Mac OS X Server
Administration d’Open Directory Pour Leopard version 10.5
AppleInc.
©2007AppleInc.Tousdroitsréservés.
Lepropriétaireoul’utilisateurautoriséd’unexemplaire validedulogicielMacOSXServerpeutreproduirela présentepublicationàdesfinsd’apprentissagedudit logiciel.Laprésentepublicationnepeutêtrereproduite outransmiseentotalitéouenpartieàdesfinscommer- ciales,tellesquelaventedecopiesoulaprestationd’un serviced’assistancepayant.
Tousleseffortsnécessairesontétémisenœuvrepour quelesinformationscontenuesdanscemanuelsoient lesplusexactespossibles.AppleInc.n’estpasresponsa- bledeserreursd’écritureetd’impression.
Apple 1InfiniteLoop CupertinoCA95014-2084 www.apple.com
LelogoAppleestunemarqued’AppleInc.,déposée
*auxÉtats-Unisetdansd’autrespays.Enl’absence duconsentementécritd’Apple,l’utilisationàdesfins commercialesdecelogovialeclavier(Option+1) pourraconstituerunactedecontrefaçonet/oude concurrencedéloyale.
Apple,lelogoApple,Mac,Macintosh,XgridetXserve sontdesmarquesd’AppleInc.déposéesauxÉtats-Unis etdansd’autrespays.Finderestunemarqued’AppleInc.
AdobeetPostScriptsontdesmarquesd’AdobeSystems Incorporated.
UNIXestunemarquedéposéedeTheOpenGroup.
Lesautresnomsdesociétésetdeproduitsmentionnés icisontdesmarquesdeleursdétenteursrespectifs.La mentiondeproduitstiersn’esteffectuéequ’àdesfins informativesetneconstitueenaucuncasuneapproba- tionniunerecommandation.Applen’assumeaucune responsabilitévis-à-visdesperformancesoudel’utilisa- tiondecesproduits.
F019-0935/01-09-2007
1
Tabledesmatières
Préface 11 Àproposdeceguide 12
Nouveautésdelaversion10.5
13
Contenudeceguide
14
Utilisationdeceguide
15
Utilisationdel’aideàl’écran
15
Guidesd’administrationdeMacOSXServer
17
VisualisationdeguidesPDFàl’écran
17
ImpressiondesguidesPDF
18
Obtenirdesmisesàjourdedocumentation
18
Pourobtenirdesinformationssupplémentaires
Chapitre1 19 ServicesderépertoireavecOpenDirectory 19
Avantagesdel’utilisationdeservicesderépertoire
20
Servicesetdomainesderépertoire
21
Pointdevuehistorique
21
Consolidationdesdonnées
23
Répartitiondesdonnées
24
Utilisationdesdonnéesdesrépertoires
26
Accèsauxservicesderépertoires
26
Auseind’undomainederépertoire
28
StructuredesinformationsderépertoireLDAP
29
Domainesderépertoirelocauxetpartagés
29
Àproposdudomainederépertoirelocal
30
Àproposdesdomainesderépertoirepartagés
31
Donnéespartagéesdansdesdomainesderépertoireexistants
31
ServicesSMBetOpenDirectory
32
OpenDirectorycommecontrôleurdedomaineprincipal
34
OpenDirectorycommecontrôleurdedomainesecondaire
Chapitre2 35 PolitiquesderechercheOpenDirectory 35
Niveauxdepolitiquederecherche
38
Politiquesderecherchemultiniveaux
40
Politiquesderechercheautomatiques
41
Politiquesderecherchepersonnalisées
42
Politiquesderecherched’authentificationetdecontacts
Chapitre3 43 AuthentificationOpenDirectory 44
Typesdemotsdepasse
44
Authentificationetautorisation
45
MotsdepasseOpenDirectory
45
Motsdepasseshadow
46
Motsdepassecryptés
46
Fournitured’authentificationsécuriséeauxutilisateursWindows
47
Attaqueshorslignesurdesmotsdepasse
48
Déterminationdel’optiond’authentificationàutiliser
50
Politiquesdemotdepasse
51
Authentificationparsignatureunique
51
AuthentificationKerberos
53
SurmonterlesobstaclesdudéploiementdeKerberos
54
Expérienceenmatièredesignatureunique
54
Authentificationsécurisée
55
Prêtàallerau-delàdesmotsdepasse
55
Authentificationmultiplateforme
55
Authentificationcentralisée
56
Serviceskerbérisés
56
ConfigurationdeservicespourKerberosaprèslamiseàniveau
57
PrincipauxetroyaumesKerberos
57
Processusd’authentificationKerberos
59
Méthodesd’authentificationparserveurdemotsdepasseOpenDirectoryetparmot depasseshadow
60
Désactivationdesméthodesd’authentificationOpenDirectory
62
Désactivationdesméthodesd’authentificationdemotsdepasseshadow
63
ContenudelabasededonnéesduserveurdemotsdepasseOpenDirectory
64
AuthentificationparliaisonLDAP
Chapitre4 65 OutilsdeplanificationetdegestionOpenDirectory 66
Directivesgénéralesdeplanification
69
Évaluationdesbesoinsenmatièrederépertoiresetd’authentification
70
Identificationdeserveurspourl’hébergementdedomainespartagés
71
DuplicationdeservicesOpenDirectory
72
Ensemblederépliques
72
Réplicationencascade
74
Réplicationdansuncampuscomprenantplusieursbâtiments
75
Utilisationd’unmaître,d’unerépliqueoud’unrelaisOpenDirectoryavecNAT
76
CompatibilitéentremaîtreetrépliquesOpenDirectory
76
MélangedeservicesdemaîtresetrépliquesActiveDirectoryetOpenDirectory
78
Intégrationavecdesdomainesderépertoireexistants
79
Intégrationsansmodificationsauschéma
79
Intégrationavecmodificationsauschéma
80
ÉvitementdeconflitsKerberosavecplusieursrépertoires
82
Améliorationdesperformancesetdelaredondance
83
Sécuritéd’OpenDirectory
85
Listesdecontrôled’accèsàunservice(SACL)
85
Administrationparniveaux
86
OutilspourlagestiondesservicesderépertoireOpenDirectory
87
AdminServeur
88
Utilitairederépertoire
88
Gestionnairedegroupedetravail
89
Utilitairesdelignedecommande
Chapitre5 91 ConfigurationdesservicesOpenDirectory 91
Vued’ensembledelaconfiguration
93
Avantdecommencer
93
Gestiond’OpenDirectorysurunserveurdistant
94
Activationd’OpenDirectory
94
Configurationd’unservicederépertoireautonome
95
Configurationd’unmaîtreOpenDirectory
98
Explicationdelafaçond’ouvrirunesession
98
Configurationd’uncontrôleurdedomaineprincipal
100
ConfigurationdeWindowsVistapourl’ouverturedesessiondedomaine
101
ConfigurationdeWindowsXPpourl’ouverturedesessiondedomaine
101
ConfigurationdeWindows2000pourl’ouverturedesessiondedomaine
102
Configurationd’unerépliqueOpenDirectory
105
Créationdeplusieursrépliquesd’unmaîtreOpenDirectory
105
ConfigurationderelaisOpenDirectorypourlaréplicationencascade
106
Configurationd’unserveurcommecontrôleurdedomainesecondaire
107
ConfigurationdubasculementOpenDirectory
108
Configurationd’uneconnexionàunserveurderépertoire
110
Configurationd’unserveurcommemembred’undomainedecontrôleurde domaineprincipalMacOSXServer
111
Configurationd’unserveurcommemembred’undomaineActiveDirectory
113
Configurationdel’authentificationKerberosparsignatureunique
115
Configurationd’unroyaumeKerberosOpenDirectory
117
Délégationd’autoritépourconnecterdesserveursàunroyaume KerberosOpenDirectory
119
ConnecterunserveuràunroyaumeKerberos
Chapitre6 121 Gestiondel’authentificationd’utilisateur 122
Compositiond’unmotdepasse
123
Modificationdumotdepassed’unutilisateur
124
Réinitialisationdesmotsdepassedeplusieursutilisateurs
125
Modificationdutypedemotdepassed’unutilisateur
125
ChoixdutypedemotdepasseOpenDirectory
127
ChangementdutypedemotenMotdepassecrypté
128
Choixdutypedemotdepasseshadow
129
Activationdel’authentificationKerberosparsignatureuniquepourunutilisateur
129 Changementdepolitiquedemotdepasseglobale
130 Configurationdespolitiquesdemotdepassed’utilisateursindividuels
132 Sélectiondeméthodesd’authentificationpourdesutilisateursdemotsdepasse shadow
133 Sélectiondeméthodesd’authentificationpourdesutilisateursdemotsdepasse OpenDirectory
134 Attributiondedroitsd’administrateurpourl’authentificationOpenDirectory 135 Synchronisationdesmotsdepassed’administrateurprincipaux
135 Activationdel’authentificationparliaisonLDAPpourunutilisateur 136 Configurationdemotsdepassed’utilisateursexportésouimportés 137 MigrationdemotsdepasseàpartirdeMacOSXServer10.1ouantérieur Chapitre7 139 Gestiondesclientsderépertoire
139 Connexiondeclientsauxserveursderépertoire 139 Àproposdesconnexionsauxserveursderépertoire 140 Configurationautomatiquedesclients
141 Ajoutd’uneconnexionàunserveurActiveDirectory 142 Ajoutd’uneconnexionàunserveurOpenDirectory 142 Suppressiond’uneconnexionàunserveurderépertoire 143 Modificationd’uneconnexionàunserveurderépertoire 143 Contrôledesconnexionsauxserveursderépertoire 143 Gestionducompted’utilisateurroot
144 Activationducompted’utilisateurroot
