n’utilise cette image ou faites une copie du fichier pour le modifier.24 Chapitre 2 Création d’images d’initialisation et d’installation Configuration de Format de répertoire pour une image d’initialisation Si vous n’utilisez pas DHCP pour fournir aux clients NetBoot les informations relatives à Open Directory, vous pouvez configurer les informations de format de répertoire et les copier sur une image d’initialisation. Pour ajouter à une image d’initialisation les informations de format de répertoire : 1 Ouvrez Format de répertoire (dans /Applications/Utilities) sur un système en cours d’exécution et configurez les réglages des répertoires en fonction de vos besoins pour vos ordinateurs client démarrés. 2 Montez l’image d’initialisation et copiez le répertoire /Library/Preferences/DirectoryService/ à partir du système en cours d’exécution que vous venez de configurer, au même emplacement dans l’image d’initialisation. Ajout d’un paquet de mise à jour du système d’exploitation à une image d’initialisation Mac OS X Vous pouvez ajouter un paquet de mise à jour du système Mac OS X à une image NetBoot afin que vos clients démarrent à partir du système le plus récent. Pour appliquer une mise à jour Mac OS X à une image NetBoot : 1 Ouvrez Admin Serveur et sélectionnez NetBoot dans la liste Ordinateurs et services. 2 Désactivez l’image que vous souhaitez mettre à jour afin d’empêcher tout accès pendant l’opération. Cliquez sur Réglages, sur Images, désélectionnez l’option Activé pour l’image, puis cliquez sur Enregistrer. 3 Ouvrez Utilitaire d’images de réseau et cliquez sur Images. 4 Sélectionnez l’image et cliquez sur Modifier. 5 Sous l’onglet Contenu, cliquez sur le bouton Ajouter (+) et sélectionnez le paquet de mise à jour du système d’exploitation. 6 Cliquez sur Enregistrer. 7 Activez l’image dans le volet Images des réglages NetBoot d’Admin Serveur. À partir de la ligne de commande Vous pouvez également mettre à jour une image d’initialisation à l’aide des commandes de Terminal. Pour plus d’informations, consultez le chapitre relatif aux images système dans le guide d’administration des lignes de commande. Création d’une image d’initialisation Mac OS X à partir d’un système existant Si vous avez configuré un ordinateur client pour vos utilisateurs, vous pouvez utiliser Utilitaire d’images de réseau pour créer une image d’initialisation prenant en compte la configuration de ce client.Chapitre 2 Création d’images d’initialisation et d’installation 25 Vous devez démarrer à partir d’un volume autre que celui que vous utilisez en tant que source de l’image (par exemple à partir d’un disque dur FireWire externe ou d’une deuxième partition sur le disque dur du client). Vous ne pouvez pas créer l’image sur un volume via le réseau. Pour créer une image d’initialisation à partir d’un système existant : 1 Démarrez l’ordinateur à partir d’une partition autre que celle que vous utilisez pour la source de l’image. 2 Copiez Utilitaire d’images de réseau sur l’ordinateur client. 3 Ouvrez Utilitaire d’images de réseau sur le client et cliquez sur Initialisation. 4 Cliquez sur l’onglet Contenu et choisissez la partition que vous souhaitez utiliser dans la liste locale Source d’image. 5 Tapez les autres informations relatives à l’image dans les autres volets, puis cliquez sur Créer. 6 Une fois que l’image a été créée sur le client, exportez-la vers le serveur. Cliquez sur Images, sélectionnez l’image dans la liste, puis cliquez sur Exporter. À partir de la ligne de commande Vous pouvez également créer un clone d’image d’initialisation à partir d’un système existant à l’aide de la commande hdiutil de Terminal. Pour plus d’informations, consultez le chapitre relatif aux images système dans le guide d’administration des lignes de commande. Synchronisation d’une image avec un volume source mis à jour Si vous créez une image à partir d’un volume système et que vous mettez à jour ultérieurement le volume d’origine, vous pouvez appliquer automatiquement les mises à jour à l’image sans avoir à la recréer. Important : prenez soin de synchroniser l’image avec le volume d’origine approprié. Le volume d’origine mis à jour doit être un volume local sur le serveur sur lequel l’image est éditée. Pour synchroniser une image avec un volume source mis à jour : 1 Ouvrez Admin Serveur et sélectionnez NetBoot dans la liste Ordinateurs et services. 2 Désactivez l’image à mettre à jour afin d’empêcher tout accès pendant la modification. Cliquez sur Réglages, sur Images, désélectionnez l’option Activé pour l’image, puis cliquez sur Enregistrer. 3 Ouvrez Utilitaire d’images de réseau (dans /Applications/Server). 4 Choisissez Utilitaire d’images de réseau > Préférences, activez l’option “Ajouter les éléments et synchroniser lors de la modification”, puis fermez la fenêtre des préférences. 5 Cliquez sur Images, sélectionnez l’image, puis cliquez sur Modifier.26 Chapitre 2 Création d’images d’initialisation et d’installation 6 Cliquez sur Contenu et choisissez le volume source mis à jour dans le menu local Source d’image. 7 Cliquez sur Enregistrer. 8 Activez l’image à l’aide d’Admin Serveur. Choix du protocole utilisé pour fournir une image Vous pouvez utiliser NFS ou HTTP pour envoyer des images du serveur à un client. Vous pouvez choisir ce protocole lorsque vous créez l’image avec Utilitaire d’images de réseau, ou ultérieurement lorsque l’image est répertoriée dans Admin Serveur. Pour choisir le protocole lorsque vous créez l’image, sélectionnez NFS ou HTTP dans le volet Général d’Utilitaire d’images de réseau. Pour choisir le protocole d’une image, sélectionnez le service NetBoot dans Admin Serveur, cliquez sur Réglages, puis choisissez un protocole dans la liste locale en regard de l’image dans le volet Images. À partir de la ligne de commande Vous pouvez également changer le protocole de distribution en modifiant le fichier NBImageInfo.plist de l’image dans Terminal. Pour plus d’informations, consultez le chapitre relatif aux images système dans le guide d’administration des lignes de commande. Compression des images pour gagner de l’espace disque Vous pouvez créer des images compressées en définissant une préférence dans Utilitaire d’images de réseau. Pour créer des images compressées : 1 Ouvrez Utilitaire d’images réseau. 2 Choisissez Utilitaire d’images de réseau > Préférences et sélectionnez l’option “Comprimer l’image à la création/modification”. Assurez-vous que le volume sur lequel vous créez l’image dispose de suffisamment d’espace libre pour l’image non compressée et celle compressée. À partir de la ligne de commande Vous pouvez également compresser des images à l’aide de la commande hdiutil dans Terminal. Pour plus d’informations, consultez le chapitre relatif aux images système dans le guide d’administration des lignes de commande. Modification du mode d’allocation des fichiers masqués par les clients NetBoot de Mac OS X Par défaut, un client NetBoot Mac OS X place ses fichiers masqués dans un point de partage NetBootClientsn sur le serveur. Si aucun point de partage de ce type n’est disponible, le client tente de stocker ses fichiers masqués sur un disque dur local.Chapitre 2 Création d’images d’initialisation et d’installation 27 Pour les images Mac OS X version 10.3 (et ultérieure) configurées pour une initialisation sans disque, vous pouvez modifier ce comportement en utilisant un éditeur de texte afin de spécifier une valeur pour la variable NETBOOT_SHADOW dans le fichier /etc/ hostconfig de l’image. Les valeurs suivantes sont autorisées : Remarque : cette valeur est définie dans le fichier /etc/hostconfig du fichier .dmg de l’image, et non dans le fichier hostconfig du serveur. Création d’images d’initialisation Mac OS 9 Vous ne pouvez pas utiliser Utilitaire d’images de réseau pour créer des images Mac OS 9. En revanche, vous pouvez utiliser l’image fournie sur le CD-ROM NetBoot pour Mac OS 9 (disponible séparément). Installation d’une image d’initialisation Mac OS 9 Pour installer l’image disque Mac OS 9 préconfigurée, connectez-vous en tant que root, puis ouvrez le fichier NetBoot.pkg sur le CD-ROM NetBoot pour Mac OS 9 (disponible séparément). Le programme d’installation place le dossier image Mac OS 9 NetBoot dans le répertoire /Library/NetBoot/NetBootSPn/DefaultMacOS92.nbi (où n est le numéro du volume). Modification d’une image d’initialisation Mac OS 9 Pour modifier l’image disque Mac OS 9 préconfigurée ou lui ajouter un logiciel, vous devez démarrer à partir d’un ordinateur client NetBoot, vous connecter au volume du serveur NetBoot, puis lancer Admin de bureau NetBoot. Les changements effectués ne sont pas appliqués tant que l’ordinateur client NetBoot exécutant Admin de bureau NetBoot n’a pas redémarré. Valeur de NETBOOT_SHADOW Comportement du fichier masqué sur le client -NETWORK- (Par défaut) Essayez d’utiliser un point de partage NetBootClientsn sur le serveur pour le stockage des fichiers masqués. Si aucun point de partage n’est disponible sur le serveur, utilisez un disque local. -NETWORK_ONLY- Essayez d’utiliser un point de partage NetBootClientsn sur le serveur pour le stockage des fichiers masqués. Si aucun point de partage n’est disponible sur le serveur, ne procédez pas à l’initialisation. -LOCAL- Essayez d’utiliser un disque local pour le stockage des fichiers masqués. Si aucun disque local n’est disponible, utilisez un point de partage NetBootClientsn sur le serveur. -LOCAL_ONLY- Essayez d’utiliser un disque local pour le stockage des fichiers masqués. Si aucun disque local n’est disponible, ne procédez pas à l’initialisation.28 Chapitre 2 Création d’images d’initialisation et d’installation Avant de démarrer cette procédure, vérifiez que vous disposez du nom et du mot de passe d’un utilisateur avec accès en lecture/écriture au volume serveur NetBoot (par exemple l’administrateur). La procédure qui suit nécessite plusieurs redémarrages de l’ordinateur client. Important : soyez particulièrement attentif si votre réseau comporte plusieurs serveurs NetBoot. Le client peut redémarrer à partir d’une image disque sur un serveur autre que celui sur lequel vous travaillez. Si vous utilisez Gestionnaire Macintosh avec des ordinateurs client NetBoot, chaque fois que vous démarrez ou redémarrez un ordinateur, vous devez vous connecter en tant qu’administrateur de Gestionnaire Macintosh client appartenant au groupe de travail Accès au système. Pour installer des logiciels ou modifier l’image disque Mac OS 9 : 1 Connectez-vous au volume serveur en tant qu’utilisateur avec accès en lecture/écriture (par exemple en tant qu’administrateur). 2 Via le Sélecteur, connectez-vous à tous les volumes du serveur sur le client. 3 Copiez l’application Admin de bureau NetBoot sur un volume local sur le client, puis ouvrez l’application. Admin de bureau NetBoot est fourni sur le CD-ROM NetBoot pour Mac OS 9 (disponible séparément). 4 Cliquez sur Effectuer une copie privée. Admin de bureau NetBoot crée une copie de l’image disque. Cette opération peut durer quelques minutes et ne doit pas être interrompue. Une fois la copie terminée, votre ordinateur client NetBoot redémarre automatiquement. Important : une copie d’image disque étant associée à l’ordinateur client NetBoot utilisé pour la créer, vous devez obligatoirement utiliser le même ordinateur pour apporter des modifications à cette image. Si vous en changez, vous ne pourrez plus voir les modifications effectuées et les utilisateurs ne pourront pas les utiliser. Par ailleurs, vous augmentez le risque de modification de l’image disque par des utilisateurs non autorisés. 5 Si vous installez une nouvelle version de Mac OS ou ajoutez des extensions système, vous serez sans doute amené à augmenter la taille de l’image disque. Vérifiez que la taille de l’image est suffisante pour intégrer le nouveau système et les extensions que vous installez. Le seul moyen de réduire la taille d’une image consiste à passer par une copie de sauvegarde plus petite. 6 Si vous installez une nouvelle application, vous serez sans doute amené à augmenter la taille de l’image disque des applications.Chapitre 2 Création d’images d’initialisation et d’installation 29 Assurez-vous que l’image disque dispose de suffisamment d’espace pour installer le logiciel. N’augmentez cependant pas la taille d’une image plus que nécessaire. Le seul moyen de réduire la taille d’une image consiste à passer par une copie de sauvegarde plus petite. 7 Installez le logiciel ou modifiez la configuration du système. Vérifiez que vous installez les dernières mises à jour du logiciel système. Si vous installez un logiciel, suivez les instructions fournies avec celui-ci. Si nécessaire, redémarrez l’ordinateur. Après avoir installé un logiciel, lancez-le. Le cas échéant, vous pouvez être amené à taper un numéro d’enregistrement. Si vous ne saisissez aucun numéro maintenant, les utilisateurs devront en taper un à chaque fois qu’ils ouvriront l’application. Par ailleurs, la plupart des applications créent un fichier de préférences dans le Dossier Système. Si vous n’ouvrez pas l’application, les utilisateurs ne pourront probablement pas l’ouvrir, car aucune préférence n’aura été préalablement créée. 8 Assurez-vous que la corbeille ne contient aucun fichier à conserver (la corbeille est vidée automatiquement à la fin de l’étape suivante). Remarque : si vous ne parvenez pas à vider la corbeille parce qu’elle contient des fichiers en cours d’utilisation, vous devrez probablement redémarrer l’ordinateur. 9 Si nécessaire, utilisez le Sélecteur pour vous reconnecter à tous les volumes serveur. 10 Ouvrez Admin de bureau NetBoot, puis cliquez sur Enregistrer. L’ordinateur redémarre automatiquement. Si vous devez apporter d’autres modifications, cliquez sur Quitter, puis retournez à l’étape 7. Cliquez sur Éliminer pour supprimer les modifications effectuées sur l’image disque. 11 Redémarrez l’ordinateur client NetBoot, puis connectez-vous de nouveau à tous les volumes du serveur. 12 Ouvrez Admin de bureau NetBoot. Si vous souhaitez conserver une copie de sauvegarde de l’ancienne image disque, laissez l’option Sauvegarder les disques précédents sélectionnée. Les copies de sauvegarde sont stockées dans le dossier Images de sauvegarde du dossier Images partagées situé sur le serveur NetBoot. Remarque : dans la mesure où il n’existe qu’un seul dossier de sauvegarde, l’image enregistrée à cet instant remplace toute autre image sauvegardée dans ce dossier lors d’une session précédente. 13 Si vous avez cliqué sur Enregistrer à l’étape 10, cliquez sur Redémarrer. Sinon, cliquez sur OK.30 Chapitre 2 Création d’images d’initialisation et d’installation Si vous cliquez sur Redémarrer, Admin de bureau NetBoot enregistre vos modifications, supprime l’ancienne image disque, puis redémarre l’ordinateur. Les modifications sont appliquées au redémarrage d’un ordinateur client NetBoot. Si vous cliquez sur OK, Admin de Bureau NetBoot efface l’ancienne image disque. Configuration de plusieurs images Mac OS 9 Pour créer plusieurs images disque Mac OS 9, créez des copies de l’image disque préconfigurée que vous avez installée à partir du CD-ROM NetBoot pour Mac OS 9 dans le répertoire /Library/NetBoot/NetBootSPn sur n’importe quel volume serveur. Utilisez ensuite Admin de bureau NetBoot pour modifier à votre gré les images disque Mac OS 9. Utilisez Admin Serveur pour activer les images disque, puis sélectionnez l’image par défaut. Consultez “Activation d’images” à la page 39 et “Spécification de l’image par défaut” à la page 41. Déverrouillage d’une image Si une image est verrouillée, vous devez la déverrouiller pour la modifier. Pour déverrouiller une image d’installation réseau : 1 Connectez-vous en tant qu’utilisateur root. 2 Sélectionnez le fichier image et choisissez Fichier > Lire les informations. 3 Désactivez la case à cocher Verrouillé. Création d’images d’installation Les sections suivantes expliquent comment créer des images permettant l’installation de logiciels sur des ordinateurs client sur le réseau. Création d’une image d’installation du système d’exploitation Pour créer une image qui installera le logiciel système sur un ordinateur client, utilisez Utilitaire d’images de réseau. Vous trouverez cette application dans le dossier /Applications/Server/. Pour créer une image d’installation du système d’exploitation : 1 Connectez-vous au serveur en tant qu’administrateur. 2 Ouvrez Utilitaire d’images de réseau et cliquez sur Installation. 3 Dans le volet Général, tapez un nom pour l’image que vous créez. 4 Tapez un ID d’image. Choisissez un nombre dans la plage de 1 à 4095 pour une image qui sera disponible sur un seul serveur, ou de 4096 à 65 535 pour une image que vous prévoyez de mettre à disposition sur plusieurs serveurs, mais que vous souhaitez répertorier une seule fois dans les préférences de disque de démarrage de l’ordinateur client.Chapitre 2 Création d’images d’initialisation et d’installation 31 5 (Source CD-ROM uniquement) Choisissez la langue par défaut du logiciel. Cette option est disponible uniquement si vous avez inséré le CD-ROM et que vous l’avez choisi comme source. Remarque : il s’agit uniquement de la langue utilisée par le logiciel installé. Le programme d’installation qui s’exécute apparaît toujours en français (s’il ne s’agit pas d’une installation automatisée). 6 Déterminez si l’image doit être distribuée via NFS ou HTTP. Si vous n’êtes pas certain du choix, optez pour NFS. 7 Dans le volet Contenu, choisissez la source de l’image. Vous pouvez choisir un CD-ROM d’installation, un volume d’initialisation monté ou une image disque. 8 (Facultatif) Cliquez sur le bouton Ajouter (+) sous la liste afin d’ajouter des applications ou des scripts de post-installation à l’image. 9 Dans le volet Options d’installation, activez l’option “Vérifier la somme de contrôle de la destination après l’installation” afin que le programme d’installation vérifie l’intégrité de l’image après son transfert vers le client, mais avant son installation (cela ne concerne que les images de la source du volume). 10 Pour que les logiciels soient installés avec une interaction limitée (voire aucune) sur l’ordinateur client, sélectionnez l’option “Activer l’installation automatique”, puis cliquez sur Options. 11 Cliquez sur Créer l’image. Si le bouton Créer n’est pas activé, assurez-vous d’avoir saisi un nom et un ID pour l’image, ainsi que d’avoir choisi une source d’image. 12 Dans la boîte de dialogue Enregistrer sous, choisissez où enregistrer l’image. Si vous ne souhaitez pas utiliser le nom de l’image que vous avez saisi précédemment, vous pouvez le changer en tapant un nouveau nom dans le champ Enregistrer sous. Si vous créez l’image sur le serveur qui la transfère, choisissez un volume dans le menu local “Transférer depuis le point de partage NetBoot sur”. Pour enregistrer l’image ailleurs, choisissez un emplacement dans le menu local Emplacement, ou cliquez sur le triangle en regard du champ Enregistrer sous et sélectionnez un dossier. 13 Cliquez sur Enregistrer. Pour examiner la progression, observez le coin inférieur gauche de la fenêtre. Si vous devez insérer un autre CD, vous y serez invité. Pour créer l’image sans inclure le contenu d’un autre CD, cliquez sur Finaliser lorsque vous êtes invité à l’insérer.32 Chapitre 2 Création d’images d’initialisation et d’installation Ajout de logiciels aux images d’initialisation et d’installation Il existe deux approches pour inclure des logiciels complémentaires dans une image : • Ajouter des applications et fichiers à un système existant avant de créer une image utilisant ce système comme source (voir “Création d’une image d’initialisation Mac OS X à partir d’un système existant” à la page 24) • Ajouter à une image existante des paquets contenant les applications et fichiers (voir “Création d’une image d’installation pour application uniquement” à la page 33) À propos des paquets Si vous prévoyez d’ajouter des logiciels ou d’autres fichiers à une image lors de la création (plutôt que d’installer les applications ou fichiers sur le volume source avant de créer l’image), vous devez regrouper les applications ou fichiers dans un fichier spécial appelé paquet. Un paquet est un ensemble de fichiers compressés et d’autres informations qui servent à installer un logiciel sur un ordinateur. Le contenu des paquets se trouve dans un fichier unique, dont l’extension est .pkg. Le tableau qui suit répertorie les composants d’un paquet. Création de paquets Pour ajouter des applications ou autres fichiers à une image (plutôt que de les installer d’abord sur le volume source avant de créer l’image), utilisez PackageMaker pour créer des paquets contenant l’application ou les fichiers. PackageMaker se trouve dans le dossier Utilities du CD-ROM Outils d’administration Mac OS X Server fourni avec Mac OS X Server. Fichier du paquet Description product.pax.gz Fichiers à installer, compressés avec gzip et archivés avec pax. (Voir les pages “man” pour plus d’informations au sujet de gzip et de pax.) product.bom Inventaire : document indiquant l’emplacement où les fichiers doivent être installés. Utilisé dans les processus de vérification et de désinstallation. product.info Contient des informations qui seront affichées au cours de l’installation. product.sizes Fichier de texte, contient le nombre de fichiers du paquet. product.tiff Contient l’icône personnalisée du paquet. product.status Créé au cours de l’installation, ce fichier indiquera soit “installé” soit “compressé”. product.location Indique l’emplacement où sera installé le paquet. software_version (facultatif) Contient la version du paquet qui sera installée.Chapitre 2 Création d’images d’initialisation et d’installation 33 Pour plus d’informations sur la création de paquets, ouvrez PackageMaker et choisissez PackageMaker Help, PackageMaker Release Notes ou Package Format Notes dans le menu Aide. Une fois que vous avez créé les paquets, ajoutez-les à votre image d’initialisation ou d’installation à l’aide d’Utilitaire d’images de réseau. Consultez la section “Création d’une image d’installation pour application uniquement” à la page 33 ou “Ajout de paquets à une image d’initialisation ou d’installation” à la page 33. Ajout de paquets à une image d’initialisation ou d’installation Pour inclure des paquets d’application ou de fichier complémentaires dans une image, ajoutez-les à l’image via Utilitaire d’images de réseau. Vous pouvez ajouter des paquets lors de la création d’une image, ou les ajouter à une image existante. Pour ajouter des paquets à une nouvelle image créée avec Utilitaire d’images de réseau, cliquez sur le bouton Ajouter (+) après avoir sélectionné la source de l’image dans le volet Contenu. Pour ajouter des paquets à une image, ouvrez Utilitaire d’images de réseau, cliquez sur Images, puis sélectionnez l’image dans la liste. Cliquez ensuite sur Modifier, puis sur le bouton Ajouter (+) dans le volet Contenu. Dans les deux cas, vous pouvez faire glisser les icônes des paquets du Finder vers la liste Autres éléments de l’onglet Contenu, plutôt que d’utiliser le bouton Ajouter (+). Remarque : vous ne pouvez pas ajouter de métapaquets à une image à l’aide d’Utilitaire d’images de réseau. À partir de la ligne de commande Vous pouvez également ajouter des paquets à une image d’initialisation ou d’installation en modifiant l’image et le fichier rc.cdrom.packagePath ou minstallconfig.xml associé dans le Terminal. Pour plus d’informations, consultez le chapitre relatif aux images système dans le guide d’administration des lignes de commande. Création d’une image d’installation pour application uniquement Pour créer une image d’installation contenant uniquement des logiciels d’application mais pas de système d’exploitation, désélectionnez l’option Inclure Mac OS X dans le volet Contenu d’Utilitaire d’images de réseau. Remarque : vous ne pouvez pas utiliser Utilitaire d’images de réseau pour créer une image d’installation automatique contenant un métapaquet ou plusieurs paquets standard. Vous devez pour cela utiliser les commandes de Terminal. Pour plus d’informations, consultez le chapitre relatif aux images système dans le guide d’administration des lignes de commande.34 Chapitre 2 Création d’images d’initialisation et d’installation Pour ajouter des paquets à une image créée avec Utilitaire d’images de réseau, cliquez sur le bouton Ajouter (+) après avoir sélectionné la source de l’image dans le volet Contenu. Vous pouvez faire glisser les icônes des paquets du Finder vers la liste Autres éléments de l’onglet Contenu, plutôt que d’utiliser le bouton Ajouter (+). Automatisation de l’installation d’une image Pour installer le logiciel Mac OS (avec les éventuels paquets ajoutés) avec une interaction limitée (voire aucune) de la part de l’utilisateur de l’ordinateur client, utilisez Utilitaire d’images de réseau pour créer une image d’installation automatique. Dans le cas contraire, l’utilisateur de l’ordinateur client doit répondre aux questions du programme d’installation. Pour configurer une image du système d’exploitation pour l’installation automatisée : 1 Ouvrez Utilitaire d’images de réseau et cliquez sur Installation. 2 Indiquez les informations habituelles dans les volets Général et Contenu. 3 Dans le volet Options d’installation, sélectionnez “Activer l’installation automatique”. 4 Cliquez sur le bouton Options. 5 Pour une installation sans intervention, choisissez l’option “Installer sur le volume” en regard de Volume cible et tapez le nom du volume sur l’ordinateur client sur lequel le logiciel sera installé. Pour autoriser l’utilisateur de l’ordinateur client à sélectionner le volume sur lequel effectuer l’installation, choisissez l’option “L’utilisateur sélectionne”. 6 Pour installer le logiciel sur un disque vide, activez l’option “Effacer le volume cible avant l’installation”. 7 Pour procéder à l’installation sans confirmation de l’utilisateur de l’ordinateur client, désactivez l’option “Exiger que l’utilisateur client réponde à un message de confirmation”. 8 Si le logiciel installé nécessite un redémarrage, activez l’option “Redémarrer l’ordinateur client après l’installation”. Si le nom indiqué pour le volume d’installation ne correspond pas à celui d’un volume sur l’ordinateur client, l’utilisateur de l’ordinateur client doit répondre lorsque le programme d’installation l’invite à spécifier un autre volume cible. À partir de la ligne de commande Vous pouvez également configurer une image pour l’installation automatisée en modifiant le fichier minstallconfig.associé dans le Terminal. Pour plus d’informations, consultez le chapitre relatif aux images système dans le guide d’administration des lignes de commande.Chapitre 2 Création d’images d’initialisation et d’installation 35 Affichage du contenu d’un paquet Pour afficher le contenu d’un paquet, maintenez enfoncée la touche Contrôle lorsque vous cliquez sur le paquet dans une fenêtre du Finder et sélectionnez Show Package Contents dans le menu qui apparaît. Utilisez PackageMaker (dans le dossier Utilities du CD-ROM Outils d’administration Mac OS X Server) pour créer des paquets de logiciels d’application à utiliser avec l’installation réseau. À partir de la ligne de commande Vous pouvez également répertorier le contenu d’un paquet à l’aide des commandes de Terminal. Pour plus d’informations, consultez le chapitre relatif aux images système dans le guide d’administration des lignes de commande. Installation de mises à jour Mac OS Pour utiliser l’installation réseau pour installer les mises à jour du système d’exploitation sur les ordinateurs client, ajoutez le paquet de mise à jour du système à une image d’installation, de la même façon que vous ajoutez n’importe quel autre paquet. Consultez la section “Création d’une image d’installation pour application uniquement” à la page 33. Vous pouvez télécharger les mises à jour de Mac OS sur le site www.apple.com/support3 37 3 Configuration du service NetBoot Ce chapitre explique comment configurer le service NetBoot afin de mettre les images d’initialisation et d’installation à la disposition des clients. Configuration de NetBoot Suivez les instructions des sections suivantes pour configurer votre serveur NetBoot. Configuration du service NetBoot Vous pouvez utiliser Admin Serveur pour configurer le service NetBoot de Mac OS X Server. Pour configurer NetBoot : 1 Ouvrez Admin Serveur et sélectionnez NetBoot dans la liste Ordinateurs et services. 2 Cliquez sur le bouton Réglages, puis sur Général. 3 Cliquez sur Activer en regard des ports réseau que vous souhaitez utiliser pour distribuer les images. 4 Cliquez dans la colonne Images de la liste Volume afin de choisir l’emplacement pour le stockage des images. 5 Cliquez dans la colonne Données client de la liste Volume pour chaque volume de disque local sur lequel vous souhaitez stocker les fichiers masqués utilisés par les clients Mac OS 9 et les clients sans disque Mac OS X. 6 Cliquez sur Enregistrer, puis sur Images. 7 Cliquez dans la colonne Par défaut de la liste Image afin de sélectionner l’image par défaut. 8 Activez les images qui doivent être utilisées par vos clients, indiquez si elles sont disponibles pour les clients sans disque, puis choisissez le protocole permettant de les distribuer. Si vous n’êtes pas certain du protocole à utiliser, optez pour NFS. 9 Cliquez sur Enregistrer.38 Chapitre 3 Configuration du service NetBoot 10 (Facultatif) Cliquez sur l’onglet Filtres afin de limiter les clients à un groupe connu. Pour plus de détails, consultez la section “Limitation des clients NetBoot par filtrage des adresses” à la page 42. À partir de la ligne de commande Vous pouvez également configurer le service NetBoot à l’aide de la commande serveradmin dans le Terminal. Consultez le chapitre relatif aux images système dans le guide d’administration des lignes de commande. Démarrage de NetBoot et des services associés Le service NetBoot utilise les services AFP, NFS, DHCP, Web et TFTP, en fonction des types de client que vous tentez d’initialiser (voir “Configuration requise pour les services réseau” à la page 17). Vous pouvez utiliser Admin Serveur pour démarrer AFP, DHCP, Web et NetBoot. NFS et TFTP démarrent automatiquement. Remarque : NetBoot ne démarre pas automatiquement après le redémarrage du serveur lorsque vous activez le service NetBoot dans l’Assistant réglages lors de la première installation du logiciel serveur. Seuls les points de partage requis sont configurés. Pour démarrer le service NetBoot : 1 Ouvrez Admin Serveur. 2 Si vous prévoyez d’initialiser des clients Mac OS 9 ou des clients Mac OS X sans disque, démarrez le service AFP. Sélectionnez AFP dans la liste Ordinateurs et services et cliquez sur Démarrer le service. 3 Si votre serveur fournit le service DHCP, assurez-vous que ce service est configuré et en cours d’exécution. À défaut, le service DHCP doit être fourni par un autre serveur du réseau. Si votre serveur NetBoot fournit également un service DHCP, vous obtiendrez de meilleures performances si vous configurez votre serveur en tant que passerelle. Autrement dit, configurez vos sous-réseaux pour utiliser l’adresse IP du serveur en tant qu’adresse IP du routeur. 4 Assurez-vous que NetBoot est activé sur un port réseau. Ouvrez Admin Serveur, sélectionnez NetBoot dans la liste Ordinateurs et services, puis cliquez sur Réglages. 5 Démarrez le service NetBoot. Sélectionnez NetBoot dans la liste Ordinateurs et services et cliquez sur Démarrer le service. À partir de la ligne de commande Vous pouvez également démarrer NetBoot et les services associés à l’aide de commandes dans Terminal. Pour plus d’informations, consultez le chapitre relatif aux images système dans le guide d’administration des lignes de commande.Chapitre 3 Configuration du service NetBoot 39 Activation d’images Vous devez activer une ou plusieurs images sur le serveur, afin qu’elles soient disponibles pour les ordinateurs client démarrant via NetBoot. Pour activer les images disque : 1 Ouvrez Admin Serveur et sélectionnez NetBoot dans la liste Ordinateurs et services. 2 Cliquez sur Réglages, puis sur Images. 3 Cliquez dans la colonne Activer pour chaque image qui doit être vue par les clients. 4 Cliquez sur Enregistrer. Choix de l’emplacement de stockage des images Vous pouvez utiliser Admin Serveur pour choisir les volumes sur le serveur que vous souhaitez utiliser pour le stockage des images d’initialisation et d’installation. Pour choisir des volumes pour le stockage des fichiers image : 1 Ouvrez Admin Serveur et sélectionnez NetBoot dans la liste Ordinateurs et services. 2 Cliquez sur Réglages, puis sur Général. 3 Dans la liste des volumes, située dans la partie inférieure de la fenêtre, cliquez sur la case à cocher dans la colonne Images de chaque volume que vous souhaitez utiliser pour stocker les fichiers image. 4 Cliquez sur Enregistrer. À partir de la ligne de commande Vous pouvez également spécifier qu’un volume doit être utilisé pour stocker des fichiers image via la commande serveradmin dans le Terminal. Pour plus d’informations, consultez le chapitre relatif aux images système dans le guide d’administration des lignes de commande. Choix de l’emplacement de stockage des fichiers masqués Lorsqu’un client sans disque démarre, des fichiers masqués temporaires sont stockés sur le serveur. Vous pouvez utiliser Admin Serveur pour spécifier les volumes du serveur utilisés pour le stockage des fichiers temporaires. Pour utiliser un volume pour le stockage des fichiers masqués : 1 Ouvrez Admin Serveur et sélectionnez NetBoot dans la liste Ordinateurs et services. 2 Cliquez sur Réglages, puis sur Général. Avertissement : ne renommez pas un point de partage NetBoot ou le volume sur lequel il réside. N’utilisez pas le Gestionnaire de groupe de travail pour cesser le partage pour un point de partage NetBoot sauf si vous désélectionnez d’abord le point de partage pour les images et les fichiers masqués dans Admin Serveur.40 Chapitre 3 Configuration du service NetBoot 3 Dans la liste des volumes, située dans la partie inférieure de la fenêtre, cliquez sur la case à cocher dans la colonne Données client des volumes que vous souhaitez utiliser pour stocker les fichiers masqués. 4 Cliquez sur Enregistrer. À partir de la ligne de commande Vous pouvez également spécifier qu’un volume doit être utilisé pour stocker des fichiers masqués via la commande serveradmin dans le Terminal. Pour plus d’informations, consultez le chapitre relatif aux images système dans le guide d’administration des lignes de commande. Utilisation d’images stockées sur d’autres serveurs NFS Vous pouvez stocker des images d’initialisation ou d’installation sur des serveurs NFS autres que le serveur NetBoot proprement dit. Pour stocker une image sur un serveur NFS distinct : 1 Si vous ne l’avez pas encore fait, créez l’image sur le serveur NetBoot. Un dossier image (.nbi) est ainsi créé pour l’image dans le répertoire /Library/NetBoot/NetBootSPn du serveur NetBoot. 2 Copiez le fichier image (.dmg) du dossier .nbi du serveur NetBoot dans un répertoire partagé (exporté) sur l’autre serveur. Conservez le dossier .nbi et les autres fichiers qu’il contient sur le serveur NetBoot. 3 Ouvrez le fichier NBImageInfo.plist correspondant à l’image dans un éditeur de texte ou dans Property List Editor et définissez la valeur de la propriété RootPath afin qu’elle pointe vers le nouvel emplacement de l’image, à l’aide de la syntaxe suivante : hôte:chemin:image où hôte est le nom ou l’adresse IP du serveur NFS, chemin est l’emplacement de l’image sur le serveur et image est le nom du fichier image (.dmg). Si le point de montage spécifié par chemin permet l’initialisation, vous n’avez pas besoin de spécifier image. Par exemple : • serveur3:/Images/OSX/Jaguar:Jag_10_2.dmg pointe vers le fichier image Jag_10_2.dmg dans /Images/OSX/Jaguar sur l’hôte serveur3 • 172.16.12.20:/Images/OS_X/Jaguar spécifie un point de montage permettant l’initialisation, sur un serveur identifié par son adresse IP. Avertissement : ne renommez pas un point de partage NetBoot ou le volume sur lequel il réside. N’utilisez pas le Gestionnaire de groupe de travail pour cesser le partage pour un point de partage NetBoot sauf si vous désélectionnez d’abord le point de partage pour les images et les fichiers masqués dans Admin Serveur.Chapitre 3 Configuration du service NetBoot 41 Si l’image est présente sur le serveur distant, vous pouvez créer le dossier .nbi sur le serveur NetBoot en dupliquant un dossier .nbi existant et en modifiant les valeurs du fichier NBImageInfo.plist correspondant. Déplacement d’images vers des serveurs “headless” Utilisez la fonctionnalité Export d’Utilitaire d’images de réseau pour déplacer des images vers un autre serveur, notamment des serveurs sans affichage ou sans clavier. Pour copier une image sur un autre serveur : 1 Ouvrez Utilitaire d’images de réseau et cliquez sur Images. 