144 Modificationdumotdepasseducompted’utilisateurroot Chapitre8 147 Réglagesavancésdesclientsderépertoire
147 Àproposdesréglagesavancésdesservicesderépertoire 148 Configurationdel’Utilitairederépertoiresurunserveurdistant
148 Configurationdefichesdemontagepourledomainederépertoirelocal
149 Ajoutd’unefichedemontageaudomainederépertoirelocal 150 Suppressiond’unefichedemontagedudomainederépertoirelocal 150 Modificationd’unefichedemontagedansledomainederépertoirelocal 150 Utilisationdesréglagesavancésdesrèglesderecherche
152 Définitiondepolitiquesderechercheautomatiques 153 Définitiondepolitiquesderecherchepersonnalisées 154 Définitiondepolitiquesderecherchederépertoirelocal
154 Attentedel’entréeenvigueurd’unemodificationdelapolitiquederecherche 154 ProtectiondesordinateurscontreunserveurDHCPmalveillant
155 Utilisationdesréglagesavancésdesservicesderépertoire 156 ActivationoudésactivationduserviceActiveDirectory 156 ActivationoudésactivationdesservicesderépertoiresLDAP 157 UtilisationdesréglagesavancésdesservicesLDAP
158 AccèsàdesrépertoiresLDAPdansMailetCarnetd’adresses 158 Activationoudésactivationd’unrépertoireLDAPfourniviaDHCP 159 AffichageoumasquagedeconfigurationspourserveursLDAP 160 Configurationdel’accèsàunrépertoireLDAP
163 Configurationmanuelledel’accèsàunrépertoireLDAP
165 Modificationd’uneconfigurationpourl’accèsàunrépertoireLDAP 167 Duplicationd’uneconfigurationpourl’accèsàunrépertoireLDAP 169 Suppressiond’uneconfigurationpourl’accèsàunrépertoireLDAP 170 Modificationdesréglagesdeconnexiond’unrépertoireLDAP 171 ModificationdelapolitiquedesécuritépouruneconnexionLDAP 173 ConfigurationdesrecherchesetmappagesLDAP
176 ConfigurationdelaliaisonsécuriséepourunannuaireLDAP 177 ArrêtdelaliaisonsécuriséeavecunannuaireLDAP
178 Modificationdudélaid’ouverture/defermeturepouruneconnexionLDAP 178 ModificationdudélaiderequêtepouruneconnexionLDAP
179 ModificationdudélaidetentativedereconnexionpouruneconnexionLDAP 179 Modificationdudélaid’inactivitépouruneconnexionLDAP
180 Forçagedel’accèsLDAPv2enlectureseule 180 IgnorancedesréférencesdeserveurLDAP
181 Authentificationd’uneconnexionLDAP
181 ModificationdumotdepasseutilisépourauthentifieruneconnexionLDAP 182 Mappaged’attributsd’enregistrementdeconfigurationpourrépertoiresLDAP 183 ModificationdumappageRFC2307pouractiverlacréationd’utilisateurs 184 Préparationd’unrépertoireLDAPenlectureseulepourMacOSX 184 Remplissaged’annuairesLDAPavecdesdonnéespourMacOSX 185 UtilisationdesréglagesavancésdesservicesActiveDirectory 186 Àproposdel’accèsàActiveDirectory
193 Configurationd’unshellUNIXpourdescomptesd’utilisateurActiveDirectory 194 Associationdel’UIDàunattributActiveDirectory
195 Mappagedel’identifiantdegroupeprincipalversunattributActiveDirectory 196 Mappagedel’identifiantdegroupedescomptesdegroupeversunattributActive
Directory
197 Spécificationd’unserveurActiveDirectorypréféré
198 ModificationdesgroupesActiveDirectoryautorisésàadministrerl’ordinateur 199 Contrôledel’authentificationàpartirdetouslesdomainesdelaforêt
ActiveDirectory
200 RupturedelaliaisonavecleserveurActiveDirectory
200 Modificationdecomptesd’utilisateuretd’autresenregistrementsdansActiveDirec- tory
201 Configurationdel’accèsLDAPauxdomainesActiveDirectory 202 DéfinitiondesréglagesNIS
203 DéfinitiondesréglagesdefichierdeconfigurationBSD
204 ConfigurationdedonnéesdansdesfichiersdeconfigurationBSD Chapitre9 205 MaintenancedesservicesOpenDirectory
205 Contrôledel’accèsauxserveursetservicesOpenDirectory
206 Contrôledel’accèsàlafenêtred’ouverturedesessiond’unserveur 206 Contrôledel’accèsauserviceSSH
207 Configurationducontrôled’accèsàunservice 208 Configurationdeprivilègesdefiche
209 Contrôled’OpenDirectory
210 Contrôledel’étatd’unserveurOpenDirectory
210 Contrôledesrépliquesetdesrelaisd’unmaîtreOpenDirectory 211 AffichagedesétatsetdeshistoriquesOpenDirectory
211 Contrôledel’authentificationOpenDirectory 212 Affichageetmodificationdesdonnéesderépertoire 212 Affichagedel’Inspecteurderépertoire
213 Masquagedel’inspecteurderépertoire
213 Définitiondecontrôlesd’accèsauxrépertoires(DAC,DirectoryAccessControls) 214 Suppressiond’enregistrements
215 Suppressiond’utilisateursoud’ordinateursàl’aidedel’Inspecteuroudelalignede commande
216 Modificationdunomabrégéd’unutilisateur 217 Importationd’enregistrementsdetoustypes 217 Définitiondesoptionsd’unserveurOpenDirectory
218 Configurationd’unepolitiquedeliaisonpourunserveurOpenDirectory 219 Configurationd’unrèglementdesécuritépourunserveurOpenDirectory 220 Modificationdel’emplacementd’unebasededonnéesLDAP
222 ConfigurationdeSSLpourleserviceLDAP
222 Créationd’uneconfigurationSSLpersonnaliséepourLDAP 224 GestiondelaréplicationOpenDirectory
224 Planificationdelaréplicationd’unmaîtreOpenDirectoryoud’uncontrôleurde domaineprincipal(PDC)
225 Synchronisationd’unerépliqueOpenDirectoryoud’uncontrôleurdedomainesec- ondaireàlademande
226 Conversiond’unerépliqueOpenDirectoryenunrelais 226 Promotiond’unerépliqueOpenDirectory
229 Misehorsserviced’unerépliqueOpenDirectory 230 Archivaged’unmaîtreOpenDirectory
231 Restaurationd’unmaîtreOpenDirectory Chapitre10 235 RésolutiondeproblèmesliésàOpenDirectory
235 RésolutiondeproblèmesliésauxmaîtresetauxrépliquesOpenDirectory 235 SiKerberosestarrêtésurunmaîtreouunerépliqueOpenDirectory 236 SivousnepouvezpascréerunerépliqueOpenDirectory
236 SivousnepouvezpascréerunmaîtreouunerépliqueOpenDirectoryàpartird’un fichierdeconfiguration
236 Sivousnepouvezpasconnecterunerépliqueàunrelais
237 SivousnepouvezpasconnecterunerépliqueOpenDirectoryàunOpenDirectory quiestlesubordonnéd’unserveurActiveDirectory
237 Résolutiondeproblèmesdesconnexionàdesrépertoires 237 Siunralentissementseproduitlorsdudémarrage 237 Résolutiondesproblèmesd’authentification
237 SivousnepouvezpasmodifierlemotdepasseOpenDirectoryd’unutilisateur 238 Siunutilisateurnepeutpasaccéderàcertainsservices
238 Siunutilisateurneparvientpasàs’authentifierpourleserviceVPN
238 Sivousnepouvezpaschangerletypedemotdepassed’unutilisateurentype OpenDirectory
239 Silesutilisateursexploitantunserveurdemotsdepassenepeuventpasouvrirde session
239 Silesutilisateursnepeuventpasouvrirdesessionsousuncompteissud’un domainederépertoirepartagé
239 SivousnepouvezpasouvrirunesessioncommeutilisateurActiveDirectory 240 Sidesutilisateursnepeuventpass’authentifierparKerberosetlasignatureunique 242 Silesutilisateursn’arriventpasàmodifierleurmotdepasse
242 SivousnepouvezpasconnecterunserveuràunroyaumeKerberosOpenDirectory 243 Sivousdevezréinitialiserunmotdepassed’administrateur
Annexe 245 DonnéesderépertoireMacOSX
256 AttributsduschémaLDAPOpenDirectory
276 Mappagedetypesd’enregistrementsetd’attributsstandardversLDAPet ActiveDirectory
277 Mappagesd’utilisateurs(Users) 280 Mappagesdegroupes(Groups) 282 Mappagesdemontages(Mounts) 282 Mappagesd’ordinateurs(Computers)
284 Mappagesdelistesd’ordinateurs(ComputerLists) 285 Mappagesdeconfigurations(Config)
286 Mappagesdepersonnes(People)
287 Mappagesdelistesd’ordinateurspréréglés(PresetComputerLists) 288 Mappagesdegroupespréréglés(PresetGroups)
289 Mappagesd’utilisateurspréréglés(PresetUsers) 290 Mappagesd’imprimantes(Printers)
292 Mappagesdeconfigurationsautomatiquesdeserveur(AutoServerSetup) 292 Mappagesd’emplacements(Locations)
293 typesd’enregistrementsetattributsOpenDirectorystandard 293 Attributsstandarddanslesenregistrementsd’utilisateurs 299 Attributsstandarddanslesenregistrementsdegroupes 300 Attributsstandarddanslesenregistrementsd’ordinateurs
301 Attributsstandarddanslesenregistrementsdegroupesd’ordinateurs 302 Attributsstandarddanslesenregistrementsdemontages
303 Attributsstandarddanslesenregistrementsdeconfigurations Glossaire 305
Index 313
Préface
Àproposdeceguide
Ceguidedécritlesservicesderépertoireetd’authentifica- tionquevouspouvezconfigureràl’aidedeMacOSXServer.
Ilexpliqueégalementcommentconfigurerlesordinateurs clientsMacOSXServeretMacOSXpourlesservicesde répertoire.
OpenDirectorydeMacOSXServerfournitdesservicesderépertoireetd’authentification pourréseauxmixtesd’ordinateursMacOSX,WindowsetUNIX.
OpenDirectoryutiliseOpenLDAP,l’implémentationopensourceduprotocole LightweightDirectoryAccessProtocol(LDAP),pourfournirdesservicesderépertoire.
OpenLDAPestcompatibleavecd’autresserveursLDAPbaséssurdesstandardset peutêtreintégréàdesservicespropriétairescomme,parexemple,ActiveDirectory deMicrosofteteDirectorydeNovell.
PourlabasededonnéesLDAPprincipale,OpenDirectoryutiliselabasededonnées Berkeleyopensource.C’estunebasededonnéestrèsextensiblepourl’indexation àhautesperformancesdecentainesdemilliersdecomptesd’utilisateuretd’autres enregistrements.
LemoduleexterneOpenDirectorypermetàunclientMacOSXouMacOSXServer delireetd’écriredesinformationsfaisantautoritésurlesressourcesd’utilisateuretde réseauprovenantden’importequelserveurLDAP,mêmeActiveDirectory,lesystème propriétairedeMicrosoft.Leserveurpeutaussiaccéderàdesfichessetrouvantdans desrépertoireshéritéstelsqueNISetdesfichiersdeconfigurationBSDlocaux(/etc).
OpenDirectoryfournitaussiunserviced’authentification.Ilpeutstockeretvalideren toutesécuritélesmotsdepassedesutilisateursdésireuxd’ouvrirunesessionsurdes ordinateursclientsdevotreréseauoud’utiliserd’autresressourcesréseauquinécessi- tentuneauthentification.OpenDirectorypermetégalementd’appliquercertaines politiquesconcernantnotammentl’expirationdesmotsdepasseouleurlongueur minimale.OpenDirectorypeutenoutreauthentifierdesutilisateursd’ordinateurs Windowspourl’ouverturedesessionsurdesdomaines,leservicedefichiersetd’autres servicesWindows(servicesSMB)fournisparMacOSXServer.
Uncentrededistributiondeclés(KDC)KerberosMITestentièrementintégréàOpen Directoryetfournituneauthentificationsécuriséequiprendenchargelasignature unique.Celasignifiequelesutilisateursnedoivents’authentifierqu’uneseulefois, avecuneseuleetuniquepairenomd’utilisateur/motdepasse,pouraccéderàl’ensem- bledesservicesréseaupourlesquelsKerberosaétéactivé.
Pourlesservicesquin’acceptentpasl’authentificationKerberos,leserviceSecure AuthenticationandServiceLayer(SASL)intégrénégocielemécanismed’authentifica- tionleplussûrpossible.
Deplus,laréplicationderépertoiresetd’authentificationoptimiseladisponibilitéet l’extensibilité.EncréantdesrépliquesdesserveursOpenDirectory,vouspouvezaisé- mentmaintenirdesserveursdebasculementetdesserveursdistantspourl’interaction rapideaveclesclientssurdesréseauxdistribués.
Nouveautésdelaversion10.5
MacOSXServer10.5offrelesaméliorationsmajeuressuivantesdansOpenDirectory:
 Configurationsimplifiéedel’accèsLDAPv3:l’Utilitairederépertoirevousaideà configureruneconnexionàunannuaireLDAP.
 Interfaced’AdminServeuraméliorée:AdminServeurdisposed’uneinterfaceplus ergonomique.
 Autorisationaméliorée:vouspouvezrelierunserveurOpenDirectoryMacOSXà unserveurActiveDirectoryetutiliseruneautorisationcouvrantplusieursdomaines.
 ServeurLDAPamélioré:MacOSXServer10.5utiliseOpenLDAP2.3.xetBerkeley DB4.2.52.
 Domainelocalamélioré:MacOSXutiliseundomainederépertoirelocalpour l’authentificationdel’ordinateurlocal.
 Réplicationaméliorée:vouspouvezavoiruneréplicationàdeuxniveauxd’un mêmemaître(égalementappeléeréplicationencascade).Celavouspermetd’avoir jusqu’à1056répliquesd’unmêmemaîtreOpenDirectoryetdesensemblesderépli- quesouunesélectionderépliqueplusefficacespourleserveurdemotsdepasse,
 Administrationaméliorée:vouspouvezbénéficierd’uneplusgrandeextensibilité enmatièred’administrationdesdomainesderépertoireenfaisantappelàuneadmi- nistrationàplusieursniveaux.
 Meilleurepriseenchargedesapplications:vouspouvezutiliserOpenDirectory avecdesapplicationstellesqu’AppleWiki.
Contenudeceguide
Ceguidecomprendleschapitressuivants:
 Lechapitre1,«ServicesderépertoireavecOpenDirectory»présentelesdomaines derépertoire,lafaçondontilssontorganisésetutilisés.
 Lechapitre2,«PolitiquesderechercheOpenDirectory»présentelespolitiquesde recherchepourunouplusieursdomainesderépertoireetdécritlespolitiquesde rechercheautomatisées,personnaliséesoulocalesuniquement.
 Lechapitre3,«AuthentificationOpenDirectory»décritl’authentification OpenDirectory,lesmotsdepasseshadowetcryptés,Kerberos,laliaisonLDAP etlasignatureunique.
 Lechapitre4,«OutilsdeplanificationetdegestionOpenDirectory»vousaideà déterminervosbesoinsenmatièrededomainesderépertoire,àestimervosexigen- cesenmatièrederépertoiresetd’authentification,àidentifierlesserveurspour l’hébergementdesdomainespartagés,àaméliorerlesperformancesetlaredon- dance,àgérerlaréplicationdansuncampusmultiliaisonetàsécuriservosservices OpenDirectory.Cechapitreprésenteégalementlesoutilsdegestiondesservices OpenDirectory.
 Lechapitre5,«ConfigurationdesservicesOpenDirectory»expliquecommentconfi- gurerunserveurOpenDirectoryetdécritlesconfigurationsetlesrôlesquevous pouvezdéfinir.Cechapitrevousexpliqueégalementcommentdéfinirlesoptionsdu serviceLDAPd’unmaîtreoud’unerépliqueOpenDirectoryetcommentconfigurer l’authentificationKerberosparsignatureuniquesurunmaîtreOpenDirectory.
 Lechapitre6,«Gestiondel’authentificationd’utilisateur»montrecommentdéfinir despolitiquesdemotdepasse,modifierletypedemotdepassed’unutilisateur, attribuerdesdroitsd’administrateurpourl’authentificationOpenDirectory,réinitiali- serlesmotsdepassedecomptesd’utilisateursimportésetfairemigrerdesmotsde passeversl’authentificationOpenDirectory.
 Lechapitre7,«Gestiondesclientsderépertoire»expliquecommentutiliser l’Utilitairederépertoirepourconfigureretgérerlamanièredontlesordinateurs MacOSXaccèdentauxservicesderépertoire.
 LeChapitre8,«Réglagesavancésdesclientsderépertoire»,expliquecommentutili- serl’applicationUtilitairederépertoirepouractiver,désactiveretconfigurerlesproto-
 Lechapitre9,«MaintenancedesservicesOpenDirectory»expliquecommentcon- trôlerlesservicesOpenDirectory,visualiseretmodifierlesdonnéesderépertoireà l’aidedel’Inspecteur,archiverunmaîtreOpenDirectoryeteffectuerd’autresopéra- tionsdemaintenancederépertoire.
 LeChapitre10,«RésolutiondeproblèmesliésàOpenDirectory»,décritlesproblè- mescourantsetfournitdesinformationssurlamarcheàsuivreencasdeproblème lorsdel’utilisationd’OpenDirectory.