2 Sélectionnez l’image dans la liste et cliquez sur Exporter, puis indiquez les informations cible. Important : pour éviter les problèmes relatifs aux autorisations des fichiers, n’utilisez ni Terminal, ni le Finder pour copier des images d’initialisation ou d’installation via le réseau sur d’autres serveurs. Spécification de l’image par défaut L’image par défaut est celle utilisée lorsque vous démarrez un ordinateur client en maintenant enfoncée la touche N. Consultez la section “Démarrage à l’aide de la touche N” à la page 48. Si vous avez créé plusieurs images disque de démarrage, vous pouvez utiliser les réglages du service NetBoot dans Admin Serveur pour sélectionner l’image de démarrage par défaut. Important : si vous possédez des clients sans disque, configurez leur image d’initialisation comme celle par défaut. Si vous disposez de plusieurs serveurs NetBoot sur le réseau, un client utilise l’image par défaut sur le premier serveur qui répond. Il n’existe aucun moyen de contrôler l’image par défaut utilisée lorsque plusieurs images sont disponibles. Pour spécifier l’image d’initialisation par défaut : 1 Ouvrez Admin Serveur et sélectionnez NetBoot dans la liste Ordinateurs et services. 2 Cliquez sur Réglages, puis sur Images. 3 Cliquez sur le bouton dans la colonne Par défaut en regard de l’image. 4 Cliquez sur Enregistrer. À partir de la ligne de commande Vous pouvez également spécifier l’image par défaut à l’aide de la commande serveradmin dans le Terminal. Pour plus d’informations, consultez le chapitre relatif aux images système dans le guide d’administration des lignes de commande.42 Chapitre 3 Configuration du service NetBoot Configuration d’une image pour l’initialisation sans disque Vous pouvez utiliser Admin Serveur pour mettre une image à la disposition des ordinateurs client qui ne sont pas équipés de disques durs locaux. La configuration d’une image pour l’initialisation sans disque ordonne au serveur NetBoot d’allouer de l’espace pour les fichiers masqués du client. Pour rendre une image disponible pour l’initialisation sans disque : 1 Ouvrez Admin Serveur et sélectionnez NetBoot dans la liste Ordinateurs et services. 2 Cliquez sur Réglages, puis sur Images. 3 Cliquez sur la case dans la colonne Sans disque en regard de l’image dans la liste. 4 Cliquez sur Enregistrer. Important : si vous possédez des clients sans disque, configurez leur image d’initialisation comme celle par défaut. Pour obtenir de l’aide pour indiquer l’emplacement de stockage des fichiers masqués du client, consultez la section “Choix de l’emplacement de stockage des fichiers masqués” à la page 39. À partir de la ligne de commande Vous pouvez également configurer une image pour une initialisation sans disque à l’aide de la commande serveradmin dans le Terminal. Pour plus d’informations, consultez le chapitre relatif aux images système dans le guide d’administration des lignes de commande. Limitation des clients NetBoot par filtrage des adresses La fonctionnalité de filtrage du service NetBoot permet de limiter l’accès au service NetBoot en fonction de l’adresse matérielle Ethernet (adresse MAC) de l’ordinateur client. L’adresse du client est ajoutée automatiquement à la liste de filtrage lors du premier démarrage à partir d’une image sur le serveur et l’accès est autorisé par défaut, de sorte qu’il n’est généralement pas nécessaire de saisir manuellement les adresses matérielles. Pour limiter l’accès des clients au service NetBoot : 1 Ouvrez Admin Serveur et sélectionnez NetBoot dans la liste Ordinateurs et services. 2 Cliquez sur Réglages, puis sur Filtres. 3 Sélectionnez “N’autoriser que les clients ci-dessous” ou “Ne refuser que les clients ci-dessous”. 4 Sélectionnez “Activer le filtrage NetBoot”. 5 Utilisez les boutons Ajouter (+) et Supprimer (-) pour configurer la liste des adresses client.Chapitre 3 Configuration du service NetBoot 43 Pour rechercher une adresse MAC, tapez le nom DNS du client dans le champ Nom de l’hôte et cliquez sur le bouton Rechercher. Pour rechercher l’adresse matérielle d’un ordinateur utilisant Mac OS X, examinez le volet TCP/IP des préférences Réseau de l’ordinateur ou exécutez Informations système Apple. Sur un ordinateur Mac OS 9, ouvrez le tableau de bord TCP/IP, puis choisissez Fichier > Lire les informations. Modification des options avancées de NetBoot Vous pouvez contrôler les autres options NetBoot en exécutant le programme bootpd directement et en modifiant les paramètres de configuration dans NetInfo. Pour plus d’informations, consultez la page “man” relative à bootpd. Pour afficher la page “man” relative à bootpd : 1 Ouvrez Terminal. 2 Tapez man bootpd.4 45 4 Configuration des clients Ce chapitre explique comment configurer le démarrage des ordinateurs client ou l’installation de logiciels à partir d’images sur un serveur. Gestion des ordinateurs client Consultez la section “Configuration requise pour les ordinateurs client” à la page 15 pour obtenir une liste de tous les ordinateurs Macintosh pris en charge et connaître la configuration système requise pour les clients utilisant NetBoot. Mise à jour du tableau de bord Démarrage Vous devez remplacer le tableau de bord Démarrage des ordinateurs client exécutant Mac OS 9 afin qu’il puisse afficher les images disque NetBoot disponibles. La version 9.2.6 du tableau de bord Démarrage se trouve sur le CD-ROM NetBoot pour Mac OS 9 (disponible séparément). m Faites glisser cette nouvelle version dans le Dossier Système de chaque ordinateur client Mac OS 9 fonctionnant localement. Configuration de clients sans disque NetBoot permet de configurer des ordinateurs client sur lesquels aucun système d’exploitation n’est installé localement, voire même sur des ordinateurs non équipés de disque dur. Ces clients “sans système” ou “sans disque” peuvent démarrer à partir d’un serveur NetBoot en recourant à la touche N (consultez “Démarrage à l’aide de la touche N” à la page 48). Après le démarrage de l’ordinateur client, utilisez le tableau de bord Démarrage (sous Mac OS 9) ou le volet des préférences (sous Mac OS X) pour sélectionner l’image disque NetBoot comme disque de démarrage par défaut de ce client. Ainsi, plus besoin d’appuyer sur la touche N pour démarrer le client à partir du serveur.46 Chapitre 4 Configuration des clients La suppression du système d’exploitation sur les ordinateurs clients vous offre un contrôle plus étendu sur l’environnement des utilisateurs. Si vous forcez le démarrage du client à partir du serveur et utilisez la gestion des clients pour refuser l’accès au disque dur local de l’ordinateur client, vous empêchez ainsi les utilisateurs d’enregistrer des fichiers sur leur disque dur local. Sélection d’une image d’initialisation NetBoot (Mac OS X) Si votre ordinateur fonctionne sous Mac OS X, version 10.2 ou ultérieure, ouvrez le volet des Préférences Système Démarrage pour sélectionner une image d’initialisation NetBoot. Pour sélectionner une image de démarrage NetBoot sous Mac OS X : 1 Dans les Préférences Système, sélectionnez le volet Démarrage. 2 Sélectionnez l’image disque réseau à utiliser pour démarrer l’ordinateur. 3 Cliquez sur Redémarrer. L’icône NetBoot apparaît, puis l’ordinateur démarre à partir de l’image sélectionnée. Sélection d’une image d’initialisation NetBoot (Mac OS 9) Si votre ordinateur fonctionne sous Mac OS 9, ouvrez le tableau de bord Démarrage pour sélectionner une image d’initialisation NetBoot. Remarque : vous devez mettre à jour le tableau de bord Démarrage sur les ordinateurs client qui exécutent Mac OS 9 à partir de leur disque dur local, afin qu’il affiche les images disque NetBoot disponibles. Consultez la section “Mise à jour du tableau de bord Démarrage” à la page 45. Pour sélectionner une image de démarrage NetBoot sous Mac OS 9 : 1 Ouvrez le tableau de bord Démarrage. 2 Sélectionnez l’image disque réseau à utiliser pour démarrer l’ordinateur. 3 Cliquez sur Redémarrer dans la boîte de dialogue d’avertissement. L’icône NetBoot apparaît, puis l’ordinateur démarre à partir de l’image disque NetBoot sélectionnée.Chapitre 4 Configuration des clients 47 Sélection d’une image d’installation NetBoot (Mac OS X) Si votre ordinateur fonctionne sous Mac OS X, version 10.2 ou ultérieure, ouvrez le volet des Préférences Système Démarrage pour sélectionner une image d’initialisation réseau. Pour sélectionner une image d’installation à partir de Mac OS X : 1 Dans les Préférences Système, sélectionnez le volet Démarrage. 2 Sélectionnez l’image disque réseau à utiliser pour démarrer l’ordinateur. 3 Cliquez sur Redémarrer. L’icône NetBoot apparaît, l’ordinateur démarre à partir de l’image sélectionnée, puis le programme d’installation s’exécute. Sélection d’une image d’installation NetBoot (Mac OS 9) Si votre ordinateur fonctionne sous Mac OS 9, ouvrez le tableau de bord Démarrage pour sélectionner une image d’installation réseau. Remarque : vous devez mettre à jour le tableau de bord Démarrage sur les ordinateurs client qui exécutent Mac OS 9 à partir de leur disque dur local, afin qu’il affiche les images disque NetBoot disponibles. Consultez la section “Mise à jour du tableau de bord Démarrage” à la page 45. Pour sélectionner une image d’installation à partir de Mac OS 9 : 1 Ouvrez le tableau de bord Démarrage. 2 Sélectionnez l’image d’installation à utiliser pour démarrer l’ordinateur. 3 Cliquez sur Redémarrer dans la boîte de dialogue d’avertissement. L’icône NetBoot apparaît, l’ordinateur démarre à partir de l’image disque NetBoot sélectionnée, puis le programme d’installation s’exécute.48 Chapitre 4 Configuration des clients Démarrage à l’aide de la touche N Recourez à cette méthode pour démarrer tout ordinateur client pris en charge à partir d’une image disque NetBoot. Lorsque vous appuyez sur la touche N, l’ordinateur client démarre à partir de l’image disque NetBoot par défaut. Si le réseau comporte plusieurs serveurs, le client démarre à partir de l’image par défaut du premier serveur qui lui répond. Si vous disposez d’un ordinateur client plus ancien qui nécessite BootP pour l’adressage IP (un iMac à chargement par tiroir, un PowerMac G3 bleu et blanc ou un ordinateur plus ancien), vous devez utiliser cette méthode pour démarrer à partir d’une image disque NetBoot. En effet, les modèles plus anciens ne permettent pas la sélection d’une image disque de démarrage NetBoot dans le tableau de bord Démarrage ou le volet des préférences. La touche N permet également de démarrer les ordinateurs client sur lesquels aucun logiciel système n’est installé. Consultez la section “Configuration de clients sans disque” à la page 45. Pour démarrer à partir d’une image disque NetBoot à l’aide de la touche N : 1 Mettez sous tension (ou redémarrez) l’ordinateur client tout en appuyant sur la touche N. Maintenez la touche N enfoncée jusqu’à ce que l’icône NetBoot apparaisse au centre de l’écran (Mac OS X) ou jusqu’à ce qu’une flèche apparaisse dans le coin supérieur gauche de l’écran (Mac OS 9). 2 Si une fenêtre de connexion apparaît, tapez vos nom et mot de passe. L’icône de l’image disque réseau ressemble à celle des volumes du serveur.5 49 5 Gestion du service NetBoot Ce chapitre explique les tâches quotidiennes à effectuer pour vous assurer du fonctionnement normal du service NetBoot. Il comprend également des informations sur l’équilibrage de la charge sur plusieurs volumes, ou sur un ou plusieurs serveurs. Contrôle et surveillance de NetBoot Les sections suivantes illustrent l’arrêt du service NetBoot, la désactivation des images individuelles et la surveillance ou la limitation des clients. Désactivation du service NetBoot La meilleure méthode pour empêcher les clients d’utiliser NetBoot sur le serveur consiste à désactiver le service NetBoot sur tous les ports Ethernet. Pour désactiver NetBoot : 1 Ouvrez Admin Serveur et sélectionnez NetBoot dans la liste Ordinateurs et services. 2 Cliquez sur Arrêter le service. Pour arrêter le service sur un port Ethernet spécifique, cliquez sur Réglages, Général, puis désélectionnez la case Activer correspondant au port. Pour cesser de servir une image particulière, cliquez sur Réglages, Images, puis désélectionnez la case Activer correspondant à l’image. Pour arrêter le service sur un client particulier, cliquez sur Réglages, Filtres, sélectionnez Activer le filtrage NetBoot, choisissez “Ne refuser que les clients ci-dessous” et ajoutez l’adresse matérielle du client à la liste. À partir de la ligne de commande Vous pouvez également arrêter le service NetBoot ou désactiver les images à l’aide de la commande serveradmin dans le Terminal. Pour plus d’informations, consultez le chapitre relatif aux images système dans le guide d’administration des lignes de commande.50 Chapitre 5 Gestion du service NetBoot Désactivation d’images d’initialisation ou d’installation individuelles La désactivation d’une image empêche les ordinateurs client de démarrer à partir de l’image. Pour désactiver une image disque NetBoot : 1 Ouvrez Admin Serveur et sélectionnez NetBoot dans la liste Ordinateurs et services. 2 Cliquez sur Réglages, puis sur Images. 3 Désélectionnez la case à cocher dans la colonne Activer correspondant à l’image. 4 Cliquez sur Enregistrer. À partir de la ligne de commande Vous pouvez également désactiver des images à l’aide de la commande serveradmin dans le Terminal. Pour plus d’informations, consultez le chapitre relatif aux images système dans le guide d’administration des lignes de commande. Affichage d’une liste de clients NetBoot Vous pouvez utiliser Admin Serveur pour afficher une liste de clients ayant démarré à partir du serveur. Remarque : il s’agit d’une liste cumulative (c’est-à-dire la liste de tous les clients qui se sont connectés), et pas uniquement la liste des clients actuellement connectés. L’heure de la dernière initialisation est affichée pour chaque client. Pour afficher la liste des clients : 1 Ouvrez Admin Serveur et sélectionnez NetBoot dans la liste Ordinateurs et services. 2 Cliquez sur Clients. Vérification de l’état du service NetBoot et des services associés Vous pouvez utiliser Admin Serveur pour examiner l’état du service NetBoot et des autres services (tels que NFS et TFTP) qu’il utilise. Pour examiner l’état du service NetBoot : 1 Ouvrez Admin Serveur et sélectionnez NetBoot dans la liste Ordinateurs et services. 2 Pour consulter une synthèse de l’état du service, cliquez sur Vue d’ensemble. Pour afficher le fichier d’historique, cliquez sur Historiques. À partir de la ligne de commande Vous pouvez vérifier l’état de NetBoot et des services associés à l’aide de commandes dans Terminal. Consultez le chapitre relatif aux images système dans le guide d’administration des lignes de commande.Chapitre 5 Gestion du service NetBoot 51 Affichage de l’historique du service NetBoot Vous pouvez utiliser Admin Serveur pour afficher un historique contenant des informations de diagnostic. Pour afficher l’historique du service NetBoot : 1 Ouvrez Admin Serveur et sélectionnez NetBoot dans la liste Ordinateurs et services. 2 Cliquez sur Historiques. À partir de la ligne de commande Vous pouvez consulter l’historique en affichant le contenu du fichier d’historique dans Terminal. Pour plus d’informations, consultez le chapitre relatif aux images système dans le guide d’administration des lignes de commande. Performances et équilibrage de la charge Pour optimiser les performances au démarrage, il est essentiel que le serveur NetBoot soit disponible pour l’ordinateur client qui l’utilise. Pour offrir un service NetBoot efficace et fiable, vous pouvez configurer plusieurs serveurs NetBoot redondants sur votre infrastructure réseau. De nombreux sites utilisant NetBoot obtiennent des temps de réponse très acceptables en décalant les heures de démarrage des ordinateurs client, afin de réduire la charge sur le réseau. En règle générale, il n’est pas nécessaire de démarrer tous les ordinateurs client exactement à la même heure ; en fait, ils sont démarrés tôt le matin et restent allumés toute la journée. Vous pouvez programmer des heures de démarrage échelonnées à l’aide du volet des préférences (Mac OS X version 10.3 ou ultérieure) ou du tableau de bord (Mac OS 9) Économiseur d’énergie. Images d’initialisation Si une utilisation intensive et des démarrages simultanés surchargent un serveur NetBoot et provoquent des délais d’attente, envisagez d’ajouter des serveurs NetBoot afin de répartir les demandes des ordinateurs client sur plusieurs serveurs (équilibrage de la charge). Si vous optez pour l’intégration de nouveaux serveurs NetBoot, il est important d’avoir recours à des commutateurs dans votre infrastructure réseau, car les concentrateurs étant par nature partagés, ils créent un seul réseau partagé et risque d’augmenter le délai d’attente dans le cas de trafic important. Répartition des images d’initialisation sur plusieurs serveurs Si vous configurez plusieurs serveurs NetBoot sur votre réseau, vous pouvez placer des copies d’une image d’initialisation particulière sur plusieurs serveurs afin de répartir la charge. En affectant aux copies le même ID d’image dans la plage 4096 à 65 535, vous pouvez les présenter à vos clients comme une image unique afin d’éviter toute confusion.52 Chapitre 5 Gestion du service NetBoot Pour répartir une image sur plusieurs serveurs : 1 Ouvrez Utilitaire d’images de réseau sur le serveur sur lequel l’image d’origine est stockée. 2 Cliquez sur Images (en haut de la fenêtre) et sélectionnez l’image dans la liste. 3 Si l’index de l’image est 4095 ou moins, cliquez sur Modifier et affectez à l’image un index dans la plage 4096 à 65 535. 4 Utilisez le bouton Exporter pour placer des copies de l’image sur les autres serveurs. 5 Sur chacun des autres serveurs, utilisez Admin Serveur pour activer l’image. Les clients continuent de voir l’image répertoriée une seule fois dans leurs préférences Démarrage, mais le serveur qui fournit sa copie de l’image est automatiquement sélectionné en fonction du niveau d’activité des serveurs individuels. Des améliorations de moindre importance peuvent être obtenues par répartition des images d’initialisation sur plusieurs disques d’un même serveur. Répartition des images d’initialisation sur les disques d’un serveur Même avec un serveur NetBoot unique, vous pouvez améliorer les performances en répartissant les copies d’une image sur différents disques du serveur. En affectant aux copies le même ID d’image dans la plage 4096 à 65 535, vous pouvez les présenter à vos clients en tant qu’image unique. Remarque : ne répartissez pas les images sur différentes partitions du même disque physique. Cela n’améliore pas les performances et peut même les dégrader. Pour répartir une image sur plusieurs disques : 1 Ouvrez Admin Serveur et sélectionnez NetBoot dans la liste Ordinateurs et services. 2 Cliquez sur Réglages, puis sur Général. 3 Cliquez dans la colonne Images pour chaque volume que vous souhaitez utiliser pour le stockage des images. Choisissez des volumes sur différents disques physiques. 4 Cliquez sur Enregistrer, puis sur Images. 5 Si l’ID de l’image dans la colonne Index est inférieur ou égal à 4095, double-cliquez sur l’ID, tapez un index dans la plage 4096 à 65 535, puis enregistrez la modification. 6 Ouvrez Terminal, basculez vers l’utilisateur root et utilisez la commande cp pour copier l’image sur les points de partage NetBootSPn sur les autres volumes. Par exemple : sudo root cp -R /Library/NetBoot/NetBootSP0/image.nbi /Volumes/Drive2/Library/ NetBoot/NetBootSP1/image.nbiChapitre 5 Gestion du service NetBoot 53 Équilibrage de l’accès à l’image d’initialisation Si vous ajoutez un deuxième serveur NetBoot à un réseau, demandez aux clients de resélectionner leur image d’initialisation dans le tableau de bord ou le volet de préférences Démarrage. La charge NetBoot est ainsi répartie sur les serveurs. Vous pouvez également forcer la redistribution de la charge en supprimant le fichier /var/db/bsdpd_clients du serveur NetBoot existant. De même, si vous rétablissez le fonctionnement du réseau suite à une panne de serveur ou à une défaillance de l’infrastructure, vos clients ont donc pendant quelque temps démarré à partir d’un nombre réduit de serveurs NetBoot. Vous devez supprimer le fichier bsdpd_clients des serveurs en cours d’utilisation, afin que les clients puissent à nouveau se répartir sur la totalité des serveurs. Le fichier bsdpd_clients situé sur un quelconque serveur contient les adresses MAC (Media Access Control) Ethernet des ordinateurs ayant sélectionné ce serveur comme serveur NetBoot. Tant qu’un client dispose d’une entrée dans le fichier bsdpd_clients d’un serveur disponible, il démarre toujours à partir de ce serveur. Si ce serveur devient indisponible pour ce client, il le localise, puis l’associe à un autre serveur disponible jusqu’à ce que vous retiriez son entrée (ou le fichier entier) de ce serveur. Si un client est enregistré sur plus d’un serveur du fait qu’un serveur momentanément indisponible revienne en ligne, ce client démarre à partir du serveur associé au nombre de clients le moins élevé. Distribution de fichiers masqués Les clients qui démarrent à partir d’images Mac OS 9 et ceux qui démarrent à partir d’images Mac OS X sans disque stockent les fichiers “masqués” temporaires sur le serveur. La façon dont le serveur répartit ces fichiers masqués varie selon que le client est initialisé à partir d’une image Mac OS X sans disque ou d’une image Mac OS 9. Initialisation Mac OS X sans disque Par défaut, NetBoot pour les clients Mac OS X crée un point de partage pour les fichiers masqués client sur le volume d’initialisation du serveur. Vous pouvez changer ce comportement ; consultez la section “Modification du mode d’allocation des fichiers masqués par les clients NetBoot de Mac OS X” à la page 26. Vous pouvez utiliser Admin Serveur pour consulter ce point de partage et pour en ajouter d’autres. Les points de partage sont nommés NetBootClientsn où n est le numéro du point de partage et sont numérotés à partir de zéro.54 Chapitre 5 Gestion du service NetBoot Supposons que le serveur possède deux volumes de disque, le répertoire par défaut des fichiers masqués est NetBootClients0 sur le volume d’initialisation. Si vous utilisez Admin Serveur pour spécifier que des données client doivent également être stockées sur le deuxième volume, le répertoire est nommé NetBootClients1. NetBoot stocke les fichiers masqués du premier client sur NetBootClients0, ceux du deuxième client sur NetBootClients1, ceux du troisième sur NetBootSP0, etc. De même, avec trois volumes sélectionnés et huit clients : le premier, le quatrième et le septième clients utilisent le premier volume ; le deuxième, le cinquième et le huitième clients utilisent le deuxième volume ; le troisième et le sixième clients utilisent le troisième volume. L’équilibrage de la charge est donc automatique et garantit, en général, des performances optimales. Pour empêcher le placement des fichiers masqués sur un volume particulier, utilisez l’onglet Général dans les réglages du service NetBoot dans Admin Serveur. Initialisation Mac OS 9 Par défaut, NetBoot pour Mac OS 9 crée des points de partage pour les fichiers masqués client sur le volume d’initialisation du serveur. Par exemple, si votre serveur comporte deux volumes installés, il présente deux points de partage (NetBootSP0 et NetBootSP1) et NetBoot sauvegarde la copie d’image du premier client sur NetBootSP0, la copie d’image du second client sur NetBootSP1, la copie d’image du troisième client sur NetBootSP0, et ainsi de suite. Supposons que vous partitionnez un disque de 60 Go en deux partitions : 10 Go pour le démarrage et 50 Go pour les données. Ainsi, seul le système d’exploitation et les quelques fichiers de configuration associés sont placés sur la partition de démarrage et toutes les données des utilisateurs (telles que les images masquées des clients) sur la partition de données. Après l’installation du logiciel NetBoot For 9, il existe un volume NetBootClients0 sur la partition d’initialisation et un volume NetBootClients1 sur la partition de données. Pour empêcher le placement des fichiers masqués Mac OS 9 sur un volume ou une partition spécifique, supprimez le fichier masqué /Library/NetBoot/.clients du volume, puis arrêtez et redémarrez le service NetBoot. Optimisation NetBoot avancée Vous pouvez ajuster un large éventail d’options NetBoot en exécutant le programme bootpd directement et en modifiant les paramètres de configuration dans des répertoires NetInfo spécifiques. Pour plus d’informations, consultez la page “man” relative à bootpd. Pour afficher la page “man” correspondante du manuel, ouvrez Terminal et tapez man bootpd.6 55 6 Résolution de problèmes Ce chapitre propose des solutions aux problèmes courants que vous pouvez rencontrer lors de l’utilisation de NetBoot et de l’installation en réseau. Conseils généraux • Assurez-vous qu’un service DHCP est disponible sur votre réseau. Il peut être fourni par le service DHCP de Mac OS X Server ou par un autre serveur. • Assurez-vous que les services requis sont démarrés sur le serveur. Consultez la section “Configuration requise pour les services réseau” à la page 17. Ouvrez Admin Serveur et vérifiez les points suivants : • AFP est démarré lorsque vous initialisez des clients Mac OS 9 ou des clients Mac OS X sans disque. • Le service Web est démarré lorsque vous utilisez HTTP plutôt que NFS pour distribuer des images. Un ordinateur client NetBoot ne démarre pas • Il arrive qu’un ordinateur ne démarre pas immédiatement parce que le réseau est très sollicité par d’autres ordinateurs. Patientez quelques minutes avant d’essayer à nouveau. • Assurez-vous que tous les câbles sont correctement connectés et que le serveur comme l’ordinateur sont alimentés. • Si vous avez installé de la mémoire ou une carte d’extension sur l’ordinateur client, assurez-vous qu’elle est correctement installée. • Si le serveur possède plusieurs cartes Ethernet ou que vous utilisez plusieurs ports d’une carte Ethernet multiports, vérifiez que les ordinateurs qui utilisent la même carte ou le même port peuvent démarrer. Dans le cas contraire, assurez-vous que le port Ethernet configuré sur le serveur est le même que celui auquel l’ordinateur client est connecté. Les ports Ethernet 1 et 4 des cartes multiports peuvent être confondus facilement. Les ports des cartes pré-installées sur les serveurs Macintosh sont numérotés 4, 3, 2, 1 (de gauche à droite) ; ces indications figurent au dos de l’ordinateur. 56 Chapitre 6 Résolution de problèmes • Si l’ordinateur concerné possède un disque dur local doté d’un Dossier Système, débranchez le câble Ethernet et essayez de démarrer l’ordinateur à partir du disque dur local. Rebranchez ensuite le câble Ethernet et essayez de démarrer l’ordinateur à partir du réseau. • Initialisez l’ordinateur client à partir d’un disque local et vérifiez qu’il obtient une adresse IP auprès du serveur DHCP. • Sur un client sans disque ou sans système d’exploitation, démarrez à partir d’un CD-ROM système et utilisez les préférences Démarrage pour sélectionner une image d’initialisation. Vous utilisez Gestionnaire Macintosh et un utilisateur ne parvient pas à se connecter à un client NetBoot • Vérifiez que l’utilisateur peut se connecter aux autres ordinateurs. S’il y arrive, l’ordinateur auquel l’utilisateur ne peut se connecter est peut être relié à un serveur Gestionnaire Macintosh qui ne dispose d’aucun compte pour cet utilisateur. S’il existe plusieurs serveurs Gestionnaire Macintosh, assurez-vous que l’utilisateur a sélectionné celui qui correspond à son compte. • Ouvrez Gestionnaire Macintosh et assurez-vous que l’utilisateur est membre d’au moins un groupe de travail. • Ouvrez Gestionnaire Macintosh et réinitialisez le mot de passe de l’utilisateur. Le bouton Créer d’Utilitaire d’images de réseau n’est pas activé • Assurez-vous d’avoir saisi un nom et un ID pour l’image dans le volet Général. • Assurez-vous d’avoir choisi une source pour l’image dans le volet Contenu. • Pour une image utilisant une source de type CD ou DVD, assurez-vous d’avoir tapé un nom d’utilisateur par défaut avec un mot de passe d’au moins quatre caractères dans le volet Utilisateur par défaut. Les contrôles et les champs sont désactivés dans Utilitaire d’images de réseau • Cliquez sur Initialisation ou sur Installation en haut de la fenêtre, ou fermez et ouvrez Utilitaire d’images de réseau. Impossible de configurer une image pour utiliser l’initialisation statique (NetBoot version 1.0) • L’initialisation du réseau statique, telle qu’elle est fournie par NetBoot version 1.0, n’est pas prise en charge dans Mac OS X Server version 10.3. 57 Glossaire Glossaire DHCP (Dynamic Host Configuration Protocol) Protocole utilisé pour la répartition d’adresses IP entre les ordinateurs client. Chaque fois qu’un ordinateur client démarre, le protocole recherche un serveur DHCP et sollicite une adresse IP au serveur DHCP trouvé. Celui-ci cherche une adresse IP disponible et l’envoie à l’ordinateur client accompagnée d’un durée de bail (période pendant laquelle l’ordinateur client est autorisé à utiliser l’adresse). HTTP (Hypertext Transfer Protocol) Protocole d’application qui définit l’ensemble de règles pour la liaison et l’échange de fichiers sur le Web. image disque Fichier qui, une fois ouvert, crée sur un bureau Mac OS une icône dont la présentation et le comportement sont semblables à ceux d’un disque ou volume réel. Les ordinateurs client peuvent, à l’aide de NetBoot, démarrer via le réseau à partir d’une image disque d’un serveur et contenant un logiciel système. serveur NetBoot Serveur Mac OS X sur lequel vous avez installé le logiciel NetBoot, que vous avez configuré pour autoriser les clients à démarrer à partir d’images disque sur le serveur.59 Index Index A Admin de bureau NetBoot 11 automatisation de l'installation réseau 34 B BootFile propriété d'image NetBoot 13 Boot Server Discovery Protocol Voir BSDP BSDP (Boot Server Discovery Protocol) 14 rôle dans NetBoot 14 C Classic installation dans une image NetBoot 23 D démarrage à l'aide de la touche N 48 dépannage NetBoot 55 Description propriété d'image NetBoot 13 déverrouillage d'images disque 30, 39, 40, 42, 43 dossier d'image, NetBoot 10–11 E équilibrage de la charge NetBoot 51–54 état du serveur surveillance des clients NetBoot Mac OS X 50 Ethernet configuration requise pour NetBoot 18 désactivation de NetBoot sur les ports 49 F fichier bsdpd_clients détermination du serveur NetBoot du client 53 rôle et emplacement 9 fichier d'initialisation 11 propriété BootFile 13 spécification pour l'image NetBoot 13 fichiers masqués à propos de 10 options d'allocation 26 points de partage 9 répartition 53 vue d'ensemble 10 format de répertoire configuration dans les images d'initialisation 24 G G4. Voir Power Mac G4 G5. Voir Power Mac G5 I image d'installation, sélection 47 image de démarrage, sélection 46 images distinctes pour G5 16 images d'installation vides Voir images d'installation de paquets personnalisés images disque, installation réseau déverrouillage 30, 39, 40, 42, 43 mise à jour 35 images disque, NetBoot 7, 8 création 19, 21 création à partir de clients existants 24 déverrouillage 30, 39, 40, 42, 43 installation de Classic 23 mise à jour de Mac OS X 24, 25 sur un serveur NFS 14 Index propriété d'image NetBoot 13 initialisation sans disque image d'initialisation par défaut 41 services requis 17 installation réseau à propos des paquets 32 automatisation de l'installation 34 création d'une image 30 création de paquets personnalisés 32 IsDefault propriété d'image NetBoot 13 IsEnabled60 Index propriété d'image NetBoot 13 IsInstall propriété d'image NetBoot 13 L Language propriété d'image NetBoot 13 M mise à jour d'images NetBoot 24, 25 N Name propriété d'image NetBoot 13 NBImageInfo.plist fichier de propriétés NetBoot 11, 12, 13 NetBoot 14, 45 activation 38, 39 AirPort 17 BSDP (Boot Server Discovery Protocol) 14 clients pris en charge 15 configuration 37 configuration d'une image disque Mac OS 9 27 configuration requise pour le serveur 17 création d'images à partir de clients existants 24 création d'images disque Mac OS X 21 désactivation d'images 50 désactivation sur les ports Ethernet 49 dossier d'image 10–11 équilibrage de la charge 51–54 exigences d'administration 15 fichiers masqués 10 filtrage des clients 42 image par défaut 41 images disque 8 installation de Classic dans une image 23 listes de propriétés 12 mise à jour d'images Mac OS X 24, 25 mise à jour du tableau de bord Démarrage 45 ordinateurs client 45, 46, 47 outils d'administration 8 planification de la capacité 17 principales fonctionnalités 7 résolution des problèmes 55 sécurité 15 surveillance des clients Mac OS X 50 TFTP (Trivial File Transfer Protocol) 14 vue d'ensemble de la configuration 18 O ordinateurs client démarrage à l'aide de la touche N 48 ordinateurs client, Mac OS 9 sélection de l'image d'installation NetBoot 47 sélection de l'image de démarrage NetBoot 46 ordinateurs client, Mac OS X sélection de l'image d'installation NetBoot 47 sélection de l'image de démarrage NetBoot 46 P PackageMaker aide 33 emplacement 32 paquets affichage du contenu 35 ajout à une image 33 à propos de 32 création 32 planification de la capacité NetBoot 17 points de partage pour les fichiers masqués 9 pour les images 9 points de partage NetBootClientsn allocation de fichiers masqués 10 points de partage NetBootSPn ajout ou suppression 39 emplacement 9 ne pas renommer le volume 39 vue d'ensemble 9 Power Mac G4 images non destinées aux processeurs G5 16 Power Mac G5 images non destinées aux processeurs plus anciens 16 R RootPath propriété d'image NetBoot 13 S sécurité NetBoot 15 SupportsDiskless propriété d'image NetBoot 13 synchronisation image et source 25 T tableau de bord Démarrage, mise à jour 45 TFTP (Trivial File Transfer Protocol) rôle dans NetBoot 14 Trivial File Transfer Protocol Voir TFTP Type propriété d'image NetBoot 13 U Utilitaire d'images de réseau création d'une image disque 3061 Index création d'une image disque Mac OS X 21 emplacement 30 Utilitaire d'images réseau 11 V variable NETBOOT_SHADOW tableau des valeurs 27 Mac OS X Server Administration du service díimpression Pour la version 10.3 ou ultÈrieure Apple Computer, Inc. © 2003 Apple Computer, Inc. Tous droits réservés. Le propriétaire ou l’utilisateur autorisé d’une copie valide du logiciel Mac OS X Server peut reproduire ce document à des fins d’apprentissage de l’utilisation de ce logiciel. Aucune partie de ce document ne peut être reproduite ou transmise à des fins commerciales, telles que la vente de copies du document ou la fourniture de services d’assistance payants. L’utilisation de ce logo à des fins commerciales via le clavier (Option-1) pourra constituer un acte de contrefaçon et/ou de concurrence déloyale. Apple, le logo Apple, AppleTalk, LaserWriter, Mac, Mac OS et Macintosh sont des marques d’Apple Computer, Inc., déposées aux États-Unis et dans d’autres pays. Rendezvous est une marque d’Apple Computer, Inc. Adobe et PostScript sont des marques d’Adobe Systems Incorporated. UNIX est une marque déposée aux États-Unis et dans d’autres pays, sous licence exclusive de X/Open Company Ltd. Remarque : Apple améliore continuellement les performances et le design de ses produits. Il se peut que certaines illustrations de ce manuel soient légèrement différentes de votre version du logiciel. F022-1323 3 1 Table des matières Chapitre 1 5 À propos du service d’impression 5 Vue d’ensemble de l’impression en réseau 6 Sans service d’impression 7 Avec le service d’impression 8 Imprimantes compatibles 9 Clients compatibles 10 Considérations supplémentaires 10 Répartition de la charge à l’aide de classes d’imprimantes 10 Sécurité Chapitre 2 11 Configuration de Service d’impression 11 Avant de commencer 11 Présentation générale de la configuration 12 Configuration du service 12 Ajout d’une file d’attente d’impression 14 Sélection d’une file d’attente LPR par défaut 15 Configuration de la fréquence d’archivage de l’historique d’impression 16 Publication d’une file d’attente LPR avec Rendezvous 16 Inclusion d’une file d’attente LPR dans Open Directory 18 Démarrage du service d’impression 19 Établissement de quotas d’impression 19 Fonctionnement des quotas 19 Définition de quotas 20 Définition de quotas d’impression pour l’utilisateur 21 Application de quotas d’impression à une file d’attente 22 Rénitialisation des quotas d’impression d’un utilisateur Chapitre 3 23 Configuration de clients d’impression 23 À propos des fichiers PPD 24 Clients Mac OS X 24 Ajout d’une file d’attente