Enoutre,l’annexe,«DonnéesderépertoireMacOSX»présentelalistedesextensions OpenDirectoryauschémaLDAPetspécifielestypesdefichesetattributsstandardde MacOSX.Enfin,leglossairedéfinitlestermesquevousrencontrerezlorsdelalecture deceguide.
Remarque:étantdonnéqu’Applepublierégulièrementdenouvellesversionsetmises àjourdeseslogiciels,lesillustrationsdecedocumentpeuventêtredifférentesde cellesquis’affichentàl’écran.
Utilisationdeceguide
Leschapitresdeceguidesontclassésdansl’ordrecorrespondantprobablementle mieuxàvosbesoinsdeconfigurationetdegestiond’OpenDirectorysurvotreserveur.
 Lisezlechapitre1jusqu’auchapitre3pourvousfamiliariseraveclesconcepts d’OpenDirectory:servicesderépertoires,politiquesderechercheetauthentification.
 Lisezlechapitre4lorsquevousêtesprêtàplanifierlesservicesderépertoireset l’authentificationdesmotsdepassepourvotreréseau.
 Aprèscetteétapedeplanification,utilisezlesinstructionsduchapitre5pour configurerlesservicesOpenDirectory.
 Sivousdevezdéfinirdespolitiquesdemotdepasseoumodifierlesréglagesdemot depassed’uncompted’utilisateur,reportez-vousauxinstructionsduchapitre6.
 PourconfigureroumodifierlafaçondontunordinateurMacOSXouMacOSXServer accèdeauxdomainesderépertoire,suivezlesinstructionsduchapitre7.
 Pourconfigurerlesréglagesavancésdesutilisateursàl’aidedel’Utilitairede répertoire,reportez-vousauChapitre8.
 Pourlamaintenancecourantedesservicesderépertoiresetd’authentification, consultezlechapitre9.
 SivousrencontrezdesproblèmesavecOpenDirectory,reportez-vousauchapitre10 pourconnaîtrelessolutionspossibles.
Utilisationdel’aideàl’écran
Vouspouvezobtenirdesinstructionsàl’écrandansVisualisationAidependantque vousutilisezLeopardServer.L’aidepeutêtreaffichéesurunserveurousurunordina- teuradministrateur(UnordinateuradministrateurestunordinateurMacOSXsur lequelestinstallélelogicield’administrationdeserveurLeopardServer.)
Pourobtenirdel’aidedanslecasd’uneconfigurationavancéedeLeopardServer:
m OuvrezAdminServeurouGestionnairedegroupedetravail,puis:
 UtilisezlemenuAidepourrechercherunetâcheàexécuter.
 ChoisissezAide>AideAdminServeurouAide>AideGestionnairedegroupede travailavantd’explorerlesrubriquesd’aideetd’effectuerdesrecherches.
L’aideàl’écrancontientdesinstructionsissuesduguideAdministrationduserveur,ainsi qued’autresguidesd’administrationavancéedécritsdans«Guidesd’administrationde MacOSXServer»àlapage15.
Pourvisualiserlesrubriquesd’aidelesplusrécentesconcernantlesserveurs:
m Assurez-vousqueleserveuroul’ordinateuradministrateurestconnectéàInternet pendantquevousconsultezl’Aide.
VisualisationAideextraitautomatiquementlesrubriquesd’aidelesplusrécentes depuisInternetetlesstockeenmémoirecache.Lorsquevousn’êtespasconnecté àInternet,VisualisationAideaffichelesrubriquesd’aidemisesencache.
Guidesd’administrationdeMacOSXServer
Premierscontactstraitedel’installationetdelaconfigurationdesconfigurationsstan- dardetdegroupedetravaildeMacOSXServer.Pourlesconfigurationsavancées, consultezAdministrationduserveur,quiregroupelaplanification,l’installation,laconfi- gurationetl’administrationduserveurengénéral.Unesériedeguidessupplémentai- res,énumérésci-dessous,décritlaplanification,laconfiguration,ainsiquelagestion avancéedesservicesindividuels.VouspouvezobtenircesguidesauformatPDFsur lesitewebdedocumentationdeMacOSXServer:
www.apple.com/fr/server/documentation
Ceguide... expliquecomment:
Premierscontactset
Feuilled’opérationd’installation etdeconfiguration
InstallerMacOSXServeretleconfigurerpourlapremièrefois.
Administrationdeligne decommande
Installer,configureretgérerMacOSXServeràl’aidedefichiersde configurationetd’outilsdelignedecommandeUNIX.
AdministrationduserviceiChat Configureretgérerleservicedemessagerieinstantanéed’iChat.
Configurationdelasécurité deMacOSX
Renforcerlasécuritédesordinateurs(clients)MacOSX,comme l’exigentlesentreprisesetlesorganismespublics.
Configurationdelasécurité deMacOSXServer
RenforcerlasécuritédeMacOSXServeretdel’ordinateur surlequelilestinstallé,commel’exigentlesentrepriseset lesorganismespublics.
Administrationduservice demessagerie
ConfigureretgérerlesservicesdemessagerieIMAP,POPetSMTP surleserveur.
Administrationdesservices deréseau
Installer,configureretadministrerlesservicesDHCP,DNS,VPN,NTP, coupe-feuIP,NATetRADIUSsurleserveur.
Administrationd’OpenDirectory Configureretgérerlesservicesderépertoireetd’authentification etconfigurerlesclientsautorisésàaccéderauxservicesderéper- toire.
AdministrationdePodcastProducer ConfigureretgérerleservicePodcastProducerdestinéàenregis- trer,traiteretdistribuerdespodcasts.
Administrationduservice d’impression
Hébergerlesimprimantespartagéesetgérerlesfilesd’attenteet travauxd’impressionassociés.
AdministrationdeQuickTime StreamingetBroadcasting
CaptureretencoderducontenuQuickTime.Configureretgérer leserviceQuickTimeStreamingenvuedediffuserdesdonnées multimédiasentempsréelouàlademande.
Administrationduserveur Réaliserl’installationetlaconfigurationavancéesdulogicielser- veuretgérerdesoptionsquis’appliquentàplusieursservicesouà l’intégralitéduserveur.
AdministrationdeMiseàjour delogicielsetd’Imageriesystème
UtiliserNetBoot,NetInstalletMiseàjourdelogicielspourautoma- tiserlagestiondusystèmed’exploitationetdesautreslogiciels utilisésparlesordinateursclients.
Miseàniveauetmigration Utiliserdesréglagesdedonnéesetdeservicescorrespondantà uneversionantérieuredeMacOSXServeroudeWindowsNT.
Gestiondesutilisateurs Créeretgérerdescomptesutilisateur,desgroupesetdesordina- teurs.ConfigurerlespréférencesgéréesdesclientsMacOSX.
Administrationdestechnologies web
Configureretgérerdestechnologieswebtellesquelesblogs, WebMail,wiki,MySQL,PHP,RubyonRails(RoR)etWebDAV.
Informatiqueàhauteperfor- manceetadministrationXgrid
ConfigureretgérerdesgrappesdecalculdesystèmesXserveet d’ordinateursMac.
GlossaireMacOSXServer Savoiràquoicorrespondentlestermesutiliséspourlesproduitsde serveuretlesproduitsdestockage.
Ceguide... expliquecomment:
VisualisationdeguidesPDFàl’écran
LorsquevouslisezlaversionPDFd’unguideàl’écran,vouspouvez:
 Afficherlessignetspourvisualiserleplanduguideetcliquersurunsignetpour accéderdirectementàlasectioncorrespondante.
 Rechercherunmotouunephrasepourafficherunelistedesendroitsoùcemotou cettephraseapparaîtdansledocument.Cliquezsurundecesendroitspourafficher lapagecorrespondante.
 Cliquersuruneréférencecroiséepouraccéderdirectementàlarubriqueréférencée.
Cliquezsurunlienpourvisiterlesitewebdansvotrenavigateur.
ImpressiondesguidesPDF
Sivousdevezimprimerunguide,procédezcommesuitpouréconomiserdupapieret del’encre:
 Économisezdel’encreoudutonerenévitantd’imprimerlacouverture.
 Sivousdisposezd’uneimprimantecouleur,économisezdel’encreenchoisissantune optiond’impressionenniveauxdegrisouennoiretblancdansunedessectionsde lazonededialogueImprimer.
 Réduisezlevolumedudocumentimpriméetéconomisezdupapierenimprimant plusieurspagesparfeuille.DanslazonededialogueImprimer,réglezÉchellesur115%
(155%pourPremierscontacts).ChoisissezensuiteMiseenpagedanslemenulocal sanstitre.Sivotreimprimanteprendenchargel’impressionrectoverso(duplex), sélectionnezl’unedesoptionsproposées.Sinon,choisissez2danslemenulocal Pagesparfeuilleet,sivouslesouhaitez,SimpleextrafinedanslemenuBordure.
(SivousutilisezMacOSX10.4ouantérieur,leréglageÉchellesetrouvedanslazone dedialogueFormatd’impressionetlesréglagesrelatifsàlamiseenpagedanslazone dedialogueImprimer.)
Ilpeuts’avérerutiled’agrandirlespagesimpriméesmêmesivousn’imprimezpasen rectoverso,carlatailledespagesPDFestinférieureàcelledupapierd’imprimante standard.DanslazonededialogueImprimeroudanslazonededialogueFormat d’impression,essayezderéglerÉchellesur115%(155%pourPremierscontactsqui possèdedespagesdelatailled’unCD).