d’impression AppleTalk sous Mac OS X 24 Ajout d’une file d’attente d’impression LPR sous Mac OS X 26 Dépannage4 Table des matières 26 Clients Mac OS 8 et Mac OS 9 26 Configuration d’une file d’attente AppleTalk sur les clients Mac OS 8 ou 9 26 Configuration d’une file d’attente LPR sur les clients Mac OS 8 ou 9 27 Dépannage 27 Clients Windows 27 Dépannage 27 Clients UNIX Chapitre 4 29 Gestion du service d’impression 30 Gérer le service 30 Vérifier l’état du service d’impression 31 Démarrer et arrêter le service d’impression 32 Gestion des files d’attente 32 Affichage de l’état des files d’attente d’impression 33 Arrêt d’une file d’attente d’impression 34 Redémarrage d’une file d’attente 35 Modifier les réglages d’une file d’attente d’impression 36 Modification du nom d’une file 37 Changer la file d’attente d’impression LPR par défaut 38 Suppression d’une file d’attente 39 Gestion des tâches d’impression 39 Contrôle d’une tâche d’impression 40 Suspension d’une tâche d’impression 41 Reprise d’une tâche d’impression 42 Suppression d’une tâche d’impression 43 Gestion des quotas d’impression 43 Suspension des quotas d’une file d’attente 44 Gestion des historiques d’impression 44 Affichage des historiques du service d’impression et des files d’attente 45 Archivage des historiques du service d’impression 46 Suppression de fichiers d’historique archivés 46 Historiques CUPS Chapitre 5 47 Résolution des problèmes 47 Dépannage du service d’impression 47 Le service d’impression ne démarre pas 47 Les clients ne parviennent pas à ajouter une file d’attente 47 Les utilisateurs ne parviennent pas à imprimer 48 Les tâches d’une file d’attente du serveur ne s’impriment pas 48 La file d’attente devient indisponible Glossaire 49 Index 511 5 1 À propos du service d’impression Le service d’impression de Mac OS X Server vous aide à configurer un environnement d’impression administré sur votre réseau. Vous pouvez partager des imprimantes en leur configurant des files d’attente d’impression sur un serveur. Lorsqu’un utilisateur imprime vers une file d’attente partagée, la tâche d’impression attend sur le serveur jusqu’à ce que l’imprimante soit disponible ou jusqu’à ce que les critères de planification définis soient respectés. Vous pouvez par exemple : • Modifier la priorité des tâches d’impression en attente. • Suspendre une tâche en vue d’une impression ultérieure. • Limiter le nombre de pages qu’un utilisateur peut imprimer sur certaines imprimantes. • Tenir à jour des historiques relatifs à l’utilisation des imprimantes. Vous pouvez utiliser les applications suivantes pour configurer et administrer le service d’impression : • Admin Serveur pour configurer le service d’impression, configurer des files d’attente partagées, gérer les tâches d’impression et surveiller l’état de ces tâches. • Gestionnaire de groupe de travail pour définir des quotas d’impression pour les utilisateurs. Le service d’impression de Mac OS X Server est basé sur l’architecture standard d’impression client de Mac OS X, elle-même basée sur le système CUPS (Common UNIX Printing SYStem). Vue d’ensemble de l’impression en réseau Il est possible de bénéficier de certains avantages de l’impression partagée en réseau sans utiliser de serveur. Une brève comparaison de l’impression en réseau avec et sans service d’impression basé sur serveur montre qu’un tel service peut faciliter les choses pour les utilisateurs et pour l’administrateur.6 Chapitre 1 À propos du service d’impression Sans service d’impression Il est relativement simple de mettre des imprimantes partagées à la disposition des utilisateurs, même sans utiliser de serveur : connectez les imprimantes à votre réseau et laissez les utilisateurs choisir l’imprimante répondant le mieux à leurs besoins. Lorsqu’un utilisateur imprime un document, la tâche d’impression qui en résulte attend dans une file d’attente sur l’ordinateur client jusqu’à ce que l’imprimante soit prête à l’accepter (on dit alors que la tâche est “mise en attente dans une file d’attente locale”). Bien que ce mode d’accès aux imprimantes soit facile à configurer, il comporte des inconvénients : • Les utilisateurs doivent s’assurer que leurs tâches d’impression sont terminées avant de mettre leur ordinateur hors tension ou, dans le cas de clients mobiles, déconnecter leur ordinateur du réseau. • Les messages d’erreur en provenance de l’imprimante (par exemple “plus de papier” ou “bourrage papier”) sont adressés directement à l’utilisateur qui est en train d’imprimer. Attente Attente Attente Le client doit traiter l'erreur d'impression Mise en attente des tâches dans des files d'attente sur des ordinateurs clients Bourrage papier !Chapitre 1 À propos du service d’impression 7 • Il est difficile pour l’administrateur d’effectuer le suivi ou le contrôle du nombre de pages imprimées par chaque utilisateur. Avec le service d’impression Pour tirer parti du service d’impression, vous devez configurer des files d’attente pour les imprimantes disponibles sur un serveur. Les utilisateurs peuvent choisir parmi ces files d’attente plutôt que de choisir les imprimantes directement. Lorsqu’un utilisateur imprime un document, la tâche d’impression qui en résulte est rapidement déplacée de la file d’attente sur l’ordinateur de l’utilisateur vers la file d’attente sur le serveur. Ce mode d’accès aux imprimantes présente des avantages par rapport à la simple impression en réseau : • Les tâches d’impression sont transférées rapidement des ordinateurs client vers la file d’attente du serveur, de sorte que les utilisateurs peuvent mettre hors tension ou déconnecter leur ordinateur après avoir lancer l’impression. • Les conditions d’erreur de l’imprimante sont signalées sur le serveur et non sur les ordinateurs client individuels. • Vous pouvez facilement limiter et effectuer le suivi du nombre de pages que chaque utilisateur imprime sur chaque imprimante. historiques des tâches historiques du service Bourrage papier ! Prêt Prêt Gestion des priorités Erreur d'impression Mise en attente des tâches dans des files d'attente sur le serveur Quotas Interruption8 Chapitre 1 À propos du service d’impression • Vous pouvez contrôler à quel moment et dans quel ordre sont imprimées les différentes tâches. Imprimantes compatibles Le service d’impression de Mac OS X Server gère : • Les imprimantes compatibles PostScript connectées à votre réseau via le protocole AppleTalk ou LPR (Line Printer Remote). • Les imprimantes PostScript connectées directement au serveur via le port USB (Universal Serial Bus). Remarque : une imprimante non PostScript reliée au port USB d’un ordinateur client Mac OS X peut être partagée via l’option Partage d’imprimante des préférences Partage, mais cette possibilité n’entre pas dans le cadre du service d’impression de Mac OS X Server. Mac OS X Server Ethernet USB Imprimante PostScript AppleTalk Imprimante PostScript LPR Imprimante PostScriptChapitre 1 À propos du service d’impression 9 Clients compatibles Tout ordinateur qui utilise le protocole AppleTalk, LPR ou SMB (Server Message Block) peut imprimer vers des files d’attente partagées via le service d’impression de Mac OS X. Les ordinateurs Macintosh peuvent communiquer avec les imprimantes via AppleTalk ou LPR. Les ordinateurs Windows gèrent LPR et SMB. Les ordinateurs UNIX utilisent le protocole LPR. Pour plus d’informations sur l’impression à partir d’un type particulier d’ordinateur client, consultez le chapitre 3, “Configuration de clients d’impression”, à la page 23. Utilisateur Mac OS X (imprimantes sélectionnées via le Centre d'impression ou l'utilitaire Configuration d'imprimante) Utilitaire Mac OS 9 (imprimantes sélectionnées via l'utilitaire Service d'impression) Utilitaire UNIX Utilisateur Mac OS X (imprimantes sélectionnées via le Centre d'impression ou l'utilitaire Configuration d'imprimante) Utilisateurs Mac OS 8 et Mac OS 9 (imprimantes sélectionnées via l'utilitaire Service d'impression) Utilisateur UNIX Utilisateurs Windows NT et Windows 2000 Utilisateurs Windows NT et Windows 2000 Utilisateurs Windows 95, 98 et ME Mac OS X Server LPR AppleTalk SMB10 Chapitre 1 À propos du service d’impression Considérations supplémentaires Répartition de la charge à l’aide de classes d’imprimantes Chaque file d’attente du service d’impression que vous configurez est affectée à une seule imprimante. Le système CUPS (Common UNIX Printing System) gère des files d’attente spéciales appelées classes d’imprimantes, qui sont des files auxquelles sont affectées plusieurs imprimantes. Une classe d’imprimantes offre un certain nombre d’avantages par rapport aux files d’attente à imprimante unique dans les environnements d’impression impliquant des volumes ou une disponibilité élevés : • Les tâches d’impression sont affectées à la première imprimante disponible de la classe, de sorte que vous pouvez lancer simultanément autant de tâches d’impression qu’il y a d’imprimantes affectées à la classe. • Si une imprimante affectée à la classe devient indisponible pour une raison quelconque, les autres imprimantes de la classe continuent d’imprimer les tâches en attente. Vous pouvez configurer une classe d’imprimantes via l’option Imprimantes > Regrouper les imprimantes, dans l’utilitaire Configuration d’imprimante (dans /Applications/Utilitaires). Une fois la classe créée, vous pouvez ajouter et gérer la file d’attente de classe résultante dans le service d’impression, comme pour n’importe quelle autre file d’attente. Vous pouvez également créer une classe d’imprimantes à l’aide des commandes de Terminal. Pour plus d’informations, consultez le chapitre relatif au service d’impression dans le guide d’administration des lignes de commande. Sécurité Les files d’attente d’imprimante AppleTalk et LPR ne gèrent pas l’authentification sécurisée. Le service d’impression repose sur le client pour fournir les informations relatives à l’utilisateur. Bien que les clients Macintosh et Windows standard fournissent des informations précises, un utilisateur mal intentionné pourrait contourner les quotas d’impression en modifiant le client afin qu’il fournisse des informations erronées. Le service Windows gère l’authentification en imposant aux utilisateurs de se connecter avant toute utilisation d’imprimantes SMB. Le logiciel CUPS, sur lequel est basé le service d’impression, gère la méthode d’envoi des tâches d’impression appelée IPP (Internet Printing Protocol). Les clients du service d’impression sont généralement configurés pour utiliser AppleTalk, LPR ou SMB pour envoyer leurs tâches d’impression. Cependant, les clients qui utilisent IPP directement pour envoyer des tâches d’impression peuvent contourner le service d’impression et ses quotas. Remarque : IPP est activé sur un client Mac OS X chaque fois que vous activez le partage d’imprimante dans les préférences Partage.2 11 2 Configuration de Service d’impression Ce chapitre indique comment configurer les files d’attente d’impression et modifier les réglages du service d’impression à l’aide d’Admin Serveur. Avant de commencer Avant de configurer le service d’impression, notez les protocoles utilisés par vos clients pour l’impression. Le service d’impression gère les protocoles AppleTalk, LPR (Line Printer Remote) et SMB (Server Message Block). Présentation générale de la configuration Voici les principales étapes de configuration du service d’impression : Étape 1 : Création de files d’attente pour vos imprimantes Créez des files d’attente pour vos imprimantes sur le serveur à l’aide d’Admin Serveur. Les utilisateurs voient ces files d’attente comme des imprimantes. Consultez la section “Ajout d’une file d’attente d’impression” à la page 12. Étape 2 : (Facultatif) Définition des réglages généraux du service Utilisez Admin Serveur pour spécifier la file d’attente LPR par défaut et activer les historiques du service d’impression. Par défaut, il n’existe pas de file d’attente LPR et la consignation est désactivée. Consultez “Sélection d’une file d’attente LPR par défaut” à la page 14 et “Configuration de la fréquence d’archivage de l’historique d’impression” à la page 15. Étape 3 : Démarrage du service d’impression Utilisez Admin Serveur pour démarrer le service d’impression sur le serveur et mettre les files d’attente à la disposition des clients. Consultez la section “Démarrage du service d’impression” à la page 18.12 Chapitre 2 Configuration de Service d’impression Étape 4 : (Facultatif) Définition des quotas d’impression Si vous souhaitez limiter le nombre de pages pouvant être imprimées par les utilisateurs, attribuez des quotas d’impression aux comptes d’utilisateurs et aux files d’attente. Consultez la section “Établissement de quotas d’impression” à la page 19. Étape 5 : Configuration des ordinateurs client. Ajoutez (ou expliquez aux utilisateurs comment ajouter) les files d’attente de votre serveur aux réglages d’impression de leurs ordinateurs. Consultez le chapitre 3, “Configuration de clients d’impression”, à la page 23. Configuration du service Ajout d’une file d’attente d’impression Vous pouvez partager n’importe quelle imprimante compatible PostScript pour laquelle une file d’attente a été configurée sur le serveur. Créez des files d’attente pour les imprimantes partagées sur le serveur à l’aide d’Admin Serveur. Pour créer une file d’attente d’impression partagée : 1 Dans Admin Serveur, sélectionnez Impression dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Cliquez sur Files d’attente, puis sur le bouton Ajouter (+) situé sous la liste. Bouton AjouterChapitre 2 Configuration de Service d’impression 13 Si vous ne voyez pas le bouton Files d’attente, il se peut que les réglages des files d’attente soient déjà affichés. Cliquez sur le bouton Précédent (flèche vers la gauche dans le coin supérieur droit). 4 Choisissez dans le menu local le protocole utilisé par l’imprimante. 5 Pour une imprimante AppleTalk, sélectionnez l’imprimante dans la liste et cliquez sur OK. Pour une imprimante LPR, tapez l’adresse IP ou le nom DNS de l’imprimante et cliquez sur OK. Si vous ne souhaitez pas utiliser la file d’attente par défaut de l’imprimante, décochez d’abord la case “Utiliser la file par défaut sur le serveur”, puis tapez le nom d’une file d’attente. 6 Tapez le nom de la file d’attente que les clients doivent voir dans le champ Nom du partage. Cela ne modifie pas le nom de file d’attente de Configuration d’imprimante sur le serveur. Assurez-vous que le nom est compatible avec les restrictions d’appellation imposées par vos clients. Par exemple, certains clients LPR ne gèrent pas les noms comportant des espaces, tandis que certains clients Windows limitent les noms à 12 caractères. Le nom des files d’attente partagées via LPR ou SMB ne doit contenir que les caractères A–Z, a–z, 0–9 et _ (caractère de soulignement). Les noms de file AppleTalk ne peuvent excéder 32 octets (ce qui peut être inférieur à 32 caractères typographiques). Notez que comme les noms de files d’attente sont encodés dans la langue utilisée sur le serveur, ils peuvent être illisibles sur les ordinateurs clients utilisant d’autres langues. 7 Sélectionnez les protocoles utilisés par les ordinateurs clients pour l’impression. Si vous sélectionnez “Impression Windows (SMB)”, prenez soin de démarrer les services Windows. 8 Sélectionnez l’option “Appliquer les quotas pour cette file” si vous souhaitez appliquer les quotas d’impression définis pour les utilisateurs dans le Gestionnaire de groupe de travail. 9 Cliquez sur Enregistrer, puis sur le bouton Précédent (dans le coin supérieur droit).14 Chapitre 2 Configuration de Service d’impression Sélection d’une file d’attente LPR par défaut Vous pouvez utiliser les réglages Général du service d’impression dans Admin Serveur pour spécifier une file d’attente LPR par défaut pour le serveur. La mise en place d’une file d’attente LPR par défaut facilite l’impression pour les clients LPR qui ne connaissent pas le nom des files d’attente sur le serveur. Pour définir la file d’attente LPR par défaut : 1 Dans Admin Serveur, sélectionnez Impression dans la liste Ordinateurs et services. 2 Cliquez sur Réglages, puis sur Général. 3 Sélectionnez la file d’attente par défaut dans le menu local. 4 Cliquez sur Enregistrer. Si la file d’attente que vous souhaitez utiliser ne figure pas dans la liste, il se peut qu’elle ne soit pas actuellement partagée via LPR. Un utilisateur peut ajouter cette file d’attente LPR par défaut à la liste d’imprimantes de son ordinateur, sans connaître le nom de la file d’attente, en sélectionnant “Utiliser la file par défaut sur le serveur” lors de l’ajout de l’imprimante. A partir de la ligne de commande Vous pouvez également définir la file d’attente LPR par défaut à l’aide de la commande serveradmin dans Terminal. Pour plus d’informations, consultez le chapitre relatif au service d’impression dans le guide d’administration des lignes de commande.Chapitre 2 Configuration de Service d’impression 15 Configuration de la fréquence d’archivage de l’historique d’impression Le service d’impression tient à jour un historique général du service ainsi que des historiques individuels pour chaque file d’attente partagée. Lorsqu’un historique est archivé, les nouveaux événements sont enregistrés dans un nouveau fichier d’historique vide. Vous pouvez utiliser les réglages Consignation du service d’impression dans Admin Serveur afin de spécifier la fréquence à laquelle les historiques sont archivés. Pour configurer la fréquence d’archivage des fichiers d’historique : 1 Dans Admin Serveur, sélectionnez Impression dans la liste Ordinateurs et services. 2 Cliquez sur Réglages, puis sur Consignation. 3 Sélectionnez Archive pour l’historique que vous souhaitez enregistrer et tapez la fréquence d’archivage voulue. 4 Cliquez sur Enregistrer. Les historiques actuels et archivés se trouvent dans le répertoire /Bibliothèque/Logs/ PrintService. A partir de la ligne de commande Vous pouvez également définir la fréquence d’archivage à l’aide de la commande serveradmin dans Terminal. Pour plus d’informations, consultez le chapitre relatif au service d’impression dans le guide d’administration des lignes de commande.16 Chapitre 2 Configuration de Service d’impression Publication d’une file d’attente LPR avec Rendezvous Vous pouvez faciliter la recherche des files d’attente LPR partagées par les utilisateurs en les publiant à l’aide de Rendezvous. Pour publier une file d’attente via Rendezvous : 1 Dans Admin Serveur, sélectionnez Impression dans la liste Ordinateurs et services. 2 Cliquez sur Réglages, puis sur Files d’attente. 3 Double-cliquez sur la file d’attente que vous souhaitez publier. 4 Sous LPR dans la section Protocole, sélectionnez “Afficher le nom Rendezvous”. 5 Cliquez sur Enregistrer, puis sur le bouton Précédent (dans le coin supérieur droit). Inclusion d’une file d’attente LPR dans Open Directory Vous pouvez aider les utilisateurs à trouver des files d’attente LPR partagées en incluant ces dernières dans Open Directory. Si vous incluez le nom du modèle d’imprimante PPD (Postscript Printer Description) dans le répertoire, les utilisateurs n’auront pas à se préoccuper du modèle à choisir. Pour inclure une file d’attente dans Open Directory : 1 Créez la file d’attente si vous ne l’avez pas encore fait. 2 Ouvrez Gestionnaire de groupe de travail. 3 Si vous ne voyez pas les boutons Inspecteur, choisissez Gestionnaire de groupe de travail > Préférences, puis sélectionnez “Afficher l’inspecteur et l’onglet Toutes les fiches”. 4 Si nécessaire, basculez vers le domaine de répertoire approprié. Bouton PrécédentChapitre 2 Configuration de Service d’impression 17 5 Cliquez sur le bouton Toutes les fiches (il ressemble à une cible et se trouve en regard des boutons Utilisateurs, Groupes et Ordinateurs). 6 Sélectionnez Printers dans le menu local, sous le bouton Toutes les fiches, puis cliquez sur Nouvelle fiche. 7 Double-cliquez sur “sans_titre_1” en regard de l’attribut RecordName, tapez le nom qui doit s’afficher pour les utilisateurs lorsqu’ils recherchent l’imprimante, puis appuyez sur la touche Retour. 8 Cliquez sur Nouvel attribut et sélectionnez PrinterLPRHost dans le menu local Nom d’attribut. 9 Cliquez dans le champ de texte, tapez l’adresse IP ou le nom DNS du serveur qui héberge la file d’attente, puis cliquez sur OK. 10 Si la file d’attente sélectionnée n’est pas la file d’attente LPR par défaut sur le serveur, cliquez sur Nouvel attribut, choisissez PrinterLPRQueue dans le menu local, tapez le nom de la file d’attente dans le champ de texte, puis cliquez sur OK. 11 Pour spécifier le modèle d’imprimante (facultatif), cliquez sur Nouvel attribut, choisissez PrinterType dans le menu local, puis cliquez sur OK. Important : assurez-vous que le nom du modèle que vous tapez correspond exactement à la valeur de l’attribut *ModelName dans le fichier PPD. Pour confirmer la valeur de cet attribut, essayez l’une des opérations suivantes : • Ouvrez l’utilitaire Configuration d’imprimante, cliquez sur Ajouter, choisissez Impression via IP dans le menu local, sélectionnez le fabricant dans le menu local Modèle de l’imprimante, puis recherchez le nom dans la liste qui en résulte. • Créez une copie du fichier PPD, utilisez la commande gunzip dans Terminal pour le décompresser, ouvrez-le dans TextEdit ou tout autre éditeur de texte, puis recherchez “*ModelName”. Les fichiers PPD se trouvent dans le répertoire /Bibliothèque/Printer/PPDs/Contents/Resources/fr.lproj. 12 Cliquez sur Enregistrer.18 Chapitre 2 Configuration de Service d’impression Démarrage du service d’impression Vous pouvez utiliser Admin Serveur pour lancer le service d’impression. Une fois le service lancé, il redémarre automatiquement à chaque redémarrage du serveur. Pour démarrer le service d’impression : 1 Dans Admin Serveur, sélectionnez Impression dans la liste Ordinateurs et services. 2 Cliquez sur Démarrer le service. A partir de la ligne de commande Vous pouvez également démarrer le service d’impression à l’aide de la commande serveradmin dans Terminal. Pour plus d’informations, consultez le chapitre relatif au service d’impression dans le guide d’administration des lignes de commande.Chapitre 2 Configuration de Service d’impression 19 Établissement de quotas d’impression Vous pouvez établir des quotas d’impression afin de contrôler le nombre de pages que chaque utilisateur peut imprimer sur les différentes imprimantes. Fonctionnement des quotas Un quota d’impression représente le nombre total de pages pouvant être imprimées au cours d’une période spécifique. Dès qu’un utilisateur a imprimé le nombre de pages spécifié par son quota, il ne peut plus imprimer tant que la période d’application du quota n’est pas terminée et que ce dernier n’est pas renouvelé automatiquement (ou explicitement, ce que vous pouvez faire à tout moment). Pour chaque utilisateur, vous pouvez définir soit un quota unique concernant toutes les imprimantes qu’il utilise, soit des quotas individuels pour chaque imprimante. Dans le cas d’un quota unique, chaque page imprimée est comptabilisée pour le quota de l’utilisateur, quelle que soit l’imprimante utilisée. Dans le cas de quotas par file d’attente, vous pouvez définir des quotas différents pour chaque imprimante ou choisir de ne pas appliquer de quotas sur certaines imprimantes, tout en limitant l’utilisation de certaines autres. Définition de quotas La définition de quotas d’impression comporte deux parties : • Définir le quota et la période correspondante pour chaque utilisateur, via le Gestionnaire de groupe de travail. • Configurer le service d’impression pour appliquer les quotas aux files d’attente individuelles, via Admin Serveur.20 Chapitre 2 Configuration de Service d’impression Définition de quotas d’impression pour l’utilisateur Vous pouvez utiliser le Gestionnaire de groupe de travail pour définir des quotas d’impression pour des utilisateurs individuels. Pour définir le quota d’un utilisateur : 1 Ouvrez le Gestionnaire de groupe de travail, cliquez sur Comptes, puis sélectionnez l’utilisateur concerné. 2 Cliquez sur Impression. 3 Pour définir un quota unique pour toutes les files d’attente, sélectionnez Toutes les files d’attente, puis tapez le nombre de pages ainsi que le nombre de jours après lesquels le quota est réinitialisé. Pour définir un quota pour une file d’attente particulière, sélectionnez Par file d’attente, choisissez la file d’attente dans la liste, puis tapez le quota et la période correspondante. Si la file d’attente ne figure pas dans la liste, cliquez sur Ajouter et remplacez “sans_titre” par le nom de la file d’attente. Choisissez ensuite la file d’attente dans la liste, tapez l’adresse IP ou le nom DNS du serveur qui héberge la file d’attente, puis tapez le quota de page de l’utilisateur ainsi que la période correspondante. 4 Cliquez sur Enregistrer. Les quotas ne sont pas appliqués tant que vous ne les avez pas activés pour des files d’attente spécifiques dans le service d’impression, via Admin Serveur. Consultez la section “Application de quotas d’impression à une file d’attente” à la page 21.Chapitre 2 Configuration de Service d’impression 21 Application de quotas d’impression à une file d’attente Les utilisateurs ne sont pas soumis aux quotas d’impression définis pour eux dans le Gestionnaire de groupe de travail tant que vous n’avez pas activé ces quotas pour des files d’attente spécifiques dans le service d’impression. Pour appliquer des quotas à une file d’attente : 1 Dans Admin Serveur, sélectionnez Impression dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Dans le panneau Files d’attente, sélectionnez une file d’attente et cliquez sur le bouton Modifier (sous la liste). 4 Sélectionnez “Appliquer les quotas pour cette file”. 5 Cliquez sur Enregistrer, puis sur le bouton Précédent (dans le coin supérieur droit). A partir de la ligne de commande Vous pouvez également établir l’application des quotas pour une file d’attente à l’aide de la commande serveradmin dans Terminal. Pour plus d’informations, consultez le chapitre relatif au service d’impression dans le guide d’administration des lignes de commande.22 Chapitre 2 Configuration de Service d’impression Rénitialisation des quotas d’impression d’un utilisateur Vous pouvez à tout moment redémarrer la période de quota d’un utilisateur ou modifier le quota de page de l’utilisateur via le Gestionnaire de groupe de travail. Pour réinitialiser les quotas pour une file d’attente d’impression : 1 Ouvrez le Gestionnaire de groupe de travail et sélectionnez l’utilisateur dans la liste. 2 Cliquez sur l’onglet Impression et sélectionnez Toutes les files d’attente ou Par file d’attente. 3 Pour redémarrer la période de quota, cliquez sur Redémarrer Quota d’impression. Pour savoir quand a débuté la période actuelle, regardez juste au-dessus du bouton. Pour modifier le nombre de pages autorisées au cours de la période de quota actuelle, tapez une nouvelle valeur dans le champ “Limiter à”. 4 Cliquez sur Enregistrer.3 23 3 Configuration de clients d’impression Ce chapitre explique comment configurer des ordinateurs client en vue de l’utilisation des imprimantes offertes par le service d’impression. Le service d’impression de Mac OS X Server gère quatre classes élémentaires de clients : • Clients Mac OS X • Clients Mac OS 9 et Mac OS 8 • Clients Windows • Clients Unix À propos des fichiers PPD Un fichier PPD (PostScript Printer Description) contient des informations spécifiques concernant un modèle d’imprimante particulier. Vos utilisateurs ont besoin du fichier PPD pour tirer parti des fonctionnalités particulières d’une imprimante. Sans le fichier PPD approprié, ils ne peuvent, par exemple, pas choisir parmi plusieurs bacs d’alimentation de papier, utiliser des formats de papier particuliers ou imprimer en recto-verso. Les fichiers PPD des principales imprimantes sont préinstallés dans Mac OS X et Mac OS X Server. Pour connaître les modèles disponibles, ouvrez l’utilitaire Configuration d’imprimante, cliquez sur Ajouter, choisissez Impression via IP dans le menu local, puis sélectionnez un fabricant dans le menu local Modèle de l’imprimante. Si vous ne trouvez pas le fichier PPD de l’imprimante que vous souhaitez utiliser, contactez le fabricant afin de vous le procurer. En dernier recours, essayez d’utiliser le fichier PPD générique, qui permet les opérations d’impression élémentaires sur la plupart des imprimantes. Le fichier PPD approprié doit être choisi sur l’ordinateur client lorsque la file d’attente d’impression est ajoutée.24 Chapitre 3 Configuration de clients d’impression Clients Mac OS X Pour utiliser les files d’attente offertes par un serveur, les utilisateurs de Mac OS X doivent ajouter les files d’attente à leur liste d’imprimantes via l’utilitaire Configuration d’imprimante ou le Centre d’impression, de la même façon que pour l’ajout de toute autre imprimante. Mac OS X gère les imprimantes AppleTalk et LPR. Ajout d’une file d’attente d’impression AppleTalk sous Mac OS X Vous pouvez employer l’utilitaire Configuration d’imprimante (Centre d’impression dans les versions de Mac OS X antérieures à la version 10.3) pour ajouter des files d’attente d’impression à la liste d’imprimantes d’un ordinateur. Ces applications se trouvent généralement dans le répertoire /Applications/Utilitaires. Pour ajouter une file d’attente d’impression AppleTalk : 1 Ouvrez l’utilitaire Configuration d’imprimante ou le Centre d’impression sur l’ordinateur client, puis cliquez sur Ajouter. 2 Choisissez AppleTalk dans le menu local. 3 Sélectionnez une file d’attente dans la liste. 4 Sélectionnez le type d’imprimante dans le menu local Modèle de l’imprimante. Si vous n’êtes pas certain du type, utilisez le type Générique qui répond à la plupart des besoins en matière d’impression. 5 Cliquez sur Ajouter. Ajout d’une file d’attente d’impression LPR sous Mac OS X Vous pouvez employer l’utilitaire Configuration d’imprimante (Centre d’impression dans les versions de Mac OS X antérieures à la version 10.3) pour ajouter une file d’attente d’impression LPR à la liste des imprimantes d’un ordinateur. L’utilitaire Configuration d’imprimante (ou le Centre d’impression) se trouve généralement dans le répertoire /Applications/Utilitaires. La façon dont vous ajoutez une imprimante LPR varie selon que l’imprimante est : • Partagée par adresse IP ou nom DNS uniquement • Publiée via Rendezvous • Répertoriée dans Open Directory Pour ajouter une file d’attente d’impression LPR par adresse IP ou nom DNS : 1 Ouvrez l’utilitaire Configuration d’imprimante ou le Centre d’impression, puis cliquez sur Ajouter. 2 Sélectionnez “Impression via IP” dans le menu local. 3 Tapez le nom DNS ou l’adresse IP du serveur (pas le nom ou l’adresse de l’imprimante) dans le champ Adresse de l’imprimante. Chapitre 3 Configuration de clients d’impression 25 Pour utiliser la file d’attente par défaut du serveur, laissez le champ “Nom de la file d’attente” vide (Configuration d’imprimante) ou sélectionnez l’option “Utiliser la file par défaut sur le serveur” (Centre d’impression). Si vous n’avez pas configuré de file d’attente LPR par défaut sur le serveur ou si vous souhaitez utiliser une file d’attente différente, tapez un nom de file d’attente dans le champ Nom de la file d’attente. Dans le Centre d’impression, désélectionnez d’abord l’option “Utiliser la file par défaut sur le serveur”. 4 Sélectionnez le type d’imprimante dans le menu local Modèle de l’imprimante. Si vous n’êtes pas certain du type, utilisez le modèle Postscript générique, qui répond à la plupart des besoins en matière d’impression. 5 Cliquez sur Ajouter. Si vous configurez votre serveur pour publier les files d’attente d’impression LPR via Rendezvous ou Open Directory, le client n’aura pas besoin de connaître l’adresse du serveur et le nom de la file d’attente pour rechercher une file d’attente LPR lors de l’ajout d’une imprimante. Pour ajouter une file d’attente d’impression LPR publiée via Rendezvous : 1 Ouvrez l’utilitaire de configuration d’imprimante ou le Centre d’impression et cliquez sur Ajouter. 2 Sélectionnez Rendezvous dans le menu local. 3 Sélectionnez la file d’attente par son nom. 4 Sélectionnez le type d’imprimante dans le menu local Modèle de l’imprimante. Si vous n’êtes pas certain du type, utilisez le modèle Postscript générique qui répond à la plupart des besoins élémentaires en matière d’impression. 5 Cliquez sur Ajouter. Pour obtenir de l’aide sur la publication d’une imprimante via Rendezvous, consultez la section “Publication d’une file d’attente LPR avec Rendezvous” à la page 16. Pour ajouter une file d’attente d’impression LPR répertoriée dans Open Directory : 1 Ouvrez l’utilitaire de configuration d’imprimante ou le Centre d’impression et cliquez sur Ajouter. 2 Sélectionnez Open Directory dans le menu local. 3 Sélectionnez la file d’attente par son nom. 4 Si le type d’imprimante n’est pas présélectionné dans le menu local Modèle de l’imprimante, sélectionnez-le. Si vous n’êtes pas certain du type à utiliser, le modèle Postscript générique répond à la plupart des besoins élémentaires en matière d’impression. 5 Cliquez sur Ajouter.26 Chapitre 3 Configuration de clients d’impression Pour obtenir de l’aide sur l’inclusion d’une imprimante dans Open Directory, consultez la section “Inclusion d’une file d’attente LPR dans Open Directory” à la page 16. Dépannage Si un client Mac OS X rencontre des problèmes d’impression, consultez le chapitre 5, “Résolution des problèmes”, à la page 47. Clients Mac OS 8 et Mac OS 9 Pour utiliser des files d’attente partagées sur un serveur, les utilisateurs Mac OS 8 et Mac OS 9 doivent ajouter les files d’attente comme n’importe quelle autre imprimante, via le Sélecteur pour les imprimantes AppleTalk ou via l’Utilitaire Service d’impression pour les imprimantes LPR. L’Utilitaire Service d’impression se trouve généralement dans le répertoire Apple Extras/LaserWriter Software ou /Applications/Utilitaires. Configuration d’une file d’attente AppleTalk sur les clients Mac OS 8 ou 9 Sur un ordinateur qui exécute Mac OS 8 ou Mac OS 9, vous pouvez utiliser le Sélecteur pour configurer une file d’attente AppleTalk. Pour ajouter une file d’attente d’impression AppleTalk : 1 Ouvrez le Sélecteur. 2 Sélectionnez l’icône LaserWriter 8 ou l’icône de votre imprimante. L’icône LaserWriter 8 fonctionne bien dans la plupart des cas. Vous pouvez également utiliser l’icône d’une autre imprimante (si disponible) afin de tirer profit de ses fonctions spéciales. 3 Sélectionnez la file d’attente dans la liste de droite et cliquez sur Créer. 4 Lorsque la zone de dialogue apparaît, sélectionnez le fichier PPD correspondant à l’imprimante. 5 Fermez le Sélecteur. Configuration d’une file d’attente LPR sur les clients Mac OS 8 ou 9 Employez l’Utilitaire Service d’impression pour configurer des imprimantes LPR sur un ordinateur exécutant Mac OS 8 ou Mac OS 9. Pour ajouter une file d’attente d’impression LPR : 1 Ouvrez l’Utilitaire Service d’impression, sélectionnez Imprimante (LPR), puis cliquez sur OK. 2 Dans la section Fichier PPD (PostScript Printer Description), cliquez sur Modifier et sélectionnez le fichier PPD correspondant à l’imprimante. Choisissez Générique si vous ne connaissez pas le type d’imprimante.Chapitre 3 Configuration de clients d’impression 27 3 Dans la section Sélection d’imprimante LPR, cliquez sur Modifier et tapez l’adresse IP ou le nom de domaine du serveur dans le champ Adresse de l’imprimante. 4 Tapez le nom de la file d’attente d’impression sur le serveur configuré pour le partage via LPR. Ne remplissez pas ce champ si vous souhaitez imprimer sur la file LPR par défaut. 5 Cliquez sur Vérifier pour confirmer que le service d’impression accepte les tâches via LPR. 6 Cliquez sur OK, puis sur Créer. 