Obtenirdesmisesàjourdedocumentation
Applepublierégulièrementdespagesd’aideréviséesainsiquedenouvelleséditions desesguides.Certainespagesd’aideréviséessontdesmisesàjourdesdernières éditionsdecesguides.
 Pourafficherlesnouvellesrubriquesd’aideàl’écrand’uneapplicationdeserveur, assurez-vousquevotreserveurouvotreordinateuradministrateurestconnectéà Internetetcliquezsurleliendesdernièresrubriquesd’aideoudemiseàjourdans lapaged’aideprincipaledel’application.
 PourtéléchargerlesguideslesplusrécentsenformatPDF,rendez-voussurlesite webdedocumentationdeMacOSXServer:
www.apple.com/fr/server/documentation/
Pourobtenirdesinformationssupplémentaires
Pourensavoirplus,consultezlesressourcessuivantes:
 DocumentsOuvrez-moi:misesàjourimportantesetinformationsspécifiques.
Recherchez-lessurlesdisquesduserveur.
 SitewebdeMacOSXServer(www.apple.com/fr/server/macosx):passerelleversdes informationsdétailléessurdenombreuxproduitsettechnologies.
 Sitewebdeserviceetd’assistanceMacOSXServer(www.apple.com/fr/support/
macosxserver):accèsàdescentainesd’articlesduserviced’assistanced’Apple.
 Sitewebdeserviceetd’assistanceApple(www.apple.com/fr/support):accèsàdes centainesd’articlesduserviced’assistanced’Apple.
 SitewebAppleformation(www.apple.com/fr/training):coursensalleetautoforma- tionsafindedéveloppervoscompétencesentermesd’administrationdeserveur.
 GroupesdediscussionsApple,(discussions.apple.com):unmoyende partagerquestions,connaissancesetconseilsavecd’autresadministrateurs.
 Sitewebdeslistesd’envoiApple,(www.lists.apple.com):abonnez-vousàdeslistes d’envoiafindepouvoircommuniquerparcourrierélectroniqueavecd’autresadmi- nistrateurs.
 Sitewebd’OpenLDAP(www.openldap.org):découvrezlelogicielopensourceutilisé parOpenDirectorypourfournirleservicederépertoireLDAP.
 SitewebdeKerberosMIT(web.mit.edu/kerberos/www):obtenezdesinformations élémentairesetdesspécificationssurleprotocoleutiliséparOpenDirectorypour fourniruneauthentificationparsignatureuniquerobuste.
 SitewebdeBerkeleyDB(www.sleepycat.com):consultezlesdescriptionsdesfonction- nalitésetdeladocumentationtechniquesurlabasededonnéesopensourceutili- séeparOpenDirectorypourstockerlesdonnéesderépertoireLDAP.
 RFC3377,“LightweightDirectoryAccessProtocol(v3):Spécificationtechnique”
1
1
Servicesderépertoireavec OpenDirectory
Unservicederépertoireestunlieudestockagecentralisé d’informationsconcernantlesutilisateursd’ordinateurset lesressourcesréseaud’uneorganisation.
Avantagesdel’utilisationdeservicesderépertoire
Lefaitdecentraliserlesdonnéesadministrativesenunseulendroitprésenteplusieurs avantages:
 Réductiondunombrededonnéesàsaisir.
 Touslesclientsetlesservicesréseaudisposentd’informationscohérentesàpropos desutilisateursetdesressources.
 Simplifiel’administrationdesutilisateursetdesressources.
 Fournitdesinformationsd’identification,d’authentificationetd’autorisationà d’autresservicesderéseau.
Danslesécolesoulesentreprisesparexemple,ilssontparfaitspourgérerlesutilisa- teursetlesressourcesinformatiques.Mêmeuneorganisationdemoinsdedixperson- nespeutbénéficierdesavantagesdudéploiementd’unservicederépertoire.
Lesservicesderépertoiresontdoublementutiles:ilssimplifientd’unepartl’adminis- trationdusystèmeetduréseau,etd’autrepartl’usageduréseaupourlesutilisateurs.
Grâceauxservicesderépertoire,lesadministrateurspeuventconserverdesinformations surtouslesutilisateurs,comme,parexemple,leurnom,leurmotdepasseetlesemplace- mentsdesrépertoiresdedépartréseau,defaçoncentraleplutôtquesurlesdifférents ordinateurs.Lesservicesderépertoirepermettentaussidecentraliserlesinformations concernantlesimprimantes,lesordinateursetlesautresressourcesenréseau.
Lacentralisationd’informationssurlesutilisateursetlesressourcespermetderéduire lachargedetravailenmatièredegestiondesinformationspourl’administrateursys- tèmeetàchaqueutilisateurdedisposerd’uncompted’utilisateurcentralisépermet- tantd’ouvrirunesessionsurtoutordinateurautoriséduréseau.
Avecleservicederépertoireetleservicedefichierscentralisésconfiguréspourhéber- gerlesdossiersdedépartréseau,unutilisateurobtientpartoutlesmêmesdossierde départ,bureaupersonnaliséetpréférencesindividuelles,quelquesoitl’ordinateursur lequelilouvreunesession.L’utilisateurpeutdonctoujoursaccéderàsesfichiersperson- nelsmisenréseaupourrechercheretutiliseraisémentlesressourcesréseauautorisées.
Servicesetdomainesderépertoire
Leservicederépertoireagitcommeunintermédiaireentrelesprocessusd’application etdelogicielsystème,quiontbesoind’informationssurlesutilisateursetlesressources, etlesdirectorydomainsquistockentlesinformations.
Commeillustréci-dessous,OpenDirectoryfournitdesservicesderépertoirepour MacOSXetMacOSXServer.
OpenDirectorypeutaccéderauxinformationsquifigurentdansunouplusieurs domainesderépertoire.Undomainederépertoirestockedesinformationsdans unebasededonnéesspécialiséeetoptimiséepourrechercher,extraireettraiter rapidementungrandnombrededemandesd’informations.
LesprocessusexécutéssousMacOSXutilisentlesservicesOpenDirectorypourenre- gistrerdesinformationsdanslesdomainesderépertoire.Siparexemplevouscréez uncompted’utilisateuràl’aidedeGestionnairedegroupedetravail,cetteapplication demandeàOpenDirectorydestockerlenomdel’utilisateuretlesautresinformations ducomptedansundomainederépertoire.Vouspouvezensuitepasserenrevue lesinformationsdescomptesd’utilisateurdansGestionnairedegroupedetravail, quiutiliseOpenDirectorypourextrairelesinformationssurlesutilisateursàpartir d’undomainederépertoire.
Imprimantes Groupes
Ordinateurs
Utilisateurs
Processus d’applications et de logiciels système Montages
Domaines de répertoire
Open Directory
D’autresprocessusdelogicielssystèmeetd’applicationspeuventégalementaccéder auxinformationsdescomptesd’utilisateurstockéesdansdesdomainesderépertoire.
QuandunutilisateurouvreunesessionsurunordinateurMacOSX,leprocessus d’ouverturedesessionutiliselesservicesOpenDirectorypourvaliderlenomd’utilisa- teuretlemotdepasse.
Pointdevuehistorique
ToutcommeMacOSX,OpenDirectorytrouvesesoriginesdansUNIX.Eneffet, OpenDirectoryfournitl’accèsauxdonnéesadministrativesquelessystèmesUNIX conserventgénéralementdansdesfichiersdeconfiguration,cequirequiertuntravail demaintenanceplusminutieux(certainssystèmesUNIXreposenttoujourssurdes fichiersdeconfiguration).OpenDirectoryconsolidecesdonnées,puislesrépartit pourfaciliterlesaccèscommelamaintenance.
Consolidationdesdonnées
Pendantdesannées,lessystèmesUNIXontstockélesinformationsadministratives dansunecollectiondefichierssituésdanslerépertoire/etc,commeillustréci-dessous.
Gestionnaire de groupe de travail
Open Directory
Domaine de répertoire
Processus UNIX
/etc/hosts /etc/group
CeschémaexigequechaqueordinateurUNIXdisposedesapropresériedefichiers.
Ainsi,lesprocessusexécutéssurunordinateurUNIXlisentsesfichiers,lorsqu’ilsont besoind’informationsadministratives.
Sivousmaîtrisezl’environnementUNIX,vousconnaissezsansaucundoutelesfichiers durépertoire/etc:group,hosts,hosts.equiv,master.passwdetbiend’autres.Ainsi, unprocessusUNIXayantbesoind’unmotdepassed’utilisateurconsulteralefichier /etc/master.passwd.Lefichier/etc/master.passwdcontientunenregistrementpour chaquecompted’utilisateur.UnautreprocessusUNIXnécessitantdesinformations surlesgroupesutiliseplutôtlefichier/etc/group.
OpenDirectoryconsolidelesinformationsadministratives,cequisimplifielesinterac- tionsentrelesprocessusetlesdonnéesadministrativesqu’ilscréentetutilisent.