7 Tapez un nom et sélectionnez un emplacement pour l’icône du service d’impression, puis cliquez sur Enregistrer. Le nom par défaut est l’adresse IP de l’imprimante et l’emplacement par défaut est le Bureau. Dépannage Si un client Mac OS 8 ou 9 ne parvient pas à imprimer, consultez le chapitre 5, “Résolution des problèmes”, à la page 47. Clients Windows Pour permettre l’impression par les utilisateurs Windows qui envoient des tâches via SMB, assurez-vous que les services Windows sont en cours d’exécution et qu’une ou plusieurs files d’attente d’impression sont disponibles pour l’utilisation via SMB. Tous les ordinateurs Windows, y compris Windows 95, Windows 98, Windows Millennium (ME) et Windows XP, gèrent l’impression sur réseau via SMB. Windows 2000 et Windows NT gèrent également l’impression via LPR. Remarque : des gestionnaires LPR de tierce partie sont disponibles pour les ordinateurs Windows ne disposant pas de la gestion LPR intégrée. Dépannage Si un client Windows rencontre des problèmes d’impression, consultez le chapitre 5, “Résolution des problèmes”, à la page 47. Clients UNIX Les ordinateurs UNIX gère LPR pour la connexion aux imprimantes réseau sans installation de logiciels supplémentaires.4 29 4 Gestion du service d’impression Ce chapitre explique comment effectuer les opérations de gestion quotidienne du service d’impression une fois que celui-ci fonctionne. En général, ces tâches de gestion sont les suivantes : • Vérifier l’état du service d’impression • Démarrer et arrêter le service d’impression • Afficher les files d’attente • Arrêter et redémarrer une file d’attente • Modifier les réglages d’une file d’attente d’impression • Renommer une file d’attente • Changer la file d’attente LPR par défaut • Supprimer une file d’attente • Afficher les tâches d’impression • Interrompre et reprendre des tâches • Supprimer des tâches • Suspendre les quotas d’impression • Afficher et gérer les historiques du service30 Chapitre 4 Gestion du service d’impression Gérer le service Vérifier l’état du service d’impression Vous pouvez utiliser Admin Serveur pour surveiller le service d’impression du serveur Mac OS X. Pour vérifier l’état du service d’impression : 1 Dans Admin Serveur, localisez dans la liste Ordinateurs et services le nom du serveur que vous souhaitez surveiller, puis sélectionnez Impression dans la liste des services sous le nom du serveur. 2 Cliquez sur Vue d’ensemble pour déterminer si le service d’impression est en cours d’exécution, l’heure de démarrage (le cas échéant), ainsi que le nombre de files d’attente et de tâches d’impression en attente. 3 Cliquez sur Hist., puis choisissez un historique dans le menu local Afficher afin de voir son contenu. 4 Cliquez sur Files d’attente pour afficher l’état des files d’attente. 5 Cliquez sur Tâches afin de voir la liste des tâches d’impression en attente dans chaque file. A partir de la ligne de commande Vous pouvez également déterminer si le service d’impression est en cours d’exécution à l’aide de la commande serveradmin dans Terminal. Pour plus d’informations, consultez le chapitre relatif au service d’impression dans le guide d’administration des lignes de commande.Chapitre 4 Gestion du service d’impression 31 Démarrer et arrêter le service d’impression Vous pouvez utiliser Admin Serveur pour démarrer ou arrêter le service d’impression. Pour démarrer ou arrêter le service d’impression : 1 Dans Admin Serveur, sélectionnez Impression dans la liste Ordinateurs et services. 2 Cliquez sur Démarrer le service ou sur Arrêter le service. A partir de la ligne de commande Vous pouvez également démarrer et arrêter le service d’impression à l’aide de la commande serveradmin dans Terminal. Pour plus d’informations, consultez le chapitre relatif au service d’impression dans le guide d’administration des lignes de commande.32 Chapitre 4 Gestion du service d’impression Gestion des files d’attente Cette section explique comment effectuer la gestion quotidienne des files d’attente. Affichage de l’état des files d’attente d’impression Vous pouvez utiliser Admin Serveur pour afficher l’état actuel des files d’attente d’impression. Le volet Files d’attente affiche toutes les files d’attente du serveur et indique le nom de la file et le type d’imprimante, la façon dont l’imprimante est partagée, l’état de l’impression à partir de la file, ainsi que le nombre de tâches en attente. Pour afficher l’état des files d’attente : 1 Dans Admin Serveur, sélectionnez Impression dans la liste Ordinateurs et services. 2 Cliquez sur Files d’attente pour afficher la liste des files d’attente d’impression sur le serveur. A partir de la ligne de commande Vous pouvez également répertorier les files d’attente à l’aide de la commande serveradmin dans Terminal. Pour plus d’informations, consultez le chapitre relatif au service d’impression dans le guide d’administration des lignes de commande.Chapitre 4 Gestion du service d’impression 33 Arrêt d’une file d’attente d’impression Pour empêcher l’impression des tâches en attente, vous pouvez utiliser Admin Serveur afin d’arrêter la file d’attente correspondante. Les nouvelles tâches continuent d’être ajoutées à la file d’attente, mais elles ne sont pas imprimées tant que vous n’avez pas redémarré la file d’attente. Une tâche en cours d’impression est réimprimée depuis le début lorsque vous redémarrez la file d’attente. Pour arrêter une file d’attente : 1 Dans Admin Serveur, sélectionnez Impression dans la liste Ordinateurs et services. 2 Cliquez sur Files d’attente pour afficher la liste des files d’attente d’impression sur le serveur. 3 Sélectionnez la file d’attente que vous souhaitez arrêter et cliquez sur le bouton Arrêter (dans le coin inférieur droit). Bouton Arrêter34 Chapitre 4 Gestion du service d’impression Redémarrage d’une file d’attente Vous pouvez utiliser Admin Serveur pour redémarrer une file d’attente arrêtée et pour reprendre l’impression de toutes les tâches en attente. Pour redémarrer une file d’attente d’impression : 1 Dans Admin Serveur, sélectionnez Impression dans la liste Ordinateurs et services. 2 Cliquez sur Files d’attente pour afficher la liste des files d’attente d’impression sur le serveur. 3 Sélectionnez une file d’attente arrêtée (recherchez dans la colonne État) et cliquez sur le bouton Démarrer (dans le coin inférieur droit). Les tâches individuelles qui sont suspendues le restent. Si une tâche d’impression a été interrompue lors de l’arrêt de la file d’attente, cette tâche est réimprimée depuis le début. Bouton DémarrerChapitre 4 Gestion du service d’impression 35 Modifier les réglages d’une file d’attente d’impression Vous pouvez utiliser Admin Serveur pour afficher et modifier la configuration d’une file d’attente d’impression. Remarque : lorsque vous modifiez la configuration d’une file d’attente, celle-ci peut devenir indisponible pour les utilisateurs, lesquels peuvent alors être amenés à configurer leur ordinateur pour réutiliser cette file d’attente. Pour modifier les réglages d’une file d’attente d’impression : 1 Dans Admin Serveur, sélectionnez Impression dans la liste Ordinateurs et services. 2 Cliquez sur Réglages, puis sélectionnez l’onglet Files d’attente. 3 Sélectionnez la file d’attente d’impression que vous souhaitez modifier, puis cliquez sur le bouton Modifier (sous la liste). 4 Apportez les modifications, cliquez sur Enregistrer, puis sur le bouton Précédent (dans le coin supérieur droit). A partir de la ligne de commande Vous pouvez également modifier les réglages des files d’attente à l’aide de la commande serveradmin dans Terminal. Pour plus d’informations, consultez le chapitre relatif au service d’impression dans le guide d’administration des lignes de commande. Bouton Précédent36 Chapitre 4 Gestion du service d’impression Modification du nom d’une file Lorsque vous ajoutez une imprimante dans l’utilitaire de configuration d’imprimante ou dans le Centre d’impression, le nom par défaut de la nouvelle file d’attente est le nom de l’imprimante associée. Vous pouvez modifier ce nom afin d’aider les utilisateurs à choisir l’imprimante appropriée ou à se conformer aux conventions d’appellation imposées par les protocoles utilisés par vos clients. Remarque : si vous modifiez le nom d’une file d’attente d’impression déjà partagée, les utilisateurs devront reconfigurer leur ordinateur afin d’utiliser le nouveau nom de la file d’attente. Les nouvelles tâches envoyées par les utilisateurs à la file d’attente sous l’ancien nom ne seront pas imprimées. Pour renommer une file d’attente : 1 Dans Admin Serveur, sélectionnez Impression dans la liste Ordinateurs et services. 2 Cliquez sur Réglages, puis sur Files d’attente. 3 Sélectionnez la file d’attente d’impression que vous souhaitez modifier, puis cliquez sur le bouton Modifier (sous la liste). 4 Tapez un nouveau nom dans le champ Nom du partage. 5 Cliquez sur Enregistrer, puis sur le bouton Précédent (dans le coin supérieur droit). La modification du nom de partage de la file d’attente n’entraîne pas la modification du nom de la file sous-jacente dans l’utilitaire de configuration d’imprimante ou dans le Centre d’impression. Bouton PrécédentChapitre 4 Gestion du service d’impression 37 A partir de la ligne de commande Vous pouvez également renommer une file d’attente à l’aide de la commande serveradmin dans Terminal. Consultez le chapitre relatif au service d’impression dans le guide d’administration des lignes de commande. Changer la file d’attente d’impression LPR par défaut La désignation d’une file d’attente LPR par défaut simplifie la configuration pour les ordinateurs client. Les utilisateurs peuvent choisir d’imprimer sur la file par défaut plutôt que de saisir le nom d’une file particulière. Pour sélectionner une file par défaut : 1 Dans Admin Serveur, sélectionnez Impression dans la liste Ordinateurs et services. 2 Cliquez sur Réglages. 3 Dans le volet Général, choisissez la file d’attente dans le menu local “Files par défaut pour LPR”. Si la file d’attente que vous souhaitez utiliser n’est pas répertoriée, cliquez sur Files d’attente, double-cliquez sur la file dans la liste, puis assurez-vous que le protocole LPR est activé. A partir de la ligne de commande Vous pouvez également changer la file d’attente LPR par défaut à l’aide de la commande serveradmin dans Terminal. Pour plus d’informations, consultez le chapitre relatif au service d’impression dans le guide d’administration des lignes de commande.38 Chapitre 4 Gestion du service d’impression Suppression d’une file d’attente Lorsque vous supprimez une file d’attente d’impression, les tâches de la file sont également supprimées. Remarque : une tâche en cours d’impression est immédiatement annulée. Pour éviter l’interruption des tâches d’impression en attente tout en empêchant l’arrivée de nouvelles tâches, vous pouvez désactiver les protocoles de partage dans les réglages des files d’attente et attendre que l’impression de toutes les tâches soit terminée avant de supprimer la file d’attente. Pour supprimer une file d’attente : 1 Dans Admin Serveur, sélectionnez Impression dans la liste Ordinateurs et services. 2 Cliquez sur Réglages, puis sur Files d’attente. 3 Sélectionnez la file d’attente et cliquez sur le bouton Supprimer (au bas de la liste). Bouton SupprimerChapitre 4 Gestion du service d’impression 39 Gestion des tâches d’impression Cette section explique comment effectuer la gestion quotidienne des tâches d’impression. Contrôle d’une tâche d’impression Vous pouvez surveiller les tâches d’impression individuelles via Admin Serveur. Pour afficher une tâche d’impression : 1 Dans Admin Serveur, sélectionnez Impression dans la liste Ordinateurs et services. 2 Cliquez sur Tâches. 3 Choisissez une file d’attente dans le menu local “Tâches en file d’attente”. Les tâches sont répertoriées par ordre de priorité et comprennent le nom de l’utilisateur qui a envoyé chaque tâche, le nom de la tâche, sa taille, le nombre de feuilles à imprimer, l’état actuel de la tâche, ainsi que le nombre de pages de la tâche (il peut s’avérer nécessaire de faire défiler pour voir la dernière colonne). À propos du nombre de pages et de feuilles Le nombre de pages représente le nombre de pages créées et envoyées par une application. Il est déterminé par la pagination effectuée par l’application et dépend des réglages de l’application (tels que la marge ou la taille des polices) ainsi que des réglages Format d’impression (par exemple la taille du papier). Un utilisateur peut choisir d’imprimer plusieurs pages d’un document sur une même feuille de papier, de sorte que le nombre de pages n’indique pas toujours le nombre de feuilles utilisées par la tâche. Par exemple, un document de 20 pages imprimé à raison de 2 pages par feuille utilise seulement 10 feuilles.40 Chapitre 4 Gestion du service d’impression Le nombre de feuilles représente la quantité de papier utilisée et permet d’appliquer des quotas d’impression utilisateur. Dans l’exemple du paragraphe précédent, le nombre de feuille d’une tâche contenant un document de 20 pages était de seulement 10. Remarque : le nombre de feuilles est précis pour les clients Macintosh qui impriment à partir d’applications ne générant pas leur propre code Postscript. Les tâches créées par d’autres applications ou ordinateurs ne contiennent pas forcément les informations nécessaires au calcul précis du nombre de feuilles. Suspension d’une tâche d’impression Lorsque vous placez une tâche d’impression en attente, elle n’est pas imprimée tant que vous n’annulez pas cette mise en attente. Si la tâche était en cours d’impression, celle-ci est annulée et la tâche reste dans la file. Lorsque vous reprenez la tâche, l’impression redémarre au début. Pour suspendre une tâche d’impression : 1 Dans Admin Serveur, sélectionnez Impression dans la liste Ordinateurs et services. 2 Cliquez sur Tâches. 3 Sélectionnez la file d’attente dans la liste locale. 4 Sélectionnez une tâche et cliquez sur le bouton Suspendre (sous la liste). Cliquez en maintenant enfoncée la touche Maj ou la touche Commande afin de sélectionner plusieurs tâches. Bouton SuspendreChapitre 4 Gestion du service d’impression 41 Reprise d’une tâche d’impression Lorsqu’une tâche d’impression a été suspendue, elle n’est pas imprimée tant que vous ne procédez pas à sa reprise. Lorsque vous reprenez la tâche, l’impression redémarre au début. Remarque : si vous suspendez l’ensemble de la file d’attente d’impression, vous devez également la redémarrer pour imprimer la tâche. Pour relancer une tâche d’impression : 1 Dans Admin Serveur, sélectionnez Impression dans la liste Ordinateurs et services. 2 Cliquez sur Tâches. 3 Sélectionnez la file d’attente dans le menu local. 4 Sélectionnez la tâche et cliquez sur le bouton Démarrer (sous la liste). Cliquez en maintenant enfoncée la touche Maj ou la touche Commande afin de sélectionner plusieurs tâches. La tâche est imprimée après toutes les autres tâches de la file qui présentent la même priorité. Bouton Démarrer42 Chapitre 4 Gestion du service d’impression Suppression d’une tâche d’impression Vous pouvez utiliser Admin Serveur pour supprimer une tâche et empêcher son impression. Pour supprimer une tâche d’impression : 1 Dans Admin Serveur, sélectionnez Impression dans la liste Ordinateurs et services. 2 Cliquez sur Tâches. 3 Sélectionnez la file d’attente dans la liste locale. 4 Sélectionnez la tâche et cliquez sur le bouton Supprimer (sous la liste). Toute page déjà envoyée à l’imprimante continue d’être imprimée, même après la suppression de la tâche. Bouton SupprimerChapitre 4 Gestion du service d’impression 43 Gestion des quotas d’impression Cette section explique comment effectuer la gestion quotidienne des quotas d’impression. Suspension des quotas d’une file d’attente Vous pouvez utiliser Admin Serveur pour appliquer et suspendre les quotas d’impression de files d’attente spécifiques. Si vous suspendez les quotas d’une file d’attente, tous les utilisateurs peuvent imprimer sur cette file sans limitations. Pour suspendre les quotas d’une file d’attente d’impression : 1 Dans Admin Serveur, sélectionnez Impression dans la liste Ordinateurs et services. 2 Cliquez sur Réglages, puis sur Files d’attente. 3 Sélectionnez la file d’attente à modifier, puis cliquez sur Modifier. 4 Désélectionnez l’option “Appliquer les quotas pour cette file”. 5 Cliquez sur Enregistrer, puis sur le bouton Précédent (dans le coin supérieur droit). A partir de la ligne de commande Vous pouvez également désactiver les quotas à l’aide de la commande serveradmin dans Terminal. Pour plus d’informations, consultez le chapitre relatif au service d’impression dans le guide d’administration des lignes de commande.44 Chapitre 4 Gestion du service d’impression Gestion des historiques d’impression Cette section explique comment afficher et archiver les historiques du service d’impression et des files d’attente. Affichage des historiques du service d’impression et des files d’attente Le service d’impression conserve deux types d’historique : un historique du service d’impression et des historiques individuels pour chaque file d’attente d’impression. L’historique du service d’impression consigne des événements tels que l’heure de démarrage et d’arrêt du service ou l’heure de suspension d’une file d’attente. Les historiques des files d’attente d’impression consignent des informations telles que l’utilisateur ayant envoyé une tâche et la taille des tâches. Vous pouvez afficher les historiques du service d’impression à l’aide d’Admin Serveur. Pour afficher les historiques du service d’impression : 1 Dans Admin Serveur, sélectionnez Impression dans la liste Ordinateurs et services. 2 Cliquez sur Hist., puis sélectionnez un historique dans le menu local Afficher. Les historiques se trouvent dans le répertoire /Bibliothèque/Logs/PrintService. Les historiques des tâches sont nommés après leur file d’attente (par exemple, PrintService.mafile.job.log). La date d’archivage est ajoutée aux historiques archivés (par exemple, PrintService.myqueue.job.log.20021231).Chapitre 4 Gestion du service d’impression 45 A partir de la ligne de commande Vous pouvez également afficher les historiques à l’aide de la commande cat ou tail dans Terminal. Pour plus d’informations, consultez le chapitre relatif au service d’impression dans le guide d’administration des lignes de commande. Archivage des historiques du service d’impression Vous pouvez utiliser Admin Serveur pour indiquer la fréquence à laquelle les historiques du service d’impression sont archivés et les nouveaux historiques sont démarrés. Pour établir la périodicité d’archivage des historiques : 1 Dans Admin Serveur, sélectionnez Impression dans la liste Ordinateurs et services. 2 Cliquez sur Réglages, puis sur Consignation. 3 Sélectionnez “Archiver l’historique du serveur tous les” et tapez le nombre de jours après lesquels vous souhaitez archiver l’historique et en démarrer un nouveau. Le fichier d’historique actuel du service est nommé PrintService.server.log. La date d’archivage est ajoutée aux historiques archivés (par exemple PrintService.server.log.20030731 pour un fichier archivé le 31 juillet 2002). 4 Sélectionnez “Archiver l’historique des tâches tous les” et tapez l’intervalle d’archivage. Les historiques des tâches archivés (et les historiques actuels) se trouvent dans le répertoire /Bibliothèque/Logs/PrintService. Les fichiers sont nommés après leur file d’attente (par exemple PrintService.myqueue.job.log). La date d’archivage est ajoutée aux historiques archivés (par exemple, PrintService.myqueue.job.log.20021231).46 Chapitre 4 Gestion du service d’impression A partir de la ligne de commande Vous pouvez également définir l’intervalle d’archivage à l’aide de la commande serveradmin dans Terminal. Pour plus d’informations, consultez le chapitre relatif au service d’impression dans le guide d’administration des lignes de commande. Suppression de fichiers d’historique archivés Les fichiers d’historique du service d’impression sont stockés dans le répertoire /Bibliothèque/Logs/PrintService. Vous pouvez supprimer les fichiers inutiles comme n’importe quel autre fichier, à l’aide du Finder. Des scripts fournis avec Mac OS X Server vous permettent de récupérer l’espace disque occupé par les fichiers d’historiques. Pour plus d’informations, consultez le chapitre relatif au service d’impression dans le guide d’administration des lignes de commande. A partir de la ligne de commande Vous pouvez également supprimer les fichiers d’historique archivés à l’aide de la commande rm dans Terminal. Pour plus d’informations, consultez le chapitre relatif au service d’impression dans le guide d’administration des lignes de commande. Historiques CUPS Un ensemble distinct de fichiers d’historique est géré par le service CUPS (Common UNIX Print Service) utilisé par le service d’impression. Ces historiques sont stockés dans le répertoire /var/log/cups.5 47 5 Résolution des problèmes Dépannage du service d’impression Essayez d’appliquer les recommandations suivantes pour résoudre ou éviter les problèmes d’impression lors de l’utilisation du service d’impression. Le service d’impression ne démarre pas • Vérifiez que le numéro de série du logiciel du serveur a été saisi correctement et n’est pas périmé. Pour vérifier le numéro, ouvrez Admin Serveur, sélectionnez le serveur dans la liste Ordinateurs et services, puis cliquez sur Vue d’ensemble. Pour saisir un nouveau numéro de série, cliquez sur Réglages. • Examinez l’historique du service d’impression afin de détecter toute indication d’un problème. Ouvrez Admin Serveur, sélectionnez Impression dans la liste Ordinateurs et services, puis cliquez sur Historiques. Les clients ne parviennent pas à ajouter une file d’attente • Assurez-vous que le service d’impression est en cours d’exécution. Ouvrez Admin Serveur et sélectionnez Impression dans la liste Ordinateurs et services. Si le service n’est pas en cours d’exécution, cliquez sur Démarrer le service. • Assurez-vous que la file d’attente est correctement partagée. Le protocole SMB est destiné aux utilisateurs Windows uniquement. Le protocole LPR est un protocole standard que les utilisateurs de (certains) ordinateurs Windows, de même que Macintosh, UNIX et autres modèles, peuvent utiliser pour leurs tâches d’impression. Les utilisateurs ne parviennent pas à imprimer • Assurez-vous que le service d’impression est en cours d’exécution. Ouvrez Admin Serveur et sélectionnez Impression dans la liste Ordinateurs et services. Si le service n’est pas en cours d’exécution, cliquez sur Démarrer le service. • Assurez-vous que la file d’attente a été ajoutée. Sur les ordinateurs Mac OS 8 ou Mac OS 9, utilisez le Sélecteur (pour les files d’attente AppleTalk) ou l’Utilitaire Services d’impression (pour les files d’attente LPR) pour vérifier la configuration de l’imprimante. Sous Mac OS X, utilisez l’utilitaire Configuration d’imprimante ou le Centre d’impression pour ajouter des files d’attente à la liste des imprimantes. • Vérifiez que les paramètres TCP/IP des clients Mac OS sont configurés correctement.48 Chapitre 5 Résolution des problèmes • Si les clients Windows NT 4.x ne parviennent pas à imprimer sur le serveur, assurezvous que la file d’attente ne porte pas le même nom que l’adresse TCP/IP de l’imprimante ou du serveur. Utilisez le nom d’hôte DNS à la place de l’adresse de l’imprimante ou du serveur, et s’il n’en existe pas, tapez un nom de file composé exclusivement de lettres et de chiffres. Les tâches d’une file d’attente du serveur ne s’impriment pas • Assurez-vous que ni la file d’attente ni les tâches qu’elle contient ne sont suspendues. Ouvrez Admin Serveur, sélectionnez Impression dans la liste Ordinateurs et services, puis cliquez sur Files d’attente et Tâches. • Vérifiez que l’imprimante est bien connectée au serveur ou au réseau auquel le serveur est connecté. • Vérifiez que l’imprimante est allumée et que le problème ne vient pas de l’imprimante elle-même (plus de papier, bourrage, etc.). • Pour plus de détails, examinez les historiques d’impression. Ouvrez Admin Serveur, sélectionnez Impression dans la liste Ordinateurs et services, puis cliquez sur Historiques. La file d’attente devient indisponible • Si vous avez modifié le nom d’une file qui a déjà été partagée, les tâches d’impression que l’utilisateur envoie à l’ancienne file (ancien nom) ne seront pas imprimées. Les utilisateurs devront reconfigurer leur ordinateur afin de pouvoir imprimer sur la file ayant changé de nom. 49 Glossaire Glossaire CUPS (Common UNIX Printing System) Infrastructure d’impression multiplateforme basée sur le protocole IPP (Internet Printing Protocol). Le Centre d’impression Mac OS X, son système d’impression sous-jacent, et le service d’impression de Mac OS X Server sont basés sur CUPS. Pour plus d’informations, consultez le site www.cups.org. fichier PPD (Postscript Printer Description) Fichier contenant des informations sur les fonctionnalités d’un modèle d’imprimante particulier. Le fichier PPD contient les commandes dont vous avez besoin pour tirer parti de fonctionnalités particulières telles que l’utilisation de plusieurs bacs d’alimentation en papier, l’adoption de formats de papier spéciaux ou l’impression recto-verso. Le modèle d’imprimante que vous choisissez lors de l’ajout d’une imprimante spécifie le fichier PPD utilisé avec l’imprimante. file d’attente Zone d’attente ordonnée dans laquelle des éléments attendent d’être traités par le système. Voir aussi file d’attente d’impression. file d’attente d’impression Zone d’attente ordonnée dans laquelle les tâches d’impression attendent qu’une imprimante soit disponible. Le service d’impression de Mac OS X Server utilise des files d’attente d’impression sur le serveur pour faciliter la gestion. IPP (Internet Printing Protocol) Protocole client/serveur pour l’impression via Internet. L’infrastructure d’impression Mac OS X et le service d’impression de Mac OS X Server basé sur cette infrastructure gèrent le protocole IPP. LPR (Line Printer Remote) Protocole standard d’impression via TCP/IP. Rendezvous Protocole développé par Apple pour la détection automatique d’ordinateurs, de périphériques et de services sur les réseaux IP. Cette proposition de protocole standard Internet est parfois appelé “ZeroConf” ou “multicast DNS” (multidiffusion DNS). Pour plus d’informations, consultez le site www.apple.com ou www.zeroconf.org.50 Glossaire SMB (Server Message Block) Protocole permettant à des ordinateurs clients d’accéder à des fichiers et à des services de réseau. Il peut être utilisé via TCP/IP, Internet ou d’autres protocoles. Les services Windows utilisent le protocole SMB pour fournir l’accès aux serveurs, imprimantes et autres ressources réseau. USB (Universal Serial Bus) Norme de communication entre un ordinateur et des périphériques externes utilisant un câble de connexion directe bon marché. 51 Index Index A Admin Serveur affichage des historiques du service d’impression 44 ajout de files d’attente 12 application de quotas pour les files d’attente 19– 21 archivage des fichiers d’historique 45 arrêt des files d’attente 33 arrêt du service d’impression 31 attribution d’un nouveau nom aux files d’attente 36 désignation d’une file d’attente LPR par défaut 37 Inspecteur 16 modification des quotas de files d’attente d’impression 43 reconfiguration des files d’attente d’impression 35 redémarrage des files d’attente d’impression 34 redémarrage de tâches d’impression 41 suppression de files d’attente d’impression 38 suppression de tâches d’impression 42 surveillance des files d’attente d’impression 32 surveillance des tâches d’impression 39 surveillance du service d’impression 30 suspension de tâches d’impression 40 affichage des fichiers d’historique 44 arrêt d’une file d’attente 33 arrêt du service d’impression 31 attribution de noms aux imprimantes et aux files d’attente. Voir nom des files d’attente authentification 10 C centre d’impression ajout d’une file d’attente AppleTalk 24 ajout d’une file d’attente LPR 24 classes d’imprimantes 10 Common Unix Printing System (CUPS) Voir CUPS comptabilisation. Voir quotas configuration d’une file d’attente 35 CUPS (Common Unix Printing System) 5 classes d’imprimantes 10 fichiers d’historique 46 D démarrage d’une file d’attente 34 démarrage du service d’impression 18 dépannage 47 F fichier PPD (Postscript Printer Description). Voir fichiers PPD fichiers d’historique affichage 30, 44 archivage 45 configuration de la fréquence d’archivage 15 convention d’appellation 44, 45 CUPS 46 emplacement 45 gestion 44 suppression 46 fichiers PPD affichage des fichiers installés 23 examen du contenu 17 spécifiés dans Open Directory 16 vue d’ensemble 23 file d’attente LPR par défaut ajout d’une file d’attente 13 modification 37 spécification 14 files d’attente ajout 12 ajout dans Mac OS X via AppleTalk 24 ajout dans Mac OS X via LPR 24 arrêt 33 attribution d’un nouveau nom 36 inclusion dans Open Directory 16 par défaut 37 publication via Rendezvous 16 reconfiguration 35 redémarrage 34 suppression 38 surveillance 32 vue d’ensemble 6–852 Index files d’attente d’impression. Voir files d’attente I impression AppleTalk clients Mac OS 8 ou 9 26 clients Mac OS X 24 impression LPR choix de la file d’attente par défaut par le client 14 clients Mac OS 8 ou 9 26 clients Mac OS X 24 clients Unix 27 configuration de la file d’attente par défaut 37 impression SMB clients Windows 27 configuration d’une file d’attente pour les clients Windows 13 imprimante AppleTalk ajout d’une file d’attente 13 imprimantes USB (Universal Serial Bus) 8 Inspecteur dans Admin Serveur 16 IPP (Internet Printing Protocol) service d’impression et sécurité 10 IPP (Internet Printing Protocol) Voir IPP N nombre de feuilles définition 40 vérification pour une tâche 39 nombre de pages définition 39 vérification pour une tâche 39 nom de partage 36 nom des files d’attente considérations et restrictions 13 modification 36 nom de partage 13 nom des imprimantes. Voir nom des files d’attente O Open Directory inclusion des files d’attente LPR 16 ordinateurs client, Mac OS 8 et 9 configuration de l’impression 26 ordinateurs client, Mac OS X configuration de l’impression 24 ordinateurs client, UNIX configuration de l’impression 27 ordinateurs client, Windows configuration de l’impression 27 Q quotas application 19 basés sur le nombre de feuilles 40 configuration 19 gestion 43 sécurité 10 vue d’ensemble 19 R redémarrage d’une file d’attente 34 Rendezvous publication de files d’attente LPR 16 S sélecteur configuration de l’impression via AppleTalk 26 service d’impression ajout de files d’attente 12 applications de gestion 5 arrêt 31 clients compatibles 9 clients UNIX 27 clients Windows 27 configuration de clients Mac OS X 24 configuration des clients Mac OS 8 et 9 26 démarrage 18 dépannage 47 imprimantes compatibles 8 surveillance 30 vue d’ensemble 5 vue d’ensemble de la configuration 11 suppression d’une file d’attente 38 suppression d’une tâche 42 T tâches d’impression redémarrage 41 suppression 42 surveillance 39 suspension 40 U Universal Serial Bus (USB) Voir imprimantes USB utilitaire Configuration d’imprimante ajout d’une file d’attente AppleTalk 24 configuration d’une classe d’imprimantes 10 utilitaire de configuration d’imprimante ajout d’une file d’attente AppleTalk 24 utilitaire Service d’impression configuration de l’impression LPR 26 Bienvenue sur Panther Découvrez les possibilités de Mac OS X et des applications Mac OS X Apple Computer, Inc. © 2004 Apple Computer, Inc. Tous droits réservés. Le logo Apple est une marque d’Apple Computer, Inc., déposée aux États-Unis et dans d’autres pays. En l’absence du consentement écrit d’Apple, l’utilisation à des fins commerciales de ce logo via le clavier (Option + 1) pourra constituer un acte de contrefaçon et/ou de concurrence déloyale. Apple, le logo Apple, iLife, iMovie, iTunes, Mac et Mac OS sont des marques d’Apple Computer, Inc., déposées aux États-Unis et dans d’autres pays. Finder, GarageBand, iDVD, iPhoto, iPod, iSight, Panther, Safari, SnapBack et SuperDrive sont des marques d’Apple Computer, Inc. .Mac est une marque de service d’Apple Computer, Inc. Étant donné qu’Apple sort régulièrement de nouvelles versions et mises à jour de son logiciel, les images présentées dans ce manuel peuvent être légèrement différentes de celles que vous voyez à l’écran. 3 1 Bienvenue sur Panther Mac OS X s’adapte à votre façon de travailler. Sa simplicité et sa puissance vous permettent de dialoguer avec des amis, d’organiser votre bureau, de classer votre album photos et de faire des dizaines d’autres choses à la fois, rapidement et facilement. Accédez rapidement à vos disques, serveurs et dossiers favoris dans les fenêtres du Finder. Changez d’utilisateurs sans quitter vos applications. Utilisez iChat AV pour prendre part à des conversations vidéo avec vos amis ou collègues.4 Centré sur vous Mac OS X vous place au centre de votre ordinateur, ce qui facilite la recherche de vos fichiers où qu’ils se trouvent. La colonne située à gauche de toutes les fenêtres du Finder vous permet d’accéder facilement à votre iDisk, au réseau, à votre dossier de départ et autres dossiers favoris. Pour plus d’informations, recherchez les rubriques suivantes dans l’aide : • Utilisation du Finder • Navigation sur votre réseau • Utilisation de votre dossier de départ • Ouverture et enregistrement des documents • Recherche de vos fichiers Pour rechercher rapidement un fichier ou un dossier, tapez son nom ici. Votre disque dur, votre iDisk, vos serveurs et les supports amovibles tels que votre iPod apparaissent dans la colonne de gauche de toutes les fenêtres du Finder. Conservez votre dossier de départ et autres éléments favoris dans cette partie de la fenêtre du Finder. Utilisez votre dossier de départ pour stocker vos documents, vos photos, votre musique et bien plus encore. Parcourez l’aide pour obtenir les réponses à vos questions. 5 Facilité d’accès étendue Sous Mac OS X Panther, vous disposez des mêmes options d’accès aux emplacements lors de l’ouverture et de l’enregistrement des fichiers dans des applications que lors de la recherche de fichiers dans le Finder. Cliquez sur la loupe pour choisir l’emplacement de la recherche, puis tapez le nom du fichier que vous recherchez. Double-cliquez sur un fichier pour l’ouvrir. Double-cliquez sur un dossier pour l’ouvrir dans sa propre fenêtre du Finder. Cliquez ici pour effectuer à nouveau une recherche. Recherche de fichiers La recherche de fichiers dans le Finder est rapide et simple. Il vous suffit de taper ce que vous cherchez dans le champ de recherche. Vous voyez s’afficher les résultats immédiatement à mesure que vous tapez. Ouverture et enregistrement Les zones de dialogue Ouvrir et Enregistrer affichent la même vue que celle du Finder afin que vous puissiez accéder à votre iDisk, au réseau et autres dossiers favoris. Cliquez sur les boutons Présentation par liste ou Présentation par colonnes pour changer la vue. Choisissez les emplacements récemment utilisés dans le menu local ou utilisez les boutons Précédent ou Suivant. Les applications peuvent inclure d’autres options ici.6 Personnalisation du Finder Le Finder dispose de nombreuses fonctionnalités pratiques vous permettant de travailler à votre guise. Vous pouvez personnaliser la fenêtre du Finder pour accéder rapidement aux fichiers et dossiers que vous utilisez le plus et aux actions que vous effectuez le plus souvent. Pour plus d’informations, recherchez les rubriques suivantes dans l’aide : • Personnalisation du Finder • Ajout d’éléments à la barre latérale • Utilisation de votre dossier de départ • Sélection d’étiquettes Sélectionnez les éléments auxquels vous accédez le plus souvent pour les afficher dans la fenêtre du Finder. Ajoutez des boutons à la barre d’outils pour vos actions préférées. Pour accéder rapidement aux fichiers de projets et à vos dossiers favoris, glissez-les dans la colonne de gauche de la fenêtre du Finder. Cliquez sur ce bouton pour éjecter un CD, un DVD, un iPod, un serveur ou autre support amovible. 7 Personnalisation de vos fichiers Utilisez le menu local Action dans la barre d’outils pour affecter des étiquettes et effectuer d’autres actions sur les fichiers. Vous pouvez personnaliser les fenêtres du Finder et les étiquettes pour répondre à vos besoins. Actions Les éléments du menu local Action varient en fonction de l’élément sélectionné. Lorsque vous sélectionnez un fichier, vous pouvez lui attribuer une étiquette, le compresser ou choisir une application pour l’ouvrir. Pour afficher les icônes d’aperçu ou des informations sur les éléments, ou encore modifier la couleur de fond dans les fenêtres du Finder, choisissez Afficher les options de présentation dans le menu Présentation. Utilisez la fenêtre Étiquettes des préférences du Finder pour personnaliser le nom des étiquettes. Étiquettes Les étiquettes vous permettent d’identifier rapidement les documents importants. Vous pouvez personnaliser le libellé des étiquettes et rechercher des fichiers par étiquette. Vous pouvez également visualiser les étiquettes dans les zones de dialogue Ouvrir et Enregistrer.8 Une utilisation simplifiée Avec Mac OS X, il n’a jamais été aussi facile de travailler, même lorsque vous effectuez plusieurs tâches à la fois. Lorsqu’un trop grand nombre de fenêtres vous empêche de voir clairement ce que vous faites, activez Exposé pour les organiser par une simple pression de touche. Pour plus d’informations, recherchez les rubriques suivantes dans l’aide : • Personnalisation d’Exposé • Copiage d’éléments à l’aide d’Exposé • Passage d’une application à l’autre • Changement d’utilisateur Pour accéder instantanément à votre bureau, appuyez sur F11. Pour réafficher les fenêtres, appuyez de nouveau sur F11. Exposé Utilisez ces raccourcis pour afficher les fenêtres avec lesquelles vous travaillez ou votre bureau. Pour modifier les raccourcis par défaut d’Exposé ou utiliser les coins d’écrans, ouvrez les Préférences Système et cliquez sur Exposé. Pour juxtaposer instantanément toutes vos fenêtres ouvertes, appuyez sur F9. Lorsque le pointeur est placé sur une fenêtre, le titre de la fenêtre apparaît. Pour accéder instantanément aux fenêtres de l’application active, appuyez sur F10. 