Lesprocessusn’ontdésormaisplusbesoindesavoiroùetcommentlesdonnéesadmi- nistrativessontstockées.OpenDirectorys’occuped’obtenircesdonnéespourleur compte.Siunprocessusdoitconnaîtrel’emplacementdudossierdedépartd’unutili- sateur,ilfaitensortequ’OpenDirectoryobtiennecetteinformation.OpenDirectory trouvel’informationdemandéepuislarenvoie,évitantainsiauprocessustousles détailsconcernantlestockagedel’information,commeillustréci-dessous.
Processus Mac OS X Open
Directory
Domaine de répertoire Domaine
de répertoire
Open Directory
Processus Mac OS X
Certainesdesdonnéesstockéesdansundirectorydomainsontidentiquesàdesdon- néesstockéesdanslesfichiersdeconfigurationUNIX.Parexemple,l’emplacementdu dossierdedépart,lenomréel,l’identifiantd’utilisateuretl’identifiantdegroupesont stockésdansl’enregistrementd’utilisateurd’undirectorydomainplutôtquedansle fichier/etc/passwdstandard.
Toutefois,undirectorydomainstockebeaucoupplusd’informationspourgérerdes fonctionspropresàMacOSX,commelapriseenchargedelagestiond’ordinateurs clientsMacOSX.
Répartitiondesdonnées
UnedescaractéristiquesdesfichiersdeconfigurationUNIX,estquelesdonnéesadmi- nistrativesqu’ilscontiennentsontdisponiblesuniquementsurl’ordinateursurlequel ellessontstockées.Chaqueordinateurcomportedoncsespropresfichiersdeconfigu- rationUNIX.
AveclesfichiersdeconfigurationUNIX,toutordinateursurlequelunutilisateurenvi- sagedetravaillerdoitposséderlesréglagesducomptedecetutilisateur.Demanière plusgénérale,toutordinateurdoitdoncposséderlesréglagesdescomptesdesutilisa- teursautorisésàlesutiliser.Pourconfigurerlesréglagesderéseaud’unordinateur, l’administrateurdoitsedéplacerjusqu’àcetordinateur,puisentrerl’adresseIPettoute informationidentifiantcetordinateursurleréseau.
Demême,lorsquedesinformationssurunutilisateurouleréseaudoiventêtremodi- fiéesdansdesfichiersdeconfigurationUNIX,l’administrateurdoitapportercesmodifi- cationssurl’ordinateursurlequelsontsituéscesfichiers.Certainschangements, commelesréglagesderéseau,nécessitentquel’administrateurprocèdeauxmêmes opérationssurplusieursordinateurs.Cetteapprochedevientdeplusenpluscompli- quéealorsquelesréseauxgagnententailleetencomplexité.
OpenDirectoryrésoutceproblèmeenvouspermettantdestockerdesdonnéesadmi- nistrativesdansundomainederépertoirequipeutêtregéréparunadministrateur réseauàpartird’unemplacementunique.OpenDirectoryvouspermetdedistribuer cesinformationsafinqu’ellessoientaccessiblesenréseaupourtouslesordinateursqui enontbesoinetpourl’administrateurquilesgère,commeillustréci-dessous.
Utilisationdesdonnéesdesrépertoires
OpenDirectorypermetderegrouperetdegéreraisémentlesinformationssur leréseaudansundirectorydomain,maiscesinformationsn’ontdevaleurquesi lesprocessusdulogicielsystèmeetdesapplicationsexécutéssurlesordinateurs duréseauyaccèdentréellement.
Voiciquelquesexemplesd’utilisationdesdonnéesderépertoireparlelogicielsystème etlesapplicationsMacOSX:
 Ouverturedesession:Gestionnairedegroupedetravailpeutcréerdesenregistre- mentsd’utilisateursdansundirectorydomainetcesenregistrementspeuventservir àauthentifierdesutilisateursouvrantunesessionsurdesordinateursMacOSXet Windows.Lorsqu’unutilisateursaisitunnometunmotdepassedanslafenêtre d’ouverturedesessionMacOSX,leprocessusd’ouverturedesessiondemandeà OpenDirectoryd’authentifiercenometcemotdepasse.OpenDirectoryutilise lenompourtrouverl’enregistrementducomptedel’utilisateurdansundirectory domainetvalideensuitelemotdepasseàl’aided’autresinformationsquifigurent dansl’enregistrementd’utilisateur.
Administrateur système
Utilisateurs Domaine
de répertoire
Open Directory
 Accèsauxdossiersetauxfichiers:unefoisqu’ilaouvertunesession,l’utilisateur peutaccéderauxdossiersetauxfichiers.MacOSXutilised’autresdonnéesprove- nantdel’enregistrementd’utilisateurpourdéterminerlesautorisationsd’accèsde l’utilisateurpourchaquefichieroudossier.
 Dossiersdedépart:chaqueenregistrementd’utilisateur,dansundirectorydomain, stockel’emplacementdudossierdedépartdel’utilisateur.Ils’agitdel’endroitoù sontstockéslesfichiers,dossiersetpréférencesdel’utilisateurLedossierdedépart d’unutilisateurpeutsetrouversurl’ordinateursurlequeliltravailleousurunser- veurdefichiersderéseau.
 Montageautomatiquedepointsdepartage:lespointsdemontagepeuventêtre configuréspourlemontageautomatique(ilsapparaissentautomatiquement)dans ledossier/Network(leglobeRéseau)desfenêtresduFinderdesordinateursclients.
Lesinformationsconcernantcespointsdepartageàmonterautomatiquementsont stockéesdansundomainederépertoire.Lespointsdepartagesontdesdossiers, desdisquesoudespartitionsdedisquerendusaccessiblessurleréseau.
 Réglagedescomptesdemessagerie:chaqueenregistrementd’utilisateur,dansun domainederépertoire,indiquesil’utilisateurconcernédisposeduservicedemessa- gerieet,lecaséchéant,spécifielesprotocolesdecourrieràutiliser,lemodedepré- sentationdesmessagesentrants,l’activationéventuelled’unealerteencasde réceptiondemessage,etc.
 Utilisationdesressources:lesquotasdedisque,d’impressionetdecourrierpeuvent êtrestockésdanschaqueenregistrementd’utilisateurd’undomainederépertoire.
 Informationssurlesclientsgérés:l’administrateurpeutgérerl’environnement MacOSXdesutilisateursdontlescomptessontstockésdansundomainederéper- toire.L’administrateurchoisitlesréglagesdepréférencesimposésquisontstockés dansledomainederépertoireetquisontprioritairesparrapportauxpréférences personnellesdesutilisateurs.
 Gestiondegroupes:outredesenregistrementsd’utilisateurs,undomainederéper- toirecontientégalementdesenregistrementsdegroupes..Chaquefichedegroupe affectetouslesutilisateursmembresdecegroupe.Lesinformationsquifigurent danslesenregistrementsdegroupeindiquentlesréglagesenmatièredepréféren- cesdesmembres.Lesenregistrementsdegroupepermettentégalementdedétermi- nerl’accèsauxfichiers,auxdossiersetauxordinateurs.
 Présentationsderéseaugérées:l’administrateurpeutconfigurerdesprésentations personnaliséesquelesutilisateursvoientlorsqu’ilssélectionnentl’icôneRéseaudans labarrelatéraled’unefenêtreduFinder.Commecesprésentationsderéseaugérées sontstockéesdansundomainederépertoire,ellessontautomatiquementdisponi- bleslorsqu’unutilisateurouvreunesession.
Accèsauxservicesderépertoires
OpenDirectorypeutaccéderauxdomainesderépertoirepourlestypesdeservicesde répertoiressuivants:
 LightweightDirectoryAccessProtocol(LDAP),unenormecommunedanslesenvi- ronnementsmixtesdesystèmesMacintosh,UNIXetWindows.LDAPestleservice derépertoirenatifpourlesrépertoirespartagésdeMacOSXServer.
 Domainederépertoirelocal,leservicederépertoirepourtoutMacOSXet MacOSXServer10.5ouultérieur.
 ActiveDirectory,leservicederépertoiredesserveursMicrosoftWindows2000et2003.
 NetworkInformationSystem(NIS),leservicederépertoiredenombreuxserveursUNIX.
 FichiersplatsBSD,leservicederépertoirehéritédessystèmesUNIX.
Auseind’undomainederépertoire
Lesinformations,dansundomainederépertoire,sontorganiséesd’aprèsletyped’enre- gistrement.Lestypesd’enregistrementsontdescatégoriesspécifiquesd’informations, comme,parexemple,lesutilisateurs,lesgroupesetlesordinateurs.Undomainede répertoirepeutcontenirunnombredifférentd’enregistrementspourchaquetype d’enregistrements.Chaqueenregistrementestconstituéd’unensembled’attributset chaqueattributcomporteuneouplusieursvaleurs.
Sivousimaginezuntyped’enregistrementcommeunefeuilledecalculdédiéeàune certainecatégoried’informations,lesenregistrementssontalorsleslignesdelafeuille, lesattributssontlescolonnesetchaquecellulecontientuneouplusieursvaleurs.
Parexemple,lorsquevousdéfinissezuncompted’utilisateuràl’aidedeGestionnaire degroupedetravail,vouscréezunenregistrementd’utilisateur(unenregistrementde typeutilisateur).Lesréglagesdéfinispourcecompted’utilisateur(sonnomabrégé, sonnomcomplet,l’emplacementdesondossierdedépart,etc.)deviennentdes valeursdesattributsquifigurentdansl’enregistrement.Lafiched’utilisateurcomme lesvaleursdesesattributssontstockéesdansundomainederépertoire.