9 Permutation rapide Mac OS X permet à plusieurs personnes de partager facilement un ordinateur. Panther vous permet en outre de changer d’utilisateur sans avoir à quitter les applications ouvertes. Sélectionnez cette option dans la fenêtre Options de session des préférences Comptes. Configuration Pour activer la Permutation rapide d’utilisateur, ouvrez les Préférences Système et cliquez sur Comptes, puis sur Options de session. Permutation d’utilisateurs Pour changer de compte utilisateur, choisissez le nom de l’utilisateur dans le menu situé en haut à droite de l’écran, puis saisissez son mot de passe d’ouverture de session, si nécessaire. La coche indique que cet utilisateur est connecté. Permutation Une fois le mot de passe saisi, le bureau de l’utilisateur pivote pour s’afficher.10 Restez en contact Mac OS X vous offre de nombreuses possibilités pour garder le contact avec vos amis, votre famille et vos collègues. Avec iChat AV* et iSight, la vidéoconférence devient un jeu d’enfant que ce soit pour une discussion professionnelle, une conversation entre amis ou pour garder le contact avec votre famille. * Pour utiliser iChat AV, vous devez disposer d’un compte .Mac ou AIM. Pour plus d’informations, recherchez les rubriques suivantes dans l’aide : • Utilisation d’iChat AV • Configuration de votre compte .Mac • Organisation de votre courrier électronique • Attribution d’adresses pour les messages Cliquez sur ce bouton pour ajouter une personne à votre liste de contacts et à votre Carnet d’adresses. Envoyez un message instantané à un groupe de contacts .Mac et AIM. Cliquez ici pour afficher votre vidéo en mode plein écran. Cette personne est disponible pour une conversation audio. Utilisez la conversation audio au lieu du téléphone. Cette personne est disponible pour une conversation vidéo. Pour savoir ce que voit votre contact, consultez l’image dans l’image. 11 Dites-le par courrier électronique Utilisez Mail pour recevoir des messages électroniques de vos amis et de vos collègues et leur en envoyer. Vous découvrirez de nouvelles façons d’organiser les messages que vous recevez et d’inscrire les adresses des messages que vous envoyez. Soyez organisé Le visualiseur de Mail vous permet de regrouper tous les messages sur le même thème ou par “segment”. Cliquez sur le premier message d’un segment pour sélectionner l’ensemble du segment. Lorsque vous sélectionnez un segment, un récapitulatif des messages de ce segment s’affiche. Cliquez sur un message pour l’ouvrir. Pour savoir si vous avez répondu à un message, recherchez la dans la colonne d’état. Adresses Pour saisir une adresse, commencez à saisir le nom d’une personne de votre Carnet d’adresses, puis Mail complétera l’adresse automatiquement. Pour déplacer une adresse du champ À au champ Cc, glissez-la tout simplement. Cliquez sur une adresse pour la modifier, l’ajouter à votre Carnet d’adresses ou choisir une autre adresse. Certaines personnes possèdent plusieurs adresses électroniques. Mail peut signaler les adresses afin que vous soyez certain d’envoyer vos messages à la bonne adresse. Utilisez le texte stylé et des graphiques dans vos messages.12 Restez mobile Mac OS X vous permet d’accéder à tout instant à vos données importantes depuis n’importe quel ordinateur connecté à Internet. Les fichiers stockés sur votre iDisk* sont toujours disponibles, même hors connexion, et sont automatiquement synchronisés lorsque vous êtes connecté. * Pour utiliser iDisk, vous devez disposer d’un compte .Mac. Pour plus d’informations, recherchez les rubriques suivantes dans l’aide : • Configuration de votre iDisk • Synchronisation de vos données • Sécurisation de votre ordinateur • Activation de FileVault Conservez vos documents sur votre iDisk afin de pouvoir les utiliser à tout moment. Vous pouvez utiliser iSync pour synchroniser les contacts de votre Carnet d’adresses, les calendriers iCal et les signets Safari avec le serveur .Mac. Lorsque vous êtes connecté, votre iDisk se synchronise automatiquement afin que vos fichiers soient toujours disponibles. 13 Tranquillité d’esprit Que vous soyez au volant de votre voiture ou à la maison, la sécurité est primordiale. Activez FileVault pour crypter votre dossier de départ et sécuriser vos données importantes. Si vous avez oublié votre mot de passe d’ouverture de session, le mot de passe maître vous permettra d’accéder à vos données. Par contre, si vous oubliez les deux mots de passe, vos données seront définitivement perdues. FileVault Pour activer FileVault, utilisez les préférences Sécurité. Dans ce cas, vous devez définir un mot de passe maître. Utilisez les préférences Comptes pour activer FileVault pour les autres utilisateurs de votre ordinateur. Pour plus de sécurité, sélectionnez d’autres options pour demander un mot de passe pour accéder à votre ordinateur. Protection Lorsque FileVault est activé, vous travaillez de la même manière avec vos fichiers dans le Finder et les autres applications. Lorsque vous ouvrez un fichier, il est automatiquement décrypté et prêt à être utilisé. L’icône de votre dossier de départ est remplacée par l’icône FileVault pour indiquer que celui-ci est protégé.14 Un adressage simplifié Carnet d’adresses facilite le suivi des informations sur vos contacts. Vous pouvez utiliser ces informations pour envoyer des courriers électroniques, faxer un document ou ajouter un contact dans iChat AV. Vous pouvez également imprimer votre liste de contacts pour garder votre carnet d’adresses où que vous soyez. Pour plus d’informations, recherchez les rubriques suivantes dans l’aide : • Utilisation de Carnet d’adresses • Impression de vos adresses • Configuration des imprimantes • Envoi et réception de télécopies Envoyez un message électronique à cette personne ou entamez une conversation avec elle. Utilisez les services de répertoires standard tels que LDAP. Créez des groupes pour organiser vos contacts. Pour ajouter des contacts, glissez-les dans le groupe. Recherchez des informations sur vos contacts en les tapant ici. Cliquez sur ces boutons pour créer un nouveau groupe ou ajouter une nouvelle fiche au Carnet d’adresses. 15 Impression et envoi par télécopie Imprimez les informations de votre Carnet d’adresses sous forme de liste ou d’étiquettes-adresses. Le nouveau télécopieur intégré vous permet d’envoyer des télécopies en utilisant les numéros correspondants stockés dans votre Carnet d’adresses. Impression Pour garder votre annuaire téléphonique où que vous soyez, imprimez les informations de votre Carnet d’adresses sous forme de liste, avec des photos. Vous pouvez également imprimer des étiquettes-adresses à partir de votre Carnet d’adresses. Sélectionnez les éléments que vous souhaitez inclure dans l’imprimé. Choisissez d’imprimer une liste ou des étiquettesadresses en utilisant les étiquettes Avery. Envoi par télécopie Vous pouvez envoyer des télécopies à vos contacts en utilisant les numéros de fax enregistrés dans votre Carnet d’adresses. Vous pouvez également recevoir des télécopies et en afficher un Aperçu.16 Visualisation optimale Aperçu est l’utilitaire de visualisation de fichiers PDF le plus rapide pour votre Mac. Quelle que soit la taille du fichier PDF, vous pouvez rechercher rapidement et facilement les informations dont vous avez besoin. Que vous affichiez les documents et les images à l’écran ou que vous les imprimiez depuis Aperçu, leur qualité sera toujours optimale. Pour plus d’informations, recherchez les rubriques suivantes dans l’aide : • Utilisation d’Aperçu • Sélection des polices à utiliser dans les documents • Création de collections de polices • Réglage des options typographiques Cliquez sur un élément des résultats de recherche pour ouvrir la page correspondante. Utilisez les outils pour copier du texte et des images dans des fichiers PDF ou rogner vos fichiers d’images. Saisissez ici le texte à rechercher dans le fichier PDF. Utilisez Aperçu pour afficher les fichiers PDF et de nombreux types de fichiers d’images. 17 Une kyrielle de polices Mac OS X met à votre disposition un remarquable assortiment de polices. Le Livre des polices et la fenêtre des polices facilitent l’installation, l’aperçu et la gestion de toutes vos polices. Saisissez ici le nom d’une police pour la retrouver facilement. Livre des polices Utilisez le Livre des polices pour installer, prévisualiser et organiser vos polices. Pour organiser vos polices, créez une collection et glissez les polices à l’intérieur. Si vous ne souhaitez pas qu’une police figure dans la fenêtre des polices, sélectionnez-la et cliquez sur Désactiver. Déplacez le curseur pour visualiser la police sélectionnée dans différentes tailles. Pour installer une police, vous pouvez doublecliquer sur son icône dans le Finder ou cliquer sur le bouton Ajouter (+) sous la colonne Police. Sélectionnez souligné, barré, couleur ou ombre détourée. Si vous avez simplement besoin de choisir des polices, vous pouvez redimensionner la fenêtre des polices pour afficher uniquement les menus locaux. Fenêtre des polices Lorsque vous travaillez sur un document, utilisez la fenêtre des polices pour sélectionner les polices, les styles et les fonctions typographiques de la police. Vous pouvez accéder aux mêmes collections que celles créées dans le Livre des polices. Vous pouvez également créer de nouvelles collections ou ajouter des polices à la collection Favoris. Cliquez sur le bouton Action pour sélectionner les propriétés typographiques de la police.18 Se connecter Mac OS X vous permet de vous connecter facilement à votre réseau ou à Internet. Une fois que vous êtes connecté, les applications comme Safari, iChat AV et iTunes rendent l’utilisation d’Internet plus productive et plus amusante. Pour plus d’informations, recherchez les rubriques suivantes dans l’aide : • Se connecter • Partage de vos fichiers • Recherche sur Internet • Exploration d’Internet Utilisez les icônes d’état pour démarrer les connexions. Consultez l’état de votre connexion dans les préférences Réseau. Cliquez sur Réseau dans une fenêtre du Finder pour rechercher et vous connecter aux serveurs réseau Mac, Windows et UNIX. Cliquez ici pour obtenir de l’aide sur la configuration d’une connexion. De nombreuses applications Mac OS X utilisent Internet. 19 Partage et navigation Partager vos fichiers, dossiers ou votre connexion Internet est simple et sûr. Safari est le navigateur Web le plus rapide et le plus simple à utiliser pour Mac. Partage Utilisez les préférences Partage pour activer les services réseau qui répondent à vos besoins, y compris le partage avec les ordinateurs Windows et Internet. Coupez votre réseau du monde extérieur en utilisant un coupe-feu personnel. Cliquez sur ces boutons pour partager votre connexion Internet avec d’autres ordinateurs de votre réseau et activer la protection Coupe-feu personnel. L’adresse permettant d’accéder à un service s’affiche ici. Safari Safari affiche les pages Web à une vitesse incroyable. La recherche de sites Web est un jeu d’enfant grâce au champ de recherche de Google intégré. Cliquez sur le bouton Ajouter aux Signets (+) pour mettre un signet à une page Web. La navigation par onglets vous permet d’ouvrir plusieurs pages Web dans la même fenêtre. Utilisez les boutons SnapBack pour retourner à votre page Web de départ ou à vos résultats de recherche Google.20 Compatibilité avec Windows Mac OS X s’intègre sans encombre dans les réseaux Windows afin que vous puissiez partager des documents et des imprimantes. Vous pouvez établir une connexion sécurisée à un réseau Windows sur Internet et accéder aux serveurs Microsoft Exchange. Pour plus d’informations, recherchez les rubriques suivantes dans l’aide : • Connexion aux ordinateurs Windows • Partage de vos fichiers avec des ordinateurs Windows • Connexion à l’aide du VPN • Ouverture et enregistrement des documents Recherchez les serveurs Windows et les dossiers partagés dans le Finder. De nombreuses applications, telles que Microsoft Word, sont disponibles à la fois pour les ordinateurs Mac et Windows afin que vous puissiez facilement partager vos fichiers. Vous pouvez également utiliser la boîte de dialogue Se connecter au serveur pour accéder aux serveurs dans le Finder. Utilisez votre iDisk pour partager des documents avec des utilisateurs de Windows. 21 Connexion à Windows Utilisez Connexion à Internet pour établir des connexions VPN à distance vers des réseaux d’entreprise Windows et Cisco. Utilisez Mail et Carnet d’adresses avec les services de courrier Microsoft Exchange. Choisissez Modifier la configuration ici pour configurer votre connexion VPN. Sélectionnez cette option si vous utilisez une carte RSA SecurID. Saisissez les informations fournies par votre administrateur système. VPN Dans Connexion à Internet, choisissez Nouvelle connexion VPN dans le menu Fichier, puis sélectionnez L2TP via IPSec. Il s’agit du même standard que celui utilisé par les réseaux Windows. Services Exchange Étant donné que Mail et Carnet d’adresses sont compatibles avec les serveurs Microsoft Exchange, vous pouvez accéder aux mêmes adresses que celles d’un serveur Exchange. Sélectionnez cette option dans les préférences Carnet d’adresses. Dans les préférences Mail, créez un nouveau compte et choisissez Exchange dans le menu local Type de compte.22 Tirez le meilleur parti d’iLife De plus en plus, nous utilisons les appareils numériques pour immortaliser les meilleurs moments de notre vie. iLife vous permet d’en choisir facilement les temps forts, de les rassembler à votre guise et de les partager avec d’autres personnes. *iTunes Music Store et certains services iPhoto peuvent ne pas être disponibles dans votre pays. Pour utiliser certains services iPhoto, vous devez posséder un compte .Mac. Pour plus d’informations, recherchez les rubriques suivantes dans l’aide : • Utilisation d’iTunes pour l’achat de musique • Création d’un diaporama avec iPhoto • Réalisation de films avec iMovie • Production de vos propres DVD Commandez des tirages ou un album, partagez vos photos en utilisant .Mac, ou affichez-les sur votre bureau.* Transformez vos photos en diaporama en ajoutant de la musique depuis iTunes. Créez des listes de lecture pour organiser votre musique. Achetez de la musique sur l’iTunes Music Store.* Créez vos propres films en utilisant iMovie et votre caméscope numérique. 23 Photos et films iPhoto et iMovie vous permettent de capturer vos photos et films numériques avant de les utiliser pour créer des présentations et des films intéressants. Retouchez vos photos et effectuez un zoom avant pour visualiser les détails. iPhoto Créez des albums pour organiser vos photos dans iPhoto. Pour que vos images soient prêtes à être partagées, vous pouvez les retoucher et les rogner à la taille voulue. Glissez le cadre pour sélectionner la zone à retravailler ou à rogner, ou choisissez la taille standard dans le menu local Imposer le format. Utilisez les navigateurs iMedia pour ajouter des clips vidéo, des photos et de la musique, ou préparer la gravure de votre propre DVD. iMovie Utilisez iMovie pour rassembler vos séquences, vos images et votre musique. Vous pouvez ajouter des effets, des titres et des transitions pour peaufiner vos créations. Glissez des scènes ou transitions dans la chronologie, puis glissez-les de nouveau pour les arranger. Ajoutez un mouvement panoramique et zoom aux photos statiques en utilisant l’effet Ken Burns.24 Créez votre propre musique GarageBand transforme votre Mac en un véritable studio d’enregistrement doté de plusieurs centaines d’instruments pour vous permettre de créer, jouer et enregistrer votre propre musique. Créez vos propres DVD Utilisez iDVD* pour créer des DVD et partager les films et les diaporamas que vous avez créés avec vos amis et votre famille. * Pour graver un DVD, votre ordinateur doit être équipé d’un lecteur SuperDrive. iDVD peut ne pas être installé sur votre ordinateur. GarageBand Créez des morceaux à l’aide d’instruments intégrés, de boucles Apple Loops et d’enregistrements d’instruments réels. Ajoutez votre musique originale à vos diaporamas ou menus DVD, gravez-la sur CD ou utilisez-la en accompagnement sur vos projets iMovie. Avec GarageBand, vous disposez d’un contrôle total de vos pistes, de manière à obtenir exactement le son que vous recherchez. Utilisez une boucle Apple Loop pour commencer à créer votre tout premier morceau. iDVD Choisissez un film ou un album photo pour commencer votre DVD. Ensuite, personnalisez vos menus DVD pour parcourir votre création. Lorsque vous êtes prêt, gravez un DVD. Créez un diaporama en utilisant un album iPhoto et en important de la musique depuis iTunes. Créez des menus DVD personnalisés en utilisant vos séquences, votre musique et vos photos. Cliquez sur ce bouton pour graver votre DVD. Instructions de remplacement Respectez scrupuleusement les instructions de ce document. À défaut, vous risquez de détériorer votre matériel et d’invalider sa garantie. Remarque: Des instructions sont disponibles en ligne à l’adresse http://www.apple.com/support/doityourself/. Avertissement : Durant cette procédure, mettez les petites pièces hors de portée des enfants. Avertissement : Il existe des bords tranchants à l’intérieur de l’ordinateur. Soyez vigilant. Outils requis Les outils suivants sont nécessaires à l’exécution de cette procédure : • Tournevis cruciforme n°2 avec bout magnétique. • Petit tournevis plat • Pince à bec fin Ouverture de l’ordinateur Avertissement : Éteignez systématiquement l’ordinateur avant de l’ouvrir afin d’éviter d’endommager ses composants internes et de vous blesser. Après extinction, les composants internes risquent d’être très chauds. Attendez qu’ils refroidissent avant de poursuivre. 1. Placez l’ordinateur sur une surface propre et plane. 2. Si vous pensez que le mode Suspension d’activité est déclenché, appuyez sur le bouton d’alimentation en façade pour réactiver l’ordinateur. 3. Éteignez l’ordinateur et patientez cinq minutes avant de poursuivre. 4. Si vous avez installé un câble antivol, retirez-le. 5. Débranchez tous les autres câbles connectés à l’ordinateur, à l’exception du cordon d’alimentation. 1 Power Mac G4 (Mirrored Drive Door_FW 800) - Lower Fan F073-0800 Rev. A Ventilateur inférieur AppleCare6. Touchez les caches métalliques des connecteurs PCI, à l’arrière de l’ordinateur. (Figure 1) Important : Agissez toujours de même avant de toucher un élément ou d’installer un composant à l’intérieur de l’ordinateur. Pour éviter d’accumuler de l’électricité statique, ne vous déplacez pas dans la pièce avant d’avoir achevé l’installation et refermé l’ordinateur. 7. Débranchez le cordon d’alimentation. (Figure 2) Avertissement : Ne branchez jamais le cordon d’alimentation et ne mettez jamais l’ordinateur sous tension tant que les composants internes et externes ne sont pas tous en place et que le capot est ouvert. En transgressant ces règles, vous risqueriez d’endommager l’ordinateur ou de vous blesser. Assurez-vous que le cordon d’alimentation reste débranché jusqu’à la fin de la procédure, tant que l’ordinateur n’est pas refermé. Avertissement : Le bloc d’alimentation de votre ordinateur est un composant haute tension à n’ouvrir sous aucun prétexte, même lorsque l’ordinateur est éteint. S’il nécessite une intervention, contactez votre revendeur Apple ou votre Société de maintenance agréée Apple. 8. Soulevez le loquet situé sur le panneau latéral droit. 9. Abaissez délicatement le panneau latéral jusqu’à ce qu’il repose à plat. Afin de ne pas érafler le boîtier, prévoyez un linge doux et propre. Avertissement : Si des voyants sont allumés sur la carte mère, cela signifie que l’ordinateur n’est pas éteint. Refermez le panneau d’accès latéral et éteignez l’ordinateur avant de poursuivre. F073-0800 Rev. A Power Mac G4 (Mirrored Drive Door_FW 800) - Lower Fan 2 Figure 1 Figure 2Dépose du ventilateur 1. Retirez le cache arrière du berceau de lecteurs optiques en le faisant coulisser. (Figure 3) 2. Ôtez les deux vis fixant ce berceau au châssis. (Figure 4) 3 Power Mac G4 (Mirrored Drive Door_FW 800) - Lower Fan F073-0800 Rev. A Figure 3 Figure 43. Faites-le coulisser vers l’arrière et tourner de façon à pouvoir accéder aux câbles du ou des lecteurs de disques optiques. 4. Débranchez les câbles données et alimentation (P6 et P7) à l’arrière du ou des lecteurs optiques et extrayez le berceau de l’ordinateur. (Figure 5) 5. Débranchez le câble nappe ATA de la carte mère. (Figure 6) F073-0800 Rev. A Power Mac G4 (Mirrored Drive Door_FW 800) - Lower Fan 4 Figure 5 Figure 66. Débranchez le second câble nappe ATA de la carte mère et repliez-le vers l’arrière pour dégager le connecteur du câble de ventilateur inférieur. (Figure 7) 7. Attention : Le dispositif de verrouillage du connecteur du ventilateur est fragile. S’il venait à casser, le connecteur demeurerait néanmoins utilisable. Manipulez-le toutefois avec précaution. Au moyen d’un petit tournevis plat, soulevez délicatement le dispositif de verrouillage du câble du ventilateur tout en débranchant ce dernier de la carte mère. (Figure 8) 5 Power Mac G4 (Mirrored Drive Door_FW 800) - Lower Fan F073-0800 Rev. A Figure 7 Figure 88. Faites coulisser le ventilateur vers le haut, bien à la verticale, pour le désolidariser du support de lecteurs optiques, et retirez-le. (Figure 9) Installation du ventilateur de remplacement 1. A l’aide d’une pince à bec fin ou d’un tournevis plat, retirez les quatre goujons en plastique de la grille de protection amovible et du ventilateur. (Figure 10) 2. Utilisez les quatre vis fournies avec le ventilateur de remplacement pour fixer la grille de protection au ventilateur de remplacement. F073-0800 Rev. A Power Mac G4 (Mirrored Drive Door_FW 800) - Lower Fan 6 Figure 9 Figure 103. Installez le ventilateur de remplacement. Attention : Engagez le ventilateur de remplacement (illustration ci-dessous) de sorte que le câble soit situé en dessous du ventilateur, le connecteur du câble faisant face à la carte mère. (Le ventilateur de remplacement est orienté de 90° dans le sens des aiguilles d’une montre par rapport au ventilateur d’origine). Assurez-vous qu’aucun câble n’obstrue le passage et ne risque d’être écrasé dans l’opération. Alignez le ventilateur sur les trois loquets du support de lecteurs optiques et faites-le coulisser vers le bas, bien à la verticale, jusqu’à ce qu’il s’enclenche. (Figure 11) Remarque : Faites passer le câble du ventilateur en-dessous du câble nappe et au-dessus du câble souple plus étroit, comme dans l’illustration. (Figure 12) 4. Connectez le câble nappe ATA à la carte mère. 7 Power Mac G4 (Mirrored Drive Door_FW 800) - Lower Fan F073-0800 Rev. A Figure 11 Figure 125. Réinstallez le berceau de lecteurs optiques. Remarque : Avant de réinstaller ce berceau sur son support, assurez-vous que le faisceau de câbles d’alimentation passe dans la goulotte prévue à cet effet sur le panneau latéral. (Figure 13) Remarque : Tout en faisant coulisser le berceau sur son support, assurez-vous que le loquet situé sous le berceau s’enclenche dans l’encoche du support. (Figure 14) Connectez les câbles au lecteur optique. (Figure 15) F073-0800 Rev. A Power Mac G4 (Mirrored Drive Door_FW 800) - Lower Fan 8 Figure 13 Figure 14 Figure 15Remarque : Avant de réinstaller le cache arrière, assurez-vous que le bord supérieur de celui-ci s’adapte sur le bord supérieur du berceau de lecteurs optiques. (Figure 16) Attention : Veillez à ne pas écraser le câble d’alimentation entre le panneau et le berceau. Fixez les deux vis du berceau de lecteurs optiques. 9 Power Mac G4 (Mirrored Drive Door_FW 800) - Lower Fan F073-0800 Rev. A Figure 16 Figure 16Fermeture de l’ordinateur 1. Vérifiez que vous avez réinstallé toutes les vis et que tous les câbles internes sont connectés. 2. Relevez le panneau d’accès latéral, soulevez le loquet et pressez le panneau contre le boîtier jusqu’à ce qu’il s’enclenche. 3. Rebranchez tous les câbles et faites démarrer l’ordinateur. Avertissement : Ne mettez jamais l’ordinateur sous tension tant que ses composants internes et externes ne sont pas tous en place et que le capot est ouvert. En transgressant ces règles, vous risqueriez d’endommager l’ordinateur ou de vous blesser.  Apple Computer, Inc. © 2003 Apple Computer, Inc. Tous droits réservés. Ce manuel est protégé par la loi du 11 mars 1957 sur la propriété littéraire et artistique, complétée par la loi du 3 juillet 1985 et par toutes les conventions internationales applicables aux droits d’auteurs. En vertu de ces lois et conventions, aucune reproduction totale ni partielle de ce manuel n’est autorisée, sauf consentement écrit préalable d’Apple. Le logo Apple est une marque d’Apple Computer Inc., déposée aux États-Unis et dans d’autres pays. En l’absence du consentement écrit d’Apple, l’utilisation à des fins commerciales de ce logo via le clavier (Option - I) pourra constituer un acte de contrefaçon et/ou de concurrence déloyale. Tout a été mis en œuvre pour que les informations présentées dans ce manuel soient exactes. Apple n’est pas responsable des erreurs de reproduction ou d’impression. Apple Computer, Inc. 1 Infinite Loop Cupertino, CA 95014-2084 USA + 1 408 996 1010 http://www.apple.com Apple, le logo Apple, Mac, Macintosh et le logo Mac sont des marques d’Apple Computer Inc., déposées aux États-Unis et dans d’autres pays. Power Mac est une marque d’Apple Computer, Inc. F073-0800 Rev. A Power Mac G4 (Mirrored Drive Door_FW 800) - Lower Fan 10 1 Nouvelles fonctionnalités de Motion 3 Ce document présente les nouvelles fonctionnalités et améliorations offertes par Motion 3. Pour en savoir plus sur ces fonctionnalités et leur utilisation, consultez le Manuel de l’utilisateur de Motion et la Documentation complémentaire de Motion, disponible à partir du menu Aide de Motion. 3D Motion 3 prend désormais en charge un environnement de compositing multiplan à trois dimensions vous permettant de créer des graphismes d’animation en 3D élaborés, avec une profondeur et de nouveaux niveaux de réalisme.Dans l’espace de travail 3D de Motion il est possible de réaliser les actions suivantes :  ajouter et animer des caméras, des images et du texte le long de trajectoires à trois dimensions ;  créer des systèmes de particules et des réplicateurs avec hauteur, largeur et profondeur ;  appliquer des comportements tels que le lancement, la rotation et le vortex dans un espace 3D ;  appliquer de nouveaux comportements de caméra automatisant les balances de balayage et les zooms impressionnants ;  styliser les projets avec un mélange de modes de fusion et de lumières scéniques.2 Alignement et stabilisation Motion À l’aide des nouveaux comportements de suivi de l’animation, vous pouvez stabiliser les plans caméras pris à la main, aligner les points individuels d’une forme ou les masquer à l’arrière-plan, etc. Parmi les nouveaux comportements de suivi de l’animation figurent :  Comportement Suivre le mouvement : appliquez les données de suivi d’un élément du canevas à l’autre, les « verrouillant » ainsi l’un à l’autre. Vous pouvez faire correspondre le fichier image d’un logo à la vidéo d’arrière-plan d’un écran publicitaire de manière à ce que le logo apparaisse en superposition sur l’écran même lorsque la caméra bouge. Vous pouvez également appliquer les données de transformation d’un objet source animé à un autre objet de destination sans réaliser d’analyse. L’objet de destination bouge donc de la manière que l’objet source.  Comportement Stabiliser : analysez un film ou une séquence d’images avec le comportement Stabiliser afin de supprimer les mouvements non souhaités. Utilisez le comportement Stabiliser pour adoucir les plans pris à la main.  Comportement Déstabiliser :restaurez les mouvements vers ceux d’un plan déjà stabilisé. Ce comportement est pratique lorsque vous avez stabilisé un plan vidéo pour y ajouter un effet au premier plan mais que vous souhaitez restaurer les mouvements de caméra pour le composite final. Après avoir terminé de travailler sur les effets de premier plan, utilisez le comportement Déstabiliser pour appliquer à nouveau les données de mouvement d’origine à la fois à l’élément d’arrière-plan d’origine et au nouveaux éléments du premier plan.  Comportement Points de piste : alignez les points de contrôle d’une forme ou d’un masque (y compris les traits de peinture) sur des éléments en mouvement dans un plan. Vous pouvez par exemple dessiner un masque autour d’une automobile dans un plan, puis aligner les points de contrôle du masque sur les bords de l’auto en mouvement, l’isolant ainsi du reste du plan.Vous pouvez ensuite appliquer des effets à l’automobile isolée sans affecter les zones environnantes du plan. Le comportement Points de piste vous permet également d’appliquer des données de suivi existantes enregistrées par les comportements de suivi Analyser animation, Suivre le mouvement ou Stabiliser sur les points de contrôle d’une forme ou d’un masque.  Comportement Suivre le paramètre : alignez le paramètre d’un filtre sur un seul point dans un plan. Vous pouvez par exemple faire en sorte que le point central d’un filtre Rayons de lumière appliqué suive une lumière en mouvement dans un plan. Dans ce cas, les données de suivi sont appliquées à un seul paramètre du filtre (le paramètre Centre) plutôt qu’à l’ensemble du filtre.3 Peinture Motion vous permet de concevoir des éléments à l’effet peinture à l’aide de pinceaux personnalisés et de traits à base de vecteurs qui se trament dans l’espace 3D. Vous pouvez créer des traits de pinceaux animés et répondant à la pression, à l’inclinaison et à la vitesse lorsque vous utilisez une tablette graphique. Vous pouvez également concevoir des pinceaux personnalisés à l’aide de couleurs, de dégradés, de texte, d’images et de séquences QuickTime. Il existe deux nouvelles fonctionnalités de peinture dans Motion :  Traits de peinture : vous pouvez créer une forme en « peignant » un trait dans le Canevas à l’aide de l’outil Trait de peinture de la barre d’outils ou en modifiant le contour d’une forme existante. Au lieu de dessiner la forme point par point (comme une forme de Bézier ou B-Spline), l’outil Trait de peinture vous permet d’utiliser un stylet et une tablette graphique (ou une souris) pour tracer un trait de peinture. En plus de partager leurs paramètres de contour avec d’autres formes, les traits de peinture disposent d’outils uniques qui vous permettent de modifier l’aspect du coup de pinceau et de créer des effets similaires aux particules sur un trait. Utilisez la fonction Écriture activée pour enregistrer un trait de telle sorte qu’il soit dessiné sur le Canevas au fil du temps.  Peinture de séquence : ce nouveau comportement vous permet d’animer en séquence les diverses touches d’un trait de peinture au fil du temps. Grâce au comportement Peinture de séquence, vous pouvez personnaliser un trait de peinture pour qu’il effectue un fondu entrant, un fondu sortant, une rotation, qu’il rétrécisse ou grossisse au fil du temps. Intégration dans Final Cut Pro Motion offre désormais une plus grande intégration dans Final Cut Pro 6. Envoyez des plans de montage de Final Cut Pro vers Motion et conservez plus d’informations de projet que jamais auparavant. Envoyez des informations de la Chronologie telles que les cuts, les couches et des paramètres élémentaires d’animation. Envoyez des plans SmoothCam de Final Cut Pro vers Motion sans avoir à réanalyser le plan. Vous pouvez également envoyer des données de resynchronisation de Final Cut Pro vers Motion pour effectuer ensuite des modifications.  Vous pouvez ajouter des animations créées dans Motion directement dans votre séquence Final Cut Pro sans rendu.  Vous pouvez apprécier de manière immédiate les changements apportés à votre projet Motion dans votre séquence Final Cut Pro.4  Créez de nouveaux projets Motion basés sur une sélection de plans ou sur une séquence de Final Cut Pro.Vous pouvez utiliser cette fonctionnalité pour créer une séquence d’animation dans Final Cut Pro et l’affiner ensuite dans Motion. Le nouveau projet Motion peut être intégré dans votre séquence Final Cut Pro. Modèles Final Cut Pro Vous pouvez désormais configurer des modèles dans Motion et les utiliser comme masters dans Final Cut Pro, afin de créer, à partir de changements apportés à un seul projet, plusieurs projets et séquences Final Cut Pro. Modifiez le texte de modèles Motion directement dans Final Cut Pro tout en conservant leur disposition, leur format et leur animation. Les zones de dépôt créées dans les projets Motion sont transférées dans Final Cut Pro pour que le contenu soit facilement remplaçable.  Vous pouvez créer des modèles dans Motion pour les utiliser directement dans Final Cut Pro.  Modifiez les modèles master en séquences et personnalisez les paramètres tels que le texte et la vidéo dans les zones de dépôt. Vous pouvez modifier de manière globale l’apparence de tous vos plans modèles au sein de votre projet en modifiant le fichier de modèle Motion d’origine. Comportements Audio De nouveaux comportements au sein de Motion vous permettent de générer des animations audio. Utilisez le comportement de paramètre Audio pour déclencher et animer des paramètres en fonction de l’amplitude audio ou des éléments transitoires de forme d’onde. Faites en sorte par exemple qu’un système de particules émette des impulsions sur le rythme d’une musique ou que l’amplitude des basses sur une piste audio affecte l’opacité d’un objet. Vous pouvez également modifier le seuil et la fréquence à tout moment sans avoir à recalculer les expressions type ou les images clés.  Balance automatique : automatise les effets de balance les plus fréquemment utilisés sur une piste audio. Vous pouvez animer une auto se déplaçant de droite à gauche et faire en sorte que le son du projet se déplace de droite à gauche également.  Fondu audio entrant/sortant : automatise les effets de fondu entrant/sortant les plus fréquemment utilisés sur une piste audio.  Paramètre Audio : effectue l’analyse d’une propriété caractéristique d’une piste audio, puis applique une courbe d’animation au paramètre d’un objet en fonction de l’analyse obtenue.Comportements Resynchronisation Les nouveaux comportements de resynchronisation de Motion vous permettent de créer des modifications de vitesse nettes et précises dans vos plans vidéo. Certains des nouveaux comportements de resynchronisation vous permettent d’accélérer, de ralentir un plan, de lui appliquer un effet stroboscopique, le répéter, lui appliquer des images flash aléatoires, des imperfections ou de l’inverser. Le comportement Vitesse définie permet de contrôler de manière précise la vitesse variable appliquée à un plan.Vous avez également accès au données de resynchronisation à partir de Final Cut Pro et vous pouvez utiliser les images clés classiques pour des effets de vitesse variable. Éditeur d’images clés avancé Grâce aux nouveaux outils avancés de l’Éditeur d’images clés, vous pouvez créer vos animations avec des images clés avec plus de rapidité et de précision. Utilisez les raccourcis clavier pour afficher uniquement les courbes d’animation dont vous avez besoin.  Outil Esquisse : faites glisser un outil plume intuitif pour tracer des courbes d’animation dans l’Éditeur d’images clés, tout en créant des images clés au fur et à mesure pour tout type de paramètre.  