Danscertainsservicesderépertoire,comme,parexemple,LDAPetActiveDirectory, lesinformationsderépertoiresontorganiséesparclassed’objets.Commelestypes d’enregistrement,lesclassesd’objetsdéfinissentdescatégoriesd’informations.
Uneclassed’objetsdéfinitdesinformationssimilairesappelésentréesenspécifiant lesattributsqu’uneentréepeutoudoitcontenir.
Pourunemêmeclassed’objets,undomainederépertoirepeutcontenirplusieurs entrées,chacunedecesentréespouvantcontenirplusieursattributs.Certainsattributs ontuneseulevaleur,alorsqued’autresenontplusieurs.Parexemple,laclassed’objets inetOrgPersondéfinitdesentréesquicontiennentdesattributsd’utilisateur.
LaclasseinetOrgPersonestuneclasseLDAPstandarddéfinieparledocumentRFC 2798.D’autresclassesd’objetsetattributsLDAPstandardsontdéfinisparledocument RFC2307.Lesclassesd’objetsetlesattributspardéfautd’OpenDirectorysefondent surcesdocumentsRFC.
L’ensembledesattributsetdestypesd’enregistrements(ouclassesd’objets)définis- sentlastructuredesinformationsd’undomainederépertoire.Cettestructureestappe- léeschémadudomainederépertoire.OpenDirectoryutilisetoutefoisunschémaà basederépertoirequidiffèreduschémastockébaséenlocal.
Lorsdel’utilisationd’unfichierdeconfigurationdeschémabaséenlocalavecunmaî- treOpenDirectoryquisertdesserveursrépliqués,leproblèmeestquesil’onmodifie ouajouteunattributauschémabaséenlocald’unmaîtreOpenDirectory,ilfautaussi apportercettemodificationsurchacunedesrépliques.S’ilyabeaucoupderépliques, lamiseàjourmanuellepeutprendreénormémentdetemps.
Sivousn’apportezpaslamêmemodificationauschémaenlocalsurchacunedesrépli- ques,vosserveursrépliquésvontprovoquerdeserreursetdeséchecslorsdel’envoi devaleurspourlenouvelattributauxserveursrépliqués.
Pouréviterlesproblèmes,MacOSXutiliseunschémaàbasederépertoirequiest stockédanslabasededonnéesderépertoiresetmisàjourautomatiquementpour chaqueserveurrépliquéàpartirdelabasededonnéesderépertoiresrépliquée.
Celapermetdesynchroniserleschémapourtouteslesrépliquesetdonneuneplus grandeflexibilitépourapporterdesmodificationsauschéma.
StructuredesinformationsderépertoireLDAP
DansunrépertoireLDAP,lesentréessontorganiséesdansunestructurearborescente hiérarchique.DanscertainsrépertoiresLDAP,cettestructureestbaséesurdesfrontiè- resgéographiquesetorganisationnelles.D’unefaçonplusgénérale,lastructureest baséesurlesnomsdedomaineInternet.
Dansuneorganisationderépertoiresimple,lesentréesreprésentantlesutilisateurs, lesgroupes,lesordinateursetlesautresclassesd’objetssontimmédiatementsous leniveauracinedelahiérarchie,commeillustréici.
Uneentréeestréférencéeparsonnomdistinctif(DN,DistinguishedName),quiest construitàpartirdunomdel’entréeproprementdite,appelélenomdistinctifrelatif (RND,RelativeDistinguishedName),etparconcaténationdesnomsdesentréesancê- tres.Parexemple,l’entréed’AnneJacquespourraitavoirleRDNuid=anneetlenom distinctifuid=anne,cn=utilisateurs,dc=exemple,dc=com.
LeserviceLDAPextraitlesdonnéesenfaisantunerecherchedanslahiérarchie d’entrées.Larecherchepeutcommenceràn’importequelleentrée.L’entréeà laquellelarecherchecommenceestappeléelabasederecherche.
Vouspouvezspécifierunebasederechercheendonnantlenomdistinctifd’uneentrée danslerépertoireLDAP.Parexemple,labasederecherchecn=utilisateurs,dc=exemple, dc=comspécifiequeleserviceLDAPcommenceralarechercheàl’entréedontl’attribut cnalavaleur«utilisateurs».
VouspouvezaussispécifierdanscombiendeniveauxdelahiérarchieLDAPsousla basederechercheilfautchercher.Ledomainederecherchepeutcouvrirtoutesles sous-branchessouslabasederechercheouuniquementlepremierniveaud’entrées souslabasederecherche.Sivousutilisezdesoutilsdelignedecommandepourfaire unerecherchedansunrépertoireLDAP,vouspouvezaussirestreindreledomainede rechercheàlaseuleentréedelabasederecherche.
dc=com dc=exemple
cn=utilisateurs cn=groupes cn=ordinateurs
uid=anne cn=Anne Robin
uid=vincent cn=Vincent Foucault
Domainesderépertoirelocauxetpartagés
L’emplacementdestockagedesinformationsconcernantlesutilisateursetautresdon- néesadministrativesnécessairesàvotreserveurdiffèreselonquelesdonnéesdoivent êtrepartagéesounon.Cesinformationspeuventêtrestockéesdansledomainede répertoirelocalduserveuroudansundomainederépertoirepartagé.
Àproposdudomainederépertoirelocal
ToutordinateurMacOSXdisposed’undomainederépertoirelocal.Lesdonnéesadmi- nistrativesquifigurentdansundomainederépertoirelocalsontvisiblesuniquement parlesapplicationsetlelogicielsystèmeexécutéssurl’ordinateursurlequelle domaineenquestionsetrouve.Ils’agitdupremierdomaineconsultélorsquel’utilisa- teurouvreunesessionouexécutecertainesopérationsnécessitantdesdonnéesstoc- kéesdansundomainederépertoire.
Lorsqu’unutilisateurouvreunesessionsurunordinateurMacOSX,OpenDirectory recherchel’enregistrementdecetutilisateurdansledomainederépertoirelocalde l’ordinateur.Siledomainederépertoirelocalcontientl’enregistrementdel’utilisateur (etquel’utilisateuraentréunmotdepassecorrect),l’ouverturedesessionsepoursuit etl’utilisateursevoitdonnerl’accèsàl’ordinateur.
Aprèsl’ouverturedesession,l’utilisateurpeutchoisir“Seconnecteràunserveur”
danslemenuAller,puisseconnecteràunserveurMacOSXServerpouraccéderà unservicedefichiers.Danscecas,OpenDirectorysurleserveurrecherchelafiche decetutilisateurdansledomainederépertoirelocalduserveur.
Siledomainederépertoirelocalduserveurcontientunenregistrementpourl’utilisa- teur(etsil’utilisateurasaisilebonmotdepasse),leserveurdonneàl’utilisateurl’accès auxservicesdefichiers,commeillustréci-dessous.
LorsquevousconfigurezunordinateurMacOSX,sondomainederépertoirelocalest crééetpourvud’enregistrementsautomatiquement.Parexemple,unefiched’utilisa- teurestcrééepourl’utilisateurquis’estchargédel’installation.Cetenregistrement d’utilisateurcontientlenomd’utilisateuretlemotdepassesaisisaucoursdelaconfi- guration,ainsiqued’autresinformations,tellesquel’identifiantuniquedel’utilisateur etl’emplacementdesondossierdedépart.
Domaine de répertoire local
Domaine de répertoire local Ouverture
de session
Mac OS X Connexion à Mac OS X Server
pour le service de fichiers
Àproposdesdomainesderépertoirepartagés
Bienqu’OpenDirectorypuissestockerdesdonnéesadministrativesdansledomainede répertoirelocaldel’ordinateursurtoutordinateurMacOSX,sonatoutmajeurestde permettreàplusieursordinateursMacOSXdepartagerdesdonnéesadministratives enlesstockantdansdesdomainesderépertoirepartagés.
Lorsqu’unordinateurestconfigurépourutiliserundomainepartagé,touteslesdon- néesadministrativescontenuesdanscedomainesontégalementvisiblesparlesappli- cationsetlelogicielsystèmedecetordinateur.
SiOpenDirectorynetrouvepasl’enregistrementd’unutilisateurdansledomainede répertoirelocald’unordinateurMacOSX,ilpeutrecherchel’enregistrementdanstous lesdomainespartagésauxquelscetordinateuraaccès.
Dansl’exemplesuivant,l’utilisateurpeutaccéderauxdeuxordinateurs,carledomaine partagé,accessibleàpartirdesdeuxordinateurs,contientunenregistrementpourcet utilisateur.
Lesdomainespartagéssetrouventgénéralementsurdesserveursparcequelesinfor- mationsdedomainesderépertoirecontiennentdesinformationsextrêmementimpor- tantestelleslesdonnéesd’authentificationdesutilisateurs.
L’accèsauxserveursestgénéralementtrèsrestreintpourprotégerlesdonnéesqu’ils contiennent.Enoutre,lesdonnéesderépertoiresdoiventdemeurerdisponibles.Les serveursdisposentsouventdefonctionsmatériellessupplémentairesquiaugmentent leurfiabilitéetilsbénéficienthabituellementdedispositifsd’alimentationélectrique sansinterruption.