Outil Case : faites glisser cet outil pour sélectionner des images clés multiples, puis faites-les glisser, étirez-les ou repositionnez-les en ajustant les poignées à l’écran. Copyright © 2007 Apple Inc. Tous droits réservés. Apple, le logo Apple, Final Cut, Final Cut Pro, Final Cut Studio et QuickTime sont des marques d’Apple Inc., déposées aux États-Unis et dans d’autres pays. Les autres noms de sociétés et de produits mentionnés dans le présent manuel sont des marques de leurs sociétés respectives. Mac OS X Server Administration des services Windows Pour la version 10.3 ou ultérieureApple Computer Inc. © 2003 Apple Computer, Inc. Tous droits réservés. Le propriétaire ou l’utilisateur autorisé d’un exemplaire enregistré du logiciel Mac OS X Server peut reproduire cette publication aux fins d’apprentissage du logiciel. Toute reproduction ou diffusion d’un extrait de cette publication à des fins commerciales, telle que la vente de reproductions ou la fourniture de services à titre onéreux, est interdite. Tout a été mis en œuvre pour que les informations contenues dans ce manuel soient exactes. Apple Computer, Inc., n’est pas responsable des erreurs d’impression ou de typographie. Le logo Apple est une marque d’Apple Computer Inc. déposée aux États-Unis et dans d’autres pays. L’utilisation de ce logo à des fins commerciales via le clavier (Option-G) pourra constituer un acte de contrefaçon et/ou de concurrence déloyale. Apple, le logo Apple, AppleScript, AppleShare, AppleTalk, ColorSync, FireWire, Keychain, Mac, Macintosh, Power Macintosh, QuickTime, Sherlock et WebObjects sont des marques d’Apple Computer, Inc., déposées aux États-Unis et dans d’autres pays. AirPort, Extensions Manager, Finder, iMac et Power Mac sont des marques d’Apple Computer, Inc. Adobe et PostScript sont des marques d’Adobe Systems Incorporated. Java et tous les logos et marques Java sont des marques de Sun Microsystems, Inc. déposées aux États-Unis et dans d’autres pays. Netscape Navigator est une marque de Netscape Communications Corporation. Remarque : Apple améliore continuellement les performances et le design de ses produits. Il se peut que certaines illustrations de ce manuel soient légèrement différentes de votre version du logiciel. F022-1328 3 1 Table des matières Préface 7 À propos de ce guide 8 Utilisation de ce guide 8 Informations complémentaires Chapitre 1 11 Vue d’ensemble des services Windows 12 Fourniture d’un CDP pour la connexion au domaine 12 Fourniture de répertoires de départ et de profils d’utilisateurs itinérants 13 Jonction avec un CDP en tant que membre d’un domaine 13 Fourniture de services de fichiers, d’impression, d’exploration et de résolution de nom 14 Fourniture du service VPN 14 Outils de gestion des services Windows 14 Administration du serveur 15 Gestionnaire de groupe de travail 15 Utilitaires de ligne de commande Chapitre 2 17 Configuration des services Windows 18 Avant de configurer les services Windows 18 Pour une compatibilité multiplate-forme optimale 19 Validation des mots de passe d’utilisateurs Windows 20 Définition du rôle et de l’identité du serveur pour les services Windows 20 Configuration d’un serveur de services Windows autonomes 21 Configuration d’un serveur comme membre d’un domaine Windows 22 Configuration d’un serveur en tant que contrôleur de domaine principal 24 Modification des réglages d’accès aux services Windows 24 Modification des réglages de consignation des services Windows 25 Modification des réglages avancés des services Windows 26 Démarrage des services Windows 26 Configuration d’une file d’attente d’impression pour le partage SMB 27 Gestion des ordinateurs clients Windows 27 Configuration de clients Windows pour les réseaux TCP/IP 27 Connexion au service de fichiers à partir de Windows 28 Connexion au serveur par nom ou adresse dans Windows 95, 98 ou ME 28 Connexion au serveur par nom ou adresse sous Windows XP4 Table des matières 29 Configuration de clients Windows pour le service d’impression Chapitre 3 31 Administration des utilisateurs, groupes, ordinateurs et points de partage Windows 31 Présentation générale de la configuration 33 Gestion des comptes pour les utilisateurs Windows 33 Emplacement de stockage des comptes d’utilisateur Windows 33 Création de comptes d’utilisateur Windows dans le contrôleur de domaine principal 34 Création de comptes d’utilisateur Windows dans un domaine de répertoire en lecture /écriture 35 Modification de comptes d’utilisateur Windows 36 Utilisation des réglages élémentaires pour utilisateurs 36 Utilisation des réglages Windows pour les utilisateurs 38 Utilisation des réglages avancés pour les utilisateurs 38 Fourniture de services d’authentification sécurisée pour les utilisateurs Windows 39 Utilisation des réglages de groupe pour les utilisateurs 39 Configuration d’un répertoire de départ pour un utilisateur Windows 40 Utilisation des réglages de courrier pour les utilisateurs 40 Utilisation des réglages d’impression pour les utilisateurs 41 Définition d’un utilisateur invité 41 Suppression d’un compte d’utilisateur Windows 42 Désactivation d’un compte d’utilisateur Windows 42 Gestion des groupes pour les utilisateurs Windows 43 Utilisation des réglages de dossier de groupe pour les groupes Windows 43 Gestion des stations de travail Windows dans le compte Ordinateurs Windows 43 Ajout d’ordinateurs au compte Ordinateurs Windows 44 Suppression d’ordinateurs du compte Ordinateurs Windows 44 Modification des informations relatives à un ordinateur du compte Ordinateurs Windows 44 Placement d’un ordinateur Windows dans un autre compte d’ordinateurs 45 Suppression du compte Ordinateurs Windows 45 Gestion des points de partage SMB 45 Verrouillage opportuniste (oplocks) 46 Verrouillage strict 46 Création d’un point de partage SMB et définition des autorisations 48 Modification des réglages Windows (SMB) d’un point de partage 49 Gestion des points de partage Chapitre 4 51 Migration d’utilisateurs d’un serveur Windows vers Mac OS X Server Chapitre 5 57 Gestion des services Windows 57 Démarrage et arrêt des services Windows 57 Démarrage des services Windows 58 Arrêt des services WindowsTable des matières 5 58 Surveillance des services Windows 58 Affichage de l’état des services Windows 59 Affichage des historiques des services Windows 59 Affichage des connexions aux services Windows 60 Affichage des graphiques des services Windows 60 Déconnexion d’utilisateurs Windows 60 Modification de l’identité Windows du serveur 60 Modification du nom d’ordinateur Windows du serveur 61 Modification du domaine Windows du serveur 62 Modification du groupe de travail Windows du serveur 62 Gestion de l’accès aux services Windows 62 Autorisation de l’accès en invité aux services Windows 63 Limitation du nombre de clients Windows connectés 63 Gestion de la consignation pour les services Windows 64 Gestion des réglages avancés des services Windows 64 Modification de la page de codes Windows 64 Activation de l’exploration des domaines Windows 65 Inscription auprès d’un serveur WINS Chapitre 6 67 Résolution des problèmes liés aux services Windows 67 Problèmes liés à un contrôleur de domaine principal 67 L’utilisateur ne parvient pas à se connecter au domaine Windows 67 L’utilisateur Windows ne possède pas de répertoire de départ 68 Les valeurs par défaut des réglages du profil de l’utilisateur Windows ont été rétablies 68 L’utilisateur Windows perd le contenu du dossier Mes documents 68 Problèmes liés au service de fichiers Windows 68 L’utilisateur ne peut pas s’authentifier pour le service de fichiers Windows 69 L’utilisateur ne voit pas le serveur Windows dans le Voisinage réseau 69 Problèmes généraux liés aux services de fichiers 69 Problèmes liés au service d’impression Windows 70 Les utilisateurs Windows ne parviennent pas à imprimer 70 Problèmes généraux liés aux services d’impression Glossaire 71 Index 75 7 Préface À propos de ce guide Ce guide décrit les services que Mac OS X Server peut fournir aux utilisateurs d’ordinateurs Windows et explique comment configurer votre serveur afin de fournir des services Windows. Voici un résumé du contenu de chaque chapitre : • Le chapitre 1, “Vue d’ensemble des services Windows” met en évidence certains concepts importants et présente les outils utilisés pour la gestion des services Windows. • Le chapitre 2, “Configuration des services Windows” explique comment configurer Mac OS X Server en tant que fournisseur de services Windows autonomes, membre d’un domaine Windows ou contrôleur de domaine principal (CDP). Les services Windows autonomes incluent le service de fichiers, le service d’impression, le service WINS (Windows Internet Naming Service) et le service d’exploration de domaine Windows. • Le chapitre 3, “Administration des utilisateurs, groupes, ordinateurs et points de partage Windows” explique comment configurer et gérer les comptes des utilisateurs, des groupes et des ordinateurs (stations de travail) Windows. • Le chapitre 4, “Migration d’utilisateurs d’un serveur Windows vers Mac OS X Server” explique comment faire migrer les informations relatives aux utilisateurs et aux groupes depuis un serveur Windows NT vers un ordinateur Mac OS X Server. • Le chapitre 5, “Gestion des services Windows” décrit comment démarrer et arrêter les services Windows, les surveiller et gérer leurs réglages. • Le chapitre 6, “Résolution des problèmes liés aux services Windows” vous aide à gérer les problèmes courants qui se produisent avec un CDP, avec le service de fichiers Windows et avec le service d’impression Windows. • Le glossaire définit les termes utilisés dans ce guide.8 Préface À propos de ce guide Utilisation de ce guide Les chapitres de ce guide sont organisés dans l’ordre dans lequel vous en aurez probablement besoin lors de la configuration de Mac OS X Server en vue de fournir des services Windows. • Consultez le chapitre 1 afin de vous familiariser avec les services Windows fournis par Mac OS X Server et avec les programmes nécessaires pour configurer et gérer ces services. Le chapitre 1 contient également des informations sur les outils de gestion des services Windows. • Suivez les instructions du chapitre 2 pour configurer les services Windows avec des réglages par défaut. • Lisez le chapitre 3 lorsque vous êtes prêt à configurer ou à gérer les comptes d’utilisateurs, de groupes ou d’ordinateurs Windows. Ce chapitre aborde la configuration des répertoires de départ et des profils d’utilisateur itinérants. • Lisez le chapitre 4 si vous devez faire migrer des comptes d’utilisateur de serveurs Windows NT vers Mac OS X Server. • Utilisez les instructions du chapitre 5 si vous devez surveiller les services Windows, gérer l’accès à ces services, gérer leurs historiques ou encore modifier leurs réglages avancés. • Consultez le chapitre 6 si vous rencontrez des problèmes avec les services Windows. Informations complémentaires Mac OS X Server est fourni avec un ensemble de guides qui décrivent d’autres services et fournissent des instructions pour leur configuration, leur gestion et leur dépannage. La plupart de ces documents se trouvent sur les disques du serveur, sous la forme de fichiers PDF. Tous sont disponibles au format PDF sur le site Web www.apple.com/ server/documentation. Ce guide Vous indique comment Mac OS X Server Premiers contacts pour la version 10.3 ou ultérieure Comprendre les fonctionnalités de Mac OS X Server version 10.3 et préparer votre serveur. Mac OS X Server Migration pour la version 10.3 ou ultérieure Réutiliser sur Mac OS X Server version 10.3 les réglages des données et des services actuellement utilisés sur des versions antérieures du serveur. Mac OS X Server Gestion des utilisateurs pour la version 10.3 ou ultérieure Créer et gérer les comptes d’utilisateur, de groupe et d’ordinateur. Configurer les préférences gérées pour les clients Mac OS 9 et Mac OS X. Mac OS X Server Administration des services de fichiers pour la version 10.3 ou ultérieure Partager des volumes ou dossiers de serveur sélectionnés parmi les clients du serveur via les protocoles suivants : AFP, NFS, FTP et SMB. Mac OS X Server Administration du service d’impression pour la version 10.3 ou ultérieure Héberger les imprimantes partagées et gérer les files d’attente et travaux d’impression associés.Préface À propos de ce guide 9 Pour plus d’informations, consultez les ressources suivantes : • Les fichiers Ouvrez-moi contiennent des mises à jour importantes et des informations spécifiques. Recherchez-les sur les disques Mac OS X Server. • L’aide en ligne, accessible depuis le menu Aide de toutes les applications serveur, fournit des instructions relatives à toutes les tâches d’administration ainsi que des informations de dernière minute et des mises à jour disponibles sur le Web. • Les pages Web Support et la Base de connaissance (Knowledge Base) AppleCare apportent des réponses aux questions courantes, ainsi que des informations de dernière minute. Elles sont disponibles sur le site Web suivant : www.info.apple.com/ (en anglais) • Apple Training offre des cours pour les coordinateurs techniques et les administrateurs système. Pour obtenir le catalogue des cours, consultez le site Web suivant : train.apple.com/ Mac OS X Server Administration des images système pour la version 10.3 ou ultérieure Créer des images disque et configurer le serveur de sorte que d’autres ordinateurs Macintosh puissent démarrer à partir de ces images sur le réseau. Ce guide traite de NetBoot et Installation en réseau. Mac OS X Server Administration du service de courrier pour la version 10.3 ou ultérieure Installer, configurer et administrer les services de courrier sur le serveur. Mac OS X Server Administration des technologies Web pour la version 10.3 ou ultérieure Configurer et gérer un serveur Web, dont WebDAV, WebMail et les modules Web. Mac OS X Server Administration des services réseau pour la version 10.3 ou ultérieure Installer, configurer et administrer les services DHCP, DNS, coupe-feu IP, NAT et VPN sur le serveur. Mac OS X Server Administration Open Directory pour la version 10.3 ou ultérieure Gérer les services de répertoires et d’authentification. Mac OS X Server Administration du Serveur Enchaînement QuickTime pour la version 10.3 ou ultérieure Configurer et gérer les services d’enchaînement QuickTime. Mac OS X Server Administration du serveur d’applications Java Déployer et gérer les applications J2EE à l’aide d’un serveur d’applications JBoss sur Mac OS X Server. Mac OS X Server Administration par ligne de commande pour la version 10.3 ou ultérieure Utiliser les commandes et les fichiers de configuration pour exécuter les tâches d’administration du serveur via l’interpréteur de commandes UNIX. Ce guide Vous indique comment 10 Préface À propos de ce guide • Les groupes de discussion et les listes de diffusion vous permettent d’entrer en contact avec d’autres administrateurs serveur qui ont peut-être déjà trouvé des solutions aux problèmes que vous rencontrez. Pour trouver des groupes de discussion et des listes de diffusion, consultez les sites Web suivants : discussions.info.apple.com/ www.lists.apple.com/ • Le site Web Samba contient des informations sur les logiciels open source sur lesquels sont basés les services Windows de Mac OS X Server. Visitez le site Web Samba à l’adresse suivante : www.samba.org1 11 1 Vue d’ensemble des services Windows Les services Windows comprennent un contrôleur de domaine principal, des services de fichiers et d’impression SMB, l’exploration des domaines Windows, la résolution de noms et VPN. Mac OS X Server peut fournir divers services aux utilisateurs de Microsoft Windows 95, 98, ME (Millennium Edition), XP, NT 4.0 et 2000. • Le service de fichiers permet aux clients Windows de se connecter au serveur à l’aide du protocole SMB (Server Message Block) sur un réseau TCP/IP. • Les services d’impression utilisent SMB pour permettre aux clients Windows d’imprimer sur des imprimantes PostScript en réseau. • Le service WINS (Windows Internet Naming Service) permet aux clients Windows d’effectuer la résolution de noms/d’adresses sur plusieurs sous-réseaux. • L’exploration des domaines permet aux clients Windows de rechercher des serveurs disponibles sur les sous-réseaux. • Les réseaux privés virtuels (VPN) permettent aux clients Windows de se connecter de manière sécurisée à Mac OS X Server lorsqu’ils ne se trouvent pas sur le réseau local. • Le contrôleur de domaine principal (CDP) permet : • La connexion au CDP à partir de stations de travail Windows NT 4.x, Windows 2000 et Windows XP. • Aux utilisateurs de changer leur mot de passe au cours de la connexion. • La connexion à l’aide du même compte utilisateur sur les ordinateurs Mac OS X et Windows. • Le stockage des profils d’utilisateurs itinérants sur un ordinateur Mac OS X Server. • Le placement des répertoires de départ en réseau sur un ordinateur Mac OS X Server. • La sécurité de niveau utilisateur pour les clients Windows 95, 98 et ME. En offrant ces services, Mac OS X Server peut remplacer les serveurs Windows NT dans les petits groupes de travail. Les réglages des services Windows sont regroupés dans le Gestionnaire de groupe de travail et Admin Serveur, ce qui facilite leur localisation. Ces réglages sont également conçus pour être familiers aux administrateurs Windows expérimentés.12 Chapitre 1 Vue d’ensemble des services Windows Les services Windows de Mac OS X Server sont basés sur Samba 3, un serveur SMB/CIFS open source. Pour plus d’informations sur Samba, consultez le site Web Samba à l’adresse suivante : www.samba.org Fourniture d’un CDP pour la connexion au domaine La configuration de votre Mac OS X Server comme contrôleur de domaine principal Windows (CDP) permet les connexions aux domaines pour les utilisateurs Windows de votre réseau. Plutôt que de se connecter à l’aide d’un nom d’utilisateur et d’un mot de passe définis localement sur chaque station de travail, chaque utilisateur peut se connecter à l’aide d’un nom d’utilisateur et d’un mot de passe définis sur le CDP. Un CDP fournit à chaque utilisateur Windows un nom d’utilisateur et un mot de passe lui permettant de se connecter à partir de n’importe quelle station de travail Windows sur le réseau. Les utilisateurs n’ont besoin que d’un seul compte sur Mac OS X Server pour se connecter aux stations de travail Windows et aux ordinateurs Mac OS X. Les mêmes nom d’utilisateur et mot de passe permettent la connexion au domaine Windows et à Mac OS X. Les utilisateurs peuvent changer de mot de passe lors de la connexion au domaine Windows. Pour pouvoir configurer Mac OS X Server en tant que CDP, vous devez configurer le serveur en tant que maître Open Directory. Le CDP utilise les informations relatives aux utilisateurs et aux ordinateurs stockées dans le répertoire LDAP du maître Open Directory. Vous pouvez configurer un maître Open Directory et un CDP lorsque vous utilisez l’Assistant du serveur après avoir installé Mac OS X Server. Vous pouvez également utiliser Admin Serveur après l’installation pour configurer un maître Open Directory et un CDP. Prenez soin de ne configurer qu’un seul ordinateur Mac OS X Server en tant que CDP sur votre réseau. Le réseau peut comporter plusieurs maîtres Open Directory, mais un seul CDP. Fourniture de répertoires de départ et de profils d’utilisateurs itinérants La configuration de votre ordinateur Mac OS X Server comme CDP Windows lui permet d’héberger des répertoires de départ et des profils d’utilisateurs itinérants pour les utilisateurs Windows. Sinon, un autre ordinateur Mac OS X Server peut héberger les répertoires de départ et les profils d’utilisateurs itinérants. Chapitre 1 Vue d’ensemble des services Windows 13 Chaque utilisateur Windows qui se connecte au CDP possède un répertoire de départ en réseau. Si un utilisateur place des fichiers ou des dossiers dans son répertoire de départ, il peut y accéder, après s’être connecté au CDP, à partir de n’importe quelle station de travail Windows raccordée au CDP. L’utilisateur peut également accéder au contenu de son répertoire de départ après s’être connecté à un ordinateur Mac OS X. L’utilisateur possède le même répertoire de départ en réseau, qu’il se connecte à un ordinateur Windows ou à un ordinateur Mac OS X. Le répertoire de départ en réseau d’un utilisateur se trouve sur un point de partage d’un ordinateur Mac OS X Server. Un réglage du compte d’utilisateur spécifie le point de partage du répertoire de départ. Vous pouvez gérer les répertoires de départ à l’aide du Gestionnaire de groupe de travail. Grâce aux profils itinérants, chaque utilisateur présente le même profil lorsqu’il se connecte au domaine à partir de n’importe quelle station de travail Windows sur le réseau. Un profil itinérant stocke les réglages de préférence d’un utilisateur Windows (économiseur d’écran, couleurs, arrière-plan, sons, cookies Web, etc.) sur un point de partage d’un ordinateur Mac OS X Server. Le profil itinérant d’un utilisateur est stocké par défaut dans un dossier prédéterminé du CDP. Jonction avec un CDP en tant que membre d’un domaine Si vous disposez de plusieurs serveurs dotés de Mac OS X Server sur votre réseau, vous pouvez en configurer un comme CDP et configurer les autres pour offrir des services Windows supplémentaires. Il est essentiel qu’un seul CDP soit présent sur le réseau. Il est nécessaire de joindre les autres serveurs au domaine Windows du CDP afin qu’ils puissent utiliser le CDP pour l’authentification des utilisateurs. Les répertoires de départ et les profils d’environnement des utilisateurs Windows peuvent se trouver sur des points de partage de serveurs membres du domaine Windows. Fourniture de services de fichiers, d’impression, d’exploration et de résolution de nom Que vous configuriez ou non un CDP, vous pouvez configurer Mac OS X Server pour fournir d’autres services aux utilisateurs Windows. Le démarrage des services Windows sur Mac OS X Server lui permet de fournir l’accès aux points de partage via le protocole standard Windows de services de fichiers, à savoir SMB (Server Message Block). Les services Windows permettent également à Mac OS X Server de fournir l’accès SMB aux files d’impression configurées pour les imprimantes PostScript. 14 Chapitre 1 Vue d’ensemble des services Windows Vous pouvez en outre configurer Mac OS X Server pour la fourniture des services de résolution de nom WINS aux clients Windows ou pour l’enregistrement auprès d’un serveur WINS existant sur le réseau. Mac OS X Server peut également fournir un service d’exploration réseau en tant qu’explorateur maître du groupe de travail ou explorateur maître du domaine pour les clients Windows. Fourniture du service VPN Un réseau privé virtuel (VPN) Mac OS X Server peut inclure à la fois des stations de travail Windows et des ordinateurs Mac OS X. Les stations de travail se connectent au serveur via une liaison privée de données cryptées, simulant une connexion locale comme si l’ordinateur distant était relié au réseau local. Le VPN Mac OS X Server utilise le protocole MS-CHAPv2 (Microsoft Challenge Handshake Authentication Protocol version 2) pour l’authentification. MS-CHAPv2 constitue également le système standard d’authentification Windows pour VPN. Vous pouvez configurer un service VPN dans Mac OS X Server afin d’utiliser le protocole Windows standard pour le transport crypté des données VPN, à savoir le protocole PPTP (Point-to-Point Tunneling Protocol). Vous pouvez également configurer le service VPN Mac OS X Server afin d’utiliser un protocole supplémentaire, à savoir L2TP/IPSec (Layer Two Tunneling Protocol, Secure Internet Protocol). Pour obtenir davantage d’informations ainsi que des instructions de configuration, consultez le chapitre relatif au VPN dans le guide d’administration des services réseau . Outils de gestion des services Windows Les applications Gestionnaire de groupe de travail et Admin Serveur offrent une interface graphique pour la gestion des services Windows dans Mac OS X Server. Vous pouvez en outre gérer les services Windows à partir de la ligne de commande de Terminal. Administration du serveur Admin Serveur permet de : • Configurer Mac OS X Server comme CDP, comme membre d’un domaine Windows ou pour des services Windows autonomes. Pour obtenir des instructions, consultez le chapitre 2. • Gérer les services de fichiers et d’impression Windows, la résolution de nom WINS et l’exploration de domaines. Pour obtenir des instructions, consultez le chapitre 5. • Contrôler les services Windows. Pour obtenir des instructions, consultez le chapitre 5. Pour obtenir des informations de base sur l’utilisation d’Admin Serveur, consultez le chapitre sur l’administration de serveur du guide des premiers contacts. L’application Administration du serveur est installée dans le répertoire /Applications/Server/.Chapitre 1 Vue d’ensemble des services Windows 15 Gestionnaire de groupe de travail Gestionnaire de groupe de travail permet de : • Configurer et gérer les comptes d’utilisateur, de groupe et d’ordinateur. Pour obtenir des instructions, consultez le chapitre 3 de ce guide, ainsi que les chapitres concernant les comptes d’utilisateur, de groupe et d’ordinateur du guide de gestion des utilisateurs. • Gérer des points de partage pour les services de fichiers ainsi que pour les répertoires de départ d’utilisateurs et les profils d’utilisateurs itinérants. Pour des instructions, consultez le chapitre 5 de ce guide, ainsi que le chapitre du guide d’administration des services de fichiers concernant les points de partage. • Accéder à l’Inspecteur, qui vous permet de travailler sur les entrées Open Directory. Pour des instructions, consultez le chapitre du guide d’administration Open Directory concernant la maintenance. Pour obtenir des informations de base sur l’utilisation du Gestionnaire de groupe de travail, consultez le chapitre du guide des premiers contacts concernant l’administration de serveur. Le Gestionnaire des groupes de travail est installé dans le répertoire /Applications/ Server/. Utilitaires de ligne de commande Un jeu complet d’utilitaires de ligne de commande est accessible pour les administrateurs qui préfèrent administrer le serveur à l’aide de commandes. Pour l’administration du serveur à distance, exécutez les commandes dans une session SSH (Secure Shell). Vous pouvez taper les commandes sur les serveurs et ordinateurs Mac OS X au moyen de l’application Terminal, qui se trouve dans le dossier /Applications/Utilitaires/. Pour obtenir des instructions, consultez le guide d’administration par ligne de commande.2 17 2 Configuration des services Windows Vous pouvez configurer Mac OS X Server comme fournisseur de services Windows autonome, membre d’un domaine Windows ou contrôleur de domaine principal. Mac OS X Server peut fournir différents services natifs aux clients Windows : • Le contrôleur de domaine principal permet à chaque utilisateur de se connecter au domaine à l’aide des mêmes nom d’utilisateur et mot de passe sur n’importe quelle station de travail Windows et fournit des profils d’utilisateurs itinérants et des répertoires de départ en réseau. • Le serveur membre du domaine authentifie automatiquement les utilisateurs pour ses services Windows, tels que le service de fichiers, en utilisant la connexion au domaine fournie par le contrôleur de domaine principal. Le serveur membre peut également héberger des répertoires de départ en réseau et des profils d’utilisateurs itinérants. • Le service de fichiers permet aux clients Windows d’accéder aux fichiers stockés sur des points de partage du serveur à l’aide du protocole SMB (Server Message Block) via TCP/IP. • Les services d’impression utilisent SMB pour permettre aux clients Windows d’imprimer sur des imprimantes PostScript sur le réseau. • Le service WINS (Windows Internet Naming Service) permet aux clients de différents sous-réseaux de procéder à la résolution de nom/d’adresse. • L’exploration des domaines Windows permet aux clients de rechercher les serveurs disponibles sur les sous-réseaux. La configuration des services Windows s’effectue via quatre groupes de réglages : • Général Spécifiez le rôle du serveur pour la fourniture des services Windows et l’identité du serveur parmi les clients de ses services Windows. • Accès Limitez le nombre de clients et contrôlez l’accès en invité. • Consignation Choisissez la quantité d’informations enregistrées dans l’historique du service. • Avancé Configurez l’inscription WINS et les services d’exploration de domaine, choisissez une page de codes pour les clients et contrôlez les points de partage virtuels pour les répertoires de départ.18 Chapitre 2 Configuration des services Windows Dans la mesure où les réglages par défaut fonctionnent correctement si vous souhai-tez uniquement fournir des services de fichiers et d’impression Windows, vous n’aurez peut- être qu’à lancer les services Windows. Vous devez toutefois vérifier préalablement les réglages afin de modifier tout paramètre qui ne serait pas adapté à votre réseau. Vous devrez modifier certains réglages si vous souhaitez configurer Mac OS X Server comme contrôleur de domaine principal Windows ou membre du domaine Windows d’un CDP Mac OS X Server. Outre la configuration des services et clients Windows, vous devez configurer des comptes pour les utilisateurs, les groupes et les ordinateurs (stations de travail) Windows. Pour plus d’informations, consultez le chapitre 3, “Administration des utilisateurs, groupes, ordinateurs et points de partage Windows” Pour plus d’informations sur les services de répertoire et d’authentification Mac OS X Server, notamment le maître et les répliques Open Directory, consultez le guide d’administration Open Directory. Avant de configurer les services Windows Si vous prévoyez de fournir des services Windows à partir de Mac OS X Server, lisez dans les sections suivantes les différents aspects à prendre en considération. Pour en savoir plus sur les capacités du logiciel client, il est préférable que vous vérifiez la documentation Microsoft de votre version Windows. Bien que Mac OS X Server ne nécessite aucun logiciel ni configuration particuliers sur les ordinateurs clients Windows, il est recommandé de consulter la section “Gestion des ordinateurs clients Windows” à la page 27. Pour une compatibilité multiplate-forme optimale Les ordinateurs Mac OS et Windows stockent et gèrent différemment les fichiers. Pour une compatibilité optimale, il est souhaitable que vous définissiez au moins un point de partage à l’usage exclusif des utilisateurs Windows. Consultez la section “Gestion des points de partage SMB” à la page 45. De plus, vous pouvez optimiser le fonctionnement en suivant les instructions suivantes : • Utilisez des versions de logiciel comparables sur les deux plates-formes. • Ne modifiez les fichiers qu’avec l’application avec laquelle ils ont été créés. • Si vous disposez de clients Mac OS 8 et Mac OS 9, limitez les noms de fichiers Windows à 31 caractères. • N’utilisez pas de symboles ni de caractères accentués dans les noms des éléments partagés.Chapitre 2 Configuration des services Windows 19 Validation des mots de passe d’utilisateurs Windows Mac OS X Server gère plusieurs méthodes de validation de mot de passe d’utilisateur pour les services Windows. Le type de mot de passe d’un compte d’utilisateur détermine la méthode de validation de mot de passe. Mots de passe Open Directory Si un compte d’utilisateur présente un mot de passe de type Open Directory, ce mot de passe est validé pour les services Windows à l’aide du serveur de mot de passe Open Directory. Il s’agit de la méthode de validation de mot de passe recommandée, nécessaire pour la connexion à un domaine Windows depuis une station de travail Windows vers un CDP Mac OS X Server. Un mot de passe Open Directory peut également être utilisé pour l’authentification auprès du service de fichiers Windows. La validation des mots de passe Open Directory peut être utilisée avec les comptes d’utilisateur stockés dans les domaines de répertoires LDAP ou NetInfo. Le domaine de répertoire ne stocke pas le mot de passe Open Directory, mais seulement un pointeur vers le serveur de mot de passe Open Directory et un identifiant de mot de passe. Le serveur de mot de passe Open Directory stocke les mots de passe dans un fichier de base de données privé, lisible uniquement par l’utilisateur racine et dont le contenu est crypté. Le serveur de mot de passe Open Directory n’autorise jamais la lecture des mots de passe via le réseau ; ils peuvent uniquement être définis et vérifiés. Mots de passe shadow Si un compte d’utilisateur présente un mot de passe de type shadow, ce mot de passe est crypté et stocké dans un fichier sur le serveur. Chaque mot de passe shadow est stocké dans un fichier distinct et ce fichier ne peut être lu que par l’utilisateur racine. Seuls les comptes d’utilisateur stockés dans un domaine de répertoire local peuvent disposer d’un mot de passe shadow. Un mot de passe shadow peut être utilisé pour l’authentification auprès du service de fichiers Windows, mais il ne peut pas être utilisé pour se connecter au domaine Windows d’un CDP. Mot de passe du gestionnaire d’authentification Mac OS X Server gère les comptes d’utilisateur configurés pour utiliser l’ancienne technologie du Gestionnaire d’authentification pour la validation des mots de passe dans Mac OS X Server versions 10.0 à 10.2. Après la mise à niveau d’un serveur avec Mac OS X Server version 10.3, les utilisateurs existants peuvent continuer d’utiliser les mêmes mots de passe. Un compte d’utilisateur existant utilise Gestionnaire d’authentification si le compte se trouve dans un domaine NetInfo pour lequel Gestionnaire d’authentification a été activé et si le compte est configuré pour utiliser un mot de passe crypté.20 Chapitre 2 Configuration des services Windows Si vous faites migrer un domaine de répertoire de NetInfo vers LDAP, tous les comptes d’utilisateur qui utilisaient le Gestionnaire d’authentification pour la validation des mots de passe sont convertis pour disposer d’un mot de passe Open Directory. Définition du rôle et de l’identité du serveur pour les services Windows Vous pouvez configurer Mac OS X Server afin qu’il joue l’un des trois rôles suivants pour la fourniture de services Windows : • Contrôleur de domaine principal (CDP) Le serveur fournit les services de fichiers et d’impression Windows. Il héberge également un domaine Windows, assurant le stockage des comptes d’utilisateur, de groupe et d’ordinateur, et fournissant des services d’authentification au domaine. Le serveur CDP peut héberger des profils d’utilisateur et des répertoires de départ pour les utilisateurs qui disposent de comptes d’utilisateur sur le CDP. • Membre de domaine Le serveur fournit les services de fichiers et d’impression Windows. Les services d’authentification sont assurés par le CDP Mac OS X Server. Un membre du domaine peut héberger des profils utilisateur et des répertoires de départ pour les utilisateurs qui disposent de comptes d’utilisateur sur le CDP. • Services Windows autonomes Le serveur fournit les services de fichiers et d’impression Windows. Le serveur authentifie les utilisateurs pour ses services de fichiers Windows, mais il ne fournit pas de services d’authentification pour la connexion aux domaines Windows sur les ordinateurs Windows. Il s’agit du rôle par défaut. Remarque : Mac OS X Server peut héberger un CDP uniquement si le serveur est un maître Open Directory. Important : si votre réseau comporte plusieurs systèmes Mac OS X Server, configurezen un seul comme CDP. Les autres peuvent être des membres de domaines ou fournir des services Windows autonomes. Configuration d’un serveur de services Windows autonomes Admin Serveur vous permet de configurer Mac OS X Server pour la fourniture de services Windows autonomes : fichiers, impression, exploration et WINS (Windows Internet Name Service). Le serveur ne fournit pas de services d’authentification pour la connexion aux domaines Windows sur les ordinateurs Windows. Pour configurer des services Windows autonomes : 1 Ouvrez Admin Serveur et sélectionnez Windows pour un serveur de la liste Ordinateurs et services. 2 Cliquez sur Réglages (vers le bas de la fenêtre), puis sur Général (vers le haut). 3 Sélectionnez Serveur autonome dans le menu local Rôle, puis tapez une description, un nom d’ordinateur et un groupe de travail.Chapitre 2 Configuration des services Windows 21 Description : cette description facultative apparaît dans la fenêtre Voisinage réseau des ordinateurs Windows. Nom de l’ordinateur : tapez le nom que les utilisateurs Windows verront lorsqu’ils se connecteront au serveur. Il s’agit du nom NetBIOS du serveur. Ce nom ne doit pas compter plus de 15 caractères, sans caractères spéciaux ni ponctuation. Si vous trouvez cela pratique, faites correspondre le nom du serveur avec son nom d’hôte DNS non qualifié. Par exemple, si votre serveur DNS possède une entrée “serveur.exemple.com” pour votre serveur, nommez ce dernier “serveur”. Groupe de travail : tapez le nom d’un groupe de travail. Les utilisateurs Windows peuvent visualiser le nom du groupe de travail dans la fenêtre Voisinage réseau. Si votre sous-réseau comporte des domaines Windows, utilisez l’un d’eux comme nom du groupe pour faciliter la communication entre sous-réseaux. Sinon, consultez votre administrateur de réseau Windows qui vous fournira le nom correct. Le nom d’un groupe de travail ne peut comporter plus de 15 caractères. 