Domaine de répertoire
partagé
Domaine de répertoire local
Domaine de répertoire local Ouverture
de session
Mac OS X Connexion à Mac OS X Server
pour le service de fichiers
Donnéespartagéesdansdesdomainesderépertoireexistants
Certainesorganisations(lesuniversitésoulesmultinationales,parexemple)conser- ventlesinformationsrelativesauxutilisateursetd’autresdonnéesadministrativesdans desdomainesderépertoiresituéssurdesserveursUNIXouWindows.OpenDirectory peuteffectuerunerecherchedanscesdomainesnonAppleetdanslesdomaines OpenDirectorypartagésdesystèmesMacOSXServer,commeillustréci-dessous.
L’ordredanslequelMacOSXeffectuedesrecherchesdanslesdomainesderépertoire estconfigurable.Lapolitiquederecherchedéterminel’ordredanslequelMacOSX effectuelesrecherchesdanslesdomainesderépertoire.Lespolitiquesderecherche sontexpliquéesauchapitre2,«PolitiquesderechercheOpenDirectory».
ServicesSMBetOpenDirectory
VouspouvezconfigurervotreMacOSXServeravecOpenDirectoryetlesservicesSMB pourservirdesstationsdetravailWindows.Enutilisantcesdeuxservicesensemble, vouspouvezconfigurervotreMacOSXServercommecontrôleurdedomaineprinci- pal(PDC)oucontrôleurdedomainesecondaire(BDC).
Utilisateur Mac OS X Utilisateur Mac OS X Utilisateur Windows Mac OS X Server Serveur Windows
Domaine Active Directory Domaine de
répertoire partagé Domaine de répertoire local
Domaine de répertoire local
OpenDirectorycommecontrôleurdedomaineprincipal
MacOSXServerpeutêtreconfigurécommecontrôleurdedomaineprincipal(PDC) Windows,cequipermetauxutilisateursdestationsdetravailcompatiblesavec WindowsNTd’ouvrirunesessionàl’aidedecomptesdedomaine.Uncontrôleurde domaineprincipaldonneàchaqueutilisateurWindowsunnomd’utilisateuretunmot depassepourl’ouverturedesessionàpartirdetoutestationdetravailWindowsNT 4.x,Windows2000,WindowsXPetWindowsVistasurleréseau.Aulieud’ouvrirune sessionàl’aided’unnomd’utilisateuretd’unmotdepassedéfinisenlocalsurune stationdetravail,chaqueutilisateurpeutalorsouvrirunesessionàl’aidedunom d’utilisateuretdumotdepassedéfinissurlecontrôleurdedomaineprincipal.
Lecompted’utilisateurquipeutêtreutilisépourouvrirunesessionàpartird’une stationdetravailpeutaussiêtreutilisépourouvrirunesessionàpartird’unordinateur MacOSX.Quelqu’unquiutiliselesdeuxplates-formespeutavoirlesmêmesdossier dedépart,comptedecourrierélectroniqueetquotasd’impressionsurlesdeuxplates- formes.Lesutilisateurspeuventchangerdemotdepasselorsdel’ouverturede sessionsurledomaineWindows.
Lescomptesd’utilisateursontstockésdanslerépertoireLDAPduserveuraccompa- gnésdugroupe,del’ordinateuretd’autresinformations.Lecontrôleurdedomaine principalaaccèsauxinformationsdecerépertoireparcequevousavezconfiguré lecontrôleurdedomaineprincipalsurunserveurquiestunmaîtreOpenDirectory, c’est-à-direquihébergeunrépertoireLDAP.
Deplus,lecontrôleurdedomaineprincipalutiliseleserveurdemotsdepassedumaî- treOpenDirectorypourl’authentificationdesutilisateurslorsqu’ilsouvrentunesession dansledomaineWindows.Leserveurdemotsdepassepeutvaliderlesmotsdepasse àl’aidedeNTLMv2,NTLMv1,LANManageretd’autresméthodesd’authentification.
LemaîtreOpenDirectorypeutaussiavoiruncentrededistributiondeclésKerberos.Le contrôleurdedomaineprincipaln’utilisepasKerberospourauthentifierlesutilisateurs pourlesservicesWindows,maisleservicedecourrierélectroniqueetd’autresservices peuventêtreconfiguréspourutiliserKerberospourl’authentificationdesutilisateursde stationsdetravailWindowsquidisposentdecomptesdanslerépertoireLDAP.
PourquesonmotdepassesoitvalidéparleserveurdemotsdepasseOpenDirectory etparKerberos,uncompted’utilisateurdoitavoirunmotdepassedetypeOpen Directory.Uncompted’utilisateuravecunmotdepassedetypecrypténepeutpas êtreutilisépourlesservicesWindowsparcequ’unmotdepassecryptén’estpasvalidé àl’aidedesméthodesd’authentificationNTLMv2,NTLMv1ouLANManager.
Leserveurpeutaussiavoirdescomptesd’utilisateurdanssondomainederépertoire local.ChaqueMacOSXServerenaun.Lecontrôleurdedomaineprincipaln’utilise pascescomptespourl’ouverturedesessionpardomaineWindows,maislecontrôleur dedomaineprincipalpeututilisercescomptespourauthentifierlesutilisateurspour leservicedefichiersWindowsetd’autresservices.
Lescomptesd’utilisateur,dansledomainederépertoirelocal,quiontunmotdepasse detypeMotdepasseShadowpeuventêtreutiliséspourlesservicesWindowsparce quelesmotsdepasseShadowpeuventêtrevalidésàl’aidedesméthodesd’authentifi- cationNTLMv2,NTLMv1,LANManageretautres.
Àdesfinsdecompatibilité,MacOSXServerprendenchargelescomptesd’utilisateur configuréspourutiliserlatechnologieGestionnaired’authentificationhéritéepourla validationdesmotsdepassedansMacOSXServer10.0–10.2.Aprèslamiseàniveau d’unserveuràMacOSXServer10.5,lesutilisateursexistantspeuventcontinueràutili- serleursmotsdepasse.
Uncompted’utilisateurutiliseGestionnaired’authentificationsilecompteestun domainederépertoirelocalpourlequelGestionnaired’authentificationaétéactivé etsilecompteestconfigurépourutiliserunmotdepassecrypté.
SivousmigrezunrépertoiredeNetInfoversLDAP,touslescomptesd’utilisateurqui utilisaientGestionnaired’authentificationpourlavalidationdesmotsdepassesont convertispouravoirunmotdepassedetypeOpenDirectory.
LorsdelaconfigurationdeMacOSXServercommecontrôleurdedomaineprincipal, assurez-vousqu’iln’yapas,survotreréseau,unautrecontrôleurdedomaineprincipal possédantlemêmenomdedomaine.UnréseaupeutavoirplusieursmaîtresOpen Directory,maisunseulcontrôleurdedomaineprincipal.
OpenDirectorycommecontrôleurdedomainesecondaire
ConfigurerMacOSXcommecontrôleurdedomainesecondairefournitpermet lebasculementetlasauvegardeducontrôleurdedomaineprincipal.Lecontrôleurde domaineprincipaletlecontrôleurdedomainesecondairepartagentlesdemandesdes clientsWindowsenmatièred’ouverturedesessiondedomaineetd’autresservicesde répertoireetd’authentification.Encasd’indisponibilitéducontrôleurdedomaineprin- cipalMacOSXServer,lecontrôleurdedomainesecondaireMacOSXServerfournit alorsdesservicesd’ouverturedesessiondedomaineetd’autresservicesderépertoire etd’authentification.
Lecontrôleurdedomainesecondairedisposed’unecopiesynchroniséedesdonnées relativesauxutilisateurs,groupes,ordinateursetautresdonnéesderépertoireducon- trôleurdedomaineprincipal.Lecontrôleurdedomaineprincipaletlecontrôleurde domainesecondairedisposentaussidecopiessynchroniséesdesdonnéesd’authentifi- cation.MacOSXServersynchroniseautomatiquementdesdonnéesrelativesaux répertoiresetàl’authentification.
AvantdeconfigurerMacOSXServercommecontrôleurdedomainesecondaire, vousdevezconfigurerleserveurcommeunerépliqueOpenDirectory.Lecontrôleur dedomainesecondaireutiliselerépertoireLDAP,lecentrededistributiondeclés KerberosetleserveurdemotsdepassedelarépliqueOpenDirectoryenlectureseule.
MacOSXServersynchroniselecontrôleurdedomaineprincipaletlecontrôleurde domainesecondaireenmettantàjourautomatiquementlarépliqueOpenDirectory aveclesmodificationsapportéesaumaîtreOpenDirectory.
UtilisezAdminServeuraprèsl’installationpourfairedeMacOSXServeruneréplique OpenDirectoryetuncontrôleurdedomainesecondaire.Vouspouvezconfigurer plusieurscontrôleursdedomainesecondaire,chacunsurunserveurderéplique OpenDirectorydistinct.
Important:vousnepouvezpasavoirplusieurscontrôleursdedomaineprincipal dupliquéssurunmêmeréseau.