4 Cliquez sur Enregistrer. Pour plus d’informations sur la configuration de services Windows individuels, consultez les sections “Modification des réglages d’accès aux services Windows” à la page 24, “Modification des réglages de consignation des services Windows” à la page 24, “Modification des réglages avancés des services Windows” à la page 25 et le guide d’administration du service d’impression. À partir de la ligne de commande Vous pouvez également définir le rôle d’un serveur pour la fourniture de services Windows à l’aide de la commande serveradmin de Terminal. Pour plus d’informations, consultez le chapitre relatif aux services de fichiers du guide d’administration par ligne de commande. Configuration d’un serveur comme membre d’un domaine Windows Admin Serveur vous permet de configurer Mac OS X Server pour se connecter à un domaine Windows hébergé par un contrôleur de domaine principal (CDP) Mac OS X Server. Un serveur qui se connecte à un domaine Windows peut utiliser les services d’authentification du CDP. Ce serveur membre du domaine peut également fournir les services de fichiers, d’impression, d’exploration et WINS (Windows Internet Name Service). Le serveur peut héberger des profils utilisateur et des répertoires de départ pour les utilisateurs qui disposent de comptes d’utilisateur sur le CDP. Le serveur membre du domaine ne fournit pas de services d’authentification aux autres membres du domaine. Pour connecter Mac OS X Server au domaine Windows d’un CDP Mac OS X Server : 1 Ouvrez Admin Serveur et sélectionnez Windows pour un serveur de la liste Ordinateurs et services. 2 Cliquez sur Réglages (vers le bas de la fenêtre), puis sur Général (vers le haut).22 Chapitre 2 Configuration des services Windows 3 Sélectionnez Membre du domaine dans le menu local Rôle, puis tapez une description, un nom d’ordinateur et un domaine. Description : cette description facultative apparaît dans la fenêtre Voisinage réseau des ordinateurs Windows. Nom de l’ordinateur : tapez le nom que les utilisateurs Windows verront lorsqu’ils se connecteront au serveur. Il s’agit du nom NetBIOS du serveur. Ce nom ne doit pas compter plus de 15 caractères, sans caractères spéciaux ni ponctuation. Si vous trouvez cela pratique, faites correspondre le nom du serveur avec son nom d’hôte DNS non qualifié. Par exemple, si votre serveur DNS possède une entrée “serveur.exemple.com” pour votre serveur, nommez ce dernier “serveur”. Domaine : tapez le nom du domaine Windows auquel le serveur se connectera. Le domaine doit être hébergé par un CDP Mac OS X Server. Le nom ne peut pas dépasser 15 caractères et ne peut pas être “WORKGROUP”. 4 Cliquez sur Enregistrer. 5 Tapez le nom et le mot de passe d’un compte d’utilisateur habilité à administrer le domaine de répertoire LDAP sur le serveur CDP, puis cliquez sur OK. Pour plus d’informations sur la configuration de services Windows individuels, consultez “Modification des réglages d’accès aux services Windows” à la page 24, “Modification des réglages de consignation des services Windows” à la page 24, “Modification des réglages avancés des services Windows” à la page 25 et le guide d’administration du service d’impression. À partir de la ligne de commande Vous pouvez également définir le rôle d’un serveur pour la fourniture de services Windows à l’aide de la commande serveradmin de Terminal. Pour plus d’informations, consultez le chapitre relatif aux services de fichiers dans le guide d’administration via la ligne de commande. Configuration d’un serveur en tant que contrôleur de domaine principal Admin Serveur vous permet de configurer Mac OS X Server comme contrôleur de domaine principal (CDP) Windows. Le CDP héberge un domaine Windows et fournit des services d’authentification aux autres membres du domaine, notamment l’authentification pour la connexion au domaine à partir de stations de travail Windows. Le serveur CDP peut fournir d’autres services Windows : fichiers, impression, exploration et WINS (Windows Internet Name Service). Le serveur peut héberger des profils utilisateur et des répertoires de départ pour les utilisateurs qui disposent de comptes d’utilisateur sur le CDP. Pour configurer un CDP Windows : 1 Assurez-vous que le serveur est un maître Open Directory.Chapitre 2 Configuration des services Windows 23 Pour déterminer si un serveur est un maître Open Directory, ouvrez Admin Serveur, sélectionnez Open Directory pour le serveur dans la liste Ordinateurs et services, cliquez sur Réglages (vers le bas de la fenêtre), puis cliquez sur Général (vers le haut). Si Rôle n’est pas réglé sur Maître Open Directory, vous ne pouvez pas configurer ce serveur pour héberger un CDP. Consultez le guide d’administration Open Directory pour en savoir plus sur les maîtres Open Directory. 2 Dans la liste Ordinateurs et services d’Admin Serveur, sélectionnez Windows pour un serveur maître Open Directory. 3 Cliquez sur Réglages (vers le bas de la fenêtre), puis sur Général (vers le haut). 4 Sélectionnez Contrôleur de domaine principal (CDP) dans le menu local Rôle, puis tapez une description, un nom d’ordinateur et un domaine. Description : cette description facultative apparaît dans la fenêtre Voisinage réseau des ordinateurs Windows. Nom de l’ordinateur : tapez le nom que les utilisateurs Windows verront lorsqu’ils se connecteront au serveur. Il s’agit du nom NetBIOS du serveur. Ce nom ne doit pas compter plus de 15 caractères, sans caractères spéciaux ni ponctuation. Si vous trouvez cela pratique, faites correspondre le nom du serveur avec son nom d’hôte DNS non qualifié. Par exemple, si votre serveur DNS possède une entrée “serveur.exemple.com” pour votre serveur, nommez ce dernier “serveur”. Domaine : tapez le nom du domaine Windows qui sera hébergé par le serveur. Ce nom ne peut pas dépasser 15 caractères et ne peut pas être “WORKGROUP”. 5 Cliquez sur Enregistrer. 6 Tapez le nom et le mot de passe d’un compte d’administrateur pouvant administrer le domaine de répertoire LDAP sur le serveur, puis cliquez sur OK. Pour plus d’informations sur la configuration de services Windows individuels, consultez “Modification des réglages d’accès aux services Windows” à la page 24, “Modification des réglages de consignation des services Windows” à la page 24, “Modification des réglages avancés des services Windows” à la page 25 et le guide d’administration du service d’impression. À partir de la ligne de commande Vous pouvez également définir le rôle d’un serveur pour la fourniture de services Windows à l’aide de la commande serveradmin de Terminal. Pour plus d’informations, consultez le chapitre relatif aux services de fichiers dans le guide d’administration via la ligne de commande.24 Chapitre 2 Configuration des services Windows Modification des réglages d’accès aux services Windows Vous pouvez utiliser le volet Accès des réglages de services Windows dans Admin Serveur pour autoriser l’accès en invité ou limiter le nombre de connexions client simultanées. Pour configurer les réglages d’accès des services Windows : 1 Ouvrez Admin Serveur et sélectionnez Windows dans la liste Ordinateurs et services. 2 Cliquez sur Réglages (vers le bas de la fenêtre), puis sur Accès (vers le haut). 3 Pour autoriser les utilisateurs Windows ou les autres utilisateurs SMB à se connecter au service de fichiers Windows sans fournir de nom d’utilisateur ou de mot de passe, sélectionnez “Autoriser l’accès en invité”. 4 Pour limiter le nombre d’utilisateurs pouvant se connecter simultanément aux services Windows, sélectionnez “maximum __”, puis tapez un nombre dans le champ. 5 Cliquez sur Enregistrer. À partir de la ligne de commande Vous pouvez également modifier les réglages des services Windows en utilisant la commande serveradmin de Terminal. Pour plus d’informations, consultez le chapitre relatif aux services de fichiers dans le guide d’administration via la ligne de commande. Modification des réglages de consignation des services Windows Vous pouvez utiliser le volet Consignation des réglages de services Windows d’Admin Serveur pour spécifier la quantité d’informations enregistrées dans le fichier d’historique Windows. Pour configurer les réglages de consignation des services Windows : 1 Ouvrez Admin Serveur et sélectionnez Windows dans la liste Ordinateurs et services. 2 Cliquez sur Réglages (vers le bas de la fenêtre), puis sur Consignation (vers le haut). 3 Choisissez un niveau de détail d’historique dans le menu local : Faible enregistre uniquement les messages d’erreur et d’avertissement. Moyen enregistre les messages d’erreur et d’avertissement, les heures de démarrage et d’arrêt des services, les échecs d’authentification et les enregistrements de noms dans l’explorateur. Élevé enregistre les messages d’erreur et d’avertissement, les heures de démarrage et d’arrêt des services, les échecs d’authentification, les enregistrements de noms dans l’explorateur, ainsi que tous les accès aux fichiers. 4 Cliquez sur Enregistrer.Chapitre 2 Configuration des services Windows 25 À partir de la ligne de commande Vous pouvez également modifier les réglages des services Windows en utilisant la commande serveradmin dans Terminal. Pour plus d’informations, consultez le chapitre relatif aux services de fichiers dans le guide d’administration via la ligne de commande. Modification des réglages avancés des services Windows Vous pouvez utiliser le panneau Avancé des réglages de services Windows dans Admin Serveur pour choisir une page de codes client, configurer le serveur comme navigateur maître de domaine ou de groupe de travail, spécifier l’inscription WINS du serveur et activer des points de partage virtuels pour les répertoires des utilisateurs. Pour configurer les réglages avancés des services Windows : 1 Ouvrez Admin Serveur et sélectionnez Windows dans la liste Ordinateurs et services. 2 Cliquez sur Réglages, puis sur Avancé. 3 Sélectionnez dans le menu local “Code de la page” le jeu de caractères qui sera utilisé par les clients. 4 En regard de Services, déterminez si vous souhaitez activer les services d’exploration du domaine. Le Navigateur maître de groupe de travail permet l’exploration et la découverte des serveurs d’un sous-réseau unique. Le Navigateur maître du domaine permet l’exploration et la découverte des serveurs de différents sous-réseaux. 5 En regard d’Inscription WINS, sélectionnez la façon dont vous souhaitez inscrire le serveur auprès du service WINS. “Désactivé” : empêche votre serveur d’utiliser ou de fournir le service WINS pour la navigation en dehors de son sous-réseau local. “Activer le serveur WINS” : votre serveur fournit des services locaux de résolution de nom. Cela permet aux clients se trouvant sur plusieurs sous-réseaux différents de réaliser la résolution d’adresses et de noms. “S’inscrire sur serveur WINS” : votre réseau possède un serveur WINS ; vos clients Windows et votre serveur Windows ne se trouvent pas tous sur le même sous-réseau. Saisissez l’adresse IP ou le nom DNS du serveur WINS. 6 Pour simplifier la configuration des points de partage pour les répertoires de départ des utilisateurs Windows, sélectionnez “Activer les points de partage virtuels”. Si vous activez les points de partage virtuels, les répertoires de départ sont montés automatiquement lorsque les utilisateurs Windows se connectent au CDP et les utilisateurs possèdent les mêmes répertoires de départ, qu’ils se connectent à partir d’une station de travail Windows ou d’un ordinateur Mac OS X. 26 Chapitre 2 Configuration des services Windows Si vous désactivez les points de partage virtuels, vous devez configurer des points de partage SMB pour les répertoires de départ et les profils d’utilisateurs Windows, puis configurer chaque compte d’utilisateur Windows pour qu’il utilise ces points de partage. À partir de la ligne de commande Vous pouvez également modifier les réglages des services Windows en utilisant la commande serveradmin dans Terminal. Pour plus d’informations, consultez le chapitre relatif aux services de fichiers dans le guide d’administration via la ligne de commande. Démarrage des services Windows Vous pouvez utiliser Admin Serveur pour démarrer les services Windows. Pour démarrer les services Windows : 1 Ouvrez Admin Serveur et sélectionnez Windows dans la liste Ordinateurs et services. 2 Cliquez sur Démarrer le service. À partir de la ligne de commande Vous pouvez également démarrer les services Windows à l’aide de la commande serveradmin de Terminal. Pour plus d’informations, consultez le chapitre relatif aux services de fichiers dans le guide d’administration via la ligne de commande. Configuration d’une file d’attente d’impression pour le partage SMB Vous pouvez configurer le partage via SMB de n’importe quelle file d’attente d’impression configurée sur le serveur. Admin Serveur permet de configurer des files d’attente pour imprimantes partagées sur le serveur. Pour créer une file d’attente d’impression partagée : 1 Dans Admin Serveur, sélectionnez Impression dans la liste Ordinateurs et services. 2 Cliquez sur Réglages, puis cliquez sur Files d’attente. 3 Sélectionnez la file d’attente dans la liste, puis cliquez sur le bouton Modifier (sous la liste). Si vous ne voyez pas le bouton Files d’attente, il est possible que les réglages de file d’attente soient déjà affichés. Cliquez sur le bouton Précédent (flèche vers la gauche dans le coin supérieur droit). 4 Assurez-vous que Nom du partage est compatible avec le partage SMB. Cela ne modifie pas le nom de la file d’attente de Configuration d’imprimante sur le serveur. Les noms des files d’attente partagées via SMB doivent comporter 15 caractères au maximum et peuvent uniquement contenir les caractères A à Z, a à z, 0 à 9 et _ (caractère de soulignement). Chapitre 2 Configuration des services Windows 27 5 Sélectionnez le protocole SMB. 6 Cliquez sur Enregistrer, puis sur le bouton Précédent (dans le coin supérieur droit). Veillez à démarrer les services Windows. Gestion des ordinateurs clients Windows Mac OS X Server gère le protocole SMB (Server Message Block), le protocole natif de partage de fichiers Windows. Le protocole SMB est également connu sous le nom “Common Internet File System” (CIFS). Mac OS X Server est doté de services intégrés d’exploration et de résolution de nom pour vos ordinateurs clients Windows. Vous pouvez activer le service WINS (Windows Internet Naming Service) sur votre serveur ou bien procéder à l’enregistrement sur un serveur WINS existant. Les services Windows de Mac OS X Server incluent les services Explorateur maître Windows et Navigateur maître du domaine. Vous n’avez pas besoin d’un serveur Windows ou d’un contrôleur de domaine principal sur votre réseau pour permettre aux utilisateurs Windows de voir votre serveur dans la fenêtre Favoris réseau (Windows XP et 2000) ou Voisinage réseau (Windows 95, 98 et ME). Autorisez les explorateurs maîtres à permettre aux clients Windows à l’extérieur du sous-réseau de votre serveur d’accéder au serveur par nom. Configuration de clients Windows pour les réseaux TCP/IP Pour accéder aux services Windows, les ordinateurs clients Windows doivent être correctement configurés pour la connexion via TCP/IP. Pour toute information sur la configuration TCP/IP, consultez votre documentation de mise en réseau Windows. Connexion au service de fichiers à partir de Windows Un utilisateur Windows peut se connecter au service de fichiers Windows de Mac OS X Server via Favoris réseau (sous Windows XP et 2000) ou Voisinage réseau (sous Windows 95, 98 et Millennium Edition (ME)). Avant de tenter de vous connecter au serveur sur un ordinateur client Windows, recherchez le groupe de travail ou le domaine de l’ordinateur client et du serveur de fichiers. La procédure dépend de la version de Windows. • Sous Windows XP, cliquez sur Démarrer, sur Panneau de configuration, sur Performances et maintenance, double-cliquez sur l’icône Système, puis sélectionnez l’onglet Nom de l’ordinateur. • Sous Windows 2000, cliquez sur Démarrer, sur Paramètres, sur Panneau de configuration, double-cliquez sur l’icône Système, puis sélectionnez l’onglet Identification réseau. • Sous Windows 95, 98 ou ME, cliquez sur Démarrer, sur Paramètres, sur Panneau de configuration, double-cliquez sur l’icône Réseau, puis sélectionnez l’onglet Identification. 28 Chapitre 2 Configuration des services Windows Pour retrouver le nom du groupe de travail du serveur, ouvrez Admin Serveur, cliquez sur Windows dans la liste Ordinateurs et services, cliquez sur Réglages, puis sur Général. Pour vous connecter au service de fichiers Windows à partir d’un ordinateur Windows : 1 Sur l’ordinateur client Windows, ouvrez Favoris réseau (Windows XP et 2000) ou Voisinage réseau (Windows 95, 98 et ME). Si vous êtes dans le même groupe de travail ou domaine que le serveur, passez à l’étape 4. 2 Double-cliquez sur l’icône Réseau global. 3 Double-cliquez sur l’icône du groupe de travail (Workgroup) ou du domaine dans lequel se trouve le serveur. 4 Double-cliquez sur l’icône du serveur. 5 Authentifiez-vous à l’aide du nom abrégé et du mot de passe d’un compte d’utilisateur stocké sur le serveur. Le compte d’utilisateur peut être stocké dans le domaine de répertoire local du serveur ou dans son domaine de répertoire partagé, si le serveur en possède un. Connexion au serveur par nom ou adresse dans Windows 95, 98 ou ME Un utilisateur de Windows 95, 98 ou Millennium Edition (ME) peut se connecter à Mac OS X Server pour utiliser le service de fichiers Windows sans passer par Voisinage réseau. Cette méthode requiert la connaissance de l’adresse IP du serveur ou son nom d’ordinateur Windows (également appelé nom NetBIOS). Pour se connecter au service de fichiers Windows sans utiliser le Voisinage réseau : 1 Sous Windows 95, 98 ou ME, cliquez sur Démarrer, sur Rechercher, puis sur Ordinateur. 2 Saisissez le nom ou l’adresse IP de votre serveur Windows. 3 Double-cliquez sur le serveur pour vous connecter. 4 Authentifiez-vous à l’aide du nom abrégé et du mot de passe d’un compte d’utilisateur stocké sur le serveur. Le compte d’utilisateur peut être stocké dans le domaine de répertoire local du serveur ou dans son domaine de répertoire partagé, si le serveur en possède un. Connexion au serveur par nom ou adresse sous Windows XP Un utilisateur Windows XP peut se connecter à Mac OS X Server pour utiliser le service de fichiers Windows sans passer par Favoris réseau. Cette méthode nécessite de connaître l’adresse IP du serveur ou son nom d’ordinateur Windows (également appelé nom NetBIOS). Pour se connecter au service de fichiers Windows sans utiliser Favoris réseau : 1 Sous Windows XP, cliquez sur Démarrer, sur Rechercher, sur “Ordinateurs ou personnes”, puis sur “Un ordinateur sur le réseau”.Chapitre 2 Configuration des services Windows 29 2 Saisissez le nom ou l’adresse IP de votre serveur Windows. 3 Double-cliquez sur le serveur pour vous connecter. 4 Authentifiez-vous à l’aide du nom abrégé et du mot de passe d’un compte d’utilisateur stocké sur le serveur. Le compte d’utilisateur peut être stocké dans le domaine de répertoire local du serveur ou dans son domaine de répertoire partagé, si le serveur en possède un. Configuration de clients Windows pour le service d’impression Pour permettre aux utilisateurs de Windows d’imprimer des tâches via SMB, assurezvous que les services Windows sont activés et qu’une ou plusieurs files d’attente sont disponibles pour l’utilisation de SMB. Tous les ordinateurs Windows, y compris Windows 95, Windows 98, Windows Millennium (ME) et Windows XP, gèrent l’impression sur réseau via SMB. Windows 2000 et Windows NT gèrent également l’impression via LPR. Remarque : des gestionnaires LPR de tierce partie sont disponibles pour les ordinateurs Windows ne disposant pas de la gestion LPR intégrée. 3 31 3 Administration des utilisateurs, groupes, ordinateurs et points de partage Windows Vous pouvez gérer des comptes pour des utilisateurs Windows, des groupes d’utilisateurs Windows, ainsi qu’un compte de liste d’ordinateurs pour des stations de travail Windows. Vous pouvez également gérer des points de partage SMB. Les comptes d’utilisateur, les comptes de groupe, les comptes d’ordinateurs et les points de partage jouent un rôle essentiel dans le fonctionnement quotidien d’un serveur : • Un compte d’utilisateur stocke les données dont Mac OS X Server a besoin pour authentifier les utilisateurs Windows et fournir la connexion au domaine Windows, les profils d’utilisateurs itinérants, les répertoires de départ, le service de fichiers, le service de courrier, etc. • Un compte de groupe constitue un moyen simple de contrôler l’accès aux fichiers et aux dossiers. Un compte de groupe permet de stocker les identités des utilisateurs appartenant au groupe. • Un compte d’ordinateurs est une liste d’ordinateurs accessibles aux mêmes utilisateurs et groupes. Le compte Ordinateurs Windows répertorie les stations de travail Windows qui se sont jointes au domaine Windows du CDP ; il s’agit des ordinateurs Windows qui peuvent être utilisés pour se connecter au domaine Windows du contrôleur de domaine principal Mac OS X Server. • Un point de partage est un dossier, un disque dur ou une partition de disque dur que vous rendez accessible via le réseau. Pour permettre l’utilisation des services Windows, Mac OS X Server doit disposer de comptes pour les utilisateurs, les groupes et les stations de travail Windows. Le serveur doit également disposer de points de partage pour les services Windows. Présentation générale de la configuration Voici un récapitulatif des principales tâches à effectuer pour configurer des utilisateurs, des groupes, des ordinateurs et des points de partage pour les services Windows. Consultez les pages indiquées pour obtenir des informations détaillées sur chaque étape.32 Chapitre 3 Administration des utilisateurs, groupes, ordinateurs et points de partage Windows Étape 1 : Configuration de points de partage (facultatif) Pour partager des dossiers et des volumes avec des utilisateurs sur le réseau, il faut les désigner comme points de partage. Sur un serveur CDP, les points de partage sont créés automatiquement pour les profils d’utilisateurs itinérants et les répertoires de départ. Vous pouvez configurer des points de partage alternatifs pour les répertoires de départ et les profils d’utilisateurs sur un serveur CDP ou un serveur membre du domaine. Vous pouvez en outre configurer d’autres points de partage pour les fichiers et les dossiers que les utilisateurs Windows doivent partager. Consultez la section “Gestion des points de partage SMB” à la page 45. Étape 2 : Configuration de comptes d’utilisateur Chaque utilisateur Windows qui se connectera au domaine Windows doit disposer d’un compte d’utilisateur. Un utilisateur qui ne compte pas se connecter au domaine Windows, mais qui utilisera le service de fichiers ou de courrier Windows doit également disposer d’un compte d’utilisateur. Voir “Gestion des comptes pour les utilisateurs Windows” sur cette page. Étape 3 : Connexion des stations de travail au domaine Windows Toute station de travail Windows destinée à être utilisée pour la connexion à un domaine Windows doit se joindre au domaine Windows. Vous pouvez configurer des stations de travail Windows pour se joindre au CDP Mac OS X Server de la même façon que vous pourriez configurer des stations de travail pour se joindre au domaine d’un serveur Windows NT. Dans Windows 2000 Professionnel ou Windows XP Professionnel, par exemple, vous pouvez utiliser l’Assistant Identification réseau. Lorsqu’une station de travail Windows se joint au CDP, Mac OS X Server ajoute automatiquement la station de travail au compte d’ordinateurs “Ordinateurs Windows” du serveur. Vous pouvez également ajouter des stations de travail à ce compte à l’aide du Gestionnaire de groupe de travail. Consultez la section “Gestion des stations de travail Windows dans le compte Ordinateurs Windows” à la page 43. Étape 4 : Configuration de comptes de groupe pour les utilisateurs Windows (facultatif) Vous ne devez effectuer cette opération que si vous souhaitez utiliser des groupes pour définir des autorisations de fichier basées sur des groupes. Notez que Mac OS X Server ne gère pas les listes de contrôle d’accès (ACL) de type NT. Les différences : sous Mac OS X Server, vous ne pouvez affecter qu’une seule autorisation de groupe (et une seule autorisation d’utilisateur individuel) à un fichier ou un dossier particulier. Sur un serveur Windows NT, vous pouvez affecter un éventail plus large d’autorisations. Consultez la section “Gestion des groupes pour les utilisateurs Windows” à la page 42. Chapitre 3 Administration des utilisateurs, groupes, ordinateurs et points de partage Windows 33 Gestion des comptes pour les utilisateurs Windows Un compte d’utilisateur permet de stocker les données dont Mac OS X Server a besoin pour valider l’identité d’un utilisateur et lui fournir des services tels que l’accès à des fichiers particuliers du serveur. Si le compte d’utilisateur se trouve sur un serveur qui est contrôleur de domaine principal (CDP) ou sur un serveur qui est membre d’un domaine Windows régi par un CDP, le compte d’utilisateur permet également à tout utilisateur d’ordinateur Windows de se connecter au domaine Windows. Le même compte d’utilisateur peut être utilisé pour se connecter à un ordinateur Mac OS X. Emplacement de stockage des comptes d’utilisateur Windows Les comptes d’utilisateur Windows peuvent être stockés dans n’importe quel domaine de répertoire accessible à partir de l’ordinateur qui doit accéder au compte. Pour pouvoir être utilisé pour la connexion à un domaine Windows à partir d’un ordinateur Windows, un compte d’utilisateur doit être stocké dans le domaine de répertoire LDAP du serveur Mac OS X Server constituant le contrôleur de domaine principal (CDP). Un compte d’utilisateur Windows qui n’est pas stocké dans le domaine de répertoire LDAP du CDP peut être utilisé pour accéder à d’autres services. Par exemple, un compte d’utilisateur du domaine de répertoire local d’un serveur Mac OS X Server peut être utilisé pour accéder au service de fichiers Windows fourni par le même serveur. Consultez le guide d’administration Open Directory pour obtenir des informations complètes sur les différents types de domaines de répertoires. Création de comptes d’utilisateur Windows dans le contrôleur de domaine principal Vous pouvez utiliser le Gestionnaire de groupe de travail pour créer un compte d’utilisateur sur un CDP Mac OS X Server. Les utilisateurs Windows disposant de comptes sur un ordinateur Mac OS X Server constituant le contrôleur de domaine principal (CDP) peuvent se connecter au domaine Windows à partir d’une station de travail Windows. Ces comptes d’utilisateur peuvent également être utilisés pour d’autres services Windows. Pour créer un compte d’utilisateur dans un domaine de répertoires particulier, vous devez disposer d’autorisations d’administration sur ce domaine. Pour créer un compte d’utilisateur dans le CDP : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes, puis sur le bouton Utilisateur. 2 Ouvrez le domaine de répertoire LDAP et authentifiez-vous en tant qu’administrateur du domaine. Pour ouvrir le domaine de répertoire LDAP, cliquez sur la petite icône de globe au-dessus de la liste des utilisateurs et faites votre choix dans le menu local.34 Chapitre 3 Administration des utilisateurs, groupes, ordinateurs et points de partage Windows Pour vous authentifier, cliquez sur l’icône de cadenas et tapez le nom et le mot de passe d’un administrateur dont le type de mot de passe est Open Directory. 3 Cliquez soit sur Serveur > Nouvel utilisateur, soit sur Nouvel utilisateur dans la barre d’outils. 4 Spécifiez des réglages pour l’utilisateur dans les onglets fournis. Consultez “Utilisation des réglages élémentaires pour utilisateurs” à la page 36 et “Utilisation des réglages d’impression pour les utilisateurs” à la page 40 pour plus de détails. Pour créer un utilisateur, vous pouvez également utiliser un préréglage ou un fichier d’importation. Pour plus d’informations, consultez le guide de gestion des utilisateurs. Création de comptes d’utilisateur Windows dans un domaine de répertoire en lecture /écriture Vous pouvez utiliser le Gestionnaire de groupe de travail pour créer des comptes d’utilisateur Windows dans des domaines de répertoire autres que le domaine de répertoire LDAP d’un serveur qui est contrôleur de domaine principal. Si Mac OS X Server fournit des services Windows, vous pouvez créer des comptes d’utilisateur Windows dans le domaine de répertoire local du serveur. Si ce serveur est connecté à un domaine de répertoire LDAP d’un autre serveur, vous pouvez également créer des comptes d’utilisateur Windows dans le domaine de répertoire LDAP de l’autre serveur. Le domaine de répertoire LDAP de l’autre serveur doit être configuré pour l’accès en écriture ; il ne peut pas être en lecture seule. Les comptes d’utilisateur du domaine de répertoire local ou du domaine de répertoire LDAP d’un autre serveur ne peuvent pas être utilisés pour la connexion à un domaine Windows. Ces comptes d’utilisateur peuvent accéder à d’autres services, tels que le service de fichiers Windows, si le serveur qui héberge le service possède une politique de recherche d’authentification incluant le domaine de répertoire où réside le compte d’utilisateur. Par exemple, un compte d’utilisateur Windows du domaine de répertoire local d’un serveur peut accéder au service de fichiers Windows sur le même serveur. Pour plus d’informations sur les politiques de recherche, consultez le guide d’administration Open Directory. Pour créer un compte d’utilisateur dans un domaine de répertoire en lecture/ écriture : 1 Assurez-vous que les services de répertoire de Mac OS X Server que vous administrez ont été configurés de manière à accéder au domaine qui vous intéresse. Mac OS X Server peut toujours accéder à son propre domaine de répertoire local. Utilisez Format de répertoire pour configurer l’accès au domaine de répertoire LDAP d’un autre serveur. Pour obtenir des instructions, consultez le guide d’administration Open Directory.Chapitre 3 Administration des utilisateurs, groupes, ordinateurs et points de partage Windows 35 2 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes, puis sur le bouton Utilisateur. 3 Ouvrez le domaine de répertoire dans lequel vous souhaitez créer des comptes d’utilisateur et authentifiez-vous en tant qu’administrateur du domaine. Pour ouvrir un domaine de répertoire, cliquez sur l’icône représentant un petit globe au-dessus de la liste des utilisateurs et faites votre choix dans le menu local. Pour vous authentifier, cliquez sur l’icône représentant un verrou et tapez le nom et le mot de passe d’un administrateur du domaine de répertoire. Authentifiez-vous en tant qu’administrateur dont le type de mot de passe est Open Directory, de façon à pouvoir créer des comptes d’utilisateur dont le type de mot de passe est également Open Directory, option recommandée pour les comptes d’utilisateur Windows. 4 Cliquez sur Serveur > Nouvel utilisateur, ou cliquez sur Nouvel utilisateur dans la barre d’outils. 5 Spécifiez des réglages pour l’utilisateur dans les onglets fournis. Consultez “Utilisation des réglages élémentaires pour utilisateurs” à la page 36 et “Utilisation des réglages d’impression pour les utilisateurs” à la page 40 pour plus de détails. Pour créer un utilisateur, vous pouvez également utiliser un préréglage ou un fichier d’importation. Pour plus d’informations, consultez le guide de gestion des utilisateurs. Modification de comptes d’utilisateur Windows Vous pouvez utiliser le Gestionnaire de groupe de travail pour modifier un compte d’utilisateur Windows. Le compte peut résider soit sur un ordinateur Mac OS X Server qui constitue le contrôleur de domaine principal (CDP) Windows, soit dans un autre domaine de répertoire. Pour apporter des modifications à un compte d’utilisateur : 1 Assurez-vous que les services de répertoire de l’ordinateur Mac OS X Server que vous utilisez ont été configurés de manière à accéder au domaine de répertoires qui vous intéresse. Mac OS X Server peut toujours accéder à son propre domaine de répertoire local. Un serveur qui est contrôleur de domaine principal peut accéder à son propre domaine de répertoire LDAP. Utilisez Format de répertoire pour configurer l’accès au domaine de répertoire LDAP d’un autre serveur. Pour obtenir des instructions, consultez le guide d’administration Open Directory. 2 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes, puis sur le bouton Utilisateur. 3 Ouvrez le domaine de répertoire dans lequel vous souhaitez modifier des comptes d’utilisateur et authentifiez-vous en tant qu’administrateur du domaine.36 Chapitre 3 Administration des utilisateurs, groupes, ordinateurs et points de partage Windows Pour ouvrir un domaine de répertoire, cliquez sur la petite icône de globe au-dessus de la liste des utilisateurs et faites votre choix dans le menu local. Pour vous authentifier, cliquez sur l’icône de cadenas et tapez le nom et le mot de passe d’un administrateur du domaine de répertoire. Authentifiez-vous en tant qu’administrateur dont le type de mot de passe est Open Directory, de façon à pouvoir modifier des comptes d’utilisateur dont le type de mot de passe est également Open Directory, option recommandée pour les comptes d’utilisateur Windows. 4 Sélectionnez le compte à modifier. 5 Modifiez les réglages pour l’utilisateur dans les onglets fournis. Pour plus d’informations, consultez les sections “Utilisation des réglages élémentaires pour utilisateurs” (ci-après) à “Utilisation des réglages d’impression pour les utilisateurs” à la page 40. Utilisation des réglages élémentaires pour utilisateurs Les réglages élémentaires sont un ensemble d’attributs devant être définis pour tous les utilisateurs. Les réglages élémentaires sont accessibles via le panneau Élémentaire d’une fenêtre de compte d’utilisateur de Gestionnaire de groupe de travail. Pour obtenir des instructions détaillées sur les opérations suivantes, consultez le chapitre du guide de gestion des utilisateurs concernant les comptes d’utilisateur : • Définition de noms d’utilisateur • Définition de noms abrégés • Choix de noms abrégés permanents • Eviter les doublons de noms • Eviter les doublons de noms abrégés • Définition d’identifiants d’utilisateur • Définition de mots de passe • Attribution de droits d’administrateur sur un serveur • Attribution de droits d’administrateur sur un domaine de répertoire Utilisation des réglages Windows pour les utilisateurs Un compte d’utilisateur qui peut servir à se connecter à un domaine Windows possède des réglages de répertoire de départ, de profil d’utilisateur itinérant et de script de connexion Windows. Vous pouvez contrôler ces réglages via le panneau Windows d’une fenêtre de compte d’utilisateur du Gestionnaire de groupe de travail. Pour configurer les réglages Windows d’un compte d’utilisateur : 1 Dans le Gestionnaire de groupe de travail, ouvrez le compte d’utilisateur avec lequel vous souhaitez travailler. Pour ouvrir un compte, cliquez sur le bouton Comptes, puis sur la petite icône de globe située sous la barre d’outils et ouvrez le domaine de répertoire dans lequel se trouve le compte de l’utilisateur. Pour modifier les réglages Windows, cliquez sur le verrou pour être authentifié, puis sélectionnez l’utilisateur dans la liste des utilisateurs.Chapitre 3 Administration des utilisateurs, groupes, ordinateurs et points de partage Windows 37 2 Cliquez sur Windows et modifiez les réglages selon vos besoins. Chemin du profil d’utilisateur : spécifie le chemin d’accès au profil de l’utilisateur. Ne remplissez pas ce champ si vous souhaitez utiliser le point de partage par défaut pour les profils d’utilisateur, à savoir /Utilisateurs/Profiles/ sur le serveur CDP. Ce point de partage SMB ne s’affiche pas dans le Gestionnaire de groupe de travail. Pour utiliser un point de partage différent pour le profil d’utilisateur, tapez le chemin en utilisant le format UNC (Universal Naming Convention) : \\nom_serveur\nom_partage\nom_abrégé_utilisateur où nom_serveur est le nom NetBIOS du serveur CDP ou d’un serveur membre du domaine Windows sur lequel vous souhaitez stocker le point de partage utilisateur ; nom_partage est le nom du point de partage sur le serveur ; et nom_abrégé_utilisateur est le premier nom abrégé du compte d’utilisateur que vous configurez. Pour afficher le nom NetBIOS du serveur, ouvrez Admin Serveur, cliquez sur Windows dans la liste Ordinateurs et services, cliquez sur Réglages, puis sur Général afin de lire le nom qui se trouve dans le champ Nom de l’ordinateur. Script d’ouverture de session : indique le chemin d’accès relatif à un script d’ouverture de session situé dans /etc/logon sur le serveur CDP. Par exemple, si un administrateur place un script nommé config.bat dans /etc/logon, le champ Script d’ouverture de session doit contenir “config.bat”. Disque dur : indique la lettre d’unité que Windows met en correspondance avec le répertoire de départ de l’utilisateur. Si vous ne remplissez pas ce champ, la lettre H est utilisée par défaut. Chemin : désigne le chemin d’accès au répertoire de départ de l’utilisateur. Ne remplissez pas ce champ si vous souhaitez utiliser le même répertoire de départ pour la connexion à Windows et à Mac OS X, comme indiqué dans le panneau Répertoire de départ du Gestionnaire de groupe de travail. Vous pouvez également spécifier ce répertoire de départ en tapant un chemin UNC n’incluant pas de point de partage : \\nom_serveur\nom_abrégé_utilisateur. Pour spécifier un répertoire de départ Windows distinct du répertoire de départ Mac OS X, tapez un chemin UNC incluant un point de partage SMB : \\nom_serveur\point_partage\nom_abrégé_utilisateur Vous devez vous assurer que le point de partage spécifié est partagé via SMB. En outre, vous devez créer le dossier du répertoire de départ de l’utilisateur dans le point de partage. Le dossier que vous créez doit porter le même nom que le premier nom abrégé de l’utilisateur. (Mac OS X Server crée automatiquement un dossier de répertoire de départ uniquement dans le point de partage spécifié dans le panneau Répertoire de départ.) 3 Cliquez sur Enregistrer.38 Chapitre 3 Administration des utilisateurs, groupes, ordinateurs et points de partage Windows Pour plus d’informations, consultez les sections “Configuration d’un répertoire de départ pour un utilisateur Windows” à la page 39 et “Gestion des points de partage SMB” à la page 45. Utilisation des réglages avancés pour les utilisateurs Les réglages avancés incluent les réglages de connexion Mac OS X, la politique de validation des mots de passe et un commentaire. Vous pouvez contrôler ces réglages via le panneau Avancé d’une fenêtre de compte d’utilisateur du Gestionnaire de groupe de travail. • Le mot de passe d’utilisateur doit être de type Open Directory ou shadow pour les utilisateurs Windows. • Les réglages en haut et en bas du panneau Avancé s’appliquent uniquement lorsque l’utilisateur se connecte à partir d’un ordinateur Mac OS X. Les réglages suivants ne sont pas utilisés pour les services Windows : Autoriser les ouvertures de session simultanées, Shell d’accès et Mots-clés. Pour des instructions détaillées sur la modification des réglages avancés, consultez le chapitre consacré aux comptes d’utilisateur dans le guide de gestion des utilisateurs. Fourniture de services d’authentification sécurisée pour les utilisateurs Windows Mac OS X Server propose trois moyens sécurisés pour valider les mots de passe des utilisateurs Windows : • Open Directory Password Server • Mot de passe shadow • Cryptage du mot de passe à l’aide du Gestionnaire d’authentification activé (technologie héritée) Open Directory Password Server constitue l’approche recommandée. Il stocke les mots de passe de manière sécurisée et gère de nombreuses méthodes d’authentification. Open Directory Password Server vous permet d’implémenter des politiques de mot de passe et gère les comptes d’utilisateur des répertoires LDAP et des anciens domaines NetInfo. Un mot de passe shadow fournit l’authentification des gestionnaires NT et LAN pour les comptes d’utilisateur stockés dans le domaine NetInfo local. Un mot de passe shadow peut être utilisé pour authentifier les services de fichiers Windows fournis par Mac OS X Server. Un mot de passe crypté à l’aide du Gestionnaire d’authentification activé offre la compatibilité pour les comptes d’utilisateur sur un serveur mis à niveau à partir de Mac OS X Server version 10.1. Après la mise à niveau du serveur avec Mac OS X Server version 10.3, ces comptes d’utilisateur doivent être modifiés pour utiliser l’authentification Open Directory, méthode plus sûre que l’ancien Gestionnaire d’authentification. Pour plus d’informations, consultez le guide d’administration Open Directory.Chapitre 3 Administration des utilisateurs, groupes, ordinateurs et points de partage Windows 39 Utilisation des réglages de groupe pour les utilisateurs Les réglages de groupe identifient les groupes dont un utilisateur est membre. Vous pouvez utiliser ces réglages dans le volet Groupes d’une fenêtre de compte d’utilisateur du Gestionnaire de groupe de travail. Pour des instructions détaillées sur les opérations suivantes, consultez le chapitre sur les comptes d’utilisateur dans le guide de gestion des utilisateurs : • Définition du groupe principal d’un utilisateur • Ajout d’un utilisateur à des groupes • Suppression d’un utilisateur dans un groupe • Examen de l’appartenance d’un utilisateur à des groupes Configuration d’un répertoire de départ pour un utilisateur Windows Un utilisateur Windows peut posséder un répertoire de départ utilisé pour la connexion à un domaine Windows. En général, cet utilisateur peut se connecter à un ordinateur Mac OS X et utiliser le même répertoire de départ. Vous pouvez soit créer un répertoire de départ pour un utilisateur Windows dans n’importe quel point de partage existant, soit créer le répertoire de départ dans le dossier /Utilisateurs, qui est un point de partage prédéfini. Si vous souhaitez créer un répertoire de départ sur un nouveau point de partage, créez d’abord ce point de partage. Pour obtenir des instructions, consultez la section “Gestion des points de partage SMB” à la page 45. Pour obtenir des informations générales sur les répertoires de départ, consultez le chapitre correspondant dans le guide de gestion des utilisateurs. Pour créer un répertoire de départ sur un point de partage existant : 1 Assurez-vous que le point de partage possède un enregistrement de montage configuré pour les répertoires de départ. Dans le Gestionnaire de groupe de travail, cliquez sur Partage, sur Points de partage (à gauche), sélectionnez le point de partage dans la liste, cliquez sur Montage réseau (à droite) et assurez-vous que les options “Créer un enregistrement de montage pour ce point de partage” et “Répertoires de départ utilisateur” sont également sélectionnées. Pour modifier ces réglages, vous devez utiliser le menu local Emplacement afin de choisir le domaine de répertoire dans lequel réside le compte d’utilisateur, cliquer sur l’icône de cadenas, puis vous authentifier en tant qu’administrateur du domaine de répertoire. 2 Dans le Gestionnaire de groupe de travail, ouvrez le compte d’utilisateur pour lequel vous souhaitez créer un répertoire de départ. 40 Chapitre 3 Administration des utilisateurs, groupes, ordinateurs et points de partage Windows Pour ouvrir un compte, cliquez sur le bouton Comptes, puis sur l’icône représentant un petit globe sous la barre d’outils et ouvrez le domaine de répertoire dans lequel se trouve le compte de l’utilisateur. Pour modifier les informations de répertoire de départ, cliquez sur le verrou pour être authentifié, puis sélectionnez l’utilisateur dans la liste des utilisateurs. 3 Cliquez sur Départ. 4 Dans la liste des points de partage, sélectionnez /Utilisateurs ou le point de partage à utiliser. 5 Cliquez sur Créer Départ, puis sur Enregistrer. Après avoir créé un répertoire de départ pour un utilisateur Windows, assurez-vous que les réglages du panneau Windows sont correctement configurés. Pour obtenir des instructions, consultez la section “Utilisation des réglages Windows pour les utilisateurs” à la page 36. Utilisation des réglages de courrier pour les utilisateurs Un utilisateur Windows peut posséder un compte de courrier Mac OS X Server. Pour créer un compte de courrier pour un utilisateur, spécifiez les réglages de courrier de l’utilisateur dans le panneau Courrier d’une fenêtre de compte d’utilisateur du Gestionnaire de groupe de travail. Pour des instructions détaillées sur les opérations suivantes, consultez le chapitre sur les comptes d’utilisateur dans le guide de gestion des utilisateurs : • Désactivation du service de courrier d’un utilisateur • Activation des options de compte de service de courrier • Faire suivre le courrier d’un utilisateur Pour utiliser un compte de messagerie, il suffit que l’utilisateur configure un logiciel client pour identifier son nom d’utilisateur, son mot de passe, son service de courrier et son protocole de courrier spécifiés dans le volet Courrier. Pour plus d’informations sur la configuration et la gestion du service de courrier Mac OS X Server, consultez le guide d’administration du service de courrier. Utilisation des réglages d’impression pour les utilisateurs Les réglages d’impression associés au compte d’un utilisateur définissent la possibilité pour cet utilisateur d’imprimer sur des files d’attente accessibles à partir d’un ordinateur Mac OS X Server, alors que le service d’impression impose des quotas d’impression. Le guide d’administration du service d’impression explique comment configurer des files d’attente d’impression imposant des quotas. Le panneau Impression d’une fenêtre de compte d’utilisateur du Gestionnaire de groupe de travail permet de contrôler les quotas d’impression d’un utilisateur : • Par défaut, un utilisateur n’a accès à aucune des files d’attente d’impression qui imposent des quotas.Chapitre 3 Administration des utilisateurs, groupes, ordinateurs et points de partage Windows 41 • Vous pouvez autoriser un utilisateur à accéder à toutes les files d’attente d’impression imposant des quotas. • Vous pouvez permettre à un utilisateur d’imprimer vers des files d’attente d’impression spécifiques imposant des quotas. Pour des instructions détaillées sur l’utilisation des réglages d’impression pour les utilisateurs, consultez le chapitre sur les comptes d’utilisateur dans le guide de gestion des utilisateurs. Définition d’un utilisateur invité Vous pouvez configurer des services Windows et d’autres services en vue de gérer les utilisateurs anonymes, lesquels ne possèdent pas de comptes d’utilisateur. Ces utilisateurs invités ne peuvent pas être authentifiés, car ils ne possèdent pas de nom d’utilisateur ni de mot de passe. Il n’est pas nécessaire de créer un compte d’utilisateur pour gérer les utilisateurs invités. Les services suivants peuvent prendre en charge l’accès en invité : • Les services de fichiers, d’impression, d’exploration et de résolution de nom Windows (pour plus d’informations sur la configuration, consultez la section “Autorisation de l’accès en invité aux services Windows” à la page 62) ; • Les service de fichiers Apple (pour plus d’informations sur la configuration, consultez le guide d’administration des services de fichiers) ; • Le service FTP (pour plus d’informations sur la configuration, consultez le guide d’administration des services de fichiers) ; • Le service Web (pour plus d’informations sur la configuration, consultez le guide d’administration des technologies Web). Les utilisateurs se connectant à un serveur de manière anonyme sont limités aux fichiers, dossiers et sites Web dont les autorisations sont accordées à Tous. Suppression d’un compte d’utilisateur Windows Vous pouvez utiliser le Gestionnaire de groupe de travail pour supprimer un compte d’utilisateur à partir d’un domaine de répertoire de Mac OS X Server. Pour supprimer un compte d’utilisateur à l’aide de Gestionnaire de groupes de travail : 1 Dans le Gestionnaire de groupe de travail, cliquez sur le bouton Comptes, puis sur le bouton Utilisateur. 2 Ouvrez le domaine de répertoire contenant le compte d’utilisateur que vous souhaitez supprimer et authentifiez-vous en tant qu’administrateur du domaine. Pour ouvrir un domaine de répertoire, cliquez sur l’icône représentant un petit globe au-dessus de la liste des utilisateurs et faites votre choix dans le menu local. 3 Sélectionnez le compte à supprimer, puis choisissez Serveur > Effacer l’utilisateur sélectionné. 42 Chapitre 3 Administration des utilisateurs, groupes, ordinateurs et points de partage Windows Désactivation d’un compte d’utilisateur Windows Pour désactiver un compte d’utilisateur Windows, vous pouvez : • Désélectionner l’option “L’utilisateur peut ouvrir une session” dans le panneau Élémentaire du Gestionnaire de groupe de travail. • Définir une stratégie de mot de passe qui désactive la connexion (pour un compte d’utilisateur dont le type de mot de passe est Open Directory). Pour obtenir des instructions, consultez le chapitre relatif à l’authentification des utilisateurs dans le guide d’administration Open Directory. • Supprimer le compte. Pour obtenir des instructions, consultez la section précédente, à savoir “Suppression d’un compte d’utilisateur Windows” • Remplacer le mot de passe de l’utilisateur par une valeur inconnue. Pour obtenir des instructions, consultez la section “Utilisation des réglages élémentaires pour utilisateurs” à la page 36. Gestion des groupes pour les utilisateurs Windows Un compte de groupe permet de gérer facilement un ensemble d’utilisateurs aux besoins similaires. Un compte de groupe stocke les identités des utilisateurs appartenant au groupe, ainsi que d’autres informations qui s’appliquent uniquement aux utilisateurs Mac OS X. Bien que certaines informations relatives aux groupes ne s’appliquent pas aux utilisateurs Windows, vous pouvez ajouter des utilisateurs Windows aux groupes que vous créez. Des autorisations d’accès spéciales aux fichiers et aux dossiers peuvent être affectées à un groupe, comme décrit dans le guide d’administration des services de fichiers. Les procédures de gestion des comptes de groupe sont les mêmes pour les groupes dont les membres incluent des utilisateurs Windows et pour ceux contenant uniquement des utilisateurs Mac OS X. Le Gestionnaire de groupe de travail permet d’administrer les comptes de groupe. Pour des instructions détaillées sur les opérations suivantes, consultez le chapitre sur les comptes de groupe dans le guide de gestion des utilisateurs : • Création de comptes de groupe • Modification des informations relatives aux comptes de groupe • Ajout d’utilisateurs à un groupe • Suppression d’utilisateurs d’un groupe • Attribution d’un nom à un groupe • Définition d’un ID de groupe • Suppression de comptes de groupeChapitre 3 Administration des utilisateurs, groupes, ordinateurs et points de partage Windows 43 Utilisation des réglages de dossier de groupe pour les groupes Windows Si vous utilisez le panneau Dossier de groupe du Gestionnaire de groupe de travail pour configurer un dossier pour les membres d’un groupe particulier, le dossier du groupe n’est pas monté automatiquement sur les stations de travail Windows lorsque les membres du groupe se connectent au domaine Windows. Si le point de partage du dossier de groupe est partagé via SMB, un utilisateur Windows peut accéder à Favoris réseau (ou Voisinage réseau) et accéder au contenu du dossier de groupe. Pour plus d’informations sur les dossiers de groupe, consultez le chapitre relatif aux comptes de groupe dans le guide de gestion des utilisateurs. Gestion des stations de travail Windows dans le compte Ordinateurs Windows Chaque ordinateur Windows géré par le contrôleur de domaine principal de Mac OS X Server doit faire partie du compte Ordinateurs Windows. L’ajout d’un ordinateur à un compte d’ordinateurs crée un enregistrement pour cet ordinateur. Cet enregistrement identifie l’ordinateur Windows par son nom NetBIOS. L’enregistrement d’un ordinateur Windows contient également des informations pour l’authentification de l’ordinateur en tant que station de travail approuvée dans le domaine Windows. Mac OS X Server crée ces informations (un identifiant d’utilisateur et un identifiant de groupe) pour chaque ordinateur ajouté au compte Ordinateurs Windows. Pour obtenir des informations générales sur les comptes d’ordinateurs et l’ajout d’ordinateurs à ces comptes, consultez le chapitre sur les comptes d’ordinateurs dans le guide de gestion des utilisateurs. Ajout d’ordinateurs au compte Ordinateurs Windows Un CDP Mac OS X Server ajoute automatiquement un ordinateur Windows au compte Ordinateurs Windows du serveur lorsque l’ordinateur se joint au domaine Windows du CDP, mais vous pouvez également utiliser le Gestionnaire de groupe de travail pour ajouter des ordinateurs au compte Ordinateurs Windows. Pour ajouter des ordinateurs à la liste Ordinateurs Windows : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes, puis sur le bouton Comptes. 2 Ouvrez le domaine de répertoire LDAP et authentifiez-vous en tant qu’administrateur du domaine. Pour ouvrir le domaine de répertoire LDAP, cliquez sur l’icône représentant un petit globe au-dessus de la liste des ordinateurs et faites votre choix dans le menu local. Pour vous authentifier, cliquez sur l’icône représentant un verrou et tapez le nom et le mot de passe d’un administrateur du domaine de répertoire.44 Chapitre 3 Administration des utilisateurs, groupes, ordinateurs et points de partage Windows 3 Cliquez sur Liste, puis sélectionnez Ordinateurs Windows dans la liste des comptes d’ordinateurs. 4 Cliquez sur le bouton Ajouter, tapez le nom NetBIOS de l’ordinateur ainsi qu’une description facultative, puis cliquez sur Ajouter. 5 Cliquez sur Enregistrer. 6 Continuez à ajouter des ordinateurs jusqu’à ce que la liste soit complète. Suppression d’ordinateurs du compte Ordinateurs Windows Grâce au Gestionnaire de groupe de travail, vous pouvez supprimer un ou plusieurs ordinateurs du compte Ordinateurs Windows d’un contrôleur de domaine principal (CDP) Mac OS X Server. Lorsque vous supprimez un ordinateur du compte Ordinateurs Windows, l’ordinateur ne peut plus être utilisé pour la connexion au CDP. Pour supprimer des ordinateurs de la liste Ordinateurs Windows : 1 Dans le Gestionnaire de groupe de travail, cliquez sur Comptes, puis sur le bouton Ordinateurs. 2 Ouvrez le domaine de répertoire LDAP et authentifiez-vous en tant qu’administrateur du domaine. Pour ouvrir le domaine de répertoire LDAP, cliquez sur l’icône représentant un petit globe au-dessus de la liste des ordinateurs et faites votre choix dans le menu local. Pour vous authentifier, cliquez sur l’icône représentant un verrou et tapez le nom et le mot de passe d’un administrateur du domaine de répertoire. 3 Cliquez sur Liste, puis sélectionnez Ordinateurs Windows dans la liste des comptes d’ordinateurs. 4 Dans le tableau Liste, sélectionnez un ou plusieurs ordinateurs de la liste de ce compte. Pour sélectionner plusieurs ordinateurs, cliquez dans la liste en maintenant enfoncée la touche Commande ou Maj. 5 Cliquez sur Supprimer, puis sur Enregistrer. Modification des informations relatives à un ordinateur du compte Ordinateurs Windows Si vous souhaitez modifier le nom ou la description d’un ordinateur du compte Ordinateurs Windows, utilisez le Gestionnaire de groupe de travail pour supprimer l’ordinateur, puis rajouter l’ordinateur avec les informations modifiées. Placement d’un ordinateur Windows dans un autre compte d’ordinateurs Vous ne pouvez pas placer un ordinateur Windows du compte Ordinateurs Windows dans un compte différent. Les ordinateurs Windows doivent faire partie du compte Ordinateurs Windows et ils ne peuvent appartenir à plusieurs comptes à la fois.Chapitre 3 Administration des utilisateurs, groupes, ordinateurs et points de partage Windows 45 Suppression du compte Ordinateurs Windows Le compte Ordinateurs Windows ne peut pas être supprimé. Gestion des points de partage SMB Les points de partage des répertoires de départ Windows et des profils d’utilisateurs itinérants sont configurés automatiquement sur un contrôleur de domaine principal (CDP) Mac OS X Server, mais vous pouvez configurer d’autres points de partage. Windows utilise le protocole SMB (Server Message Block) pour accéder aux points de partage. Le point de partage par défaut des répertoires de départ Windows est le même que le point de partage des répertoires de départ Mac OS X. Le point de partage par défaut des profils d’utilisateurs est le dossier /Utilisateurs/Profiles/ sur le serveur CDP. Ce point de partage SMB ne s’affiche pas dans le Gestionnaire de groupe de travail. Vous pouvez configurer des points de partage SMB alternatifs pour les répertoires de départ et les profils utilisateur sur le serveur CDP ou sur des serveurs membres du domaine. Vous pouvez configurer des points de partage supplémentaires pouvant être utilisés de manière exclusive ou non par les utilisateurs Windows. Par exemple, vous pouvez configurer un point de partage dans lequel les utilisateurs Windows et Mac OS enregistrent les fichiers graphiques ou de traitement de texte qui peuvent être utilisés sur les deux plates-formes. A l’inverse, vous pouvez configurer un point de partage pour l’accès exclusif via SMB, de sorte que les utilisateurs Windows disposent d’un emplacement réseau pour les fichiers ne pouvant pas être utilisés sur d’autres plates-formes. Pour une vue d’ensemble des points de partage, notamment une étude des problèmes dont vous devez tenir compte avant leur création, consultez le chapitre relatif aux points de partage dans le guide d’administration des services de fichiers. Verrouillage opportuniste (oplocks) Les points de partage SMB de Mac OS X Server prennent en charge l’amélioration des performances offerte par le verrouillage opportuniste (“oplocks”). En général, le verrouillage des fichiers empêche plusieurs clients de modifier les mêmes informations en même temps ; un client verrouille le fichier (ou une partie du fichier) afin d’y accéder de manière exclusive. Le verrouillage opportuniste accorde cet accès exclusif, mais autorise également le client à mettre en cache localement ses modifications (sur l’ordinateur client) afin d’améliorer les performances. Pour activer le verrouillage opportuniste, modifiez les réglages de protocole Windows d’un point de partage à l’aide du Gestionnaire de groupe de travail. Important : n’activez pas le verrouillage opportuniste pour un point de partage qui utilise tout autre protocole que SMB.46 Chapitre 3 Administration des utilisateurs, groupes, ordinateurs et points de partage Windows Verrouillage strict Il incombe généralement à une application client de déterminer si un fichier est verrouillé avant d’essayer de l’ouvrir. Une application mal écrite peut échouer lors de la détection d’un éventuel verrouillage et peut endommager un fichier déjà utilisé par quelqu’un d’autre. Le verrouillage strict, qui est activé par défaut, permet d’empêcher cela. Lorsque le verrouillage strict est activé, le serveur SMB recherche et applique lui-même le verrouillage des fichiers. Création d’un point de partage SMB et définition des autorisations Vous pouvez utiliser le module Partage du Gestionnaire de groupe de travail pour partager des volumes (tels que des disques, des CD et des DVD), des partitions et des dossiers individuels en configurant des points de partage. Lorsque vous créez un point de partage, vous pouvez le configurer afin qu’il soit partagé via n’importe quelle combinaison des protocoles AFP, FTP, SMB et NFS. Vous pouvez également contrôler l’accès au point de partage et à son contenu en configurant des autorisations d’accès. Remarque : n’utilisez pas de barre oblique (/) dans le nom d’un dossier ou volume que vous prévoyez de partager. Les utilisateurs qui tentent d’accéder au point de partage risquent de rencontrer des difficultés pour l’afficher. Pour créer un point de partage SMB et définir des autorisations : 1 Ouvrez le Gestionnaire de groupes de travail et cliquez sur Partage. 2 Cliquez sur Tous et sélectionnez l’élément que vous souhaitez partager. 3 Cliquez sur Général. 4 Sélectionnez “Partager cet élément et son contenu”. 5 Pour contrôler qui a accès au point de partage, changez le propriétaire ou le groupe de l’élément partagé. Tapez les noms ou faites-les glisser à partir du tiroir Utilisateurs et groupes. Pour ouvrir le tiroir, cliquez sur Utilisateurs et groupes. Si vous ne voyez pas un utilisateur ou groupe créé récemment, cliquez sur Actualiser. Pour modifier la fréquence d’actualisation automatique, cliquez sur Gestionnaire de groupe de travail > Préférences. 6 Sélectionnez le type d’autorisation pour le Possesseur, le Groupe et Tous dans les menus locaux correspondants. “Tous” désigne l’ensemble des utilisateurs pouvant se connecter au serveur de fichiers, utilisateurs enregistrés et invités. 7 (Facultatif) Pour appliquer la propriété et les autorisations du point de partage à tous les fichiers et dossiers qu’il contient, cliquez sur Copier. Cela permet d’annuler les autorisations éventuellement définies par d’autres utilisateurs.Chapitre 3 Administration des utilisateurs, groupes, ordinateurs et points de partage Windows 47 8 Cliquez sur Protocoles (à droite) et sélectionnez Réglages de fichiers Windows dans le menu local. 9 Pour fournir l’accès SMB au point de partage, sélectionnez “Partager cet élément via SMB”. 10 Pour permettre aux utilisateurs non enregistrés d’accéder au point de partage, sélectionnez “Autoriser l’accès comme invité SMB”. Pour plus de sécurité, ne sélectionnez pas cet élément. 11 Pour modifier le nom que les clients voient lorsqu’ils naviguent vers le point de partage et s’y connectent via SMB, tapez un nouveau nom dans le champ “Nom SMB personnalisé”. La modification du nom SMB personnalisé n’affecte pas le nom du point de partage proprement dit, mais uniquement le nom que voient les clients SMB. 12 Pour autoriser les clients à utiliser le verrouillage opportuniste des fichiers, sélectionnez “Activer oplock”. N’activez pas les oplocks pour un point de partage qui utilise tout autre protocole que SMB. Pour plus d’informations sur le verrouillage opportuniste, consultez la section “Verrouillage opportuniste (oplocks)” à la page 45. Pour que les clients utilisent le verrouillage standard sur les fichiers du serveur, sélectionnez “Activer le verrouillage strict”. 13 Choisissez une méthode pour affecter des autorisations d’accès par défaut aux nouveaux fichiers et dossiers du point de partage. Pour que les nouveaux éléments adoptent les autorisations de l’élément parent, sélectionnez “Recevoir les autorisations des parents”. Pour affecter des autorisations spécifiques, sélectionnez “Affecter comme suit” et configurez les autorisations Possesseur, Groupe et Tous à l’aide des menus locaux. 14 Pour empêcher l’accès AFP au nouveau point de partage, choisissez Réglages de fichiers Apple dans le menu local, puis désélectionnez “Partager cet élément via AFP”. 15 Pour empêcher l’accès FTP au nouveau point de partage, choisissez Réglages FTP dans le menu local, puis désélectionnez “Partager cet élément via FTP”. 16 Pour empêcher l’accès NFS au nouveau point de partage, choisissez Réglages d’exportation NFS dans le menu local, puis désélectionnez “Exporter cet élément et son contenu vers”. 17 Cliquez sur Enregistrer. À partir de la ligne de commande Vous pouvez également configurer un point de partage à l’aide de la commande sharing de Terminal. Pour plus d’informations, consultez le chapitre relatif aux services de fichiers dans le guide d’administration par ligne de commande.48 Chapitre 3 Administration des utilisateurs, groupes, ordinateurs et points de partage Windows Modification des réglages Windows (SMB) d’un point de partage Vous pouvez utiliser le Gestionnaire de groupe de travail pour déterminer si un point de partage est disponible via SMB et pour modifier des réglages tels que le nom du point de partage vu par les clients SMB, l’autorisation ou non de l’accès en invité, l’autorisation ou non du verrouillage opportuniste ou encore les autorisations par défaut des nouveaux éléments. Pour modifier les réglages d’un point de partage SMB : 1 Ouvrez le Gestionnaire de groupes de travail et cliquez sur Partage. 2 Cliquez sur Points de partage et sélectionnez le point de partage. 3 Cliquez sur Protocoles (à droite) et sélectionnez Réglages de fichiers Windows dans le menu local. 4 Pour fournir l’accès SMB au point de partage, sélectionnez “Partager cet élément via SMB”. 5 Pour permettre aux utilisateurs non enregistrés d’accéder au point de partage, sélectionnez “Autoriser l’accès comme invité SMB”. Pour plus de sécurité, ne sélectionnez pas cet élément. 6 Pour modifier le nom que les clients voient lorsqu’ils naviguent vers le point de partage et s’y connectent via SMB, tapez un nouveau nom dans le champ “Nom SMB personnalisé”. La modification du nom SMB personnalisé n’affecte pas le nom du point de partage proprement dit, mais uniquement le nom que voient les clients SMB. 7 Pour autoriser les clients à utiliser le verrouillage opportuniste des fichiers, sélectionnez “Activer oplock”. Pour que les clients utilisent le verrouillage standard sur les fichiers du serveur, sélectionnez “Activer le verrouillage strict”. N’activez pas le verrouillage opportuniste pour un point de partage qui utilise tout autre protocole que SMB. Pour plus d’informations sur le verrouillage opportuniste, consultez la section “Verrouillage opportuniste (oplocks)” à la page 45. 8 Choisissez une méthode pour affecter des autorisations d’accès par défaut pour les nouveaux fichiers et dossiers du point de partage. Pour que les nouveaux éléments adoptent les autorisations de l’élément parent, sélectionnez “Recevoir les autorisations des parents”. Pour affecter des autorisations spécifiques, sélectionnez “Affecter comme suit” et configurez les autorisations Possesseur, Groupe et Tous à l’aide des menus locaux. 9 Cliquez sur Enregistrer.Chapitre 3 Administration des utilisateurs, groupes, ordinateurs et points de partage Windows 49 À partir de la ligne de commande Vous pouvez également modifier les réglages SMB d’un point de partage en utilisant la commande sharing de Terminal. Pour plus d’informations, consultez le chapitre relatif aux services de fichiers dans le guide d’administration par la ligne de commande. Gestion des points de partage Pour plus d’informations sur les tâches quotidiennes typiques que vous pouvez effectuer après avoir configuré des points de partage sur votre serveur, consultez le chapitre sur les points de partage dans le guide d’administration des services de fichiers. Il décrit les tâches suivantes : • Désactivation d’un point de partage • Désactivation d’un protocole pour un point de partage • Affichage des points de partage • Copie d’autorisations vers des éléments inclus • Affichage des réglages des points de partage • Modification des réglages du propriétaire du point de partage et des autorisations d’accès • Modification de l’étendue client d’un point de partage NFS • Autorisation de l’accès en invité à un point de partage • Configuration d’une boîte de dépôt4 51 4 Migration d’utilisateurs d’un serveur Windows vers Mac OS X Server Vous pouvez configurer des comptes d’utilisateur et des répertoires de départ Mac OS X Server afin de remplacer ceux des serveurs Windows NT, Windows 2000 et Windows 2003 existants. Le schéma ci-après récapitule la procédure qui suit. Clients Windows Configuration de Mac OS X Server. 2 Configuration de l'infrastructure des répertoires de départ. 3 Exportation des utilisateurs. 4 Importation des utilisateurs. 5 Transfert des scripts d'ouverture de session. 7 Transfert des fichiers et réglages. Mac OS X Server 6 Connexion au domaine CPD Windows. Serveur Windows52 Chapitre 4 Migration d’utilisateurs d’un serveur Windows vers Mac OS X Server Étape 1 : Configuration de Mac OS X Server Suivez les instructions du guide de démarrage : 1 Installez le logiciel serveur. 2 Procédez à la configuration initiale du serveur, en prenant soin de créer un domaine maître Open Directory et un contrôleur de domaine principal (CDP) Windows sur le serveur. Le CDP Windows permet aux utilisateurs des stations de travail Windows NT, Windows 2000 et Windows XP de se connecter au CDP, de modifier des mots de passe lors de la connexion et de disposer de profils d’utilisateurs itinérants et de répertoires de départ en réseau sur Mac OS X Server. Dans le panneau Utilisation du répertoire de l’Assistant du serveur, sélectionnez Maître Open Directory dans le menu local “Réglez l’utilisation du répertoire sur”. Sélectionnez ensuite Activer le contrôleur de domaine principal Windows et tapez un nom d’ordinateur et un nom de domaine/groupe de travail : Dans le champ Nom de l’ordinateur, tapez le nom que les utilisateurs Windows doivent voir lorsqu’ils se connectent au serveur. Il s’agit du nom NetBIOS du serveur. Ce nom ne doit pas compter plus de 15 caractères, sans caractères spéciaux ni ponctuation. Si vous trouvez cela pratique, faites correspondre le nom du serveur avec son nom d’hôte DNS non qualifié. Par exemple, si votre serveur DNS possède une entrée “serveur.exemple.com” pour votre serveur, nommez ce dernier “serveur”. Dans le champ Domaine/groupe de travail, tapez le nom du domaine Windows qui sera hébergé par le serveur. Le nom d’un domaine ne peut comporter plus de 15 caractères. Étape 2 : Configuration de l’infrastructure des répertoires de départ Lorsque vous importez des utilisateurs, il faut identifier un emplacement pour leurs répertoires de départ. Vous pouvez utiliser l’un des points de partage prédéfinis, tels que le dossier /Utilisateurs. Vous pouvez également configurer votre propre point de partage. 1 Si vous utilisez un point de partage prédéfini, sélectionnez-le dans le Gestionnaire de groupe de travail et passez à l’étape 3 de cette séquence. Dans le cas contraire, exécutez d’abord l’étape 2. Pour sélectionner un point de partage prédéfini dans le Gestionnaire de groupe de travail, cliquez sur Partage. Cliquez sur Points de partage et sélectionnez le point de partage. 2 Si vous souhaitez configurer votre propre point de partage sur Mac OS X Server, créez le dossier que vous souhaitez utiliser comme point de partage du répertoire de départ, puis utilisez le Gestionnaire de groupe de travail pour faire de ce dossier un point de partage. Dans Gestionnaire de groupe de travail, cliquez sur Partage. Cliquez sur Tous et sélectionnez le dossier. Cliquez sur Général et sélectionnez “Partager cet élément et son contenu”. Configurez les autorisations, puis cliquez sur Enregistrer. Cliquez sur Protocoles et assurez-vous que le dossier est partagé via AFP ou NFS. Cliquez de nouveau sur Enregistrer. 3 Configurez le point de partage afin qu’il soit monté automatiquement sur les postes de travail clients. Chapitre 4 Migration d’utilisateurs d’un serveur Windows vers Mac OS X Server 53 Le point de partage étant sélectionné dans le Gestionnaire de groupe de travail, cliquez sur Montage réseau. Sélectionnez le répertoire LDAP du serveur CDP dans le menu local Emplacement. Cliquez sur le cadenas à droite de ce menu local et authentifiez-vous en tant qu’administrateur du répertoire LDAP. Sélectionnez “Créer un enreg. de montage pour ce point partagé”. Sélectionnez AFP ou NFS dans le menu local Protocole. Sélectionnez “Répertoires de départ utilisateur” en regard de “Utiliser pour”, puis cliquez sur Enregistrer. 4 Configurez les autorisations par défaut d’accès aux fichiers pour les utilisateurs Windows. Cliquez sur Protocoles, sélectionnez Réglages de fichiers Windows dans le menu local et spécifiez les autorisations sous “Autorisations par défaut pour les nouveaux fichiers et dossiers”. Cliquez sur Enregistrer. Étape 3 : Exportation d’utilisateurs à partir du domaine de serveur Windows 1 Ouvrez l’application de gestion des utilisateurs (telle que Gestionnaire des utilisateurs pour Windows NT 4.0 Server) sur votre serveur Windows. 2 Exportez les utilisateurs dans un fichier délimité par des tabulations. Les noms complets et les noms abrégés sont exportés. Sous Windows NT, ils correspondent respectivement au nom et au nom d’utilisateur. Sous Windows 2000 Active Directory, ils correspondent respectivement au nom et au nom d’ouverture de session antérieur à Windows 2000. Étape 4 : Importation d’utilisateurs sous Mac OS X Server 1 Assurez-vous que les services Windows sont en cours d’exécution. Ouvrez Admin Serveur, sélectionnez Windows dans la liste Ordinateurs et services, puis cliquez sur Démarrer le service si nécessaire. 2 Sur le serveur Windows, mettez en correspondance un lecteur réseau avec Mac OS X Server. 3 Connectez-vous sous le nom d’utilisateur administrateur que vous avez défini lors de la configuration de Mac OS X Server. 4 Copiez le fichier d’exportation dans Mac OS X Server. 5 Sous Mac OS X Server, modifiez le fichier d’exportation : a Remplacez les fins de ligne Windows par des fins de ligne UNIX. Vous pouvez pour cela utiliser l’éditeur à ligne de commande vi. La commande suivante ouvre vi pour un fichier nommé MonFichier, avec des fins de ligne de type UNIX : vi -c "set fileformat=unix" MonFichier b Supprimez l’en-tête inséré lors de l’exportation. c Réorganisez les colonnes afin que le nom abrégé apparaisse en premier. Un tableur s’avère utile pour ce type d’édition. d Ajoutez l’en-tête suivant comme première ligne du fichier : 0x0D 0x